EDG:听说 BitGo 工程团队老大的钱包被黑了，到底怎么回事？教训是什么？_DGE

在加密货币投资世界游走，保护数字资产安全是个大问题。但是在易用性和安全性之间，找到最适合最佳的平衡却真不容易。本文从BitGo工程主管SeanCoonce交易所钱包被盗出发，分析我们应该如何保护自己加密货币的安全，以及对比了市面上三款硬件钱包的不同。

撰文：江明睿，就职于密码货币对冲基金BitCapital

现在交易所都会有双重验证，用户在输入密码后，需要第二个动态密码进行验证，动态密码最简单的做法是绑定手机或邮箱。但是，请小心！最近发生的一个案例却再次证明，手机和邮箱验证码是不安全的。

数字资产托管公司BitGo的工程主管SeanCoonce最近因为手机的SIM被攻击，导致他的Coinbase钱包损失了价值10万美元的加密货币。SeanCoonce在Medium上撰写了一篇文章，「我生命中最昂贵的一个教训」，详细描述和总结了这次被盗经历。

这多少有些讽刺意味。因为本身BitGo是一家专业的数字资产托管公司，以提供多签钱包闻名，保护数字资产的安全是其核心业务。尽管SeanCoonce在自己的Twitter上发出声明，自己不负责安全工程，在BitGo有另外一个专业的团队负责安全。不过，这也从另外的角度证明了：黑客盗取数字资产的方式防不胜防。

慢雾：利用者通过执行恶意提案控制了Tornado.Cash的治理:金色财经报道，SlowMist发布Tornado.Cash治理漏洞解析。 5月20日，Tornado.Cash遭受了治理攻击，利用者通过执行恶意提案控制了Tornado.Cash的治理。5月13日，利用者发起了20提案，并在提案中说明20提案是对16提案的补充，具有相同的执行逻辑。但实际上，提案合约多了一个自毁逻辑，其创建者是通过create2创建的，具有自毁功能，所以在与提案合约自毁后，利用者仍可以部署不同的以与以前相同的方式将字节码发送到相同的地址。不幸的是，社区没有看到拟议合约中的犯规行为，许多用户投票支持该提案。

在5月18日，利用者通过创建具有多个交易的新地址，反复将0代币锁定在治理中。利用提案合约可以销毁并重新部署新逻辑的特性，利用者在5月20日7:18（UTC）销毁了提案执行合约，并在同一地址部署了一个恶意合约，其逻辑是修改用户在治理中锁定的代币数量。

攻击者修改完提案合约后，于5月20日7:25（UTC）执行恶意提案合约。该提案的执行是通过 Delegatecall 执行的，因此，该提案的执行导致治理合约中由开发者控制的地址的代币锁定量被修改为 10,000。提案执行完成后，攻击者从治理库中解锁了TORN代币。金库中的TORN代币储备已经耗尽，同时利用者控制了治理。[2023/5/21 15:17:00]

BitGo工程团队老大的加密货币是如何被盗的？

Sensorium：DWF Labs已承诺购买250万美元SENSO代币:4月6日消息，由AI驱动的元宇宙项目Sensorium官方宣布已与DWF Labs达成投资协议，根据协议要求，DWF Labs已承诺购买250万美元的Sensorium原生代币SENSO。[2023/4/7 13:49:11]

不妨先看看BitGo工程主管SeanCoonce是如何被盗的吧。

显然，受害者的隐私信息被长期潜伏的黑客收集了，这个过程中，黑客获得了受害者重要的身份验证信息。得到身份验证信息的黑客，通过篡改受害者手机sim卡的手段，获得手机验证的控制权，从而通过二次手机验证登录进入受害者账户，进行提币操作。

从时间的发展纬度，我们可以还原一下这次黑客攻击的过程：

Day1,10:00PM

黑客掌握受害者手机号码，受害者发现SIM卡出现问题，但是因为是晚上，没有及时解决。

Day1,10:05PM

黑客使用「忘记密码」功能对谷歌邮箱发出更改密码功能，由于二次验证使用手机号码，黑客成功更改邮箱密码。

Day1,10:50PM

摩根大通的区块链负责人：消费者保护需要成为数字资产项目的优先事项:金色财经报道，摩根大通、星展银行和 SBI Digital Asset Holdings 在 Project Guardian 中成功进行了代币化外汇和政府债券交易，这是新加坡政府启动的各种区块链举措之一。摩根大通数字资产部门首席执行官 Umar Farooq 在接受采访时表示，他们花费了大量时间来降低这些交易中的风险。他说，下一步是制定身份解决方案来保护客户及其资金，否则这将无法扩展。Farooq 解释说，摩根大通正在使用一种名为可验证凭证的解决方案，该凭证存在于客户的区块链钱包中。当客户使用协议进行交易时，协议会验证凭证。（cnbc）[2022/11/4 12:16:58]

