聽說 BitGo 工程團隊老大的錢包被黑了，到底怎么回事？教訓是什么？_GER

在加密貨幣投資世界游走，保護數字資產安全是個大問題。但是在易用性和安全性之間，找到最適合最佳的平衡卻真不容易。本文從BitGo工程主管SeanCoonce交易所錢包被盜出發，分析我們應該如何保護自己加密貨幣的安全，以及對比了市面上三款硬件錢包的不同。

撰文：江明睿，就職于密碼貨幣對沖基金BitCapital

現在交易所都會有雙重驗證，用戶在輸入密碼后，需要第二個動態密碼進行驗證，動態密碼最簡單的做法是綁定手機或郵箱。但是，請小心！最近發生的一個案例卻再次證明，手機和郵箱驗證碼是不安全的。

數字資產托管公司BitGo的工程主管SeanCoonce最近因為手機的SIM被攻擊，導致他的Coinbase錢包損失了價值10萬美元的加密貨幣。SeanCoonce在Medium上撰寫了一篇文章，「我生命中最昂貴的一個教訓」，詳細描述和總結了這次被盜經歷。

這多少有些諷刺意味。因為本身BitGo是一家專業的數字資產托管公司，以提供多簽錢包聞名，保護數字資產的安全是其核心業務。盡管SeanCoonce在自己的Twitter上發出聲明，自己不負責安全工程，在BitGo有另外一個專業的團隊負責安全。不過，這也從另外的角度證明了：黑客盜取數字資產的方式防不勝防。

5小時前一巨鯨以約6.2萬美元的損失售出了全部1.07萬億枚PEPE:金色財經報道，據Lookonchain監測數據，5小時前，一巨鯨以約6.2萬美元的損失售出了1.07萬億枚PEPE（133萬美元）。鯨魚6天前花費750枚ETH(139萬美元)購買了1.07萬億枚PEPE，然后以250枚ETH(45.7萬美元)和87.6萬枚USDC的價格出售。鯨魚還花了294枚ETH(53.8美元)在Base上購買了1126萬枚TOSHI。[2023/8/16 21:27:03]

BitGo工程團隊老大的加密貨幣是如何被盜的？

不妨先看看BitGo工程主管SeanCoonce是如何被盜的吧。

顯然，受害者的隱私信息被長期潛伏的黑客收集了，這個過程中，黑客獲得了受害者重要的身份驗證信息。得到身份驗證信息的黑客，通過篡改受害者手機sim卡的手段，獲得手機驗證的控制權，從而通過二次手機驗證登錄進入受害者賬戶，進行提幣操作。

從時間的發展緯度，我們可以還原一下這次黑客攻擊的過程：

Day1,10:00PM

黑客掌握受害者手機號碼，受害者發現SIM卡出現問題，但是因為是晚上，沒有及時解決。

報告：全球加密公司Q1共獲得26億美元風投資金，已連續四個季度下滑:5月12日消息，在監管不確定性持續影響加密貨幣行業的情況下，全球加密貨幣公司獲得的風投資金在2023年第一季度繼續下降，這是該領域投資活動連續第四個季度下降。根據資本市場分析公司PitchBook 5月12日發布的研究報告，今年第一季度，加密企業在全球范圍內獲得26億美的風投資金，這意味著交易價值環比下降了11%。全球以加密貨幣為重點的公司在353輪投資中融資26億美，交易數量也下降了12.2%。分析報告指出：這是自2020年第四季度以來最低的投資金額以及交易筆數，代表著投資活動連續第四個季度下降。[2023/5/12 14:59:11]

Day1,10:05PM

黑客使用「忘記密碼」功能對谷歌郵箱發出更改密碼功能，由于二次驗證使用手機號碼，黑客成功更改郵箱密碼。

Day1,10:50PM

黑客獲得手機和郵箱登錄后，在Coinbase交易所發起重置密碼請求。

Day1,10:51PM

黑客通過郵箱，獲得交易所重置密碼鏈接，同時黑客清除所有相關郵件，受害者還不知道自己遭受攻擊。此時黑客已經獲得所有權限。

OKX Ventures戰略投資Layer1公鏈Sei Network:4月12日消息，據官方消息，OKX Ventures 宣布戰略投資 Layer1 公鏈 Sei Network。Sei Network 是第一個并行化 Cosmos 鏈，允許同時處理獨立事務，提高整體吞吐量和延遲，專為交易設計。

