黑客窃取你的比特币的十种方法
在最近于拉脱维亚里加举行的Baltic Honeybadger 2019会议上,Casa CEO Jeremy Welch就与比特币安全有关的各种威胁发表了演讲。在演讲中,Welch列举了13个比特币用户如何失去资金的例子。
这些威胁中有10个来自黑客的攻击,而不是用户错误或硬件故障。让我们仔细看看黑客试图获取您的比特币私钥的十种不同方式。
1.网络钓鱼
Welch在演讲中提到的第一个黑客威胁是网络钓鱼,也就是一个攻击者通过一个合法网站的假版本欺骗用户提交他们的登录凭证。软件升级攻击,例如困扰比特币精简版钱包Electrum的攻击,也属于这一类。
2.SIM劫持
劫持SIM卡是一个严重的问题已经有一段时间了,但手机服务提供商似乎对解决这个问题不感兴趣。虽然这种攻击以前被用来攻击传统的在线账号,但在一个比特币和基于短信的双因素认证的世界里,当受害者的电话号码被转移到黑客的设备上时,真金白银就会丢失。“不幸的是,这种情况有了巨大的增长,电信公司并没有为此或者解决这个问题做太多的努力。”Welch在谈话中说道。
3.网络攻击
网络攻击涉及黑客瞄准比特币用户访问各种web应用程序所需的核心基础设施。MyEtherWallet曾看到过这种攻击的一个例子,当时钱包提供商遭到了DNS黑客攻击。
4.恶意软件
恶意软件攻击通常与网络钓鱼结合使用,欺骗用户下载恶意软件,使攻击者可以窃取账户凭证、私钥等等。
5.供应链攻击
大多数比特币用户可能并不太了解与供应链攻击有关的威胁。这种类型的攻击涉及向流行的设备(如硬件钱包)添加恶意代码或硬件。
“很多人认为这是一个潜在的制造商可能会把这个放在那里,但也可能是一个流氓雇员,可能有一个流氓[生产合作伙伴],”Welch在他的谈话中解释。“很多人没有意识到有多少公司实际上把他们产品的生产外包了出去。甚至非常大的顶级公司也把大量的工作外包出去。所以,它可能是一个流氓合作伙伴,合作伙伴的流氓雇员,甚至可能是一个渗透到这些公司的政府特工。”
6.物理胁迫
除了计算机安全,比特币用户还需要考虑物理安全性。涉及物理胁迫的攻击通常被称为“5美元扳手式攻击”,因为再多的加密或数据安全性都无法阻止有人走近个人,并要求他们手里拿着扳手交出信息。
绑架、酷刑或敲诈也可能与这类袭击有关。Welch表示,由于比特币价格随时间推移而上涨,这类攻击的频率也在增加。“因为比特币是可移植的,而且是不可逆转的,所以恢复起来更加困难。因此,当这些资金成功时,要追回[被盗资金]是非常、非常困难的。”Welch说。
Welch认为,政府查封是对比特币用户的另一种威胁,但归根结底,这也可以被视为以暴力相威胁的盗窃行为。
7.儿童或宠物攻击
儿童或宠物攻击是物理胁迫攻击的一个分支。在这里,像孩子或宠物这样的亲人受到暴力威胁或绑架,而不是比特币的真正拥有者。
当然,赎金需求并非比特币所独有。几年前甚至有一部电影讲述了一位亿万富翁拒绝为他的孙子支付赎金的故事。“许多有钱人已经习惯了(亲人被绑架的威胁),但大多数比特币用户还不习惯这种情况。”Welch解释道。
8.内部服务提供商攻击
内部服务提供商的攻击涉及加密货币公司(如交易所或钱包提供商)的员工,利用他们对服务提供商的后台的特权来收集客户的个人信息或直接窃取资金。
9.平台或主机攻击
今天的大部分网络都建立在云中几个集中的基本基础设施上,对于黑客来说,高度集中的云数据看起来就像一个巨大的宝藏箱。这与黑客倾向于攻击交易所而不是单个用户的节点一样。
“所有这些数据都集中在一个地方,如果你发动攻击,如果你能够访问那个云服务器,通常可以很快得到大量数据,通过窃取这些数据,然后再一次攻击客户,”Welch说。Welch指出,2012年对网络主机Linode的攻击就是这种攻击的一个具体例子。
10.代码依赖攻击
代码依赖攻击与平台和托管攻击有些类似,因为它们还涉及一个依赖一些外部基础设施的比特币服务提供商。依赖于谷歌分析和Mixpanel等第三方工具的平台需要确保这些外部代码库不会引入恶意Javascript代码。