—
撰文|?Cobo金庫大掌柜
黑客從來只黑有價值的人,如果你覺得自己很安全,那只是你缺乏被黑的價值
根據近幾年的用戶調研,掌柜發現有相當一部分用戶,即使你告訴他千萬遍“手機端軟件更便捷,更安全”,他們仍然對PC端軟件情有獨鐘。不得不承認,PC端軟件確實有著不可替代的優勢:顯示面積大,鼠標鍵盤交互精確,適合流程復雜、規模更大的操作。
如果一定要使用PC端錢包軟件進行資產管理,我們需要付出兩百倍的安全意識。
安全意識通常來自于對攻擊面的了解,掌柜習慣通過以下3個“靈魂拷問”來判斷:
01|哪些數據需要保護?
英格蘭銀行正在探討如何將CBDC引入現有市場:英格蘭銀行(BoE)正在權衡發行以英鎊為單位的央行數字貨幣(CBDC)的利弊。他們剛發布了一份長達57頁的報告,探討了如何將CBDC引入現有市場,既充當價值存儲又用于日常交易。據悉,英國中央銀行逐漸意識到,數字英鎊可能會破壞當前的銀行體系。但是,數字貨幣可以利用最新的金融科技,使消費者更輕松快捷地進行交易。(Cointelegraph)[2020/3/13]
-涉及隱私的敏感信息,如瀏覽記錄、用戶名&密碼、私鑰文件、錢包文件等
02|哪些應用程序存在敏感信息?
-如交易軟件、錢包軟件、瀏覽器等
03|資產管理過程中哪些外部服務易被攻擊?
動態 | 芬蘭海關對如何處理繳獲的比特幣感到困惑:金色財經報道,芬蘭財政部下屬的海關一直在考慮如何處理幾年前從販手中繳獲的1666枚比特幣。據悉,芬蘭海關不想拍賣沒收的比特幣,因為可能會將其返還給犯罪分子。這些比特幣在沒收的時候價值不到70萬歐元(約合76萬美元)。根據Coin360的數據,截至目前,這1666枚比特幣的價值接近1500萬歐元(超過1550萬美元)。據報道,該機構最初計劃在2018年拍賣這些資金,但最終以“反洗錢”為由凍結了這些比特幣。報告指出,除了持有超過1500萬美元的比特幣外,芬蘭海關還持有一些價值數百萬歐元的山寨幣。[2020/2/26]
-如設備的通訊接口、交易軟件、錢包軟件、瀏覽器等
聲音 | 陳建奇:區塊鏈應用還在于如何構建讓區塊鏈技術有效運行的機制:據人民日報無線新媒體報道,中共中央黨校國際戰略研究所世界經濟室副主任陳建奇指出,區塊鏈最核心的創新在于解決信任問題,非對稱加密是區塊鏈技術基礎。區塊鏈應用不僅在于技術,還在于如何構建讓區塊鏈技術有效運行的機制。他強調,區塊鏈技術進步面臨的挑戰也不容低估:一是量子計算的發展對加密技術的沖擊;二是區塊鏈技術在貨幣金融領域的應用與有效監管的問題;三是用戶規模的問題,不同應用的用戶不足以認證;四是不同應用區塊鏈平臺之間的對接問題。[2019/12/29]
基于以上,我們試著對PC端錢包軟件的各個使用環節展開疑問:
下載安裝:登陸的是不是官方網站?下載安裝的是不是官方軟件?
動態 | EOS社區在如何使用eosio的資金上存在分歧:據Coindesk消息,EOS區塊鏈上的eosio.saving賬戶余額不斷增加,價值接近1.92億美元。EOS社區對如何處理這些資金存在分歧。EOS核心工作小組的成員希望看到這些資金被用于造福社會。然而,也有明顯的聲音,敦促社區關閉WPS,取消其資金來源,“燒掉”或銷毀目前在eosio.saving帳戶中的所有Token。[2018/8/27]
掌柜之前看到過一個案例,攻擊者“山寨了一整套”下載網站和軟件,山寨軟件植入了專門針對MacOS開發的木馬程序“GMERA”,然后誘導用戶下載,實現盜取Cookie數據、網站瀏覽數據以及獲取屏幕截圖等。
這些被盜的隱私數據即使不包含關鍵的私鑰或者密碼信息,也非常有可能被應用到社會工程學,實施綁架、勒索、詐騙。
版本升級:這是不是官方升級提示?不升級有什么影響?升級前需要備份什么?
