大咖支招：数字资产安全的N条底线

在区块链这个崇尚价值传递的世界，资产安全是永恒的话题。“门头沟”被盗惨案致使其一蹶不振，大型交易所被黑客“光顾”甚至成为影响市场的黑天鹅事件。

区块链安全团队PeckShield今年初曾披露，2018年区块链安全事件造成的经济损失高达22.38亿美元，较上年暴增253%，2019年第一个月发生的区块链安全事故数量已经超过2017年全年的区块链安全事故数量。

无论是交易所、钱包还是用户，给资产“上把安全锁”成为重点。

7月31日，BiKi、蜂巢财经、羊驼区块链联合主办“守望资产安全”硬核沙龙，BiKi CMO姜晓玉、慢雾科技安全负责人海贼王、Matrixport安全副总裁王欢、imtoken首席安全官Blue、MEET.ONE CEO Goh等嘉宾，共同就资产安全进行了深度探讨。

针对如何保障资产安全，大咖们在会上各自支招。

安全事故为何频发？

姜晓玉：交易所被攻击的事件很频繁，目前这个状况还没有很明确的改善。一个现状是，即使大家安全意识上来了，但还是没有黑客动不了的平台，只有他想不想动你，所以BiKi在安全投入上特别巨大。

整个区块链行业还处于初期，安全基础设施和人员经验都缺乏积累。另外数字货币的属性让黑客的作恶成本很低，回报很可观，所以即使之后行业在各方面提升，还是怕贼惦记，这是短期内没办法解决的问题，因为币确实很值钱。

BiKi CMO姜晓玉

王欢：最近市场回暖，收益很可观，所以黑客蠢蠢欲动。另外屡次发生安全事件还有几个因素：第一，法律支撑不够，没办法形成威慑；第二，区块链产品是不规则的产品，全球都可以访问到，意味着全球的黑客都可以来攻击你，没有门槛；第三，安全和技术是实时变化的，今天安全了，明天不一定安全，因为还有新的漏洞出来，所以安全的问题必须要实时跟进，动态防护，持续投入。

Blue：区块链有金融属性，是离钱最近的行业，且比较新兴，在安全上容易出现漏洞。这给了黑客机会，考虑攻击成本较低，得手的可能性较大，受法律制裁的危险较小，很多黑客都会尝试去攻击。

Goh：很多用户资产丢失，绝大部分都是因为操作不当，所以用户保护私钥一定要深藏不露；在技术端，很多安全事件都是因为开发人员水平不够导致的，所以安全审计很重要。

MEET.ONE CEO Goh

如何妥善保管资产？

姜晓玉：交易所资产安全这一块，我们负责资产管理的同事有好多人，长期处于警备状态，跟间谍一样。他们睡觉之前最后一件事就是确认钱包的安全问题，白天醒来第一件事也是看一下钱包。

我们在内部安全上也有非常严格的控制，包括核心人员有哪些，有什么样的权限。此外，我们也和第三方安全机构一起更新行业的一些新的攻击手法，与时俱进，不断学习。并设立了安全的储备金，我们一旦被攻击，要做到百分之百的赔付能力。

在用户端，我们都会要求用户绑定谷歌验证器、短信、邮箱验证等，虽然麻烦，但是安全程度比较高。

王欢：我们的标准是按照传统金融的安全级别来建设。安全是系统化的工作，包括公司的办公环境，人员的安全意识，开发过程的安全，生产环境的安全部署和运维，在这个基础上才是产品的安全。

我们从人、财、事三个方面进行安全投入。人方面，我们有一支安全专业的专家队伍不停地分析产品的问题；财方面，我们需要购买大量的安全设备、安全工具以及跟专业的安全公司合作，这一块的预算非常充足；事方面，我们有非常严格的规章制度，以规则确定来应对风险的不确定，比如安全团队具有产品上线的一票否决权，如果发现产品的问题比较大，他可以否决产品上市。

