BIT:聽說 BitGo 工程團隊老大的錢包被黑了，到底怎么回事？教訓是什么？

在加密貨幣投資世界游走，保護數字資產安全是個大問題。但是在易用性和安全性之間，找到最適合最佳的平衡卻真不容易。本文從BitGo工程主管SeanCoonce交易所錢包被盜出發，分析我們應該如何保護自己加密貨幣的安全，以及對比了市面上三款硬件錢包的不同。

撰文：江明睿，就職于密碼貨幣對沖基金BitCapital

現在交易所都會有雙重驗證，用戶在輸入密碼后，需要第二個動態密碼進行驗證，動態密碼最簡單的做法是綁定手機或郵箱。但是，請小心！最近發生的一個案例卻再次證明，手機和郵箱驗證碼是不安全的。

數字資產托管公司BitGo的工程主管SeanCoonce最近因為手機的SIM被攻擊，導致他的Coinbase錢包損失了價值10萬美元的加密貨幣。SeanCoonce在Medium上撰寫了一篇文章，「我生命中最昂貴的一個教訓」，詳細描述和總結了這次被盜經歷。

這多少有些諷刺意味。因為本身BitGo是一家專業的數字資產托管公司，以提供多簽錢包聞名，保護數字資產的安全是其核心業務。盡管SeanCoonce在自己的Twitter上發出聲明，自己不負責安全工程，在BitGo有另外一個專業的團隊負責安全。不過，這也從另外的角度證明了：黑客盜取數字資產的方式防不勝防。

ETH 2.0總質押數達到2515.87萬:金色財經報道，數據顯示，ETH 2.0總質押數達到2515.87萬，為25158657個，按當前市場價格，價值約464.85億美元。此外，目前ETH 2.0質押總地址數已超83.23萬，為832303個。[2023/7/1 22:11:57]

BitGo工程團隊老大的加密貨幣是如何被盜的？

不妨先看看BitGo工程主管SeanCoonce是如何被盜的吧。

顯然，受害者的隱私信息被長期潛伏的黑客收集了，這個過程中，黑客獲得了受害者重要的身份驗證信息。得到身份驗證信息的黑客，通過篡改受害者手機sim卡的手段，獲得手機驗證的控制權，從而通過二次手機驗證登錄進入受害者賬戶，進行提幣操作。

從時間的發展緯度，我們可以還原一下這次黑客攻擊的過程：

Day1,10:00PM

黑客掌握受害者手機號碼，受害者發現SIM卡出現問題，但是因為是晚上，沒有及時解決。

Day1,10:05PM

黑客使用「忘記密碼」功能對谷歌郵箱發出更改密碼功能，由于二次驗證使用手機號碼，黑客成功更改郵箱密碼。

過去1小時全網爆倉2.2億美元:金色財經報道，Coinglass數據顯示，過去1小時全網爆倉2.2億美元，其中，多單爆倉2.06億美元，空單爆倉1413萬美元。[2023/6/10 21:28:02]

