摘要:本期對話以「從錢包到數字資產管理——錢包這一年」為題,由火星財經合伙人、總編輯李勞擔任對話主持,KCash創(chuàng)始人祝雪嬌、庫神CEO袁大偉、虎符錢包創(chuàng)始人王瑞錫、BOX發(fā)起人達摩、Qbao Network聯合創(chuàng)始人兼CEO陳琳、BitKeep創(chuàng)始人若然、PocketEOS首席科學家譚智勇、Cobo聯合創(chuàng)始人。...
免責聲明:本文不構成任何投資建議。
小編:記得關注哦!
「火星總編時刻」第三期話題圍繞加密貨幣錢包的存儲安全、變現模式、業(yè)務發(fā)展及2019市場展望等話題展開,全面回顧2018加密貨幣錢包的發(fā)展史。
火星財經(ID:hxcj24h)一線報道,12月27日晚,「火星總編時刻」第三期對話在火星社群展開。本期對話以「從錢包到數字資產管理——錢包這一年」為題,由火星財經合伙人、總編輯李勞擔任對話主持,KCash創(chuàng)始人祝雪嬌、庫神CEO袁大偉、虎符錢包創(chuàng)始人王瑞錫、BOX發(fā)起人達摩、Qbao Network聯合創(chuàng)始人兼CEO陳琳、BitKeep創(chuàng)始人若然、PocketEOS首席科學家譚智勇、Cobo聯合創(chuàng)始人&CTO蔣長浩等8位來自加密貨幣錢包領域的杰出代表列席嘉賓,火星財經聯合發(fā)起人、火星生態(tài)合伙人商思林,火星號總編輯猛小蛇擔任客座主持。話題圍繞加密貨幣錢包的存儲安全、變現模式、業(yè)務發(fā)展及2019市場展望等話題展開,全面回顧2018加密貨幣錢包的發(fā)展史。
犀利觀點如下:
1.祝雪嬌:中心化錢包等于把自己的錢放在別人的口袋里,去中心化錢包很難遭受黑客集中攻擊,用戶也不用擔心錢包服務商出現監(jiān)守自盜的情況。
2.袁大偉:區(qū)塊鏈的商業(yè)化路徑目前都還處在探索階段,并沒有現成的成功案例可以借鑒。
3.王瑞錫:錢包是流量生意,市場非常大,盈利不會立竿見影,成本相對區(qū)塊鏈其他產品要高,沒有深思熟慮和投入全部精力一定會被市場淘汰。
4.達摩:在錢包安全問題上,開源是第一位的,只有全開源才能接受開發(fā)者考核。
5.陳琳:錢包類的產品應該是區(qū)塊鏈行業(yè)的基礎性服務,因為有了數字資產(也就是銀行)才會有支付的意義,而后才會有在這之上更多的dApp和應用生存的空間。
6.若然:錢包是一個非常依賴于區(qū)塊技術的產品,畢竟它是離錢很近、離用戶最近的產品,所以流量入口的角色讓錢包有無限可能。
7.譚智勇:錢包和行情軟件、交易所都有各自的流量和渠道屬性,未來它們在功能和形態(tài)上都會融合。
8.蔣長浩:錢包會逐步從早期只是管理私鑰的工具變成生活中方方面面的無論是dApp、游戲,還是其他一些方面的入口級機會。
如下為對話全文,經火星財經(ID:hxcj24h)編輯整理:
1、再過4天,2018年就要正式畫上句號了。這一年,我們目睹了公鏈開發(fā)熱潮、交易所百團大戰(zhàn),也目睹了數字貨幣千瀑齊奔的行情。令人無限感慨,不過盡管熊市當道,數字貨幣錢包似乎獨善其身。
我這有一個據劍橋大學的統(tǒng)計數字——全球數字資產錢包用戶在2018年達到了3500萬,比2016年增長了3倍有余,不知各位的成績是否也如此優(yōu)秀?歲末年尾,請大家先曬一下自己的成績單:
祝雪嬌:
·項目成立時間:2017年
·錢包特征:去中心化錢包、國內首款多鏈、跨鏈錢包
·支持的數字資產種類:10000+
·項目代碼是否開源:否
·總注冊用戶數量及存幣賬戶數量:150萬注冊用戶量
·數字資產存儲規(guī)模:折合100億人民幣
·商業(yè)模式:OTC、C2C、中心化交易所、去中心化交易所交易手續(xù)費、上幣費用;理財、借貸、余額寶、信用貸、金融衍生品收益;dApp流量、支付收益。
袁大偉:
·項目成立時間:2016年11月18日
·錢包特征:
1.安全標準:安全,易用,可拓展
2.企業(yè)使命:區(qū)塊鏈資產守護神
3.創(chuàng)新技術:“降維防護”,“冷熱隔離”,二維碼及NFC加密傳輸技術,多重簽名等;
4.產品矩陣:硬件冷錢包ColdLarPro系列,卡式冷錢包ColdLar Touch系列,熱錢包,企業(yè)級解決方案ColdLar Vault等
·支持的數字資產種類:庫神錢包擁有良好的可拓展性。當前Pro系列支持幾乎所有的主流幣種,如BTC、ETH、EOS等,以及所有的ERC20 Tokens。庫神將根據路線圖,不斷兼容更多的幣種。
·項目代碼是否開源: 目前尚未開源(但我們有開源的計劃及路線圖)
