1月26日,日本加密货币交易所Coincheck证实,东京当地时间下午该交易所服务器遭遇黑客攻击,共计5亿新经币被黑客盗去。根据市场价计算,这5亿新经币目前的价值大约为4.2亿美元。类似的事件已经发生了很多次了,而传统的银行证券很少有这么严重事件如此频繁的发生。究其原因,一方面相关行业发展还没有那么成熟,另一方面加密货币匿名性给盗窃者带来了天然的便利性。一旦被盗追回几乎没有可能了,所以千万要保护好你的资产,小编总结了以下几点:
1. 长期持有的资产不宜放在交易所里
目前的交易所都是中心化的运营形式。交易所的安全性和团队管理与技术能力息息相关。说白了,你的资产都是存储在交易所的账户里,而你在交易所里看到的资产,只不过是交易所数据库的一条记录,你没有相关账户的私钥。如果一个管理混乱的交易所,很容易发生监守自盗的行为。而一个不够优秀的技术团队也可能轻易的制造漏洞,给黑客以可乘之机。MT.Gox 在 2010 年就开始了比特币交易,在比特币的发展史上作用巨大,然而由于管理混乱,黑客攻击下,被偷走了 4.6 亿美元的资产,MT.Gox 就此终结。给用户造成巨大损失。
2.钱包私钥的安全存储
把需要长期持有的资产放到专业的钱包里是个更好的选择。而钱包如何使用私钥非常重要,私钥就代表了你的银行卡和密码。
一、首先要确定钱包不会把你的私钥上传到钱包服务器里。即使存储在本机,私钥存储的位置应该是一个不可公共读取的位置,不可被电脑或手机上的其他程序读取。拿myetherwallet来说,如果你选择上传私钥,会有明显的安全警告:
image.png
二、要确保程序不会上传以及储存你的密码。那以太坊来说,私钥一般经过aes-128-crt算法加密后以keystore的形式存储在本地。使用时要通过密码解密后使用,这个密码千万不能让别人知道,不应当被相关的程序记录。
三、私钥的备份一般通过keystore和助记词两种方式来备份,助记词一般是12个、15个、18个,通过助记词可以还原私钥,注意这个私钥是没有加过密的,不需要密码即可控制你账户。符合相关标准的钱包都是通用的。如果keystore 丢失,还有密码保护。而且暴力破解这个密码,拿当今世界最快的计算机也需要数十亿年。如果丢失了助记词,就相当于丢失了银行卡和密码,助记词一般要抄到纸上锁进保险箱才安全,直接储存图片或文字到电脑上是很不安全的。如果没有保险箱,可以使用一些加密软件进行处理后存储。
3.使用多重签名钱包
即使你的keystore 和 助记词保护的都很好,但仍然不是安全的。有一种简单而有效的方法,黑客只需要从生成助记词的词库中按照规则输入12/15/18个单词,就可以得到一个私钥,如果这个私钥恰好是你私钥呢。以BIP39标准来说,词库中有2048个单词 可以通过此链接查看:https://github.com/bitcoin/bips/blob/master/bip-0039/english.txt 需要12个助记词,虽然遍历所有词库计算量巨大,不太可能。但是碰巧得到一部分人的私钥确是有可能的。更好的方法是使用多重签名的钱包,转账时需要多个账户进行确认才可以执行。黑客可能轻易的获取一个随机账户的私钥。但是如果要获得一个指定账户的私钥几乎不可能。如果有一个账户不幸被黑客试中了,然而他没有什么办法获取多重签名钱包中另外一个账户的私钥,所以你的资产是安全。尽管原理是安全的,但是实现这样的机制的代码可能存在漏洞。多重签名钱包Parity 曾出现安全漏洞,15万个以太坊ETH被盗,共价值3000万美元。
4.开源软件更安全
钱包代码是否开源也非常重要。代码开源,社区中的人就可以通过审查代码来确定,这个程序是安全的,没有后门程序被他人利用,强大的社区支持会及时发现代码中的漏洞并进行修复,例如以太坊钱包Ethereum Wallet. 而闭源的钱包,例如imtoken,虽然宣称不上传私钥,不保存密码。 但是实际上做的是什么样子的,只有imtoken开发团队自己了解,对于用户来说充满不确定性。而对于imtoken的安全性可能也只是由公司三四个工程师来把控吧。熟悉操作系统的同学们都了解linux 要比 windows 安全的最大原因,就是因为linux 是开源的。对于闭源软件,由于没有开发社区的支持,保障代码不泄露非常重要。Android程序发布前一定要进行混淆和加固,防止程序被反编译,导致程序代码泄露。我们对imtoken的android程序进行了反编译,很遗憾,看来Imtoken的安全意识还需要加强,虽然代码经过混淆,但是没有进行加固。之后我们会对imtoken的源码进行深度的分析,查看是否有安全风险。
5.最后的堡垒
尽管开源钱包,多重签名钱包的安全性更高,但仍会出现bug给用户造成损失。没有绝对的安全,只有相对的安全。而且手机上可以使用的钱包并没有那么多选择。那么一旦交易所或钱包发生漏洞导致我们资产损失,保障我们资产安全的最终方案时什么,是保险!
