文|凱爾

編輯|文刀

在區塊鏈這個崇尚價值傳遞的世界，資產安全是永恆的話題。「門頭溝」被盜慘案致使其一蹶不振，大型交易所被黑客「光顧」甚至成為影響市場的黑天鵝事件。

區塊鏈安全團隊PeckShield今年初曾披露，2018年區塊鏈安全事件造成的經濟損失高達22.38億美元，較上年暴增253%，2019年第一個月發生的區塊鏈安全事故數量已經超過2017年全年的區塊鏈安全事故數量。

無論是交易所、錢包還是用戶，給資產「上把安全鎖」成為重點。

7月31日，BiKi、蜂巢財經、羊駝區塊鏈聯合主辦「守望資產安全」硬核沙龍，BiKi CMO姜曉玉、慢霧科技安全負責人海賊王、Matrixport安全副總裁王歡、imtoken首席安全官Blue、MEET.ONE CEO Goh等嘉賓，共同就資產安全進行了深度探討。

針對如何保障資產安全，大咖們在會上各自支招。

安全事故為何頻發？

姜曉玉：交易所被攻擊的事件很頻繁，目前這個狀況還沒有很明確的改善。一個現狀是，即使大家安全意識上來了，但還是沒有黑客動不了的平台，只有他想不想動你，所以BiKi在安全投入上特別巨大。

整個區塊鏈行業還處於初期，安全基礎設施和人員經驗都缺乏積累。另外數字貨幣的屬性讓黑客的作惡成本很低，回報很可觀，所以即使之後行業在各方面提升，還是怕賊惦記，這是短期內沒辦法解決的問題，因為幣確實很值錢。

王歡：最近市場回暖，收益很可觀，所以黑客蠢蠢欲動。另外屢次發生安全事件還有幾個因素：第一，法律支撐不夠，沒辦法形成威懾；第二，區塊鏈產品是國際化的產品，全球都可以訪問到，意味著全球的黑客都可以來攻擊你，沒有門檻；第三，安全和技術是實時變化的，今天安全了，明天不一定安全，因為還有新的漏洞出來，所以安全的問題必須要實時跟進，動態防護，持續投入。

Blue：區塊鏈有金融屬性，是離錢最近的行業，且比較新興，在安全上容易出現漏洞。這給了黑客機會，考慮攻擊成本較低，得手的可能性較大，受法律制裁的危險較小，很多黑客都會嘗試去攻擊。

Goh：很多用戶資產丟失，絕大部分都是因為操作不當，所以用戶保護私鑰一定要深藏不露；在技術端，很多安全事件都是因為開發人員水平不夠導致的，所以安全審計很重要。

如何妥善保管資產？

姜曉玉：交易所資產安全這一塊，我們負責資產管理的同事有好多人，長期處於警備狀態，跟間諜一樣。他們睡覺之前最後一件事就是確認錢包的安全問題，白天醒來第一件事也是看一下錢包。

我們在內部安全上也有非常嚴格的控制，包括核心人員有哪些，有什麼樣的權限。此外，我們也和第三方安全機構一起更新行業的一些新的攻擊手法，與時俱進，不斷學習。並設立了安全的儲備金，我們一旦被攻擊，要做到百分之百的賠付能力。

在用戶端，我們都會要求用戶綁定谷歌驗證器、簡訊、郵箱驗證等，雖然麻煩，但是安全程度比較高。

王歡：我們的標準是按照傳統金融的安全級別來建設。安全是系統化的工作，包括公司的辦公環境，人員的安全意識，開發過程的安全，生產環境的安全部署和運維，在這個基礎上才是產品的安全。

我們從人、財、事三個方面進行安全投入。人方面，我們有一支安全專業的專家隊伍不停地分析產品的問題；財方面，我們需要購買大量的安全設備、安全工具以及跟專業的安全公司合作，這一塊的預算非常充足；事方面，我們有非常嚴格的規章制度，以規則確定來應對風險的不確定，比如安全團隊具有產品上線的一票否決權，如果發現產品的問題比較大，他可以否決產品上市。

