首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

加密货币被黑频发?但是大部分“黑客”用的方法很简单!

作者|Aleksandar Svetski

编译|姚佳灵

加密货币被黑的事不断地发生?其实那都是诱骗点击的胡说!

首先,我们来澄清几个错误概念。

1. 什么叫“被黑”?

“被黑”是个很宽泛的用词。

一般人想到被黑的时候,他们会想象在某个地方的一个黑屋子里,有些人通过键盘上的几次点击就能进入您的计算机或接触您的在线数据。

来自好莱坞的胡编乱造

事实上,这完全是胡说,是想象出来的。

如今大多数的“黑客攻击”实际上是以社会工程类型攻击的形式出现。社会工程的定义如下:“利用欺骗手段操纵个人泄露可能用于欺诈目的的机密或个人信息。”

这跟黑客像上面图片显示的那样获取“访问权限”没有关系,但是更多的是,那些人是社交高手,通过下面的方式获取您的个人信息。

电话 / 电子邮件劫持

他们去您所在的当地电信营业厅购买电话卡。

他们告诉营业员:“糟糕,昨天我的钱包和手机丢了,我只是要买一张新电话卡并激活它就行。”

电信营业厅的工作人员当然表示没问题,只需要验证一下个人信息:

黑客(扮演者)说“当然”,然后开始把个人信息报给工作人员:生日、地址、母亲的原名,甚至可能地址。

您可能会说,怎么可能?读心术或者魔术?当然不是。

电信营业厅的工作人员说:“好,您的新电话卡办好了。”

然后,继续设置电话卡,接着开始访问您的电子邮件。

第一步:忘记密码

第二步:输入用于恢复的电话号码或者妈妈的原名

第三步:重设密码

第四步:现在可以登录您的电子邮件了。

现在,他们可以登录您的任何账号,点击重设密码后尽情去做他们要做的事了。您也许会说:“为什么要进入营业厅做这些呢?难道他们不能给您的电信运行商打个电话并假装是您呢?”

这当然可以。坦白地说,大多数情况下,他们就是这么做的。上面的内容只是说明这么做是多么容易。通过电话就更容易了。

另一种非常常见的方法,也是一种社会工程形式:

网络钓鱼

这是迄今为止最常见的形式,尤其在涉及加密货币,初次发币的时候。

网络钓鱼的一种形式是,您收到来自“信任的”公司(如 PayPal、eBay 或您的银行)的邮件,他们要求您“登录您的账户”以查看余额或修正一些个人信息。电子邮件的品牌标记看上去是正统合法的,链接看起来也正统合法,在您点击后,登录的页面看上去也是正统合法的。

网络钓鱼电子邮件示例

您像往常一般登录,输入您的电子邮件和密码,但是发现您无法登录。大多数人会说“Paypal 这个蠢公司。要我登录,但我无法登录”,然后他们把这事扔在一边,以后再说了。

他们没有意识到的是,他们刚把他们的用户名和密码输入了某个黑客的数据库,黑客可能在后台说着“非常感谢”,然后把这些信息输入他们真正的 PayPal(或者银行,或者电子邮箱,或者任何)账号,修改密码,让他们进不了自己的账户,把他们所有的钱 / 基金 / 加密货币 / 任何其他东西一扫而空。

当普通人在每个网上服务中都使用同样的密码时,问题就更复杂了。他们用于电子邮件的密码和他们的网上银行、PayPal、Spotify、脸书、Netflix 和加密货币交易中用到的密码都是一样的!

现在,黑客已经可以访问您所有的东西。除非您很快意识到,否则您就完蛋了。

网络钓鱼诈骗如今相当先进,甚至能够影响到我们最安全的意识。

早些年,我点击了一个交易所链接,致使我失去了 20 个比特币。而这个链接是我在我朋友的电脑上用谷歌搜索到的,当时我自己的电脑不在身边。

我搜索要下单的交易所。在谷歌(我想它应该是谷歌的 Adwords Ad)最上面的搜索结果上点击了一下,然后我被带到了一个页面。我以为那是一个交易平台,输入用户名和密码之后却并不能登录。我思考了一下哪里出错了,并重新刷新了页面,回到谷歌页面,再次点击位于顶部的链接。这次,回到了正确的网站,登录,一切正常,我下了交易单子,然后就离开了。

我完全没意识到我刚刚交出了我的用户名和密码!