·商業(yè)模式:庫神致力于為整個區(qū)塊鏈行業(yè)提供完善的資產安全管理解決方案,目前公司業(yè)務涵蓋硬件冷錢包ColdLar Pro系列,卡式冷錢包ColdLar Touch系列,同時庫神企業(yè)級解決方案ColdLar Vault及熱錢包也即將上線。
王瑞錫:
·項目成立時間:2017年12月成立,2018年5月上線
·錢包特征:借貸、理財、即時兌換、OTC、組織流程管理、企業(yè)級托管服務
·支持的數字資產種類:19條公鏈及150+種代幣
·項目代碼是否開源:未開源
·總注冊用戶數量及存幣賬戶數量:10w,2w
·數字資產存儲規(guī)模:5000 BTC
·商業(yè)模式:貸款息差、兌換手續(xù)費、dApp流量渠道費
達摩:
·項目成立時間:2017年10月11日(2018年1月2.0產品公測)
·錢包特征:審批流轉賬,私鑰多人共管,便于企業(yè)管理
·支持的數字資產種類:BTC、LTC、USDT、ERC20所有代幣
·項目代碼是否開源:是
·總注冊用戶數量及存幣賬戶數量:超60家企業(yè)部署
·數字資產存儲規(guī)模:等值2億人民幣
·商業(yè)模式:企業(yè)部署產品
陳琳:
·項目成立時間:Qbao Network成立于2017年7月,QbaoNetworkV1.0 的上線時間為2017年10月24日。
·錢包特征:QbaoNetwork不僅僅是跨鏈的多功能錢包,還是區(qū)塊鏈世界的微信。金融屬性和社交屬性相結合;去中心化和中心化錢包相結合。
·支持的數字資產種類:支持BTC/ETH/QTUM和數千種ERC-20和QRC-20代幣的存儲
·項目代碼是否開源:部分開源
·總注冊用戶數量及存幣賬戶數量:目前Qbao Network錢包的注冊用戶總數在543萬,支持7個語言版本,用戶遍布全球十多個國家。因為Qbao Network錢包有去中心化和中心化兩種模式,所以在去中心化模式下沒有存幣賬戶的概念,每位注冊用戶都有不同公鏈上的對應地址,和中心化模式下的Q包每位注冊用戶對應一個賬戶,存有代幣的地址和賬戶總數也在百萬級別。
·數字資產存儲規(guī)模:數字資產存儲規(guī)模在峰值時達到過十億美金的規(guī)模,目前因為幣價下跌,總的數字資產存儲在數千萬美金的規(guī)模。
·商業(yè)模式:為區(qū)塊鏈用戶提供數字貨幣存儲、數字貨幣資產管理、數字貨幣交易、數字貨幣支付等多種金融服務,同時打造區(qū)塊鏈世界的微信,滿足幣圈內的社交需求。
若然:
·項目成立時間:2018年3月(同年5月內測版本上線,6月首個正式版本上線)
·錢包特征:去中心化多鏈錢包,打造數字資產多生態(tài)流量入口,為交易服務的錢包
·支持的數字資產種類:7條主鏈(ETH、BTC、USDT、EOS、NEO、ONT、TRON)及其代幣
·項目代碼是否開源:否
·總注冊用戶數量及存幣賬戶數量:105w注冊用戶,62w持幣賬戶。
·數字資產存儲規(guī)模:5000w美金
·商業(yè)模式:數字金融、dApp平臺、聚合交易所,為數字資產全方位護航。
譚智勇:
·項目成立時間:2017年11月(2018年2月產品發(fā)布并在社區(qū)內測)
·錢包特征:基于數字財富值的區(qū)塊鏈社交,dApp生態(tài)和流量入口
·支持的數字資產種類:EOS及基于EOS發(fā)行的所有代幣
·項目代碼是否開源:是
·總注冊用戶數量及存幣賬戶數量:1萬注冊用戶,1萬7千EOS賬戶
·數字資產存儲規(guī)模:等值一個億人民幣
·商業(yè)模式:財富值社交,dApp流量和渠道分成,錢包增值服務
蔣長浩:
我們2017年底成立,Cobo作為國內知名的一站式數字資產存儲和管理平臺,旨在為用戶提供安全、可靠的存儲與支付環(huán)境。
公司旗下業(yè)務模塊包括支持POS(Proof of Stake即權益證明機制)挖礦的數字資產增益安全錢包--“Cobo Wallet”(Cobo錢包)、全球首款軍工級安全硬件數字錢包“Cobo Vault”(Cobo金庫),以及面向機構的數字資產托管解決方案Cobo Custody(Cobo 托管),目前用戶量規(guī)模大約五十萬。
目前Cobo Wallet 錢包可以支持比特幣、萊特幣等數十種主要數字資產,預計未來將繼續(xù)拓展幣種。
2、有業(yè)內人士稱,錢包開發(fā)門檻并不高,一個普通的開發(fā)人員根據網上錢包的開發(fā)協議,學習一周時間也能開發(fā)錢包。這導致目前市場上錢包供應商十分泛濫。
事實是否果真如此?對于普通用戶而言,在挑選錢包時面臨哪些誤區(qū)和風險?一個“靠譜”的數字錢包應該具備哪些特征?
