白話區塊鏈
從入門到精通,看我就夠了!
幾個小時前,幣安釋出公告稱,今天凌晨幣安發現了一起大規模的系統性攻擊,駭客盜走了幣安比特幣熱錢包中的7000BTC。
雖然幣安快速響應,發出公告表示將使用“SAFU基金”全額承擔本次攻擊的全部損失,沒有任何使用者有任何損失,但訊息一出,市場還是出現了恐慌情緒,行情隨即出現大幅下跌。
交易平臺動不動就被盜幣,被人笑稱“區塊鏈成駭客提款機”。那些拿著年薪幾百萬的技術人員,為什麼阻止不了駭客的攻擊?如果連交易平臺的技術人員都阻止不了,那我們這些沒有技術背景的普通人自己儲存加密資產,會不會更危險?有哪些原因會導致丟幣呢?
01
丟幣可能是區塊鏈專案本身的安全性問題
區塊鏈專案本身的安全性問題一般是指以下幾種:
第一種是協議本身出了漏洞。比如,在2010年8月15日,比特幣曾經被駭客發現協議漏洞,駭客發了一筆交易,輸出了184億個比特幣。以太坊的The Dao事件,因為程式碼被發現漏洞,導致300多萬的以太幣被駭客鎖定。還有以太坊上的美鏈BCE和SMT這兩個ERC-20 Token,出現程式碼漏洞,直接被駭客刷出了幾百億的Token。
第二種是節點錢包出現漏洞。節點錢包是區塊鏈專案的P2P網路基本組成單位。比如,位元黃金BTG的節點錢包被注入木馬,偷走了使用者的私鑰檔案,導致大量丟幣。以太坊的節點錢包Parity也曾經因漏洞導致幾億美元合約賬戶裡的Token被凍結。
還有第三種,算是邊緣的,非節點錢包出現漏洞。這些錢包一般也是開源專案,比如比特幣的SPV錢包(如BitGo),以太坊的輕錢包(如MyEtherWallet)。這一類錢包數量就多了,是軟體就會有Bug,這些經常會爆出漏洞,嚴重的會出現偷幣現象。
區塊鏈專案本身的漏洞並不是幣被盜的主要原因。
02
丟幣可能是計算機系統的安全性問題
計算機系統的安全性問題是最好理解的,一般是駭客劫持了使用者裝有Token的電腦或手機,獲得了管理許可權,從而可以偷取使用者的私鑰檔案和密碼。
駭客如何能劫持使用者的電腦,這又是一系列的安全性問題了,比如作業系統本身的漏洞,第三方軟體帶來的漏洞,路由器等網路裝置被破解等等。
03
丟幣可能是自己開發的軟體的安全性問題
交易平臺自己要開發一整套軟體,就涉及到包括交易平臺的撮合系統、賬戶管理系統、資金管理系統,特別是交易平臺往往需要自己定製開發錢包,要做自動化提幣程式。
這些軟體都有可能存在漏洞。有漏洞就有可能被人利用,就有機會丟幣。
交易平臺有大量的使用者,有很多使用者是使用機器人接入交易平臺的API來交易,這些機器人又會存在漏洞,被人利用。這種情況也經常會被算到交易平臺的頭上。
04
丟幣可能是使用者錯誤使用導致的
最常見的丟幣,其實不是因為各種軟體漏洞導致的,而是使用者忘記密碼。一般錢包都會加密,只要使用者忘記了密碼,那就涼涼了,中本聰也救不了你。
使用者自己不擅長使用計算機裝置,不備份又不小心將私鑰檔案刪除,也是一個超高風險的事。比如電腦重灌系統,手機丟了之類的。
有些使用者安全意識弱,又不理解數字貨幣私鑰的重要性,不少使用者自己暴露了私鑰。比如,有使用者會將以太坊錢包的KeyStore檔案用微信傳輸,而且是不加密的。類似的使用者主動在社交網路中公佈自己的助記詞、私鑰檔案等,是不是會發生。
還有些使用者希望用各種雲盤等線上工具來備份自己的私鑰,比如將私鑰檔案放在百度雲盤上,把助記詞儲存在有道雲筆記上。這些行為可以說是“自殺”行為,很容易被別人盜走加密資產。