Day1,10:50PM

黑客獲得手機和郵箱登錄后，在Coinbase交易所發起重置密碼請求。

Day1,10:51PM

黑客通過郵箱，獲得交易所重置密碼鏈接，同時黑客清除所有相關郵件，受害者還不知道自己遭受攻擊。此時黑客已經獲得所有權限。

Day2,11:00AM

用戶重置SIM卡和郵箱。這里是重點：黑客看到了受害者重置了自己的SIM卡和郵箱，而并沒有重置自己交易所的密碼，此時黑客清楚受害者的警惕已經降到最低。

Day2,10:00PM

黑客再次掌握受害者手機號碼，由于受害者發現了與之前相同的問題，沒有放在心上，而是覺得手機發生故障，受害者準備第二天再去解決。

Day2,10:01PM

黑客再次重置郵箱密碼，同時，使用前一天已經獲得的交易所重置密碼鏈接，重置交易所密碼。

觀點：Tether監管風險更低，USDT已成為業界最值得信賴的穩定幣:5月10日消息，隨著美國銀行業危機的擴大和監管機構對加密公司的打擊力度加深，加密領域的投資正轉向被認為相對安全的加密資產。Tether在穩定幣中表現最佳，自3月份以來，其市值飆升。AKJ全球經紀公司創始人、數字資產專家Anders Kvamme Jensen表示：“銀行業危機正在助長‘超比特化’——美元將變得毫無價值，這是不可避免的結局。”這促使人們紛紛轉向比特幣和以太坊等頂級加密貨幣。與此同時，像Tether（USDT）這樣的穩定幣，更多地被視為一種價值儲存手段，一種促進加密貨幣之間轉移的工具，也被視為衍生品交易的抵押品。數字資產數據提供商Kaiko的研究分析師Conor Ryder表示，Tether的溢價反映出人們對其錨定的信任，以及美國證券交易委員會（SEC）對其安全性的認知。[2023/5/10 14:54:08]

Day2,10:10PM

黑客登錄交易所，提出所有資產。

Day3,09:00AM

受害者在售后服務點內意識到自己遭到攻擊，為時已晚。

雖然這里的雙重驗證攻擊是手機SIM攻擊，可能不適合國內，但是，手機和郵箱往往由于密碼簡單，很容易被破解。同時，如果身邊的人長期滲透收集你的隱私，對你進行攻擊后，不會留下任何線索。

元宇宙基礎設施提供商MetaGravity完成950萬美元融資:金色財經報道，元宇宙基礎設施提供商MetaGravity完成950萬美元種子輪融資，本輪融資由Sino Global、Spartan Group LLC、Market One Capital等參投，本輪融資資金將用于擴大其工程和產品團隊，以開發支持未來大規模虛擬宇宙體驗所需的基礎設施層。[2023/4/21 14:17:58]

如何防范被盜？

可以說，黑客防不勝防。防范被盜最簡單的方式就是：做最壞的打算。換句話說，由于加密貨幣的特性，你沒有辦法證明你的資產是真的被盜還是你自己轉走的，錢包和交易所沒有義務給你背鍋。想當銀行家管理自己的資產，一定要做好安防工作。

針對黑客的幾個攻擊步驟，我們可以在5點上提高安全：雙重驗證，密碼管理，硬件密鑰，硬件錢包，隱私保護

1、雙重驗證

谷歌身份驗證器

手機和郵箱都是不夠安全的，尤其是當黑客發現這個手機和郵箱的主人持幣。真正安全的二次驗證是使用動態身份驗證器，例如谷歌身份驗證器，靠譜的交易所和錢包都支持這個。

能做到這一步，你已經比市場上99%的韭菜強了，黑客看到你這樣，不會浪費時間在你身上的。谷歌身份驗證器可以保護你的登錄安全。

BitValue Capital推出1億美元Web3增長基金:8月3日消息，全球投資公司 BitValue Capital 宣布推出 1 億美元 Web3 增長基金，以鼓勵創新區塊鏈項目，該基金將專注于游戲工作室、元宇宙、GameFi、NFT、SocialFi、DAO 和 DeFi 等領域的投資機會。

BitValue Capital 是一家具有量化交易背景的 VC，總部位于加拿大多倫多，主要在一級市場進行投資和孵化項目，提供從編寫代碼到上線交易平臺的一站式服務。（雅虎財經）[2022/8/3 2:56:55]

2、密碼管理

密碼管理軟件，例如Bitwarden，安全且易用。有手機app和瀏覽器插件，同時具備加密同步功能。值得一提的是Bitwarden可以和谷歌身份驗證器同步，這樣在瀏覽器內就可以快速查看最新的動態密碼。Bitwarden本身也可以用動態密碼或者硬件密鑰驗證。這里有詳細的更加詳細的工具推薦。密碼管理工具，可以幫助你管理你的所有密碼。

3、硬件密鑰

這一步復雜一點，但是安全性會提高一個級別。為了保護好你的電腦，手機和谷歌賬戶，可以考慮使用硬件密鑰Yubikey，這種做法是企業級別的安全模式。最大的好處是只要硬件密鑰在身邊，就可以防止遠程登錄。同時，谷歌用戶可以設定更高級賬戶保護模式，第三方服務登錄谷歌賬戶，需要通過硬件密鑰解鎖。硬件密鑰可以阻止黑客遠程登錄。

