ImToken首席安全官Blue：淺談錢包廠商如何建立安全體系

九個億財經消息——7月25日「風口下的區塊鏈安全」研討會在杭州西溪谷AB-center圓滿召開，由中國區塊鏈應用研究中心主辦，樂東資本、星合資本、高度資本承辦，九個億財經提供媒體支持。本次研討會主要圍繞區塊鏈生態現狀以及面臨的安全挑戰為主題展開，現場高鵬滿座，同時開通了現場花椒視頻直播，為中國安全從業者呈現了一場技術乾貨的饕餮盛宴。

研討會出席嘉賓有：葉健(中國區塊鏈應用研究中心輪值秘書長)，楊林科(樂東資本創始人)，蔣旭憲教授(區塊鏈安全公司PECKSHIELD創始人)，BLUE (IMTOKEN首席安全官)，郭宇(SECBIT安比實驗室創始人)，莫良(BYSEC.IO創始人)，張亮(知道創宇高級安全諮詢顧問)，寧志偉(秘猿科技首席架構師)，Jason Loong(intervalue 項目 安全事業部負責人)，范雅芸(預言家項目 CEO)。

ImToken首席安全官Blue

ImToken首席安全官Blue發表了 「淺談錢包廠商如何建立安全體系」的主題演講，以下為演講實錄：

大家好，我是Blue，現在在imToken負責安全方面的工作。今天我主要講的就是作為一個錢包廠商，如何去做相關的安全架構。這個是我們現在實實在在在做的事情，我們就現場分享一下，我們從錢包廠商的角度是如何去加強安全的。作為一個錢包廠商來講的話，在安全方面的嘗試，基本上可能要分為三個方面，一個是用戶層面，因為imToken畢竟是一個去中心化的用戶錢包，主要就是用戶在使用當中管理他的資產，所以說我們認為用戶的安全對錢包廠商來說是最重要的，是必須去關心的一部分。

所以說在用戶層面，我們做了比較多的努力。比如說我們現在主要是針對用戶做了一個用戶分控系統，用戶所有的行為都可能通過我們這個分控系統進行介入。分控系統的話，我們也和業內的安全廠商做了一個比較全面的一個惡意錢包地址庫。然後通過這個惡意錢包，如果當一個用戶轉賬給一個惡意錢包的時候，無論那個惡意的是一個黑客也好，是一個詐騙錢包也好，甚至是一個薅羊毛的一個羊毛黨的錢包也好，這些方面的話都會被我們監控到，然後放到資料庫裡面及時的提醒用戶，這是一個惡意的錢包地址。然後當它在imToken裡面進行轉賬的時候是會被禁止的，也會被提醒告知。另外現在有很多的項目方發了很多的合約，就是相當於有很多的幣，這些幣對我們來講，很多時候有很多是惡意的，或者說是有漏洞的，有的可能存在被無限增發，被相關的一個漏洞錄音轉賬，就是剛才也提到了很多的這種合約。

如果說我們發現惡意合約在imToken裡面，產生這個代幣的時候，產生這個合約的時候，是會被標識為惡意的合約的。這樣的話，用戶在持有數字貨幣的時候，在我們這邊有一個比較好的提醒。再往後，針對用戶方面，除了我們平台能做的，因為畢竟作為錢包廠商來講的話，可能對用戶的提醒也好，禁止轉賬也好，可能還不是特別夠。另外針對用戶，我們會進行更多的安全意識教育。一個人的數字資產是否足夠的安全，可能就在於你個人是不是有足夠的安全意識。因為我們發現可能不只是最近，一直以來，就有很多的丟幣盜幣事件，有很多用戶錢包裡面的數字貨幣、代幣，不小心的話就沒了，突然發現之後覺得怎麼可能被別人盜了呢。這個目前來講，我們也總結過用戶丟幣盜幣的很多原因，可能大部分情況下你把你的密鑰和你的數字貨幣息息相關的非常重要的東西，然後通過網路傳輸，比如說微信傳輸你的助劑詞，甚至是有很多人都發過的微信收藏，然後有很多人的話用一些雲筆記的工具方便的手機上看完了之後在電腦上在看，還有很多就是當給朋友去創建賬戶的時候，也會把數據池或者密鑰直接通過QQ通過郵箱直接傳給他的朋友們，這樣的話他認為可以比較方便的進行管理交易，突然發現幣就沒了。因為做技術的可能比較早接觸區塊鏈，可能會知道密鑰和數據池是你的根本，如果你的密鑰和數據池被別人拿走了，那麼你的賬戶裡面幣基本來講就不是你的，別人可以非常方便地轉走，所以說用戶的安全意識是比較重要的一個方面。所以在這個方面，我們會時不時的提醒用戶去做一些安全教育，告訴用戶要妥善的保管你的密鑰和數據池，不要明文存儲，也不要明文傳輸你的數據池或者密鑰。

