聽說 BitGo 工程團隊老大的錢包被黑了，到底怎么回事？教訓是什么？_DGE:AMBIT幣

在加密貨幣投資世界游走，保護數字資產安全是個大問題。但是在易用性和安全性之間，找到最適合最佳的平衡卻真不容易。本文從BitGo工程主管SeanCoonce交易所錢包被盜出發，分析我們應該如何保護自己加密貨幣的安全，以及對比了市面上三款硬件錢包的不同。

撰文：江明睿，就職于密碼貨幣對沖基金BitCapital

現在交易所都會有雙重驗證，用戶在輸入密碼后，需要第二個動態密碼進行驗證，動態密碼最簡單的做法是綁定手機或郵箱。但是，請小心！最近發生的一個案例卻再次證明，手機和郵箱驗證碼是不安全的。

數字資產托管公司BitGo的工程主管SeanCoonce最近因為手機的SIM被攻擊，導致他的Coinbase錢包損失了價值10萬美元的加密貨幣。SeanCoonce在Medium上撰寫了一篇文章，「我生命中最昂貴的一個教訓」，詳細描述和總結了這次被盜經歷。

這多少有些諷刺意味。因為本身BitGo是一家專業的數字資產托管公司，以提供多簽錢包聞名，保護數字資產的安全是其核心業務。盡管SeanCoonce在自己的Twitter上發出聲明，自己不負責安全工程，在BitGo有另外一個專業的團隊負責安全。不過，這也從另外的角度證明了：黑客盜取數字資產的方式防不勝防。

數據：12家上市礦企在第二季度通過股票銷售籌集了約4.4億美元:8月24日消息，根據TheMinerMag編制的數據，包括Marathon Digital和Riot Platforms在內的12家上市礦企在第二季度通過股票銷售籌集了約4.4億美元，比前三個月增長了近60%，比特幣投資者Mark Jeftovic表示，一些礦業公司正在過度稀釋股東權益。自2022年1月以來，Cleanspark和Terawulf的普通股股東的年化稀釋分別為116%和67%。[2023/8/24 10:40:12]

BitGo工程團隊老大的加密貨幣是如何被盜的？

不妨先看看BitGo工程主管SeanCoonce是如何被盜的吧。

顯然，受害者的隱私信息被長期潛伏的黑客收集了，這個過程中，黑客獲得了受害者重要的身份驗證信息。得到身份驗證信息的黑客，通過篡改受害者手機sim卡的手段，獲得手機驗證的控制權，從而通過二次手機驗證登錄進入受害者賬戶，進行提幣操作。

從時間的發展緯度，我們可以還原一下這次黑客攻擊的過程：

Day1,10:00PM

黑客掌握受害者手機號碼，受害者發現SIM卡出現問題，但是因為是晚上，沒有及時解決。

跨鏈橋deBridge新功能將允許Solana用戶訪問基于EVM的區塊鏈:金色財經報道，跨鏈橋deBridge首席執行官兼聯合創始人Alex Smirnov在接受采訪時表示，deBridge的一項新功能將允許Solana用戶以低費用輕松訪問其他區塊鏈上的應用程序，反之亦然。

Smirnov表示，該功能是Solana用戶首次可以訪問基于以太坊虛擬機（EVM）的區塊鏈，比如Arbitrum，而無需依賴存在安全風險的衍生代幣或封裝代幣。[2023/6/29 22:08:31]

Day1,10:05PM

黑客使用「忘記密碼」功能對谷歌郵箱發出更改密碼功能，由于二次驗證使用手機號碼，黑客成功更改郵箱密碼。

Day1,10:50PM

黑客獲得手機和郵箱登錄后，在Coinbase交易所發起重置密碼請求。

Day1,10:51PM

黑客通過郵箱，獲得交易所重置密碼鏈接，同時黑客清除所有相關郵件，受害者還不知道自己遭受攻擊。此時黑客已經獲得所有權限。

Day2,11:00AM

用戶重置SIM卡和郵箱。這里是重點：黑客看到了受害者重置了自己的SIM卡和郵箱，而并沒有重置自己交易所的密碼，此時黑客清楚受害者的警惕已經降到最低。

谷歌云為礦工提供高達100萬美元的保護:金色財經報道，谷歌云為礦工提供高達 100 萬美元的保護，以補償在未檢測到的加密挖礦攻擊期間產生的費用。 Bues 在一份聲明中表示，對于那些在云環境中沒有正確的預防控制和威脅檢測能力的組織來說，加密攻擊仍然是一個嚴重的安全和財務問題。[2023/6/9 21:25:13]