黑客获得手机和邮箱登录后，在Coinbase交易所发起重置密码请求。

Day1,10:51PM

黑客通过邮箱，获得交易所重置密码链接，同时黑客清除所有相关邮件，受害者还不知道自己遭受攻击。此时黑客已经获得所有权限。

Day2,11:00AM

用户重置SIM卡和邮箱。这里是重点：黑客看到了受害者重置了自己的SIM卡和邮箱，而并没有重置自己交易所的密码，此时黑客清楚受害者的警惕已经降到最低。

今日恐慌与贪婪指数为41，恐慌程度有所下降:金色财经报道，今日恐慌与贪婪指数为41（昨日为31），恐慌程度较昨日有所下降，等级仍为恐慌。注：恐慌指数阈值为0-100，包含指标：波动性（25%）＋市场交易量（25%）＋社交媒体热度（15%）＋市场调查（15%）＋比特币在整个市场中的比例（10%）＋谷歌热词分析（10%）。[2022/8/11 12:17:20]

Day2,10:00PM

黑客再次掌握受害者手机号码，由于受害者发现了与之前相同的问题，没有放在心上，而是觉得手机发生故障，受害者准备第二天再去解决。

Day2,10:01PM

黑客再次重置邮箱密码，同时，使用前一天已经获得的交易所重置密码链接，重置交易所密码。

Day2,10:10PM

黑客登录交易所，提出所有资产。

Day3,09:00AM

受害者在售后服务点内意识到自己遭到攻击，为时已晚。

虽然这里的双重验证攻击是手机SIM攻击，可能不适合国内，但是，手机和邮箱往往由于密码简单，很容易被破解。同时，如果身边的人长期渗透收集你的隐私，对你进行攻击后，不会留下任何线索。

加密购物平台 Giftcoin 将推出首张“加密礼品卡”:金色财经报道，加密货币购物平台 Giftcoin 今天宣布，在获得天使轮融资后，它将推出其首个产品。该产品是首创的数字礼品卡，其价值与加密货币挂钩，而不是与固定的美元金额挂钩，从而使其价值随着时间的推移而增加。它将于 8 月在 Apple App Store 上公开下载。

Giftcoin 还与 Solid Financial Technologies, Inc. 建立了合作伙伴关系，该公司将提供额外的银行和银行卡基础设施支持。（prnewswire）[2022/7/20 2:26:44]

如何防范被盗？

可以说，黑客防不胜防。防范被盗最简单的方式就是：做最坏的打算。换句话说，由于加密货币的特性，你没有办法证明你的资产是真的被盗还是你自己转走的，钱包和交易所没有义务给你背锅。想当银行家管理自己的资产，一定要做好安防工作。

针对黑客的几个攻击步骤，我们可以在5点上提高安全：双重验证，密码管理，硬件密钥，硬件钱包，隐私保护

1、双重验证

谷歌身份验证器

手机和邮箱都是不够安全的，尤其是当黑客发现这个手机和邮箱的主人持币。真正安全的二次验证是使用动态身份验证器，例如谷歌身份验证器，靠谱的交易所和钱包都支持这个。

能做到这一步，你已经比市场上99%的韭菜强了，黑客看到你这样，不会浪费时间在你身上的。谷歌身份验证器可以保护你的登录安全。

2、密码管理

密码管理软件，例如Bitwarden，安全且易用。有手机app和浏览器插件，同时具备加密同步功能。值得一提的是Bitwarden可以和谷歌身份验证器同步，这样在浏览器内就可以快速查看最新的动态密码。Bitwarden本身也可以用动态密码或者硬件密钥验证。这里有详细的更加详细的工具推荐。密码管理工具，可以帮助你管理你的所有密码。

