比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads

BIT:聽說 BitGo 工程團隊老大的錢包被黑了,到底怎么回事?教訓是什么?

Author:

Time:1900/1/1 0:00:00

在加密貨幣投資世界游走,保護數字資產安全是個大問題。但是在易用性和安全性之間,找到最適合最佳的平衡卻真不容易。本文從BitGo工程主管SeanCoonce交易所錢包被盜出發,分析我們應該如何保護自己加密貨幣的安全,以及對比了市面上三款硬件錢包的不同。

撰文:江明睿,就職于密碼貨幣對沖基金BitCapital

現在交易所都會有雙重驗證,用戶在輸入密碼后,需要第二個動態密碼進行驗證,動態密碼最簡單的做法是綁定手機或郵箱。但是,請小心!最近發生的一個案例卻再次證明,手機和郵箱驗證碼是不安全的。

數字資產托管公司BitGo的工程主管SeanCoonce最近因為手機的SIM被攻擊,導致他的Coinbase錢包損失了價值10萬美元的加密貨幣。SeanCoonce在Medium上撰寫了一篇文章,「我生命中最昂貴的一個教訓」,詳細描述和總結了這次被盜經歷。

這多少有些諷刺意味。因為本身BitGo是一家專業的數字資產托管公司,以提供多簽錢包聞名,保護數字資產的安全是其核心業務。盡管SeanCoonce在自己的Twitter上發出聲明,自己不負責安全工程,在BitGo有另外一個專業的團隊負責安全。不過,這也從另外的角度證明了:黑客盜取數字資產的方式防不勝防。

ETH 2.0總質押數達到2515.87萬:金色財經報道,數據顯示,ETH 2.0總質押數達到2515.87萬,為25158657個,按當前市場價格,價值約464.85億美元。此外,目前ETH 2.0質押總地址數已超83.23萬,為832303個。[2023/7/1 22:11:57]

BitGo工程團隊老大的加密貨幣是如何被盜的?

不妨先看看BitGo工程主管SeanCoonce是如何被盜的吧。

顯然,受害者的隱私信息被長期潛伏的黑客收集了,這個過程中,黑客獲得了受害者重要的身份驗證信息。得到身份驗證信息的黑客,通過篡改受害者手機sim卡的手段,獲得手機驗證的控制權,從而通過二次手機驗證登錄進入受害者賬戶,進行提幣操作。

從時間的發展緯度,我們可以還原一下這次黑客攻擊的過程:

Day1,10:00PM

黑客掌握受害者手機號碼,受害者發現SIM卡出現問題,但是因為是晚上,沒有及時解決。

Day1,10:05PM

黑客使用「忘記密碼」功能對谷歌郵箱發出更改密碼功能,由于二次驗證使用手機號碼,黑客成功更改郵箱密碼。

過去1小時全網爆倉2.2億美元:金色財經報道,Coinglass數據顯示,過去1小時全網爆倉2.2億美元,其中,多單爆倉2.06億美元,空單爆倉1413萬美元。[2023/6/10 21:28:02]

Day1,10:50PM

黑客獲得手機和郵箱登錄后,在Coinbase交易所發起重置密碼請求。

Day1,10:51PM

黑客通過郵箱,獲得交易所重置密碼鏈接,同時黑客清除所有相關郵件,受害者還不知道自己遭受攻擊。此時黑客已經獲得所有權限。

Day2,11:00AM

用戶重置SIM卡和郵箱。這里是重點:黑客看到了受害者重置了自己的SIM卡和郵箱,而并沒有重置自己交易所的密碼,此時黑客清楚受害者的警惕已經降到最低。

Day2,10:00PM

黑客再次掌握受害者手機號碼,由于受害者發現了與之前相同的問題,沒有放在心上,而是覺得手機發生故障,受害者準備第二天再去解決。

Day2,10:01PM

黑客再次重置郵箱密碼,同時,使用前一天已經獲得的交易所重置密碼鏈接,重置交易所密碼。

觀點:Tether監管風險更低,USDT已成為業界最值得信賴的穩定幣:5月10日消息,隨著美國銀行業危機的擴大和監管機構對加密公司的打擊力度加深,加密領域的投資正轉向被認為相對安全的加密資產。Tether在穩定幣中表現最佳,自3月份以來,其市值飆升。AKJ全球經紀公司創始人、數字資產專家Anders Kvamme Jensen表示:“銀行業危機正在助長‘超比特化’——美元將變得毫無價值,這是不可避免的結局。”這促使人們紛紛轉向比特幣和以太坊等頂級加密貨幣。與此同時,像Tether(USDT)這樣的穩定幣,更多地被視為一種價值儲存手段,一種促進加密貨幣之間轉移的工具,也被視為衍生品交易的抵押品。數字資產數據提供商Kaiko的研究分析師Conor Ryder表示,Tether的溢價反映出人們對其錨定的信任,以及美國證券交易委員會(SEC)對其安全性的認知。[2023/5/10 14:54:08]

