【原创1211】安全楷模支付宝给币圈的启示是什么？

?从kucoin被盗说起?

小蜜蜂其实很喜欢kucoin这个交易所，因为用户体验相对好一些。一个和安全无关的例子。这是英文界面：

这是中文界面，kucoin在中文界面下，会自动帮我们把手机号的国际区号切换成86。这就是用户体验。

再举一个安全相关的例子。小蜜蜂平时使用gate、bibox和币看聚合交易所多一些。

gate呢是隔一会儿时间，交易就需要重新输入一下交易密码，bibox原来是每次都需要输入，币看也是每次都需要验证，不过好在可以使用指纹验证。

这样是安全了，但是经常是看见价格在涨，急忙去交易，输完挺长一个密码，价格就跌了。

kucoin相对要好一些，在一进入交易界面时，就被要求输入交易密码。在交易操作时，则不再需要输入支付密码。这就比其他交易所要方便许多。

但是，这样的设计，也就降低了安全性。因为第一次密码交易密码以后，如果我们使用的是公共设备，或者设备被入侵，以后就可能会有不安全性。

Gate的海外版曾经叫比特儿，这是曾经被黑客攻击过的交易所。Gate之所以设计成如此，可以说一朝被攻击，十年怕黑客。但是，我们得承认，Gate的这个安全考虑是有一定道理的。

币安曾在2018年被攻击，黑客并没有盗走币安中币。黑客是盗用了若干大户的账号，然后在币安中把用户的币用来购买某山寨币，然后该山寨币就大涨了。其他交易所的该山寨币也疯狂大涨。然后黑客在其他交易所中卖掉了该山寨币，从而获利。

所以，黑客的攻击，不仅仅是是盗取交易所中的币然后提走。在交易过程中，同样可以对币市发动攻击。

所以gate总是让用户输交易所密码，也不是没有道理。

所以，有时候我们会发现，用户体验和安全性在某种程度上，是存在一定矛盾的。

?回顾币安被盗?

当然，这和kucoin此次攻击没有关系。kucoin此次攻击是交易所的热钱包直接被黑客攻击了，应该是和用户端的使用或操作没有关系。

但是，2019年币安被攻击事件，这就和用户操作有关系了。黑客获得某些用户的谷歌验证码。然后才可以提走用户的币。黑客攻击中，获得用户的谷歌验证码、手机验证码等，这和用户平时使用电脑、手机的操作有关，用户的操作不当，甚至是用户电脑或手机系统漏洞都可以成为黑客攻击的入口。

有些用户的电脑，安装了一些盗版操作系统，什么某某家园之类，本身可能就有后门。

?回顾支付宝?

毫无疑问，支付宝现在是全球安全级别最高的应用之一。但是支付宝也不是一直都很安全的。

大约在2005左右，小蜜蜂还有朋友的支付宝被盗。

2008年，小蜜蜂在淘宝上购物时，由于眼疾手快，脑子没跟上，误中钓鱼网站被骗200元。

但是随着时间推移，这些安全问题已经几乎不存在了。

近10年间，我们几乎没有听到过有人的支付宝被盗。阿里钓鱼网站几乎也没有被发现了。

一方面，很少有过像kucoin这样，交易所热钱包被盗的。当然冷钱包是几乎不可能被盗的，毕竟冷钱包中的资产与网络是分离的。但是交易所热钱包被盗，这和普通用户的热钱包被盗几乎是同样的情况，交易所中心化掌握的热钱包，安全管理没有做到位。

当然，这是区块链和支付宝存在区别之处。支付宝的代码不开源，所以黑客想攻击也比较难。但是很多区块链应用的代码是开源的，所以黑客比较容易找到漏洞。

想要让资产更安全，钱包类应用就应该像支付宝一样，不开源。并且，要由第三方审计机构对钱包代码进行审核。而且这个第三方审计机构必须是靠谱的，否则后患无穷。

另一方面，支付宝有一点比所有的区块链应用都做得更好。

比如，我们在登陆淘宝或支付宝时，这是电脑登陆界面。手机上其实也会有这一个过程，就是检测环境的过程，如果登陆的电脑或手机环境中，有一些危险账号安全和支付安全的因素，就会被检测出来。

