“安全管家”任锋：黑客攻破普通硬件钱包仅需15秒 | 天天要闻 Tinder 百校讲座 19

Q1-野野：目前很多老钱对行业都处于观望状态。 安全体系主要考虑三个方面：a． 数字资产安全 B. 交换安全 C. 金融安全（数字衍生品） 围绕这些角度，BiMoney解决了哪些行业痛点？为行业带来真正的价值

任峰：BiMoney从两个方面解决了行业的痛点： 数字资产托管安全； b. 数字资产流通安全。

BiMoney“让数字资产更安全”，为数字资产搭建安全基础设施，为数字资产的各种金融场景（存储、支付、交易、托管等）提供安全解决方案。 我们是去中心化的，oldmoney的安全和信任是建立在去中心化的资产链技术上，而不是一个中心化的钱包。

Q2-野野：钱包安全分为三个层次，硬件安全、软件安全、用户行为安全。 能否用一个案例给大家介绍一下冷钱包和硬钱包在用户操作过程中常见的安全隐患？

任峰：从下往上讲硬件安全。

1. 硬件安全

众所周知，区块链资产安全的核心在于“私钥静态存储安全和签名计算动态环境安全”。 硬件钱包安全的唯一标准是自身独立完整的保护，无需任何人为保护。 抗攻击能力。

这是市场上使用意法半导体生产的非安全芯片的钱包。 这是一种很常见的单片机芯片。 黑客得到它后，可以利用漏洞，通过拆掉它的外壳来转移比特币。 最快只需15秒。

▲黑客移除钱包外壳，利用非安全芯片的漏洞

这是内存中的 PIN 码。 可以读取所有打开的内存（内存、FLASH）的内容。 有无数种方法可以将进入内存的私钥（或种子密钥）以明文形式导出，因此同样不安全。

在这个例子中，黑客导出了内存，我们可以看到助记词种子/PIN码/钱包名称都隐藏在这里。 即使只存储PIN码的HASH（将任意长度的消息压缩成固定长度的消息摘要的功能），也可以通过修改内存中的验证输入命令使PIN码失效。

▲黑客导出内存并读取相关数据

这是另一种攻击，称为电子探针攻击，攻击时间为1分钟。

将其插入通用示波器并读出指纹。 从这里可以看到钱包启动后的电量检测情况，分析钱包什么时候开始启动加载私钥。

定位到私钥签名操作后，可以进一步精细分析钱包签名过程中的电量波动信息。 下面是这个功耗波动过程的放大图。 由此我们可以准确的分析出签名函数的签名过程和私钥的运行过程。

▲电子探针攻击

▲ 黑客使用示波器分析钱包签名过程中的电量波动信息

因此，我们强调的硬件钱包安全是：无需任何人工保护，自身独立完整的保护和抗攻击能力。 硬件钱包基于安全芯片。 这是一个基本前提。 操作系统和系统设计的软件安全。

这也是市场上使用最广泛的钱包。 虽然它使用了安全芯片，但它是双芯片架构，包括安全芯片ST31H320和非安全微控制器STM32F042K6。 非安全芯片驱动显示器、按钮和 USB 端口。 安全芯片ST31H320（红色箭头）没有问题，但是这种安全架构最大的弱点和隐患就在于这个非安全微控制器STM32F042K6（橙色框）。

▲ 安全芯片中非安全微控制器的隐患

2. 软件钱包安全

BiMoney 移动数字钱包定位为“硬币钱包”。 采用多重加密和签名技术，为用户提供同类钱包中安全性最高的数字资产安全解决方案。 只要手机本身是安全的，就可以提供高级别的安全保护。

因此，BiMoney从硬件到软件，从单点到系统都是全面安全的。 而且，BiMoney硬件钱包和软件钱包，结合应用，在大小资产场景和个人多重签名场景下，可以最大限度的提高易用性。 可用性和安全性的完美结合。

Q3-野野：数字安全从业者有好有坏。 针对行业内不成熟的安全和测试标准，BiMoney有哪些内外部共享的方法不断突破自身的安全防护等级？

任锋：这个行业的乱象，我觉得还是信任建立不完善的问题。 区块链的理想是好的，但安全资产托管的基础有待完善。 Air，Core目前还没有完整的资产托管和流通方式，所以BiMoney将自己定位在这样的基础设施上，希望为区块链行业提供这样“基于机器信任的安全托管服务”和“简单、透明、高效”资产管理服务”。

基于机器信任的安全托管服务。 资金托管模式下，客户资金直接在支付平台划转，不通过项目方平台划转，资金控制权交给客户和受托资金托管账户。

简单、透明、高效的资产管理服务，项目资金的募集和使用情况、资金流动情况、合同履行情况、收益、历史收益等都将记录在BiMoneyChain上并公开。

Q4-野野：专注于让数字资产更安全，BiMoney的生态结构是怎样的，有什么金融价值？

任锋：我们把有金融价值的项目，连接到有金融投资需求的用户。 我们要做的是安全、高效、透明、公平。 这是我们的产品和服务结构。

以下是我们提供的服务和产品。

对于APP应用，我们开放我们的钱包SDK（软件开发包），为合作伙伴提供“软硬件一体化，一站式流通”的钱包技术和金融服务。 针对金融机构，我们免费提供企业钱包解决方案，为机构提供“安全资产托管、安全资产增值”的信托服务。

