KEY:聽說 BitGo 工程團隊老大的錢包被黑了，到底怎么回事？教訓是什么？_BITGET是什么交易所

在加密貨幣投資世界游走，保護數字資產安全是個大問題。但是在易用性和安全性之間，找到最適合最佳的平衡卻真不容易。本文從BitGo工程主管SeanCoonce交易所錢包被盜出發，分析我們應該如何保護自己加密貨幣的安全，以及對比了市面上三款硬件錢包的不同。

撰文：江明睿，就職于密碼貨幣對沖基金BitCapital

現在交易所都會有雙重驗證，用戶在輸入密碼后，需要第二個動態密碼進行驗證，動態密碼最簡單的做法是綁定手機或郵箱。但是，請小心！最近發生的一個案例卻再次證明，手機和郵箱驗證碼是不安全的。

數字資產托管公司BitGo的工程主管SeanCoonce最近因為手機的SIM被攻擊，導致他的Coinbase錢包損失了價值10萬美元的加密貨幣。SeanCoonce在Medium上撰寫了一篇文章，「我生命中最昂貴的一個教訓」，詳細描述和總結了這次被盜經歷。

這多少有些諷刺意味。因為本身BitGo是一家專業的數字資產托管公司，以提供多簽錢包聞名，保護數字資產的安全是其核心業務。盡管SeanCoonce在自己的Twitter上發出聲明，自己不負責安全工程，在BitGo有另外一個專業的團隊負責安全。不過，這也從另外的角度證明了：黑客盜取數字資產的方式防不勝防。

Moons代幣或上線Kraken交易所，價格飆升104%:金色財經報道，社交平臺Reddit中 r/CryptoCurrency用戶的原生代幣Moons周一飆升104%，因為加密貨幣交易所Kraken發言人暗示可能會在交易所上線Moons。據CoinGecko數據，該代幣當天上漲了一倍多，過去24小時內上漲104%至0.19美元。

目前支持Moons交易的平臺包括：MEXC、Gate.io、SushiSwap和RCP Swap。[2023/7/18 11:00:41]

BitGo工程團隊老大的加密貨幣是如何被盜的？

不妨先看看BitGo工程主管SeanCoonce是如何被盜的吧。

顯然，受害者的隱私信息被長期潛伏的黑客收集了，這個過程中，黑客獲得了受害者重要的身份驗證信息。得到身份驗證信息的黑客，通過篡改受害者手機sim卡的手段，獲得手機驗證的控制權，從而通過二次手機驗證登錄進入受害者賬戶，進行提幣操作。

從時間的發展緯度，我們可以還原一下這次黑客攻擊的過程：

Day1,10:00PM

黑客掌握受害者手機號碼，受害者發現SIM卡出現問題，但是因為是晚上，沒有及時解決。

數據：2022年數字盧比交易總額達到125.95萬億盧比:金色財經報道，2022年，數字盧比聯合支付界面(UPI)實現了約7,404.45千萬筆交易，即每秒2,347筆交易。數字盧比交易總額達到125.95萬億盧比，比2021年增長1.75倍。（economictimes）[2023/3/4 12:41:59]

Day1,10:05PM

黑客使用「忘記密碼」功能對谷歌郵箱發出更改密碼功能，由于二次驗證使用手機號碼，黑客成功更改郵箱密碼。

Day1,10:50PM

黑客獲得手機和郵箱登錄后，在Coinbase交易所發起重置密碼請求。

Day1,10:51PM

黑客通過郵箱，獲得交易所重置密碼鏈接，同時黑客清除所有相關郵件，受害者還不知道自己遭受攻擊。此時黑客已經獲得所有權限。

Day2,11:00AM

用戶重置SIM卡和郵箱。這里是重點：黑客看到了受害者重置了自己的SIM卡和郵箱，而并沒有重置自己交易所的密碼，此時黑客清楚受害者的警惕已經降到最低。

Day2,10:00PM

黑客再次掌握受害者手機號碼，由于受害者發現了與之前相同的問題，沒有放在心上，而是覺得手機發生故障，受害者準備第二天再去解決。

TokenUnlocks年度報告：至少1020億美元估值的代幣在2023年解鎖:1月19日消息，近日TokenUnlocks發布了其年度報告，報告中指出，在分析了頭部的300個加密項目之后，預估在2023年，至少有1020億美元估值的代幣將會解鎖。

其中，目前鎖定價值最高的代幣為XRP，達180億美元，其次為Filecoin、Optimism、Chainlink、BitDAO、ApeCoin、STEPN等。[2023/1/19 11:20:52]

Day2,10:01PM

黑客再次重置郵箱密碼，同時，使用前一天已經獲得的交易所重置密碼鏈接，重置交易所密碼。

Day2,10:10PM

黑客登錄交易所，提出所有資產。

Day3,09:00AM

受害者在售后服務點內意識到自己遭到攻擊，為時已晚。

雖然這里的雙重驗證攻擊是手機SIM攻擊，可能不適合國內，但是，手機和郵箱往往由于密碼簡單，很容易被破解。同時，如果身邊的人長期滲透收集你的隱私，對你進行攻擊后，不會留下任何線索。

