LOADING...
LOADING...
LOADING...
当前位置: 玩币族首页 > 币圈百科 > 【原创1211】安全楷模支付宝给币圈的启示是什么?

【原创1211】安全楷模支付宝给币圈的启示是什么?

2020-10-04 TVB 来源:区块链网络

?从kucoin被盗说起?

小蜜蜂其实很喜欢kucoin这个交易所,因为用户体验相对好一些。一个和安全无关的例子。这是英文界面:


这是中文界面,kucoin在中文界面下,会自动帮我们把手机号的国际区号切换成86。这就是用户体验。



再举一个安全相关的例子。小蜜蜂平时使用gate、bibox和币看聚合交易所多一些。


gate呢是隔一会儿时间,交易就需要重新输入一下交易密码,bibox原来是每次都需要输入,币看也是每次都需要验证,不过好在可以使用指纹验证。


这样是安全了,但是经常是看见价格在涨,急忙去交易,输完挺长一个密码,价格就跌了。


kucoin相对要好一些,在一进入交易界面时,就被要求输入交易密码。在交易操作时,则不再需要输入支付密码。这就比其他交易所要方便许多。


但是,这样的设计,也就降低了安全性。因为第一次密码交易密码以后,如果我们使用的是公共设备,或者设备被入侵,以后就可能会有不安全性。

Gate的海外版曾经叫比特儿,这是曾经被黑客攻击过的交易所。Gate之所以设计成如此,可以说一朝被攻击,十年怕黑客。但是,我们得承认,Gate的这个安全考虑是有一定道理的。

币安曾在2018年被攻击,黑客并没有盗走币安中币。黑客是盗用了若干大户的账号,然后在币安中把用户的币用来购买某山寨币,然后该山寨币就大涨了。其他交易所的该山寨币也疯狂大涨。然后黑客在其他交易所中卖掉了该山寨币,从而获利。

所以,黑客的攻击,不仅仅是是盗取交易所中的币然后提走。在交易过程中,同样可以对币市发动攻击。

所以gate总是让用户输交易所密码,也不是没有道理。

所以,有时候我们会发现,用户体验和安全性在某种程度上,是存在一定矛盾的。

?回顾币安被盗?

当然,这和kucoin此次攻击没有关系。kucoin此次攻击是交易所的热钱包直接被黑客攻击了,应该是和用户端的使用或操作没有关系。

但是,2019年币安被攻击事件,这就和用户操作有关系了。黑客获得某些用户的谷歌验证码。然后才可以提走用户的币。黑客攻击中,获得用户的谷歌验证码、手机验证码等,这和用户平时使用电脑、手机的操作有关,用户的操作不当,甚至是用户电脑或手机系统漏洞都可以成为黑客攻击的入口。

有些用户的电脑,安装了一些盗版操作系统,什么某某家园之类,本身可能就有后门。

?回顾支付宝?

毫无疑问,支付宝现在是全球安全级别最高的应用之一。但是支付宝也不是一直都很安全的。

大约在2005左右,小蜜蜂还有朋友的支付宝被盗。

2008年,小蜜蜂在淘宝上购物时,由于眼疾手快,脑子没跟上,误中钓鱼网站被骗200元。

但是随着时间推移,这些安全问题已经几乎不存在了。

近10年间,我们几乎没有听到过有人的支付宝被盗。阿里钓鱼网站几乎也没有被发现了。

一方面,很少有过像kucoin这样,交易所热钱包被盗的。当然冷钱包是几乎不可能被盗的,毕竟冷钱包中的资产与网络是分离的。但是交易所热钱包被盗,这和普通用户的热钱包被盗几乎是同样的情况,交易所中心化掌握的热钱包,安全管理没有做到位。