对于经过实名认证,资产被盗后可追回的支付宝,尚且推出账户安全险来最终保障用户资产安全。而对于完全匿名,被盗资产无法追回的区块链资产,更需要这么一款保险。CIChain(云保链)即将推出一款来保障你加密资产安全的保险,一旦用户资产被盗,CIChain将赔偿用户的损失。不管是开源或是闭源钱包,都可能存在UI操作,存储,传输,权限等方面的漏洞风险,这需要专业的人员进行分析。CIChain将通过技术手段,不断的对市面上的交易所和钱包进行安全风险的迭代分析,建立安全风险模型,评估安全风险等级。一方面用户使用相对安全的产品,所需要支付的保费会更低一些. 另一方面CIChain将成为整个区块链社区安全建设重要参与者,会采取一系列手段,和相应厂商及时沟通,预防用户的钱包发生集体性安全问题。
CIChain(云保链)是首个保障区块链世界的风险保障平台,为区块链世界提供真正匹配的风险保障。从ICO保障、钱包安全保障等创新业务,到财产保障、人寿保障等传统保险数字化后的业务场景均可以在CIChain平台上获得风险保障。
云保链亮点:
首创区块链世界的保险生态,区块链世界不能没有保险
去中心化,去中介化,保险智能合约全自动理赔
人人都可以参与风险对冲,人人都可以是保险公司角色
独家合作支持伙伴大特保服务1800万保险用户,已合作全球Top5再保公司,全球100多家保险公司
1. 长期持有的资产不宜放在交易所里
目前的交易所都是中心化的运营形式。交易所的安全性和团队管理与技术能力息息相关。说白了,你的资产都是存储在交易所的账户里,而你在交易所里看到的资产,只不过是交易所数据库的一条记录,你没有相关账户的私钥。如果一个管理混乱的交易所,很容易发生监守自盗的行为。而一个不够优秀的技术团队也可能轻易的制造漏洞,给黑客以可乘之机。MT.Gox 在 2010 年就开始了比特币交易,在比特币的发展史上作用巨大,然而由于管理混乱,黑客攻击下,被偷走了 4.6 亿美元的资产,MT.Gox 就此终结。给用户造成巨大损失。
2.钱包私钥的安全存储
把需要长期持有的资产放到专业的钱包里是个更好的选择。而钱包如何使用私钥非常重要,私钥就代表了你的银行卡和密码。
一、首先要确定钱包不会把你的私钥上传到钱包服务器里。即使存储在本机,私钥存储的位置应该是一个不可公共读取的位置,不可被电脑或手机上的其他程序读取。拿myetherwallet来说,如果你选择上传私钥,会有明显的安全警告:
image.png
二、要确保程序不会上传以及储存你的密码。那以太坊来说,私钥一般经过aes-128-crt算法加密后以keystore的形式存储在本地。使用时要通过密码解密后使用,这个密码千万不能让别人知道,不应当被相关的程序记录。
三、私钥的备份一般通过keystore和助记词两种方式来备份,助记词一般是12个、15个、18个,通过助记词可以还原私钥,注意这个私钥是没有加过密的,不需要密码即可控制你账户。符合相关标准的钱包都是通用的。如果keystore 丢失,还有密码保护。而且暴力破解这个密码,拿当今世界最快的计算机也需要数十亿年。如果丢失了助记词,就相当于丢失了银行卡和密码,助记词一般要抄到纸上锁进保险箱才安全,直接储存图片或文字到电脑上是很不安全的。如果没有保险箱,可以使用一些加密软件进行处理后存储。
3.使用多重签名钱包
