聽說 BitGo 工程團隊老大的錢包被黑了，到底怎么回事？教訓是什么？_LED

在加密貨幣投資世界游走，保護數字資產安全是個大問題。但是在易用性和安全性之間，找到最適合最佳的平衡卻真不容易。本文從BitGo工程主管SeanCoonce交易所錢包被盜出發，分析我們應該如何保護自己加密貨幣的安全，以及對比了市面上三款硬件錢包的不同。

撰文：江明睿，就職于密碼貨幣對沖基金BitCapital

現在交易所都會有雙重驗證，用戶在輸入密碼后，需要第二個動態密碼進行驗證，動態密碼最簡單的做法是綁定手機或郵箱。但是，請小心！最近發生的一個案例卻再次證明，手機和郵箱驗證碼是不安全的。

數字資產托管公司BitGo的工程主管SeanCoonce最近因為手機的SIM被攻擊，導致他的Coinbase錢包損失了價值10萬美元的加密貨幣。SeanCoonce在Medium上撰寫了一篇文章，「我生命中最昂貴的一個教訓」，詳細描述和總結了這次被盜經歷。

這多少有些諷刺意味。因為本身BitGo是一家專業的數字資產托管公司，以提供多簽錢包聞名，保護數字資產的安全是其核心業務。盡管SeanCoonce在自己的Twitter上發出聲明，自己不負責安全工程，在BitGo有另外一個專業的團隊負責安全。不過，這也從另外的角度證明了：黑客盜取數字資產的方式防不勝防。

Bittrex Global吸引與美SEC和解后對美國監管不確定性保持警惕的市場參與者:金色財經報道，Bittrex Global與美國證券交易委員會達成和解后，旨在吸引對美國監管不確定性持謹慎態度的市場參與者。今年4月，監管機構對該公司及其美國分支機構采取了執法行動，理由是該公司涉嫌以未注冊交易所的形式運營。Bittrex上周四與美國證券交易委員會達成和解。

周三，Bittrex Global首席執行官Oliver Linch向那些“鑒于監管不確定性，對與美國建立任何聯系越來越謹慎的人”保證，如果他們想與非美國監管的數字資產交易所開展業務，Bittrex Global就在這里。[2023/8/16 21:27:50]

BitGo工程團隊老大的加密貨幣是如何被盜的？

不妨先看看BitGo工程主管SeanCoonce是如何被盜的吧。

顯然，受害者的隱私信息被長期潛伏的黑客收集了，這個過程中，黑客獲得了受害者重要的身份驗證信息。得到身份驗證信息的黑客，通過篡改受害者手機sim卡的手段，獲得手機驗證的控制權，從而通過二次手機驗證登錄進入受害者賬戶，進行提幣操作。

從時間的發展緯度，我們可以還原一下這次黑客攻擊的過程：

RTFKT與好萊塢經紀公司CAA簽約，擬將IP拓展到電影和電視領域:6月8日消息，耐克旗下加密時尚潮牌 RTFKT 已經與好萊塢經紀公司 Creative Artists Agency（CAA）簽約，旨在將旗下 IP 拓展到電影和電視領域，還將為專注于加密和 3D 的藝術家創建一系列網絡研討會和其他教育節目。[2023/6/8 21:23:11]

Day1,10:00PM

黑客掌握受害者手機號碼，受害者發現SIM卡出現問題，但是因為是晚上，沒有及時解決。

Day1,10:05PM

黑客使用「忘記密碼」功能對谷歌郵箱發出更改密碼功能，由于二次驗證使用手機號碼，黑客成功更改郵箱密碼。

Day1,10:50PM

黑客獲得手機和郵箱登錄后，在Coinbase交易所發起重置密碼請求。

Day1,10:51PM

黑客通過郵箱，獲得交易所重置密碼鏈接，同時黑客清除所有相關郵件，受害者還不知道自己遭受攻擊。此時黑客已經獲得所有權限。

Day2,11:00AM

用戶重置SIM卡和郵箱。這里是重點：黑客看到了受害者重置了自己的SIM卡和郵箱，而并沒有重置自己交易所的密碼，此時黑客清楚受害者的警惕已經降到最低。

Alchemy Pay：對硅谷銀行和Silvergate沒有風險敞口:金色財經報道，加密支付服務商Alchemy Pay發推表示，對硅谷銀行和Silvergate沒有風險敞口，沒有任何資金存放在這些機構，其合作銀行完全遵守所有法規。[2023/3/10 12:54:32]

