本站专注区块链信息及金融服务,但不代表任何投资建议

「火星公开课」第199期 | BiMoney 创始人任锋:那些年被盗的12亿美金!

火星公开课 ·

2018年10月16日

热度: 58469

钱包安全的3个层次,硬件安全、软件安全、用户行为安全。区块链资产安全,核心在于“私钥的静态存储安全和签名计算的动态环境安全”。


要点速览:

1. 硬件钱包的安全唯一标准,就是在没有任何人为保护情况下,自身独立而完备的防护抗攻击能力。

2. 手机app数字钱包,俗称软钱包,这类产品的定位是“零钱包?#20445;?#36866;合进行小资产的消费管理。

3. 钱包的基础功能在于数字资产的“可信托管”和“增值资管?#20445;?#25552;供?#34987;?#20110;机器信任的安心托管服务和“简单、透明、高效的资管服务”。

10月16日21:00,BiMoney 创始人&首席生态官任锋做客「火星财经创始学习群」,做了主题为“那些年被盗的12亿美金!”的分享,同时与轮值群主郭强进行了深度对话。

任锋表示,链上安全被相对妥?#39057;?#35299;决了,安全的责任却被转?#39057;?#20102;各个节点。然而,节点并没有做好迎接安全责任的准备,多年以来形成的对?#34892;?#21270;机构的安全?#35272;?#20351;得他们没有任何能力抵御安全风险。

BiMoney团队的CTO李响和刘玉峰是银行安全行业的“始祖?#20445;?#35813;团队给国密级银行U盾提供过技术服务,?#31169;?#36825;个体系的全面设计,有几十年的安全攻防?#23548;?#23545;于顶级的?#29992;?#23433;全技术拥有深厚的积淀与理解。

钱包安全的3个层次,硬件安全、软件安全、用户行为安全。区块链资产安全,核心在于“私钥的静态存储安全和签名计算的动态环境安全?#20445;?#30828;件钱包的安全唯一标准,就是在没有任何人为保护情况下,自身独立而完备的防护抗攻击能力。

以下为任锋分享内容,由火星财经(微信:hxcj24h)整理:

先契合一下主题,那些年被盗的12亿美金,12亿是怎么来的。

 

12亿就是是这么来的。所以,从热钱包到冷钱包,再到硬件钱包。安全性确实是区块链领域的重要课题,链安全了,但是其他相关基础设施问题还是很多。今天主题主要跟大家分享一下我们在钱包安全上的一些积累。

钱包安全的3个层次,硬件安全、软件安全、用户行为安全。

1、硬件安全:

区块链资产安全,核心在于“私钥的静态存储安全和签名计算的动态环境安全?#20445;?#30828;件钱包的安全唯一标准,就是在没有任何人为保护情况下,自身独立而完备的防护抗攻击能力。

举个常见的硬件攻击的例子,电子探针攻击,攻击时间是1分钟。


黑客利用?#38745;?#22120;,分析钱包签名过程中的功率波动信息。?#23548;?#26356;高级的场景中,还可以远程分析U口的电流功率信号,得到类似波形。读出指纹,从这里可?#38053;?#21040;,钱包启动后的功率探测情况,并从中分析到钱包什么时候开始启动并载入私钥。


定位私钥签名操作?#38498;螅?#21487;以进一步的精细分析钱包签名过程中的功率波动信息,下面是把这一段功耗波动的过程放大的图形。从中可以精确的分析签名函数签名过程和私钥的运算过程。

一个区块链资产钱包,首先要在硬件的设计上,防止这类攻击。目前安全行业,对这类硬件有完备的检测和认证。送测,是需要先过自己的内测的,内测前提是,是否能够枚举尽量多的攻击。

市面上“L”开头的一个硬件钱  

 市面上“L”开头的一个硬件钱包的架构图

虽然用了安全芯片,但是它是一种双芯片架构,包括安全芯片ST31H320?#22836;?#23433;全的微控制器STM32F042K6。非安全芯片驱动显示器,按钮和USB接口。安全芯片ST31H320(红色箭头)是没有问题的,而这个安全架构最大的弱点和隐患在于这块非安全的微控制器STM32F042K6(橙色方框)。所以,它有严重的安全隐患。

