热钱包真的安全?PeckShield蒋旭宪为你揭秘交易所被盗事件!

时间:2021-07-11 05:59来源:www.elfgpf.com作者:未知点击:

导读:
扫描关注公众号

蒋旭宪博士是计算机安全范围的顶级专家,他2001年毕业于西安交通大学计算机系并获得硕士学位,随后2006年毕业于美国普渡大学 (Purdue University) 计算机系并获得博士学位,曾担任北卡州立大学 (North Carolina State University) 计算机系终身教授。2013年初,他加入奇虎360公司,担任首席科学家。

在被问及“有没追回失窃资产的方法”时,蒋旭宪博士表示,

另外,假如中心化交易平台开启智能化提币的,应做肯定额度的分级,一旦单位时间内出现超大额提币需要,而且是转移到很多新创建地址的,需要立即触发紧急风控机制并转为人工审核提币,尽量提早发现并预防攻击的持续进行。”

从2012年比特币ica连遭攻击损失10万余枚BTC,到2014年MtGox失窃损失85万枚BTC……再到今年5月初Binance失窃7000枚BTC。近几年频繁发生的数字货币失窃事件,让区块链安全问题渐渐走进了大家的视线。

以下为AMA甄选内容,详细情况请点击:

Binance失窃是什么原因

PeckShield公司是蒋旭宪博士于2018年3月创立,总部坐落于杭州,定位是区块链数据和安全服务提供商。自成立以来,PeckShield的漏洞监测覆盖底层公链、交易平台、数字钱包、智能合约等区块链生态的各个环节,因连续发现并命名了BEC、SMT、EDU等智能合约的重大安全漏洞,而广受业内关注。

AMA中,有一名用户问到“为什么交易平台不用KeyShard?”蒋旭宪博士回答:

同样是7000枚BTC,两次失窃事件之间有没联系呢?蒋旭宪博士觉得,两次事件虽然失窃数目相似,“但作案方法不同,没直接关联。”

“有,但没办法保证追回全部的资产。攻击事件发生后,大家会第一时间介入追踪失窃的数字资产,实时监控黑客的钱包地址,并跟进剖析黑客可能采取的洗钱方法,尽量将失窃数字资产的流向轨迹还原出来。

尽管不少人觉得,如此的言论未免言过其实,但不能否认的是,近几年频发的交易平台失窃事件,让区块链安全的问题渐渐走进大家的视线。

5月14日下午,PeckShield开创者兼CEO蒋旭宪博士做客链节点AMA,为大家解答了区块链安全的有关问题。

现在,绝大部分数字资产交易平台都是中心化的交易平台,而中心化交易平台也是容易见到的黑客攻击的目的。那样对用户来讲,去中心化交易平台是否更安全的选择呢?蒋旭宪博士觉得:

对于通常用户,可以把私钥保存在知名的、有好信誉的交易平台,由于“即便忘记密码或密码失窃用,还有办法找回或者回滚”。

另外,去中心化交易平台的资产由合约掌管,而且大部分是开源的,也能够帮助全世界的技术员助你审核项目有没漏洞。整个买卖步骤的公开透明也使其出问题的概率减少。所以相对而言,去中心化交易平台是一个更安全的选择。不过,就客户体验、买卖深度和用门槛而言,去中心化交易平台还不如中心化交易平台。”

事实上,早在2018年7月4日,Binance出现超大额提现,超越7000枚BTC被转入同一个地址,疑似失窃。7月4号上午,Binance发布通知,中止买卖提现。当天下午,第三发布通知,将此次事件定性为钓鱼事件。

交易平台为什么频繁失窃?Binance失窃是什么原因什么?失窃资产有没追回的办法?一般用户怎么样保护我们的加密货币?

