【小哈划重点:区块链在设计上是安全可靠的(至少是最好的)。但弱点是人。人作为用户或作为服务设计者和操作者,都是容易犯错的。而区块链不能解决这个问题。】
币圈的坏消息可谓周周都有:神马币丢了、神马币被盗了,或是(钱包)被攻破了,更惨的是,你想找回自己资产,几乎不可能。
法币就没有这个问题,因为我们的基金和银行都被保护得好好的。这更加突出了在加密币领域,托管现状有多么糟糕。
区块链发展了十年,也出现过一系列解决方案,帮你托管并保证你的加密资金安全。
但你真的相信这些服务吗?
冒险的BYOB承诺
当你得到了或买到了你的第一个加密货币,现在,你需要决定的是,把它放在哪儿才是安全的。你的第一个选择是:Be Your Own Bank(做你自己的银行)。
终于!你可以实现后现代主义社会的梦想:不再需要中介机构和贪婪的银行来管理你的资金。你终于可以自己负责自己的资产了。
但是,你确定,你行吗?
确实,区块链更安全,因为有激励机制可以确保网络牢不可破(不包括“51%攻击”)。但是你需要将你的加密资产放置在安全的地方。你需要“做你自己的银行”(BYOB)。 加密币托管的第一个条件是:确保加密货币被加密了,你保管你自己的私钥,这个私钥可让你进行签名交易,你有一个密码(或口令),让你资金再现 (一个“种子”)。私钥和密码的管理是解决你可能遇到的几乎所有问题的源头。
首先要解决的一个重要问题就是:私钥的管理。
如果你之前曾用过任意一款钱包APP,你肯定遇到过让人疑惑不解的提示和警告:必须记住或“保证” 12个或24个单词,以及反复提醒你他们“不是银行”,你必须自己负责你自己的资金安全。你会得到一个秘钥来“保证安全”。
但是“保证安全”到底表示什么?把它打出来然后藏到床底下,直到别人发现它,然后不小心把它扔了,或是直到纸上的字模糊不清?或者放到你的银行保险箱(每年平均花费200美金)?又或者一个瑞士金库?再不然就是把它放在密码管理器中,受单个密码保护,或者更糟糕的是,放在word文档中,再加密一次,这样就没人看到了?
中心化是为了简单化?
然后,你很快就会发现,做你自己的银行比你想的要更复杂、更危险,所以你决定把资金放在交易所,让他们为你管理加密币。事实上,依靠一家知名公司确实要舒服些。
但你真的相信交易所吗? 要是他们可靠性低或在保管期间滥用你的资金,然后等你要用钱时他们拿不出,怎么办? 要是他们被黑客攻击或分布式拒绝服务(DDOS)攻击,怎么办? 甚至被当局勒令关闭(就像韩国接下来可能发生的那样)? 或就是单纯的靠不住,或不方便? 如果你觉得你的资金在交易所更安全,请三思:首先,他们依赖于传统的财务系统,其次,资产的连接可能随时被切断。
你在交易所中得到了安全性,但同时也会失去便利性:有些交易所不会让你提现或存入新的货币(因为你只是交易,而不是拥有它们)。对于那些想要参加ICO的人,也有限制,因为ICO不接受交易所转账。
当然,如果你够壕,你可以把所有的加密资金存在瑞士30英寸以下的地下掩体中。你的资金在那里肯定安全,但是当你要用它们的时候,方便吗? 所以说,在绝对安全(确定存在吗?)和便利性之间,是需要取舍的。
硬件:更好的解决方案?
稍微懂一点的人会告诉你,解决这个问题最好的方法是使用硬件钱包(“冷藏”),当然,这是迄今为止最好的解决方案之一。 热钱包(即软件)更容易受到攻击,因为它们“永久”地连接在网络上。但硬件钱包是“隔离的”,意味着没有设计连接,除非你手动去连接它们。因此,你的资金受硬件密钥的保护,但硬件密钥本身受安全硬件元素的保护。
但谁来保护你的硬件密钥呢? 你又把它保存在哪? 即便是硬件,也会随着时间的推移而老化,出现软件问题甚至被盗。 当然,你可以一直将旧硬件更换为新硬件。 但是,如果你可以,黑客也可以,所以我们又绕回到了开头:你如何保护你的硬件密码? (请参阅上文)。你有了安全保证,但方便性上就大打折扣:你需要在电脑前用使用USB数据线连接计算机和硬件(请参阅上面的用户体验部分)。都已经是移动年代了,这样太不理想了。
当你自己负责(资产托管)时,你要确保你的私钥和密码/助记码「随着时间的推移」都是安全的。祝你好运。
不管怎样,你还是得“信任代码”。尽管这些应用程序也存在重大漏洞,会导致资金损失或类似的。现实的情况是,即使是分散式服务也存在风险——因为没有代码是完美的。
如何看待数字币的分散托管?
