区块链行业里,代币安全性一直是个大问题,不论是交易所,还是钱包提供商,都或多或少出现代币被盗案件。一桩桩的被盗事件,不免让我们深思,为什么资产这么容易被盗?我们又该如何保障自己的资产安全?
10月17日,在“2019GateChain保安全 Gate.io守未来 ”为主题的GateChain测试网发布会上,区块链行业大咖和媒体朋友齐聚一堂,共话区块链行业发展。发布会上,多位深耕区块链的业内人士,专门以“你的钱包由我来守护”为题进行了圆桌讨论,开启了一场区块链技术安全概念碰撞思考之旅。
参与嘉宾:
Marie
Park Michael
Nguyen Nhat Quang
Nguyen Thi Hoa
本次圆桌论坛主要探讨了7个问题,以下为本次圆桌对话的精彩内容摘录
主持人:各位可以讲讲您对安全钱包的理解吗?
Park Michael:安全钱包是指私钥免受一切风险,就是这么简单。我指的风险是所有的风险,包括系统故障、硬件故障、任何类型的人为错误,包括拥有权限或访问私钥的人的恶意意图,以及个人错误,如丢失了包含私钥的手机。
Nguyen Nhat Quang:在我看来,安全钱包应该是风险低甚至没有风险的。在没有授权他人的时候,只有你才能决定钱包的支配,并且不用担心个人财产丢失或被黑客攻击。
Nguyen Thi Hoa:安全钱包是钱包的主人完全控制的钱包。主人持有私钥,在不受第三方干扰的情况下,获得钱包的唯一访问权。
主持人:DEX真的可以解决资金被盗的问题吗? 它与中心化交易所比起来有什么优势和劣势呢?
Marie:关于去中心化交易所和集中式交易所的争论已经持续了很长时间,我发现它是最容易被误解的争论之一,其实每种方式都有其优缺点。
通过使用自己的钱包,去中心化交易所为用户提供了真正拥有自己货币的交易收益,他们是这些资金的唯一所有者。然而,这并不能说明分散的交易所能够解决资金被盗的问题,黑客的确是有可能趁虚而入的。此外,误操作也是最常见的亏损方式之一。密码或者账本密钥的丢失,也意味着加密货币的丢失,这种情况也只能自认倒霉。
Gate.io自2013年公司成立以来,我们一直鼓励用户将资金存入自己的个人钱包。事实上,我们创立了wallet.io并使这一过程更加容易和快捷,用户也能因此受益。与其他老牌交易所一样,我们也曾经历过黑客攻击,但我们仍然竭力站在用户角度思考问题,尽可能以全额赔偿被黑客攻击的资金。
基于此,我们将去中心化和集中化的方式结合在一起,为用户提供了两个在区块链市场中最好用的东西:即私密性和功能性,这正是我们推出新DEX的初衷。
Park Michael:DEX基本上是一个P2P交易市场,不是带有加密资产和私有密钥的集中式热钱包。因此这样做的好处是,用户在面对泄露或入侵等情况,私人密钥被窃取资金的风险最小。而交易所的交易量和交易条件被限制在当前的用户池中,用户自己也需要学习如何管理他们的私人密钥和钱包,以上是集中式交易所由交易所操作的常规处理。
Nguyen Nhat Quang:从技术上讲,DEX的确可以解决数字货币损失的问题。但用户的操作和时间成本会大大增加。现在大多数用户更喜欢通过移动应用程序,除了时间灵活外,还可以随时随地进行交易。但是对于不太了解的用户来说,很容易丢失私钥。一旦丢失私钥,你将失去你在DEX中所有资产。
Nguyen Thi Hoa:我认为DEX可以部分解决资金被盗的问题。当我们自己控制私钥时,我们可以主动保护我们的资金。然而,如果因为自身问题丢失了私钥,或者忘记密码,那只能怪自己。
主持人:目前的 DEX 最大的风险是私钥丢失风险。一旦个人电脑损毁或者中了木马,资金即有可能再也找不回来,据说GateChain 是无惧私钥损毁不怕资金被盗,您可以稍微讲一下这是如何实现的吗?
