比特币存储安全无小事 ——专访比特币存钱罐CEO王聪
时间:2014-09-25 来源:比特帮 作者:澜素
近一个月来比特儿平台丢失未来币,火币钱包技术漏洞,比特汇钱包被盗,引起了大家对比特币钱包安全问题的重新关注。为此比特帮采访到了以“安全”为宗旨的比特币存钱罐CEO王聪。@虫虫爱阳光 听听他是如何看待比特币安全问题的。 比特帮: 能否解释一下比特儿平台丢币,火币技术漏洞,和比特汇钱包被盗分别是哪些问题,分别是什么方面的疏忽,以及如何避免? 王聪 :一般来说平台丢币之后,为了平台自身安全,平台不会在公告中透露太多信息只会透漏出大概信息,这是为了避免透露过多信息让黑客发现更多漏洞。所以从目前这三家平台公布的很有限的信息来看,我们也只能是做出猜测。 关于比特儿丢币事件,主要原因据说是其中一个密码是多年前韩总使用过的密码,被黑客通过社工手段或者人肉搜索手段找到,关于此类事件,最好的防范手段是不同账号一定要用不同的密码,而且密码必须有一定复杂度,至少要包含大小写字母、数字、特殊字符。 关于昨晚的火币丢币时间,主要是业务流程方面存在问题,这类事件没有更好的办法,只能通过改善管理流程来避免类似事件发生。 关 于比特汇钱包被盗,目前透露的信息也比较有限,只能做猜测,根据他们公告的内容来看有可能是黑客入侵了服务器,获取了root权限,而且存在数据库被拖 库、用户信息被泄露的可能性。希望比特汇能找到黑客,因为我们也受过黑客的攻击,对此感同身受,也曾经以为黑客延误了进度。 比特帮: 有没有可能,或者如何才能追回丢失的数字货币? 王聪 :早期的时候黑客偷了币之后,往往会直接去交易平台卖掉来获利。但是由于后来交易平台通常会协助丢币者找回损失的币,黑客知道这一点,所以黑客也越来越狡猾,他们往往会通过洗币的方式来隐藏币的最终去向,使追查更难。另外现在交易平台的 数量远比以前多,如果这么多交易平台都去查找黑客的信息,难度也远比以前更大。所以综合看,追回丢失的币会比以前更难。 但不能说完全无法追回,黑客作案一定还是会留下蛛丝马迹,如果投入更多的资金和人力还是有可能追回一部分的。 比特帮: 数字货币的匿名性优点是否也是比特币被盗之后无法追回的一个缺点? 王聪 :是的。银行账户里面往往存有大量的资金,但是银行密码只有6位数字,这个密码的复杂程度远低于我们上的网站的密码。 但是银行账户里的资金还是很安全的,主要原因是账户是实名制的,而且背后有国家和政府这个强大的机器在保护银行资金安全。而比特币这两个都缺,所以很难保证被盗后能追回。 比特帮: 能否谈一谈比特币存储与钱包安全问题,平台通过什么样的存储方式最安全?这种方式是否绝对安全? 王聪 :理论上最安全的在线钱包的存储方式是类似Blockchain的存储方式,因为这种方式可以保证平台无法动用用户的币。 安全无绝对,这种方式存币也有可能被盗,比如前几天赵东发微博说他的一个好友在Blockchain上丢了2000BTC。另外安全和便利这两点往往是对立的,在安全的同时,往往不怎么便利。 比特帮: 可否介绍一下比特币存钱罐所使用的钱包性质,以及所采取的存储方式和安全防范措施。 王聪 :比特币存钱罐在安全方面采取了很多防范措施,而且我们也经过了黑客的洗礼,已经较为成熟了。但是就像我前面说过的, 为了安全,我们不能透漏详细信息,只能透漏大概信息。比特币存钱罐目前采用冷热钱包结合的方式,服务器热钱包存放不到50BTC的币,用于处理小额提现,大部分币放在热钱包或者用于投资,这部分币如果丢失了,我们会全额赔偿给用户。 我们目前小额取款是实时转出,较大额度取款需要手工处理,如果额度更大,就需要电话核实。冷钱包会多重加密和多处备份,备份的文件也会从物理上分离。 另外我们有一个监控脚本会监控所有用户的存款地址,如果用户地址有异常变化我们会自动更正并且我们收到提醒。 在 业务流程方面,凡是涉及到用户资金变动的操作都需要输入资金密码,进行邮箱验证,手机验证和谷歌验证至少要开启一个。在防渗透方面,我们除了基本的防 SQL注入、XSS攻击、CSRF攻击外,所有用户访问比特币存钱罐都用SSL加密,我们不明文保存用户密码,所有用户密码采用加盐(注释:这是安全术 语,加的不是炒菜用的盐)的多重加密。我们在安全方面比较舍得投入资金,我们会经常请第三方专业的安全团队,来对我们的网站进行渗透测试;安全无小事,在安全方面我们会持续投入,让大家有一个更安全的钱包可以选择! |