首页 > 活动 > 干货 | 你手里的币真的安全吗 ?
转载  

干货 | 你手里的币真的安全吗 ?

摘要:20日小黑屋专访11期,Cobo钱包高级副总裁李尧做客小黑屋专访,在活动微信群就《你手里的币真的安全吗?》展开了精彩的分享与论述。以下是黑小妹整理的精华内容~ 6500字11分钟 各位小黑屋的同学们,大家好,很开心在小黑屋给大家分享一些我们对于数字资产安全

20日小黑屋专访11期,Cobo钱包高级副总裁李尧做客小黑屋专访,在活动微信群就《你手里的币真的安全吗?》展开了精彩的分享与论述。以下是黑小妹整理的精华内容~

6500字 ▾11分钟

各位小黑屋的同学们,大家好,很开心在小黑屋给大家分享一些我们对于数字资产安全的理解。我是Cobo钱包的李尧。今天的主题是“你手里的币真的安全吗?”我们将从三个维度进行分享,第一方面是行业,第二方面是过去被盗事件的案例分析,第三是如何更好地保管你的资产。

01  行业概述

 

过去几年,整个数字货币的规模最高达到8000多亿美元,现在整个规模可能有所下降,达到了1000多亿美元,但这足以证明数字货币时代已经到来。围绕数字货币时代,交易所、矿业生产商、钱包服务商等等,都开始涌现出来。

现在数字货币的种类至少有1500种。整个资产规模,这上面写的是2000亿美元,其实现在是1000多亿美元,这个数据相对比较老。全球用户数现在是3500万到3800万左右,中国有500万左右的用户。同时有100多条公链,Token Fund的规模也已经达到一个非常高的额度。

02  盗币案例

区块链领域,代码即法律,数字货币底层逻辑及实现方式是通过代码完成的。从2011年到2018年,盗币事件非常之多。我们统计到,2018年截至11月份,整个被盗的规模已经达到了22亿美元。

我们都知道最著名的事件是门头沟事件。Mt.Gox当时丢了5亿美元,现在可能更不计其数了。Bitfinex丢了7000多万美元,BitGrail也是丢了1亿多美元。这样看来,交易所也好,钱包也好,被黑客攻击成为了过去大世界被盗的常态。

对于普通用户而言,如何更好地保护你的资产,如何让你手里的数字货币不被盗?甚至说严重一点,你以为你现在手里的币真的没有被黑客攻击过吗?这里面其实有很多地方可以探讨。

03  私钥即资产

在整个区块链领域,私钥即财富,私钥即资产。如何保管好你的资产,最重要的就是保管好你的私钥。

很多朋友在注册钱包之后,就把助记词随便保存在一个云端服务器,随便抄到一个笔记本里面,或者记在脑子里。但是云端是特别容易被黑客窃取的,笔记本可能会丢失,记在脑子里也可能会忘掉。那如何保证你的私钥能被保管在一个安全的地方不被黑客攻击,这是我们需要去研究的一个重大的话题。

私钥的整体管理包含了六个方面,从生成、分发、更新、存储、备份直到销毁。在任何一个环节,只要我们有一个地方没注意到,就有可能被黑客窃取。也就是说你现在手里的私钥可能已经被黑客拿到了,只是黑客没有通过某些手段把它变成资产转移出去而已。那如何保管好你的私钥,现在有什么改进方案,通过这张图可以跟大家分享一下。

首先是私钥的生成。传统方案里私钥生成算法的随机性非常差,导致密钥可以被预测,攻击者可以自己生成私钥。现在改进方案有很多,比如图中写的使用安全芯片技术,当然也要符合相关标准。

第二个是分发。很多朋友喜欢直接把明文进行分发,这样会导致密钥特别容易被攻击者截取。现在也有改进方案,比如说进行加密,但还是不够安全。

第三个是更新。很多用户用一个密钥,可能三十年都不变,很多时候你可能在其他地方进行备份,本来就很容易被黑客截取,你又一直不更换,所以黑客可以把它导入现在的钱包,直接获得你的资产。

