跟一个搞网络安全的聊完数字货币,我喝了口茶压压惊

2018-03-23 16:51 稿源:浅黑科技  0条评论

三、钱包都不安全,钱还能安全吗?

“黑客想盗走数字货币,数字钱包是一个很重要的攻击面。”Sherlock说。

数字钱包是用来存储数字货币的软件载体,完全脱离网络存储私钥的叫“冷钱包”,把私钥托管在网上的叫“热钱包”。

围绕数字钱包,黑客可以大搞名堂。

当你想用数字钱包,多半就得下载软件,而数字钱包从设计、发布,最后通过各种复杂的网络传输来到你的电脑或者手机,中间要经过很多道流程,跨过千山万水,但凡其中某个流程出现问题,你都有可能中招。

比如:

你是否通过正规官方渠道下载钱包软件?从第三方软件平台下载时,会不会下载到带有盗号后门的?

即便是在官方网站下载,如果你所处的WiFi 网络环境被黑,会不会被劫持到黑客的下载地址?

即便你的网络环境没问题,软件官网的下载地址会不会早已被黑客黑掉,改成带有盗号后门的软件?

即便流程都没问题,数字钱包的产品设计本身是否可靠?厂商是否为了满足易用性而牺牲安全性?厂商是否安全地存储用户的私钥?

……

……

……

单就一个数字钱包,黑客就有那么多攻击面,你还觉得上了区块链就是安全的吗?

“你也有数字货币资产吧?,既然用个数字钱包都这么危险?你作为一个天天跟黑客打交道的安全从业者,是怎么做的呢?” 我反问他。

他说:

“一方面,确认钱包本身的安全性,比如下载软件后做个哈希值校验,另一方面也要合理存储。我的资产不多,一部分在交易所,一部分在热钱包,一部分在冷钱包。鸡蛋不要放在同一个篮子里,这是最基本也最容易做到的。”

我又问他,“自己用钱包保管数字货币不放心,托管在交易所总没问题了吧?”

他笑着说,未必。

四、数字货币交易所也未必安全

Sherlock给我晒出一组数据:

2014 年 2 月,当时世界最大的比特币交易所 Mt.Gox被盗 85 万个比特币。后来,Mt.Gox 被曝出其实是监守自盗,真正被外盗的比特币只有 7000 个。

2016 年 8 月,最大的美元比特币交易平台 Bitfinex 出现漏洞, 12 万比特币被盗,当时价值 6500 万美元,如果换算成 2017 年 12 月的价格,价值近 20 亿美元。

2017 年 12 月,韩国YouBit交易所被黑客攻击,损失 4000 个比特币,交易所宣布破产。

2017 年 12 月 21 日,网传乌克兰Liqui交易所被盗 6 万个比特币,比特币单价瞬间暴跌 2000 美元。

2018 年 3 月 7 日,币安交易所出现大量用户账号被盗,黑客控制的资产价值超过 1 亿美元。甚至还有人传言黑客利用了金融知识影响数字货币价格来间接获利,导致不少数字货币价格暴跌。(可参考文章:《差点盗走十多亿,做空比特币又获利几十亿?黑客这一波到底干了什么?》)

“类似戏码一定还会上演。” 他说,

“数字货币交易市场这几年的发展势头太快,而且相互竞争激烈,这种情况下安全技术、人力方面投入的速度未必跟得上自身需求增长的速度,必然会导致一些问题。

他说,以最近发生在币安交易所的安全事件为例,其实币安的风控措施相较以往发生过安全事故的其他交易所,已经所有提升。

在黑客提币时利用大数据风控阻止了提币操作,此前发生过的黑客事件,基本发生的交易所安全事件大多黑客直接提币走人。

所以,他建议大家尽量使用知名的、大型的交易所,不要把资产放在小型、不知名的交易所,因为黑客也会挑软柿子捏。

“一般来说,大的交易所通常安全风控手段相对完善,黑客不容易攻入,这时黑客很可能转而攻击小型交易所。

甚至,他们还会专挑一些没有牌照的非法交易所攻击,这样即便被发现,交易所也不受法律保护。

比如黑客很可能跑去攻击孟加拉国之类小国家的交易所,一方面因为那里本来就认定数字货币非法。另一方面跨国管制不便,也让黑客更肆意妄为。”