Day2,10:10PM

黑客登錄交易所,提出所有資產。

Day3,09:00AM

受害者在售后服務點內意識到自己遭到攻擊,為時已晚。

雖然這里的雙重驗證攻擊是手機SIM攻擊,可能不適合國內,但是,手機和郵箱往往由于密碼簡單,很容易被破解。同時,如果身邊的人長期滲透收集你的隱私,對你進行攻擊后,不會留下任何線索。

元宇宙基礎設施提供商MetaGravity完成950萬美元融資:金色財經報道,元宇宙基礎設施提供商MetaGravity完成950萬美元種子輪融資,本輪融資由Sino Global、Spartan Group LLC、Market One Capital等參投,本輪融資資金將用于擴大其工程和產品團隊,以開發支持未來大規模虛擬宇宙體驗所需的基礎設施層。[2023/4/21 14:17:58]

如何防范被盜?

可以說,黑客防不勝防。防范被盜最簡單的方式就是:做最壞的打算。換句話說,由于加密貨幣的特性,你沒有辦法證明你的資產是真的被盜還是你自己轉走的,錢包和交易所沒有義務給你背鍋。想當銀行家管理自己的資產,一定要做好安防工作。

針對黑客的幾個攻擊步驟,我們可以在5點上提高安全:雙重驗證,密碼管理,硬件密鑰,硬件錢包,隱私保護

1、雙重驗證

谷歌身份驗證器

手機和郵箱都是不夠安全的,尤其是當黑客發現這個手機和郵箱的主人持幣。真正安全的二次驗證是使用動態身份驗證器,例如谷歌身份驗證器,靠譜的交易所和錢包都支持這個。

能做到這一步,你已經比市場上99%的韭菜強了,黑客看到你這樣,不會浪費時間在你身上的。谷歌身份驗證器可以保護你的登錄安全。

BitValue Capital推出1億美元Web3增長基金:8月3日消息,全球投資公司 BitValue Capital 宣布推出 1 億美元 Web3 增長基金,以鼓勵創新區塊鏈項目,該基金將專注于游戲工作室、元宇宙、GameFi、NFT、SocialFi、DAO 和 DeFi 等領域的投資機會。

BitValue Capital 是一家具有量化交易背景的 VC,總部位于加拿大多倫多,主要在一級市場進行投資和孵化項目,提供從編寫代碼到上線交易平臺的一站式服務。(雅虎財經)[2022/8/3 2:56:55]

2、密碼管理

密碼管理軟件,例如Bitwarden,安全且易用。有手機app和瀏覽器插件,同時具備加密同步功能。值得一提的是Bitwarden可以和谷歌身份驗證器同步,這樣在瀏覽器內就可以快速查看最新的動態密碼。Bitwarden本身也可以用動態密碼或者硬件密鑰驗證。這里有詳細的更加詳細的工具推薦。密碼管理工具,可以幫助你管理你的所有密碼。

3、硬件密鑰

這一步復雜一點,但是安全性會提高一個級別。為了保護好你的電腦,手機和谷歌賬戶,可以考慮使用硬件密鑰Yubikey,這種做法是企業級別的安全模式。最大的好處是只要硬件密鑰在身邊,就可以防止遠程登錄。同時,谷歌用戶可以設定更高級賬戶保護模式,第三方服務登錄谷歌賬戶,需要通過硬件密鑰解鎖。硬件密鑰可以阻止黑客遠程登錄。

4、硬件錢包

知乎上最著名的答案:大三的學生,手頭有6000元的錢,想要做些小投資賺點兒錢,有什么好建議么?

買比特幣,保存好錢包文件,然后忘掉你有過6000元這回事。五年后再看看。

那么怎么最好的保存錢包文件呢?用硬件錢包,一定要把長期持有的資產通過硬件錢包保存。硬件錢包讓安全和易用性得到平衡。這里需要強調一點,在下載與硬件錢包配套的軟件App時,一定要注意不要下載到盜版的詐騙軟件。如果遇到軟件一打開,就要求輸入用戶名和密碼,一定要三思而后行。

5、隱私保護

記住這一點:不要用聊天軟件發送密碼和敏感信息。聊天軟件的記錄很大概率使用沒有加密的明文保存。

我的使用心得:硬件錢包密鑰上手用

上文說了,對于普通的個人投資者,使用硬件錢包是個不錯的方式,可以讓安全性和易用性得到平衡。因為工作的關系和個人的愛好,我試用過市面上不少硬件錢包,正好借助這個機會和朋友們分享一下我對幾款產品的上手心得。

