公司管理员盗取100个比特币被拘 价值数百万

最近数字货币行业可谓“内忧外患”，上周小BOX才盘点过2017年各大交易所被盗事件，这几天业内又发生了公司内部监守自盗事件。

1月15日，北京海淀某科技公司程序员仲某因盗取公司比特币被刑拘。据了解，嫌疑人仲某利用自己管理员的权限，修改公司电脑内应用程序，盗取100个比特币，价值数百万元。

一直以来，大家都把焦点放在了外部黑客防范上，谁会想到有一天会祸起萧墙。所以小BOX在这里要提醒各位老板：想要保证数字资产安全，光是防火防盗还不够，内部人员防范同样重要！

人都是有贪欲的动物，贪婪是人的特征，尤其当金钱和人性发生冲突时，人类性格中的贪婪就更加暴露无遗。不要心存侥幸也不要试图挑战人性，一旦贪婪之狼被释放，公司数字资产就会面临重大损失。人性中的贪婪我们无法压制，不过我们却可以给数字资产加一道盾牌，让贪婪之狼无机可乘！

说到这里，小BOX就不得不王婆卖瓜式自夸下我们的BOX了，作为一个企业级数字资产保险柜应用，集区块链、密码学、通信安全等领域的公理性技术于一体，为数字资产打造全方位安全防护措施，对各类数字资产的私钥、操作指令进行保护，从原理上解决了了私钥、指令的盗取、篡改等问题！

对黑客们来说，盗取公司数字资产无非就是两个途径，一是“霸王硬上弓”强行侵入，通常外部黑客使用较多，而内部黑客则会利用自己的管理员身份，这次海淀某科技公司的工作人员盗取公司比特币就是很好的例子。不过，任黑客们七十二般变化，都逃不出BOX的五指山！

霸王硬上弓这种套路，在BOX这里是行不通滴！在BOX系统中，私钥储存在签名机的内存中，而且还不会做持久化存储。在极端情况签名机被入侵之后，入侵者很难在短时间内寻找到私钥，BOX系统是有监控体系的，一旦发现不速之客就会立刻启动入侵锁死安全机制，通常黑客还来不及反应就get out了，想要找到私钥那更是没有的事儿！

啥？私钥被模拟？你这样想就是瞧不起我们程序员咯，如果BOX的私钥生成这么容易被模拟，老板早炒他们鱿鱼啦！

我们可是采用了RFC6979协议的变形式：k = SHA256(d + SHA256(m1) + SHA256(m2) + SHA256(m3) + … )，d为服务器随机数，m为私钥APP输入的关键句。私钥的生成由三个私钥APP分别输入关键句的方式生成，关键句是由任意的字母和数字组合而成的字符串。三个或多个私钥APP依次输入关键句后，由三个关键句生成的私钥 即被存放在签名机的内存中，同时由此私钥生成的公钥地址将被注册在公链上，即生成公链热钱包。私钥APP不会存储该关键句，该私钥APP的源代码也将同步开源。私钥APP的所有传输过程都需要双向认证，私钥APP的授权方式为限制分发方式，即服务器分发的证书只有N个（N为私钥APP的个数），并且会将证书与其设备ID绑定，其他的连接请求都会被拒绝。

至于“熟人作案”这种事儿，在BOX这儿也不可能发生，BOX的开发其实就是建立在彼此“不可信任”的基础上。

在BOX系统中，私钥不完全掌握在某一个人的手中，它是离散式的，并且至少有3人掌握私钥APP，具体构成如下：

私链节点数量为2n+1 (n≥1)，私钥APP数量最少为3个，具体数量由各企业内部自主定制，签名机是⼀台独立的物理服务器，应⽤服务器为云端服务器，不会与签名机有任何通信，仅有签名机才能向热钱包发出转账指令，员工APP为转账指令发起方，管理APP执行审批。

假如北京海淀某科技公司用的是BOX，仅凭一个管理员，完全翻不出什么风浪~

说完瞬间觉得自己肩上的担子更重了，接下来BOX团队要加快速度，争取BOX早日与各位见面，解决老板们的安全之忧！

— END —