CYBAVO - Poseidon Network (QQQ app) 的錢包技術合作夥伴 ,在 2020/07/15 後由一間 S&P AA-rated 等級的保險公司對其所有加密資產承保。目前,CYBAVO 為亞洲區域第一家,也是唯一一家有保險公司承保的加密資產託管提供商。
QQQ App 採用由CYBAVO開發最全面的加密資產保護方案,提供給Poseidon Network用戶最高規格的資產保障。
此次承保範圍,讓使用 QQQ App 錢包的用戶都能享有高額度保險。任何因為駭客攻擊、私鑰遭竊的事件造成的損失都會由保險公司進行賠付,賠付金額達百萬至千萬美金等級的保險額度。
各位好, 我是CYBAVO的人員 Aawen
關於錢包部分的安全問題由我這邊來回答下, 各位如果之後有相關問題也歡迎提出
在講述整個安全架構前, 對於去中心化錢包可能很多人會認定自己保管私鑰才是最安全的, 但拿目前最火紅的幾款去中心化錢包比如imtoken來看, 各位可以簡單google “imtoken, 被盜”, 即便是2019今天最新版的imtoken, 私鑰洩漏的問題依然存在, 每個用戶在報案時強調的都是我沒有洩漏私鑰, 我沒有把私鑰導入任何其他網站, 我沒有截圖, 我只有把私鑰抄在紙上, 但錢就不見了, 是不是你這個去中心化錢包產生私鑰的部分有問題, 你們是不是後台伺服器有存一份被盜
這些都會是用戶疑慮, 在去中心化錢包中, 因為有私鑰就能轉帳, 把私鑰給用戶備份保管, 等於所有的保管責任都放在用戶身上, 對於去中心化的提供者, 比如imtoken, 用戶掉錢他們是沒有任何責任的
而從上述被盜的用戶中, 很多在描述他們遭遇的問題時都可以看出, 他們確實很有安全意識, 很瞭解私鑰代表的意義跟如何保存, 但依然被盜, 作為加密貨幣老手都有常有被盜的風險, 遑論新手在這部分可能遇到的問題
因此我們在設計錢包時採用的概念是, CYBAVO, POSIDEN 負起保管的責任, 而用戶則有使用的權利, 是分責分權的架構, 在整個安全架構中, 之前提到用來作簽名算法的MPC僅是很小的一環, 我先簡述一個安全錢包如無到有需要注意的環節
私鑰保護:
私鑰遺失是最危險的問題, 對於私鑰保護我們採用MPC簽名算法, 私鑰從產生保存到使用, 那唯一的一把錢包私鑰都不曾出現在世界上任何地方, 包括系統記憶體, 如果你使用冷錢包, 你的錢包私鑰還是在被用來簽名時, 出現在冷錢包的記憶體單元中, 那就有可能被側道攻擊, 但 MPC 多方計算在一開始產生的私鑰就保存在多個地方有多個不同的分片, 簽名時並不用把分片組合成一把私鑰, 而是直接用分片簽名, 對於每個分片在採用加密存取, 由於分片分開在不同的地方保存, 駭客攻破多個系統難度增加以外, 拿到分片也是加密過的, 解開了也不是組合就能使用, 他需要對應的MPC簽名算法
加密存取:
私鑰分片依然需要被加密保護, 這部分我們使用了SSS (shamir secret sharing) 加密算法, SSS的加密算法是世界目前最大的合規交易所Coinbase也在採用的, 搭配AES/RSA/ECC等已經成熟的算法進行分片的保護, 這部分並沒有使用任何自己發明的算法, 這點是很重要的, 自己發明的算法只是佔了我知道你不知道的便宜, 但算法是否經得起考驗是毫無依據的, 我們在加密算法採用上除了使用已經成熟的算法, 整個算法搭配也經過台大數學系教授, 慢霧安全團隊, 派盾安全團隊的檢視
系統保護:
你的私鑰分片駭客偷不到, 偷了也是部分還加密過的東西, 毫無作用, 那駭客不偷了, 他直接攻擊系統, 修改資料庫呢?這要說到的就是系統的保護部分, 我們與各家廠商可能使用ubuntu/linux等OS完全不同, 我們的技術人員幾乎都是作OS安全出身, 這部分用的我們自己客製化的secureOS, 拔除了所有OS中不必要的功能, 只留下諸如排程, 記憶體管理等基本功能, 最直觀的, 一般來說最小的OS都要500MB, 我們只要50MB, 上面搭載了自建的沙盒跟行為監測系統, 除了我們允許的行為, 任何駭客入侵可能出現的行為都會被直接阻擋, 如直接更改資料庫, 修改任何系統文件都是被禁止的
操作認證:
偷不了私鑰, 我用社交工程來騙你, 駭客先偷取後台管理人員的帳密登入後台, 取得用戶訊息來私下跟用戶聯繫, 欺騙用戶說有額外優惠, 要用戶打款?為了解決後台人員可能被盜用帳號, 我們所有系統都有多因子認證, 我們不用Google Auth(Google自己也公開說, 他們內部是不用Google Auth的, 因為TOTP的認證方式有其問題存在, 我們同樣創建了一款符合PKC的認證應用 (Apple, Google play上都可以找到, CYBAVO Auth - 這APP還可配合Google自己內部在使用的Yubikey硬體, 這個認證APP也通過了Yubikey審核認證) 給所有使用CYBAVO後台的人員使用, 降低所有可能的風險
對於安全部分, 我們進行了多方面的努力, 重要的是還找了第三方區塊鏈安全公司(慢霧, 派盾)做安全檢測, 我們的錢包採用者也不乏許多交易所跟公鏈團隊, 他們自己公司本身資安人員的審視, 也都是為了保障用戶錢包的安全, 讓用戶放心
如果各位在錢包部分還有任何問題, 歡迎隨時反饋, 也可以上我司官網 www.cybavo.com 查看相關訊息, 最後這邊要特別強調, 除了你登入的帳號密碼保護, 一個很重要的關鍵就是你的PIN碼, 請設定較為特別的數字並牢記在心, 沒有PIN碼你將無法進行轉帳的操作