一种货币,一个钱包:当你拥有前四或前五的货币时,这就是现实的情况。你会发现一些钱包,支持多达十种货币(我没有包括ERC20 / ICO代币)。但是那里有数百个区块链和分支,每个都自带轻便钱包。一个是小蚁币的,一个是门罗币的,一个是瑞波币的,等等。 没有办法可以帮你同时托管所有主流货币(即使是前30种),尤其是在移动设备上。这有点像每个网站都用不同的浏览器,或者每个电视频道都用不同的遥控器一样。
甚至支持多种(但不是所有货币)的硬件钱包都存在重大局限性,因为很快,你就会意识到它们不能同时支持多种货币。
每个加密币服务商也有自己的钱包,而且往往不能与其他服务一起使用。 大多数ICO支持的网络都有自己的钱包:TON(telegram即将上市的区块链)是这样,Crypto Kitties也是,交易所也有自己的钱包等等,这就使用户很难记住所有资产存在哪,而且也增加了被黑的几率。除了通过交易管道向对方发送资产之外,这些钱包之间没有联系。要记住你有多少资产又分别存在哪儿,马上就变困难了。最终,你得建一个列表来管理钱包和私钥。这也不理想。
加密币托管现状迫使用户将多种资产托管在不同的钱包中,这增加了暴露的风险。一些用户会在这当中发现一种基于安全设计的保护措施:如果所有的资金都放在不同的地方,那么黑客就不会一次性全发现了。另一方面,在管理所有这些接入点上,你得投入更多,因此极不方便。
平台和制造商之责
无论你手头的解决方案有多么安全,目前的加密币托管都存在的弱点是:移动运营商、浏览器、应用程序商店和广告平台已成为黑客窃取资金的主要目标。
黑客们无所不用其极地要破解你的手机号码,而你的手机号通常保护着SMS 2FA(短信通群发系统双因子验证)。一些黑客经常在苹果和谷歌的“高压网”下顶风作案,制造假冒的手机钱包应用程序骗取你的私人密钥。最后,在谷歌或脸书上购买广告从不简单,并假装这就是你需要的服务,从来不简单,更不用说狡猾的社交黑客会让你自己把私钥乖乖交出来。
甚至连域名注册商和域名系统(DNS)提供商也成为了黑客攻击的目标,并可能导致资金损失。
这些平台在业内具有重要的责任和义务。他们不该忽视它,因为这太重要了。
我们当然不希望仅仅因为个别害群之马,他们就任意制定规则来禁止所有的应用程序或广告商。他们需要提升、学习、跟上行业发展和合法玩家的步伐,要掌握黑客们正在做什么,以进行有效阻拦或制裁。
同理,对硬件制造商来说也是如此:最近的Meltdown和Spectre漏洞就表明了,我们是多么暴露,即使对最精明的用户来说,他们的密码和密钥被盗也是易如反掌。
你可以相信区块链,但你信你自己吗?
普通的人,靠一己之力来解决安全保护是不行的,甚至有时候都自身难保。这就是为什么要建立银行,今天银行还健在的原因。信任集体好过信任自己。
人总会犯错,人才是错误的根源:即使再精明的人,也很容易搞错如何保存他们的私钥;或者你也会买到“假的”硬件钱包;你的记忆也可能会混乱,因为你可能不小心扔掉你的电脑,忘了那上面还存着你的私钥。还有比这更神奇的:你换了手机,却忘了转移2FA密钥。
有些错误还可以纠正,有些就不能了。
假设你找到了自认为安全的解决方案,你觉得它能有多安全?跟把钱放在衣服口袋里相比,家里能放更多的钱,你觉得这样能有多安全呢? 你要怎么处理敲诈勒索呢? 在受到威胁时,你又该怎么做? 即使你的私钥受到安全保护,你是否可以安心地走在街上,还是说哪怕在家里,都要把加密币私钥装在口袋里或者下载一个应用程序保管你的虚拟资产?
最后,就像我们所有人都必经的那样,你死了,你的加密资金该怎么办,你考虑过到时怎么传送私人账户吗?
你能相信自己,再不然考虑或处理过上述所有的情况吗?这些都是目前加密币托管解决方案的未解难题。
前景一片光明
加密币托管必须改进,不解决这个问题,整个行业都会停滞不前。我们需要更高的安全性(包括解决方案提供商和平台)、更方便和更完善的安全机制。实际上,这就是一种阻止机构资金涌入币圈的东西,当然,如果你是一家为ICO募集数亿美元加密资金的公司,托管是一个更大的问题(就像柯达公司那样?)。
举例来说,多重签名(Multi-Sig)在加密币安全方面就有明显的进步(尽管不太方便)。它的中心思想不是一个单独的私钥(由你自己管理或由交易所代替你管理),而是在转账时,需要两组(或更多)密钥: 一组归你自己,另一组归提供托管的服务商。
作为用户,你可以将一些责任委托给“中心化”服务中心,而无需全权操控:这样就不会再出现“单点错误”,因为私钥托管在多个地方。 另一个重大突破是,像Robinhood或Square这样的受监管的服务中心取得了不起的进步,它们将允许数百万人安全地购买加密币并将其存储起来。
区块链在设计上是安全可靠的(至少是最好的)。但弱点是人。人作为用户或作为服务设计者和操作者,都是容易犯错的。而区块链不能解决这个问题。
未来将会出现新的解决方案,信任可以通过数学、密码学去中心化和游戏机制重新定义和编程。现在的私钥管理方式还不够好。这个行业需要的是一套能让用户安心的解决方案。
或许银行会在某个时候跳出来,拿出自己的解决方案,尽管我真的认为这种事情不会很快发生。要想实现这个目标,需要建立全新的监管框架。
无论现在业内有多少在运营的服务和解决方案(我估算有40个),以及投入多少资金,加密币托管服务还是链圈最大的商机之一,可是,问题尚未解决(甚至是Naval Ravikant, 杰出的加密币投资者和思想家都说),我们仍然处在(加密币的)侏罗纪时代。
你可以构建你所需的最快、最佳的扩容加密协议。但是如果所有人都战战兢兢、提心吊胆得担心安全问题,那又有什么意义呢?(翻译:饶宇蕾)