再就是存储。密钥明文存储在数据库中导致攻击者容易读出密钥,从而轻易地获取敏感数据的明文。比如说现在比特币钱包的密钥就存储在Wallet.dat文件中,这样的密钥非常依赖于密码安全,存在暴力破解的风险。

提到备份,有的用户可能只保存一份密钥或者助记词,不进行其他方面的备份,一旦密钥丢失那资产就永远都找不回来了。

最后是销毁。密钥一般是普通删除,攻击者其实非常容易把密钥恢复出来。比如说在BIP32协议中如果泄露任意私钥与主公钥是完全可以恢复整个主私钥的。

所以私钥的六大环节中,只要任何一个环节出现失误、被黑客截取,都有丢失资产的可能。在这里面有很多的改进方案,比如说存储里面可能有多重签名方案,备份里会有加密备份的思路,在销毁里面可能完整销毁,但这些只能说是一个及格线。所以我们作为钱包公司,引入了很多方面的一些新加密算法和新加密设备。

04  关于Cobo

举个例子,这是之前我们一个用户在朋友圈发的照片,他存在某个钱包里的币被盗。我猜测他是在存储环节出现失误被黑客截取了,所以还是需要有一些安全级别更高的钱包来保障他的资产安全。

那说到这里,给大家也分享一下Cobo钱包,让大家有更多理解。首先Cobo最初的定位是提供一站式服务的数字资产存储与管理平台。现在有三条产品线,一个是面向C端的Cobo Wallet;一个是面向C端和小B端的Cobo Vault冷钱包;还有本月推出的面向机构的Cobo Custody,就是企业托管服务。

Cobo Wallet现在有多个应用,第一个是首创业内的云端钱包加HD钱包,第二个是打造类似于余额宝一样的财富商城,还有Cobo现在的支持波场和以太坊的DApp应用。

因为Cobo钱包团队比较solid,我们现在支持了全球30多个公链,现在公链数量已经是全球第一了,这个真的一点不夸张,有几百个代币,且都经过代码审计,你能想到的主流代币我们都有。第二个是关于我们目前的一个理财服务。我们首创了POS挖矿模式,还开放了一个针对比特币、以太坊、EOS等等这样的活期存款,打造成数字资产界的余额宝。

Cobo Vault硬件钱包,这是中国第一个符合美国军方三防标准的硬件钱包。它支持BIP32、39、44协议,私钥永远不会离开安全芯片。而且我做了很多安全方面的创新,比如业内首创了“中间人攻击、远程攻击、侧信道攻击”等。

Cobo Custody就是Cobo的企业服务,这个主要是面向机构提供的服务,我们会有多重签名方案,帮用户保管资产。

企业用户对于安全的诉求更高级一点,所以Cobo将私钥进行全球化的备份。比如说我们在西雅图有办公室,在国内也有三个办公室,北京,西安,上海。同时把我们的私钥在新加坡、瑞士和英国进行全球化分布,这样能好地保护客户的资产。

同时Cobo是一家对合规性要求极高的公司。Cobo现在在美国已经拿到了部分牌照,在香港积极申请托管牌照,也正在新加坡申请支付牌照。

目前我们团队来自于谷歌、Facebook、高盛,国内的阿里巴巴、360、F2Pool,还有今日头条等等,团队的技术骨干还是非常非常厉害的。

以上就是我们对这个行业的看法以及对Cobo的介绍。总之用户把资产托管在Cobo,是绝对安全的。如果小伙伴有其他问题,都可以随时问我。

小黑屋问答
 
Q1:围绕区块链,可以有很多的商业切入点,当初你们为什么选择了做钱包呢?

A1:Cobo的两个重要创始人一个叫做神鱼一个叫蒋长浩博士。神鱼其实是中国最早矿池也是全球最大的综合性矿池 F2Pool创始人。神鱼应该是在2015年吧,三月份的时候,整个鱼池里面丢了8000多个以太坊。当时被盗的还未转出的以太坊币值已经高达2000万美元,同时还有各种代币,大概164种,鱼池当时也有受害者丢了8000个。

鱼池都会因为安全问题损失这么多的以太坊,普通矿工、用户更容易受到攻击。所以做矿池是为了维护矿工的利益,做钱包就是维护大家的利益。神鱼为了给用户一个更安全的存储环境就决心创办了Cobo钱包。

第二点,考虑到未来区块链的普及以及DApp的随时爆发,钱包会成为区块链领域的下一个入口。这两方面的原因集合到一起,然后我们一起做了Cobo钱包。

Q2:随着行业的发展,市场上出现的钱包产品越来越多,使用的技术、策略以及侧重的功能点都不相同。您能对目前主流的数字资产钱包做一个大致的分类梳理吗?

