说好的“冷钱包”为什么不“冷”了？

imToken 是一款全球领先的区块链数字资产管理工具[ZB]，帮助你安全管理BTC, ETH, ATOM, EOS, TRX, CKB, BCH, LTC, DOT, KSM, FIL, XTZ 资产，同时支持去中心化币币兑换功能 ...

前一段时间imToken钱包官网，虚拟币发生了一件黑客攻击事件。价值约15亿美金的虚拟币被盗取，给币圈带来了巨大震动。直接影响就是主要的虚拟币纷纷大跳水，许多投资者面临爆仓风险。

整个事件很多人也都在讨论。我主要想从安全的方面聊一聊。特别是其中这次黑客的攻击，对虚拟币的冷钱包进行了攻击。对我的震动还是非常大。一般来说虚拟货币是放到一个叫做钱包的。软件或者是硬件中。这个钱包就包括了热钱包和冷钱包。热钱包使用比较方便，私钥本身是连接互联网的。冷钱包在使用的过程中也需要私钥签名，但私钥是多层签名，并且私钥是物理装置，平时不连互联网。但这次黑客利用了巧妙的方法实现了对冷钱包的攻击。并且成功转移了大量的虚拟币。所以最近我们在网上看到很多人纷纷。发文。题目是：说好的冷钱包呢？

最近，我们又发现在包的索引仓库中发现了恶意包，这个包能够通过伪装成流行库来窃取虚拟币的私钥。也就是说，开发人员在不知情的情况下在自己的软件中调用了恶意代码包冷钱包app下载，给软件使用者带来私钥泄露的风险。

本来是非常安全的一种机制。但现在发生这么多。安全事件。让我们不得不重新审视。在这样一个本来很安全的机制框架下，还有哪些安全工作要做？

首先我认为就是对智能合约逻辑的保护。这个逻辑本身是没有问题的，但是现在在黑客攻击面前。一些巧妙的攻击手法。底层后台悄悄篡改了智能合约的工作逻辑。而用户在应用层并没有实际的感受。这也是这一次15亿美金虚拟币被盗所发生的一个关键环节。所以应当有相应的工具，能够对智能合约逻辑的变化进行监测。不符合原始逻辑的时候能够把应用进行阻断。第二就是对开发软件的供应链进行安全检查。为了方便大家使用虚拟币，有许多厂商在开发各种各样的便捷工具。但开发过程中都会调用、复用许多以往的代码或者是第三方的插件和组件，这个过程中必须要加强对软件供应链的安全检查。第三就是各个交易所本身平台的安全性也需要加强保护，+这些需求中未来也会有大量商业机会。人工智能技术应该在这些场景中发挥新的作用。