祝雪嬌:
技術門檻:就技術這塊而言,我覺得是有一定技術門檻的,并不是像網上說的這樣簡單。當然,不排除,有些人根絕網上錢包的開發(fā)協議學習一下,就能開發(fā)出一款錢包。但安全性卻難以保證。就Kcash錢包而言,我們自己獨立開發(fā)的七重安全加密機制、Ring Topology Hub 環(huán)狀拓撲中繼技術、NOBLOCK 技術引擎等等,這些都具有一定的門檻。舉個例子來說,開發(fā)一款真正安全的錢包,并不比開發(fā)一條公鏈簡單。
誤區(qū)和風險:1、助記詞/私鑰丟失,資產無法找回(紙質備份損毀、手機電腦丟失等);2、助記詞/私鑰被盜,資產被盜、備份管理不當(通過截圖、郵箱或網盤保管, 使用IM傳輸等)
靠譜錢包的特征:在產品安全上,要能夠找到合適的安全解決方案,幫助用戶解決私鑰保管的難題,在產品體驗上,極簡到普通用戶都能接受、非常易用。從安全性能來看,冷錢包更加安全。從用戶體驗來看,熱錢包用戶體驗更好。在實際使用中,出于安全考慮,原則就是小金額采用熱錢包,大金額用冷錢包。
袁大偉:
錢包,本質上是私鑰的存儲管理工具,是區(qū)塊鏈生態(tài)的重要組成部分。區(qū)塊鏈行業(yè)的飛速發(fā)展,直接驅動了對區(qū)塊鏈資產的安全存儲需求。正因為錢包是剛需,因此大量開發(fā)者以及資金都非常重視,紛紛涌入這個市場。
市場上出現的錢包產品越來越多,使用的技術、策略以及側重的功能點都不相同。普通用戶在選取錢包的時候,難免會更多關注產品本身,而忽略了使用安全。所以庫神在提供安全產品的同時,也在努力的幫助用戶提升安全意識,普及安全知識,更好的協助用戶安全管理自己的資產。
在不斷的研發(fā)和創(chuàng)新中,庫神從三個維度,提出了關于“靠譜”錢包的理想標準:安全+易用+可拓展。安全是最基本的標準,庫神從底層架構安全、系統(tǒng)算法安全、物理安全三個方面確保用戶私鑰的安全。
易用是指產品操作簡潔明快,人機交互體驗良好。庫神錢包造型精致,UI時尚,支持指紋解鎖和手勢密碼,產品體驗堪比蘋果。可拓展是指錢包不僅僅是資產的存儲工具,也應該能夠給用戶帶來相應的收益。
庫神認為,錢包應該是用戶與區(qū)塊鏈世界交互的入口,甚至成為用戶在區(qū)塊鏈世界的身份ID。
王瑞錫:
使用開源代碼或購買的源碼進行打包確實是相對容易,但是此類產品的功能都非常簡單,而且在安全方面也存在一些未知的隱患,錢包看似簡單實際上模塊比較繁瑣復雜。比如多幣種錢包,不僅僅是錢包框架,還需要研究明白每條公鏈一些底層信息。
市面上確實出現了不少品牌錢包,有一定開發(fā)能力和創(chuàng)新能力的不算多。
錢包是流量生意,市場非常大,盈利不會立竿見影,成本相對區(qū)塊鏈其他產品成本高,沒有深思熟慮和投入全部精力一定會被市場淘汰,況且還需要投入大量的資金和人力物力,在沒有盈利很難支撐的下去,而且由于數字貨幣行業(yè)目前在部分國家缺乏清晰的法律法規(guī),導致無法大規(guī)模推向市場,受眾群體有一定的限制。
不少惡意錢包、山寨品牌錢包在網上傳播,如若不慎選擇了不安全的錢包甚至是惡意的錢包程序,將會帶來巨大的財產損失。
個人認為“靠譜”的特性:代碼安全審計過、有自主研發(fā)和創(chuàng)新能力、經歷過市場校驗、體驗好(為用戶著想)、團隊成員有較長的行業(yè)從業(yè)經驗。
達摩:
錢包邏輯并不復雜,但是一個好用的、安全的錢包的開發(fā)并非一件很容易的事。BoxVault企業(yè)錢包針對的并非是C端用戶,我們針對的是企業(yè)客戶,所以要求安全級別是第一位的,然后才是其它因素。BoxVault是全開源項目,并且在全開源情況下經受住了黑客大賽的72小時3萬余次真實攻擊。技術白皮書被全文錄入進了由黃連金發(fā)起肖風老師推薦的《區(qū)塊鏈安全技術指南》一書。
