每日最新頭條.有趣資訊

收個Word文檔也會丟幣?如何拯救被30萬黑客盯上的錢包

文/零界

來源/31QU

在加密貨幣的世界裡,你的資產就是鏈上的一串代碼。

這裡,是黑客斂財的新天地。據網絡安全公司 Carbon Black 最新調查數據的調查數據顯示,2018年上半年,有價值約11億美元的數字加密貨幣被盜。2018年下半年,這個數字還在不斷攀升。

而加密貨幣錢包,是黑客們肆虐的重點領域之一。

???無論是熱錢包、冷錢包,中心化、去中心化錢包,雲端錢包、HD錢包,只要有利可圖,都能在其中看到黑客狡黠的身影。

如何保衛被黑客盯上的錢包,將是一場漫長而殘酷的戰鬥……

猖狂的黑客和脆弱的系統

“2017年年中出現大量有計劃性針對性的黑客。”魚池創始人、Cobo CEO神魚告訴31QU,“據說有30萬名黑客在針對區塊鏈的各個方面做攻擊跟薅羊毛的事情。”

而加密貨幣錢包,是黑客攻擊的重災區之一。

11月27日,一名黑客攻破了 JavaScript 庫,並在庫中注入惡意代碼,妄圖竊取 BitPay、Copay 錢包存儲在其中的比特幣和比特幣現金。

被波及的BitPay與Copay,是全球知名的加密貨幣錢包品牌。BitPay 在今年4月份獲得了4000萬美金的B輪融資,2017年支付總額接近20億美元。

BitPay與Copay受到的威脅絕非個案,如今,黑客對錢包的攻擊已經“肆無忌憚”。

今年7月份,由以太坊前CTO蓋文·伍茲操刀的加密貨幣錢包 Parity 發布了安全警報,稱有153000ETH(大約價值 3000 萬美元)被盜。

2017年,在錢包方面,被黑客攻擊、損失金額超過千萬美金級別的就有6起。而與黑客瘋狂的攻擊相對應的,是目前加密貨幣錢包脆弱的安全技術。

據不完全統計,目前市面上有上千家錢包產品,但真正有安全技術的,並不多。

“錢包是一個非常重安全的事情,但用戶對錢包並不是很了解。”神魚表示,“很多人拿開源代碼隨便改改,一兩個人一兩周做出來的,底層安全幾乎在裸奔。”

在今年,錢包領域迎來一個創業的高峰,也有大量“簡單粗暴”的錢包產品湧現,“開源代碼拿過來改一改,UI做的漂亮一點,功能做的簡單粗暴一點”,用戶一旦使用,就等於把自己的資產放在一個極度不安全的環境中。

在今年5月,360集團資訊安全部發布了《數字貨幣錢包安全白皮書》,白皮書稱,目前,市場上最為主流的20多款錢包中,有八成存在安全隱患。

“這樣的安全現狀,導致很多黑客都把區塊鏈都當成靶場了。一旦加密貨幣錢包讓他們攻破,資產丟了幾乎沒法找回,所以黑客們就把區塊鏈當成了‘取款機’。”區塊鏈安全公司的技術負責人趙偉認為。

正是如此低的進入門檻,導致這個錢包這個新興領域變成了黑客的“屠宰場”。

消失的秘鑰

除了直接攻擊錢包的安全團隊,黑客還把目光放在普通的用戶身上。

使用過加密貨幣錢包的用戶都了解,私鑰對應的“助記詞”,是一款錢包安全的關鍵。如果不是“中心化”的錢包,助記詞丟失,意味著錢包再也找不回來;相應的,如果助記詞被黑客盜用,就等於錢包被黑客攻破。

“其實這個世界上80%的人沒有這個能力管理隨機數(與私鑰強相關)的。”神魚認為,“一旦被盯上,隨隨便便一個木馬就會導致你的數字資產蕩然無存。”