A2:根据不同标准有不同的分类。比如根据是否联网,分为冷钱包和钱包。根据私钥的归属权,分为中心化钱包和去中心化钱包。根据是否支持多种公链上的数字货币资产,分为单链钱包和多链钱包。根据数据存储完整度,分为轻节点钱包和全节点的钱包,等等。最常用的大家一般叫Offchain和Onchain钱包。Offchain就是链下钱包,也就是中心化钱包,Onchain是链上钱包就是去中心化钱包。

Cobo是一个中心化和去中心化结合的钱包,同时我们还有硬件钱包,硬件钱包就是冷钱包。所以说我们在钱包的不同形态都有布局,相对比较完整一点。

Q3:对于钱包来说,“安全”是核心,然而多款钱包都曾被爆出遭受过攻击。我们知道Cobo通过“冷热分离”来进行资产托管,目前Cobo的冷端、热端是否都能做到绝对安全?黑客技术也在不断升级,这样的安全机制又能维持多长时间?

A3:是的,冷热分离是指我们将90%的资产放置在冷钱包里面。整体来讲冷钱包会比热钱包更安全一点,而且我们采用的是多重签名的解决方案,所以几乎可以认为是零风险。同时值得注意的是每家公司的保护机制也不一样,比如说交易所他们一般是热钱包加温钱包钱包再加冷钱包的解决方案。对于Cobo来讲,以中心化钱包为例,我们首创了热钱包加HSM加密机再加多种签名的钱包解决方案,将整个安全程度提升了几个数量级。

为什么我们会有这样的结构安排?假设我这边有10000个比特币,我将10%也就是1000个比特币放在热钱包,把其他9000个全放在多重签名的冷钱包中,其中我们是用HSM加密机来做通道签名。

那什么是HSM加密机呢?HSM加密机是用来保护和管理加密密钥并提供关键代码的安全执行的一个解决方案和一个机器。HSM加密机具有内置的防篡改技术,可以在发生物理攻击时清除密码。同时会保证整个密钥不出硬件芯片,解决保密性和安全性的问题。HSM加密机之前在军工、航空以及银行中有很多安全运用,我们也是业内首创的将HSM加密机搬到整个加密货币领域里面,将整个行业的安全性能提高了很多。

所以说,在热钱包与HSM加密机之间的交互中,我们自己也有黑白名单机制,有交易地址检查,有IP限制,有限额限速等,这样能保证热钱包和HSM加密机之间的货币传输是安全的。第二个是关于冷钱包,包括刚才讲的冷钱包多重签名方案。我们有五把私钥,只有三把私钥发生签名的时候,交易才可以进行。其中一把私钥放在西雅图办公室,那边是一个银行保险柜,北京也是一样,还有一把私钥放在加密机里面,同时我们把备份私钥放在全球的分布的保险箱或者防空洞里面。

因为冷钱包本身是不出网的,黑客是无法接触的。如果黑客绑架了你,你被迫给了黑客一把私钥,但是你还有几把私钥放在全球其他地方,那么黑客依然无法转移你的资产。所以说,多重签名机制这种冷钱包解决方案、HSM加密机等等手段,可以保证资产安全,不被黑客截取。

Q4:在使用过程中,除了安全以外,便捷性等因素也同样决定着一款钱包的竞争力。Cobo钱包在用户体验方面,做过哪些创新?