Marie:在GateChain中,你可以进入两个帐户:一个标准帐户和一个保险帐户。
标准帐户使交易能够像其他区块链上一样工作。由于不可逆和分布式特点,使得整个交易完全透明和不可变。
不过,Vault账户使用了极其复杂的技术来逆转任何未经授权的交易。任何长期持有的数字资产都应该保存在这个账户中,这样你就可以在黑客窃取资金时,或是在你忘记密码时取回资金。
为了避免重复支出问题,Taxid将明确指示交易的来源是来自保险库帐户还是标准帐户。
Park Michael:我不是GateChain技术背后的专家,对于这个问题,我的看法是:恢复私人密钥,使用一个冷钱包可以解决病毒攻击和电脑被损坏等问题。然而,冷钱包非常不方便且不实用。GateChain使私有密钥更容易管理的特性将有助于持有加密货币资产的用户。
Nguyen Nhat Quang:如果区块链真的能做到这一点,那将是一件非常有意思的事情。但是要如何做到?如果区块链有可恢复的特性,那就意味着它是集中,而不是分散式的。为什么这么说呢?集中式意味着平台或交易所有权接入用户数据。举个不恰当的例子,如果平台内部员工钻了这个空子,将会给用户带来巨大的损失,而平台本身也将名誉受损。
Nguyen Thi Hoa:Gate.io有2个创新功能:
1、两种类型的帐户:标准帐户和保险帐户。标准账户就是一个普通的账户,可以通过一个私人密钥访问,如果资金被转移,它是不可逆的。而在保险账户中,发送方可以在一段称为可撤销延迟期的时间内撤销交易。
2、多签名钱包,需要多个签名交易才算完成。
主持人:目前大多数交易所都在使用多签钱包,因为安全等级比较高,并且非常适合团队使用。 最近GateChain也推出了多签钱包,您可以讲讲多签钱包比起单签有哪些优势吗?
Marie:这个行业在变,我们在随之而变。用户已经从区块链的狂热者,到“散户”,再到“专业操盘”,甚至可以看到越来越多的企业客户。针对这一趋势,GateChain推出了多签钱包。
当交易只涉及一方时,单签钱包就足够了。然而,随着企业进入市场,企业需要分散风险:他们不能依靠一个人来进行交易。
多签钱包使用“m-of-n”签名机制,其中“m”和“n”可以独立定制。要在多签钱包上验证交易,需要有若干个“m”成员签署总金额的“n”成员的交易,然后才能将资产转移出去。显然,多签钱包可以保护企业免受欺诈、人为错误和恶意支出。
Park Michael:单签钱包状态下,如果私钥丢失,也就意味着你的资产可能无法找回。而在多签钱包中,密钥丢失则有可能使用其他密钥创建另一个密钥,或至少通过其他方式检索你的密码资产。
Nguyen Nhat Quang:多签钱包理解起来很简单:它就像一个柜子,里面有很多钥匙,你需要足够的钥匙才能打开这个柜子。实际上它为一个组织或一群人提供了必要的安全,并且可以使用数字货币的钱包支付或存储。
单签钱包不是企业或团体在数字货币交易中的最佳选择。比如一家企业的资金被存放在一个标准地址,其中有一个匹配的个人密钥。这会带来两种危险:第一,如果是个人持有者,一旦丢失密钥,企业将受到巨大损失。第二,如果同一个密钥掌握在多个人手中,那么被恶意交易的风险将大大提高。
多签钱包为这两个问题提供了解决方案。与单签钱包不同,资金存储在多个签名的地址上,只有在多个签名的状态下才能转移。
Nguyen Thi Hoa:首先要理解什么是单签钱包,什么是多签钱包。单签钱包是指只需要一个私人密钥就可以解锁和转移资金的钱包。多签钱包是指需要多个私钥才能查看资金的钱包,它可以是2- 2,2 -3,3-4的模型,或者4 – 6,等等。这意味着,多签钱包需要2 / 3的私钥来访问资金账户。如果只使用一个私钥,很可能会导致资金丢失的高风险。
所以对我来说,多签钱包的优点是:
1、如果你丢失了一个私人密钥,你找回钱包的几率会更高。
2、持有权限可以在不同的参与人员之间共享,这增强了交叉安全性,尤其是在公司内的合作伙伴之间。
主持人:如果交易所允许您自己管理私钥,您会这么做吗?