對于一般用戶選用錢包,最應該考慮的也是安全。我認為在錢包安全問題上,開源是第一位的,只有全開源才能接受開發(fā)者考核。安全對于企業(yè)更是重中之重,企業(yè)資金量相對龐大,資產管理需要多人共管,面臨的交易存儲問題比個人錢包更加復雜。
而BOX因為全開源,且保障安全,所以棄用了常見的多重簽名算法(因其可通過彩虹表碰撞進行攻擊),采用獨特的多人簽名算法,創(chuàng)造了多人分級審批流、多幣種一站式管理功能,根本上解決私鑰被盜、指令被篡改的行業(yè)痛疾,保證企業(yè)資產安全。“靠譜”的錢包應該是絕對安全、簡單易用、穩(wěn)定可靠的。
陳琳:
目前市場上確實存在很多錢包,但是魚龍混雜。因為僅僅根據網上錢包的開發(fā)協議寫代碼,和打造一款能夠被大量用戶安全穩(wěn)定使用的錢包是兩碼事,后者是一個系統(tǒng)性工程。就像很多人都能根據開源代碼開發(fā)一款簡單的聊天軟件,但并不意味著這樣就能做出微信。用戶在選擇錢包前需要謹慎考察錢包的團隊和口碑,以避免可能的風險。一個靠譜的錢包應該具有以下特征:
1. 安全性:Qbao 錢包在設計之初就采取了多種安全加密方式,包括私鑰的多重加密算法、App防護,安全化運維、還有后臺的賬務和清潔算系統(tǒng),以及在App內持續(xù)不斷對用戶進行安全化的教育,提高大家的安全意識
2. 穩(wěn)定性:錢包作為加密貨幣行業(yè)的類似于銀行的存在,需要保證服務的持續(xù)性、穩(wěn)定性和高可用。因此Qbao有一支精干的運維團隊,可以面對黑客攻擊、網絡擁堵、安全漏洞,從而保證Qbao錢包的穩(wěn)定性和高可用。
若然:
錢包的第一要素便是安全,這個是大家毋庸置疑的共識,沒有安全就沒有存在的意義,我相信各家錢包都針對安全有自己的策略及技術解決方案。但是錢包如何做好才是重點,大家都知道0~1/1~99原理,很多人認為0~1是關鍵,如何跨好第一步是核心,但是作為錢包卻完全相反。確實只是做一個基礎的錢包在技術研發(fā)上并非是什么難題,但是如果讓錢包在后續(xù)的規(guī)模化發(fā)展中,保持自己的安全和步調方向卻是更重要的事情,就像剛剛幾位老板所說,這是一個非常考驗技術和產品運營團隊的事情。BitKeep針對于這塊也是進行了非常嚴謹的對策,包括在所有的獨創(chuàng)DESM加密算法、自創(chuàng)的合約工具等。
而錢包的選擇,我建議用戶去選擇合適自己的,其實每家錢包都有自己的產品調性,對于錢包的理解、對于數字資產的定位都是不同,比如中心化錢包的快速便捷、去中心化錢包的安全,這也是大家一直在博弈的。而對于錢包來說,我需要再次重申安全一定是前提,那在安全之上,宜用便捷并且能夠解決用戶痛點需求,畢竟錢包屬于工具,能夠幫助用戶才是核心,這也是我認為的“靠譜”。
譚智勇:
的確,根據開源軟件開發(fā)一個有錢包功能的軟件和開發(fā)一個能持續(xù)商業(yè)化運作的錢包產品完全是兩回事。另外我同意達摩老師的觀點,用戶選擇錢包時,安全是第一位的。錢包的安全既靠相關技術手段,也是靠錢包方對安全態(tài)度的秉持。舉個例子,PocketEOS在處理與dApp開發(fā)方的交互時,始終堅持給用戶展示簽名的原文內容,我們認為不給用戶展示簽名內容然后讓用戶簽名的都是惡意的錢包。一個靠譜的數字錢包就是滿足以下兩點:安全、易用,首先安全然后才是易用。
蔣長浩:
的確,錢包開發(fā)方面,很多開發(fā)團隊存在不少問題。其實很多人拿開源代碼隨便改改,一兩個人一兩周做出來的。錢包行業(yè)本身所處環(huán)境與開發(fā)人員素質的參差不齊,讓整個行業(yè)都處于極度缺乏安全感的環(huán)境中。Cobo從創(chuàng)立之初,就把安全放在核心規(guī)劃的最重要的文職,(每上線一種代幣)我們都會把這個幣全部耦合,然后安裝我們的安全模塊,把它拆分開,需要放在加密機的放在加密機里。甚至很多底層的簽名算法我們都是寫在固件里面的,寫在硬件里面的。