两个星期后,当我再次尝试登录时,结果失败了。我咨询了网站,他们验证后帮我重设密码,但是太迟了,里面的钱都没了。

如果您不再三检查,就会出错

按当时的价格来说,那还算不上多少钱。因此,我认为我还不至于去跳楼,但是看看今天的价格,超过了 20 万美元,真该跳楼了。

每个行业都有风险。如果您要在网上做些跟钱或敏感信息相关的事,您或许应该学一点基本信息安全知识。像 2FA(2-factor-aughentication,双重认证)就可以救命。

在您做事之前,了解您要做的事是非常重要的。我希望刚才提到的事,能给其他人一个提醒,不要这么做。

好了。现在,我们了解黑客攻击真正的工作原理了,让我们花点儿时间来了解一下在加密货币世界发生的事,同时了解一下为什么还有那么多所谓的攻击。(这过于夸张了)

2. “遗失的比特币”

有篇文章是讲“20% 的比特币是如何不见的”(https://bitcoinexchangeguide.com/reports-say-20-of-all-bitcoin-btc-is-gone-but-crypto-hunters-can-help-recover-data/)。报道提到 20% 的比特币不见了。但是“加密货币猎手”能够恢复数据。

在加密货币行业,安全性有那么多问题,小偷也很多,但看到有 bitcoinexchangeguide.com,真是让人可以松口气。

您没有“遗失”比特币。所有比特币网络产生出来的比特币仍然在网上。只是对某些比特币的“访问通道”不见了。这类访问通道就是所谓的“私钥”。私钥就像是密码(只是更长一些),并且是一样真实的“东西”,可以解密被加密的信息。公钥和私钥密码学,基本上,如今所有的加密货币的加密标准与 VISA、MasterCard、任何信用卡、网上银行和个人或敏感信息数据库(任何地方)的都是一样的,因此,那不是加密被破坏,而是对这些可以访问加密数据的钥匙的管理出错了。

您可以认为您的数据存入一个信箱。这个有魔力的数字信箱里面有一些“东西”,比如您的比特币、个人信息、存放于数据库的敏感信息等等,没人可以真正看到该信箱的内部情况或者闯入该信箱。

唯一能够访问和查看信箱内部的方法是使用私钥。

密码通常是私钥的有用“抽象”,您在使用的程序给您一个密码(让您更容易记住),这样您可以输入密码,应用程序得到您的授权(因为您已登录了)执行诸如“查看数据”或者“发送比特币”等等功能,而无需知道如何用私钥去签署一次交易或执行某个功能以访问数据。

私钥就是那个有魔法的词!

如果数据是加密的,密码、用户名和个人信息存于加密的数据库(如今大多数的数据库如此),那么基本上,通过破解加密以查看数据是不可能。

如果什么被泄露或“被黑”,那是因为私钥泄露了,或者代表私钥的密码泄露了。

安全性不是关于加密,更多是关于用来确保访问代码、密码和 / 或私钥的协议不会泄露。

现在,我们明白了,让我们来看看这些所谓的“攻击”究竟是怎么发生的。

3. 交易攻击——加密货币蜜罐技术

蜜罐本质上是个隐喻,是指用来存储大量有价值的信息 / 数据 / 资金等的东西。

黑客们这么称呼它,是因为如果他们进入,就能得到金子(或蜜糖)。

不是这样的蜜罐

现在,您知道私钥 / 密码是什么了,还有如果人们被网络钓鱼或他们的信息被劫持,会发生什么事了;以及人们事实上在信息安全花的时间有多么少,我们来看看这里发生了什么事。

1. 大多数交易所的信息安全协议很糟糕。

大多数加密货币交易所都是最近几年成立的,并且是由那些什么都不懂的人们建立的。他们不是安全专家,通常来自金融业(有着 100 年的托管协议),根本没有意识到,数据的泄露有多么容易。

当您听说交易所“被黑”,通常是因为主密码或访问代码不知何故被泄露了,或者是首先没有被好好保护。

当您拿着自己的“加密货币”到交易所,您所做的是将跟您的资金有关的私钥的安全 / 存储委托给交易所的拥有者 / 运营者 。

他们持有所有人的私钥。它们大多数时间是在加密数据库中,那是没问题的。有问题的是,可以解密所有数据的密码或私钥通常只有一到两个人知道。

如果那个人发生了意外?

如果他们的个人信息被黑(像上面提到的社会工程例子)?如果他们被网络钓鱼了?如果像大多数人一样,他们用于公司数据库的密码和他们用于脸书的密码一样怎么办?

如果一个能够接触密码或密钥的重要员工决定欺诈怎么办?或者,就算他没有这么做,但是被解雇或辞职了,并对老板足够了解,实施社会工程类型接管了老板的账号怎么办?