據 OKX Ventures 創始人 Dora 表示，OKX Ventures 長期堅定的擁抱去中心化發展的未來，堅持投資長期結構性價值，加注具有創新技術的 Layer1 潛力項目。此次投資 Sei Network，我們將提供資金、服務、資源等全方位的支持，和創業者共同成長，并引入 OKX 生態來賦能項目方，幫助其構建更加去中心化和高效的金融基礎設施。[2023/4/12 13:59:27]

Day2,11:00AM

用戶重置SIM卡和郵箱。這里是重點：黑客看到了受害者重置了自己的SIM卡和郵箱，而并沒有重置自己交易所的密碼，此時黑客清楚受害者的警惕已經降到最低。

Day2,10:00PM

黑客再次掌握受害者手機號碼，由于受害者發現了與之前相同的問題，沒有放在心上，而是覺得手機發生故障，受害者準備第二天再去解決。

BTC突破27000美元:金色財經報道，行情顯示，BTC突破27000美元，現報27015.5美元，日內漲幅達到8.82%，行情波動較大，請做好風險控制。[2023/3/18 13:11:50]

Day2,10:01PM

黑客再次重置郵箱密碼，同時，使用前一天已經獲得的交易所重置密碼鏈接，重置交易所密碼。

Day2,10:10PM

黑客登錄交易所，提出所有資產。

Day3,09:00AM

受害者在售后服務點內意識到自己遭到攻擊，為時已晚。

雖然這里的雙重驗證攻擊是手機SIM攻擊，可能不適合國內，但是，手機和郵箱往往由于密碼簡單，很容易被破解。同時，如果身邊的人長期滲透收集你的隱私，對你進行攻擊后，不會留下任何線索。

如何防范被盜？

可以說，黑客防不勝防。防范被盜最簡單的方式就是：做最壞的打算。換句話說，由于加密貨幣的特性，你沒有辦法證明你的資產是真的被盜還是你自己轉走的，錢包和交易所沒有義務給你背鍋。想當銀行家管理自己的資產，一定要做好安防工作。

針對黑客的幾個攻擊步驟，我們可以在5點上提高安全：雙重驗證，密碼管理，硬件密鑰，硬件錢包，隱私保護

美司法部將于凌晨1點宣布一項國際加密貨幣執法行動:1月19日消息，美國司法部將于今日凌晨1點宣布一項國際加密貨幣執法行動。 此前報道，1 月 7 日，美國布魯克林聯邦地區檢察官正在針對 Digital Currency Group Inc. 和其子公司 Genesis 之間可能存在的內部轉賬和交易問題展開調查。目前，檢察官已開始要求 DCG 相關人員進行面談并提供相關文件。 據另一位知情人士透露，美國證券交易委員會 (SEC) 也在對 DCG 進行調查，但調查處于早期階段，Barry Silbert、Digital Currency Group (DCG) 及其任何子公司目前均未被指控有不當行為。DCG 發言人表示，該公司始終合法開展業務。目前 DCG 并不知道也沒有理由相信紐約東區法院對 DCG 進行過任何調查。[2023/1/19 11:19:39]

1、雙重驗證

谷歌身份驗證器

手機和郵箱都是不夠安全的，尤其是當黑客發現這個手機和郵箱的主人持幣。真正安全的二次驗證是使用動態身份驗證器，例如谷歌身份驗證器，靠譜的交易所和錢包都支持這個。

能做到這一步，你已經比市場上99%的韭菜強了，黑客看到你這樣，不會浪費時間在你身上的。谷歌身份驗證器可以保護你的登錄安全。

2、密碼管理

密碼管理軟件，例如Bitwarden，安全且易用。有手機app和瀏覽器插件，同時具備加密同步功能。值得一提的是Bitwarden可以和谷歌身份驗證器同步，這樣在瀏覽器內就可以快速查看最新的動態密碼。Bitwarden本身也可以用動態密碼或者硬件密鑰驗證。這里有詳細的更加詳細的工具推薦。密碼管理工具，可以幫助你管理你的所有密碼。

