加密貨幣被黑頻發(fā)?但是大部分黑客用的方法很簡單區(qū)塊鏈
事實(shí)上,如今大多數(shù)的“黑客攻擊”都是以社會工程類型攻擊的形式出現(xiàn)。
加密貨幣被黑的事不斷地發(fā)生?其實(shí)那都是胡說!首先,我們來澄清幾個錯誤概念。
什么叫“被黑”?
“被黑”是個很寬泛的用詞。
一般人想到被黑的時(shí)候,他們會想象在某個地方的一個黑屋子里,有些人通過鍵盤上的幾次點(diǎn)擊就能進(jìn)入您的計(jì)算機(jī)或接觸您的在線數(shù)據(jù)。
來自好萊塢的胡編亂造
事實(shí)上,這完全是胡說,是想象出來的。
如今大多數(shù)的“黑客攻擊”實(shí)際上是以社會工程類型攻擊的形式出現(xiàn)。社會工程的定義如下:“利用欺騙手段操縱個人泄露可能用于欺詐目的的機(jī)密或個人信息。”
這跟黑客像上面圖片顯示的那樣獲取“訪問權(quán)限”沒有關(guān)系,但是更多的是,那些人是社交高手,通過下面的方式獲取您的個人信息。
電話 / 電子郵件劫持
他們?nèi)ツ诘漠?dāng)?shù)仉娦艩I業(yè)廳購買電話卡。
他們告訴營業(yè)員:“糟糕,昨天我的錢包和手機(jī)丟了,我只是要買一張新電話卡并激活它就行。”
電信營業(yè)廳的工作人員當(dāng)然表示沒問題,只需要驗(yàn)證一下個人信息:
黑客(扮演者)說“當(dāng)然”,然后開始把個人信息報(bào)給工作人員:生日、地址、母親的原名,甚至可能地址。
您可能會說,怎么可能?讀心術(shù)或者魔術(shù)?當(dāng)然不是。
電信營業(yè)廳的工作人員說:“好,您的新電話卡辦好了。”
然后,繼續(xù)設(shè)置電話卡,接著開始訪問您的電子郵件。
第一步:忘記密碼
第二步:輸入用于恢復(fù)的電話號碼或者媽媽的原名
第三步:重設(shè)密碼
第四步:現(xiàn)在可以登錄您的電子郵件了。
現(xiàn)在,他們可以登錄您的任何賬號,點(diǎn)擊重設(shè)密碼后盡情去做他們要做的事了。您也許會說:“為什么要進(jìn)入營業(yè)廳做這些呢?難道他們不能給您的電信運(yùn)行商打個電話并假裝是您呢?”
這當(dāng)然可以。坦白地說,大多數(shù)情況下,他們就是這么做的。上面的內(nèi)容只是說明這么做是多么容易。通過電話就更容易了。
另一種非常常見的方法,也是一種社會工程形式:
網(wǎng)絡(luò)釣魚
這是迄今為止最常見的形式,尤其在涉及加密貨幣,初次發(fā)幣的時(shí)候。
網(wǎng)絡(luò)釣魚的一種形式是,您收到來自“信任的”公司(如 PayPal、eBay 或您的銀行)的郵件,他們要求您“登錄您的賬戶”以查看余額或修正一些個人信息。電子郵件的品牌標(biāo)記看上去是正統(tǒng)合法的,鏈接看起來也正統(tǒng)合法,在您點(diǎn)擊后,登錄的頁面看上去也是正統(tǒng)合法的。
網(wǎng)絡(luò)釣魚電子郵件示例
您像往常一般登錄,輸入您的電子郵件和密碼,但是發(fā)現(xiàn)您無法登錄。大多數(shù)人會說“Paypal 這個蠢公司。要我登錄,但我無法登錄”,然后他們把這事扔在一邊,以后再說了。
他們沒有意識到的是,他們剛把他們的用戶名和密碼輸入了某個黑客的數(shù)據(jù)庫,黑客可能在后臺說著“非常感謝”,然后把這些信息輸入他們真正的 PayPal(或者銀行,或者電子郵箱,或者任何)賬號,修改密碼,讓他們進(jìn)不了自己的賬戶,把他們所有的錢 / 基金 / 加密貨幣 / 任何其他東西一掃而空。
當(dāng)普通人在每個網(wǎng)上服務(wù)中都使用同樣的密碼時(shí),問題就更復(fù)雜了。他們用于電子郵件的密碼和他們的網(wǎng)上銀行、PayPal、Spotify、臉書、Netflix 和加密貨幣交易中用到的密碼都是一樣的!