那么,所有受他们的私钥(或密码)保护的数据现在都受到了损害。

这种情况在一个正常的世界里一直会发生。

全球最大的个人数据存储商 Equifax 泄露了上亿人的个人信息。不是一次,不是两次,我们都不知道发生了多少次!Equifax 说,网络攻击也许已经影响到了美国 1 亿 4 千 3 百万人。

上面已经提到了 1 亿 4 千 3 百万。这里还有另外的 2 千万:Equifax 泄露了数百万的驾照信息、电话号码和电子邮件

在集中系统中,数据泄露几乎是不可避免的。

Equifax(或一个传统的行业)和加密货币交易所之间的区别是:

Equifax 的泄露意味着黑客接触到了人们的个人信息,并且有了那些信息之后,就可以借此劫持他们的身份,继而接触到其他所有的东西(包括他们的加密货币交易账号,假如该受害者没有意识到已被黑客得手了)。

通过加密货币交易,数据泄露涉及直接接触到加密货币私钥。在这种情况下,意味着可以直接接触到原生数字,这些可以通过互联网即时转移,只要它们和一套新的私钥相关联,就无法返回。

2. 大多数人的信息安全协议很糟糕

交易所并没有过错,但很多人已经“被黑”了。

他们只是已经被网络钓鱼了(就像我刚才提到的)。

大多数人不知道如何保存他们的密码以及在何处保存他们的密码,他们把他们的个人信息直接放到网上,他们不知道什么是黑客行为,认为网络钓鱼是周末出海去钓鱼。

图看起来有点夸张,但实际很准确

在加密货币的世界里,35 岁实际上是很老了,就像上面的老奶奶,因为这个领域是如此之新,他们不具有这些知识或者理解去和那些 18 岁的数字原住民去竞争。

遗失您的密码,或是不小心泄露了它,就意味着您实际上把进您房子的“钥匙”给了那些蓄意要从您家里拿走东西的人。

同时,因为它是数字化的,他们可以在任何时候任何地方做,而且绝对能做到。

也许您会说,“这是荒谬的”,这不会发生在银行身上,他们应该把我的钱还给我,等等,这些大都是对的,因为钱是可以追踪,所以您能够拿回钱来,但是,也要注意到,泄露密码违反了银行的条款,如果他们不想,他们可以不帮您,同时,如果这么做要花费银行大量的资源等等,那么,我们就得自己付出代价了。

为了反驳上述说法,我要说每种技术都有其优缺点。

同样的争论也发生在最初的汽车身上。它们是危险的,它们会“杀人”,并且英国(举个例子)修改了法律,以适应在英国汽车行业的发展,比如您需要 3 个操作人员以合法地驾驶汽车(红旗法案):

一个人负责轮子

一个人坐在乘员的座位上给汽车加油

一个人在汽车前 150 米处跑,并挥舞一面红旗以提醒人们车来了。

这是真的,不是开玩笑。

汽车基本上是在英国发明的,但是毫无疑问,这项创新被转移到了美国,并且因为福特,引导了整个世界的工业革命并形成了中产阶级。

所有新技术都有其优缺点。我们正在走向这样的世界,其中的价值本身是数字的,总是在线、开放、即时,并且任何人在任何地方和任何时间都能接触到。要学习一些基本的信息安全是个小问题,通向这个世界的路肯定将有起有伏,就像电力、汽车、电话、互联网一样,现在是比特币和数字货币。

4. 比特币和加密货币黑客攻击

加密货币永远不会被“被黑”,但是,如果没有正确地考虑,或如果博弈理论不合理,那么它们的核心协议或共识机制会受到损害,在这种情况下,网络规则会改变,并且跟某些私钥相关的数据(资金)会变化(资金被重定位)。

这跟前面所描述的“攻击”不同,通常是设计糟糕的共识协议带来的后果,没有理解博弈理论,并且是非去中心化(如集中的)系统,就可以通过多数人控制,不难实现(越分散,就越难获得多数,从而就越安全)。

比特币是唯一的数字网络,是我们(作为人类)创造的,拥有 99.9% 的正常运行时间,或者说它从未受到损害。那 0.01% 是早期的一个错误,那时比特币还只值几美分(来自 Token Daily):

有趣的事实:比特币在 8 年前受到攻击,就是众所周知的“价值溢出事件”。第 74638 号区块包含了一个交易,为三个不同的地址创造了 1800 亿个比特币。区块链分叉了,因此该交易不再存在于最长的链上(它创造的比特币也不复存在)。

除此之外,它是历史上最安全的数字网络。

为什么?

