币圈一日,人间十年:黑客想了三刻钟就笑了(2)
加密货币木马会在你的电脑中静静监视你的行为,当它发现你要进行转账的时候,它就会“苏醒”,然后将你要转账的目标替换成攻击者的账户。如果你对网页跳转不敏感的话,一旦点击“发送”按钮,后果将是无可挽回的。 案例: BitPay 发现感染 Windows 的 Coinbitclip 木马,替换用户剪贴板的地址 卡巴斯基曾发现 CryptoShuffler 木马病毒,窃取价值 14 万美元比特币 四、利用漏洞 一位名人曾说过:理论上,理论与实践并没有区别;但是实践上,存在区别。 加密货币的密码逻辑算法是比其他程序更“健康”一些。但一个程序漏洞或者不安全的密钥处理,都能摧毁这看似完美的一切。尽管目前你或许感受不到其中的紧迫性,但是在你使用加密货币之前最好确认一下软件开发人员是否遵循了安全开发周期(SDL)流程来让安全漏洞的出现概率降至最低。 案例: 2018 年 2 月,新加坡和英国的几位研究者调查(《Finding The Greedy, Prodigal, and Suicidal Contracts at Scale》)发现超过 3.4 万个以太坊智能合约存在漏洞,这些合约存有价值 440 万美元的 ETH。仅 2017 年,由于代码安全问题造成的资金损失高达 5 亿美元,其中一半以上与以太坊相关。 五、“已知明文”攻击 好的加密让密文看起来犹如一团乱码,因此攻击者不应能解码出原始信息。但是区块链技术中,很容易被分析出原始信息。特定数字、字母存在于每个区块的固定位置上,攻击者便容易从每个加密区块中获得部分明文。总之,弱密码依旧会处于巨大的风险之中。 六、攻击网站 这是最为常见的区块链攻击行为之一,而且“适用”任何区块链项目。管理着上亿美元的加密货币网站,一旦被攻击者控制,那些需要用心数很多”零”的价值瞬间化为乌有。专家建议,将加密货币进行离线备份可以适当防范。当你在与加密货币网站进行交易时,至少应当确定网站是安全可信的。 案例: 2018 年初,日本最大的虚拟货币交易所 Coincheck 被黑客入侵,价值 5.34 亿美元 XEM 被盗。 黑客入侵数字货币初创公司 Bee Token,盗取价值 40 万美元以太坊。 Bithumb 曾在 2017 年遭遇两次黑客攻击,泄露 3.6 万客户资料,被盗账号中有 266 个账户提现。 七、SHA-256 的安全性 不论比特币或区块链,通常都是采用了 SHA-256 算法保护。作为 SHA-1 的继承者,算法 MD5、SHA-1 等相继被破译,难免让人怀疑 SHA-2 何时也会进入“死亡名单”。 对此存疑的人,尚且可以打消这个顾虑。首先,SHA-256 在可预见的未来还算“不弱”。其次,全球大多数金融交易和 HTTPS 交易都是由 SHA-256 保护,因此规则一旦被破坏,值得担心的不仅仅是虚拟货币。况且中本聪本人就是密码学者,这样的问题且信他(们)是不会忽略的。 八、信号拦截 “SS7 漏洞”并不是一个新话题,这个协议漏洞可以导致用户的电话和短信数据遭到千里之外的窃听和盗取,即便是最新的蜂窝网络和最先进的加密技术于事无补。更加令人绝望的是,全球手机网络主干网都可能受到设计精良的系统窃听,通话、短信、位置数据无一幸免。 而对这一重大安全隐患,通信运营商似乎“并不愿意或者没有能力去修复”。 案例: 2017 年,攻击者利用 SS7 漏洞入侵用户邮箱,进而控制比特币钱包并窃取价值约为 2.7 万元的加密货币。 九、假新闻和钓鱼 学习需要花时间,相比之下获取资讯则更为容易。毕竟,每天看报纸也是“股神”巴菲特最爱做的事情之一。 对普通人而言,手机又收到新的推送了、热搜榜上又有新的动名词了、想看看朋友的最新动态最后竟然买了一堆在线课程……所有你想要的、不想要的、想让你了解一下的的信息纷至沓来,包括所有想让你产生共识的、”有价值”的虚拟货币。 2018 年初,Facebook 以“频繁带有误导或欺瞒的推销手段”为由,禁止了平台上所有虚拟货币广告上线。——好吧,不让用“比特币”了,那我们就用“比特巾”。 案例: 《今天是中本聪的生日将送出5000个比特币先到先得有人试过了是真的不管你信不信反正我先干为敬先转了你跟上万一真的呢你要真信那就绝了》一文,很有意思。 黑客利用谷歌广告窃取了价值 5000 万美元数字货币。 十、51% 攻击 Design SHIFT 创始人兼 CEO Olivier Boireau 曾写道:无论是执行智能合约还是交易加密货币,区块链保护的数字资产都只存在于计算机代码中。如果作为服务网络的节点有超过一半撒谎了,那么谎言就会成为事实。 当黑客能够对一半以上的分布式账本节点做出危害时,这种攻击就起作用了。在这种情况下,它们可以阻断确认以阻止新交易,并停止部分或全部用户之间的交易。他们还可以在他们控制网络的时候废掉已完成的交易,这意味着如果攻击加密币区块链,他们可以双倍使用加密币。 案例: 基于以太坊的两个区块链 Krypton 和 Shift 在 2016 年 8 月遭受了通常被称为“51% 的攻击”,攻击者通过其中一次攻击便成功窃取 21465 KR。 (编辑:ASP站长网) |