周四晚(4月23日),优盾钱包举行的第2期《区块链技术答疑课》顺利开播,本次答疑课邀请了优盾钱包核心开发成员Scott老师——6年资深客户端、前端工程师;优盾钱包开发团队核心成员;5年互联网项目研发、管理经验——作为答疑老师。课程在8个微信群同步直播,累计覆盖用户达800人。
在开课前,我们累计收到100+条用户的答疑问题,并在课程中精选了10道提问率最高的问题进行集中解答。
以下是本次答疑课的干货问答内容
Q1、如何存储usdt比较安全?
Scott Cheng: 大额或长期的话,可以采用加密备份的冷钱包和离线签名的方式。加密是为了以防暴露,备份是为了以防丢失,离线是为了抵御黑客攻击。在物理层有着这样的一条反黑策略,大致意思是我偏不联网,看你怎么黑我,我用骰子生成私钥,看你怎么碰撞。虽然用离线签名的方式使用冷钱包的存款,有点麻烦,但相对安全。
Q2、区块链数字货币交易所钱包开发原理
Scott Cheng: 交易所钱包开发的技术原理,简而言之,钱包助记词生成512位的种子(seed),而种子可以生成私钥(prikey),私钥可导出公钥(pubkey),公钥节选部分又可得到钱包地址(address)。此时钱包提供了keystore。
助记词是怎么生成的?
1.随机生成一个长度为 128~256 位(bits)的序列,叫做熵;
2.熵通过哈希即可得到一个数值,取前n位作为校验和,(n= 熵长度/32);
3.随机序列+校验和;
4.将第三步得到的新序列进行每 11位切割;
5.把第四步得到的每11位字节匹配词库的一个词;
6.由第五步生成的有顺序的单词就是助记词串。
助记词如何生成种子?
钱包助记词意味着总长度为128~256 位的熵。随后熵应用密钥扩展函数PBKDF2推导出更长(512位)的seed。然后,生成的seed用以搭建确定性钱包并获得其密钥。
数字货币交易所钱包还提供了keystore和密码等基础功能。
客户最佳的体验依然还是密码的方式,所以数字货币交易所钱包也提供了keystore导出来存储,这一Keystore相当于是私钥经过数据加密后的一个文件,需要用户自身设定一个密码才能打开文件。
此种行为的优点在于即使keystore文件被恶意盗取,如果用户额外设定的密码够长且随机,那么在短时间之内私钥也不会泄露,能预留出足够的时间将address里的加密货币转移到其他地址。在这种情况下,Keystore便会保留在用户使用的设备里,每次登陆操作时只需输入设定的密码即可。
Q3、钱包对数字货币业务起到什么作用?
Scott Cheng :一是提供银行级安全保障,极大程度地减少安全性问题;
二是提供明晰的财务管理,为交易所管理现有资产交易以及日后扩大业务提供强有力的支持。
Q4、数字货币钱包开发如何对BTC进行离线签名交易?
Scott Cheng :要解答这个问题,我们要先知道什么是离线签名。字面意思理解为处于不联网的情下进行签名,然后把签名后产生的原始数据放于互联网中进行广播完成交易。由此可见,离线签名不依托网络,仅仅在广播交易时依托于网络。
当时的离线签名还是依托于网络,仅仅在签名这一环节上,可以离线完成。
为何需要进行离线签名?在币圈各大媒体平台上,我们常看到加密数字资产市场被黑客攻击的新闻报道,所以,在加密货币世界里,最怕的四个字,不是“币价大跌”,而是——“私钥被盗/丢了”。私钥丢失意味着其所保护的数字资产拱手送人。因此,选择将私钥在离线状态下进行签名,极大程度上保护了冷钱包地址和私钥安全,从而更好地管理数字资产。 如何对BTC进行离线签名交易?BTC是基于UTXO的方式进行签名的。
如何理解UTXO?UTXO即Unspent Transaction Output,表示未花费的输出。举个简单的例子,我口袋里有一个20元,一个5元,一个1元。我买了杯奶茶23元,我肯定给服务员一张20和5元,服务员找零2元给我。此时,给服务员的25元已经花出去了就不是UTXO了,而找零的2元就是新的UTXO,加还是那个原本的余额1元UTXO了,也就是3元UTXO。
交易的完成,新的记录将记录在新区块上,但没有改变历史区块数据。BTC区块链访问到全部交易记录,当先前的UTXO出现在后续交易的输入变化时,就代表先前的UTXO已经花费掉了。假如从第一个区块一步步算出所全部BTC地址中的资产余额,便能够得到不同时间的各个BTC账户的余额。
Q5、交易所钱包加密方式有哪些?
Scott Cheng :交易所钱包系统可采用冷热相结合的加密方式。具体来说,热钱包用以处理数字资产的转入转出,冷钱包负责存储资产,既存储不轻易动用的资产,也存储热钱包里这部分交易资产。
Q6、那么冷钱包和热钱包有什么区别?
