公司管理员盗取100个比特币被拘 价值数百万

最近数字货币行业可谓“内忧外患”,上周小BOX才盘点过2017年各大交易所被盗事件,这几天业内又发生了公司内部监守自盗事件。

1月15日,北京海淀某科技公司程序员仲某因盗取公司比特币被刑拘。据了解,嫌疑人仲某利用自己管理员的权限,修改公司电脑内应用程序,盗取100个比特币,价值数百万元。

一直以来,大家都把焦点放在了外部黑客防范上,谁会想到有一天会祸起萧墙。所以小BOX在这里要提醒各位老板:想要保证数字资产安全,光是防火防盗还不够,内部人员防范同样重要!

人都是有贪欲的动物,贪婪是人的特征,尤其当金钱和人性发生冲突时,人类性格中的贪婪就更加暴露无遗。不要心存侥幸也不要试图挑战人性,一旦贪婪之狼被释放,公司数字资产就会面临重大损失。人性中的贪婪我们无法压制,不过我们却可以给数字资产加一道盾牌,让贪婪之狼无机可乘!

说到这里,小BOX就不得不王婆卖瓜式自夸下我们的BOX了,作为一个企业级数字资产保险柜应用,集区块链、密码学、通信安全等领域的公理性技术于一体,为数字资产打造全方位安全防护措施,对各类数字资产的私钥、操作指令进行保护,从原理上解决了了私钥、指令的盗取、篡改等问题!

对黑客们来说,盗取公司数字资产无非就是两个途径,一是“霸王硬上弓”强行侵入,通常外部黑客使用较多,而内部黑客则会利用自己的管理员身份,这次海淀某科技公司的工作人员盗取公司比特币就是很好的例子。不过,任黑客们七十二般变化,都逃不出BOX的五指山!

霸王硬上弓这种套路,在BOX这里是行不通滴!在BOX系统中,私钥储存在签名机的内存中,而且还不会做持久化存储。在极端情况签名机被入侵之后,入侵者很难在短时间内寻找到私钥,BOX系统是有监控体系的,一旦发现不速之客就会立刻启动入侵锁死安全机制,通常黑客还来不及反应就get out了,想要找到私钥那更是没有的事儿!

啥?私钥被模拟?你这样想就是瞧不起我们程序员咯,如果BOX的私钥生成这么容易被模拟,老板早炒他们鱿鱼啦!

我们可是采用了RFC6979协议的变形式:k = SHA256(d + SHA256(m1) + SHA256(m2) + SHA256(m3) + … ),d为服务器随机数,m为私钥APP输入的关键句。私钥的生成由三个私钥APP分别输入关键句的方式生成,关键句是由任意的字母和数字组合而成的字符串。三个或多个私钥APP依次输入关键句后,由三个关键句生成的私钥 即被存放在签名机的内存中,同时由此私钥生成的公钥地址将被注册在公链上,即生成公链热钱包。私钥APP不会存储该关键句,该私钥APP的源代码也将同步开源。私钥APP的所有传输过程都需要双向认证,私钥APP的授权方式为限制分发方式,即服务器分发的证书只有N个(N为私钥APP的个数),并且会将证书与其设备ID绑定,其他的连接请求都会被拒绝。

至于“熟人作案”这种事儿,在BOX这儿也不可能发生,BOX的开发其实就是建立在彼此“不可信任”的基础上。

在BOX系统中,私钥不完全掌握在某一个人的手中,它是离散式的,并且至少有3人掌握私钥APP,具体构成如下:

私链节点数量为2n+1 (n≥1),私钥APP数量最少为3个,具体数量由各企业内部自主定制,签名机是⼀台独立的物理服务器,应⽤服务器为云端服务器,不会与签名机有任何通信,仅有签名机才能向热钱包发出转账指令,员工APP为转账指令发起方,管理APP执行审批。

假如北京海淀某科技公司用的是BOX,仅凭一个管理员,完全翻不出什么风浪~

说完瞬间觉得自己肩上的担子更重了,接下来BOX团队要加快速度,争取BOX早日与各位见面,解决老板们的安全之忧!

— END —

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180116G0PM2L00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券