宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > SOL > 正文

听说 BitGo 工程团队老大的钱包被黑了,到底怎么回事?教训是什么?

作者:

时间:1900/1/1 0:00:00

在加密货币投资世界游走,保护数字资产安全是个大问题。但是在易用性和安全性之间,找到最适合最佳的平衡却真不容易。本文从BitGo工程主管SeanCoonce交易所钱包被盗出发,分析我们应该如何保护自己加密货币的安全,以及对比了市面上三款硬件钱包的不同。

撰文:江明睿,就职于密码货币对冲基金BitCapital

现在交易所都会有双重验证,用户在输入密码后,需要第二个动态密码进行验证,动态密码最简单的做法是绑定手机或邮箱。但是,请小心!最近发生的一个案例却再次证明,手机和邮箱验证码是不安全的。

数字资产托管公司BitGo的工程主管SeanCoonce最近因为手机的SIM被攻击,导致他的Coinbase钱包损失了价值10万美元的加密货币。SeanCoonce在Medium上撰写了一篇文章,「我生命中最昂贵的一个教训」,详细描述和总结了这次被盗经历。

这多少有些讽刺意味。因为本身BitGo是一家专业的数字资产托管公司,以提供多签钱包闻名,保护数字资产的安全是其核心业务。尽管SeanCoonce在自己的Twitter上发出声明,自己不负责安全工程,在BitGo有另外一个专业的团队负责安全。不过,这也从另外的角度证明了:黑客盗取数字资产的方式防不胜防。

Binance:币安的荷兰用户可将资金转移到Coinmerce:金色财经报道,Binance官方推特发文表示,随着币安退出荷兰市场,币安希望尽可能顺利地进行过渡。币安的荷兰用户可将资金转移到Coinmerce。荷兰用户将收到一封电子邮件,说明这对他们有何影响,以及他们需要采取哪些步骤来转移资金。[2023/7/14 10:55:26]

BitGo工程团队老大的加密货币是如何被盗的?

不妨先看看BitGo工程主管SeanCoonce是如何被盗的吧。

显然,受害者的隐私信息被长期潜伏的黑客收集了,这个过程中,黑客获得了受害者重要的身份验证信息。得到身份验证信息的黑客,通过篡改受害者手机sim卡的手段,获得手机验证的控制权,从而通过二次手机验证登录进入受害者账户,进行提币操作。

从时间的发展纬度,我们可以还原一下这次黑客攻击的过程:

Day1,10:00PM

黑客掌握受害者手机号码,受害者发现SIM卡出现问题,但是因为是晚上,没有及时解决。

Day1,10:05PM

黑客使用「忘记密码」功能对谷歌邮箱发出更改密码功能,由于二次验证使用手机号码,黑客成功更改邮箱密码。

推特:与马斯克的协议未终止,努力采取所有必要的措施来完成交易:7月12日消息,推特表示,7月10日,推特的代表给马斯克的代表发了一封通知信。马斯克和马斯克代表声称的终止协议行为是“无效和错误的”。推特未违反其在协议下的任何义务,推特未遭受不利影响,也不太可能遭受重大不利影响。将继续根据协议提供马斯克合理要求的信息,并努力采取所有必要的措施来完成交易。保留所有合同、法律和其他权利。与马斯克的协议未终止,银行债务承诺书和股权承诺书仍有效。声称的终止协议无效,是基于以下的单独原因,即马斯克和马斯克各方“故意、有意、固执并严重地”违反了协议。(金十)[2022/7/12 2:06:21]

Day1,10:50PM

黑客获得手机和邮箱登录后,在Coinbase交易所发起重置密码请求。

Day1,10:51PM

黑客通过邮箱,获得交易所重置密码链接,同时黑客清除所有相关邮件,受害者还不知道自己遭受攻击。此时黑客已经获得所有权限。

Day2,11:00AM

用户重置SIM卡和邮箱。这里是重点:黑客看到了受害者重置了自己的SIM卡和邮箱,而并没有重置自己交易所的密码,此时黑客清楚受害者的警惕已经降到最低。

PeckShield:XCarnival攻击者已将120枚ETH发送至Tornado.cash:6月27日消息,派盾(PeckShield)监测显示,XCarnival攻击者已将2967枚ETH(约360万美元)发送到0xCA新地址,另将120枚ETH发送至Tornado.cash。据悉,NFT借贷协议XCarnival在昨晚遭到黑客攻击,攻击或由于已解除抵押的NFT仍被作为抵押品所致。黑客获利3087枚ETH,而协议损失可能更高。[2022/6/27 1:33:13]