Day2,10:00PM

黑客再次掌握受害者手機號碼，由于受害者發現了與之前相同的問題，沒有放在心上，而是覺得手機發生故障，受害者準備第二天再去解決。

Day2,10:01PM

黑客再次重置郵箱密碼，同時，使用前一天已經獲得的交易所重置密碼鏈接，重置交易所密碼。

Day2,10:10PM

黑客登錄交易所，提出所有資產。

Day3,09:00AM

受害者在售后服務點內意識到自己遭到攻擊，為時已晚。

雖然這里的雙重驗證攻擊是手機SIM攻擊，可能不適合國內，但是，手機和郵箱往往由于密碼簡單，很容易被破解。同時，如果身邊的人長期滲透收集你的隱私，對你進行攻擊后，不會留下任何線索。

Aave社區關于在Metis主網上部署Aave V3的提案已獲通過:金色財經報道，Aave社區發起的關于在 Metis 主網上部署Aave V3的提案現已獲得通過。該提案指出，若投票通過，Aave 將與 Bored Ghosts Developing（BGD）協調開始 Aave 部署，預計需 4 周時間。

該提案指出，MetisDAO 基金會將通過建設者挖礦激勵、生態系統贈款與Genesi DAC 投資資助 Aave 生態項目，建設者挖礦激勵計劃每月根據每個協議負責的月度總交易量分配 4000 枚 METIS。通過該集成，Aave 也可以通過協議費與建設者挖礦激勵計劃獲得額外收入。該提案提議在合約部署后的 6 個月內開展 10 萬枚 Metis 代幣流動性激勵活動，并與 Chaos Labs 合作，制定戰略分配。[2023/3/24 13:23:39]

如何防范被盜？

可以說，黑客防不勝防。防范被盜最簡單的方式就是：做最壞的打算。換句話說，由于加密貨幣的特性，你沒有辦法證明你的資產是真的被盜還是你自己轉走的，錢包和交易所沒有義務給你背鍋。想當銀行家管理自己的資產，一定要做好安防工作。

針對黑客的幾個攻擊步驟，我們可以在5點上提高安全：雙重驗證，密碼管理，硬件密鑰，硬件錢包，隱私保護

安全團隊：AzukiOfficial的Discord服務器遭到攻擊:金色財經消息，據CertiK監測，@AzukiOfficial的Discord服務器遭到攻擊。請社群用戶在服務器修復之前不要點擊任何鏈接！[2023/1/28 11:33:37]

1、雙重驗證

谷歌身份驗證器

手機和郵箱都是不夠安全的，尤其是當黑客發現這個手機和郵箱的主人持幣。真正安全的二次驗證是使用動態身份驗證器，例如谷歌身份驗證器，靠譜的交易所和錢包都支持這個。

能做到這一步，你已經比市場上99%的韭菜強了，黑客看到你這樣，不會浪費時間在你身上的。谷歌身份驗證器可以保護你的登錄安全。

2、密碼管理

密碼管理軟件，例如Bitwarden，安全且易用。有手機app和瀏覽器插件，同時具備加密同步功能。值得一提的是Bitwarden可以和谷歌身份驗證器同步，這樣在瀏覽器內就可以快速查看最新的動態密碼。Bitwarden本身也可以用動態密碼或者硬件密鑰驗證。這里有詳細的更加詳細的工具推薦。密碼管理工具，可以幫助你管理你的所有密碼。

