库神COO张玉出席金色沙龙第二期:安全是整个区块链行业的基石
11月9日,由金色财经主办、贝壳协办、科技寺承办的第二期沙龙活动“金色沙龙论生态·数字货币钱包的开源之路”在北京朝阳区科技寺滚石店圆满落下帷幕。现场嘉宾围绕“数字货币钱包的开源之路”这一主题进行了激烈的讨论和交流,为更好地发展数字货币钱包提供有益的借鉴。
当天,库神COO兼联合创始人张玉出席活动并首先进行主题演讲,他表示,安全是整个区块链行业的基石,当前在资产的生产、存储和交易三大环节,都存在很多问题。在生产环节里面,底层代码会出现一些高危漏洞,像不安全的JNI、空指针、不安全的随机数等。他说,之前利用以太坊节点的漏洞盗取资产,长达两年的时间没有被发现,这就是一个明显的底层代码的问题。
他指出,在生产环节里关于智能合约,整个环节会有8个大漏洞;在密码算法方面,像椭圆曲线密码并不能抵抗量子攻击,未来量子攻击发生以后,很多算法都会有问题,现在碰巧比特币用了HSA256的算法,像SHA1和MD5已经被攻破了,所以作为设计者,要选更好的算法;在共识机制方面,不管是PoW还是PoS、DPoS都有一些缺陷,但这些都是可以突破的。他说,有些威胁虽然没有发生,但是有可能会产生问题,而且现在也没有提出太好的共识机制设计的方法。
张玉表示,在存储环节里,私钥的丢失意味着资产的丢失,除了私钥存储以外,如果用户操作被录屏,就会导致数据池丢失,从安全的角度来讲,都是没有办法解决的。他说,个人存储跟企业存储有很大的区别,现在很多交易所或者大机构的币丢失,并不全是安全问题,还有一些内控的问题,比如一些大的机构,币在基础人员手里,并不在权限审批的流程里面。他举例说,Bithumb就没有流程,所以遇到了很大的问题。
他说,在交易环节里,首先就是资金存管,钱到了交易平台以后,很少有交易所考虑企业级的钱包,或者企业的信誉还没有在市场上验证,所以会有比较多的平台发生转移资产的事件。
他说,由于数字货币涨跌没有上下限的限制,而且还有庄家和杠杆的问题。规范的金融市场杠杆有合理的范围,但是区块链上没有太多限制,就看各个交易所的情况,知道爆仓线消息的时候,基本上已经爆了。而且庞大的外部攻击会导致网络出现问题,比如Binance,它曾经发现突然出现故障,宕机了32个小时。
因此,他指出安全是一个链条很长的事情,需要非常多的环节注意。特别是钱包发展到一个阶段以后,大部分钱包企业面临同样的问题,就是用户的安全意识问题。如果用户连安全意识都没有,再怎么做用户量也不能上来。所以钱包的责任是先做好用户的安全教育工作。
最后,他说,其实很多问题都不是纯技术问题,而是安全意识缺乏的问题。而且针对安全的力量还比较分散,虽然大家都做钱包,但是重心不太一样。他指出,做安全的公司变得更加全面化和传统安全机构的进入会影响这个行业,会让这个行业的安全意识发生很大的改变。