現(xiàn)在,黑客已經(jīng)可以訪問您所有的東西。除非您很快意識到,否則您就完蛋了。
網(wǎng)絡(luò)釣魚詐騙如今相當(dāng)先進(jìn),甚至能夠影響到我們最安全的意識。
早些年,我點(diǎn)擊了一個交易所鏈接,致使我失去了 20 個比特幣。而這個鏈接是我在我朋友的電腦上用谷歌搜索到的,當(dāng)時(shí)我自己的電腦不在身邊。
我搜索要下單的交易所。在谷歌(我想它應(yīng)該是谷歌的 Adwords Ad)最上面的搜索結(jié)果上點(diǎn)擊了一下,然后我被帶到了一個頁面。我以為那是一個交易平臺,輸入用戶名和密碼之后卻并不能登錄。我思考了一下哪里出錯了,并重新刷新了頁面,回到谷歌頁面,再次點(diǎn)擊位于頂部的鏈接。這次,回到了正確的網(wǎng)站,登錄,一切正常,我下了交易單子,然后就離開了。
我完全沒意識到我剛剛交出了我的用戶名和密碼!
兩個星期后,當(dāng)我再次嘗試登錄時(shí),結(jié)果失敗了。我咨詢了網(wǎng)站,他們驗(yàn)證后幫我重設(shè)密碼,但是太遲了,里面的錢都沒了。
如果您不再三檢查,就會出錯
按當(dāng)時(shí)的價(jià)格來說,那還算不上多少錢。因此,我認(rèn)為我還不至于去跳樓,但是看看今天的價(jià)格,超過了 20 萬美元,真該跳樓了。
每個行業(yè)都有風(fēng)險(xiǎn)。如果您要在網(wǎng)上做些跟錢或敏感信息相關(guān)的事,您或許應(yīng)該學(xué)一點(diǎn)基本信息安全知識。像 2FA(2-factor-aughentication,雙重認(rèn)證)就可以救命。
在您做事之前,了解您要做的事是非常重要的。我希望剛才提到的事,能給其他人一個提醒,不要這么做。
好了。現(xiàn)在,我們了解黑客攻擊真正的工作原理了,讓我們花點(diǎn)兒時(shí)間來了解一下在加密貨幣世界發(fā)生的事,同時(shí)了解一下為什么還有那么多所謂的攻擊。(這過于夸張了)
“遺失的比特幣”
有篇文章是講“20% 的比特幣是如何不見的”(https://bitcoinexchangeguide.com/reports-say-20-of-all-bitcoin-btc-is-gone-but-crypto-hunters-can-help-recover-data/)。報(bào)道提到 20% 的比特幣不見了。但是“加密貨幣獵手”能夠恢復(fù)數(shù)據(jù)。
在加密貨幣行業(yè),安全性有那么多問題,小偷也很多,但看到有 bitcoinexchangeguide.com,真是讓人可以松口氣。
您沒有“遺失”比特幣。所有比特幣網(wǎng)絡(luò)產(chǎn)生出來的比特幣仍然在網(wǎng)上。只是對某些比特幣的“訪問通道”不見了。這類訪問通道就是所謂的“私鑰”。私鑰就像是密碼(只是更長一些),并且是一樣真實(shí)的“東西”,可以解密被加密的信息。公鑰和私鑰密碼學(xué),基本上,如今所有的加密貨幣的加密標(biāo)準(zhǔn)與 VISA、MasterCard、任何信用卡、網(wǎng)上銀行和個人或敏感信息數(shù)據(jù)庫(任何地方)的都是一樣的,因此,那不是加密被破壞,而是對這些可以訪問加密數(shù)據(jù)的鑰匙的管理出錯了。
您可以認(rèn)為您的數(shù)據(jù)存入一個信箱。這個有魔力的數(shù)字信箱里面有一些“東西”,比如您的比特幣、個人信息、存放于數(shù)據(jù)庫的敏感信息等等,沒人可以真正看到該信箱的內(nèi)部情況或者闖入該信箱。
唯一能夠訪問和查看信箱內(nèi)部的方法是使用私鑰。
密碼通常是私鑰的有用“抽象”,您在使用的程序給您一個密碼(讓您更容易記住),這樣您可以輸入密碼,應(yīng)用程序得到您的授權(quán)(因?yàn)槟训卿浟耍﹫?zhí)行諸如“查看數(shù)據(jù)”或者“發(fā)送比特幣”等等功能,而無需知道如何用私鑰去簽署一次交易或執(zhí)行某個功能以訪問數(shù)據(jù)。
私鑰就是那個有魔法的詞!