Day2,10:00PM

黑客再次掌握受害者手機號碼，由于受害者發現了與之前相同的問題，沒有放在心上，而是覺得手機發生故障，受害者準備第二天再去解決。

Day2,10:01PM

黑客再次重置郵箱密碼，同時，使用前一天已經獲得的交易所重置密碼鏈接，重置交易所密碼。

Day2,10:10PM

黑客登錄交易所，提出所有資產。

Day3,09:00AM

受害者在售后服務點內意識到自己遭到攻擊，為時已晚。

雖然這里的雙重驗證攻擊是手機SIM攻擊，可能不適合國內，但是，手機和郵箱往往由于密碼簡單，很容易被破解。同時，如果身邊的人長期滲透收集你的隱私，對你進行攻擊后，不會留下任何線索。

如何防范被盜？

報告：2月份全球加密貨幣交易所交易產品的資產管理規模略有上升:金色財經報道，Fineqia International對全球交易所交易產品 (ETP) 的分析以加密貨幣為基礎資產，顯示 2 月份管理資產 (AUM) 值增長 1%，而同期加密貨幣市值增長 1.5%。根據 Fineqia Research 的數據，2 月 1 日至 3 月 1 日期間，加密貨幣ETP AUM總額從277 億美元增至280 億美元。?上市的 ETP 總數從 164 個減少到 155 個，奧地利的Bitpanda GmbH 停止了 5 個 ETP 的交易，英國的 ETC Group 關閉了 4 個 ETP。ETP 包括交易所交易基金 (ETF) 和交易所交易票據 (ETN)。[2023/3/10 12:52:54]

可以說，黑客防不勝防。防范被盜最簡單的方式就是：做最壞的打算。換句話說，由于加密貨幣的特性，你沒有辦法證明你的資產是真的被盜還是你自己轉走的，錢包和交易所沒有義務給你背鍋。想當銀行家管理自己的資產，一定要做好安防工作。

針對黑客的幾個攻擊步驟，我們可以在5點上提高安全：雙重驗證，密碼管理，硬件密鑰，硬件錢包，隱私保護

1、雙重驗證

螞蟻集團在滬宣布升級隱私協作平臺FAIR:金色財經消息，在今日上海2022世界人工智能大會（WAIC）上，螞蟻鏈隱私協作平臺FAIR宣布整體架構升級，平臺開放性和大規模計算性能得到進一步增強。

據悉，隱私協作平臺FAIR是由螞蟻數科螞蟻鏈團隊開發，他深度融合了隱私計算和區塊鏈這兩項技術的優勢，來解決數據流轉過程中“可用不可見”，以及多方協作之間的數據權屬和真實性等問題。[2022/9/2 13:05:18]

谷歌身份驗證器

手機和郵箱都是不夠安全的，尤其是當黑客發現這個手機和郵箱的主人持幣。真正安全的二次驗證是使用動態身份驗證器，例如谷歌身份驗證器，靠譜的交易所和錢包都支持這個。

能做到這一步，你已經比市場上99%的韭菜強了，黑客看到你這樣，不會浪費時間在你身上的。谷歌身份驗證器可以保護你的登錄安全。

2、密碼管理

密碼管理軟件，例如Bitwarden，安全且易用。有手機app和瀏覽器插件，同時具備加密同步功能。值得一提的是Bitwarden可以和谷歌身份驗證器同步，這樣在瀏覽器內就可以快速查看最新的動態密碼。Bitwarden本身也可以用動態密碼或者硬件密鑰驗證。這里有詳細的更加詳細的工具推薦。密碼管理工具，可以幫助你管理你的所有密碼。

