去中心化雖然為比特幣帶來了極高的安全性,但對於持幣人來說,他們依然有可能各種各樣的途徑丟失比特幣。在最近的一次演講中,Casa CEO 傑里米·韋爾奇(Jeremy Welch)發表了關於各種比特幣威脅的內容。
本文由 ZB 創新智庫原創編譯,首發於 Beincrypto.com,作者是 Kyle Totpey。
這裡有 10 個涉及來自駭客的攻擊,而不是諸如使用者錯誤或硬體故障之類的威脅。讓我們仔細研究一下駭客可以嘗試使用的 10 種不同方法來訪問您的比特幣私鑰。
1、網路釣魚
Welch 在演講中談到的第一個駭客威脅是網路釣魚,這是攻擊者基本上是在誘使使用者透過假冒的合法網站交出其登入憑據。例如針對比特幣精簡版錢包 Electrum 的攻擊就屬於此類。
2、SIM卡劫持
SIM 劫持問題已經有相當長的一段時間了,但是手機服務提供商似乎對解決這個問題不感興趣。儘管此攻擊以前曾用於攻擊傳統的線上帳戶,但由於採用了基於比特幣和 SMS 的雙重因素身份驗證,當受害者的電話號碼移植到駭客的裝置上時,真錢就會丟失。
Welch 在演講中說:“不幸的是,SIM 卡劫持發生的概率已經大大增加,電信公司並沒有為此做太多事情,也沒有為解決這個問題做很多事情。”
3、網路攻擊
網路攻擊涉及駭客。該駭客針對比特幣使用者訪問各種 Web 應用程式所需的核心基礎結構。MyEtherWallet 以前曾出現這種攻擊的例子,當時錢包提供商受到 DNS 駭客攻擊。
4、惡意軟體
一個惡意軟體攻擊通常用來結合網路釣魚,欺騙使用者下載惡意軟體,然後允許攻擊者竊取帳戶憑據,私鑰等更多資訊。
5、供應鏈攻擊
大多數比特幣使用者可能並不十分了解與供應鏈攻擊相關的威脅。這種攻擊涉及將惡意程式碼或硬體新增到流行的裝置(例如硬體錢包)中。Welch 在演講中解釋說:“很多人只想到這一點,因為外包商可能會將其放在那兒,還有可能存在流氓員工,和“流氓合作伙伴”。
“很多人沒有意識到,有多少公司實際上將許多產品業務外包。甚至非常大型的頂級公司也將許多工作外包出去。因此,它可能是流氓合作伙伴,流氓合作伙伴的流氓僱員,甚至可能是滲透到其中一些公司的政府代理。”
6、身體脅迫
除了電腦保安性外,比特幣使用者還需要考慮物理安全性。涉及物理脅迫的攻擊通常稱為“ $5扳手攻擊”,因為沒有任何加密或資料安全性可以阻止某人走近個人,並要求他們用扳手來移交資訊。
綁架,酷刑或勒索也可能與這種攻擊有關。根據 Welch 的說法,不幸的是,隨著比特幣價格的上漲,這類攻擊的頻率越來越高。“因為比特幣具有可移植性,並且由於不可逆轉,因此很難恢復。因此,一旦這些措施成功,將很難追回[被盜資金。”Welch 說。
Welch 將政府沒收作為對比特幣使用者的單獨威脅,但歸根結底,這也可以看作是暴力威脅下的盜竊行為。
7、兒童或寵物襲擊
兒童或寵物攻擊是身體脅迫攻擊的分支。在這裡,親人(例如孩子或寵物)遭受暴力威脅或被綁架,而不是實際比特幣藏匿地的所有者。
當然,贖金要求並不是比特幣獨有的。在一部幾年前拍攝的電影中,某位億萬富翁拒絕為他的孫子的安全歸還而支付贖金。“很多有錢人已經習慣了親人被綁架的威脅,但是大多數比特幣人還不習慣這種情況,”韋爾奇解釋說。
8、內部服務提供商攻擊
內部服務提供商的攻擊涉及加密貨幣公司(例如交易所或錢包提供商)的員工,他們使用對服務提供商後端的特權訪問來收集客戶的個人資訊或直接竊取資金。
9、平臺或託管攻擊
如今,大多數 Web 都建立在雲服務集中的基礎架構上,而高度集中的雲資料對於駭客來說似乎是一個巨大的寶藏。這與駭客傾向於以交換為目標,而不是以單個使用者的節點為目標沒有什麼不同。
“所有資料都集中在一個地方,因此,如果您發起攻擊,並且能夠訪問該雲伺服器,那麼通常可以非常快速地獲取大量資料,將其洩露出去,然後再次攻擊客戶”,Jeremy Welch說,他同時指出,2012 年 Web 主機 Linode 被駭客攻擊是這種攻擊的一個具體例子。
10、程式碼依賴攻擊
程式碼依賴性攻擊在某種程度上類似於平臺和託管攻擊,因為它們還涉及依賴某些外部基礎架構的比特幣服務提供商,需要確保 Google Analytics(谷歌分析)和 Mixpanel 等第三方工具的平臺這些外部程式碼庫不會引入惡意 Javascript 程式碼。