4、硬件錢包

知乎上最著名的答案：大三的學生，手頭有6000元的錢，想要做些小投資賺點兒錢，有什么好建議么？

買比特幣，保存好錢包文件，然后忘掉你有過6000元這回事。五年后再看看。

那么怎么最好的保存錢包文件呢？用硬件錢包，一定要把長期持有的資產通過硬件錢包保存。硬件錢包讓安全和易用性得到平衡。這里需要強調一點，在下載與硬件錢包配套的軟件App時，一定要注意不要下載到盜版的詐騙軟件。如果遇到軟件一打開，就要求輸入用戶名和密碼，一定要三思而后行。

5、隱私保護

記住這一點：不要用聊天軟件發送密碼和敏感信息。聊天軟件的記錄很大概率使用沒有加密的明文保存。

我的使用心得：硬件錢包密鑰上手用

上文說了，對于普通的個人投資者，使用硬件錢包是個不錯的方式，可以讓安全性和易用性得到平衡。因為工作的關系和個人的愛好，我試用過市面上不少硬件錢包，正好借助這個機會和朋友們分享一下我對幾款產品的上手心得。

必須強調：下文中我提及的產品都是自己掏錢購買，本文并未接受任何產品方的贊助。另外，下文提到的產品只是因為我自己購買過、使用過，所以列出，供朋友們參考。市面上錢包產品很多，有很多產品我沒有使用過，并不代表這些產品不好。

硬件密鑰的選擇：Yubikey

各大企業安全標配，用于杜絕員工簡單且不安全的密碼。支持所有主流加密協議。購買需要一次買兩個，小的那個可以一直插在電腦上，大的隨身攜帶。如果其中一只丟失，可以用另外一只補救。

硬件錢包的選擇：imTokenimKey&LedgerX

這是兩款最新的支持藍牙鏈接的硬件錢包，由目前業內最靠譜的兩個團隊研發：Ledger和imToken

包裝

三件套LedgerX,LedgerS,imKey

imKey包裝提供防篡改貼紙，保證沒有在運輸途中被動過手腳

imKey包裝，防篡改貼紙撕掉后會有大大的VOID提示

Ledger沒有防篡改貼紙，但是每次啟動后都會進行放篡改驗證，看上去更加安全

兩個錢包都提供記憶卡片，方便記憶復原密碼詞組，一定要保護好這張卡片，如果硬件錢包丟失或損壞，需要這組密碼詞組復原

imKey實測與手機配對多成非常簡單快捷，配對完成后，日常使用中鏈接非常快，給用戶的阻力非常小

LedgerX鏈接也很便捷，圖為防偽驗證，每次使用都會有這一步，但是速度很快，可以有效的阻止硬件設備遭到攻擊

這里提一下，由于imKey和LedgerX都是通過藍牙鏈接，如果信不過藍牙的安全性，可以選擇LedgerNanoS，實測用數據線和手機鏈接，可以成功運行

imKey的大小非常合適放入錢包，做工非常結實，適合隨身攜帶，存零花錢

LedgerX相對大很多，不夠便攜，適合放在家里當金庫

兩家的App都很好用：

Ledger的更加專注于錢包功能，沒有復雜的功能，定位是做大額資產管理。imToken可玩性超高，結合了Dapp瀏覽器，玩玩Defi應用，在手機上借Dai收租非常爽。

安全三件套Yubikey，imKey，Ledger

本文來源于非小號媒體平臺：

江明睿

現已在非小號資訊平臺發布1篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/3628620.html

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

開源代碼與網站代碼不一致？WalletGenerator曝出驚人漏洞

下一篇：

機構入場指南：一文讀懂數字資產托管全景圖

Tags：BITEDGGERKEYbybit交易app下載ETHHEDGERangers ProtocolTwo Monkey Juice Bar

幣安app官網下載