如果數(shù)據(jù)是加密的,密碼、用戶名和個人信息存于加密的數(shù)據(jù)庫(如今大多數(shù)的數(shù)據(jù)庫如此),那么基本上,通過破解加密以查看數(shù)據(jù)是不可能。
如果什么被泄露或“被黑”,那是因?yàn)樗借€泄露了,或者代表私鑰的密碼泄露了。
安全性不是關(guān)于加密,更多是關(guān)于用來確保訪問代碼、密碼和 / 或私鑰的協(xié)議不會泄露。
現(xiàn)在,我們明白了,讓我們來看看這些所謂的“攻擊”究竟是怎么發(fā)生的。
交易攻擊——加密貨幣蜜罐技術(shù)
蜜罐本質(zhì)上是個隱喻,是指用來存儲大量有價(jià)值的信息 / 數(shù)據(jù) / 資金等的東西。
黑客們這么稱呼它,是因?yàn)槿绻麄冞M(jìn)入,就能得到金子(或蜜糖)。
不是這樣的蜜罐
現(xiàn)在,您知道私鑰 / 密碼是什么了,還有如果人們被網(wǎng)絡(luò)釣魚或他們的信息被劫持,會發(fā)生什么事了;以及人們事實(shí)上在信息安全花的時(shí)間有多么少,我們來看看這里發(fā)生了什么事。
1. 大多數(shù)交易所的信息安全協(xié)議很糟糕。
大多數(shù)加密貨幣交易所都是最近幾年成立的,并且是由那些什么都不懂的人們建立的。他們不是安全專家,通常來自金融業(yè)(有著 100 年的托管協(xié)議),根本沒有意識到,數(shù)據(jù)的泄露有多么容易。
當(dāng)您聽說交易所“被黑”,通常是因?yàn)橹髅艽a或訪問代碼不知何故被泄露了,或者是首先沒有被好好保護(hù)。
當(dāng)您拿著自己的“加密貨幣”到交易所,您所做的是將跟您的資金有關(guān)的私鑰的安全 / 存儲委托給交易所的擁有者 / 運(yùn)營者 。
他們持有所有人的私鑰。它們大多數(shù)時(shí)間是在加密數(shù)據(jù)庫中,那是沒問題的。有問題的是,可以解密所有數(shù)據(jù)的密碼或私鑰通常只有一到兩個人知道。
如果那個人發(fā)生了意外?
如果他們的個人信息被黑(像上面提到的社會工程例子)?如果他們被網(wǎng)絡(luò)釣魚了?如果像大多數(shù)人一樣,他們用于公司數(shù)據(jù)庫的密碼和他們用于臉書的密碼一樣怎么辦?
如果一個能夠接觸密碼或密鑰的重要員工決定欺詐怎么辦?或者,就算他沒有這么做,但是被解雇或辭職了,并對老板足夠了解,實(shí)施社會工程類型接管了老板的賬號怎么辦?