舉個最簡單的例子,很多人在手機上使用了第三方的輸入法,只要有“輸入”、“備份”操作,你輸進去的詞就是不安全的,已經被上傳到第三方數據柯瑞。

如果你把助記詞“複製”到其他地方,只要進了粘貼版,就被各種軟體360度監控,黑客稍微動些心思,就能找到。

神魚就曾和“黑客”有過一次驚心動魄的交鋒。

2015年,正在維護自家礦池的神魚,收到了一家“國外知名媒體”記者的採訪邀請,簡單的寒暄後,神魚欣然答應了這名記者的採訪。

從礦池到礦機,從加密貨幣行業現狀,到未來區塊鏈發展趨勢,這位“記者”的問題涉獵廣泛,並且相當專業。

“當時根本絲毫沒有懷疑。”神魚告訴31QU。

採訪持續了一個月。一個月後,“記者”將採訪內容整理出稿,給神魚發了一份Word文檔請求確認。

“我一般是不收Word文檔的,因為Word文檔很容易被植入木馬,而PDF卻相對安全的多。”神魚解釋道。他當時要求“記者”把Word文檔轉換成PDF格式,但對方卻說“不方便”,百般推辭,就是不發PDF文檔。

這個細節,讓神魚突然警惕起來。他找了台新的電腦,將這份文檔轉入虛擬機(對整個電腦而言,是相對安全的封閉環境),結果發現,這份Word文檔確實有問題。

如果當時在常用的電腦上打開了這份檔案,會被立刻植入木馬,電腦上所有數據會一點一點洩露,數據和資產都面臨風險。

“我又跟他聊了下,最後發現他是一個黑客。”神魚說,“只要你值得被盜,黑客就願意花心思。”

除了針對一人的黑客攻擊,對於普通用戶而言,黑客也會無差別大範圍的攻擊。

2018年3月20日,慢霧科技發現了臭名昭著的“以太坊情人節”攻擊。這次黑客可以說是“雨露均沾”,對以太坊錢包進行了持續數年攻擊,斂財鋼彈數千萬美金。

這一切要從2016年2月14日說起。

情人節這天,黑客通過一組可以直接從以太坊錢包自動轉账的命令“ETH_sendTransaction”,第一次在以太坊網絡上盜取了26.7個以太坊。

之後,這個盜竊方式在以太坊全網蔓延。

首先,黑客通過在全球掃描開放的 RPC API 接口的以太坊節點,有了這個接口,黑客便可以檢測以太坊區塊高度、錢包地址及餘額。

然後,黑客通過不斷調用 ETH_sendTransaction 命令,嘗試將地址中的餘額轉到黑客事先準備好的錢包。

如果此時恰好遇到用戶從自己錢包退出,部分瀏覽器會默認在300s內無需用戶再次輸入密碼。此時黑客的 ETH_sendTransaction 命令將會發揮作用,將錢包中的資金悉數卷走。

慢霧已經梳理了目前正在進行類似攻擊的IP地址,共有31個。

五花八門的物理攻擊

事實上,在網絡攻擊之外,還有其他大規模針對加密貨幣的“物理攻擊”。

有著“維京海盜”傳奇歷史的北歐,近些年發生了數起針對高淨值加密貨幣持有者的“入侵綁架”事件。

刀架在脖子上,當然要什麽給什麽。

2017年,著名的加密貨幣交易所BTC-e,因為涉及洗黑錢等問題,導致FBI直接衝進了他的IDC機房,抱走了伺服器。

結果,整個交易所用戶的比特幣,都存在那幾台伺服器裡,用戶最後虧損了三分之二的比特幣。

除此之外,還有專門針對硬體錢包的“供應鏈攻擊”。

神魚解釋道,所謂“供應鏈攻擊”,是指在硬體錢包出廠到客戶手上這段距離上,黑客對硬體錢包動了手腳,錢包本身的隨機數就不再隨機,黑客就有可能攻破錢包,進而將客戶資產轉走。