然後另外一方面，當發生一些重大的安全事件的時候，如果我們監控到最近一些詐騙地址，一些詐騙網站，無論是Twitter還是國內的一些問答社區，會有一些人做一些惡意的教程，很早之前的EOS映射就有很多人會講到imToken官方去做映射的教程，最後可能會讓你在一個地址上貼你的EOS密鑰去做映射，這種的話，如果說對區塊鏈有了解的話，基本不會去粘貼你的密鑰，但是大部分用戶還是上當受騙了，然後EOS就丟失了，因為你的密鑰泄露了。所以說缺少這些安全意識，在發生一些事件的時候，我們會及時做相關的提醒，告訴用戶哪些是不安全的操作，然後也同時告訴用戶，哪些比較好的方式，完全成熟的密鑰相關的一些教程，我們都會時不時的去做微信的推送。

這是剛才講的用戶系統和內部3個用戶方面的，一個方面是我們客戶端上做的一些禁止操作，另外一方面就是用戶安全意識教育。然後另外一方面就是做一個錢包廠商，我們的系統層面，做了哪些安全的加入和防護。大家講安全的話，基本都會比較直觀的去看，一個廠商或者說一個系統是不是安全的，你看看他有沒有被報告漏洞，很多時候一個廠商可能經常被別人攻擊，這個時候可能系統的安全就是比較需要去重視的一個方面，這也是目前安全上比較直觀的一個體驗，是安全廠商給錢包也好，給交易所也好，去做的一些能夠做的一些加固，所以說在系統上來講，imToken它分為客戶端和雲端兩個方面，在客戶端上，我們也做了很多的加固。無論是密鑰的存儲，加密存儲，另外的話就是相關的加密演算法、協議，類似這些的審計工作，也會把這個方面加強。另外也會在客戶端的這個中間的網路傳輸進行相關的防竊聽，防篡改等等這些方面的一些常規的安全加固，這些安全廠商的話都是比較熟悉的，我們也做了相關的架構。

客戶端方面也會基於當前的手機安全環境做一個安全的檢測，比如說你的手機被Root了，或者說蘋果手機是越獄的一個狀態，或者說你的手機上有一些代理軟體，但是我們認為這是一個惡意的環境，會提醒用戶，你當前的錢包所處在的手機環境是不安全的。告知用戶了，就是當你打開多個錢包的時候，你會發現提醒應該是紅的。一般來講，如果你的手機是安卓手機是Root的，基本上來講，可能應用和應用之間的話，可能會能夠相互訪問你的存儲的文件。這樣子的話文件就是暴露的，所以說很多時候這個方面我們都彙報相關的提醒。但另一方面的話，如果說你的手機裝了一些惡意軟體，惡意應用的話，可能會做一些想收集你的系統信息，文件突出位置，或者說監控剪切板，類似這種比較常見的一些操作，當你去做一些錢包的行為的時候，可能會泄露相關的助記詞，那在這種情況下的話，我們會做相關的檢測，這是系統層面，客戶端上做了一些安全的防護。核心來講的話，這也不算是區塊鏈的一個安全，基本來講是傳統的互聯網安全都存在的一些問題，基於自己的經驗，基於安全廠商的友商的一些檢測和提醒，做這個方面的安全的加固，一些常規的安全防範。

另外一方面就是伺服器，作為一個去中心化的錢包，第一我們嚴格堅守去中心化的這條思路，在我們的伺服器是堅決不存用戶的任何敏感信息的，比如說密鑰、助記詞等等，如果說我們伺服器被攻破了，那麼用戶的私鑰也不會有泄露的風險。我們會堅持去做優化，伺服器上是不存任何的用戶的密鑰和相關信息的。我們之後也會做客戶端的開源，大家也會看得到具體是不是存儲了你的密鑰，你可以看到imToken整體的生成密鑰的過程，整體交易的過程是什麼樣子，這樣的話你就會知道確實是一個去中心化的錢包，確實沒有存儲你的密鑰，也在你傳輸交易的時候，整個以太坊或者BTC或者EOS的節點， imToken伺服器可能做了一些相關的更好的一些加速交易，它不是一些核心的信息，但是在伺服器的系統層面，也會去做相關的加固。比如說也會使用第三方廠商隱藏我們真實的伺服器，另外對伺服器進行日常的加固，都是比較常規的一些安全，比如說應用防火牆儘可能少的對外，一般來講，可能像資料庫之類的都是不對外的，集體對外的話都是對外官網的網址之類的，這都是一些常規的安全策略。基本來講，我們的伺服器目前受到的威脅應該是比客戶端的威脅更小一些，所以總體來講，在系統層面是一個常規的互聯網的安全的加固，這是系統層面的一些措施。

剛才講了三個方面，最後就是我們內部，內部的安全也是安全的一個方面，就相當於是你公司內部的一個安全的加固，這個方面主要是指員工的安全意識，比如說防社會化攻擊，社會工程學攻擊，這個方面，我認為公司內部的安全，是如何把一個人的安全等級如何去把它量化。基於這個方面的想法，我們在內部會把安全意識，會列成一些安全的檢查項，這樣的話你就知道怎麼做是安全的?怎麼做是不安全的?

