安全，安全，安全！一文道尽数字资产安全攻略

数字货币成为白领的又一个投资渠道早已经是公开的秘密。可是，数字资产容易被黑客攻击。各种交易所，货币钱包被攻击的新闻层出不穷，作为币圈小白应该如何防范安全隐患是本文探讨的重点。

黑客与交易所的交锋

币安 Binance 交易所

北京时间2018年3月8日，黑客攻击了世界第二大交易所，「币安Binance交易所」。大量用户的账户被盗。面对这次突入起来的黑客攻击，今早币安对所有异常的交易进行了回滚处理，暂时平息了这场危机。

Vircurex

在2013年当时处于全球比特币第三大交易平台Vircurex曾遭到了两次黑客袭击，让Vircurex陷入了严重的财务危机中，迫不得已，在2014年的3月份停止了比特币、莱特币以及其他虚拟货币的提款，并且冻结现有用户的全部账户。用户不能进行交易也不能提款，但是会逐步返还到用户的账户中。Vircurex希望通过这一做法缓解财务压力和保障因黑客攻击而受害的用户的利益。

日本Mt. Gox

提起2014年Mt. Gox这个倒闭已久的日本交易所，不得不提所谓的“门头沟惨案”。Mt. Gox第一次遭受较大规模黑客攻击是在2011年的6月19日，价值875万美元的比特币在攻击中失窃。2013年4月，Mt. Gox成为世界第一交易所，比特币比价猛涨至100美元，当时全球范围内76%的交易是通过Mt. Gox完成的。

然而好景不长，在2014年2月25日上午，一份名为“危机应对草案”的Mt. Gox内部文件从其网站流出，上书“我们在一次重大比特币失窃案中，被盗了744,408个比特币。”

当天下午在线钱包服务商 BlockChain 的首席安全官，比特币意见领Andreas Antonopoulos表示：导致Mt. Gox比特币失窃的漏洞其实可能被黑客利用了长达两年的时间。黑客甚至能将Mt. Gox离线存储的比特币从“冷钱包”中转移出来，一般情况下，“冷钱包”是与互联网是断开的，是不可能被在线的黑客窃走的，但Mt. Gox很不幸地遭遇了此种事件。

2月28日Mt. Gox正式向日本法院递交破产申请，文件中声称总共“丢失”了85万比特币（75万属于用户，10万公司持有），按28日比特币均价计算，“丢失”的财富约合4.75亿美元。Mt. Gox宣告了破产。但是被盗的比特币一直成迷。

直到2017年7月26日，希腊警方逮捕了一个名为Alexander Vinnik的38岁俄罗斯男性。事件才看到了曙光，Alexander Vinnik一直受到美国通缉。他涉嫌通过非法比特币交易所BTC-e展开非法活动，涉及资金达40亿美元，不少用户将他与世界最早的比特币交易所BTC-e的领导者Alexander联系在一起，Mt. Gox也曾是Alexander Vinnik网络攻击的受害者。监管机构认为，Alexander Vinnik在2014年Mt. Gox丢失的850,000枚比特币中获利部分比特币，并通过BTC-e和名下另一家虚拟货币交易所Tradehill流通入市场。Mt. Gox攻击事件有望水出石落。

Bitstamp交易所

在2015年1月4号Bitstamp交易所被黑客入侵，这名黑客似乎是于1月4号凌晨开始行动，起初有3100枚比特币被转移到了黑客钱包内，而在接下来的16个小时内，资金不断地流入这个地址，到了下午4时，该地址内已有超过6000枚比特币。在1月4日晚上至5日凌晨的几个小时内，另有12000枚比特币流入了该地址。

到了此时，Bitstamp已经注意到平台热钱包内的资金，正遭遇黑客席卷，之后Bitstamp当机立断，迅速将剩余资金转移到冷钱包内。

黑客共窃取了近19000个比特币，价值510万美元的比特币惨遭洗劫。

Bitfinex

2016年8月2日黑客在世界上最大的数字货币交易所之一的Bitfinex上，找到了该交易所的一个安全漏洞，盗取了用户近12万个比特币，价值近6700万美金。使其当日比特币价格大跌20%，随后Bitfinex迅速关闭网站、通知工程师维护漏洞并关闭了网站的交易。并给出承诺会在调查结论出来之后补偿用户的损失，那12万个比特币至今踪迹全无。

韩国Bithumb

作为韩国最大数字货币交易所Bithumb也难逃黑客入侵的厄运，在2017年6月份，一名员工的电脑被黑客入侵，大约3万名客户的个人信息遭泄漏，被盗的账户之中，发现有266个账户提现。受损资产达到数十亿韩元。韩国民主党试图准备一系列法案草案，以其通过修改电子金融交易法，赋予加密货币（包括比特币和以太币）法律地位。