以上線比原的代幣為例,Cobo Wallet需要做的安全工作包括:首先把需要把比原的簽名算法實現,然后聯系硬件的廠家,在硬件里面燒錄,然后通過安全公司審計等一系列流程。而這個流程就需要數個月才能完成。
3、不久前,中國信通院聯合多家機構對14款主流錢包進行了評測,發(fā)現了大量安全問題,特別是私鑰保護方面,存在巨大風險。今年5月,360發(fā)布的《數字貨幣錢包安全白皮書》也稱,目前市場上最為主流的20多款錢包8成存在安全隱患。
各位對如上研究結果和市場聲音有何回應?錢包安全科分3個層次——硬件安全、軟件安全和用戶行為安全,這里面包含錢包開發(fā)方可控制部分,包含不可控制的用戶行為部分,對于不可控的用戶行為部分你們是如何提升最終的安全性的?
祝雪嬌:
360在互聯網安全方面一直擁有自己的優(yōu)勢,這是不可否認的。但在區(qū)塊鏈行業(yè),他們相對是剛入局的,所以對于這一方面,我們不予置評,360貌似已經暫停了錢包項目。
對于不可控的用戶行為,一方面我們在用戶注冊時,會提醒用戶一定要保管好私鑰。另一方面,對于一些玩家,我們也提供中心化的托管賬戶服務,由我們來幫助用戶管理資產,所以自己懂管理私鑰的,可以使用去中心化賬戶,不那么懂的可以使用我們的中心化賬戶,活期儲存,還有利息。
袁大偉:
除了360發(fā)布的報告,還有很多機構也發(fā)布了類似的安全報告。我覺得這是件好事,說明安全問題已經引起了更廣泛的注意,這對整個錢包行業(yè)的健康發(fā)展,也有著積極的促進作用。庫神歡迎市場的監(jiān)督和建議,這對于庫神的發(fā)展也是一種寶貴的財富。
對于不可控的用戶行為,庫神有著清晰的認識,也針對性的做出了應對。
首先,庫神專注于磨礪產品,確保硬件安全和軟件安全,在流程和規(guī)則層面,盡可能規(guī)避部分不可控的用戶行為產生的風險。
其次,庫神專注于用戶教育。包括安全理念的引導和基本知識的普及,比如采用圖文教程、視頻講解等方式來幫助用戶理解錢包的基本概念,提醒用戶正確地保管助記詞和密碼,建議手動記錄,遠離截圖、復制等一切電腦操作,養(yǎng)成良好的上網習慣等。讓客戶知其然,也知其所以然。
最后,庫神內部有著完善的風控體系和團隊,有信心也有能力,面對并解決不可知的風險。
王瑞錫:
錢包程序的安全主要來自于系統(tǒng)權限濫用以及系統(tǒng)本身漏洞所造成的,與其說8成錢包存在安全隱患不如說8成APP均存在隱患。由于資產轉移的便捷性與匿名性使得數字貨幣存管業(yè)務成為了全球黑客的新甜點,在數據安全服務方面我們錢包服務商面臨著比銀行業(yè)更為嚴峻的挑戰(zhàn)。
1.對于可控制方面,首先我們在每次啟動時都會對沙盒系統(tǒng)的健壯性檢測與網絡環(huán)境風險包括判斷ip歸屬、設備型號、設備序列號等設備相關信息來進行登陸許可。
2.在出現關鍵行為時,我們通過人臉、指紋、驗證碼、Authenticator來進行再次確認。
3.在組織賬戶部分我們要求所有成員都參與到授權的確認中來離線多簽保管組織資產安全。
4.對于不可控的用戶行為部分,我們有友好的產品流程引導用戶設置更安全的授權方式,以及組織了兩個品牌線定期向用戶群體講解最新的區(qū)塊鏈行業(yè)知識使得用戶有更高的安全意識。
5.我們與國內頂尖的安全團隊慢霧科技合作,內外聯合共筑安全高墻,為用戶資產全方位無死角保駕護航。
達摩:
我不太清楚8成這個存在隱患的產品比例是否準確,但如果真的是8成,那它真的是一個非常可怕的數據。我贊同權威的第三方的評測來對目前市場上的安全類產品做過濾:不僅提高錢包方和錢包用戶對安全問題的重視,讓更高的安全守護服務于市場,同時從另外一個角度看,也是在加快它的普及。
BOX項目最初開始的時候就是從“安全”這個角度出發(fā),所以才有了我們當時第一代的產品BOX企業(yè)錢包,也才有了今天我們的波羅生態(tài)。我們當初瞄準“安全”作為一切的起點,默認一切人類都是壞人,包括我自己,默認所有硬件都不可靠,包括用戶的手機和電腦、路由器,默認我們面對的是世界上最強大的勢力,之所以要求這么高,就是因為安全問題是企業(yè)的第一生命。它貫穿在產品生命周期的每一個環(huán)節(jié)中。
