TokenFans Live 对话职业黑客，你的数字资产安全吗？

上周五, 我有幸邀请到了 imToken 首席安全官 Blue 以及慢雾科技安全负责人海贼王做客 TokenFans 的线上直播栏目 —— TokenFans Live, 和二位计算机安全领域专业人士, 全方位探讨区块链安全问题。

|永恒的话题: 去中心化钱包安全

作为 imToken 的社区运营负责人, 我会经常遇到用户对于钱包安全的一些提问, 并接触最真实的案例, 像很多用户会将私钥存储在 QQ、微信、邮箱或者网盘等网络媒介下, 从而导致资产遭受了不可挽回的损失, 针对这一问题, 海贼王和 Blue 都给到了很专业的分析。

在设备联网的情况下, 如果你的手机已经越狱或者 Root, 亦或者安装了恶意软件, 就在不经意间为黑客创造了实施攻击的 “温床”。海贼王在这里举了一个大多数都能理解的例子, 比如我们在使用微信的时候, 收到朋友发的一段淘宝口令, 当我们打开淘宝的时候, 淘宝会自动识别当前复制粘贴的口令, 并实施页面跳转。那么通过这个例子, 我们就可以发现, 一些手机应用软件是可以无时无刻 “监听” 手机键盘操作, 如果你有复制过明文私钥, 助记词, 密码等敏感信息, 一些恶意软件是能够捕捉到的, 从而实时远程攻击盗取你的数字资产。

另外, 很多用户会有一些困惑, 比如在很早之前有过使用邮箱传输私钥或在联网的电脑桌面存储私钥等不规范的备份私钥的操作, 但在后续认知提高之后, 就删除了这些文件, 又过了很久之后才出现钱包被盗的情况。那么这里的两个疑问就是:

1. 这里所谓的 “删除”, 真的是从这个星球上彻底消灭了这些文件吗?

2. 如果是很早就泄露了私钥, 那么黑客为什么要过这么久才开始实施盗币行动呢?

Blue 和海贼王首先认为这样的删除在一定程度上不可能完全抹除存储的痕迹, 其次可能在你删除文件之前已经被黑客成功拿到私钥。那么黑客为什么要过很久之后才盗取你的资产呢? 这里存在两种情况:

1. 黑客放长线钓大鱼, 如果你一直是转入操作的话, 他不会立刻盗取你的资产, 而当你有一笔转出操作时, 他会立即 “收网”。

2. 黑客实现 “盗币自动化”, 在获取你私钥的时候就伪造了一个签名, 将 nonce 设为很高的一个值, 当你操作数量达到一定程度时, 则 “触发” 这笔交易。

这里海贼王给到的专业意见是,安装钱包的手机设备一定不要越狱或 Root, 并且不要安装多余的软件。备份私钥的时候, 使用纸抄写助记词, 当然你也可以新买一部全新安全的手机设备, 这部手机设备不连接任何网络(完全隔绝网络), 用这部手机存储私钥。

最重要的是记得一句话:

“

安全是相对的, 没有绝对的安全, 小额资产热存储, 大额资产冷存储, 并尽可能分散存储

”

针对于最近热度比较高的 EOS 钱包, 我也和 Blue、海贼王进行了讨论, 在用户妥善保存好 EOS 私钥的前提下, 希望各位用户在创建 EOS 钱包的时候, 注意两个关键点:

1. 选择一款安全靠谱的 EOS 钱包, 切勿贪小便宜吃大亏

2. 选择可信赖的朋友或第三方帮助创建 EOS 钱包, 以免在创建钱包时修改公钥权限或插入其他权限公钥

|鲜为人知: 中心化交易所代币存储策略

在中心化交易所的代币存储策略这一问题上, 海贼王谈到, 当前的绝大多数交易所还是使用冷热钱包搭配的方式来存储, 私钥则是通过安全科学的管理方式由交易所专门的钱包管理负责人来管理。

