【EBTC·未来洞见者大会】零时科技CEO邓永凯：你的数字资产真的安全吗？

11月6日，由耳朵财经主办，币小白、二拾三度五、耳朵矿场、Bitmobi以及Ear Fund协办，百慕大总冠名的“百慕大之夜EBTC·2020”颁奖晚宴圆满结束。本次晚宴邀请了30多位顶级嘉宾、100家行业媒体以及500名合作伙伴和行业精英齐聚一堂共同探讨区块链的未来，洞见机遇，抓住趋势。

零时科技CEO邓永凯在活动现场发表致辞，精彩内容整理如下：

各位朋友，大家晚上好！非常感谢海祥，感谢耳朵财经的邀请，我们一块来聊一聊数字资产的安全问题。

说到数字资产，可能在座的每一位手里都有比如说比特币、以太坊，但它真的是属于你吗？或者是你觉得它在你的钱包里就很踏实吗？这绝对是不一定的。

我简单介绍一下我们公司，我们主要是做区块链安全的，所以大家可以记住我们是一家安全公司。首先给大家解释两个名词，一个白帽子和黑客。黑客大家都听过，干坏事的、偷我们币的。但白帽子不一样，也属于黑客群体，但不是做坏事的黑客，不是以非法手段牟取利益的群体，是以技术手段帮助我们网络，帮助我们的信息和数据更安全的群体，比如说我们现在的团队都是出身于白帽子团队，发生了我们问题会交给社区、项目方、企业，协助他们修复，可以把白帽子理解成正义的黑客。所以安全世界里存在两类人在不停进行博弈。

10年前可能大家那个时候没有数字资产的概念，那时候用法币纸币，但是黑客也可以把纸币盗走。在10年前美国一个最高级别的黑客大会上，黑客现场拿了一台ATM机，可以让ATM不停的吐钱。10年后的今天，中国也有这样的黑客大赛，10月24号中国举办了黑客破解大赛，有很多白帽子群体破解了很多设备和软件。现场黑客用了15秒就可以破解我们的特斯拉，让特斯拉直接致盲，刹车系统瘫痪，包括车系统等等都现场遭到破解。有很多方法和技术可以盗取我们的信息、数据，包括我们现在的数字资产。

这些黑客对于我们手里的比特币，对我们手里的数字资产他们已经青睐很久了，黑客是无往不利的，对金钱的嗅觉是非常敏感的。加之数字资产的特性，比如我们去中心化的给黑客带来了便捷，因为数字资产的特性用户操作比较困难，而且保存也比较麻烦，而且门槛非常高。我们经常都会收到谁谁谁的数字货币给盗了的问题，能不能查一下谁把钱盗了。安全事件在整个区块链行业里是屡见不鲜的。

通过我们的研究和总结，所有丢失数字资产的原因大概有这几个类别，各种各样的安全漏洞导致系统被人攻击，私钥被人拿走了，手机、电脑、办公网络被恶意攻击，中毒或者钓鱼了，导致资产丢失。第三大原因自己的操作失误，因为操作比较复杂，所以操作过程中导致自己的资产丢失了。

安全漏洞是最容易出现的，也是黑客最容易利用的。黑客有各种方法利用他的技术手段去找到你的系统安全漏洞，比如说交易所、智能合约的漏洞，在安全世界里只要是人写的代码基本上都会出现漏洞，没有谁说他写的代码是100%安全。所以说只要是人写的代码都会出现漏洞，人其实就是最大的漏洞。人在黑客手里是最大利剑盗取我们的数据和资产。

还有APT攻击是比较高级的攻击手法，是高级可持续性的威胁。举个例子，之前有个段子说有个技术人员，他给一个交易所投了一份简历，去交易所上班了，技术比较厉害，半年后他掌握了公司很多服务器，包括热钱包等等服务器的权限，他半年后因为各种原因离职了，离职后之后交易所钱包被盗走了，是很简单的APT的攻击。现在整个区块链行业里，特别是交易所和项目方，还有供应链团队APT攻击已经到了泛滥的阶段。

还有安全意识的问题，个人安全意识导致账号、私钥丢失了，加上数据泄露。为什么通过一个QQ邮箱就可以获取我的账号密码，这很正常，现在很多互联网的账号密码数据被泄露了，在互联网暗网里进行售卖转发，导致这些人把数据收集起来，有可能你都不知道注册了哪些平台，可能这些数据被黑客盗了，数据搭建了系统，可以查到所有的信息，包括历史使用的所有密码。通过账号问题导致资产被丢失了。

这有个网站可以查一下，输入邮箱这些可以看哪些平台注册了账号，有没有把你的账单和密码泄漏出去，这个平台是可以直接查的。还有包括现场的WIFI，还有短信，WIFI可能大家都知道，比如去过咖啡馆、星巴克都知道，发个文件连接一下WIFI，没有密码的WIFI并不是真正公共场合的WIFI，可能是人家搭载钓鱼的热点，可能截取你的信息，上网的痕迹，登录的密码。

还有短信，只需要两个设备就可以劫持现在所有人的短信。第一个设备是摩托罗拉的C180手机，被拆掉了，其实它很小。第二个设备是信号屏蔽器，可能现在所有人用的是4G，这个设备拿到现场就没有4G信号，只有2G信号，大家收到短信发出去的短信都可以通过我们的工具抓取到，比如说下面它收到一条美团外卖的短信。包括短信、WIFI在现场都是可以直接演示，大家的数据都可以抓取到。还有转账时登录帐号是短信登录，包括转比特币有时也需要短信验证，只要拿一个短信可以干很多事情。这些攻击手法手段可能大家觉得离我们很遥远，其实很近，而且都是非常容易做到，成本非常低。

