Quantcast
Channel: 南都周刊
Viewing all articles
Browse latest Browse all 1441

比特币大劫案

$
0
0

3_5

文_苏化语 插画_丑丑

银行失窃总是大事,而比特币银行失窃不仅重大,而且更为罕见。最近,一个18岁的比特币“银行家”宣布,他管理的比特币银行Inputs.io遭到了黑客入侵,其中的4100枚比特币被盗,这在当时价值130万美元。

这是历史上第一起比特币银行劫案,再次引起了一个老问题:比特币究竟是不是像传说中那样稳定而安全?

比特币银行

由于比特币背后并没有政府支撑,更没有信用系统,也就是说,比特币在使用和追踪上更像是现金,而不是信用卡或者其他网上支付手段——一旦比特币离开了你的手,你就无法再通过第三方机构(比如说信用卡公司)追回,而且你也很难追溯你的比特币曾经交易到何处。

所以,如何安全地储存比特币,就成了一个问题。

首先我们需要了解的是,比特币的本质是一段长达64字节的私有密钥(比如E9 87 3D 79 C6 D8 7D C0 FB 6A 57 78 63 33 89 F4 45 32 13 30 3D A6 1F 20 BD 67 FC 23 3A A3 32 62)。密钥可以生成相应的比特币地址,但比特币地址无法反向推导出比特币密钥。更关键的是,密钥是人们使用比特币的凭证,所以对于任何比特币拥有者来说,妥善地保存密钥就非常重要。

你可以打开一个电脑文档,然后把那段密钥记录下来,不过这样的话,一旦你的电脑被入侵,这段密钥也就被盗了;最保险的方法当然是把这段密钥写下来记录在纸上,或者用类似于Pywallet这样的软件将其打印出来,但这样的缺点就是不方便,用来支付和兑换的时候相当麻烦。

所以,大多数人都会使用“比特币钱包”,它可以让你方便地收取和支付比特币,并且也保证有相当的安全性。钱包分为三种:安装在个人电脑上的软件钱包,这种钱包给你完全的支配权,也意味着你得对自己的比特币安全负责;还有安装在手机和平板电脑上的移动钱包,你可以通过扫描二维码或者使用NFC“近场交易”的方式在实体店用比特币买东西;还有一种,就是Inputs.io这样的“网络银行”,即为网络钱包。

比特币银行跟传统银行不一样,它其实更像是一个保险柜,而不是储蓄所。在这种银行的帮助下,你不用很累很麻烦就可以保存比特币;但前提是,你必须找到自己能够放心信任的比特币银行,而且需要支付一小笔保管费。

比特币的蓬勃发展也催生了不少类似这样的比特币银行,而这些银行的管理者并不像真实世界的银行家们那样,需要对金融和安全都有深刻的研究,也没有太多的信誉保证。Inputs.io的管理者TradeFortress就是一个刚满18岁的澳大利亚人,而且拒绝透露自己的真名。他的网站注册地址为澳大利亚新南威尔士州霍斯比镇的沃特街,不过真实身份尚未为人所知。

“永远别把存有比特币的电脑联网”

Inputs.io曾经野心勃勃,在网站上,它自称是“市场上最安全的比特币网络钱包之一”:不仅需要双因素认证(一种采用时间同步技术的系统,采用了基于时间、事件和密钥三变量而产生的一次性动态密码,而非传统静态密码),并且需要基于地理位置的电子邮件确认。所以它宣称,就算是其所在的网络服务器被侵入了,这个钱包里的比特币也不会被盗。

现在看来,这个防盗措施并没有起作用。TradeFortress表示,这是一次社交引擎式攻击,也就是说,这次攻击并不是侵入了网络服务器的数据库,而是模拟了他的身份,并以管理员的角色将比特币提取出来。

首先,黑客入侵了TradeFortress在六年前设立的一个老邮箱,那个邮箱没有绑定手机号,所以非常容易攻破。黑客租了一个澳大利亚的服务器,所以他通过代理得到的IP地址跟TradeFortress的真实IP地址十分相近,在重设邮箱密码时并未引发报警。从这里开始,他继续入侵了一系列的邮箱,最终破解了他现在用来管理网站的电子邮箱,并以此为跳板重设了网站密码,之后堂而皇之地将里面的比特币扫荡一空。目前尚不清楚黑客如何攻破双因素验证防盗系统,不过TradeFortress猜测,黑客利用服务器的漏洞,绕开了这个步骤。

当然,并不是所有人都相信TradeFortress的解释,有不少Inputs.io的用户怀疑,他其实是监守自盗偷走了这些钱,因为TradeFortress过了差不多两周才向用户公布失窃的事情,而且他并未报警或寻求其他执法机关的帮助,因为他相信“警方在这件事上也做不了什么”,毕竟,比特币是一种几乎无法追踪的货币。澳大利亚联邦警察局的发言人表示,据他所知,还没有任何警方曾介入关于比特币失窃案的调查,但如果受害者报案的话,他们会展开调查。

不过TradeFortress表示,他打算用自己积攒的比特币和没有被盗的比特币来偿还用户的损失。“我现在总共有1540枚比特币,虽然没办法全额赔偿用户损失,但每个人将得到40%到75%不等的赔偿。”

在总结自己的教训时,TradeFortress说:“我不建议大家将比特币存储在任何连接到互联网的电脑上。”他解释说,尽管到目前为止,依然没有任何专门针对比特币的高级恶意软件,但黑客们可以通过其他手法攻克比特币持有者的电脑,从他们的外接硬盘甚至是浏览器里偷盗比特币。

忧虑与疯狂

TradeFortress说,这次劫案会损害人们对比特币的信任。这种不信任首先指向的是他本人乃至于整个比特币线上银行业。“这是一个非常好的例子。这告诉我们,绝对不要相信所谓的在线钱包服务。”一个Reddit用户写道,“说真的,我就不明白为什么有人会相信这种完全匿名的人。”

电脑安全公司CORE Security高级安全顾问柏金(Matthew Bergin)指出,人们应该学会使用更安全的方法来保存自己的财产,比如将密钥写在纸上;但他的同事Tommy Chin却认为,比特币从本质上来说就是一种不安全的货币,它的匿名性和数字性能够让聪明人轻松地从别人那里偷钱。

事实上,比特币失窃案也并不新鲜了。尽管这是史上第一起比特币银行(亦即比特币网络钱包)失窃案,但流量更大、安全系数较低的比特币交易所却时常被盗。2011年,一个名叫Allinvain的人就曾丢掉过25000枚比特币,当时价值50万美元,放到现在,其价值超过1亿美元;就在TradeFortress的银行遭劫后不久,捷克的一所交易所又遭到黑客入侵,485枚比特币被盗。

然而比特币的疯狂并未因为这些不安全性而结束。在TradeFortress在11月8日公开Input.io的失窃案后,比特币的价格一度遭到打击,从11月7日的350美元降到了200美元以下;然而仅仅数日之后,比特币的价格又升到了新的高峰——11月17日,交易价格已经达到了每枚484美元,要知道在今年年初,每枚价值仅为30美元。比特币的暴涨也在吸引越来越多的犯罪,玩家们可要看好网络钱包了。


Viewing all articles
Browse latest Browse all 1441

Trending Articles