主页 > imtoken中文版app > 安全专家讲解如何确保比特币等数字货币不被盗
安全专家讲解如何确保比特币等数字货币不被盗
比特币
身边的朋友拥有一种或多种数字货币并不是什么新鲜事。 虽然加密货币和区块链仍处于早期发展阶段,但它们的发展速度如此之快,黑客当然不会错过。 我们已经看到多起大规模交易和区块链协议动辄被黑客攻击的事件。 数千万。 例如,韩国交易所CoinGrail最近遭到黑客攻击,造成了4000万美元的损失。 除了中心化交易所,不少黑客也开始针对个人用户。 (许多专家担心这种黑客行为将导致市场进入多年熊市)
最近经常看到很多人抱怨比特币或者EOS等币种的私钥被盗或者丢失。 一些人的数字货币被偷偷转移到另一个地址。 上次跟某交易所的朋友了解后发现,仅比特币的人为盗窃案件就比去年同期增长了300%。 数字货币和区块链的核心特性(去中心化)导致了它的安全问题:缺乏中央权威机构背书,一旦丢失就意味着根本无法找回,这可能比数字货币的风险更大货币市场本身没有眼泪。 因此,是时候关注个人区块链数字资产的安全了。
本文作者(今日头条号:区块链与比特币技术)作为多年信息安全从业者,从安全的角度,为韭菜和非韭菜用户提供一些参考:
不要把所有货币资产都放在交易所
许多交易所拥有庞大的用户群,这使它们成为黑客的诱人目标。 交易所是“HoneyPots”(类似于蜜罐,泛指任何中心化的加密存储和运行,是黑客非常有吸引力的目标)。 黑客盯上了这些数字货币交易所,一旦得手,将获得巨额利润。 我们已经看到大部分排名靠前的交易所被黑客入侵导致大量用户资金被盗的案例。 因此,将所有资金都留在这些交易所并不是明智之举。 有一个简单的原则:交易所适合做短线交易。 如果是短线交易,一天的交易量很大,那么可以尝试在交易所做一些组合操作。 如果是长线投资,建议使用安全的钱包进行存储。
可用于少量的在线和离线钱包
如果是少量,只是玩玩,丢了无伤大雅,那么线上线下钱包将是最经济的存币方式。 您可以从各自的网站下载任何加密货币的官方钱包。 然而,许多多币种在线钱包在某种程度上仍然是蜜罐。
为高于平均水平的金额使用硬件钱包
如果你有面值超过10000人民币的数字货币(至少我觉得10000人民币不是一个小数字),那么线上线下使用可能不太合适。 因此,使用安全的硬件钱包将是推荐的最佳选择。 后续我会花一些时间重点讲解安全硬件钱包的机制和原理,以及一些硬件钱包推荐。
别在网上吹牛了
有些人喜欢在网上吹嘘自己拥有多少比特币或EOS。 有些人总会留下一些IP足迹或ID信息。 被黑客盯上可不好。 翻自己的资料可不是什么好事。 比如在知乎,你回答一个问题,你有多少比特币,如果实在忍不住想说点什么,接受大家的顶礼膜拜,最好还是匿名。
从这么多惨案来看,其实最危险的是对信息安全的漠视。 在和很多人交流的时候,我发现他们总是有两种心态:
这种厄运永远轮不到我。 (嗯,黑客喜欢你也是这么想的)从来没有发生过什么,黑客这么厉害,吓死人了吧? (哥,你邮箱里什么都没有,我当然不打扰你了。)
2. 之前没有发生过什么。 黑客技术这么厉害? 吓唬人? (哥,你邮箱里什么都没有,我当然不打扰你了。)
好吧,随便找一个攻击的例子:
比特币、以太坊等数字货币的核心算法是ECDSA签名算法,会具有模块化的mod功能。 首先,模函数(modulus)并不总是在循环中运行。 如果递减后的参数已经在 [0, - 1] 范围内,则此函数提前返回而不调用 DivRem。 如果side-channel检测到DivRem是否被该函数调用,攻击者就可以获知参数信息。
//大部分ECDSA签名算法库流程如下:
1: 函数 Mod(a,q)
2:如果 < 那么
3:返回
4:否则
5:, ← DivRem(, )
6:返回
7: 函数 Sign(msg,x,q)
8: ← 哈希()
9: ← 模数(, )
10: ← RandomInteger(1, - 1)
11: ← Inv(, )
12:←F()
13: 如果 =0 那么
14:返回错误
15: ← 乘(, )
16: ← 模数(, )
17: ← 添加(, )
18: ← 模数(, )
19: ← 乘(, )
20: ← 模数(, )
21: 如果 =0 那么
22:返回错误
23: 返回 (, )
利用此漏洞,在 Cache 侧通道攻击(见备注)中使用 Flush + Reload 方法,攻击者首先确定托管站点的云提供商,然后使用该提供商创建虚拟机,直到其中一个虚拟机共享与受害站点相同的物理处理器。 接下来黑客为什么不入侵比特币,攻击者启动 TLS 连接以触发 ECDSA 签名过程,并使用跨 VM 侧通道监控泄漏信息,然后使用此信息恢复站点的私钥。 然后攻击者拦截站点和用户之间的数据,修改 TLS 数据包的内容,并使用窃取的私钥伪造签名。
很多人喜欢根据过去的经验和认知来决定自己的行为,这无可厚非黑客为什么不入侵比特币,但保持一点敬畏总是对的,因为——毕竟那些币是你用真金白银买来的。
