“安全楷模”支付宝给币圈的启示是什么?

TVB 发布在 海盗号 46872

❖回顾币安被盗❖

几乎每一年都有交易所被盗事件发生。今年是Kucoin,而kucoin此次攻击没有关系。kucoin此次攻击是交易所的热钱包直接被黑客攻击了,应该是和用户端的使用或操作没有关系。

但是,2019年币安被攻击事件,这就和用户操作有关系了。黑客获得某些用户的谷歌验证码。然后才可以提走用户的币。黑客攻击中,获得用户的谷歌验证码、手机验证码等,这和用户平时使用电脑、手机的操作有关,用户的操作不当,甚至是用户电脑或手机系统漏洞都可以成为黑客攻击的入口。

有些用户的电脑,安装了一些盗版操作系统,什么某某家园之类,本身可能就有后门。

❖回顾支付宝❖

毫无疑问,支付宝现在是全球安全级别最高的应用之一。但是支付宝也不是一直都很安全的。

大约在2005左右,小蜜蜂还有朋友的支付宝被盗。

2008年,小蜜蜂在淘宝上购物时,由于眼疾手快,脑子没跟上,误中钓鱼网站被骗200元。

但是随着时间推移,这些安全问题已经几乎不存在了。

近10年间,我们几乎没有听到过有人的支付宝被盗。阿里钓鱼网站几乎也没有被发现了。

一方面,很少有过像kucoin这样,交易所热钱包被盗的。当然冷钱包是几乎不可能被盗的,毕竟冷钱包中的资产与网络是分离的。但是交易所热钱包被盗,这和普通用户的热钱包被盗几乎是同样的情况,交易所中心化掌握的热钱包,安全管理没有做到位。

当然,这是区块链和支付宝存在区别之处。支付宝的代码不开源,所以黑客想攻击也比较难。但是很多区块链应用的代码是开源的,所以黑客比较容易找到漏洞。

想要让资产更安全,钱包类应用就应该像支付宝一样,不开源。并且,要由第三方审计机构对钱包代码进行审核。而且这个第三方审计机构必须是靠谱的,否则后患无穷。

另一方面,支付宝有一点比所有的区块链应用都做得更好。

比如,我们在登陆淘宝或支付宝时,这是电脑登陆界面。手机上其实也会有这一个过程,就是检测环境的过程,如果登陆的电脑或手机环境中,有一些危险账号安全和支付安全的因素,就会被检测出来。

并且,如果账号在非常用地、新设备上登陆都会被检测出来。

这就是支付宝给币圈应用的一个启示。支付宝不仅仅是关注支付宝服务器端的安全,也不仅仅是关注支付宝应用程序代码中的安全因素,支付宝还在保护用户端的安全。

❖币圈应用安全❖

➤服务端安全

kucoin的热钱包此次被盗,就是服务端的安全问题。

除此以外,还有一个更奇葩的例子,那就是Fcoin。Fcoin在宣布销毁FT以后,交易平台就打不开了,服务器端的程序被破坏了,具体是谁破坏的咱们不讨论。但是这个确实是服务器端安全问题。

早期的支付宝,虽然没有现在的安全系数,但是支付宝的账号没有像kucoin这样被盗,支付宝淘宝的平台始终都能正常访问。

➤应用程序安全

今年Defi应用被攻击,就是因为应用程序本身存在漏洞。

对于区块链应用,应用程序安全是非常重要的。因为区块链应用大部分是开源的,这一点很尴尬。不开源,就显得不够公开透明、不够去中心化。然而一旦公开了,漏洞和弱点在黑客面前也就暴露无疑了。

要知道,漏洞这个东西是相对的。在现在的环境下,可能没有漏洞。但是随着网络环境的变化,可能就会有新的漏洞和攻击方式出现。

所以,支付宝会升级、支付宝的安全控件会升级。

➤客户端安全

这是支付宝给币圈应用最大的启示。所有的币圈应用都懂得保护服务端的安全,注重应用程序的安全。但是,很少有币圈应用懂得去保护客户端的安全。要知道,用户都不是专业人士,用户的操作会给黑客带来更多的机会。

有趣的是,币圈应用更多的不是关注用户端的安全,而是关注用户端的撸羊毛……

比如,曾经的qunqun,这个应用可以检测到你手机里安装了多开,然后不让你使用qunqun。

小蜜蜂承认,qunqun的技术不差,但是防羊毛党用技术手段还不如用KYC。

❖写在最后❖

对于币市应用应用而言,尤其是交易所、钱包,流动性挖矿、用户体验、产品创新、空投糖果羊毛……这些都不是最重要的。最重要的应该是安全。

安全是用户体验的第一要素。

而在安全管理中,除了服务端的安全和应用程序代码的安全以外,用户端的安全也是必须重视的一个维度。

对于移动端,本身就安装了应用在设备中,该应用就可以去检测环境的安全。

对于PC端。大部分平台是通过浏览器登陆平台的,所以平台只能获得用户的IP,不能获得用户的机器码,更不能了解用户电脑环境。但是,支付宝不同。我们第一次在电脑上使用支付宝或淘宝或阿里巴巴旗下应用时,会被提示在电脑上安装支付宝控件,这时候支付宝就开始守护我们的电脑安全了。小蜜蜂以为,钱包、交易所,必须要借鉴支付宝的这个安全措施。

当然,不排除有一种可能,由某机构针对币市应用开发一个安全工具。专门针对币市的一些攻击作出防范。

比如,建立钓鱼网站数据库,发现某些平台的钓鱼网站,然后实时的增加到数据库中,一旦用户进入钓鱼平台,安全系统弹出提示,或者干脆给拦截了。支付宝就是这样做的,小蜜蜂曾经收到过来自阿里旺旺的钓鱼网站链接,阿里旺旺直接提示这是一个钓鱼网站,小蜜蜂好奇就点击了这个链接,结果根本打不开哈哈哈。

本文链接:https://www.8btc.com/media/653484
转载请注明文章出处

评论
登录 账号发表你的看法,还没有账号?立即免费 注册