數字貨幣成為白領的又一個投資渠道早已經是公開的秘密。可是,數字資產容易被黑客攻擊。各種交易所,貨幣錢包被攻擊的新聞層出不窮,作為幣圈小白應該如何防範安全隱患是本文探討的重點。
黑客與交易所的交鋒
幣安 Binance 交易所
北京時間2018年3月8日,黑客攻擊了世界第二大交易所,「幣安Binance交易所」。大量用戶的賬戶被盜。面對這次突入起來的黑客攻擊,今早幣安對所有異常的交易進行了回滾處理,暫時平息了這場危機。
Vircurex
在2013年當時處於全球比特幣第三大交易平臺Vircurex曾遭到了兩次黑客襲擊,讓Vircurex陷入了嚴重的財務危機中,迫不得已,在2014年的3月份停止了比特幣、萊特幣以及其他虛擬貨幣的提款,並且凍結現有用戶的全部賬戶。用戶不能進行交易也不能提款,但是會逐步返還到用戶的賬戶中。Vircurex希望通過這一做法緩解財務壓力和保障因黑客攻擊而受害的用戶的利益。
日本Mt. Gox
提起2014年Mt. Gox這個倒閉已久的日本交易所,不得不提所謂的“門頭溝慘案”。Mt. Gox第一次遭受較大規模黑客攻擊是在2011年的6月19日,價值875萬美元的比特幣在攻擊中失竊。2013年4月,Mt. Gox成為世界第一交易所,比特幣比價猛漲至100美元,當時全球範圍內76%的交易是通過Mt. Gox完成的。
然而好景不長,在2014年2月25日上午,一份名為“危機應對草案”的Mt. Gox內部文件從其網站流出,上書“我們在一次重大比特幣失竊案中,被盜了744,408個比特幣。”
當天下午在線錢包服務商 BlockChain 的首席安全官,比特幣意見領Andreas Antonopoulos表示:導致Mt. Gox比特幣失竊的漏洞其實可能被黑客利用了長達兩年的時間。黑客甚至能將Mt. Gox離線存儲的比特幣從“冷錢包”中轉移出來,一般情況下,“冷錢包”是與互聯網是斷開的,是不可能被在線的黑客竊走的,但Mt. Gox很不幸地遭遇了此種事件。
2月28日Mt. Gox正式向日本法院遞交破產申請,文件中聲稱總共“丟失”了85萬比特幣(75萬屬於用戶,10萬公司持有),按28日比特幣均價計算,“丟失”的財富約合4.75億美元。Mt. Gox宣告了破產。但是被盜的比特幣一直成迷。
直到2017年7月26日,希臘警方逮捕了一個名為Alexander Vinnik的38歲俄羅斯男性。事件才看到了曙光,Alexander Vinnik一直受到美國通緝。他涉嫌通過非法比特幣交易所BTC-e展開非法活動,涉及資金達40億美元,不少用戶將他與世界最早的比特幣交易所BTC-e的領導者Alexander聯繫在一起,Mt. Gox也曾是Alexander Vinnik網絡攻擊的受害者。監管機構認為,Alexander Vinnik在2014年Mt. Gox丟失的850,000枚比特幣中獲利部分比特幣,並通過BTC-e和名下另一家虛擬貨幣交易所Tradehill流通入市場。Mt. Gox攻擊事件有望水出石落。
Bitstamp交易所
在2015年1月4號Bitstamp交易所被黑客入侵,這名黑客似乎是於1月4號凌晨開始行動,起初有3100枚比特幣被轉移到了黑客錢包內,而在接下來的16個小時內,資金不斷地流入這個地址,到了下午4時,該地址內已有超過6000枚比特幣。在1月4日晚上至5日凌晨的幾個小時內,另有12000枚比特幣流入了該地址。
到了此時,Bitstamp已經注意到平臺熱錢包內的資金,正遭遇黑客席捲,之後Bitstamp當機立斷,迅速將剩餘資金轉移到冷錢包內。
黑客共竊取了近19000個比特幣,價值510萬美元的比特幣慘遭洗劫。
Bitfinex
2016年8月2日黑客在世界上最大的數字貨幣交易所之一的Bitfinex上,找到了該交易所的一個安全漏洞,盜取了用戶近12萬個比特幣,價值近6700萬美金。使其當日比特幣價格大跌20%,隨後Bitfinex迅速關閉網站、通知工程師維護漏洞並關閉了網站的交易。並給出承諾會在調查結論出來之後補償用戶的損失,那12萬個比特幣至今蹤跡全無。
韓國Bithumb