回到产品，产品安全托管是面向机构客户或者大户、高净值人群的产品，所以采用了业界最高级别安全的设置机制以及管理机制，比如我们采用了最高级别的HSM加密机来保证我们的私钥不会触网。另外我们采用军用级别的金库来保障安全，还有白名单的机制、审核机制、双验证认证以及隐私保护机制都非常完善。

Blue：我们钱包更关心的是用户资产。第一点，Imtoken是去中心化的钱包，即便我们出现问题，也不会导致用户资产丢失，因为用户的密钥掌握在自己手里；第二，我们做了用户的风控系统，当发现存在攻击和诈骗时，会第一时间给用户做隔绝保护；第三，我们会识别很多假币，当假币出现在Imtoken里，我们第一时间提醒用户，阻断假币的转帐。此外，还有Imtoken也采用了最高等级的加密芯片，提供硬件钱包来加强安全。

Imtoken首席安全官Blue

王一丁：对于小白用户来说，需要注意识别中心化和去中心化钱包，一般情况下，去中心化钱包没有账户体系，且不能接触到私钥。

Goh：我觉得，用户不需要知道各种安全手段、加密方式，这是我们应该做的最低标准。对用户来说，我希望他们能够把私钥抄好，用最纯朴的方式就好，不要跟别人去交流，做到深藏不露。另外，我建议，一百万以内的资产放在信任度高、有保障能力的交易所里，一百万以上放钱包，私钥存保好。

海贼王：迄今为止，区块链世界共发生了15起公链攻击事件，智能合约有127起，交易所有50起，钱包也有一些，整体资产规模为44亿美元。

目前黑客攻击的对象主要分为公链、智能合约、交易所和钱包服务商。慢雾科技会针对不同的场景和产品开展攻防业务。

如果发生了资产被盗事件的个人或第三方，可以第一时间联系慢雾，如果资产找不回来，平台不会收费。

慢雾科技安全负责人海贼王

未来还有哪些保护资产安全的方式？

姜晓玉：我们目前比较重视的赛道是托管，合规上我不知道哪个阶段可以实现，但这是趋势。作为交易所，我们是愿意跟第三方托管合作的，现在的状态是一旦出问题我们是全责，如果能有保险，那对我们来说也更好。

王欢：长期来看，数字资产托管一定会出现专业级的公司，保存大量的数字资产。

就去中心化、中心化而言，中心化反而能够极大增强安全性。为什么？因为专门的公司可以投入大量安全措施，但去中心化的话有时候风险反而不好控制。所以对于企业客户、高净值客户而言，采用资产托管是很好的选择。

Matrixport安全副总裁王欢

如果说公司能够投入大量的安全研发，把控风险，可以积攒很多的托管的经验和能力，慢慢会赋能给散户。

Blue：传统互联网可以做的，到了区块链也可以做。区块链安全处于初期，都是服务型的感觉，而传统安全更偏向层级化。

虽然区块链像一般的服务器防护都是在采用传统的工具，但是区块链属性，比如公链、智能合约等新兴的垂直业务，传统安全是做不了的。那么，除了2B的服务以外，可以尝试场景化，比如针对假币充值等漏洞，就可以按照传统的方式来做。尽量把人工做的事情产品化，是安全公司或一个行业比较长远的事情。

在资产托管方面，目前只是一个尝试，安全风险非常大，不过这确实是一个方向，但是一般企业无法做，一些资产托管的友商其实都在采购硬件钱包来做，你托管了别人的资产，需要把安全做好。

Goh：我觉得安全不是普通用户需要关注的。现在交易所是做券商的事，钱包相当于银行。从来没有一个银行让用户来管理自己的资产，只提供一个工具。所有去中心化钱包，可以保证资产安全，但是服务一定是中心化的，未来钱包会提供一些中心化的金融服务，包括我们说的借贷等。

（以上内容节选自嘉宾发言）