那么,所有受他們的私鑰(或密碼)保護(hù)的數(shù)據(jù)現(xiàn)在都受到了損害。
這種情況在一個正常的世界里一直會發(fā)生。
全球最大的個人數(shù)據(jù)存儲商 Equifax 泄露了上億人的個人信息。不是一次,不是兩次,我們都不知道發(fā)生了多少次!Equifax 說,網(wǎng)絡(luò)攻擊也許已經(jīng)影響到了美國 1 億 4 千 3 百萬人。
上面已經(jīng)提到了 1 億 4 千 3 百萬。這里還有另外的 2 千萬:Equifax 泄露了數(shù)百萬的駕照信息、電話號碼和電子郵件
在集中系統(tǒng)中,數(shù)據(jù)泄露幾乎是不可避免的。
Equifax(或一個傳統(tǒng)的行業(yè))和加密貨幣交易所之間的區(qū)別是:
Equifax 的泄露意味著黑客接觸到了人們的個人信息,并且有了那些信息之后,就可以借此劫持他們的身份,繼而接觸到其他所有的東西(包括他們的加密貨幣交易賬號,假如該受害者沒有意識到已被黑客得手了)。
通過加密貨幣交易,數(shù)據(jù)泄露涉及直接接觸到加密貨幣私鑰。在這種情況下,意味著可以直接接觸到原生數(shù)字,這些可以通過互聯(lián)網(wǎng)即時(shí)轉(zhuǎn)移,只要它們和一套新的私鑰相關(guān)聯(lián),就無法返回。
2. 大多數(shù)人的信息安全協(xié)議很糟糕
交易所并沒有過錯,但很多人已經(jīng)“被黑”了。
他們只是已經(jīng)被網(wǎng)絡(luò)釣魚了(就像我剛才提到的)。
大多數(shù)人不知道如何保存他們的密碼以及在何處保存他們的密碼,他們把他們的個人信息直接放到網(wǎng)上,他們不知道什么是黑客行為,認(rèn)為網(wǎng)絡(luò)釣魚是周末出海去釣魚。
圖看起來有點(diǎn)夸張,但實(shí)際很準(zhǔn)確
在加密貨幣的世界里,35 歲實(shí)際上是很老了,就像上面的老奶奶,因?yàn)檫@個領(lǐng)域是如此之新,他們不具有這些知識或者理解去和那些 18 歲的數(shù)字原住民去競爭。
遺失您的密碼,或是不小心泄露了它,就意味著您實(shí)際上把進(jìn)您房子的“鑰匙”給了那些蓄意要從您家里拿走東西的人。
同時(shí),因?yàn)樗菙?shù)字化的,他們可以在任何時(shí)候任何地方做,而且絕對能做到。
也許您會說,“這是荒謬的”,這不會發(fā)生在銀行身上,他們應(yīng)該把我的錢還給我,等等,這些大都是對的,因?yàn)殄X是可以追蹤,所以您能夠拿回錢來,但是,也要注意到,泄露密碼違反了銀行的條款,如果他們不想,他們可以不幫您,同時(shí),如果這么做要花費(fèi)銀行大量的資源等等,那么,我們就得自己付出代價(jià)了。
為了反駁上述說法,我要說每種技術(shù)都有其優(yōu)缺點(diǎn)。
同樣的爭論也發(fā)生在最初的汽車身上。它們是危險(xiǎn)的,它們會“殺人”,并且英國(舉個例子)修改了法律,以適應(yīng)在英國汽車行業(yè)的發(fā)展,比如您需要 3 個操作人員以合法地駕駛汽車(紅旗法案):
一個人負(fù)責(zé)輪子
一個人坐在乘員的座位上給汽車加油
一個人在汽車前 150 米處跑,并揮舞一面紅旗以提醒人們車來了。
這是真的,不是開玩笑。
汽車基本上是在英國發(fā)明的,但是毫無疑問,這項(xiàng)創(chuàng)新被轉(zhuǎn)移到了美國,并且因?yàn)楦L兀龑?dǎo)了整個世界的工業(yè)革命并形成了中產(chǎn)階級。
所有新技術(shù)都有其優(yōu)缺點(diǎn)。我們正在走向這樣的世界,其中的價(jià)值本身是數(shù)字的,總是在線、開放、即時(shí),并且任何人在任何地方和任何時(shí)間都能接觸到。要學(xué)習(xí)一些基本的信息安全是個小問題,通向這個世界的路肯定將有起有伏,就像電力、汽車、電話、互聯(lián)網(wǎng)一樣,現(xiàn)在是比特幣和數(shù)字貨幣。
3. 比特幣和加密貨幣黑客攻擊
加密貨幣永遠(yuǎn)不會被“被黑”,但是,如果沒有正確地考慮,或如果博弈理論不合理,那么它們的核心協(xié)議或共識機(jī)制會受到損害,在這種情況下,網(wǎng)絡(luò)規(guī)則會改變,并且跟某些私鑰相關(guān)的數(shù)據(jù)(資金)會變化(資金被重定位)。
這跟前面所描述的“攻擊”不同,通常是設(shè)計(jì)糟糕的共識協(xié)議帶來的后果,沒有理解博弈理論,并且是非去中心化(如集中的)系統(tǒng),就可以通過多數(shù)人控制,不難實(shí)現(xiàn)(越分散,就越難獲得多數(shù),從而就越安全)。
比特幣是唯一的數(shù)字網(wǎng)絡(luò),是我們(作為人類)創(chuàng)造的,擁有 99.9% 的正常運(yùn)行時(shí)間,或者說它從未受到損害。那 0.01% 是早期的一個錯誤,那時(shí)比特幣還只值幾美分(來自 Token Daily):
有趣的事實(shí):比特幣在 8 年前受到攻擊,就是眾所周知的“價(jià)值溢出事件”。第 74638 號區(qū)塊包含了一個交易,為三個不同的地址創(chuàng)造了 1800 億個比特幣。區(qū)塊鏈分叉了,因此該交易不再存在于最長的鏈上(它創(chuàng)造的比特幣也不復(fù)存在)。
除此之外,它是歷史上最安全的數(shù)字網(wǎng)絡(luò)。
為什么?