但是这里建议大家选择知名度高的交易所, 因为一些小的交易所风控做得不是很好, 更有一些小交易所会和黑客勾结, 亦或者出现监守自盗的情况, 毕竟中心化的存储方案完全取决于用户的 “信托” 精神。

imToken 2.0 国际版里有基于 0x 协议的去中心化原子币币兑换系统, 也有基于 Kyber Network 的闪兑功能, 为用户提供了安全、方便、快捷的去中心化交易服务。

|零和游戏: Fomo 3D

在节目开始之前, 海贼王有问到我是不是可以聊一聊 Fomo 3D 的相关内容, 我当时会心一笑, 其实早已准备了关于 Fomo 3D 的问题。作为资金盘游戏的 “典范” , Fomo 3D 无论从游戏模式设计, 还是智能合约的写法, 以及项目中精彩的彩蛋设计, 都充满了 “异样的魅力” , 后续的一些所谓新型资金盘游戏无论是 LastWinner 还是 FomoGame, 都是 “东施效颦” , 无法学习到精髓部分。

Fomo 3D 的代码大部分都已开源, 目前只有两部分尚未开源, 分别是 F3DexternalSettings 和 JIincForForwarder, 开源的代码目前并没有发现任何安全问题, 包括防止溢出等细节都做得很好, 并且我认为开源部分的代码极具极客思想, 精彩的彩蛋层出不穷, 据海贼王猜测, Fomo3D 的网页里包含一把私钥。

有趣的是 Fomo 3D 的合约里有一个 setOtherFoMO() 方法, 该方法可以设定另外一个游戏玩法的合约。很多 80 后、90 后应该都玩儿过小霸王游戏机, 通过切换不同的游戏卡, 我们可以化身比尔·雷泽或兰斯·比恩战斗, 也可以跟随玛丽一起探险, 而 setOtherFoMO() 这个方法的作用, 就是使得 Fomo 3D 的可拓展性变得很强, 这也可能是为什么说 “ Fomo 3D 是永远不会停止的资金盘游戏” 的原因。

但是要注意, Fomo 3D 的本质还是零和游戏, 其游戏结局必然符合二八定律。在和海贼王讨论 Fomo 3D 技术上精彩设计的时候, 他也一再反复强调, 千万不要玩儿任何资金盘游戏, 也切勿存在侥幸心理。

|严以律己: imToken 团队内部安全管理规范

在交流过程中, 海贼王突然对 imToken 团队的内部安全管理规范很感兴趣, Blue 也对此进行了回答。

Blue 将团队内部安全检查项以量化的方式进行考核, 比如我们设定了一些检查项: imToken 团队人员所使用密码必须在 11 位以上, 并由专业密码管理工具生成管理, 定期要更改相关密码; 团队人员外出携带的电子设备不可以随便连接 wifi, 设置人离开电脑自动息屏等。Blue 会对这些检查项进行量化考核, 如果团队成员有疏忽, 则会扣分并扣除相关绩效, 根据造成的影响接受相应惩罚。

同时, 我们也会经常在内部搞一些 “安全事件模拟演练” , 比如 Blue 会给同事发送 “钓鱼” 邮件, 以考验我们对突发安全事件的甄辨能力和应变能力。

我们坚信 “一款以安全为核心的产品, 其背后一定是将安全积以为常的团队” 。

|漏洞悬赏, 开源在即

节目尾声, 大家谈到最近 imToken 联合慢雾, 推出了《 imToken 安全漏洞与威胁情报赏金计划》, 希望区块链社区中更多优秀的开发者、爱好者能够参与进来, 对于能够发现 imToken 漏洞的人, imToken 和慢雾分别有丰厚的奖励作为回报, 关于活动详情, 可以查看

公告 | imToken 安全漏洞与威胁情报赏金计划

。

最后, Blue 也详细介绍了 imToken 即将进行的开源计划。 imToken 是一款当前有 600 万用户的数字资产管理工具, 开源意味着团队有充足的信心和技术实力面对挑战。

imToken 的开源会包含四个部分, 分别是 Tokenlon SDK, DApp SDK, Stake Vote, 以及最重要的 Native 原生部分。首先我们希望开源的 imToken 代码可以成为业内标准, 供更多的钱包服务商参考, 同时也希望越来越多优秀的开发者可以来监督我们的代码, 创建更加安全放心的钱包服务平台。最后我们也希望开源可以让更多的人认可 imToken 的品牌。

|最后

如果你对 TokenFans Live 有任何建议或者是意见, 亦或者你想我们邀请哪位嘉宾, 谈论哪些话题, 可以在我们的微信公众号中进行留言, 我们会尽可能为大家带来区块链相关的精彩分享!