A4:我觉得有三个方面的创新,第一个是我们的技术门槛比较低。我们是业内首创的云端钱包加HD钱包。前者的话,大家用手机号就可以注册,免去了繁琐的助记词,小白用户也可以成为会员。同时高阶用户完全可以用助记词方式去注册,他也可以将私钥保存在自己手里。因此按照用户的生命周期,从小白到高级,我们为他提供了一个完整进入区块链领域的解决方案。

第二块的优化是财富商城,我们称为数字货币领域中的余额宝。刚刚所讲,我们现在为用户提供了币计划和POS挖矿两种理财方式。对于币计划,我们提供长期与短期的理财服务,同时我们也提供活期理财,用户可以随存随取。另外是POS挖矿,我们利用共识机制,让用户进行真正意义上的挖矿。目前有DCR等等,可以进行体验。

第三块优化就是DApp生态。Cobo Wallet现在支持EOS和波场的DApp,用户可以进到手机App里面,输入网址或者不输网址,找到你喜欢的游戏或应用,比如去中心化的聊天软件、去中心化的类新浪微博,或者菠菜类游戏都可以体验。

Q5:您怎样看待没有场景的独立钱包产品?有一些钱包App推出了DApp,您是如何看待这种发展趋势的? 

A5:这是一个非常好的问题,确实我们纯做钱包的存储是完全没有应用场景的,很难支撑大家的存币诉求。要知道80%的用户还是把币存在交易所里面,怎么才能让用户主动使用和体验钱包呢?就是我刚所说的,第一我们植入了一些理财功能,我们用户的粘性非常高,应该是整个行业的龙头。第二是植入DApp程序,现在EOS整个DApp生态非常之好,波场的DApp也是刚刚起量。

但是现在整个DApp还处于早期,我觉得只有满足以下三点整个DApp才能发展起来。第一点就是公链的性能,比如说EOS、ETH这种TPS,CPU的机制是否对用户友好。第二个是用户门槛。上手的难易程度,交易费是否可以降低,EOS的RAM机制是否可以优化。第三个就是优秀的内容。比如说产生更优质更有价值的游戏内容或者DApp内容。

所以只有满足以上三点,公链性能、用户门槛和优秀内容,整个DApp生态才能爆发起来。而且我们相信未来区块链与游戏区块链与溯源体系等等,都会有非常好的结合。

Q6:当前数字资产钱包作为区块链行业配套基础设施仍然处于早期,您怎么看待钱包行业未来的发展方向呢?这里面可能会有什么样的想象空间?Cobo接下来又有怎样的发展规划?

A6:我们认为钱包行业的未来发展非常光明的,假如未来区块链很成熟,人一出生就需要一个加密货币的钱包,就像现在每个人都有都有一个浏览器一样,钱包可以管理你的资料、你的电子宠物、你的病例,那钱包会成为数字资产和一切与你相关的数字信息之和。这就意味着传统的互联网和区块链合约的信任关系和价值关系联合到一起成为了价值互联网,在这里面就可以进行价值传递了。

Cobo的发展规划就是继续深扎这个领域做布局,先把目前的理财做好,把DApp做好,把支付做好。再往后就是深扎POS挖矿领域,同事与机构合作,把各种有意义的信息上链,为大家提供更多的信息服务。

Q7:您认为数字货币钱包对未来的支付市场可能会有怎样的冲击?要想再做出一个加密货币“支付宝”,还有哪些问题需要突破?

A7:我们现在看到一些冲击,比如说跨境汇兑。在传统的世界里面,如果从中国向美国汇款,实际上大概是2到5天吧,可能有7%的成本。如果通过瑞波或者其他的数字货币的支付方式,第一是3秒之内到账,第二成本只有传统成本的20%还不到,意味着在时间、成本还有用户体验上都有极大的提升。

第二,区块链里所有的支付信息都可查,那么未来通过区块链的方式进行支付,跟票据的结合、跟信用的结合,都有很好的提升。举个例子,央行假设他发他自己的稳定币,用户所有的工资都通过稳定币支付,那么税也会在我们接收稳定币的那一刻被扣除,那时审计方也不需要花太大的成本每年去做审计。因此,未来整个支付场景中,区块链的跨境汇兑与结算、审计等有非常好的应用。

未来加密货币“支付宝”的形成还需要两个方面的突破。一方面政策的可能性,不管是中国还是全球都相对比较敏感,虽然西方国家比如美国比较开放,但是还有很多路要走。第二个是公链的完善。现在整个公链,比特币每次交易的确认需要12.5分钟。一旦闪电网络ready,那秒级支付将成为可能,一定会颠覆现在所有的传统支付方式。同时以太坊的雷电网络一旦完善,那会和比特币的闪电网络一样,达到VISA每秒最高可能几十万的交易确认数也是有可能的。

因此,非常期待公链的完善和政策开放,让整个区块链的支付场景成为可能,让钱包这样的入口成为可能。

 
群友提问
 
Q8:未来Cobo会放开其他币种的理财计划吗?