這不是因?yàn)橐恍┢嫣氐摹⒘钊穗y以置信的加密,是因?yàn)槟切﹨⑴c者所遵循的該網(wǎng)絡(luò)的規(guī)則。它融合了經(jīng)濟(jì)學(xué)、博弈理論、激勵因素及非激勵因素、密碼學(xué)、加密等。
比特幣是一種用于社會問題的技術(shù)解決方案,有著深遠(yuǎn)的政治影響。
比特幣代表了一種新形式的社會“協(xié)議”或“信任”,用于解決(或改善)我們?nèi)祟悾ㄖ侨耍┯惺芬詠碜罟爬系牟⒂谄渖辖⑸鐣摹肮蚕硖摌?gòu)”形式,也即:金錢。
要了解更多金錢是如何隨著時(shí)間的變化而演變,以及我們?nèi)绾问褂帽忍貛藕蛿?shù)字貨幣,請點(diǎn)擊這里。
要了解所有經(jīng)濟(jì)學(xué)、加密學(xué)、博弈理論等等如何結(jié)合在一起的,請參看這里。
現(xiàn)在,我能聽到您在說:
“如果比特幣是如此能夠抵御“黑客攻擊”的,那么為什么我總是聽到黑客攻擊,人們失去了他們的錢,他們的錢包被“黑”了等等消息。這是怎么回事?“
答案在這里。很多實(shí)際上是:
1. 遺失了私鑰。
這跟比特幣沒任何關(guān)系。這是某些人的電腦問題。
早年,當(dāng)比特幣還是純實(shí)驗(yàn)性質(zhì)的時(shí)候,沒有人真的在乎它(包括我自己),我們對私鑰沒有概念,不知道在當(dāng)時(shí)安全地存儲 500 美元為什么那么重要。7、8 年飛快地過去了,當(dāng)時(shí)的 500 美元現(xiàn)在值 1 千萬美元了,有些人把私鑰保存在舊計(jì)算機(jī)的硬盤上,那些計(jì)算機(jī)最終被扔在垃圾桶里。現(xiàn)在需要出門到垃圾站找出那臺計(jì)算機(jī),希望能挖出數(shù)據(jù),祈禱他們可以拿到神奇的私鑰,那將送他們到應(yīng)許之地。
是的,這是真的。
我已經(jīng)遺失了早些年得到的密鑰。我不知道我把它放在哪里了,并且因?yàn)槲颐?18 到 24 個月會買一臺新計(jì)算機(jī),我甚至不知道該從哪里開始找。但是,那只是一部分原因,也是我能夠理解在我們這個不斷增長的數(shù)字化主導(dǎo)的世界里個人信息安全是多么重要的原因。因此,如果您下載過錢包,在某個地方寫下私鑰,買了一堆比特幣,但是遺失了私鑰,那么祝您好運(yùn)吧。
報(bào)道說 20% 的比特幣已經(jīng)不見了,但是“加密貨幣獵人”可以幫助恢復(fù)數(shù)據(jù)。
在加密貨幣行業(yè)有如此多的安全和偷盜問題,能找到這個 bitcoinexchangeguide.com真是讓人大大舒了一口氣。
這篇文章提到人們打算去催眠師那里,希望通過把私鑰從潛意識帶回到有意識的頭腦中,回憶起來。文章也提到人們帶著損壞的硬盤,尋找數(shù)據(jù)檢索專家以取回私鑰等等。
他們這樣做的原因是,我之前提到過,所有這些比特幣仍舊在網(wǎng)上,跟一組私鑰相關(guān)聯(lián)。控制了這些私鑰的人就能控制跟這些私鑰相關(guān)聯(lián)的比特幣。
