您的加密货币交易过程可能还不如您的电子邮件帐户安全

新奥尔良 -加密货币交易机构和相关应用程序不仅是对黑客来说最有价值的目标之一，同时，它们自身对黑客攻击的防护能力也是最脆弱的。

安全工具公司Veracode的首席技术官Chris Wysopal 在5月1日举行的碰头会议上发表讲话时提出了这样的警告。对于那些希望购买或投资加密货币的人来说，这应该是值得最关注的问题，尤其是对于像比特币这类通过越来越复杂的数学“挖掘”产生允许在线和跨国界的假名交易因为近期暴跌之后，其价值也大幅增加的数字货币来说尤其需要防范黑客攻击。

“当我们谈论加密货币时，我们并不是在谈论窃取那些我们必须通过货币量化的数据，”他说。“我们其实是在谈论偷钱。对于攻击者来说，这是一个非常非常有吸引力的目标。“

犯了错误

Wysopal讲述了一系列尴尬却可预防的加密货币交易应用和应用程序黑客攻击。部分节选如下：

• 2016年，为了授权在被称为分布式自治组织的网络上自动执行交易的智能联系人代码出现了一个bug，这使得黑客能够窃取价值5000万美元的以太坊加密货币。（另外，Wysopal表示这件事发生在2014年;在周四的一封电子邮件中，他表示他将这一日期与另一个发生在2014年Mt.Gox交易所失窃的约4.6亿美元的加密货币的事件的日期弄混了。）
• 在2016年8月，加密货币交易所Bitfinex被黑客黑了近7,300万美元。一个关键原因是：该中国香港站点将所有安全密钥保留在线上，而不是将其放置在离线“保险库”中。
• 1月份，攻击者闯入另一个交易所Coincheck，并偷走了5.34亿美元的加密货币。这家东京公司将其所有客户的资金都保存在一个让他们减轻工作压力的“热钱包”中。Wysopal说道：“看起来真的很愚蠢。这不是银行的工作方式，对吧？他们并不总是在柜员的抽屉里存放所有的钱。“
• 今年2月，乌克兰黑客组织Coinhoarder 通过运行谷歌（GOOG，GOOGL）广告，偷走了Blockchain.info数字钱包用户的5000万美元，这些广告让受害者认为他们正在登录真正的网站。此后，Google，Facebook（FB）和Twitter（TWTR）开始禁止加密货币广告。

你可以做什么

作为L0pht黑客组织的第一批成员之一，他开始了他的信息安全职业生涯，并于2006年共同创立了现在由CA Technologies（CA）拥有的 为他的用户提供具体的安全建议的Veracode。

启用“两步验证” 逻辑- 在该验证逻辑中，您使用发送至手机的一次性密码或通过应用程序计算出的位于该列表的首位一次性密码确认登录 。“你一定要使用双因素，”Wysopal说。（请注意，如果攻击者可以获取您的手机号码，那么依靠短信发送这些代码的两步系统可能会被攻破。）

他还建议，通过不使用公开的电子邮件或电话号码进行登录，会使钓鱼者的努力复杂化。“不要使用与该帐户关联的电子邮件地址或电话号码，”他说。“他们需要这个标识符，然后他们就会尝试通过短信或通过电子邮件来模仿你。”

对于本地加密货币存储，Wysopal支持使用硬件钱包（请参阅我的同事Daniel Roberts的操作指南），而不是移动应用程序，并说“它们不太可靠”。

最后，他建议一些社交媒体谦虚一些。“不要在线上吹嘘你的加密财富，”Wysopal说道，他注意到英国1月份入侵比特币的抢劫行为。“如果你吹嘘它，你只是让自己成为一个目标。”

你不能做什么

Wysopal以半乐观的口吻结束了他的演讲：“我认为未来我们将有一个帮助人们了解交易背后的安全的服务。“

然而，在电话采访中，他指出了为了达到与政府在银行发行的货币相同的安全性数字货币的结构性障碍：我们没有规定由加密货币公司由于黑客行为造成的损失负责，比如今天让银行负责的行为。

他说：“我们习惯于交易，并将我们的资金存储在有监管的地方，而且您的供应商有一些责任。” “这在加密货币交易中完全不存在。”

相反，加密货币市场中的个人需要坚持更好的安全性。其中包括威索帕尔，尽管他表示他只持有“少量”数字货币。

“必须发生的事情是，投资者或客户需要提供一些证据证明事情是安全的，”他说。