3、硬件密钥

这一步复杂一点，但是安全性会提高一个级别。为了保护好你的电脑，手机和谷歌账户，可以考虑使用硬件密钥Yubikey，这种做法是企业级别的安全模式。最大的好处是只要硬件密钥在身边，就可以防止远程登录。同时，谷歌用户可以设定更高级账户保护模式，第三方服务登录谷歌账户，需要通过硬件密钥解锁。硬件密钥可以阻止黑客远程登录。

4、硬件钱包

知乎上最著名的答案：大三的学生，手头有6000元的钱，想要做些小投资赚点儿钱，有什么好建议么？

买比特币，保存好钱包文件，然后忘掉你有过6000元这回事。五年后再看看。

那么怎么最好的保存钱包文件呢？用硬件钱包，一定要把长期持有的资产通过硬件钱包保存。硬件钱包让安全和易用性得到平衡。这里需要强调一点，在下载与硬件钱包配套的软件App时，一定要注意不要下载到盗版的软件。如果遇到软件一打开，就要求输入用户名和密码，一定要三思而后行。

5、隐私保护

记住这一点：不要用聊天软件发送密码和敏感信息。聊天软件的记录很大概率使用没有加密的明文保存。

我的使用心得：硬件钱包密钥上手用

上文说了，对于普通的个人投资者，使用硬件钱包是个不错的方式，可以让安全性和易用性得到平衡。因为工作的关系和个人的爱好，我试用过市面上不少硬件钱包，正好借助这个机会和朋友们分享一下我对几款产品的上手心得。

必须强调：下文中我提及的产品都是自己掏钱购买，本文并未接受任何产品方的赞助。另外，下文提到的产品只是因为我自己购买过、使用过，所以列出，供朋友们参考。市面上钱包产品很多，有很多产品我没有使用过，并不代表这些产品不好。

硬件密钥的选择：Yubikey

各大企业安全标配，用于杜绝员工简单且不安全的密码。支持所有主流加密协议。购买需要一次买两个，小的那个可以一直插在电脑上，大的随身携带。如果其中一只丢失，可以用另外一只补救。

硬件钱包的选择：imTokenimKey&LedgerX

这是两款最新的支持蓝牙链接的硬件钱包，由目前业内最靠谱的两个团队研发：Ledger和imToken

包装

三件套LedgerX,LedgerS,imKey

imKey包装提供防篡改贴纸，保证没有在运输途中被动过手脚

imKey包装，防篡改贴纸撕掉后会有大大的VOID提示

Ledger没有防篡改贴纸，但是每次启动后都会进行放篡改验证，看上去更加安全

两个钱包都提供记忆卡片，方便记忆复原密码词组，一定要保护好这张卡片，如果硬件钱包丢失或损坏，需要这组密码词组复原

imKey实测与手机配对多成非常简单快捷，配对完成后，日常使用中链接非常快，给用户的阻力非常小

LedgerX链接也很便捷，图为防伪验证，每次使用都会有这一步，但是速度很快，可以有效的阻止硬件设备遭到攻击

这里提一下，由于imKey和LedgerX都是通过蓝牙链接，如果信不过蓝牙的安全性，可以选择LedgerNanoS，实测用数据线和手机链接，可以成功运行

imKey的大小非常合适放入钱包，做工非常结实，适合随身携带，存零花钱

LedgerX相对大很多，不够便携，适合放在家里当金库

两家的App都很好用：

Ledger的更加专注于钱包功能，没有复杂的功能，定位是做大额资产管理。imToken可玩性超高，结合了Dapp浏览器，玩玩Defi应用，在手机上借Dai收租非常爽。

安全三件套Yubikey，imKey，Ledger

本文来源于非小号媒体平台：

江明睿

现已在非小号资讯平台发布1篇作品，

非小号开放平台欢迎币圈作者入驻

入驻指南：

/apply_guide/

本文网址：

/news/3628620.html

免责声明：

1.资讯内容不构成投资建议，投资者应独立决策并自行承担风险

2.本文版权归属原作所有，仅代表作者本人观点，不代表非小号的观点或立场

上一篇：

开源代码与网站代码不一致？WalletGenerator曝出惊人漏洞

下一篇：

机构入场指南：一文读懂数字资产托管全景图

标签：EDGEDGEGERDGEledgitdHEDGE Top IndexBABY CRAZY TIGERBRIDGE

币安app官网下载热门资讯