Marie:绝对会的!我是很谨慎的,我所持有的加密货币都会存在wallet.io钱包里,而Gate.io账户上只放需要交易的资金。虽然目前两者的过渡操作已经非常简单,我也很期待,如果能有其他的安全通道能更带来更多便捷。
Park Michael:我认为,与让交易所管理密钥相比,发生人为失误和丢失私钥的几率更高。
Nguyen Nhat Quang:如果交易所允许自己管理私人密钥,那就意味着用户可以在任何时间进行转账,而不必等待审核通过,从而节省双方的时间。
Nguyen Thi Hoa:我会这么做的。但是,为了以防万一。我们依然要保持自律,将所有的资金放入不同的钱包,或为了安全起见将大部分资金放在冷钱包。如果你丢失了一个私钥,它将最小化你的财产损失。
主持人:目前 GateChain 是第一个在注重资金安全方面作出创新的公链,目的是为了解决私钥丢失和账户被盗的同时,给用户透明安全的交易环境,您觉得这个解决方案是不是真正能带领币圈进步的产品呢?或者给同行一些启示,进行效仿呢?
Marie:多年来,Gate.io在大大小小的创新和功能方面都处于领先地位,GateChain也会是如此。
区块链行业存在仅10年,却已经走过了漫长的道路。很多人认为,金融行业已经崩溃,但如果我们希望实现大规模使用,技术解决方案不可能是唯一的答案。人类不会像机器那样工作,所以为用户留出容错空间是至关重要的。如果我们执着于这种可能性,世界将向科技技术倾斜。对我来说,区块链技术可以让个人和企业实现他们自己的财务自由,这就是GateChain的意义所在。
Park Michael:我认为GateChain的方向是正确的,现在很多人都在关注GateChain。很多项目也正在探索多重签名和DEX的可能性,但我还没有看到哪个项目同时做这两个事情。我认为GateChain在这个意义上讲是创新的,随着GateChain的不断发展,它将成为行业的标杆。
Nguyen Nhat Quang:这种方法可以在实际操作中对安全起到更好的效果,而不仅仅影响着区块链的发展。这类产品的问世,会对未来数字货币交易和区块链的安全性做出很大的贡献。
Nguyen Thi Hoa:我认为这是一个好的方向。安全防护、私钥丢失、黑客攻击等问题至今未得到有效解决。首先,这些问题让传统系统不堪一击,并已造成许多损失。其次,这些问题的存在导致系统需要更复杂的操作才能保证资金安全。如果GateChain能够支持解决这两个问题,对市场将是一个很大的提升。
主持人:目前币圈的骗术非常多,中招的人不在少数。您有没有遇到过设计比较精密,回想起来有点后怕的骗术呢? 能否给在场的投资者分享一下如何辨别这些骗子,如果发现被骗有没有可能补救的方法呢?
Marie:最典型的陷阱就是黑客承诺。我遇到的这个骗局,其中被骗的人数是惊人的。为了避免看到我们的用户资金损失,我们团队不得不每天去删除在我们社交平台上关于账号隐私相关的评论留言。对于我们所有的用户,我总会向大家重复一句话:“Gate.io管理员不会问你的密码,也不会要求你给他们发送资金。如果您觉得有任何可疑的行为,请联系客服。”
Park Michael:如果觉得可能是骗局,你可以调查这个团队,查看这个团队顾问,Git的技术及合作关系,来佐证自己的判断。但我的建议是,永远要积极主动去探索体验新的服务,不要一开始就盲目交易,尤其在进行大宗交易之前,一定要拿出时间进行充分了解。另外还要记住,即使是好的项目和服务,在几个月或几年的常规服务之后也可能出现问题,所以你也要做好多样化投资的准备。
Nguyen Nhat Quang:关于黑客的技巧,或者说骗术,我都很清楚它是如何运作的,在这些情况下我会始终保持警惕。我觉得自己很幸运,因为我从没有害怕过欺骗,甚至包括更复杂的欺骗,我都遇到过,他们给我留下了深刻的印象。很感激这些欺骗,让我知道用户的痛点在哪里。
第一,要确保交易双方都有可靠的记录,并核实他们的身份。确认好信息无误后,再进行交易。
第二,不要轻易泄露相关信息给第三方测试程序。
第三,如果你心里没底,就需要委托给好的中介机构的来协助你完成交易。
Nguyen Thi Hoa:以我的经验,有几个典型的钓鱼案例分享给大家:以前有一个精心设计的高仿网络钱包,骗了很多人进行安装。很多用户后来反馈被偷了助记词,然后损失了资金。我还记得有一个关于MyEtherWallet的案例,骗术和我提到的这个案例一样。面对这样的骗局,拿出解决方案迫在眉睫。现在,我们可以在GateChain新创建的钱包中解决这个问题。