回到產品，產品安全託管是面向機構客戶或者大戶、高凈值人群的產品，所以採用了業界最高級別安全的設置機制以及管理機制，比如我們採用了最高級別的HSM加密機來保證我們的私鑰不會觸網。另外我們採用軍用級別的金庫來保障安全，還有白名單的機制、審核機制、雙驗證認證以及隱私保護機制都非常完善。

Blue：我們錢包更關心的是用戶資產。第一點，Imtoken是去中心化的錢包，即便我們出現問題，也不會導致用戶資產丟失，因為用戶的密鑰掌握在自己手裡；第二，我們做了用戶的風控系統，當發現存在攻擊和詐騙時，會第一時間給用戶做隔絕保護；第三，我們會識別很多假幣，當假幣出現在Imtoken里，我們第一時間提醒用戶，阻斷假幣的轉帳。此外，還有Imtoken也採用了最高等級的加密晶片，提供硬體錢包來加強安全。

王一丁：對於小白用戶來說，需要注意識別中心化和去中心化錢包，一般情況下，去中心化錢包沒有帳戶體系，且不能接觸到私鑰。

Goh：我覺得，用戶不需要知道各種安全手段、加密方式，這是我們應該做的最低標準。對用戶來說，我希望他們能夠把私鑰抄好，用最純樸的方式就好，不要跟別人去交流，做到深藏不露。另外，我建議，一百萬以內的資產放在信任度高、有保障能力的交易所里，一百萬以上放錢包，私鑰存保好。

海賊王：迄今為止，區塊鏈世界共發生了15起公鏈攻擊事件，智能合約有127起，交易所有50起，錢包也有一些，整體資產規模為44億美元。

目前黑客攻擊的對象主要分為公鏈、智能合約、交易所和錢包服務商。慢霧科技會針對不同的場景和產品開展攻防業務。

如果發生了資產被盜事件的個人或第三方，可以第一時間聯繫慢霧，如果資產找不回來，平台不會收費。

未來還有哪些保護資產安全的方式？

姜曉玉：我們目前比較重視的賽道是託管，合規上我不知道哪個階段可以實現，但這是趨勢。作為交易所，我們是願意跟第三方託管合作的，現在的狀態是一旦出問題我們是全責，如果能有保險，那對我們來說也更好。

王歡：長期來看，數字資產託管一定會出現專業級的公司，保存大量的數字資產。

就去中心化、中心化而言，中心化反而能夠極大增強安全性。為什麼？因為專門的公司可以投入大量安全措施，但去中心化的話有時候風險反而不好控制。所以對於企業客戶、高凈值客戶而言，採用資產託管是很好的選擇。

如果說公司能夠投入大量的安全研發，把控風險，可以積攢很多的託管的經驗和能力，慢慢會賦能給散戶。

Blue：傳統網際網路可以做的，到了區塊鏈也可以做。區塊鏈安全處於初期，都是服務型的感覺，而傳統安全更偏向層級化。

雖然區塊鏈像一般的伺服器防護都是在採用傳統的工具，但是區塊鏈屬性，比如公鏈、智能合約等新興的垂直業務，傳統安全是做不了的。那麼，除了2B的服務以外，可以嘗試場景化，比如針對假幣充值等漏洞，就可以按照傳統的方式來做。儘量把人工做的事情產品化，是安全公司或一個行業比較長遠的事情。

在資產託管方面，目前只是一個嘗試，安全風險非常大，不過這確實是一個方向，但是一般企業無法做，一些資產託管的友商其實都在採購硬體錢包來做，你託管了別人的資產，需要把安全做好。

Goh：我覺得安全不是普通用戶需要關注的。現在交易所是做券商的事，錢包相當於銀行。從來沒有一個銀行讓用戶來管理自己的資產，只提供一個工具。所有去中心化錢包，可以保證資產安全，但是服務一定是中心化的，未來錢包會提供一些中心化的金融服務，包括我們說的借貸等。

（以上內容節選自嘉賓發言）

了解更多，請關注公眾號：蜂巢財經News