硬件方面,BOX在CPU級別安全問題上與Intel因特爾公司在SGX技術進行持續(xù)的合作與交流,目前已經進入技術測試階段,在我們上個月的發(fā)布會上,Intel的SGX產品技術負責人也做了主題演講。BOX的軟件代碼在4月份就經歷了慢霧團隊的審計,也感謝很多第三方安全團隊為錢包領域做出的貢獻。
再說到不可控的用戶行為。因為“不可控”,所以在預防或者解決這一類問題時,出發(fā)點必須從客戶角度出發(fā):我們需要以宏觀的角度去讓用戶知曉自己在做什么,然后根據不同的情形給出不同的風險提示和二次確認。BOX團隊推出了全球首款硬件“紙錢包”WalletMate錢包伴侶,可以幫助用戶一次性記錄密碼、助記詞、私鑰、二步驗證碼等絕密信息,一次寫入、永不丟失,取代紙抄助記詞的古典做法。這些都是為了保障用戶的不可控因素。
陳琳:
上面很多人都說了技術性方面的安全問題,我這里說下非技術的安全方面。
根據我們Qbao Network錢包的實踐來看,其實對用戶最大的風險在于非技術方面的安全問題,很多人還是沒有從中心化轉化為去中心化。
所以Qbao Network在用戶教育和非技術的安全設計上話費了比較多的經歷。
Qbao Network錢包對于用戶的不可控行為的安全設計,包括生成錢包前的強制性備份,不讓用戶輕易退出,退出之前反復確認私鑰的備份,以及在產品使用過程中對用戶的持續(xù)教育等。尤其是用戶教育這塊是著力的,畢竟加密貨幣市場目前還是早期階段。
若然:
BitKeep其實一直強調一個概念,這也是我們技術產品創(chuàng)始人(原360高管)多年從業(yè)安全相關工作的心得“世上沒有絕對安全,那就需要保持相對安全”,安全就是要比別人永遠想的更前一步,去意識到更多的隱藏風險。所以我們在很多環(huán)節(jié)設計上不僅是用過硬的技術進行了功能安全保證:
用戶行為部分:進行各方位的多重加密模式,也就是我剛剛說獨創(chuàng)的DESM加密算方。
信息儲存部分:進行云端和本地的物理隔離方案,BitKeep擁有獨立的自有機房。
人員部分:防患于未然,做到預防監(jiān)守自盜的行為,所有信息進行嚴格的人員權限把控。
另外,因為這個行業(yè)處于新興,所以對于用戶的安全意識培養(yǎng)也格外重要,我們在用戶的安全引導、教育以及客服7*24小時的輔助、警示和解答上也花費了較多精力,需要盡可能的讓大家了解哪些是重要的的,哪些是絕對不能做的等。
譚智勇:
安全問題存在產品整個生命周期的每一個環(huán)節(jié)中,這是需要時時警惕和自省的。第三方的評測有助于提升全行業(yè)對錢包安全的普及,提高錢包方和錢包用戶對安全問題的重視,這是非常好的事情。
提到不可控的用戶行為,首先一定要做到讓用戶知曉自己在做什么,然后在根據不同的情形給出不同的風險提示。PocketEOS會嚴格控制應用對私鑰的操作,只允許四類:解密私鑰、簽名、加密私鑰、銷毀。同時在產品設計中對不可控的用戶行為觸發(fā)這四類行為的,都給出足夠的風險提示和二次確認。
蔣長浩:
由于整個行業(yè)技術都是基于密碼學構建的,傳統(tǒng)的錢包服務,都是去中心化的錢包,也就是密鑰都交給個人來管理,對于很多小白用戶來說,由于缺乏安全存儲數字貨幣的意識和能力,比如容易出現助記詞遺失,微信傳輸私鑰導致受到黑客攻擊事件,Cobo是國內第一個采用云端錢包+HD錢包的模式,我們采用更加專業(yè)的安全防御手段,更安全的硬件存儲器等配置,通過中心化的統(tǒng)一存儲服務,幫助小白用戶來安全的存儲私鑰,幫助其可以控制好用戶行為帶來的安全問題。
4、數字貨幣錢包的本質是保護用戶的秘鑰,但無數用戶的私鑰控制在錢包運營商手里,可以等同于用戶的無數資產都交到了錢包公司手里——這里存在巨大的道德和現實風險。小白用戶最擔心的是——錢包提供方跑路怎么辦?
