钱包是投资数字资产第一门必修课。

作为区块链生态的基础设施中的一环——钱包，2017年以前，钱包只是小众应用。随着2017年加密数字资产的大爆发，众多新用户涌入，钱包这一类应用迅速发展，如国内的轻钱包imToken、硬件钱包库神等，他们抓住这一波红利，快速抢占市场份额。其中就有一款硬件钱包：Bepal（币派）。

近日，在接受采访时，Bepal CEO胡园泉表示，Bepal要做的并不仅仅是硬件钱包，他们的最终目的是要做一家区块链安全机构。

Bepal项目始于2015年，是由国内知名矿池鱼池（F2Pool）早期投资人董戈创建，代号BCP（BlockChainPal），定位于区块链技术相关应用的研究。创办初期为多家企业（交易所、矿池）提供区块链相关技术支持与服务。2016年3月，团队更名为Bepal，专注保护区块链私钥安全，2017年7月其自主研发的首款硬件钱包开始量产。

提升用户安全意识比硬件钱包的系统安全性更迫切

硬件钱包涉及私钥的生成、存储、使用、运输、传递及销毁。胡园泉认为发生攻击的环节有两点：私钥生成阶段和私钥使用阶段。

在私钥生成阶段，要看生成种子的随机数是否是可靠的随机。一方面按照官方指定的方式去做，另外维护一个可靠的熵池，加入摄像头里的随机像素点或者麦克风的噪音，以及更多的硬件噪音，形成一个高品质的随机数熵池，让整个随机数生成能够达到一个安全的标准。

另外的危机来自供应链端的威胁，比如用户没有从官方正规渠道购买Bepal硬件钱包，那么从非官方授权渠道购买来的硬件钱包就有被动过手脚的可能，比如不法分子将硬件钱包配套的密语卡掉包换成带涂层的。正常的密语卡是空白的，需要在设备上随机生成私钥之后，由用户将生成的密语抄写在密语卡上并妥善保存。小白用户没有这个常识，误以为设备本身就自带防伪涂层和提供密语，并把数字资产存入密语已经泄露的硬件钱包内，那么不法分子只要使用硬件钱包恢复账户功能，就能轻松盗取小白用户的数字资产。

在使用阶段，由于硬件钱包是绝网状态，相比网页钱包和客户端钱包安全一些，但也会遇到安全问题。比如比特币的一笔交易打出去的时候，零钱是要打回找零地址上面。黑客可以将攻击点放在找零地址，特别是现在很多的硬件设备，用户喜欢去结合网页端或者客户端使用。黑客用各种各样的方式去替换或者篡改找零地址，它产生的影响也会非常非常大。除此之外，硬件钱包的固件也可能受到木马植入，或者被篡改，这种情况下也会直接导致私钥泄露。

在硬件系统本身的安全上，国外一些硬件钱包会采用加密芯片，如 Ledger Nano S相比Trezor 和 KeepKey多了一个专用的安全加密芯片，系统程序和密钥存储分离，分别存储在两个芯片上。

对此，胡园泉认为，大家对硬件钱包还有一个认知误区，就是过多强调硬件本身的安全性，其实工具本身的安全系数相比用户使用习惯来讲，影响非常小。“很多发生风险的案例，并不是因为硬件本身的安全系数没达标，其实更多的是用户自己的使用问题，或者被人诱导主动交出自己的资产。”

胡园泉告诉，身边有很多朋友，因为安全意识差而损失资产。比如：

一个朋友将密语存放在旧手机并抄在了墙上，结果有一天手机被老父亲换成了不锈钢面盆，墙也被粉刷了好几层，丢了自己的比特币。另一个故事是，用户领取“糖果”时把私钥从钱包导出，并导入某个领糖果的网站，结果就是糖果没领成，领到了“炸弹”。

这些意想不到的资产丢失事件，大部分都是个人的原因造成而非硬件本身问题。

但胡园泉并不否认硬件钱包的大趋势是会采用加密芯片等安全措施，“但是在这个过程当中，其实优化用户的使用习惯，修复人的漏洞，反而更重要。”

这是一个动态变化的过程，现阶段是用户这边的安全问题突出一些。“武器升级，使用武器的人，也要升级。否则，再安全的钱包，直接把密语暴露出去，也没用。”

