余干区块链交流群

全球数字资产钱包安全白皮书发布,什么样的钱包才能避免被盗?

AAA币海蓝天2018-11-07 07:10:56

前几日,猎豹移动“区块链中心实验室”和“猎豹全球智库”联合发布了《 2018全球数字货币钱包安全白皮书》,详细解读了数字货币钱包目前存在的安全漏洞问题。


 

报告显示,加密数字货币钱包的服务器、浏览器、输入方式、网络传输、输入方式等方面都存在着安全隐患。

 

根据白皮书,最基本的账户名和密码安全隐患就很大 。大多数用户习惯性地使用同一个账户名和密码,如果这其中有任意一个网站被黑客攻击成功,那么这个网站的全部用户名和密码都可能被用于对交易所账户系统的登录攻击。黑客在获取对于用户托管账户的控制权限后,也就可以对数字资产进行转移。

 

另外区块链本身就有自己的安全性以及风险性。

 

区块链在本质上是一个分布式的数据库,每个数据节点都独立记录区块链世界里的每一笔交易。同时,BTC协议将各个节点组织成了一个强大的区块链网络,因此区块链很难被某个人或某个组织摧毁。

 

作为一种新型的信用体系,区块链不基于道德、信仰等等,而是基于算法。算法的一致性导致区块链的安全性和稳定性比以往的信用体系都要强,这也是区块链引发革命热潮的一大原因。

 

 

尽管如此,基于其本身的特性,区块链项目还是有一些难以把控的风险。众所周知,区块链技术已成为世界许多国家的主要监管对象,在司法监督上存在风险;密码学的发展也可能带来潜在的技术风险;电子令牌匿名且难以追踪的固有属性可能会被网络犯罪分子利用,受到黑客攻击,甚至可能涉及非法资产转移和其他犯罪行为。

 


从法规方面完全管控很难,因此,从技术上做出优化是区块链项目获得安全保障的重点。

 

最近的一款名叫Hyperpay的钱包就吸引了很多眼球。Hyperpay 是一款新型钱包,据说其将实现主流数字资产与电子化法定货币的实时无缝兑换与交易支付以及各大主流数字资产支付方式的一码聚合支付。


 

作为一种支付解决方案,用户的资产安全是最为重要的。那么作为一款利用区块链技术的中心化钱包,Hyperpay在安全性上又有怎样的优化呢?

 

Hhyperpay 安全性分析

 

首先是钱包的安全性:

 

首先,Hyperpay 采用的链下设计结合了冷存储策略,为资产保护提供更为安全的防御机制。

 

其次,Hyperpay 还实现了冷热钱包分离、冷钱包隔离。钱包资金的80%通过离线方式进行存储,以实现网络与资金的分离;

 

另外,所有钱包都使用 AES 256 加密技术。

 

除了钱包安全之外,HyperPay团队还实施了交易相关的安全措施。

 

比如:

 

进行电话和电子邮件双重验证;

 

要求 TOTP MFA(例如 Google身份验证器)进行账户更改和交易;

 

HTTPS 256 位加密消息;

 

大额交易的电话验证;

 

生物安全;

 

所有客户在进行任何业务活动之前,必须至少开启两种验证方法并设置了交易密码。

 

Hyperpay 在服务器安全上也做出了以下保障:

 

服务器24小时监控;

 

角色访问控制,电子邮件提醒可疑的日志记录及自动 24 小时账户锁定期;

 

在VPC环境中使用解耦式架构,各业务服务器与钱包服务器之间的交流默认使用零信任模式,从而在OSI网络层面使安全性得到加强;

 

云服务中,加载了多重软件防护来确保服务器群组的安全性以及日常运行的正常;

 

行为监测、标记和报告系统,Hyperpay APP使用api access key,令牌绑定来与服务器交流,当其中一些信息进行更改时,服务器会向app发起进一步验证信息从而确保指令的正确习惯;

 

同时,APP本身进行了整体加固,使得逆向工程变得更加困难。App与服务器之间的交流有几重加密来确保请求的保密性,从而回避MITM等攻击。App本地并不会储存任何敏感性的信息,所有这类信息都为及时处理并发往服务器;

 

除此之外,Hyperpay 还对开发人员开展了持续性的安全培训,包括安全警戒性以及开发的安全编码模式等;

 

hyperpay团队还聘请了安全专业人员根据 NIST 标准设计安全实践和流程,同时进行安全测试,渗透测试和安全评估。

 

如果可以在第一时间修改漏洞并持续跟进优化,相信hyperpay 在加密货币钱包的安全性上会有很大的突破。


Copyright © 余干区块链交流群@2017