比特币所构建的资产安全,是一种资产不被剥夺,价值基于共识,发行主体无法操控的安全。这并不是一种大众可以简单理解的“安全”,更不意味着大众所理解“安全”在此处已被完全消弭。
大众所理解的安全是“我不丢币”。实际上,资产不被窃取的前提都建立在私钥(钥匙)不丢的前提下。比特币给予资产所有者的,是一种权利(自由)。想掌握自己的资产,就得自行承担保管私钥的责任。而大部分用户并不一定有意愿或能力承担这种责任——自己保存资产,还不如放在有品牌保证的大交易所里来得安心。
安全是要付出成本的。
正如比特币为了保证记账系统的安全性,耗费了大量的算力。赵伟认为,其所带来信息的公开透明、不可篡改、不可删除,也对安全有很大的作用。然而,从另一方面看,比特币的匿名性、独立于法币系统之外的自由、以及技术门槛,都对其资产保护提出了挑战。
他总结了五点:
1、首先区块链资产在大多数国家不受法律保护,公安机关和银行也都没有备案。
2、区块链的匿名性,使得币一旦丢了难以追踪,你不知道谁偷了,也无法证明资产是你的。
3、保护区块链资产有一定技术门槛,用户很难保护自己;加上资产价值基于技术,一旦技术被操控,黑客可随意偷取利益,资产价值成零。
4、生成与分布式数据库上的资产表面上安全,但是行业中交易所、托管钱包、矿池等企业的系统是集中化的,是黑客攻击的目标。
与传统的交易所相比,数字货币交易所的 KYC 做得不好。“在室内做安全,还是在旷野是不一样的。(在旷野上)获得了自由,也更难做安全。区块链就是旷野。”
5、生态不完整,空气币频现,空气币的目的就是圈钱套现,不可能好好做安全。这一方面导致劣币驱逐良币,好好做安全的优质币种反而不受重视;鱼龙混杂的空投信息窃取用户数据,之后信息泄露用于撞库,危害用户其他资产的安全。
网络安全越来越重要,但中国企业对此重视远远不够
时至今日,互联网已经不是那个“信息传递的工具”。
赵伟认为,网络安全的目标随着互联网用途改变也一直在变化。“第一步是用来娱乐;第二步用于通讯和社交,继而是电子商务;第三是你的资产在网上处理。”
在 PC 互联网时代,拥有 PC 的人有限,中毒后黑客获取的信息有限,不过是让我电脑中毒变慢、宕机。移动互联网时代,我们的日常生活、资金管理、身份认证,都在手机上运行;安全的主题变成个人隐私、资金和密码的泄露。到了区块链时代,技术就是资产本身,代码的漏洞就是资产的损失。
赵伟表示,知道创宇关注的是全生态,此前主要关注钱包和交易所安全,因为这两者一旦崩溃,业内影响巨大。公链安全则是这几年来出现的新问题,“公链安全确实比较麻烦,很难改,一旦要改只能硬分叉。”
区块链的资产属性注定黑客对其虎视眈眈,其对安全的需求应该更为强烈。
然而中国互联网企业却未给予足够重视。报告显示,中国信息安全投入仅占 IT 行业总投入的 1%-2%,远不及欧美国家的 8%-14%。
这与国内金融数字化与互联网发展阶段有关;同时对比起欧盟等国家,国内对个人隐私的保护还不够重视。赵伟表示,《网络安全法》对行业发展有促进,但效果还需要逐渐体现。
“报漏洞有时候也没啥报酬。所以安全行业很痛苦,明明黑别人可以赚大钱。”
安全公司可以做灭霸,但他们不愿带自己的无限手套。
这也许我们就能理解,为什么应该审慎而负责任曝光漏洞的 360,会用一种“史诗级”的姿态将其公之于众。既然我不能像灭霸一样“杀敌一千”来展示漏洞威力,只能用这种哗众取宠的方式倒逼企业了。