也許催眠師或其他一些錢包恢復(fù)服務(wù)能夠幫上忙,不管怎樣,祝他們好運(yùn)吧。
2. 錢包被黑了
有兩種不同的錢包,分別是托管錢包和客戶端錢包。
客戶端錢包意味著您控制著私鑰,它們沒有存在錢包的供應(yīng)商那里。如果這種錢包被黑,您只需拿著私鑰設(shè)置一個新錢包,再用私鑰恢復(fù)那些資金。什么都不會丟失。
托管錢包是另一種情況,它保存您的私鑰。對于一個交易來說,這沒有什么區(qū)別,只要每個用戶的私鑰都在那里就行。如果托管錢包服務(wù)被破壞了(我遇到過這種情況,損失了 1 萬加密貨幣。是的,我有些糟糕的運(yùn)氣。那么,您就沒什么可做的了,但是
有個地方可以提供這些服務(wù)。
大多數(shù)人真的非常討厭管理員身份和個人信息安全問題。大多數(shù)人(想想在電影《頭號玩家》中的人們)把他們的計(jì)算機(jī)密碼寫在便簽上,貼在他們的計(jì)算機(jī)上。
因此,對于這些人來說,把錢放在一個有信譽(yù)的交易所或托管錢包服務(wù)那里實(shí)際上是更好的主意。因?yàn)椋绻麄兺嗣艽a,可以只需要驗(yàn)證他們的身份就能重新設(shè)置密碼了。否則,如果他們遺失了錢包,或手機(jī),或筆記本電腦,然后去重新設(shè)置他們的錢包(也就是錢),但是遺失了私鑰的話,那么就是跟比特幣說再見了,基本上沒有機(jī)會拿回那些比特幣了。
總結(jié)
數(shù)字貨幣仍然是新興技術(shù)。
因?yàn)檫@全都發(fā)生在前沿技術(shù)、社會和社會變革、最重要的構(gòu)建塊 / 分享功能的交叉點(diǎn),也就是“錢”上,這將是一個瘋狂的過程。
我們進(jìn)入一場全球革命差不多有 9 年時(shí)間了。它最有可能是我們在我們的生命中所見過中最偉大的革命,如果不是從互聯(lián)網(wǎng)開始算(互聯(lián)網(wǎng)改變了一切)。
在早期階段,任何東西都不是直線運(yùn)動的(事實(shí)上,沒有任何東西持續(xù)直線運(yùn)動,無論在何時(shí)),但是,我的觀點(diǎn)是我們超級超級早。
在電子郵件誕生的時(shí)候,人們并不知道自己在做什么。隨著技術(shù)的發(fā)展,像 hotmail 這樣的公司出現(xiàn)了,他們的目標(biāo)是讓電子郵件變得更容易使用,因此,大眾的接受速度加快了。世界上將有數(shù)百萬,甚至上億的人使用這新興技術(shù)。
就像現(xiàn)在的加密貨幣。這是一個令人興奮的新世界。一個全新的領(lǐng)域,有很多風(fēng)險(xiǎn),但也有很多機(jī)會。大家都要注意安全。
1.TMT觀察網(wǎng)遵循行業(yè)規(guī)范,任何轉(zhuǎn)載的稿件都會明確標(biāo)注作者和來源;
2.TMT觀察網(wǎng)的原創(chuàng)文章,請轉(zhuǎn)載時(shí)務(wù)必注明文章作者和"來源:TMT觀察網(wǎng)",不尊重原創(chuàng)的行為TMT觀察網(wǎng)或?qū)⒆肪控?zé)任;
3.作者投稿可能會經(jīng)TMT觀察網(wǎng)編輯修改或補(bǔ)充。