五、利用明星效应的钓鱼攻击

如果说 APT 攻击和交易所安全离普通人太远,下面这种攻击手法就发生在我们身边。

前阵子,有人专门在一些知名人物的社交账号底下头像和名字设置成和名人一模一样的头像,发布一些虚假的信息,声称只要在某个数字货币地址转入一定数额的币,就能得到 10 倍的回馈。(详见:《我中本聪,打钱》)

这就好比大街上有人对你说,“你给我 10 块钱吧,我会立刻返给你 100 块。” 就这样显而易见的诈骗信息,经统计,短短几天之内竟能骗到价值几十万的数字货币。

为什么看起来如此愚蠢的骗术,也有人上当受骗?

Sherlock说,“这就是骗子们广撒网的策略了,由于明星的粉丝很多,这种方式投放诈骗信息可以获得大量展示。几千个人里难免有那么几个刚睡醒,脑子不太清醒的人。”

最后,由于这类诈骗信息实在太多,不少名人被迫把网名都改了:

(币安创始人赵鹏_不送币版)

(V_不送币_神)

类似的诈骗到了国内还有一种进阶版,Sherlock又给我安利了一个真实案例:

一个叫“王团长”在微信群里向群友募集私募“韭菜基金”。

这天半夜,“王团长”忽然在群里发话:“基金募集明天就截止了,请大家赶紧打币到地址XXXXXXX。”

于是,就有群友就按照王团长说的地址打过去 22 个以太币,当时大约价值二十万元。事后,这位网友才发现,群里忽然出现了好几个“王团长”,真假难辨,自己的 22 个 ETH 直接进了骗子口袋。

“这种手段也常见于数字货币项目的私募阶段,因为有的项目收益很高,参与者往往不能保持平常心,唯恐落后,这种贪利的心态让他们更容易受骗。

并且,国内目前没有正规的ICO途径,参加私募纯属个人行为,缺乏监管,流程无法保证安全。”

这类诈骗方式其实一点都不新鲜,只是数字货币市场的活跃,让它们重新迸发了活力。”Sherlock说。

六、传统黑产也盯上数字货币

哪里有钱赚,哪里就少不了黑产。

Sherlock告诉我,在区块链和数字货币兴起的同时,也催生了一些新的套利方式……

原本黑客控制大量“肉鸡”(被黑客远程控制的机器),通常会用来发起 DDoS 流量攻击等。

数字货币火了之后,不少“肉鸡”又多了新的角色 —— 黑客还会把黑掉的机器配置成挖矿机,利用它们的算力来挖数字货币赚钱。

有的黑客还会专门在访问量高的网站页面或者博客植入挖矿脚本,用户一旦访问这样的网站,电脑处理器性能就会瞬间被占满,成为一个挖矿节点,为黑客的矿池提供算力。

那些原本专门盯着各大公司优惠活动,用大量手机卡批量套利的羊毛党灰产,也开始盯上数字货币 ICO 项目发放的奖励(俗称“糖果”),不少活动刚开始没多久,所有糖果就都进了灰产口袋。

甚至,黑客还会专门入侵别人的数字货币挖矿矿场,把他们的转账地址改成自己的。

总之,数字货币为黑产们提供了各种新的赚钱渠道和方式。反过来,丰厚的回报又吸引着新的一波人铤而走险加入黑产……

---

聊到最后,Sherlock感慨:

“其实说白了,不管时代环境如何改变,安全攻防到了最后,都是人与任何人的较量。

骗子和网民们斗智斗勇,骗子不停地升级剧本,网民不断增强安全意识和辨别能力;

黑客不断发现新的攻击面和攻击手法,交易所、钱包等厂商也在不断引进新的防御技术和人才。

或许正如老周所说的那样,万物皆变,人是安全的尺度吧!”

有好的文章希望站长之家帮助分享推广,猛戳这里我要投稿

相关文章

相关热点

查看更多