Q5-野野：针对企业和个人用户不同层次的安全诉求，BiMoney如何保护用户数字资产的安全？

任锋：关于个人资产的安全，上面币盾钱包部分讲到，基本上是银行U盾级别的技术，然后是我们白帽团队的扎实基础； 对于企业来说，除了“硬件加密机”、“跨链多重签名钱包”之外，企业还需要服务好用户的资产流通安全。因此，服务好企业的流通安全，就是服务好用户的流通安全。我们通过 BiMoneyChain 实现这一目标。

BiMoneyChain 建立了一个快速的多链数字货币交易网络。 BiMoneyChain通过侧链技术和多重签名技术比特币多签钱包，让BTC、ETC等从主链流向BiMoneyChain网络进行数字资产管理，具有安全、透明、经济、高效的优势。

我再举一个例子：

比如“质押业务”，使用我方钱包或合作方SDK钱包后，直接在合约层和账本层实现质押业务，通过“质押账本，质押申请协议”多方用户只需要信任分布式机器账本，可以进行“自动赎回、多级风控、身份认证”。

Q6-野野：越来越多的项目在做自己的交易所。 能否分享一个BiMoney的项目数字安全解决方案案例？

任锋：我们认为随着应用的落地，用户应该更多地在钱包中进行资产交易。 交易所提供未来的预期，K线画在这里，钱包和Dapp项目一起为用户应用服务。 需要。

比如市场上比较火的bizkey项目，正在逐步应用我们的钱包SDK和硬件钱包技术。 他们应该有数以万计的商户，这里炒币的需求比较弱； 还有delink项目，就是人力资源链，他们也有几十万的猎头用户，他们可能会拿出10%的数字资产去交易所交易，而且大部分是做猎头业务的； 还有fancyoo娱乐链，也有50万用户，这些用户想玩，交易所对他们的需求很小。 因此，真正用区块链解决系统价值问题的项目方会越来越多。

Q7-野野：BiMoney在海外和国内市场如何定位，如何应对不同地区的合规要求？

任峰：在海外市场，我们的步伐可能更大。 我们会积极开展交易、金融衍生品等，但是在国内市场，我们觉得还是要跟着党的方向走。 主要服务于“dapp项目方安全钱包SDK服务、资本机构资产管理服务、普通用户安全钱包销售”，并与高校和政府孵化器合作进行部分实验性竞赛。

比如近期，我们与国内最大的区块链及移动技术培训机构“量子矩阵”达成战略合作。 我们也在积极参与安全区块链的文创联盟。

Q8-野野：数字资产安全是行业发展的基石。 很多项目都在说自己的技术实力很强。 你的团队结构是什么？ 你怎么能说你能保证用户的安全呢？

任锋：数字安全是一个已经存在了近20年的行业。 我们团队的CTO李想和刘玉峰是这个行业的“祖宗”。 他们敲下了操作系统的第一行代码。 通过技术服务，我了解了这个系统的整体设计，有几十年的安全攻防实践。 该行业仍在争夺排名。 咏春能不能打好，就看是不是作秀了。

安全保障，一方面是国家机密技术； 另一方面是我们对区块链安全的理解。 区块链的本质是金融科技，所以对金融安全的理解也很重要。

Q9-野野：我想问的最后一个问题：在数字安全市场，钱包延伸到交易所、理财服务、信息服务，以及交易所和自带钱包服务的项目，行业细分的边界越来越大多Fuzzy，区块链的下半场，你预计行业洗牌期会持续多久，BiMoney未来的规划是什么？

任锋：我觉得区块链相关产品的最终形态好像是一样的。 但是，这不是构建结构和布置积木。 模糊是一个大问题。

首先要服务于用户的需求，然后利用自身优势建立广泛的合作。 技术很新，场景很新。 一个几十人的团队，怎么可能搭建一个生态？ 合作很重要，我们可以一起为用户服务，共赢。 .

【群友问题合集】

群问一：数字安全行业基本处于积累用户、沉淀资金的早期阶段。 目前没有很好的盈利模式。 一旦99%的币归零，会给BiMoney这样的公司带来怎样的变化？

任锋：我们的利润主要有三块：卖硬件，卖企业定制服务，以及配套金融服务。 是一个连续的操作，部分币归零，但有场景价值的项目还是有价值的。 我们将与他们一起创造价值和体验，共同服务用户。

群友问题2：从互联网的商业逻辑来看，最佳流量入口的三个特征是：高频（且用户停留时间长）、刚性需求（大量用户的基础), 以及决策的出发点。 有必要对标互联网领域支付宝，BiMoney在区块链领域的核心优势是什么？