3、硬件密鑰

這一步復雜一點，但是安全性會提高一個級別。為了保護好你的電腦，手機和谷歌賬戶，可以考慮使用硬件密鑰Yubikey，這種做法是企業級別的安全模式。最大的好處是只要硬件密鑰在身邊，就可以防止遠程登錄。同時，谷歌用戶可以設定更高級賬戶保護模式，第三方服務登錄谷歌賬戶，需要通過硬件密鑰解鎖。硬件密鑰可以阻止黑客遠程登錄。

4、硬件錢包

知乎上最著名的答案：大三的學生，手頭有6000元的錢，想要做些小投資賺點兒錢，有什么好建議么？

買比特幣，保存好錢包文件，然后忘掉你有過6000元這回事。五年后再看看。

那么怎么最好的保存錢包文件呢？用硬件錢包，一定要把長期持有的資產通過硬件錢包保存。硬件錢包讓安全和易用性得到平衡。這里需要強調一點，在下載與硬件錢包配套的軟件App時，一定要注意不要下載到盜版的詐騙軟件。如果遇到軟件一打開，就要求輸入用戶名和密碼，一定要三思而后行。

5、隱私保護

記住這一點：不要用聊天軟件發送密碼和敏感信息。聊天軟件的記錄很大概率使用沒有加密的明文保存。

我的使用心得：硬件錢包密鑰上手用

上文說了，對于普通的個人投資者，使用硬件錢包是個不錯的方式，可以讓安全性和易用性得到平衡。因為工作的關系和個人的愛好，我試用過市面上不少硬件錢包，正好借助這個機會和朋友們分享一下我對幾款產品的上手心得。

必須強調：下文中我提及的產品都是自己掏錢購買，本文并未接受任何產品方的贊助。另外，下文提到的產品只是因為我自己購買過、使用過，所以列出，供朋友們參考。市面上錢包產品很多，有很多產品我沒有使用過，并不代表這些產品不好。

硬件密鑰的選擇：Yubikey

各大企業安全標配，用于杜絕員工簡單且不安全的密碼。支持所有主流加密協議。購買需要一次買兩個，小的那個可以一直插在電腦上，大的隨身攜帶。如果其中一只丟失，可以用另外一只補救。

硬件錢包的選擇：imTokenimKey&LedgerX

這是兩款最新的支持藍牙鏈接的硬件錢包，由目前業內最靠譜的兩個團隊研發：Ledger和imToken

包裝

三件套LedgerX,LedgerS,imKey

imKey包裝提供防篡改貼紙，保證沒有在運輸途中被動過手腳

imKey包裝，防篡改貼紙撕掉后會有大大的VOID提示

Ledger沒有防篡改貼紙，但是每次啟動后都會進行放篡改驗證，看上去更加安全

兩個錢包都提供記憶卡片，方便記憶復原密碼詞組，一定要保護好這張卡片，如果硬件錢包丟失或損壞，需要這組密碼詞組復原

imKey實測與手機配對多成非常簡單快捷，配對完成后，日常使用中鏈接非常快，給用戶的阻力非常小

LedgerX鏈接也很便捷，圖為防偽驗證，每次使用都會有這一步，但是速度很快，可以有效的阻止硬件設備遭到攻擊

這里提一下，由于imKey和LedgerX都是通過藍牙鏈接，如果信不過藍牙的安全性，可以選擇LedgerNanoS，實測用數據線和手機鏈接，可以成功運行

imKey的大小非常合適放入錢包，做工非常結實，適合隨身攜帶，存零花錢

LedgerX相對大很多，不夠便攜，適合放在家里當金庫

兩家的App都很好用：

Ledger的更加專注于錢包功能，沒有復雜的功能，定位是做大額資產管理。imToken可玩性超高，結合了Dapp瀏覽器，玩玩Defi應用，在手機上借Dai收租非常爽。

安全三件套Yubikey，imKey，Ledger

本文來源于非小號媒體平臺：

江明睿

現已在非小號資訊平臺發布1篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/3628620.html

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

開源代碼與網站代碼不一致？WalletGenerator曝出驚人漏洞

下一篇：

機構入場指南：一文讀懂數字資產托管全景圖

Tags：GEREDGELEDDGEcointiger幣虎官網Energy Ledgerledger錢包什么時候發貨SkyBridger

MEXC