Day2,10:00PM

黑客再次掌握受害者手机号码,由于受害者发现了与之前相同的问题,没有放在心上,而是觉得手机发生故障,受害者准备第二天再去解决。

Day2,10:01PM

黑客再次重置邮箱密码,同时,使用前一天已经获得的交易所重置密码链接,重置交易所密码。

Day2,10:10PM

黑客登录交易所,提出所有资产。

Day3,09:00AM

受害者在售后服务点内意识到自己遭到攻击,为时已晚。

虽然这里的双重验证攻击是手机SIM攻击,可能不适合国内,但是,手机和邮箱往往由于密码简单,很容易被破解。同时,如果身边的人长期渗透收集你的隐私,对你进行攻击后,不会留下任何线索。

美联储6月加息75个基点的概率为76.6%:6月14日消息,美联储掉期显示,美联储6月加息75个基点的概率为76.6%。此前据华尔街日报消息,美联储官员可能批准加息75个基点。另据市场消息称摩根大通分析师目前预计美联储本周将加息75个基点。(金十)[2022/6/14 4:23:58]

如何防范被盗?

可以说,黑客防不胜防。防范被盗最简单的方式就是:做最坏的打算。换句话说,由于加密货币的特性,你没有办法证明你的资产是真的被盗还是你自己转走的,钱包和交易所没有义务给你背锅。想当银行家管理自己的资产,一定要做好安防工作。

针对黑客的几个攻击步骤,我们可以在5点上提高安全:双重验证,密码管理,硬件密钥,硬件钱包,隐私保护

1、双重验证

谷歌身份验证器

手机和邮箱都是不够安全的,尤其是当黑客发现这个手机和邮箱的主人持币。真正安全的二次验证是使用动态身份验证器,例如谷歌身份验证器,靠谱的交易所和钱包都支持这个。

能做到这一步,你已经比市场上99%的韭菜强了,黑客看到你这样,不会浪费时间在你身上的。谷歌身份验证器可以保护你的登录安全。

港股上市公司亚洲先锋娱乐推出Asia Tigers Club系列NFT:5月4日消息,澳门电子设备供应商、港股上市公司亚洲先锋娱乐宣布首次推出Asia Tigers Club系列 NFT。该系列列由著名葡萄牙艺术家佩德罗·洛伦索(Pedro Louren?o)所创作,Asia Tigers Club 是一个由 8,800 个基于以太坊区块链的老虎头像(PFP)组成的 NFT 项目,预计将在 5 月下旬启动铸造。

Asia Tigers Club NFT持有者可优先在The Sandbox 游戏 Mini Macau(预计将于 2022 年六月推出)及 Resortverse(预计将于 2022 年第二季推出)使用元宇宙产品并获得旅行 Token,这些旅行 Token 可以用于现实生活中在澳门以及整个亚洲的度假村消费、享受酒店、娱乐和餐饮体验。[2022/5/4 2:49:36]

2、密码管理

密码管理软件,例如Bitwarden,安全且易用。有手机app和浏览器插件,同时具备加密同步功能。值得一提的是Bitwarden可以和谷歌身份验证器同步,这样在浏览器内就可以快速查看最新的动态密码。Bitwarden本身也可以用动态密码或者硬件密钥验证。这里有详细的更加详细的工具推荐。密码管理工具,可以帮助你管理你的所有密码。

3、硬件密钥

这一步复杂一点,但是安全性会提高一个级别。为了保护好你的电脑,手机和谷歌账户,可以考虑使用硬件密钥Yubikey,这种做法是企业级别的安全模式。最大的好处是只要硬件密钥在身边,就可以防止远程登录。同时,谷歌用户可以设定更高级账户保护模式,第三方服务登录谷歌账户,需要通过硬件密钥解锁。硬件密钥可以阻止黑客远程登录。

4、硬件钱包

知乎上最著名的答案:大三的学生,手头有6000元的钱,想要做些小投资赚点儿钱,有什么好建议么?

买比特币,保存好钱包文件,然后忘掉你有过6000元这回事。五年后再看看。

那么怎么最好的保存钱包文件呢?用硬件钱包,一定要把长期持有的资产通过硬件钱包保存。硬件钱包让安全和易用性得到平衡。这里需要强调一点,在下载与硬件钱包配套的软件App时,一定要注意不要下载到盗版的软件。如果遇到软件一打开,就要求输入用户名和密码,一定要三思而后行。

5、隐私保护

记住这一点:不要用聊天软件发送密码和敏感信息。聊天软件的记录很大概率使用没有加密的明文保存。

我的使用心得:硬件钱包密钥上手用

上文说了,对于普通的个人投资者,使用硬件钱包是个不错的方式,可以让安全性和易用性得到平衡。因为工作的关系和个人的爱好,我试用过市面上不少硬件钱包,正好借助这个机会和朋友们分享一下我对几款产品的上手心得。