3、硬件密鑰

這一步復雜一點，但是安全性會提高一個級別。為了保護好你的電腦，手機和谷歌賬戶，可以考慮使用硬件密鑰Yubikey，這種做法是企業級別的安全模式。最大的好處是只要硬件密鑰在身邊，就可以防止遠程登錄。同時，谷歌用戶可以設定更高級賬戶保護模式，第三方服務登錄谷歌賬戶，需要通過硬件密鑰解鎖。硬件密鑰可以阻止黑客遠程登錄。

4、硬件錢包

知乎上最著名的答案：大三的學生，手頭有6000元的錢，想要做些小投資賺點兒錢，有什么好建議么？

買比特幣，保存好錢包文件，然后忘掉你有過6000元這回事。五年后再看看。

那么怎么最好的保存錢包文件呢？用硬件錢包，一定要把長期持有的資產通過硬件錢包保存。硬件錢包讓安全和易用性得到平衡。這里需要強調一點，在下載與硬件錢包配套的軟件App時，一定要注意不要下載到盜版的詐騙軟件。如果遇到軟件一打開，就要求輸入用戶名和密碼，一定要三思而后行。

5、隱私保護

記住這一點：不要用聊天軟件發送密碼和敏感信息。聊天軟件的記錄很大概率使用沒有加密的明文保存。

我的使用心得：硬件錢包密鑰上手用

上文說了，對于普通的個人投資者，使用硬件錢包是個不錯的方式，可以讓安全性和易用性得到平衡。因為工作的關系和個人的愛好，我試用過市面上不少硬件錢包，正好借助這個機會和朋友們分享一下我對幾款產品的上手心得。

必須強調：下文中我提及的產品都是自己掏錢購買，本文并未接受任何產品方的贊助。另外，下文提到的產品只是因為我自己購買過、使用過，所以列出，供朋友們參考。市面上錢包產品很多，有很多產品我沒有使用過，并不代表這些產品不好。

硬件密鑰的選擇：Yubikey

各大企業安全標配，用于杜絕員工簡單且不安全的密碼。支持所有主流加密協議。購買需要一次買兩個，小的那個可以一直插在電腦上，大的隨身攜帶。如果其中一只丟失，可以用另外一只補救。

硬件錢包的選擇：imTokenimKey&LedgerX

這是兩款最新的支持藍牙鏈接的硬件錢包，由目前業內最靠譜的兩個團隊研發：Ledger和imToken

包裝

三件套LedgerX,LedgerS,imKey

imKey包裝提供防篡改貼紙，保證沒有在運輸途中被動過手腳

imKey包裝，防篡改貼紙撕掉后會有大大的VOID提示

Ledger沒有防篡改貼紙，但是每次啟動后都會進行放篡改驗證，看上去更加安全

兩個錢包都提供記憶卡片，方便記憶復原密碼詞組，一定要保護好這張卡片，如果硬件錢包丟失或損壞，需要這組密碼詞組復原

imKey實測與手機配對多成非常簡單快捷，配對完成后，日常使用中鏈接非常快，給用戶的阻力非常小

LedgerX鏈接也很便捷，圖為防偽驗證，每次使用都會有這一步，但是速度很快，可以有效的阻止硬件設備遭到攻擊

這里提一下，由于imKey和LedgerX都是通過藍牙鏈接，如果信不過藍牙的安全性，可以選擇LedgerNanoS，實測用數據線和手機鏈接，可以成功運行

imKey的大小非常合適放入錢包，做工非常結實，適合隨身攜帶，存零花錢

LedgerX相對大很多，不夠便攜，適合放在家里當金庫

兩家的App都很好用：

Ledger的更加專注于錢包功能，沒有復雜的功能，定位是做大額資產管理。imToken可玩性超高，結合了Dapp瀏覽器，玩玩Defi應用，在手機上借Dai收租非常爽。

安全三件套Yubikey，imKey，Ledger

本文來源于非小號媒體平臺：

江明睿

現已在非小號資訊平臺發布1篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/3628620.html

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

開源代碼與網站代碼不一致？WalletGenerator曝出驚人漏洞

下一篇：

機構入場指南：一文讀懂數字資產托管全景圖

Tags：DGEEDGKEYBITSMUDGE TOKENledger錢包支持哪些幣onekeytools10AMBIT幣

ICP