近期,比特币被炒得火热,有人甚至号称“炒币一日,犹如工作十年”,但在币圈背后还隐藏在大量的安全问题,这更值得人们思考。一旦被不法分子盯上,无论是你炒币一日还是工作十年,都有可能一夜全失。
本期优炫知识课堂为大家梳理了目前针对数字货币的十大安全威胁。一起来学习一下吧!
比特币、区块链和加密货币
在我们讨论比特币以及区块链的安全问题前,首先简单了解这样几个概念:比特币、区块链、加密货币。(是的,它们说的并不是一回事儿)
比特币 (bitcoin):
比特币是由中本聪(Satoshi Nakamoto)“发行”的全球第一种加密电子货币。
有个更通俗的解释:比特币本质上是外国黑客出的一套数学题,找到答案的玩家能够获得比特币奖励,一共只有 2100 万道题。因此存在大量比特币“矿工”通过“挖矿”寻找答案。
区块链 (blockchain):
区块链是比特币的底层技术,是一种去中心化的分布式账本数据库,没有中心,数据存储的每个节点都会同步复制整个账本,信息透明难以篡改。
与“比特币泡沫”不同,2017 年区块链被写入了“国家信息化的第 13 个五年计划”,近日还获得了《人民日报》整版聚焦。
加密货币 (Cryptocurrency):
加密货币是继比特币之后、采用类似技术设计发行的“山寨币”(又称“竞争币”)。这个词五年前被编进了《牛津词典》。
随着上比特币水涨船高,加密货币也迎来“黄金时代”,不完全统计有超过 1000 种加密货币在流通更,促成了上文提到的超过 5000 亿美元的总市值。2018 年初委内瑞拉推出国家“石油币”,土耳其也计划发行“土耳其币”。
当黑客谈区块链时,他们谈些什么
自始至终,比特币(区块链)身上都刻着黑客印记:它由这个时代最伟大的黑客“中本聪”发明;黑客喜欢用比特币进行交易,因为其具有匿名性;它在暗网被热捧,不法分子用其作为“勒索软件”的赎金……
四大国际会计师事务所之一永安会计师事务所报告显示,2015 至 2017 年间不法黑客已从加密货币投资者手中窃取资金价值约为 25.34 亿元人民币,占所有 ICO(数字货币首次公开募资)资金的 10%。
我们结合 CSO 在线 和 Inspired eLearning 网站等案例可梳理出下列十大常见加密货币攻击场景。
一、挖矿恶意软件
每一个新的比特币都让“未来挖到比特币”这件事情变得更加困难了。“矿工”进行比特币挖掘需要消耗大量电力让电脑运转并冷却。因此,通过恶意软件在不限地域的范围内“借用”别人的资源进行“挖矿”,不失为“良策”。YouTube、特斯拉云服务器及《洛杉矶时报》网站都曾被利用。
现如今,大量僵尸网络的存在目的就是为了挖币。尽管与劫持流量、盗取数据、造成受害者钱财损失相比,“挖矿”可能只是拖慢了你的电脑、路由器、摄像头……但是依旧会造成不小的损害。
二、盗取钱包
加密货币并没有硬币、纸币这样的载体,通常以“钱包”文件形式存放在电脑或硬盘等电子设备中。“钱包”和其他电脑中的文件相同,能够被攻击者盗取、控制、转移。最糟糕的情况不外乎你忘记了秘钥,或和“硅谷钢铁侠”马斯克一样忘记存放文件的位置了。
为防止攻击者以及恶意软件的威胁,专家通常建议用户使用离线钱包。如此一来,及时使用加密货币则会变得困难。如果你使用的是在线钱包,建议尽量设置多因素身份验证。
三、转账木马
加密货币木马会在你的电脑中静静监视你的行为,当它发现你要进行转账的时候,它就会“苏醒”,然后将你要转账的目标替换成攻击者的账户。如果你对网页跳转不敏感的话,一旦点击“发送”按钮,后果将是无可挽回的。
四、利用漏洞