比如說今天來參加會議，不知道你們連沒連wifi?公開的這些wifi信息，大部分wifi基本是安全的，但是有可能說是惡意的，有些人會組建一個wifi，可能比如說麥當勞，大家可能會連過麥當勞的wifi，然後這裡面剛好做了一個惡意的一個wifi節點，你來了之後可能就會默認連上了，或者說當前的這個環境或者咖啡館，它是不是有可能已經被黑客攻破了?他們在路由器上是不是已經可以監聽到你相關的訪問，這都是不知道的，所以說我們內部會把像類似這種不能連不可知的未知的這些wifi，另外也會把一些日常辦公環境相關的都列成一條條的檢查項，這樣的話就是說你犯錯了，這個檢查項你不符合，那就是會降低你的安全等級。如果說你都做到了，你就可以提高你的安全等級，如果說你不量化，不去評估這個安全的話，可能很多時候大家都不知道怎麼遵守。你說提高安全等級，然後通過幾次內部的安全培訓,就能夠真的提高嗎?但是如果說你把內部的這些每一條的全都列出來，哪些是不能做的，哪些是推薦做的，這樣的話，一個員工的安全意識就會迅速的提高上來。如果說他犯錯了，那通過扣分這樣一些量化的方式去加強內部同事的安全意識，迅速把安全等級提高上來。

這是目前我們在安全上作為一個廠商來講的話，我們內部能夠做的通過用戶層面，系統層面，還有內部的員工風控層面去做相關的安全等級。整理來講這相當於我們錢包廠商自己來做的，接下來也可以再聊一聊在安全上我們對外是怎麼去做的。

錢包自身的安全能力可能不足，區塊鏈是一個新興的行業，你會發現區塊鏈漏洞很多，廠商很多，項目方很多，甚至是安全的廠商的也很多，但是白帽子不太夠用了，這個時候如果說我們自己通過招人也很難快速的去補全你的安全能力，所以說imToken是一個心態比較開放的廠商，我們會嘗試跟其他的安全廠商進行合作，通過直接合作補全我們的短板。在對外之前，我們在內部可能會聯合幾家廠商去做相關的，無論是配合的審計，對伺服器的還是alt的審計，這樣的話通過這些第三方安全廠商，通過這種可控的方式，去集合更多的這種安全的力量，去幫我們檢測產品是否是安全的這樣的一個方案。

再往後的話就是我們上周開始的漏洞獎金計劃，就是工作獎勵計劃，我一直覺得一個廠商的力量或者一個人的力量是比較薄弱的，那如何集合這個社會化的力量是最好的最強大的。所以說在漏洞平台漏洞獎勵計划上，我是比較支持的，因為這樣的話可以通過更多的白帽子，更多的安全從業者去檢測我們的系統，幫助我們提升系統安全等級。同時，我們也會基於白帽子提供漏洞的價值，做一定的反饋，進行獎勵。目前來講，通過大概一周多的漏洞獎勵計劃的這個實施，我們也發現比較龐大的一個白帽子的群體，也確實為我們提供了一些比較邊界的測試，比如很多時候，我們可能會測試比較主要的服務，然後把主要的服務加強了，但是像一些廢棄的環境，一些測試的環境，那這個時候，我們在安全等級的考量肯定會有一個優先，那你會發現其實次要很多時候也是一個安全的點，那通過這些社會化的白帽子的力量，然後給我們提供了很多邊界的測試。他們很多的想法，安全的構思也確實是為我們開拓了安全的視角，提供了很多安全的比較有價值的一些參考。

我們目前白帽也反映了很多的漏洞，因為畢竟在安全的評級上，如果是漏洞平台，白帽子和廠商還有平台之間的對個人的安全能力的認知和漏洞的認知是不一樣的，很多漏洞平台確實是需要一個精力去打理的，所以很多時候白帽子認為是一個漏洞，我們綜合評估之後，可能認為它不是一個漏洞，因為很多時候當你去說一個官網，本來它是一個靜態的網頁，你說它存在一些惡意的攻擊，實際上是不存在的，可能一些假象導致了白帽子誤以為這是一個漏洞，這個時候我們就會給出比較詳細的一個解釋和證明，然後告訴你這確實不是一個漏洞。

所以說綜合來講，我們最終獎勵了兩個比較有意思的，然後提供了一些比較邊界的測試的一些漏洞，整體來講，對外我們也做了比較多的嘗試，也相當於是集合了更多的白帽子的力量來參與這個事情。當然我們也期望更多的平台起來，能多看一看，多去合作，從一個廠商來講，我們肯定更期望更多的安全從業者加入到區塊鏈這個行業來，大家一起把安全的底層做好，安全就是一個基礎服務，把這個基礎服務做起來，這樣用戶用我們的產品也放心，我們在區塊鏈這個行業裡面也會越來越踏實。

本文來自九個億財經，創業家系授權發布，略經編輯修改，版權歸作者所有，內容僅代表作者獨立觀點。[ 下載創業家APP，讀懂中國最賺錢的7000種生意 ]

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！