Scott Cheng:冷钱包具有以下特点
1.没有任何联网或者硬件层面的通信功能。
为了确保私钥不泄露
2.创建私钥或者助记词及存储
为了确保钱包创建之初就是在冷钱包中生成的且隔离网络
3.具备私钥的强加密存储及锁定(最好是销毁)
确保防止钱包丢失被他人窃取或被非法盗取后使用,个人认为锁定或销毁功能是密码输入错误次数在5次左右
4.具备由私钥为核心的公私钥、地址衍生功能
确保钱包能够通过既定算法获取对应的地址,用来收付款
5.具备交易签名功能
确保能够生成可用的交易串,具备使用钱包资产的能力
6.具备图形显示、信息输入功能,能够提供用户交互
①能够在创建钱包时提供助记词的显示,便于用户抄写在纸质或者其它媒介上存储
②能够提供收款地址的输出
③能够将用户输入的交易信息签名后并将交易串反馈给用户,由用户进行交易串的发送
7.能够通过助记词进行恢复,防止钱包丢失后钱包资产丢失
热钱包具有以下特点:
1.具备冷钱包的所有功能
2.具有实时连网功能
3.能够获取区块,进行区块同步、数据分析、资产管理、交易记录生成
4.能够连网进行交易发送
Q7、你们的钱包目前采取哪些风控策略?
Scott Cheng:目前,优盾钱包主要采用“多签名加密资产管理”和“多层次多维度”的风控策略。多签名加密资产管理是指,能够构建一个安全体系,对大额数字资产设置安全权限,控制其交易和流通。
具体表现为:
(1)新设备需手机验证码进行登录
(2)可限制固定电脑使用
(3)可限制固定IP使用
(4)非授权钱包无法导入使用
简而言之,就是如果动用一份加密资产,需要这份加密资产的多个持有人共同签名才能生效。假设说,如果交易500虚拟币需要交易所管理员ABC三人的私钥共同签名才能生效,那么就算其中A或者B或者AB都是内鬼,交易也无法达成。
Q8、你们的钱包有哪些独特的优势?
Scott Cheng:在当前的数字钱包市场,就我们使用的钱包产品来说,按照网络连接分类,市场上的数字资产钱包可大致分为两类:热钱包和冷钱包,但它们在使用过程中各有优缺点。热钱包保持实时连网上线,具有便捷的优点,但安全性令人担忧,市场上偶尔会爆出知名交易所被盗的消息,基本上就是因为交易所把数字资产存储在热钱包上所导致的。
而传统意义的冷钱包也并不能做到100%的安全防护,而且在操作便捷的体验上,一定程度对用户十分的不友好。
谈及具体的钱包产品,现有较为成熟的钱包方案多是针对C端用户,如库神、Ledger钱包。企业钱包的需求点则不同,且难度更大,系统也更为复杂。个别钱包公司开始推出企业应用,但还是较为原始,并没有提供钱包客户端,也就是说资产是存储于平台上,这种本身就不够安全。
解决方案:优盾钱包作为全球首款企业级区块链资产管理系统,完美的融合了热钱包和冷钱包的优势,采用冷热分离架构,确保私钥永不触网,这样,就彻底根绝了私钥被黑客窃取的风险。
目前,完备的企业钱包方案仅有少数头部交易所能实现,但是不会对外开放使用,而且定制化钱包的成本也非常巨大,很难具备普适性。优盾钱包可批量创建海量地址,实时监测并解析地址的交易(接收、发送)数据,保证交易数据的实时推送和极速响应。
当初我们团队决定开发优盾钱包的初心,正是想让一些中小型平台也有机会使用到这种专业级的钱包,以极小的成本获得极大的体验,大大降低了数字资产的管理门槛,彻底杜绝“盗币”风险。
Q9、比特币未花是什么?
Scott Cheng:举个例子,我觉得最贴切的比方就是真实的钱,以RMB为例。如果我有个钱包,钱包就是我们BTC的地址。
钱包里面有2个100的,1个50的,2个20的,10个10块的,1个5块的那这就是2+1+2+10+1 个未花
这个地址总资产就是2*100+1*50+2*20+10*10+1*5
Q10、你们在归集和提现流程,其中的做了哪些安全措施
Scott Cheng:提现这块,首先我们对外部业务提供标准SDK,提现我们有两种,一种是代付,一种是普通提现。
代付流程上是通过业务系统调用优盾网关服务,发起代付申请,申请成功后将会进入代付队列,由代付服务将会对所申请的地址进行提现转账;普通提现是通过业务系统调用优盾网关服务,发起提币申请,申请成功后将会进入审核,审核会在我们的客户端、APP展示,由优盾钱包使用者进行审核放币。
归集流程,首先在客户端、APP进行归集的基本配置,然后根据归集配置进行归集。我们分为3类
1、BTC系列币
BTC系列币种交易是未花模式,允许多对多转账,我们采用一次性归集
2、ETH系列币
ETH系列币是单账户形式,只能一对一转账,采用多次发送归集
3、BTC代币(USDT-OMNI)、ETH代币(ERC20)
我们会对符合条件的地址进行筛选,然后分成两部分,一部分是足够矿工费,一部分矿工费不足的。矿工费足够的我们将采用一对一转账,将资金归集;矿工费不足的,我们将先根据算法对每个地址进行矿工费充值,待矿工费到账,再进行归集。
以上就是上期答疑课的干货笔记。没有参加直播的小伙伴也别慌,后续我们会继续举办相关相关形式的答疑课,为大家多多解答区块链和钱包技术开发方面的相关问题。
免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。