包括现在手机，很多人用的苹果手机，觉得苹果手机比安卓更安全，因为苹果手机里的软件，大家普遍觉得苹果手机比安卓手机安全，但其实不是这样的，不管是安卓还是苹果手机，包括之前的其他手机它都有针对性的恶意软件攻击你。举个例子，我们当时尝试过国内很多钱包，包括交易所APP，我可以给这个APP上绑一个木马，这个原始APP跟绑了木马的APP你是感觉不到区别的，安装之后所有的功能、操作、页面都是一模一样，如果装到你的手机上打开了，这时候我的后台就可以收到你手机上的数据，包括看你相册，上网内容都可以看到。而且这个APP跟原始官方下载的APP是一模一样的。所以说这告诉大家什么呢？不要在非官方渠道去下载一些APP软件装到自己的手机上，现在很多社区里发一个安装包，甚至有些人把安装包扔在网盘上，从网盘上下载，网盘上知道从哪来的吗？不知道。绑一个木马放到群里大家安装，得出来的货币就是我的，因为你手机上的任何信息我都可以看到。不要觉得这很遥远，其实很简单就可以做到。

2018年时有一个很疯狂的勒索病毒勒索了近20亿美金的比特币，一年时间达到20亿美金。这种黑客组织拿恶意软件通过各种渠道抓取我们的电脑、PC、办公机、笔记本、手机，都有针对性的恶意软件去做攻击。

还有钓鱼，大家很多人收到邮件，邮件里发一个附件，领导找你谈话，给你涨工资，可能利用你身边人的口吻给你发邮件，邮件里发一些附件。当你打开附件时后面恶意程序做了很多操作，可能电脑就沦陷了。还有发消息说恶意被我黑掉了，数据被我加密了，给我交比特币，不交就把敏感信息公开出去，这种勒索事件经常有。上个礼拜就收到这样的邮件，看勒索钱包的比特币地址一天就收到了3个比特币。这是广撒网，只要有人中招交赎金就能赚钱，各种各样的网站都是钓鱼网站，充进去的钱基本上拿不回来。大家在投资项目时安装软件时一定要看清楚。

最后一个家贼难防，我们可以帮大家解决安全漏洞，提高大家的安全意识，也可以尽可能防御减少黑客攻击，但怎么也防不了人性的贪婪。很多技术团队干着干着就跑路了，跑路之后项目就搞掉了，很多项目方或者很多交易所出现问题，有可能是自己走掉了，但把锅扔到黑客手里。

有这么多风险怎么让比特币更安全，让它真正躺在我们的钱包里。第一个最重要的安全意识，安全意识关系到每一个人，不管是我们保存数字资产，还有上互联网，包括我们一些账号，都要提高安全意识。免费的WIFI就不要用了，一些不知名的软件邮件不要点，下载尽量去官方下载，不要轻易将手机和电脑交给不信任的人使用。我拿了你的手机只需要几秒钟时间就可以把信息导出来，还有比如进入到一个实验室里，进去就可以在手机里植入木马。还有怎么保存助记词，怎么保存私钥，怎么使用钱包，不要把助记词和私钥放在网上，也不要通过现在使用的QQ、微信、钉钉传我们的私钥。只要连了我的WIFI就可以把你信息抓取出来，你所有东西我都能看到。尽量写在一个纸上，放在你保险箱里，不要把私钥导到陌生未知的软件里。

交易过程要注意安全，交易时一定要看清楚网页是不是官方网页，APP是不是官方APP，平台账号一定要开启两步验证，尽量不要用短信两步验证，要用谷歌的两步验证。在转账时把地址看清楚，多复制几遍，因为出现过一个事件，有两种情况，一种情况在转正时把地址输错了，20万USDT找不出来了，还有种情况手机有可能，恶意软件在复制地址后，你在另外一个软件去粘贴，粘贴过程中有一到两秒的时间差，恶意软件就可以把复制地址替换掉，最后转账时不检查直接转到恶意地址里去了。所以交易过程中也要注意安全。

把自己的钱包监控起来，有个资产监控小程序，很多人不敢把钱放到交易所里，把钱放到去中心化的钱包里，但不可能时时刻刻去看去中心化钱包，每天打开看在不在，那天忘了，那天如果丢了是不知道的。所以可以把钱包地址绑在我们的小程序里，如果资产发生变动可以第一时间通知，在微信上给你发消息。

还有如果资产一旦丢了，不是说100%找不回来，具体看你是怎么丢的，有一种情况是可以找出来的，因为黑客把你的钱盗走之后可能不动，有可能很快转到其他平台洗掉了。这过程需要时间，打时间差。

举个案例就在9月份，一个用户91万丢了，给我打电话说哪找，那时候黑客的钱在钱包里没有动，没有任何交易，没有交易肯定找不回来，也不知道是谁，把地址放系统里做监控，过了三天后把钱分了很多批转到一个交易所地址上，交易所我们标记了，但不能100%确定，因为是大数据确定的，后来问了客服确实是那个地址。后来把它冻结了，之后可以找到这个人是谁，因为币安有手续必须有备案书才能调取，我们去报案后警方出了协商函，之后把信息提供给客户了。整个过程中不是找不回来币，即使找不回来数字货币也可以找到是谁偷了你的数字货币，但也得看情况，如果一直没有交易是找不到的。只要有交易，标记了就能找出是谁。如果丢了可以尝试联系专业的团队做溯源和监控。

除了刚才讲的很多威胁到数字资产的问题，包括怎么做加强数字资产的保护，我们也提供了很多这样的安全审计服务，保护用户和客户的资产安全。

谢谢大家！

责任编辑：言一