比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > 聚幣 > Info

聽說 BitGo 工程團隊老大的錢包被黑了,到底怎么回事?教訓是什么?_LED

Author:

Time:1900/1/1 0:00:00

在加密貨幣投資世界游走,保護數字資產安全是個大問題。但是在易用性和安全性之間,找到最適合最佳的平衡卻真不容易。本文從BitGo工程主管SeanCoonce交易所錢包被盜出發,分析我們應該如何保護自己加密貨幣的安全,以及對比了市面上三款硬件錢包的不同。

撰文:江明睿,就職于密碼貨幣對沖基金BitCapital

現在交易所都會有雙重驗證,用戶在輸入密碼后,需要第二個動態密碼進行驗證,動態密碼最簡單的做法是綁定手機或郵箱。但是,請小心!最近發生的一個案例卻再次證明,手機和郵箱驗證碼是不安全的。

數字資產托管公司BitGo的工程主管SeanCoonce最近因為手機的SIM被攻擊,導致他的Coinbase錢包損失了價值10萬美元的加密貨幣。SeanCoonce在Medium上撰寫了一篇文章,「我生命中最昂貴的一個教訓」,詳細描述和總結了這次被盜經歷。

這多少有些諷刺意味。因為本身BitGo是一家專業的數字資產托管公司,以提供多簽錢包聞名,保護數字資產的安全是其核心業務。盡管SeanCoonce在自己的Twitter上發出聲明,自己不負責安全工程,在BitGo有另外一個專業的團隊負責安全。不過,這也從另外的角度證明了:黑客盜取數字資產的方式防不勝防。

Bittrex Global吸引與美SEC和解后對美國監管不確定性保持警惕的市場參與者:金色財經報道,Bittrex Global與美國證券交易委員會達成和解后,旨在吸引對美國監管不確定性持謹慎態度的市場參與者。今年4月,監管機構對該公司及其美國分支機構采取了執法行動,理由是該公司涉嫌以未注冊交易所的形式運營。Bittrex上周四與美國證券交易委員會達成和解。

周三,Bittrex Global首席執行官Oliver Linch向那些“鑒于監管不確定性,對與美國建立任何聯系越來越謹慎的人”保證,如果他們想與非美國監管的數字資產交易所開展業務,Bittrex Global就在這里。[2023/8/16 21:27:50]

BitGo工程團隊老大的加密貨幣是如何被盜的?

不妨先看看BitGo工程主管SeanCoonce是如何被盜的吧。

顯然,受害者的隱私信息被長期潛伏的黑客收集了,這個過程中,黑客獲得了受害者重要的身份驗證信息。得到身份驗證信息的黑客,通過篡改受害者手機sim卡的手段,獲得手機驗證的控制權,從而通過二次手機驗證登錄進入受害者賬戶,進行提幣操作。

從時間的發展緯度,我們可以還原一下這次黑客攻擊的過程:

RTFKT與好萊塢經紀公司CAA簽約,擬將IP拓展到電影和電視領域:6月8日消息,耐克旗下加密時尚潮牌 RTFKT 已經與好萊塢經紀公司 Creative Artists Agency(CAA)簽約,旨在將旗下 IP 拓展到電影和電視領域,還將為專注于加密和 3D 的藝術家創建一系列網絡研討會和其他教育節目。[2023/6/8 21:23:11]

Day1,10:00PM

黑客掌握受害者手機號碼,受害者發現SIM卡出現問題,但是因為是晚上,沒有及時解決。

Day1,10:05PM

黑客使用「忘記密碼」功能對谷歌郵箱發出更改密碼功能,由于二次驗證使用手機號碼,黑客成功更改郵箱密碼。

Day1,10:50PM

黑客獲得手機和郵箱登錄后,在Coinbase交易所發起重置密碼請求。

Day1,10:51PM

黑客通過郵箱,獲得交易所重置密碼鏈接,同時黑客清除所有相關郵件,受害者還不知道自己遭受攻擊。此時黑客已經獲得所有權限。

Day2,11:00AM

用戶重置SIM卡和郵箱。這里是重點:黑客看到了受害者重置了自己的SIM卡和郵箱,而并沒有重置自己交易所的密碼,此時黑客清楚受害者的警惕已經降到最低。

Alchemy Pay:對硅谷銀行和Silvergate沒有風險敞口:金色財經報道,加密支付服務商Alchemy Pay發推表示,對硅谷銀行和Silvergate沒有風險敞口,沒有任何資金存放在這些機構,其合作銀行完全遵守所有法規。[2023/3/10 12:54:32]

Day2,10:00PM

黑客再次掌握受害者手機號碼,由于受害者發現了與之前相同的問題,沒有放在心上,而是覺得手機發生故障,受害者準備第二天再去解決。

Day2,10:01PM

黑客再次重置郵箱密碼,同時,使用前一天已經獲得的交易所重置密碼鏈接,重置交易所密碼。

Day2,10:10PM

黑客登錄交易所,提出所有資產。

Day3,09:00AM

受害者在售后服務點內意識到自己遭到攻擊,為時已晚。

雖然這里的雙重驗證攻擊是手機SIM攻擊,可能不適合國內,但是,手機和郵箱往往由于密碼簡單,很容易被破解。同時,如果身邊的人長期滲透收集你的隱私,對你進行攻擊后,不會留下任何線索。

如何防范被盜?