使用者傳送Token經常會出現發錯地址的現象。有些情況發錯了,幣就會丟。比如,如果將BCH發到了BTC的隔離見證地址上,就可能會被“做惡”的礦池直接轉走。如果將以太幣轉進一個合約賬戶,並且合約賬戶裡的程式碼還不知道怎麼處理這些幣,那就會丟。
比特幣有找零機制,有些使用者不知道找零是什麼,有可能沒有儲存好找零地址的私鑰,也可能會導致所有的找零幣丟失。使用UTXO機制的加密貨幣,都有找零的特性,不注意的話,都容易丟幣。
05
社會工程學攻擊導致丟幣
很多的丟幣事件是被騙子騙走的。
有些騙子會偽裝成某個公司的人員,比如將微信頭像換成錢包公司的客服,然後透過一頓忽悠將使用者的私鑰騙到手,使用者的幣就丟了。甚至有些小白使用者直接讓不法分子使用QQ遠端協助來控制他的電腦,結果自然就是不法分子把私鑰給偷走了。
網路釣魚也是丟幣的常見手段。有些不法分子會利用釣魚郵件,偽裝成某個網頁錢包網站,騙取使用者的私鑰。
在場外交易市場裡,就有大量的騙局,如偽造收款憑證,中間攻擊等等。上當受騙的人數不勝數。
有些不法分子還會偽裝成空投幣,叫別人使用私鑰去認領空投幣,這也是一個大坑。
此外,還有一類加密勒索病毒特別流行,直接將使用者電腦的檔案加密,然後敲詐幣。
其他領域的騙子如何騙錢,在區塊鏈行業內基本都出現過,因為監管的缺失,不法分子非常猖獗。
06
交易平臺為什麼經常丟幣?
交易平臺幣多錢多,流動性大,駭客和不法分子天天盯著。現在交易所平臺被偷了,經常不敢聲張,怕面子過不去,這導致駭客更加猖狂。
交易平臺的系統複雜,一大堆軟體,避免不了漏洞,只是發現和攻擊漏洞的成本與收益問題。
另外,交易平臺人員管理複雜,資金的流動不可能是一個人管,而是一堆人管,任何一個環節都可能是安全突破點。
不法分子為了偷幣,有可能像電影裡面偷銀行那樣,不但搞網路入侵,還入侵你的攝像頭,甚至撬開家門,綁架老闆。這是真實發生過的事情,烏克蘭就曾有一家交易平臺的老闆被綁架了。
現在,由於制度的缺失,很多警察和法律不太愛受理Token被盜的案件,再加上Token的匿名性,也助長了不法分子的膽量。
還有,很多媒體喜歡煽風點火,能把1誇成100。大眾也喜聞樂見,圍觀和傳播交易平臺被盜的事故。
07
自己儲存可以規避部分風險
相對於交易平臺這樣的資金集中地,使用者自己持幣可以規避部分風險。
使用者自己持幣,需要考慮計算機系統的安全和錢包軟體本身的安全性。一般來說,只要所有的軟體都用正版的,及時更新系統補丁,使用經過市場考驗的錢包,就可以規避掉絕大部分風險。
普通使用者的Token流動性也不會像交易平臺那樣高,所以普通使用者可以使用一個冷錢包儲存大部分幣,使用一個熱錢包儲存一些零散用的幣,就幾乎可以高枕無憂了。用的少了,自然暴露風險的機會就少了。
普通使用者只要保持基本的警惕性,不要貪小便宜,學習一點數字貨幣的基礎知識,加密資產的安全性就會大大提高。
08
小結
在加密貨幣的世界裡,如何安全地儲存自己的加密資產是每一個參與者必須要面對的問題。
如果自己掌握了最基本的安全知識和相關的區塊鏈知識,將Token存在自己掌握私鑰的錢包(冷錢包和熱錢包)中,無疑是最安全的;但如果經常丟三落四,或是做事比較馬虎,把Token存在大的交易平臺,或是找專業的機構進行託管,或許是更好的選擇。
留言挖礦 第225期:安全無小事,在區塊鏈資產保管方面,你有哪些經驗/教訓可以分享給大家?歡迎在留言區分享你的觀點。
▎推薦閱讀
300多萬EOS被盜,冷錢包也不安全了嗎?
USDT這顆雷到底爆不爆?未來影響幾何?
——End——