这就不难理解为什么胡园泉说“比卖产品跟重要的是普及安全知识”。

画漫画、写段子：Bepal用“不正经”的方式做区块链安全

在Bepal的漫画资料里看到，一个Q萌的Bepal IP“币小宝”漫画上，写着“密语丢失，神仙难救；密语被盗，资产难保”。这是Bepal在提示用户钱包密语重要性做的设计。常人很难想象一家卖产品的公司会用画漫画、写段子这种不严肃或者不太正经的方式传播区块链安全知识。

在4月14日由主办的Chainge区块链技术沙龙上，胡园泉在演讲中谈及区块链安全时，再次强调：人始终是计算机安全系统中最脆弱的组成部分，比卖安全产品更重要的是普及安全知识。

近年来频频爆出交易所数字资产被黑客盗取、个人存放在钱包的数字资产丢失，平台方和用户双方都有责任，但是很多情况下平台总是默默背锅，而用户总是莫名暴躁。

究其原因是加密数字资产是新兴事物，小白用户占多数，他们没有足够的专业知识，关于区块链安全，大牛与小白之间隔着深深的认知鸿沟，大牛讲解的专业术语，小白一头雾水。Bepal通过画漫画、写段子将生涩难懂的区块链知识翻译成幽默诙谐的大白话，帮助安全大牛与小白无障碍交流。

胡园泉告诉，Bepal目前团队规模65人，主要分布在温州，70%左右是技术人员，可以说是一家很正经的技术公司。“在网络安全这块，太技术容易死板，这样很难与用户建立好的联系，随之带来的问题是你锻造了一把板斧，用户拿到手里不会抡。”

所以，胡园泉要求运营团队，一定要非常接地气。所有从技术人员或研发人员发出的资讯一律经过运营小组筛选，翻译成通俗易懂的语言，让普通用户能够很容易get到里面的精髓，并在脑海中留下深刻印象。

其实很正经

“团队开始的想法就是做区块链安全，只不过硬件是作为一个很落地的解决方案来切入。在短期内比较容易实现，而且正好符合当时的一个场景，因为那个时候炒币特别热。”不过整体来看，Bepal创作的IP“币小宝”以及不断对外输出区块链安全方面的内容，才是Bepal拓展区块链安全服务的真实途径。“IP的形象能够很容易去贴近用户，逗比搞笑的段子传播也很快，让用户对我们输出的安全的内容形成很强的记忆点。乐一乐，突然就记住了那个点，再遇到相似的场景，你就会避免错误。”

现阶段，Bepal的主营业务分两块：一个是硬件研发，另一个是区块链技术安全研究以及提供解决方案。

硬件研发的产品就是Bepal钱包，从2017年至今推出了基础版、专业版、升级版三款硬件钱包。基础版在2016年12月开始设计，“那时候行业发展还不像现在这个样子，包括BIP分层协议，对数字钱包安全的定义等还没有概念。我们团队也是第一次做硬件，硬软件的设计、跟供应链对接等踩了很多坑，第一版原型机做出来其实很糟糕。”进入2017年，由于众所周知指的原因，加密数字资产迎来大爆发，Bepal也顺利解决了供应链环节，产品的工业化设计及硬件安全标准得到极大提升，年底推出了专业版。

硬件研发，需要经过设计、生产、测试、量产环节。做硬件的都知道，深圳生产厂家控制了其中大部分环节，所以整个周期可以长达6到8个月。Bepal的钱包造型类似手机，拿一个手机版去做不就完了吗？胡园泉告诉，并非这样，“硬件外型工业设计及固件，全部都要自己做。”说着，胡园泉从口袋掏出了一款专业版钱包，屏幕是3.5寸，外观细腻，但设计不好就会导致周围圆角不够圆润，影响美观。这种屏幕主流厂商已经停止生产，为此Bepal特意从台湾进的货再拿到深圳做全贴合。

这就是为什么常说卖硬件不赚钱而且坑很多。但是作为切入区块链安全的一个手段，Bepal在接下来的很长一段时间内还是会继续推进这块业务。至于区块链技术安全研究以及提供解决方案，Bepal也在稳固推进，并先后加入了EOS生态及比原链生态。

对于公司的发展规划，胡园泉表示，短期内还是会把重心放在资产的安全上面，销售硬件可以积累用户量，毕竟能用硬件钱包的用户，基本上是高净值用户，后期可以深入挖掘用户价值。长期还是要专注区块链整体安全，通过资本力量以及行业资源，将业务从数字货币存储安全拓展到智能合约、应用的安全上。建立区块链安全行业联盟、区块链安全产业基金、区块链安全人才培养体系，逐渐完成从“专注保护区块链私钥”到“专注区块链安全”的蜕变。