報告:2月份全球加密貨幣交易所交易產品的資產管理規模略有上升:金色財經報道,Fineqia International對全球交易所交易產品 (ETP) 的分析以加密貨幣為基礎資產,顯示 2 月份管理資產 (AUM) 值增長 1%,而同期加密貨幣市值增長 1.5%。根據 Fineqia Research 的數據,2 月 1 日至 3 月 1 日期間,加密貨幣ETP AUM總額從277 億美元增至280 億美元。?上市的 ETP 總數從 164 個減少到 155 個,奧地利的Bitpanda GmbH 停止了 5 個 ETP 的交易,英國的 ETC Group 關閉了 4 個 ETP。ETP 包括交易所交易基金 (ETF) 和交易所交易票據 (ETN)。[2023/3/10 12:52:54]

可以說,黑客防不勝防。防范被盜最簡單的方式就是:做最壞的打算。換句話說,由于加密貨幣的特性,你沒有辦法證明你的資產是真的被盜還是你自己轉走的,錢包和交易所沒有義務給你背鍋。想當銀行家管理自己的資產,一定要做好安防工作。

針對黑客的幾個攻擊步驟,我們可以在5點上提高安全:雙重驗證,密碼管理,硬件密鑰,硬件錢包,隱私保護

1、雙重驗證

螞蟻集團在滬宣布升級隱私協作平臺FAIR:金色財經消息,在今日上海2022世界人工智能大會(WAIC)上,螞蟻鏈隱私協作平臺FAIR宣布整體架構升級,平臺開放性和大規模計算性能得到進一步增強。

據悉,隱私協作平臺FAIR是由螞蟻數科螞蟻鏈團隊開發,他深度融合了隱私計算和區塊鏈這兩項技術的優勢,來解決數據流轉過程中“可用不可見”,以及多方協作之間的數據權屬和真實性等問題。[2022/9/2 13:05:18]

谷歌身份驗證器

手機和郵箱都是不夠安全的,尤其是當黑客發現這個手機和郵箱的主人持幣。真正安全的二次驗證是使用動態身份驗證器,例如谷歌身份驗證器,靠譜的交易所和錢包都支持這個。

能做到這一步,你已經比市場上99%的韭菜強了,黑客看到你這樣,不會浪費時間在你身上的。谷歌身份驗證器可以保護你的登錄安全。

2、密碼管理

密碼管理軟件,例如Bitwarden,安全且易用。有手機app和瀏覽器插件,同時具備加密同步功能。值得一提的是Bitwarden可以和谷歌身份驗證器同步,這樣在瀏覽器內就可以快速查看最新的動態密碼。Bitwarden本身也可以用動態密碼或者硬件密鑰驗證。這里有詳細的更加詳細的工具推薦。密碼管理工具,可以幫助你管理你的所有密碼。

3、硬件密鑰

這一步復雜一點,但是安全性會提高一個級別。為了保護好你的電腦,手機和谷歌賬戶,可以考慮使用硬件密鑰Yubikey,這種做法是企業級別的安全模式。最大的好處是只要硬件密鑰在身邊,就可以防止遠程登錄。同時,谷歌用戶可以設定更高級賬戶保護模式,第三方服務登錄谷歌賬戶,需要通過硬件密鑰解鎖。硬件密鑰可以阻止黑客遠程登錄。

4、硬件錢包

知乎上最著名的答案:大三的學生,手頭有6000元的錢,想要做些小投資賺點兒錢,有什么好建議么?

買比特幣,保存好錢包文件,然后忘掉你有過6000元這回事。五年后再看看。

那么怎么最好的保存錢包文件呢?用硬件錢包,一定要把長期持有的資產通過硬件錢包保存。硬件錢包讓安全和易用性得到平衡。這里需要強調一點,在下載與硬件錢包配套的軟件App時,一定要注意不要下載到盜版的詐騙軟件。如果遇到軟件一打開,就要求輸入用戶名和密碼,一定要三思而后行。

5、隱私保護

記住這一點:不要用聊天軟件發送密碼和敏感信息。聊天軟件的記錄很大概率使用沒有加密的明文保存。

我的使用心得:硬件錢包密鑰上手用

上文說了,對于普通的個人投資者,使用硬件錢包是個不錯的方式,可以讓安全性和易用性得到平衡。因為工作的關系和個人的愛好,我試用過市面上不少硬件錢包,正好借助這個機會和朋友們分享一下我對幾款產品的上手心得。