必须强调:下文中我提及的产品都是自己掏钱购买,本文并未接受任何产品方的赞助。另外,下文提到的产品只是因为我自己购买过、使用过,所以列出,供朋友们参考。市面上钱包产品很多,有很多产品我没有使用过,并不代表这些产品不好。

硬件密钥的选择:Yubikey

各大企业安全标配,用于杜绝员工简单且不安全的密码。支持所有主流加密协议。购买需要一次买两个,小的那个可以一直插在电脑上,大的随身携带。如果其中一只丢失,可以用另外一只补救。

硬件钱包的选择:imTokenimKey&LedgerX

这是两款最新的支持蓝牙链接的硬件钱包,由目前业内最靠谱的两个团队研发:Ledger和imToken

包装

三件套LedgerX,LedgerS,imKey

imKey包装提供防篡改贴纸,保证没有在运输途中被动过手脚

imKey包装,防篡改贴纸撕掉后会有大大的VOID提示

Ledger没有防篡改贴纸,但是每次启动后都会进行放篡改验证,看上去更加安全

两个钱包都提供记忆卡片,方便记忆复原密码词组,一定要保护好这张卡片,如果硬件钱包丢失或损坏,需要这组密码词组复原

imKey实测与手机配对多成非常简单快捷,配对完成后,日常使用中链接非常快,给用户的阻力非常小

LedgerX链接也很便捷,图为防伪验证,每次使用都会有这一步,但是速度很快,可以有效的阻止硬件设备遭到攻击

这里提一下,由于imKey和LedgerX都是通过蓝牙链接,如果信不过蓝牙的安全性,可以选择LedgerNanoS,实测用数据线和手机链接,可以成功运行

imKey的大小非常合适放入钱包,做工非常结实,适合随身携带,存零花钱

LedgerX相对大很多,不够便携,适合放在家里当金库

两家的App都很好用:

Ledger的更加专注于钱包功能,没有复杂的功能,定位是做大额资产管理。imToken可玩性超高,结合了Dapp浏览器,玩玩Defi应用,在手机上借Dai收租非常爽。

安全三件套Yubikey,imKey,Ledger

本文来源于非小号媒体平台:

江明睿

现已在非小号资讯平台发布1篇作品,

非小号开放平台欢迎币圈作者入驻

入驻指南:

/apply_guide/

本文网址:

/news/3628620.html

免责声明:

1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险

2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场

上一篇:

开源代码与网站代码不一致?WalletGenerator曝出惊人漏洞

下一篇:

机构入场指南:一文读懂数字资产托管全景图

标签:GEREDGEKEYLEDburger币项目方是谁BZEdgeonekey信用卡ledger钱包官网地址

SOL热门资讯
黑色星期五来临,BTC能否在本轮上涨中翻盘?

截至今日8点,以太坊合约精英账户中,多头平均持仓比例为19.28%,空头平均持仓比例为16.00%,多头占优且多空持仓比例差距增大.

1900/1/1 0:00:00
Facebook布局加密货币,“GlobalCoin”正在来临

据BBC报道,社交媒体巨头Facebook将于2020年推出自己的加密货币“GlobalCoin”.

1900/1/1 0:00:00
坚持BTC是局的巴菲特,错过了什么?

巴菲特是比特币知名“黑粉”,大家也都很清楚了,而且是从一而终的不喜欢比特币。从比特币诞生以来,有不少大佬从一开始认为比特币是人的东西,但是后来改变看法觉得比特币也不全然是人的,尤其是区块链火了之后,大家至少还是认可比特币带来区块链.

1900/1/1 0:00:00
火星一线 | 百度大力布局区块链,百度超级链将于5月底开源

声音 | 火星人许子敬:如果全球央行继续无止境地滥发货币,时间依然站在比特币一边:火星人许子敬在刚刚微博上表示,自2009年起,诞生十年之后,比特币市值超越了俄罗斯卢布,成为了全球第八大货币.

1900/1/1 0:00:00
星客交易所SLU平台币涨幅200%,一文看懂SLU

近半个月来,星客交易所SLU平台币开始了逐步上涨之旅,涨幅200%,价格在1.3CNYT附近震荡,目前仍然保持强势的整理姿态,随时准备再次上攻.

1900/1/1 0:00:00
5.24币市早评:比特币多头难,依旧关注8000关口

比特币近期的走势相对来说比较疲软,这几天一直呈现阶梯式下跌,我们从BTC多空比能看到,该比值目前处于相对高位,说明多单数量占据优势,近期比特币阶梯式下跌,后续只有多空比发生逆转,多单数量大幅减少,空单上升才会引发大范围的暴空反弹.

1900/1/1 0:00:00