跟一个搞网络安全的聊完数字货币：数字货币区块链底层代码未必安全(2)

“一方面，确认钱包本身的安全性，比如下载软件后做个哈希值校验，另一方面也要合理存储。我的资产不多，一部分在交易所，一部分在热钱包，一部分在冷钱包。鸡蛋不要放在同一个篮子里，这是最基本也最容易做到的。”

我又问他，“自己用钱包保管数字货币不放心，托管在交易所总没问题了吧？”

他笑着说，未必。

四、数字货币交易所也未必安全

Sherlock给我晒出一组数据：

2014年2月，当时世界最大的比特币交易所 Mt.Gox被盗85万个比特币。后来，Mt.Gox 被曝出其实是监守自盗，真正被外盗的比特币只有7000个。

2016年8月，最大的美元比特币交易平台 Bitfinex 出现漏洞，12万比特币被盗，当时价值6500万美元，如果换算成2017年12月的价格，价值近20亿美元。

2017年12月，韩国YouBit交易所被黑客攻击，损失4000个比特币，交易所宣布破产。

2017年12月21日，网传乌克兰Liqui交易所被盗6万个比特币，比特币单价瞬间暴跌2000美元。

2018年3月7日，币安交易所出现大量用户账号被盗，黑客控制的资产价值超过1亿美元。甚至还有人传言黑客利用了金融知识影响数字货币价格来间接获利，导致不少数字货币价格暴跌。（可参考文章：《差点盗走十多亿，做空比特币又获利几十亿？黑客这一波到底干了什么？》）

“类似戏码一定还会上演。” 他说，

“数字货币交易市场这几年的发展势头太快，而且相互竞争激烈，这种情况下安全技术、人力方面投入的速度未必跟得上自身需求增长的速度，必然会导致一些问题。

他说，以最近发生在币安交易所的安全事件为例，其实币安的风控措施相较以往发生过安全事故的其他交易所，已经所有提升。

在黑客提币时利用大数据风控阻止了提币操作，此前发生过的黑客事件，基本发生的交易所安全事件大多黑客直接提币走人。

所以，他建议大家尽量使用知名的、大型的交易所，不要把资产放在小型、不知名的交易所，因为黑客也会挑软柿子捏。

“一般来说，大的交易所通常安全风控手段相对完善，黑客不容易攻入，这时黑客很可能转而攻击小型交易所。

甚至，他们还会专挑一些没有牌照的非法交易所攻击，这样即便被发现，交易所也不受法律保护。

比如黑客很可能跑去攻击孟加拉国之类小国家的交易所，一方面因为那里本来就认定数字货币非法。另一方面跨国管制不便，也让黑客更肆意妄为。”

五、利用明星效应的钓鱼攻击

如果说 APT 攻击和交易所安全离普通人太远，下面这种攻击手法就发生在我们身边。

前阵子，有人专门在一些知名人物的社交账号底下头像和名字设置成和名人一模一样的头像，发布一些虚假的信息，声称只要在某个数字货币地址转入一定数额的币，就能得到10倍的回馈。（详见：《我中本聪，打钱》）

这就好比大街上有人对你说，“你给我10块钱吧，我会立刻返给你100块。” 就这样显而易见的诈骗信息，经统计，短短几天之内竟能骗到价值几十万的数字货币。

为什么看起来如此愚蠢的骗术，也有人上当受骗？

Sherlock说，“这就是骗子们广撒网的策略了，由于明星的粉丝很多，这种方式投放诈骗信息可以获得大量展示。几千个人里难免有那么几个刚睡醒，脑子不太清醒的人。”

最后，由于这类诈骗信息实在太多，不少名人被迫把网名都改了：

（币安创始人赵鹏_不送币版）

（V_不送币_神）

类似的诈骗到了国内还有一种进阶版，Sherlock又给我安利了一个真实案例：

一个叫“王团长”在微信群里向群友募集私募“韭菜基金”。

这天半夜，“王团长”忽然在群里发话：“基金募集明天就截止了，请大家赶紧打币到地址XXXXXXX。”

（编辑：ASP站长网）