傳統(tǒng)銀行有法律和存款保險做保障,但數字資產領域暫時缺乏這些應有的用戶保護。那么你們如何讓用戶相信,他的資產放在你這里是安全的,對此你們采取了哪些舉措?
祝雪嬌:
這方面要強調的是,錢包分為中心化錢包跟去中心化錢包。中心化錢包,的確存在著如問題所說的,會發(fā)生跑路。Kcash是去中心化的錢包,去中心化錢包的特點包括:第一、私鑰是用戶自持,當然密碼也是用戶自持;第二、資產是存儲在區(qū)塊鏈上,而不是托管在中心化的服務器上,并且目前也無需實名認證,即可生成錢包;第三、無法實現 “ 賬戶凍結 ” 、“ 交易回滾 ” 等操作。
因此,去中心化錢包很難遭受黑客的集中攻擊,用戶也不用擔心錢包服務商出現監(jiān)守自盜的情況。換而言之,去中心化錢包,用戶等于把錢攥在自己的口袋里,不存在安全風險。而中心化錢包,等于是把自己的錢放在被人的口袋里。
袁大偉:
庫神錢包的私鑰完全掌握在用戶自己手中,庫神不會以任何方式獲取用戶的私鑰。這也是為什么庫神要不斷教育用戶,管理好自己的助記詞和密碼的原因。
作為區(qū)塊鏈安全解決方案的供應商,庫神有著完善的風控體系和管理流程:
1.企業(yè)層面上,庫神有著嚴格的風控隔離制度,從根本上消除道德風險。
2.技術層面上,庫神有著強大的技術實力和創(chuàng)新能力,已經獲取多項產品專利,通過了歐盟CE、歐盟RoHS、美國FCC、日本PSE等認證
3.產品層面上,庫神有著完善的產品矩陣,解決方案涵蓋B端和C端,且在不斷打造完整的產業(yè)生態(tài)。
4.用戶層面上,庫神從未放松對用戶的安全教育,規(guī)避不必要的損失和風險。
路遙知馬力,烈火見真金。庫神產品推出以來,從未出現一起安全事故。
王瑞錫:
托管資產和個人管理資產是現有社會的正常行為,數字資產一樣也受到法律保護。有一些地區(qū)法律對于新型行業(yè)的政策不健全,但用戶使用的無論是去中心化或中心化產品,一樣受到當地法律的保護,作惡企業(yè)或者個人一定會受到法律嚴懲。
虎符錢包項目的創(chuàng)立之初是為了滿足區(qū)塊鏈企業(yè)內部項目資產管理所建立的財務流程管理系統(tǒng)。由于在業(yè)內擁有6年的創(chuàng)業(yè)經歷,深知資產安全管理為區(qū)塊鏈行業(yè)企業(yè)的一切業(yè)務基石,所以與其他產品的一套業(yè)務系統(tǒng)服務所不同的地方是,虎符內部分有3套管理系統(tǒng)來分權管理財務模塊。我們通過異地備份與混淆加密進行私鑰的安全保管,配合業(yè)內首創(chuàng)的全冷錢包出賬系統(tǒng)打造了一套業(yè)內領先的數字貨幣安全存儲管理制度。
針對C端用戶,我們提供云錢包、HD錢包兩種業(yè)務模型,小資金業(yè)務:如果使用借貸、理財、交易等功能可以選擇云錢包,大資金可使用HD錢包多簽保管方式,自己掌控私鑰。針對B端用戶,虎符推出的虎符托管和公鏈云業(yè)務解決了賬目和資金分離的管理方式。 虎符公鏈云私有化部署通過技術來為企業(yè)提供離線、安全的資產保證,可以提供區(qū)塊鏈企業(yè)底成本、安全的快速部署服務。
達摩:
企業(yè)錢包比個人錢包在安全性上要難的多,因為個人錢包是一個人管私鑰,只要存在手機電腦本地即可,這樣的去中心化錢包很難被攻破,除非錢包方在代碼里出錯。BoxVault企業(yè)錢包不是托管式錢包,資產和私鑰都在用戶手里,它是用戶自己的一個金庫,BOX團隊根本碰不到用戶的資產和私鑰。
目前的云服務器理論上還存在旁道攻擊的可能,所以BoxVault也不在云端存儲私鑰,任何云服務商、電信運營商和BOX團隊員工都得不到私鑰信息。作為錢包方,要得到用戶的信任,我建議可以通過開源這部分解決。這樣你的用戶和同行都可以通過對開源代碼的審閱來實現雙方之間的這種透明。
實際上,BoxVault企業(yè)錢包,在2018年4月份就已開源。接受監(jiān)督是我們的基本態(tài)度。通過私鑰管理,開源實現技術上的共享,以及相關法律條文的保護,來構建BoxVault與用戶之間的信任。