在被问及“Binance被攻击是什么原因”时,蒋旭宪博士表示,从技术层面看,可能有三个缘由:

这是2019年以来,继 CrypTOPia、DragonEx 和 Bithumb 之后,第四个遭黑客攻击的大型数字虚拟货币交易网站。据监测显示,本次黑客攻击事件中,Binance共计损失了7,074枚 比特币。

2019年5月8日,全球知名交易平台Binance发布的通知称,当天凌晨1时15分,Binance遭到了黑客大规模的系统性攻击,黑客获得了很多API密钥,Google验证2FA码等信息,一次性提走了7,000枚比特币。

尽管有用户觉得“与其把私钥交给交易平台,不如放在我们的钱包里安全”,但蒋旭宪博士依旧建议:

值得注意的是,去年Binance虽然遭受黑客攻击,但黑客在提现BTC时,触发了Binance的风控系统,其竞价推广账户被冻结。那样,为何这次失窃没触发警报呢?蒋旭宪博士讲解道:

对于持币量比较大的用户,他则建议放在冷钱包,但“就会把安全的风险,从交易平台转移到用户自己对于冷钱包设施及助记词的保存。”因此,务必保存好个人助记词。

纵观过去发生的多起交易平台失窃事件,大家发现,黑客都是通过钓鱼软件获得用户的API key,然后借助API接口入侵交易平台。交易平台怎么样应付这种方法的入侵呢?蒋旭宪博士建议:

“1、可能是Binance我们的内网被渗透,黑客劫持有关账号并提币转出;
2、可能是的中心化资产推广托管服务遭到了渗透,从而用户的资产被转走;
3、可能是一般散户的推广客户端被劫持。用户大概被诱导下载带有木马的推广客户端软件,从而被劫持了当地环境,进而控制了用户竞价推广账户的API访问和认证等。

但要真的找回失窃资产,需要生态内的多方协作和支持,包括交易平台准时冻结黑客的充值,超级节点或相应治理组织的联动协作等。”

“这次是通过调用用户API Key, 多笔提现,行为上不同。从单一用户的提币行为来看,可能没法触发当时的风控系统。同时说明了安全防护系统还有改变的空间。”

交易平台怎么样应付安全问题?

“攻击者都是追求利益回报的。中心化交易平台持有币的数目和价值,都远远大于去中心化交易平台。攻击者在选取攻击目的的时候,当然会盯着价值更大的一方。

对于机构,他觉得“多重签名是必不可少的,由于可以大大降低个别私钥失窃的风险。”

这是一个最好的年代,也是一个最坏的年代。区块链为大家带来了将来美好世界的想象,同时也为互联网上的不法分子创造了更多的犯罪机会。

互联网安全圈内流传着如此一句话:世界上只有两种大型企业,一种是知晓已经被黑客入侵的企业,另一种则是被入侵却浑然不知的企业。这句话放在区块链行业里同样适用。

第三个缘由的可能性最大,第二是第二,最后才是第一个可能性。”

“KeyShard使用基于多方安全计算,私钥被拆分为不一样的分片,分别保存在包括用户和推广托管方在内的各参与方。但,任何单一分片都没办法获知私钥的真实信息,从而保证了资产由各参与方一同控制。遗憾的是,步骤上的严格同时给用户的体验也带来了不便。”

一般用户怎么样保护我们的数字资产?

“第一应加大安全意识,尽量防止个人敏锐信息的泄露。同时,交易平台应加大和健全API和有关敏锐操作的认证,确保是用户的真的行为,而不是被攻击者劫持的操作。如有必要,重新生成相应API key,并对每次提币地址的更新加大2FA、邮箱和短信认证,多管齐下。

相关文章
推荐文章

热门标签

区块链入门教程_区块链技术攻略_区块链资料汇总_币圈网

Copyright © 2002-2021 币圈网 (http://yzycqj.com) 网站地图 TAG标签 备案号:

声明: 本站文章均来自互联网,不代表本站观点 如有异议 请与本站联系 本站为非赢利性网站