必須強調:下文中我提及的產品都是自己掏錢購買,本文并未接受任何產品方的贊助。另外,下文提到的產品只是因為我自己購買過、使用過,所以列出,供朋友們參考。市面上錢包產品很多,有很多產品我沒有使用過,并不代表這些產品不好。

硬件密鑰的選擇:Yubikey

各大企業安全標配,用于杜絕員工簡單且不安全的密碼。支持所有主流加密協議。購買需要一次買兩個,小的那個可以一直插在電腦上,大的隨身攜帶。如果其中一只丟失,可以用另外一只補救。

硬件錢包的選擇:imTokenimKey&LedgerX

這是兩款最新的支持藍牙鏈接的硬件錢包,由目前業內最靠譜的兩個團隊研發:Ledger和imToken

包裝

三件套LedgerX,LedgerS,imKey

imKey包裝提供防篡改貼紙,保證沒有在運輸途中被動過手腳

imKey包裝,防篡改貼紙撕掉后會有大大的VOID提示

Ledger沒有防篡改貼紙,但是每次啟動后都會進行放篡改驗證,看上去更加安全

兩個錢包都提供記憶卡片,方便記憶復原密碼詞組,一定要保護好這張卡片,如果硬件錢包丟失或損壞,需要這組密碼詞組復原

imKey實測與手機配對多成非常簡單快捷,配對完成后,日常使用中鏈接非常快,給用戶的阻力非常小

LedgerX鏈接也很便捷,圖為防偽驗證,每次使用都會有這一步,但是速度很快,可以有效的阻止硬件設備遭到攻擊

這里提一下,由于imKey和LedgerX都是通過藍牙鏈接,如果信不過藍牙的安全性,可以選擇LedgerNanoS,實測用數據線和手機鏈接,可以成功運行

imKey的大小非常合適放入錢包,做工非常結實,適合隨身攜帶,存零花錢

LedgerX相對大很多,不夠便攜,適合放在家里當金庫

兩家的App都很好用:

Ledger的更加專注于錢包功能,沒有復雜的功能,定位是做大額資產管理。imToken可玩性超高,結合了Dapp瀏覽器,玩玩Defi應用,在手機上借Dai收租非常爽。

安全三件套Yubikey,imKey,Ledger

本文來源于非小號媒體平臺:

江明睿

現已在非小號資訊平臺發布1篇作品,

非小號開放平臺歡迎幣圈作者入駐

入駐指南:

/apply_guide/

本文網址:

/news/3628620.html

免責聲明:

1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場

上一篇:

開源代碼與網站代碼不一致?WalletGenerator曝出驚人漏洞

下一篇:

機構入場指南:一文讀懂數字資產托管全景圖

Tags:BITEDGGERKEYbybit交易app下載ETHHEDGERangers ProtocolTwo Monkey Juice Bar

幣安app官網下載
BTC:5.30晚間行情:BTC橫盤市場賺錢效應良好

文章系金色財經專欄作者供稿,發表言論僅代表其個人觀點,僅供學習交流!金色盤面不會主動提供任何交易指導,亦不會收取任何費用指導交易,請讀者仔細甄別,謹防上當.

1900/1/1 0:00:00
XRP:XRP上沖突破迎來三角變盤 待回踩低吸進場

今天XRP迎來三角變盤領漲主流幣,漲幅超過10%。小時走勢看,XRP上升三角末端向上放量突破,MACD經過一段時間的粘合持平走勢后再次金叉向上發散,說明近期XRP有逐步走強的跡象,這幾天XRP走.

1900/1/1 0:00:00
CONST:美國億幣去中心化交易所開啟自主上幣

eXchangily美國億幣交易所,第一個真正實現高速跨鏈的新一代去中心化交易所,6月1日正式開啟全球優質區塊鏈項目上幣資格申請啦!eXchangily的5大亮點:美國監管機構:多家油氣公司轉向.

1900/1/1 0:00:00
KEN:集結號——BToken創世投資人成都見面會圓滿舉

近期的數字貨幣市場可謂是一片火熱,短短兩個月的時間,比特幣從4000美金連續漲到8000美金,目前在8000美金站穩了腳跟。很多人高呼:牛市來了。沒有一蹴而就的成功,也沒有毫無征兆的失敗.

1900/1/1 0:00:00
ACE:Facebook用戶老齡化嚴重 或無法推動加密貨幣大規模應用

金色財經比特幣5月29日訊根據加密貨幣分析公司Diar于5月28日發布的一份最新研究分析報告稱.

1900/1/1 0:00:00
POW:PoW 與 PoS 的真正區別:判質費用決定了誰更適合構建貨幣

本文應李陽@橙皮書的邀請而作,緣起是橙皮書組織的微信群“新經濟學人”內關于PoW和PoS長短的辯論.

1900/1/1 0:00:00
ads