这不是因为一些奇特的、令人难以置信的加密,是因为那些参与者所遵循的该网络的规则。它融合了经济学、博弈理论、激励因素及非激励因素、密码学、加密等。

比特币是一种用于社会问题的技术解决方案,有着深远的政治影响。

比特币代表了一种新形式的社会“协议”或“信任”,用于解决(或改善)我们人类(智人)有史以来最古老的并于其上建立社会的“共享虚构”形式,也即:金钱。

要了解更多金钱是如何随着时间的变化而演变,以及我们如何使用比特币和数字货币,请点击这里。

要了解所有经济学、加密学、博弈理论等等如何结合在一起的,请参看这里。

现在,我能听到您在说:

“如果比特币是如此能够抵御“黑客攻击”的,那么为什么我总是听到黑客攻击,人们失去了他们的钱,他们的钱包被“黑”了等等消息。这是怎么回事?“

答案在这里。很多实际上是:

1. 遗失了私钥。

这跟比特币没任何关系。这是某些人的电脑问题。

早年,当比特币还是纯实验性质的时候,没有人真的在乎它(包括我自己),我们对私钥没有概念,不知道在当时安全地存储 500 美元为什么那么重要。7、8 年飞快地过去了,当时的 500 美元现在值 1 千万美元了,有些人把私钥保存在旧计算机的硬盘上,那些计算机最终被扔在垃圾桶里。现在需要出门到垃圾站找出那台计算机,希望能挖出数据,祈祷他们可以拿到神奇的私钥,那将送他们到应许之地。

是的,这是真的。

我已经遗失了早些年得到的密钥。我不知道我把它放在哪里了,并且因为我每 18 到 24 个月会买一台新计算机,我甚至不知道该从哪里开始找。但是,那只是一部分原因,也是我能够理解在我们这个不断增长的数字化主导的世界里个人信息安全是多么重要的原因。因此,如果您下载过钱包,在某个地方写下私钥,买了一堆比特币,但是遗失了私钥,那么祝您好运吧。

报道说 20% 的比特币已经不见了,但是“加密货币猎人”可以帮助恢复数据。

在加密货币行业有如此多的安全和偷盗问题,能找到这个 bitcoinexchangeguide.com真是让人大大舒了一口气。

这篇文章提到人们打算去催眠师那里,希望通过把私钥从潜意识带回到有意识的头脑中,回忆起来。文章也提到人们带着损坏的硬盘,寻找数据检索专家以取回私钥等等。

他们这样做的原因是,我之前提到过,所有这些比特币仍旧在网上,跟一组私钥相关联。控制了这些私钥的人就能控制跟这些私钥相关联的比特币。

也许催眠师或其他一些钱包恢复服务能够帮上忙,不管怎样,祝他们好运吧。

2. 钱包被黑了

有两种不同的钱包,分别是托管钱包和客户端钱包。

客户端钱包意味着您控制着私钥,它们没有存在钱包的供应商那里。如果这种钱包被黑,您只需拿着私钥设置一个新钱包,再用私钥恢复那些资金。什么都不会丢失。

托管钱包是另一种情况,它保存您的私钥。对于一个交易来说,这没有什么区别,只要每个用户的私钥都在那里就行。如果托管钱包服务被破坏了(我遇到过这种情况,损失了 1 万加密货币。是的,我有些糟糕的运气。那么,您就没什么可做的了,但是

有个地方可以提供这些服务!

大多数人真的非常讨厌管理员身份和个人信息安全问题。大多数人(想想在电影《头号玩家》中的人们)把他们的计算机密码写在便签上,贴在他们的计算机上!

要么就贴在椅子上!!

因此,对于这些人来说,把钱放在一个有信誉的交易所或托管钱包服务那里实际上是更好的主意。因为,如果他们忘了密码,可以只需要验证他们的身份就能重新设置密码了。否则,如果他们遗失了钱包,或手机,或笔记本电脑,然后去重新设置他们的钱包(也就是钱),但是遗失了私钥的话,那么就是跟比特币说再见了,基本上没有机会拿回那些比特币了。

总结

数字货币仍然是新兴技术。

因为这全都发生在前沿技术、社会和社会变革、最重要的构建块 / 分享功能的交叉点,也就是“钱”上,这将是一个疯狂的过程。

我们进入一场全球革命差不多有 9 年时间了。它最有可能是我们在我们的生命中所见过中最伟大的革命,如果不是从互联网开始算(互联网改变了一切)。

在早期阶段,任何东西都不是直线运动的(事实上,没有任何东西持续直线运动,无论在何时),但是,我的观点是我们超级超级早!

在电子邮件诞生的时候,人们并不知道自己在做什么。随着技术的发展,像 hotmail 这样的公司出现了,他们的目标是让电子邮件变得更容易使用,因此,大众的接受速度加快了。世界上将有数百万,甚至上亿的人使用这新兴技术。

就像现在的加密货币。这是一个令人兴奋的新世界。一个全新的领域,有很多风险,但也有很多机会。大家都要注意安全!

参考链接:https://hackernoon.com/why-do-cryptocurrency-hacks-keep-happening-19370ba1a356

今日荐文

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180808B1W6XN00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券