Electrum錢包就遭受過持續性釣魚攻擊。黑客利用舊版本的漏洞,給用戶發送升級提示,誘導用戶升級到“攜帶后門”的客戶端后,竊取私鑰。
首先,肯定是鼓勵大家持續升級的,新版本通常會包含:新功能,體驗優化,修復bug。但是,升級前請務必檢查:①升級包是否來自官方;②私鑰/錢包文件是否已備份。
錢包文件備份:文件是什么內容?如果是私鑰,觸過網嗎?觸過網后還安全嗎?
還是以Electrum錢包為例,創建新錢包,會生成一個WIF私鑰文件。這個私鑰文件會被用戶自定義的密碼加密。
私鑰就是資產所有權,即使被攻擊,只要私鑰沒泄露就還有可能保住資產。對于PC端保存的私鑰文件,有以下三種主流攻擊方式:
■?木馬程序竊取私鑰文件+誘導用戶輸密碼/暴力破解密碼
■?木馬程序/蠕蟲病惡意加密+勒索贖金
■?直接損壞私鑰文件或者電腦設備
那么,實現上述攻擊的路徑又有哪些呢?
■?釣魚網站/釣魚郵件
在瀏覽網頁和查看郵件時,一個簡單的點擊動作就足已中招,木馬/病在不被察覺的情況下已下載運行。
現在很多重視安全的企業都會實行隨機內部演練,運維工程師和一級部門負責人也會上中招名單——安全意識再強,也會有翻車的時候。
■?USB設備
所有USB設備都有一個微控制器芯片,可以被重新編程固件或寫入惡意代碼。
常規攻擊路徑:
①準備一個可以被重新編程的USB設備,成本20不到
②植入惡意代碼
③插入電腦,惡意代碼自動執行
USB攻擊還包括利用USB協議/標準與操作系統交互中的漏洞實施攻擊,如掌柜之前提到過的冷啟動攻擊。
冷啟動攻擊-demo
還有一種更為極端的情況:USB電氣攻擊,插入電腦后可觸發電力超載,對設備造成永久性破壞。
交易簽名:收幣地址會不會被替換?簽名的時候密碼會不會被偷窺?
綜上,下載到山寨客戶端,收幣地址被替換的可能性存在;惡意程序可以實現遠程監控鍵盤輸入或攝像頭,密碼也存在被偷窺的風險。
簡單總結:了解攻擊面-->建立安全意識-->敏感操作保持懷疑態度。
掌柜會堅持督促大家學習,用知識武裝自己的數字資產。因為,最終資產安全的程度取決于你的安全知識,而不是使用了多么硬核的錢包工具。
頭圖byNeONBRANDonUnsplash
作為一家新型金融服務公司,Circle曾寄希望于通過CirclePay打通法幣與加密貨幣的交易和轉化,建立一個真正全球化的支付網絡.
1900/1/1 0:00:00從成都出發,沿著G93國道,小面包載著我們一行十多個人一路西行,沒過多久,沿途的風景由平原變成了丘陵,道路也開始曲折回旋起來.
1900/1/1 0:00:00美國銀行業監管機構貨幣監理署最近提供的監管透明度可能使感興趣的機構有信心進入加密貨幣行業。 7月23日,加密貨幣托管服務公司Anchorage總裁DiogoMonica在接受Cointelegr.
1900/1/1 0:00:00來源:加密谷Live 作者:KarimHelmyandtheCoinMetricsTeam 翻譯:凌杰 重點概覽 交易所之間的價格差異可能因各種原因而出現,包括市場操縱、交易所停業或交易者錯誤.
1900/1/1 0:00:00Overview概述 本文將通過對比股票市場期權產品、商品交易所期權產品以及比特幣期權產品來介紹比特幣期權市場價格的有效性.
1900/1/1 0:00:000.概要 2020?年以來,在全球新冠肺炎疫情的影響下,全球經濟開啟了數字化轉型的步伐。互聯網科技巨頭Facebook牽頭發起的Libra項目試圖做新一代的全球數字貨幣,而全球各國央行則紛紛推出.
1900/1/1 0:00:00