任峰：安全、易用、高效是一对矛盾的关系。 我们致力于此。 钱包是区块链的基础设施。

主持人：感谢任老师今晚的精彩互动，欢迎收看下期Tinder Talk。

附录1：

火盗区块链应用联盟介绍

中国的区块链技术和应用与世界各国站在同一起跑线上。 区块链与产业和社会的成功对接，将构成未来数字经济和诚信社会的创新和革命性的系统架构。

目前流行的区块链圈子有币圈（共识是参与数字货币投资或投机）和链圈（共识是通过平台技术提供服务）。 现在两个圈子的先知们都开始通过投资或者开发的方式积极参与区块链应用的落地。 随着越来越多有实力、有实力的人才、企事业单位积极拥抱区块链，区块链应用圈——简称“涌泉”——即将兴起。

2018年初，来自国内外创投圈、创新创业圈、科技圈、媒体圈、链圈、币圈等天使和精英联合发起火盗区块链应用联盟，致力于精神区块链作为联盟的组织形式和运作原则，连接所有愿意贡献和分享区块链开发、应用、投资、运营和推广经验和资源的有志之士，携手进入“新时代”。 ”，探索“新大陆”，推动区域发展。 区块链技术直接应用于实体经济，实现产业升级，开创产业区块链大时代。

火盗不是空话，而是勇于行动的先锋。

海盗区块链应用联盟的最大优势在于，将中国最活跃的天使投资人、创投机构、区块链领军人物、研究专家、国际领先的区块链技术专家整合到一个沟通顺畅、合作紧密的社区和协作中； 同时，将区块链应用的知识和经验输出给广大行业人才和企业。 对有条件开发实施区块链应用的团队和项目，财力在投资、人才服务、技术孵化、产业对接、市场营销、媒体宣传、政策支持等方面提供全方位支持。

联盟率先提出了“用圈子”的三项原则：

1）针对实体经济和社会服务的需求和痛点，积极探索和实践区块链解决方案，推动产业区块链时代的发展和普及；

2）唯链技术不先进，实用性和易用性优先；

3）单点场景应用突破，进而在各行业各领域快速推广普及。

联盟成立的初衷和目标是交流和推广技术和应用，支持实践、创新和价值发现，从而吸引了众多行业领袖、技术专家，以及新的从业者和热心的学习者。 该联盟依托其资源优势，正在形成一个由数百家区块链行业企业组成的论坛。 广泛邀请各类优秀项目及专家、学者、媒体研究人员进行内容分享、互动交流、媒体传播、项目落地、技术研究、沙龙论坛等。 ，开展深入、长期的行业交流，推动区块链技术加速完善，推动优秀区块链应用加速落地。

海盗区块链应用联盟是一个第三方平台，联合资源，连接优秀的区块链人才和项目，通过持续的行动、冒险和意识，帮助大家更积极地拥抱区块链，拥抱行业。 区块链和价值互联网时代的到来。

今天，火盗区块链应用联盟竖起了“用圈”的旗帜，诚邀海内外有志于为区块链应用而奋斗的各界英雄人士加入，达成共识，携手共进比特币多签钱包，共创共享，成为大时代前行者！

附录二：

火盗区块链应用联盟发起人介绍

（榜单按照姓氏拼音排序，发起人榜单持续更新中，最新请戳链接...）

【白硕】原上海证券交易所总工程师，现任千寻科技董事长，ChinaLedger技术委员会主任

【蔡维德】中组部“千人计划”创新专家，清华大学长江讲席教授，美国亚利桑那州立大学终身名誉教授，博士。

【常波】优联金服创始合伙人，NEBULA（星云）数字资产基金创始人

【陈榕】亦来云创始人、亦来云基金董事长

【陈胜】21世纪互联创始人、中关村区块链联盟主席

【崔世平】澳门科协会长、澳门中致远公司行政总裁

【邓迪】太乙云董事长

【邓永强】创新空间创始合伙人、清华校友会互联网与新媒体协会秘书长、清华校友会文创委员会副会长

【韩锋】亦来云联合创始人，亦来云基金会理事

【李林】火币网创始人

【李竹】英诺天使基金创始合伙人、中国青年天使协会会长、清华校友会互联网与新媒体协会名誉会长

【刘晓颖】老鹰基金创始合伙人、鑫龙麦控股集团合伙人、长园控股董事长、中国青年天使协会副会长

【吕旭军】网路科技创始人/CEO

【鲁军】趣快联孵化器创始人

【谭伟豪】香港天使投资网主席、香港全智（国际）公司董事局主席

【王立杰】PreAngel创投基金创始合伙人，上海维嘉木基金管理合伙人，中国青年天使协会常务理事

【王彤】北软天使基金创始合伙人、中国青年天使协会常务理事

【杨宁】乐博资本创始人、中国青年天使协会创始会长、名誉会长

【袁野】水木清华校友基金执行董事

【于斌彦】泰佑基金创始合伙人/CEO

【张帆】TCP基金会主席、前红杉中国创始人、德丰杰基金合伙人

【张敏】合力投资管理合伙人、中国青年天使协会名誉会长

【张益勤】北软天使基金，大江资本创始合伙人