2024 年,链上转账总额超过 10.6 万亿美元。加密交易的核心是私钥,一旦暴露或滥用,可能导致不可逆的损失。少数几个控制点决定了整个系统的财务安全,因此团队应了解失败模式的位置,以及在资金链上流动时哪些控制措施可以降低风险。
下面展示了在需要可预测、可审计和高韧性系统的企业中,安全加密操作的实际样貌。
本文内容
- 什么定义了加密货币中的安全性?
- 加密密钥、签名和钱包模型的运作机制
- 哪些控制措施支持安全的加密操作?
- 哪些威胁和漏洞会影响加密系统?
- 组织如何实施加密安全框架?
- Stripe Payments 如何提供帮助
什么定义了加密货币中的安全性?
加密货币是在公开、开放的区块链网络上流通的数字资产。掌控私钥的人就掌控资金,交易结算后不可撤销且没有保障。加密安全意味着保护私钥,同时保护影响其使用的系统、人员与流程。
塑造加密安全的三大因素是:
密钥:私钥决定谁可以转移价值。能使用密钥的人可动用与其绑定的资金。私钥丢失意味着无法访问,且通常无法挽回。
交易:每笔转账都是签名的链上操作,一旦确认即永久生效。安全必须确保只创建合法交易,并反映企业的真实意图。
系统与人员:钱包软件、签名基础设施、管理工具、部署管道和员工设备都可能成为通往密钥的路径。企业规范与密码技术同样重要。
加密密钥、签名和钱包模型的运作机制
当企业“持有加密货币”时,实际上掌控的是私钥。密钥是一个秘密值,钱包使用时,它会生成对应的公钥和地址,供他人支付。它无需离开存储它的系统。
当企业发送资金时,会构建交易并用私钥签名。网络验证签名后,链上账本将永久更新。
钱包架构包含了关于密钥如何创建、存储位置、谁可以请求签名以及交易发出前必须执行哪些检查的完整决策。
根据是否连接互联网,钱包被归类为“热钱包”或“冷钱包”:
热钱包:软件钱包是一种常见的热钱包。它们在线保存密钥以支持自动化。
冷钱包:这些钱包离线保存,以保护长期持有的资产免受网络威胁。冷钱包包括硬件钱包、硬件安全模块 (HSM) 以及全离线存储方案。
热钱包和冷钱包都可以采用多重签名 (multisig) 设置和多方计算 (MPC) 等保护措施,将控制权分散到多个密钥或多个参与者之间。企业也可以选择托管方案,将整个模式外包给专业机构。
在专业设计的钱包中,架构通常包含多层防御以保护资金,尽管不同钱包类型的安全标准可能有所不同。
哪些控制措施支持安全的加密操作?
强大的加密安全依赖于多层防御。每一层都针对不同类型的失败,它们共同可以打造一个难以被滥用,且在出现问题时仍具有韧性的系统。
以下是安全堆栈在实践中的运作机制。
密钥环境
第一层是安全的基础。安全系统会封存密钥,仅在签名时暴露。
核心要素包括:
安全硬件(硬件钱包、硬件安全模块 (HSM) 和安全隔区)以防止密钥被提取
受控密钥生成,具备高熵并附可验证日志
备份分别存储,访问受控且可追溯
策略层
企业在此创建可审查、可审计并可控的交易路径。
有效的设置方法包括:
多重签名或多方计算以避免单点故障
支出和速率限制,用于及早发现异常
经审核的目的地地址允许列表
高价值或异常交易的审批流程
运营规范
大多数加密事件发生在密钥相关的系统和人员中。2024 年,基础设施攻击(如私钥和助记词泄露)几乎占被盗资金总额的 70%。
为防范这种情况,需要:
管理工具和内部管理平台需具备访问控制、日志记录和强化界面。
开发人员与自动化流程应限制谁可以部署或修改与密钥交互的代码。
工作站和内部网络需要进行设备加固、多因素认证 (MFA) 及网络分段,以防止恶意软件接触敏感系统。
监控与侦测
由于加密交易结算迅速且不可逆,检测必须既快速又精确。
有效的设置可监控以下内容:
异常签名模式
异常目的地或交易规模
热钱包余额变动
尝试将资金发送到已知不良地址或受制裁目的地
签名逻辑中的配置漂移或篡改
哪些威胁和漏洞会影响加密系统?