OKEx交易平台

9月28日早晨其在OKEx交易平台上的账户被一个德国IP地址登陆，参与了刚上线的比特币-以太坊经典（BTC-ETC）的交易，把所有持仓强平，挂单撤销。该非法入侵者在一小时内将账户内比特币消耗殆尽。该账户原有200比特币，估算的损失超过500万元。OKEx客服回复是：黑客所为，被盗案件与平台无关，受害人可自行报警。

后续多位OKEx、OKCoin用户反映账号内比特币被盗，共计600来个，约价值人民币2000万元。但是受害者普遍遇到了立案难的问题，有地方警察认为比特币是传销行为，对偷盗比特币案件不予立案。

日本CoinCheck

在2018年1月26日，这对日本最大的加密货币交易所之一CoinCheck来说是一个巨大的灾难。

1月26日，Coincheck在当天02:57左右非法移除约26万名NEM持有者，随后发生后暂停了一些功能。公司在12:07左右发现异常情况，并发出临时停止非公开发行的通知。12时30分左右，NEM交易暂时中止。16时33分左右，包括日元在内的所有处理货币的提款被暂停，随后BTC以外的交易暂停，包括信用卡，工资日和便利店活动。最终，交易所高管在接近尾声的时候确认了盗窃行为。

对于这一次黑客的入侵，官方给出的解释是：Coincheck将钱存入热钱包而不实行多重签名系统的弊端最终导致了黑客有机可乘。

该平台全部（5.26亿）NEM币（新经币）被非法转移。根据估算，这批丢失的新经币价值高达5.23亿美金，这将是历史上最大规模的数字货币盗窃案。也是CoinCheck交易所的沉痛日。

1

解密一、黑客盗币之出错攻击

所谓出错攻击，即利用用户犯的常识性错误，盗取用户资产。比如，某黑客盯上了某个人，通过侵入其电脑，盗走保存在电脑中的私钥，即可悄无声息地转走个人的加密资产。

据了解，此类事件，已经发生了N例，很大程度上在于个人信息的泄露，从而被黑客盯上，同时秘钥又以一种不安全的方式进行了保存。

2

解密二、黑客盗币之旁路攻击

这种攻击的算法与计算复杂性毫无关系。通过获取电流、电压、电磁波，然后一两秒钟就可以破译掉，属于旁路攻击。

上文中所说的硬钱包攻击，即属于这种攻击。独立的硬钱包拥有独立的芯片，如果该芯片不具备抗DPA攻击、电磁干扰攻击或电磁波攻击，可能破译起来会更容易些。

据业内人士介绍，政府高层曾经为了防止这类硬件攻击泄露机密，专门为随身携带者的笔记本设计了一种壳子，防止电压、电流、电磁波等信息被读取。事实上，这也从侧面印证了这种攻击方式的可行性。

不过，据韩永飞介绍，这种做法只有在特定条件下才能获取电磁波或者芯片里边的电流或者电压信号，个人电脑一般人很难获得这个信号，至于移动手机就更难以实现了。并且，现在已经有了很多抗DPA攻击技术和抗电磁波攻击技术，可以让硬钱包相对安全。

3

解密三、黑客攻击之交易所

谈及交易所攻击，从网上可以搜到很多实例。从Mt.Gox到Bitfinex、Coincheck、Bithumb、Bancor、币安(Binance)等交易所，虽然丢币数量不等，但绝对防不胜防。

日前，1COrating.com发布的一份详细的报告显示，许多交易所普遍存在安全措施松懈的问题，其中包括一些被认为是顶级平台的交易所。在100家日交易额超过100万美元的交易所中：

41%的交易所允许密码少于8个符号；

37%的交易所只允许使用数字或字母的密码；

5%的交易所允许在没有电子邮件验证的情况下创建账户；3%的交易所没有2FA；

只有46%的交易所满足所有四个参数；

只有4%的交易所被发现具有领域安全的最佳实践；

只有2%的交易所使用注册表锁；

只有10%的交易所使用DNSSEC，防止DNS缓存中毒。

调查显示，无一交易所能达到尽善尽美，不过还是将排行靠前的推荐一下。

在谈及交易所被盗的原因时，韩永飞的一种提法非常有意思，他认为，交易所把用户的钱都存到他的钱包，就和比特币本身的安全没有太大关系了，因为交易所的钱包虽然也是比特币的一个钱包，但是这个钱包所处的环境和用户所在的终端环境就不一样了。第一人为可以操作，第二黑客会加大攻击力度，因为干掉一个钱包，可以拿到很多比特币。不是比特币本身的问题，而是交易所的问题，也不是密码学自己的问题，而是密码学所处的环境——交易所的算法运行环境出了问题。

