井英俱乐部阿Q茶馆

学习使我快乐番外篇二十一:安全相关(1)

2018-09-17  本文已影响62人  7451762bf1b8

区块链技术的安全性一直是区块链行业十分重视的问题,前有交易所被盗、钱包被盗,最近有EOS的DAPP被偷换币,安全问题一直是影响项目发展和生态建设的重要问题。井大是做安全出身,向来重视安全问题,在井系区块链企业持续推进的同时,很早就进行了区块链安全领域的布局,成立了白墨子安全团队,专门解决区块链技术和行业的安全问题,排除安全隐患,为行业和技术的稳步发展保驾护航。

白墨子团队现在也是SWTC公链生态节点的一员,拥有“区块链模拟攻击平台”、“智能合约安全审计平台”等软硬件安全设施,可以提供专业、可信的区块链安全服务。目前,白墨子安全实验室工作范围涵盖:区块链安全技术研究、区块链安全测评、区块链安全开发支持、智能合约安全审计、钱包和交易所安全加固、区块链安全咨询、安全事件响应等,可以为用户提供全方位的安全服务。

今天本小白就开始学习白墨子实验室撰写的区块链安全方面的系列文章,了解一些关于区块链技术安全服务的知识,第一篇是《钱包安全及数字资产保护》。


一、区块链钱包的安全使用

使用区块链钱包,安全方面要做的,第一步是保存好私钥,常见的不安全的私钥备份方法如下:

1、有的用户把私钥存在自己邮箱里,“邮箱并不是一个安全的存储场所,邮箱被攻破是很常见的事。因此,我们不但不建议用户把私钥存储在邮箱里,而且其他类似的敏感信息也不要存在邮箱中”

2、有的用户把私钥通过QQ等发到手机上,或者用手机对屏幕拍照来备份,“手机作为常用的移动终端,每天随身携带,丢失的概率不小,而且也容易被同事、朋友,甚至陌生人偷窥。同时,很多手机有云同步功能,会自动将手机中的很多信息上传到云端,这样就大大增加了信息泄漏的可能性。鉴于私钥的敏感性,不建议将私钥存储在手机上。”

3、有的用户把私钥存储在自己的云笔记上,“云笔记是一个比邮箱更不安全的存储方式,用以记录一些日常琐事也就罢了,如果用来记录私钥等敏感信息,那就非常危险了。白墨子安全实验室曾经对某款市场占有率名列前茅的云笔记app进行安全测试,发现不仅用户名,连密码都是明文传输的”

以上是目前用户常犯的关于区块链钱包密匙保存的错误方式,那么白墨子针对这一问题的建议是什么呢?

最安全的私钥备份方法,还是以纸笔方式记录。由于原始的私钥是给计算机用的,不是给人看的,因此可读性很差。在此,我们推荐使用“助记词”的方式备份私钥,可读性良好,也不容易出现书写错误。在纸上记录完成后,妥善保管在安全的地方,有条件的可以租用银行保险箱,没条件的可以在家里找个安全的地方妥善保存。

二、黑客攻击与钱包安全

黑客对用户的攻击是全方位的。如果确认要发起攻击,他会动用一切可以动用的资源,从一切可以发起攻击的角度进行切入。包括用户的邮箱、微博、微信、论坛留言、手机存储、手机号码、身份证号等等。

黑客对用户的攻击会用到各种可能的手段,在互联网上的各种操作都会给黑客留下攻击的着手点。

对于区块链钱包来说,私钥是至高无上的,私钥就是一切。账户是匿名的,系统不提供除了私钥之外的其他认证手段,谁掌握私钥,谁就是钱包的主人。因此,对于区块链钱包来说,如果用户丢失了私钥,那么就失去了一切。

最安全的方式是进行物理隔离,对于钱包私钥而言,物理隔离的有效方式即为纸笔记录。对于用户经常使用的区块链钱包而言,在选择钱包时以下几点是需要格外关注的:

1、口碑。大家对该钱包的评价如何,好中差评都要看,根据别人的评价对该钱包有一个直观的认识。

2、团队。钱包团队是否有安全背景,是否有专门的安全技术人员,是否经过权威机构的安全测评?

3、历史。该钱包历史上是否发生过安全事件?造成的损失如何?团队是如何应对的?善后情况如何?

以上几个方面,可以快速的判断对钱包的安全性进行初步判断和了解,从而寻找到最佳的区块链钱包。白墨子实验室也会对钱包进行各种测评,并参与到一些钱包的设计中,毕竟“好的钱包是设计出来的,不是修改出来的

此外,白墨子实验室还计划推出自己的冷钱包,以适应用户长期安全保存资产的需求,同时也会推出“找Bug即挖矿”的激励机制,通过对Bug发现者的奖励,实现新型的信息安全工作组织方式,我认为这是对当前日益紧缺的信息安全资源更加有效的利用。


以上即是白墨子实验室的系列文章之一,接下来本小白会对白墨子实验室的后续文章进行学习。

上一篇下一篇

猜你喜欢

热点阅读