当然,这是区块链和支付宝存在区别之处。支付宝的代码不开源,所以黑客想攻击也比较难。但是很多区块链应用的代码是开源的,所以黑客比较容易找到漏洞。

想要让资产更安全,钱包类应用就应该像支付宝一样,不开源。并且,要由第三方审计机构对钱包代码进行审核。而且这个第三方审计机构必须是靠谱的,否则后患无穷。

另一方面,支付宝有一点比所有的区块链应用都做得更好。

比如,我们在登陆淘宝或支付宝时,这是电脑登陆界面。手机上其实也会有这一个过程,就是检测环境的过程,如果登陆的电脑或手机环境中,有一些危险账号安全和支付安全的因素,就会被检测出来。


并且,如果账号在非常用地、新设备上登陆都会被检测出来。

这就是支付宝给币圈应用的一个启示。支付宝不仅仅是关注支付宝服务器端的安全,也不仅仅是关注支付宝应用程序代码中的安全因素,支付宝还在保护用户端的安全。


?币圈应用安全?

?服务端安全

kucoin的热钱包此次被盗,就是服务端的安全问题。

除此以外,还有一个更奇葩的例子,那就是Fcoin。Fcoin在宣布销毁FT以后,交易平台就打不开了,服务器端的程序被破坏了,具体是谁破坏的咱们不讨论。但是这个确实是服务器端安全问题。

早期的支付宝,虽然没有现在的安全系数,但是支付宝的账号没有像kucoin这样被盗,支付宝淘宝的平台始终都能正常访问。

?应用程序安全

今年Defi应用被攻击,就是因为应用程序本身存在漏洞。

对于区块链应用,应用程序安全是非常重要的。因为区块链应用大部分是开源的,这一点很尴尬。不开源,就显得不够公开透明、不够去中心化。然而一旦公开了,漏洞和弱点在黑客面前也就暴露无疑了。

要知道,漏洞这个东西是相对的。在现在的环境下,可能没有漏洞。但是随着网络环境的变化,可能就会有新的漏洞和攻击方式出现。

所以,支付宝会升级、支付宝的安全控件会升级。

?客户端安全

这是支付宝给币圈应用最大的启示。所有的币圈应用都懂得保护服务端的安全,注重应用程序的安全。但是,很少有币圈应用懂得去保护客户端的安全。要知道,用户都不是专业人士,用户的操作会给黑客带来更多的机会。

有趣的是,币圈应用更多的不是关注用户端的安全,而是关注用户端的撸羊毛……


比如,曾经的qunqun,这个应用可以检测到你手机里安装了多开,然后不让你使用qunqun。

小蜜蜂承认,qunqun的技术不差,但是防羊毛党用技术手段还不如用KYC。


?写在最后?

对于币市应用应用而言,尤其是交易所、钱包,流动性挖矿、用户体验、产品创新、空投糖果羊毛……这些都不是最重要的。最重要的应该是安全。

安全是用户体验的第一要素。

而在安全管理中,除了服务端的安全和应用程序代码的安全以外,用户端的安全也是必须重视的一个维度。

对于移动端,本身就安装了应用在设备中,该应用就可以去检测环境的安全。

对于PC端。大部分平台是通过浏览器登陆平台的,所以平台只能获得用户的IP,不能获得用户的机器码,更不能了解用户电脑环境。但是,支付宝不同。我们第一次在电脑上使用支付宝或淘宝或阿里巴巴旗下应用时,会被提示在电脑上安装支付宝控件,这时候支付宝就开始守护我们的电脑安全了。小蜜蜂以为,钱包、交易所,必须要借鉴支付宝的这个安全措施。

当然,不排除有一种可能,由某机构针对币市应用开发一个安全工具。专门针对币市的一些攻击作出防范。

比如,建立钓鱼网站数据库,发现某些平台的钓鱼网站,然后实时的增加到数据库中,一旦用户进入钓鱼平台,安全系统弹出提示,或者干脆给拦截了。支付宝就是这样做的,小蜜蜂曾经收到过来自阿里旺旺的钓鱼网站链接,阿里旺旺直接提示这是一个钓鱼网站,小蜜蜂好奇就点击了这个链接,结果根本打不开哈哈哈。

—-

编译者/作者:TVB

玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。

LOADING...
LOADING...