4

解密四、黑客攻击之热钱包

每个进入币圈的人，都要先从钱包开始重视安全，因此，钱包与每个人都息息相关。在韩永飞看来，目前，所有的数字钱包并不是用的同一种密码算法，所以秘钥也不一样。不过要想破解，则就需要进行海量的算力。

在其经历的一次测试中，团队要破译RSA的700多位，动用了全球大学校园业余时间的机器，最终破译了一年多。目前，量子计算机还没真正出现，以ECC(Elliptic Curves Cryptography,椭圆曲线密码编码学)密码为例，利用目前的力量破译ECC，要集全球之力，可能也要破译相当长的时间，恐怕需要以年来计算。

所以，基于热钱包破解所需要的算力以及复杂性，公众并不需要太担心，只需要保存好自己的秘钥，平时在网络上多注意安全，在交易之后就将资产转入个人的钱包，问题就不大了。不过，钱包中存有较多价值币的个人用户还是小心些好。同日常钱包一样，一个钱包放过多的钱风险变大。

如何设置一个强大安全的密码？

1

长度很重要

在过去，6-8 位数字的密码就已经足够了。现在，专家们推荐加长至12-14位——至少12-14位——来保证安全性。

“密码的长度和复杂程度很重要，长度越长复杂程度越高也就越难破解，”Vestige Digital Investigations首席技术官（CTO）格雷戈·凯利（Greg Kelley）说到。

2

不要使用明显的信息作为密码

“12345”、“password（密码）”这类低强度密码目前仍然是最常被使用的密码——而此类密码对于用户来说是最大的威胁。

还有哪些是千万不能当做密码来使用的？可以简单地通过网络搜索查找到的关于你的所有信息都不建议用作密码，像你的名字、生日、配偶的名字、宠物名，类似此类能够轻易通过社交媒体获取的信息都不要作为密码。

3

句子比单词好

我们采访过的很多专家都强调，机智地使用“密词组”比用“密词”更容易创造出复杂度高的密码。

“可以是容易记忆的金句——比如你喜欢的书或看过的电影中的——再加上特别的符号或数字的话更能增加密码整体的长度和复杂度，”网络情报公司Sixgill的首席执行官（CEO）兼创始人的艾薇·卡斯顿（AviKasztan）如是说。

比如，“summertimeandthelivingiseasy（夏日时光和生活很惬意）”要比“summer1（夏天1）”好得多。

更进一步，混杂数字、大写字母或符号到句子中密码的安全性会更高。比如，“$ummerT1meAndTheLivingIsEasy”。这个富有创造性的方法能够确保你的密码独特又复杂。

4

使用空格

当创建一个“密词组”时，不要忘了还能用空格！空格往往会被破解密码工具忽略，因此使用空格能够让“密词组”更复杂。

亚历克斯·海德（Alex Heid）是SecurityScorecard的首席研究院，给出的建议密码形式是：“My favorite dinner is steak & potatoes.（我晚餐爱吃牛排和土豆）。”

Heid 说这个密码很好用，因为混杂大小写和加入了特殊符号——再加上这个密码非常方便记忆。

5

不要忽视邮箱密码

在提及密码安全时，很多人首先会联想到像银行账户、信用卡和其他包含敏感信息的东西，而往往忽略了邮箱密码。但是邮箱被入侵却会带来最大的威胁。

邮箱是密码重置的方式之一，为邮箱设置一个安全的“密词组”并且定期进行更改，对于你其他所有账户来说也就额外多了一层保护。

迈克尔·凯撒（Michael Kaiser）国家网络安全联盟的执行董事则建议给邮箱添加验证信息——“几乎所有主流邮件服务商都有提供的登录密码之外的保护措施”。

6

不定期更换

如果你所有账户的密码都一样，无疑你给黑客们提供了一把进入你生活的万能钥匙。专家们建议每个 60-90 天就更换一次密码。然而，频繁更换低复杂度的密码还不如不换。

“重复使用的密码也容易遭破解，然而即使是技术最高超的用户也不能避免不犯这样的错，”Siegrist公司说到。

不要偷懒！给不同的账户设置不同的密码，并且不要重复使用。

閱讀更多 區塊生態 的文章

關鍵字: 黑客 投资 数字货币