2、软件钱包安全

手机app数字钱包,俗称软钱包,这类产品的定位是“零钱包?#20445;?#36866;合进行小资产的消费管理。

但是,在需要较大资产交换?#37027;?#20917;下,就需要采用多重?#29992;?#21644;签名技术为用户的数字资产安全提供最高安全性的解决方案。

目前,BiMoney是从硬件到软件,从单点到体系,从硬件钱包和软件钱包,结合应用,在大小资产场景、个人多重签名场景,最大限度的在提升易用性。

3、用户行为安全,主要还是从构建良性生态

钱包的基础功能在于数字资产的“可信托管”和“增值资管?#20445;?#25552;供?#34987;?#20110;机器信任的安心托管服务和“简单、透明、高效的资管服务”。

托管服务

基于机器信任的安心托管服务,资金托管模式中客户的资金在支付平台直接流转,不经过项目方的平台中转,将资金的控制权交给客户和受信的资金托管账户。

资管服务

简单、透明、高效的资管服务,项目资金的筹款使用状况、资金流动状况、履约情况、收益情况、历史收益状况等都会进行记录并公开可查。

质押业务

使用了我们钱包或者合作伙伴的SDK钱包后,质押业务直接实现在合约层和账本层,通过“质押账本、质押应用协议”多方用户只需要信任分布式机器账本,就可以进行“自动赎回、多级风控、身份认证”了。


质押的流程图


问答环节:

Q1?#20309;?#21548;说,你们和合作伙伴,区块链项目方提供的免费钱包全方?#29615;?#26696;,什么模式啊,免费如何赚钱?

A1?#26680;?#35859;“全钱包方案?#20445;?#23601;是合作伙伴?#37027;?#21253;模块,我们提供技术服务。从软钱包到硬钱包。钱包中的交易对、理财、交易深度,全部开放给合作伙伴。合作伙伴就可?#38053;?#36895;高效的把应用场景做出来,并且不用担心节点攻击的安全问题。盈利方式,就是和合作伙伴分享交?#36164;?#30410;,其他方式还在探讨摸索。目前最大收益来源还是硬件销售。

Q2?#20309;?#35273;得钱包其实对标互联网里面的支付宝,你们有什么优势?

A2:从目前用户需求上,现在的体量还很小,另?#29615;?#38754;成长空间很大。那?#27425;?#20204;就在想这个扩大的过程中,什么最重要,安全、易用、高效排序一下,易用、高效、安全。所以,我们的优势有:1、互联网易用产品的打造,以及用户增长;2、?#34892;?#21270;解决一些高效场景,并且对?#34892;?#21270;安全和去?#34892;?#21270;安全结合的能力;3、安全节点的深厚技术积累。

Q3?#21512;?#22312;外面钱包那么多,最后会集中吗?

A3:一定会的,钱包不是一个用户级的产品,钱包是2B2C的逻辑。我们的思路是以做大用户群体为目的,建立B端的用户平台,瞄准当下用户的B端场景痛点,跟B一起为用户提供业务和钱包都是最优的产品体验。

嘉宾简介

任锋 / BiMoney 创始人&首席生态官

暴风影音&乐元素联合创始人、?#20449;?#22269;?#20351;?#21830;学院 2014 级 EMBA,雅虎中国项目经理&高级工程师,360路由器总经理,创造过多款独角兽级产品,包括《开心消消乐》、《暴风影音》、《360 P1 路由器》、《演义三国》、上网助手、百度助手等。

对话发起人

郭强 / BUMO联合创始人

传统技术早期投资人,区块链早期?#23548;?#32773;、投资人。曾任世纪互联副总裁,战略创新业务负责人,国?#20351;?#25773;电台CIBN副总裁,发改委战略新兴产业基金亦庄互联合伙人,早期互联网瀛海威、四通利方的参与者,清华大学i-center驻校导师。


文章声明:本文根据「火星财经创始学习群」嘉宾分享内容整理,不代表火星财经立场,转载须在文章标题后注明“文章来源:火星财经(微信:hxcj24h)”。

声明:本文为入驻“火星号”作者作品,不代表火星财经官方立场。转载请注明出处、作者和本文链接
提示?#21644;?#36164;有风险,入?#34892;?#35880;慎。本资讯不作为投资理财建议。
语音技术由科大讯飞提供

推广
相关新闻

涨幅榜

你可能?#34892;?#36259;的内容
下一篇

「火星公开课」第198期 | WeDive袁利:用通证经济破解创新陷阱

寻求报道 寻求融资 APP下载
APP下载 扫描下载APP
新疆18选7开奖结果