作為韓國最大數字貨幣交易所Bithumb也難逃黑客入侵的厄運,在2017年6月份,一名員工的電腦被黑客入侵,大約3萬名客戶的個人信息遭洩漏,被盜的賬戶之中,發現有266個賬戶提現。受損資產達到數十億韓元。韓國民主黨試圖準備一系列法案草案,以其通過修改電子金融交易法,賦予加密貨幣(包括比特幣和以太幣)法律地位。
OKEx交易平臺
9月28日早晨其在OKEx交易平臺上的賬戶被一個德國IP地址登陸,參與了剛上線的比特幣-以太坊經典(BTC-ETC)的交易,把所有持倉強平,掛單撤銷。該非法入侵者在一小時內將賬戶內比特幣消耗殆盡。該賬戶原有200比特幣,估算的損失超過500萬元。OKEx客服回覆是:黑客所為,被盜案件與平臺無關,受害人可自行報警。
後續多位OKEx、OKCoin用戶反映賬號內比特幣被盜,共計600來個,約價值人民幣2000萬元。但是受害者普遍遇到了立案難的問題,有地方警察認為比特幣是傳銷行為,對偷盜比特幣案件不予立案。
日本CoinCheck
在2018年1月26日,這對日本最大的加密貨幣交易所之一CoinCheck來說是一個巨大的災難。
1月26日,Coincheck在當天02:57左右非法移除約26萬名NEM持有者,隨後發生後暫停了一些功能。公司在12:07左右發現異常情況,併發出臨時停止非公開發行的通知。12時30分左右,NEM交易暫時中止。16時33分左右,包括日元在內的所有處理貨幣的提款被暫停,隨後BTC以外的交易暫停,包括信用卡,工資日和便利店活動。最終,交易所高管在接近尾聲的時候確認了盜竊行為。
對於這一次黑客的入侵,官方給出的解釋是:Coincheck將錢存入熱錢包而不實行多重簽名系統的弊端最終導致了黑客有機可乘。
該平臺全部(5.26億)NEM幣(新經幣)被非法轉移。根據估算,這批丟失的新經幣價值高達5.23億美金,這將是歷史上最大規模的數字貨幣盜竊案。也是CoinCheck交易所的沉痛日。
1
解密一、黑客盜幣之出錯攻擊
所謂出錯攻擊,即利用用戶犯的常識性錯誤,盜取用戶資產。比如,某黑客盯上了某個人,通過侵入其電腦,盜走保存在電腦中的私鑰,即可悄無聲息地轉走個人的加密資產。
據瞭解,此類事件,已經發生了N例,很大程度上在於個人信息的洩露,從而被黑客盯上,同時秘鑰又以一種不安全的方式進行了保存。
2
解密二、黑客盜幣之旁路攻擊
這種攻擊的算法與計算複雜性毫無關係。通過獲取電流、電壓、電磁波,然後一兩秒鐘就可以破譯掉,屬於旁路攻擊。
上文中所說的硬錢包攻擊,即屬於這種攻擊。獨立的硬錢包擁有獨立的芯片,如果該芯片不具備抗DPA攻擊、電磁干擾攻擊或電磁波攻擊,可能破譯起來會更容易些。
據業內人士介紹,政府高層曾經為了防止這類硬件攻擊洩露機密,專門為隨身攜帶者的筆記本設計了一種殼子,防止電壓、電流、電磁波等信息被讀取。事實上,這也從側面印證了這種攻擊方式的可行性。
不過,據韓永飛介紹,這種做法只有在特定條件下才能獲取電磁波或者芯片裡邊的電流或者電壓信號,個人電腦一般人很難獲得這個信號,至於移動手機就更難以實現了。並且,現在已經有了很多抗DPA攻擊技術和抗電磁波攻擊技術,可以讓硬錢包相對安全。
3
解密三、黑客攻擊之交易所
談及交易所攻擊,從網上可以搜到很多實例。從Mt.Gox到Bitfinex、Coincheck、Bithumb、Bancor、幣安(Binance)等交易所,雖然丟幣數量不等,但絕對防不勝防。
日前,1COrating.com發佈的一份詳細的報告顯示,許多交易所普遍存在安全措施鬆懈的問題,其中包括一些被認為是頂級平臺的交易所。在100家日交易額超過100萬美元的交易所中:
41%的交易所允許密碼少於8個符號;
37%的交易所只允許使用數字或字母的密碼;
5%的交易所允許在沒有電子郵件驗證的情況下創建賬戶;3%的交易所沒有2FA;
只有46%的交易所滿足所有四個參數;
只有4%的交易所被發現具有領域安全的最佳實踐;
只有2%的交易所使用註冊表鎖;
只有10%的交易所使用DNSSEC,防止DNS緩存中毒。
調查顯示,無一交易所能達到盡善盡美,不過還是將排行靠前的推薦一下。
在談及交易所被盜的原因時,韓永飛的一種提法非常有意思,他認為,交易所把用戶的錢都存到他的錢包,就和比特幣本身的安全沒有太大關係了,因為交易所的錢包雖然也是比特幣的一個錢包,但是這個錢包所處的環境和用戶所在的終端環境就不一樣了。第一人為可以操作,第二黑客會加大攻擊力度,因為幹掉一個錢包,可以拿到很多比特幣。不是比特幣本身的問題,而是交易所的問題,也不是密碼學自己的問題,而是密碼學所處的環境——交易所的算法運行環境出了問題。