A8:是的,目前支持USDT、EOS、ETC、ETH、LTC、DCR、VET、NEO、DASH、LBTC、XZC。未来会有更多币种,大家可以提出需求 我们第一时间去排期支持。

Q9:最近为何下架了TRX的DApp?

A9:为了给大家更好的体验,整个架构在重塑,敬请期待,新版马上到来。

Q10:钱包是一个流量入口,同样也是生态的一部分,您觉得未来钱包可能单独存在吗?还是会依赖于某一种生态场景?

A10:是的,钱包一定是与生态结合在一起的。这一点我们加入了理财和DApp,未来会跟更多的公司合作,推出更多产品给到大家。

Q11:Cobo推出的POS挖矿,是否是以鱼池矿池为基础?

A11:这个跟鱼池没有关系,POS挖矿我们是支持DCR、VET、NEO、DASH、LBTC、XZC等币种,鱼池的币一般以POW共识机制为主。

Q12:对于明年ETH即将由POW转为POW+POS的模型,Cobo是否有ETH的POS的计划?李总对于ETH的这次硬分叉怎么看?

A12:是的,我们一定会推出ETH POS计划,而且目前整个POS币种我们已经是全球领先了,届时请大家来Cobo体验ETH POS挖矿。至于硬分叉,这个比较复杂,有需要单独再聊。

Q13:Cobo有发币的计划吗?

A13:目前没有发币计划。

Q14:使用中心化钱包和去中心化钱包的用户比例大概是怎么样的?未来用户更倾向于选择哪种钱包?

A14:目前来看,大家更喜欢云端钱包,即中心化钱包,方便、快捷,即使忘记密码,资产也不会丢失。

Q15:数字货币的商店线下支付涉及到各国法律问题吧?您觉得在哪些国家和地区比较容易实现落地?

A15:是的,所以在菲律宾或者其他法币不稳定的国家落地比较实际。另外,日本线下支付已经有一些公司在尝试了。 

Q16:Cobo的闪兑价格为什么比交易所的价格要高一些?是手续费还是数据同步的问题?

A16:会有一些锁仓机制及市场波动情况的影响。我们平台是不收钱的,合作方也在不断优化策略,给大家更好的闪兑价格。

关注【小黑屋专访】

公众号内回复“11”

获取本期音频版采访全程哦 ~

#小黑屋专访感谢下列媒体伙伴支持#

One more thing

小黑屋专访近期正在组建会员群

优质粉丝将免费加入会员群

说明:

会员群是我们为热衷于学习区块链行业知识的活跃粉丝提供的交流社群,为了感谢大家早期的支持,我们将筛选部分粉丝免费加入会员社群。

会员社群福利:

  • 会员将免费参与未来一年的大咖分享活动;

  • 专访嘉宾们将在每次线上活动后加入会员群,与大家进行深度交流、学习;

  • 更多关于行业的信息、报告等;

  • 不定期组织的线上线下的福利活动;

  • 小黑屋一对一服务,为您对接合适的行业资源;

  • 为保证社群质量,后期的会员将付费加入社群。

  • ......无数个不确定的未来......

报名方式:

点开文末左下角阅读原文登记报名哦~ 

或者 直接联系黑小妹微信,获取登记入口~

 

Tags:
免责声明
世链财经作为开放的信息发布平台,所有资讯仅代表作者个人观点,与世链财经无关。如文章、图片、音频或视频出现侵权、违规及其他不当言论,请提供相关材料,发送到:2785592653@qq.com。
风险提示:本站所提供的资讯不代表任何投资暗示。投资有风险,入市须谨慎。
世链粉丝群:提供最新热点新闻,空投糖果、红包等福利,微信:msy2134。