陳琳:
1. 對于去中心化的錢包來說,因為資產都保存在用戶的手機上,所以不存在錢包提供方跑路的問題。
2. 在去中心化錢包,核心的安全要素在于,Qbao產品需要保證的是用戶的私鑰只會通過安全的方式保存在用戶的手機上,絕不通過網絡進行傳輸。
3. 在去中心化錢包里面技術的安全是一方面,Qbao Network 錢包使用了多種銀行級的加密方式來保護用戶的私鑰。
4. 但在去中心化錢包中更重要的風險是非技術安全方面,Qbao Network主要專注在新人用戶的使用和教育,這才是對普通用戶最大的風險所在。私鑰都在用戶的客戶端。
若然:
首先,現在市面上分為兩大類錢包,我前面也提過就是“中心化”&“去中心化”錢包,大家都知道,交易所就是中心化錢包的一個典型代表,大部分知名頂級的交易所都不敢說自己沒有發(fā)生過任何盜幣事件。
這也是為什么BitKeep一直堅守著去中心化錢包的本質,堅持對于“安全”的絕對執(zhí)著。去中心化錢包的最核心標簽,便是所有資產存在于區(qū)塊上,而非托管于某一個服務器或平臺上,用戶的錢是實實在在在用戶手里,私鑰自己掌握,也杜絕了開發(fā)商跑路風險。
而這里面也確實無法排除用戶通過我們進行助記詞或私鑰輸入時,BitKeep是否進行了存儲的問題,所以我們針對安全,進行了多家知名第三方安全審核公司進行了審查。比如PeckShield、360區(qū)塊鏈實驗室、Armors等等,另外BitKeep也歡迎各方大佬監(jiān)控我們的所有請求,看是否進行了上傳或其他越權行為,大家的監(jiān)督也是幫助BitKeep更好地成長。
譚智勇:
數字錢包分為兩大類型:一類是中心化錢包,絕大部分是各大交易所的交易軟件;另一類是去中心化錢包,比如我們的PocketEOS。中心化錢包的道德和現實風險實質就是交易所或者其他中心化機構的風險,這個主要就看機構的信譽了,其實和錢包技術沒有直接關系。
對于去中心化錢包,這種錢包方主動作惡的風險會更小些。不管是錢包行業(yè)的鐵律,還是《電子簽名法》對電子簽名能力保護的條款,任何一個正直的去中心化錢包方都不會控制用戶的私鑰。讓用戶相信錢包方不作惡,更可以通過開源來部分解決。用戶和同行都可以通過對開源代碼進行審閱,來增強錢包方技術實現的透明性。從這一點來說,開源并接受社區(qū)監(jiān)督是區(qū)塊鏈語境下去中心化錢包方的基本態(tài)度。
PocketEOS應該是全球最早的開源EOS錢包核心代碼的項目,時間是在2018年6月份EOS主網上線前夕。
蔣長浩:
首先,Cobo從創(chuàng)立之初,我們構建的不是一個或者兩個錢包工具,而是基于安全的一站式數字資產存儲和管理平臺。對于小白用戶和一些資產規(guī)模較小的用戶,我們推出了支持POS(Proof of Stake即權益證明機制)挖礦的數字資產增益安全錢包--“Cobo Wallet”(Cobo錢包)。
對于一些有長期存儲數字貨幣的用戶,我們推出了全球首款軍工級安全硬件數字錢包 “Cobo Vault”(Cobo金庫)。
我們對于更大資產管理需求的機構客戶,同時推出了面向機構的數字資產托管解決方案Cobo Custody(Cobo 托管)。
這三條業(yè)務線形成了一個良性的內部生態(tài)循環(huán),相互促進和迭代,把我們的安全做到了極致。
5、公鏈、交易所、礦業(yè)、錢包被視作區(qū)塊鏈最誘人的富礦,具體到錢包很多人認為是用戶的的一個直接連接點。由此,錢包商業(yè)化有兩個邏輯,一個是做支付,類比支付寶和微信支付,另一個是做CoinBank——做銀行。對于這兩個商業(yè)化路徑,你們更看重哪一個?是否有其他的變現模式?
祝雪嬌:
這兩塊,我們都比較看重。在支付上,我們已經開始跟第三方平臺合作,用數字貨幣可以用來預訂酒店。在數字銀行這塊,我們進行了各種金融產品探索,如幣生幣等。
變現上,我們的金融產品現在已經有一些盈利了,主要是理財、借貸、余額寶、信用貸、金融衍生品產生的收益。在B端的企業(yè)錢包方向,我們也開始嘗試新業(yè)務,在托管資