4
解密四、黑客攻擊之熱錢包
每個進入幣圈的人,都要先從錢包開始重視安全,因此,錢包與每個人都息息相關。在韓永飛看來,目前,所有的數字錢包並不是用的同一種密碼算法,所以秘鑰也不一樣。不過要想破解,則就需要進行海量的算力。
在其經歷的一次測試中,團隊要破譯RSA的700多位,動用了全球大學校園業餘時間的機器,最終破譯了一年多。目前,量子計算機還沒真正出現,以ECC(Elliptic Curves Cryptography,橢圓曲線密碼編碼學)密碼為例,利用目前的力量破譯ECC,要集全球之力,可能也要破譯相當長的時間,恐怕需要以年來計算。
所以,基於熱錢包破解所需要的算力以及複雜性,公眾並不需要太擔心,只需要保存好自己的秘鑰,平時在網絡上多注意安全,在交易之後就將資產轉入個人的錢包,問題就不大了。不過,錢包中存有較多價值幣的個人用戶還是小心些好。同日常錢包一樣,一個錢包放過多的錢風險變大。
如何設置一個強大安全的密碼?
1
長度很重要
在過去,6-8 位數字的密碼就已經足夠了。現在,專家們推薦加長至12-14位——至少12-14位——來保證安全性。
“密碼的長度和複雜程度很重要,長度越長複雜程度越高也就越難破解,”Vestige Digital Investigations首席技術官(CTO)格雷戈·凱利(Greg Kelley)說到。
2
不要使用明顯的信息作為密碼
“12345”、“password(密碼)”這類低強度密碼目前仍然是最常被使用的密碼——而此類密碼對於用戶來說是最大的威脅。
還有哪些是千萬不能當做密碼來使用的?可以簡單地通過網絡搜索查找到的關於你的所有信息都不建議用作密碼,像你的名字、生日、配偶的名字、寵物名,類似此類能夠輕易通過社交媒體獲取的信息都不要作為密碼。
3
句子比單詞好
我們採訪過的很多專家都強調,機智地使用“密詞組”比用“密詞”更容易創造出複雜度高的密碼。
“可以是容易記憶的金句——比如你喜歡的書或看過的電影中的——再加上特別的符號或數字的話更能增加密碼整體的長度和複雜度,”網絡情報公司Sixgill的首席執行官(CEO)兼創始人的艾薇·卡斯頓(AviKasztan)如是說。
比如,“summertimeandthelivingiseasy(夏日時光和生活很愜意)”要比“summer1(夏天1)”好得多。
更進一步,混雜數字、大寫字母或符號到句子中密碼的安全性會更高。比如,“$ummerT1meAndTheLivingIsEasy”。這個富有創造性的方法能夠確保你的密碼獨特又複雜。
4
使用空格
當創建一個“密詞組”時,不要忘了還能用空格!空格往往會被破解密碼工具忽略,因此使用空格能夠讓“密詞組”更復雜。
亞歷克斯·海德(Alex Heid)是SecurityScorecard的首席研究院,給出的建議密碼形式是:“My favorite dinner is steak & potatoes.(我晚餐愛吃牛排和土豆)。”
Heid 說這個密碼很好用,因為混雜大小寫和加入了特殊符號——再加上這個密碼非常方便記憶。
5
不要忽視郵箱密碼
在提及密碼安全時,很多人首先會聯想到像銀行賬戶、信用卡和其他包含敏感信息的東西,而往往忽略了郵箱密碼。但是郵箱被入侵卻會帶來最大的威脅。
郵箱是密碼重置的方式之一,為郵箱設置一個安全的“密詞組”並且定期進行更改,對於你其他所有賬戶來說也就額外多了一層保護。
邁克爾·凱撒(Michael Kaiser)國家網絡安全聯盟的執行董事則建議給郵箱添加驗證信息——“幾乎所有主流郵件服務商都有提供的登錄密碼之外的保護措施”。
6
不定期更換
如果你所有賬戶的密碼都一樣,無疑你給黑客們提供了一把進入你生活的萬能鑰匙。專家們建議每個 60-90 天就更換一次密碼。然而,頻繁更換低複雜度的密碼還不如不換。
“重複使用的密碼也容易遭破解,然而即使是技術最高超的用戶也不能避免不犯這樣的錯,”Siegrist公司說到。
不要偷懶!給不同的賬戶設置不同的密碼,並且不要重複使用。
閱讀更多 區塊生態 的文章