加密货币的密码逻辑算法是比其他程序更“健康”一些。但一个程序漏洞或者不安全的密钥处理,都能摧毁这看似完美的一切。尽管目前你或许感受不到其中的紧迫性,但是在你使用加密货币之前最好确认一下软件开发人员是否遵循了安全开发周期(SDL)流程来让安全漏洞的出现概率降至最低。
2018 年 2 月,新加坡和英国的几位研究者调查(《Finding The Greedy, Prodigal, and Suicidal Contracts at Scale》)发现超过 3.4 万个以太坊智能合约存在漏洞,这些合约存有价值 440 万美元的 ETH。仅 2017 年,由于代码安全问题造成的资金损失高达 5 亿美元,其中一半以上与以太坊相关。
五、“已知明文”攻击
好的加密让密文看起来犹如一团乱码,因此攻击者不应能解码出原始信息。但是区块链技术中,特定数字、字母存在于每个区块的固定位置上,攻击者便容易从每个加密区块中获得部分明文。总之,弱密码依旧会处于巨大的风险之中。
六、攻击网站
这是最为常见的区块链攻击行为之一,而且“适用”任何区块链项目。管理着上亿美元的加密货币网站,一旦被攻击者控制,那些需要用心数很多”零”的价值瞬间化为乌有。专家建议,将加密货币进行离线备份可以适当防范。当你在与加密货币网站进行交易时,至少应当确定网站是安全可信的。
七、SHA-256 的安全性
不论比特币或区块链,通常都是采用了 SHA-256 算法保护。作为 SHA-1 的继承者,算法 MD5、SHA-1 等相继被破译,难免让人怀疑 SHA-2 何时也会进入“死亡名单”。 对此存疑的人,尚且可以打消这个顾虑。首先,SHA-256 在可预见的未来还算“不弱”。其次,全球大多数金融交易和 HTTPS 交易都是由 SHA-256 保护,因此规则一旦被破坏,值得担心的不仅仅是虚拟货币。况且中本聪本人就是密码学者,这样的问题且信他(们)是不会忽略的。
八、信号拦截
“SS7 漏洞”并不是一个新话题,这个协议漏洞可以导致用户的电话和短信数据遭到千里之外的窃听和盗取,即便是最新的蜂窝网络和最先进的加密技术于事无补。更加令人绝望的是,全球手机网络主干网都可能受到设计精良的系统窃听,通话、短信、位置数据无一幸免。
九、假新闻和钓鱼
对普通人而言,手机又收到新的推送了、热搜榜上又有新的动名词了、想看看朋友的最新动态最后竟然买了一堆在线课程……所有你想要的、不想要的、想让你了解一下的的信息纷至沓来,包括所有想让你产生共识的、”有价值”的虚拟货币。
2018 年初,Facebook 以“频繁带有误导或欺瞒的推销手段”为由,禁止了平台上所有虚拟货币广告上线。
十、51% 攻击
当黑客能够对一半以上的分布式账本节点做出危害时,这种攻击就起作用了。在这种情况下,它们可以阻断确认以阻止新交易,并停止部分或全部用户之间的交易。他们还可以在他们控制网络的时候废掉已完成的交易,这意味着如果攻击加密币区块链,他们可以双倍使用加密币。
安全建议
最后,无论你是币圈资深玩家还是正在观望的群众,希望你们都能尽量遵循下列安全建议:
1、投资之前务必先研究一番,确认加密货币网站安全可靠。
2、不要相信微博、推特等社交媒体的投资建议,因为许多情况下都是陷阱。
3、慎重点击!避免错点钓鱼广告或恶意链接。
4、举报钓鱼信息,同时不要转发、分享那些充满诱惑的消息。
5、密切监视你的加密货币钱包、信用卡和银行账户。
6、警惕企图盗取你的身份令牌的社工手段。
7、定期对你的电脑、笔记本、手机和其他设备进行安全扫描,确保其得到及时更新和安全补丁。
8、通过短信进行的双因子身份验证,并不能确保万无一失。
内容来源:GeekPwn
2018-03-14 08:19:07