并且，如果账号在非常用地、新设备上登陆都会被检测出来。

这就是支付宝给币圈应用的一个启示。支付宝不仅仅是关注支付宝服务器端的安全，也不仅仅是关注支付宝应用程序代码中的安全因素，支付宝还在保护用户端的安全。

?币圈应用安全?

?服务端安全

kucoin的热钱包此次被盗，就是服务端的安全问题。

除此以外，还有一个更奇葩的例子，那就是Fcoin。Fcoin在宣布销毁FT以后，交易平台就打不开了，服务器端的程序被破坏了，具体是谁破坏的咱们不讨论。但是这个确实是服务器端安全问题。

早期的支付宝，虽然没有现在的安全系数，但是支付宝的账号没有像kucoin这样被盗，支付宝淘宝的平台始终都能正常访问。

?应用程序安全

今年Defi应用被攻击，就是因为应用程序本身存在漏洞。

对于区块链应用，应用程序安全是非常重要的。因为区块链应用大部分是开源的，这一点很尴尬。不开源，就显得不够公开透明、不够去中心化。然而一旦公开了，漏洞和弱点在黑客面前也就暴露无疑了。

要知道，漏洞这个东西是相对的。在现在的环境下，可能没有漏洞。但是随着网络环境的变化，可能就会有新的漏洞和攻击方式出现。

所以，支付宝会升级、支付宝的安全控件会升级。

?客户端安全

这是支付宝给币圈应用最大的启示。所有的币圈应用都懂得保护服务端的安全，注重应用程序的安全。但是，很少有币圈应用懂得去保护客户端的安全。要知道，用户都不是专业人士，用户的操作会给黑客带来更多的机会。

有趣的是，币圈应用更多的不是关注用户端的安全，而是关注用户端的撸羊毛……

比如，曾经的qunqun，这个应用可以检测到你手机里安装了多开，然后不让你使用qunqun。

小蜜蜂承认，qunqun的技术不差，但是防羊毛党用技术手段还不如用KYC。

?写在最后?

对于币市应用应用而言，尤其是交易所、钱包，流动性挖矿、用户体验、产品创新、空投糖果羊毛……这些都不是最重要的。最重要的应该是安全。

安全是用户体验的第一要素。

而在安全管理中，除了服务端的安全和应用程序代码的安全以外，用户端的安全也是必须重视的一个维度。

对于移动端，本身就安装了应用在设备中，该应用就可以去检测环境的安全。

对于PC端。大部分平台是通过浏览器登陆平台的，所以平台只能获得用户的IP，不能获得用户的机器码，更不能了解用户电脑环境。但是，支付宝不同。我们第一次在电脑上使用支付宝或淘宝或阿里巴巴旗下应用时，会被提示在电脑上安装支付宝控件，这时候支付宝就开始守护我们的电脑安全了。小蜜蜂以为，钱包、交易所，必须要借鉴支付宝的这个安全措施。

当然，不排除有一种可能，由某机构针对币市应用开发一个安全工具。专门针对币市的一些攻击作出防范。

比如，建立钓鱼网站数据库，发现某些平台的钓鱼网站，然后实时的增加到数据库中，一旦用户进入钓鱼平台，安全系统弹出提示，或者干脆给拦截了。支付宝就是这样做的，小蜜蜂曾经收到过来自阿里旺旺的钓鱼网站链接，阿里旺旺直接提示这是一个钓鱼网站，小蜜蜂好奇就点击了这个链接，结果根本打不开哈哈哈。

—-

编译者/作者：TVB

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。