3、硬件密鑰

這一步復雜一點，但是安全性會提高一個級別。為了保護好你的電腦，手機和谷歌賬戶，可以考慮使用硬件密鑰Yubikey，這種做法是企業級別的安全模式。最大的好處是只要硬件密鑰在身邊，就可以防止遠程登錄。同時，谷歌用戶可以設定更高級賬戶保護模式，第三方服務登錄谷歌賬戶，需要通過硬件密鑰解鎖。硬件密鑰可以阻止黑客遠程登錄。

4、硬件錢包

知乎上最著名的答案：大三的學生，手頭有6000元的錢，想要做些小投資賺點兒錢，有什么好建議么？

買比特幣，保存好錢包文件，然后忘掉你有過6000元這回事。五年后再看看。

那么怎么最好的保存錢包文件呢？用硬件錢包，一定要把長期持有的資產通過硬件錢包保存。硬件錢包讓安全和易用性得到平衡。這里需要強調一點，在下載與硬件錢包配套的軟件App時，一定要注意不要下載到盜版的詐騙軟件。如果遇到軟件一打開，就要求輸入用戶名和密碼，一定要三思而后行。

5、隱私保護

記住這一點：不要用聊天軟件發送密碼和敏感信息。聊天軟件的記錄很大概率使用沒有加密的明文保存。

我的使用心得：硬件錢包密鑰上手用

上文說了，對于普通的個人投資者，使用硬件錢包是個不錯的方式，可以讓安全性和易用性得到平衡。因為工作的關系和個人的愛好，我試用過市面上不少硬件錢包，正好借助這個機會和朋友們分享一下我對幾款產品的上手心得。

必須強調：下文中我提及的產品都是自己掏錢購買，本文并未接受任何產品方的贊助。另外，下文提到的產品只是因為我自己購買過、使用過，所以列出，供朋友們參考。市面上錢包產品很多，有很多產品我沒有使用過，并不代表這些產品不好。

硬件密鑰的選擇：Yubikey

各大企業安全標配，用于杜絕員工簡單且不安全的密碼。支持所有主流加密協議。購買需要一次買兩個，小的那個可以一直插在電腦上，大的隨身攜帶。如果其中一只丟失，可以用另外一只補救。

硬件錢包的選擇：imTokenimKey&LedgerX

這是兩款最新的支持藍牙鏈接的硬件錢包，由目前業內最靠譜的兩個團隊研發：Ledger和imToken

包裝

三件套LedgerX,LedgerS,imKey

imKey包裝提供防篡改貼紙，保證沒有在運輸途中被動過手腳

imKey包裝，防篡改貼紙撕掉后會有大大的VOID提示

Ledger沒有防篡改貼紙，但是每次啟動后都會進行放篡改驗證，看上去更加安全

兩個錢包都提供記憶卡片，方便記憶復原密碼詞組，一定要保護好這張卡片，如果硬件錢包丟失或損壞，需要這組密碼詞組復原

imKey實測與手機配對多成非常簡單快捷，配對完成后，日常使用中鏈接非常快，給用戶的阻力非常小

LedgerX鏈接也很便捷，圖為防偽驗證，每次使用都會有這一步，但是速度很快，可以有效的阻止硬件設備遭到攻擊

這里提一下，由于imKey和LedgerX都是通過藍牙鏈接，如果信不過藍牙的安全性，可以選擇LedgerNanoS，實測用數據線和手機鏈接，可以成功運行

imKey的大小非常合適放入錢包，做工非常結實，適合隨身攜帶，存零花錢

LedgerX相對大很多，不夠便攜，適合放在家里當金庫

兩家的App都很好用：

Ledger的更加專注于錢包功能，沒有復雜的功能，定位是做大額資產管理。imToken可玩性超高，結合了Dapp瀏覽器，玩玩Defi應用，在手機上借Dai收租非常爽。

安全三件套Yubikey，imKey，Ledger

本文來源于非小號媒體平臺：

江明睿

現已在非小號資訊平臺發布1篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/3628620.html

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

開源代碼與網站代碼不一致？WalletGenerator曝出驚人漏洞

下一篇：

機構入場指南：一文讀懂數字資產托管全景圖

Tags：BITEDGGERLEDBitcloudBZEdgeBABYBNBTIGERledger錢包支持usdt么

聚幣