即使你的keystore 和 助记词保护的都很好,但仍然不是安全的。有一种简单而有效的方法,黑客只需要从生成助记词的词库中按照规则输入12/15/18个单词,就可以得到一个私钥,如果这个私钥恰好是你私钥呢。以BIP39标准来说,词库中有2048个单词 可以通过此链接查看:https://github.com/bitcoin/bips/blob/master/bip-0039/english.txt 需要12个助记词,虽然遍历所有词库计算量巨大,不太可能。但是碰巧得到一部分人的私钥确是有可能的。更好的方法是使用多重签名的钱包,转账时需要多个账户进行确认才可以执行。黑客可能轻易的获取一个随机账户的私钥。但是如果要获得一个指定账户的私钥几乎不可能。如果有一个账户不幸被黑客试中了,然而他没有什么办法获取多重签名钱包中另外一个账户的私钥,所以你的资产是安全。尽管原理是安全的,但是实现这样的机制的代码可能存在漏洞。多重签名钱包Parity 曾出现安全漏洞,15万个以太坊ETH被盗,共价值3000万美元。
4.开源软件更安全
钱包代码是否开源也非常重要。代码开源,社区中的人就可以通过审查代码来确定,这个程序是安全的,没有后门程序被他人利用,强大的社区支持会及时发现代码中的漏洞并进行修复,例如以太坊钱包Ethereum Wallet. 而闭源的钱包,例如imtoken,虽然宣称不上传私钥,不保存密码。 但是实际上做的是什么样子的,只有imtoken开发团队自己了解,对于用户来说充满不确定性。而对于imtoken的安全性可能也只是由公司三四个工程师来把控吧。熟悉操作系统的同学们都了解linux 要比 windows 安全的最大原因,就是因为linux 是开源的。对于闭源软件,由于没有开发社区的支持,保障代码不泄露非常重要。Android程序发布前一定要进行混淆和加固,防止程序被反编译,导致程序代码泄露。我们对imtoken的android程序进行了反编译,很遗憾,看来Imtoken的安全意识还需要加强,虽然代码经过混淆,但是没有进行加固。之后我们会对imtoken的源码进行深度的分析,查看是否有安全风险。
5.最后的堡垒
尽管开源钱包,多重签名钱包的安全性更高,但仍会出现bug给用户造成损失。没有绝对的安全,只有相对的安全。而且手机上可以使用的钱包并没有那么多选择。那么一旦交易所或钱包发生漏洞导致我们资产损失,保障我们资产安全的最终方案时什么,是保险!
对于经过实名认证,资产被盗后可追回的支付宝,尚且推出账户安全险来最终保障用户资产安全。而对于完全匿名,被盗资产无法追回的区块链资产,更需要这么一款保险。CIChain(云保链)即将推出一款来保障你加密资产安全的保险,一旦用户资产被盗,CIChain将赔偿用户的损失。不管是开源或是闭源钱包,都可能存在UI操作,存储,传输,权限等方面的漏洞风险,这需要专业的人员进行分析。CIChain将通过技术手段,不断的对市面上的交易所和钱包进行安全风险的迭代分析,建立安全风险模型,评估安全风险等级。一方面用户使用相对安全的产品,所需要支付的保费会更低一些. 另一方面CIChain将成为整个区块链社区安全建设重要参与者,会采取一系列手段,和相应厂商及时沟通,预防用户的钱包发生集体性安全问题。
CIChain(云保链)是首个保障区块链世界的风险保障平台,为区块链世界提供真正匹配的风险保障。从ICO保障、钱包安全保障等创新业务,到财产保障、人寿保障等传统保险数字化后的业务场景均可以在CIChain平台上获得风险保障。
云保链亮点:
首创区块链世界的保险生态,区块链世界不能没有保险
去中心化,去中介化,保险智能合约全自动理赔
人人都可以参与风险对冲,人人都可以是保险公司角色
独家合作支持伙伴大特保服务1800万保险用户,已合作全球Top5再保公司,全球100多家保险公司