5月25日，歐盟發(fā)布的GDPR即《一般數(shù)據(jù)保護條例》宣布正式生效。據(jù)悉，GDPR條例效力僅次于憲法，增加了對用戶數(shù)據(jù)保護的強制性和責任性，如若企業(yè)不遵守，將受到2000萬歐元或企業(yè)全球年營業(yè)額4%的嚴厲處罰。

這為一些面向全球化業(yè)務(wù)的高科技企業(yè)，制定了更高的個人隱私保護和安全標準，生來便具備全球化基因的區(qū)塊鏈行業(yè)自然也不例外。

一年來，隨著區(qū)塊鏈新技術(shù)的火熱，一些竊取用戶隱私和資產(chǎn)，擾亂行業(yè)安全生態(tài)的黑客攻擊行為屢見不鮮，尤以數(shù)字錢包領(lǐng)域為重災(zāi)區(qū)。

2017年11月，以太坊錢包Parity被爆漏洞，導(dǎo)致93萬個ETH被凍結(jié)，價值2.8億美金。2018年4月，數(shù)字貨幣錢包Myetherwallet（MEW），遭受了黑客DNS劫持攻擊，致使一名不幸的用戶損失超過85個ETH，價值近6萬美元。因數(shù)字錢包漏洞惡意攻擊的安全隱患事件不勝枚舉。

近日，區(qū)塊鏈安全公司PeckShield研究人員發(fā)現(xiàn)一款集成IM的數(shù)字錢包應(yīng)用程序——幣用存在重大安全漏洞。技術(shù)人員通過開源代碼研究發(fā)現(xiàn) “幣用”不僅上傳telegram ID、名字、手機號上傳到幣用自己的服務(wù)器，而且在進行轉(zhuǎn)賬操作時，甚至?xí)⒔灰酌艽a以純文本格式上傳到幣用服務(wù)器。用戶身份、錢包地址甚至密碼全部被關(guān)聯(lián)在一起，無疑會給用戶帶來極大的隱私和支付風(fēng)險。

據(jù)幣用官方稱，幣用要打造一個鏈接用戶與區(qū)塊鏈世界的社交網(wǎng)絡(luò)，通過鏈接區(qū)塊鏈用戶、社區(qū)、媒體、資產(chǎn)、應(yīng)用程序等社交網(wǎng)絡(luò)，從而成為區(qū)塊鏈世界的航母“微信”。不過，業(yè)界對其認知還只是漢化版Telegram，在Telegram全球用戶已經(jīng)破億的大勢下，幣用每月也擁有了近300萬活躍用戶，圈內(nèi)影響不容小覷。

按照官方說法，幣用的產(chǎn)品賣（lou）點（dong）在于 ：

1、無需保存復(fù)雜的助記詞、私鑰等晦澀信息，一個手機號就能玩轉(zhuǎn)整個區(qū)塊鏈世界。要知道，私鑰是證明數(shù)字資產(chǎn)所有權(quán)的唯一憑證，私鑰的生成和存儲方式?jīng)Q定了用戶資產(chǎn)的安全與否。助記詞是明文私鑰的另一種表現(xiàn)形式，目的是為了幫助用戶記憶復(fù)雜的私鑰，能夠安全管理助記詞也至關(guān)重要。

圈內(nèi)人一直呼吁對數(shù)字貨幣采用“變態(tài)級”的保存方式。不通過網(wǎng)絡(luò)傳輸，比如郵箱，甚至不將私鑰助記詞等保存在聯(lián)網(wǎng)的電腦上，而要用筆抄在紙上，多抄幾份分別放在不同的安全區(qū)域。然而幣用卻忽略甚至誘導(dǎo)用戶不在意這一點，這顯然是背離區(qū)塊鏈產(chǎn)品安全基本準則的。

2、聯(lián)合Telegram打造了超級社區(qū)，可以加入熱門區(qū)塊鏈群組，和全球用戶進行交流對話。幣用在拓展初期能快速獲得一定量級的用戶，這和他建立在圈內(nèi)人心智中漢化版Telegram品牌定位有莫大關(guān)聯(lián)。

殊不知，Telegram的最大特點是它的“Secret Chats”私密聊天功能，用戶可以自由刪除聊天消息，信息閱后即焚。其點對點加密技術(shù)是吸引用戶的關(guān)鍵，另外Telegram采用了自定義的MTProto協(xié)議，區(qū)別于web，這是一種專門用于移動端app與服務(wù)器交互使用的協(xié)議，為其信息傳輸安全提供了有力保障。然而，表面神似Telegram的幣用，內(nèi)核卻差之甚遠。

PeckShield研究人員發(fā)現(xiàn)幣用在登錄界面（LoginActivity）會將Telegram ID、顯示名、手機號發(fā)送一個地址UrlConfig.URL_USER_UPLOAD。若繼續(xù)跟查這個URL地址，會發(fā)現(xiàn)其最終上傳服務(wù)器為
https://www.biyong.info/app/user/upload，很明顯這是幣用的私有域名，并不受智能合約保護，而且上傳數(shù)據(jù)前，系統(tǒng)并沒有對數(shù)據(jù)體本身做安全處理。

（代碼片段收集電話號碼和電報ID）

3、擁有許多諸如翻譯、錢包、紅包、邀請活動等超級功能。幣用為了活躍用戶群并快速導(dǎo)入流量，在各個群發(fā)送免費領(lǐng)幣消息，引導(dǎo)用戶創(chuàng)建錢包并參與搶發(fā)紅包。眾所周知，純IM產(chǎn)品和涉及到資金管理的數(shù)字錢包產(chǎn)品安全標準是全然不同的。幣用加入了創(chuàng)建錢包功能，并沒有做好相應(yīng)的資金安全保障。分析代碼發(fā)現(xiàn)，當用戶傳輸加密貨幣時，它會調(diào)用sendOutToServer以明文形式收集并上傳支付密碼，而且密碼規(guī)格是6位數(shù)字，倘若用戶信用卡、支付寶、微信、郵箱等其他平臺賬戶的密碼和此密碼一致，而且不幸手機里的某個APP被黑客拿到了ROOT權(quán)限，后果可想而知。

(代碼片段以明文形式收集并上傳支付密碼)

寫在最后：

對用戶而言，需要強化對數(shù)字貨幣傳輸安全的認知，尤其是加強對于私鑰的保護，對數(shù)字錢包平臺而言，切莫為了盲目攫取用戶量而忽略底層的安全問題。

目前，市面上已經(jīng)有多種類型的數(shù)字貨幣錢包，諸如imtoken、Kcash等都已取得了一定的市場份額。但這個市場蛋糕足夠大，據(jù)了解全球持幣人數(shù)約為5000萬，中國持幣人數(shù)僅500-600萬，較之人口比例，絕對屬于增量市場。

錢包在戰(zhàn)略層屬于區(qū)塊鏈行業(yè)的“超級入口”，是創(chuàng)業(yè)者競相爭搶的賽道。故而，市場上出現(xiàn)了大量“良莠不齊”的產(chǎn)品。有個別開發(fā)團隊在業(yè)務(wù)優(yōu)先的前提下，對自身錢包產(chǎn)品的安全性并未做足夠防護，一旦用戶個人資產(chǎn)被盜，加之區(qū)塊鏈的交易不可逆特性，對用戶造成的損失難以估量。

綜上而言，安全才是數(shù)字錢包平臺的核心命脈，也是整個區(qū)塊鏈生態(tài)穩(wěn)健發(fā)展的基礎(chǔ)。