5月25日，欧盟发布的GDPR即《一般数据保护条例》宣布正式生效。据悉，GDPR条例效力仅次于宪法，增加了对用户数据保护的强制性和责任性，如若企业不遵守，将受到2000万欧元或企业全球年营业额4%的严厉处罚。

这为一些面向全球化业务的高科技企业，制定了更高的个人隐私保护和安全标准，生来便具备全球化基因的区块链行业自然也不例外。

一年来，随着区块链新技术的火热，一些窃取用户隐私和资产，扰乱行业安全生态的黑客攻击行为屡见不鲜，尤以数字钱包领域为重灾区。

2017年11月，以太坊钱包Parity被爆漏洞，导致93万个ETH被冻结，价值2.8亿美金。2018年4月，数字货币钱包Myetherwallet(MEW)，遭受了黑客DNS劫持攻击，致使一名不幸的用户损失超过85个ETH，价值近6万美元。因数字钱包漏洞恶意攻击的安全隐患事件不胜枚举。

近日，区块链安全公司PeckShield研究人员发现一款集成IM的数字钱包应用程序——币用存在重大安全漏洞。技术人员通过开源代码研究发现 “币用”不仅上传telegram ID、名字、手机号上传到币用自己的服务器，而且在进行转账操作时，甚至会将交易密码以纯文本格式上传到币用服务器。用户身份、钱包地址甚至密码全部被关联在一起，无疑会给用户带来极大的隐私和支付风险。

据币用官方称，币用要打造一个链接用户与区块链世界的社交网络，通过链接区块链用户、社区、媒体、资产、应用程序等社交网络，从而成为区块链世界的航母“微信”。不过，业界对其认知还只是汉化版Telegram，在Telegram全球用户已经破亿的大势下，币用每月也拥有了近300万活跃用户，圈内影响不容小觑。

按照官方说法，币用的产品卖(lou)点(dong)在于 ：

1、无需保存复杂的助记词、私钥等晦涩信息，一个手机号就能玩转整个区块链世界。要知道，私钥是证明数字资产所有权的唯一凭证，私钥的生成和存储方式决定了用户资产的安全与否。助记词是明文私钥的另一种表现形式，目的是为了帮助用户记忆复杂的私钥，能够安全管理助记词也至关重要。

圈内人一直呼吁对数字货币采用“变态级”的保存方式。不通过网络传输，比如邮箱，甚至不将私钥助记词等保存在联网的电脑上，而要用笔抄在纸上，多抄几份分别放在不同的安全区域。然而币用却忽略甚至诱导用户不在意这一点，这显然是背离区块链产品安全基本准则的。

2、联合Telgram打造了超级社区，可以加入热门区块链群组，和全球用户进行交流对话。币用在拓展初期能快速获得一定量级的用户，这和他建立在圈内人心智中汉化版Telegram品牌定位有莫大关联。

殊不知，Telegram的最大特点是它的“Secret Chats”私密聊天功能，用户可以自由删除聊天消息，信息阅后即焚。其点对点加密技术是吸引用户的关键，另外Telegram采用了自定义的MTProto协议，区别于web，这是一种专门用于移动端app与服务器交互使用的协议，为其信息传输安全提供了有力保障。然而，表面神似Telegram的币用，内核却差之甚远。

PeckShield研究人员发现币用在登录界面(LoginActivity)会将Telegram ID、显示名、手机号发送一个地址UrlConfig.URL_USER_UPLOAD。若继续跟查这个URL地址，会发现其最终上传服务器为https://www.biyong.info/app/user/upload，很明显这是币用的私有域名，并不受智能合约保护，而且上传数据前，系统并没有对数据体本身做安全处理。

(代码片段收集电话号码和电报ID)

3、拥有许多诸如翻译、钱包、红包、邀请活动等超级功能。币用为了活跃用户群并快速导入流量，在各个群发送免费领币消息，引导用户创建钱包并参与抢发红包。众所周知，纯IM产品和涉及到资金管理的数字钱包产品安全标准是全然不同的。币用加入了创建钱包功能，并没有做好相应的资金安全保障。分析代码发现，当用户传输加密货币时，它会调用sendOutToServer()以明文形式收集并上传支付密码，而且密码规格是6位数字，倘若用户信用卡、支付宝、微信、邮箱等其他平台账户的密码和此密码一致，而且不幸手机里的某个APP被黑客拿到了ROOT权限，后果可想而知。

(代码片段以明文形式收集并上传支付密码)

写在最后：

对用户而言，需要强化对数字货币传输安全的认知，尤其是加强对于私钥的保护，对数字钱包平台而言，切莫为了盲目攫取用户量而忽略底层的安全问题。

目前，市面上已经有多种类型的数字货币钱包，诸如imtoken、Kcash等都已取得了一定的市场份额。但这个市场蛋糕足够大，据了解全球持币人数约为5000万，中国持币人数仅500-600万，较之人口比例，绝对属于增量市场。

钱包在战略层属于区块链行业的“超级入口”，是创业者竞相争抢的赛道。故而，市场上出现了大量“良莠不齐”的产品。有个别开发团队在业务优先的前提下，对自身钱包产品的安全性并未做足够防护，一旦用户个人资产被盗，加之区块链的交易不可逆特性，对用户造成的损失难以估量。

综上而言，安全才是数字钱包平台的核心命脉，也是整个区块链生态稳健发展的基础。