必須強調:下文中我提及的產品都是自己掏錢購買,本文并未接受任何產品方的贊助。另外,下文提到的產品只是因為我自己購買過、使用過,所以列出,供朋友們參考。市面上錢包產品很多,有很多產品我沒有使用過,并不代表這些產品不好。

硬件密鑰的選擇:Yubikey

各大企業安全標配,用于杜絕員工簡單且不安全的密碼。支持所有主流加密協議。購買需要一次買兩個,小的那個可以一直插在電腦上,大的隨身攜帶。如果其中一只丟失,可以用另外一只補救。

硬件錢包的選擇:imTokenimKey&LedgerX

這是兩款最新的支持藍牙鏈接的硬件錢包,由目前業內最靠譜的兩個團隊研發:Ledger和imToken

包裝

三件套LedgerX,LedgerS,imKey

imKey包裝提供防篡改貼紙,保證沒有在運輸途中被動過手腳

imKey包裝,防篡改貼紙撕掉后會有大大的VOID提示

Ledger沒有防篡改貼紙,但是每次啟動后都會進行放篡改驗證,看上去更加安全

兩個錢包都提供記憶卡片,方便記憶復原密碼詞組,一定要保護好這張卡片,如果硬件錢包丟失或損壞,需要這組密碼詞組復原

imKey實測與手機配對多成非常簡單快捷,配對完成后,日常使用中鏈接非常快,給用戶的阻力非常小

LedgerX鏈接也很便捷,圖為防偽驗證,每次使用都會有這一步,但是速度很快,可以有效的阻止硬件設備遭到攻擊

這里提一下,由于imKey和LedgerX都是通過藍牙鏈接,如果信不過藍牙的安全性,可以選擇LedgerNanoS,實測用數據線和手機鏈接,可以成功運行

imKey的大小非常合適放入錢包,做工非常結實,適合隨身攜帶,存零花錢

LedgerX相對大很多,不夠便攜,適合放在家里當金庫

兩家的App都很好用:

Ledger的更加專注于錢包功能,沒有復雜的功能,定位是做大額資產管理。imToken可玩性超高,結合了Dapp瀏覽器,玩玩Defi應用,在手機上借Dai收租非常爽。

安全三件套Yubikey,imKey,Ledger

本文來源于非小號媒體平臺:

江明睿

現已在非小號資訊平臺發布1篇作品,

非小號開放平臺歡迎幣圈作者入駐

入駐指南:

/apply_guide/

本文網址:

/news/3628620.html

免責聲明:

1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場

上一篇:

開源代碼與網站代碼不一致?WalletGenerator曝出驚人漏洞

下一篇:

機構入場指南:一文讀懂數字資產托管全景圖

Tags:BITEDGGERLEDBitcloudBZEdgeBABYBNBTIGERledger錢包支持usdt么

聚幣
摩根大通為其區塊鏈開發新功能,可隱藏轉賬者身份和金額_THE

據coindesk.com報道,摩根大通的區塊鏈團隊已經為其基于以太坊的區塊鏈開發了一項隱私功能,使轉賬者身份和金額都不可見.

1900/1/1 0:00:00
LBank期權交易大賽活動排名每日公示5.27_LBA

尊敬的LBank用戶: 在LBank于?2019.5.2016:00-2019.6.1916:00期間舉辦的期權交易大賽.

1900/1/1 0:00:00
JEX上線月EOS期權0624公告_JEX

EOS看漲期權 代碼月EOS看漲0624期權標的EOS合約類型歐式看漲期權計價單位USDT最小價格單位0.0001USDT合約比例1:1.

1900/1/1 0:00:00
比特幣沖擊9000美金高位 天量成交額暗藏后續走向_比特幣

——空軍持倉處于歷史低位,盤面中籌碼不足,短線回調出現可能——實盤展示平臺合約帝特邀嘉賓為大家帶來本輪行情分析: 一、持倉分析 1、BTC-Bitfinex多軍持倉日線BFX多軍日線持倉從底部上.

1900/1/1 0:00:00
靠“韭菜”接盤為生?細說瑞波XRP的騷操作_COI

昨天,瑞波公司又賣出2億枚XRP,若按照3塊/枚的價格來算,這次瑞波公司又進賬6億人民幣。有人說:“項目方出貨,怕是又要跌了.

1900/1/1 0:00:00
金色早報-韓國政府:正密切關注加密市場動向 建議投資者慎重投資虛擬貨幣_比特幣

eToroCEO:投資比特幣的人首先需要了解其背后的技術 ◇金色盤面 BTC最近成交價8657.27美元,24小時變化0.18%;ETH最近成交價269.87美元.

1900/1/1 0:00:00
ads