這並不是危言聳聽。

2018年1月份,網友 moodyrocket ,在eBay購買了一個二手硬體錢包,隨後將3.4萬美金加密貨幣悉數轉入了這個二手錢包中。

一周之後,當 moodyrocket 再次打開這個錢包時,卻驚訝的發現“餘額為零了”。

原來,moodyrocket是從黑客手中購買了這個二手錢包,而黑客預先在設備中寫入了其自己設定的複原碼,並沒有使用硬體錢包廠商Ledger公司提供的隨機碼。

被認為最安全的“硬體錢包”,也被攻陷了。

守衛錢包安全

黑客的盜取錢包的手段五花八門,從直接破解隨機算法,到讀取電腦粘貼板數據、破解電腦資訊,再到更改硬體錢包隨機數,甚至配合犯罪集團進行人身攻擊,“只有想不到,沒有黑客辦不到”。

面對互聯網上花樣繁多的黑客盜竊方法,錢包創業者要如何應對?

首先,錢包團隊本身要把安全技術放在首位。

目前有很多開源系統,但開源系統是存在許多安全漏洞的,“需要開發人員重新把架構優化”,神魚表示。

這意味著,對不同的加密貨幣,也要有不用的安全保障機制,這往往需要幾個月的準備和測試。

“舉個例子,比如某些加密貨幣採用了非標準的簽名算法,那在上幣前首先需要把簽名算法實現,然後聯繫硬體廠家,在硬體裡面燒錄,然後通過安全公司審計等一系列流程。”神魚解釋道。

其次,對於不同用戶,也可以用不同的安全策略。

比如一些小白用戶,對“存儲私鑰”的重要性並沒有太深的理解,這時候,可以在設計流程上,盡量不讓用戶接觸核心邏輯。

“比如導出私鑰、導入私鑰這些功能,直接不加。”神魚認為,“因為用戶自己導入導出私鑰,被黑客盯上之後,資產很容易被竊取了。”

而在私鑰保存方面,記載小紙片上的資訊很容易損壞或者丟失,可以使用“金屬助記詞板”,自己拚出來,然後放在安全的地方。

目前,黑客主要還是通過線上的手段來進行攻擊,相對的,硬體錢包會比較安全。

而保證硬體錢包安全,則要做到兩個方面:第一,是有一顆安全的加密芯片;第二,是要有“供應鏈攻擊檢測”,檢測錢包從生產再到用戶手裡,是否被外界植入其他資訊。

團隊需要不停打磨自身的安全技術,對於用戶而言,要如何保護自己的加密貨幣安全呢?

慢霧科技聯合創始人餘弦向31QU推薦了用二手蘋果手機做硬體錢包的方法,“可以用一台二手蘋果手機上安裝去中心化錢包,再將不相關功能重置,需要聯網的話,就用4G網絡。”

在做好這一切,也就極大降低了黑客盜竊盜取加密貨幣的可能性。

還有一個忠告是:持有大量加密貨幣資產的人,盡量保持低調。

“高調一些的人可能會被黑客盯上,黑客在微信群、QQ群,做點社工,高調的人就有可能被盯上,這就增加了被盜的可能性。”神魚說道。

今年1月份,俄羅斯加密貨幣投資者Nyashin剛在網上炫耀了自己的加密貨幣財富,隨後被盯上。在格勒州的家中,Nyashin遭到襲擊和搶劫,襲擊者偷走了價值2400萬盧布(42.5萬美元)的資金。Nyashin因此絕望,選擇了自殺。

雖然並不是嚴格意義上的黑客盜竊,但這次暴力事件也足以提醒加密貨幣投資者“隨時保持低調”。

結語

因為需要在安全方面進行大量的投入,所以加密貨幣錢包,並不是一個輕鬆的創業領域。

“我們的判斷是,錢包會從一個早期的管理私鑰的工具,逐漸變成DApp等領域的入口。”神魚認為,這個入口級的機會,可以誕生一家偉大的公司。

但是,在成為加密貨幣世界的入口之前,首先面對的,是黑客的槍林彈雨。守住安全的最後防線,是所有錢包創業者和用戶都需要正視和應對的挑戰。

獲得更多的PTT最新消息
按讚加入粉絲團