加密系统不会以单一方式失败。相反,攻击者会利用人类的弱点。威胁包括员工收件箱、智能合约代码等。
以下是您应该关注的威胁。
人为访问途径
许多攻击旨在破坏人及其依赖的系统。
以下是需要监测的人为访问途径:
钓鱼与社交工程:攻击者冒充供应商、同事或钱包提供商,诱使他人泄露助记词、批准恶意签名或登录假界面。
错误路由或误操作交易:单个误键字符可能将资金发送到错误地址,且无法追回。
内部访问或未受追踪的权限:广泛或管理不善的内部权限可能让单个人或其被攻破的设备接触到不应访问的签名路径。
系统受损
即使您的密钥被安全存储,上游系统也可能被操纵:
恶意软件可能会更改目的地或窃取凭证。
后端服务可能被利用来请求未经授权的签名或修改管理资金流动的逻辑。
持续集成/持续部署 (CI/CD) 入侵可能会注入恶意逻辑。
钱包设置薄弱
结构设计不佳会放大错误。请注意:
控制主要余额的单密钥钱包
弱密钥生成或明文密钥存储
备份存储在攻击者可能找到的位置
热(运营)资金与冷(储备)资金未分离
应用与协议风险
建立在区块链之上的应用本身也带来了风险。
请警惕:
逻辑错误和角色配置错误
桥接、预言机或离链组件中的漏洞
利用激励或最大可提取价值 (MEV) 相关行为的经济攻击
网络层面风险
有些链比其他链更脆弱。较小的链容易受到攻击者篡改近期历史或双重花费自身交易的攻击。
网络拥堵和条件恶化容易导致费用飙升或网络停滞,这可能会破坏对时序、结算和可用性的假设。
运营漏洞
许多加密事件都是因可见性不足导致的失败。
这些情况的发生原因包括:
实时监控有限
无人审核日志和警报
团队缺乏应对真实事件的经验
组织如何实施加密安全框架?
加密安全框架将所有这些元素结合起来。它为企业提供了一个有目的且可审查的结构,用于管理密钥、控制交易以及响应威胁。
以下是实施全面加密安全框架的方法。
梳理您需要保护的资产
清点每个钱包、密钥和余额。
记录所有能够影响交易创建的系统或人员。
识别高风险点,如热钱包和管理控制台。
制定反映企业如何使用加密货币的政策
定义交易规则:为高价值或异常交易设定支出上限、速率限制及审批流程。
设置地址批准逻辑:决定哪些地址是预批准的,以及出现新地址时的审核流程。
风险细分:您需要明确分离运营钱包与资金存储。
围绕分离和冗余构建密钥管理堆栈
核心管理策略包括:
安全密钥生成
防篡改存储(HSM、安全隔区或多方计算 (MPC) 系统)
精心控制的分布式备份
高价值钱包采用多重签名或多方计算
加固所有接触签名路径的系统
构建带有身份控制、范围受限权限以及完整可审计性的内部工具和流水线。
监控所有可能影响资金的因素
设置实时警报,监控出站转账,测量行为基线,并持续验证签名系统的完整性。
在需要之前演练事件响应
团队应演练:
谁负责响应
谁会被暂停操作
资金如何进入安全状态
内部和外部沟通如何展开
外部验证系统
独立监督可确保系统诚信,因此应规划:
定期审计
渗透测试与红队演练
遵循既定标准,例如加密货币安全标准 (CCSS)
Stripe Payments 如何提供帮助
Stripe Payments 提供一体化的全球支付解决方案,助力各类企业——从成长型初创公司到全球性企业——在全球范围内接受线上与线下付款。企业几乎可在全球任何地方接受稳定币支付,并以法币形式结算至其 Stripe 账户余额中。
Stripe Payments 可帮您:
优化您的结账体验:通过预置支付用户界面和 125 种以上的支付方式(包括稳定币和加密货币),打造无缝客户体验,节省数千小时工程开发成本。
更快拓展新市场:覆盖全球客户,并通过跨境支付选项降低多币种管理的复杂性和成本,服务覆盖 195 个国家/地区、支持 135 种以上货币。
统一线下与线上付款:整合线上与线下渠道,打造一体化商务体验,实现个性化互动、回馈忠实客户并增加收入。
优化支付性能:通过一系列可定制、易于配置的支付工具提升收入,包括无代码的欺诈保护功能与提高授权率的高级功能。
利用灵活、可靠的平台加速业务增长:选择一个专为随业务扩展而设计的平台,历史正常运行时间达 99.999%,可靠性在行业内首屈一指。
了解更多关于 Stripe Payments 如何为您的线上与线下付款提供支持的信息,或立即开始使用。
本文中的内容仅供一般信息和教育目的,不应被解释为法律或税务建议。Stripe 不保证或担保文章中信息的准确性、完整性、充分性或时效性。您应该寻求在您的司法管辖区获得执业许可的合格律师或会计师的建议,以就您的特定情况提供建议。