如何防范被盜？

可以說，黑客防不勝防。防范被盜最簡單的方式就是：做最壞的打算。換句話說，由于加密貨幣的特性，你沒有辦法證明你的資產是真的被盜還是你自己轉走的，錢包和交易所沒有義務給你背鍋。想當銀行家管理自己的資產，一定要做好安防工作。

派盾：Huobi向Alameda Research地址轉入7萬枚HUSD:10月11日消息，據派盾檢測（PeckShield）顯示，Huobi向被標記為加密交易公司Alameda Research的地址（0xc5e開頭）轉入7萬枚HUSD，該地址已將2萬枚HUSD兌換為USDC、5000枚HUSD兌換為5000枚USDT、5000枚HUSD兌換為5000枚DAI。[2022/10/11 10:30:47]

針對黑客的幾個攻擊步驟，我們可以在5點上提高安全：雙重驗證，密碼管理，硬件密鑰，硬件錢包，隱私保護

1、雙重驗證

谷歌身份驗證器

手機和郵箱都是不夠安全的，尤其是當黑客發現這個手機和郵箱的主人持幣。真正安全的二次驗證是使用動態身份驗證器，例如谷歌身份驗證器，靠譜的交易所和錢包都支持這個。

能做到這一步，你已經比市場上99%的韭菜強了，黑客看到你這樣，不會浪費時間在你身上的。谷歌身份驗證器可以保護你的登錄安全。

2、密碼管理

密碼管理軟件，例如Bitwarden，安全且易用。有手機app和瀏覽器插件，同時具備加密同步功能。值得一提的是Bitwarden可以和谷歌身份驗證器同步，這樣在瀏覽器內就可以快速查看最新的動態密碼。Bitwarden本身也可以用動態密碼或者硬件密鑰驗證。這里有詳細的更加詳細的工具推薦。密碼管理工具，可以幫助你管理你的所有密碼。

NFT市場tofuNFT已支持Arbitrum Nova鏈:8月22日消息，據官方消息，專注于GameFi和收藏品的多鏈NFT市場tofuNFT宣布，已正式支持Arbitrum Nova Chain。[2022/8/22 12:40:59]

3、硬件密鑰

這一步復雜一點，但是安全性會提高一個級別。為了保護好你的電腦，手機和谷歌賬戶，可以考慮使用硬件密鑰Yubikey，這種做法是企業級別的安全模式。最大的好處是只要硬件密鑰在身邊，就可以防止遠程登錄。同時，谷歌用戶可以設定更高級賬戶保護模式，第三方服務登錄谷歌賬戶，需要通過硬件密鑰解鎖。硬件密鑰可以阻止黑客遠程登錄。

4、硬件錢包

知乎上最著名的答案：大三的學生，手頭有6000元的錢，想要做些小投資賺點兒錢，有什么好建議么？

買比特幣，保存好錢包文件，然后忘掉你有過6000元這回事。五年后再看看。

那么怎么最好的保存錢包文件呢？用硬件錢包，一定要把長期持有的資產通過硬件錢包保存。硬件錢包讓安全和易用性得到平衡。這里需要強調一點，在下載與硬件錢包配套的軟件App時，一定要注意不要下載到盜版的詐騙軟件。如果遇到軟件一打開，就要求輸入用戶名和密碼，一定要三思而后行。

5、隱私保護

記住這一點：不要用聊天軟件發送密碼和敏感信息。聊天軟件的記錄很大概率使用沒有加密的明文保存。

我的使用心得：硬件錢包密鑰上手用

上文說了，對于普通的個人投資者，使用硬件錢包是個不錯的方式，可以讓安全性和易用性得到平衡。因為工作的關系和個人的愛好，我試用過市面上不少硬件錢包，正好借助這個機會和朋友們分享一下我對幾款產品的上手心得。

必須強調：下文中我提及的產品都是自己掏錢購買，本文并未接受任何產品方的贊助。另外，下文提到的產品只是因為我自己購買過、使用過，所以列出，供朋友們參考。市面上錢包產品很多，有很多產品我沒有使用過，并不代表這些產品不好。

硬件密鑰的選擇：Yubikey

各大企業安全標配，用于杜絕員工簡單且不安全的密碼。支持所有主流加密協議。購買需要一次買兩個，小的那個可以一直插在電腦上，大的隨身攜帶。如果其中一只丟失，可以用另外一只補救。

硬件錢包的選擇：imTokenimKey&LedgerX

這是兩款最新的支持藍牙鏈接的硬件錢包，由目前業內最靠譜的兩個團隊研發：Ledger和imToken

包裝

三件套LedgerX,LedgerS,imKey

imKey包裝提供防篡改貼紙，保證沒有在運輸途中被動過手腳

imKey包裝，防篡改貼紙撕掉后會有大大的VOID提示

Ledger沒有防篡改貼紙，但是每次啟動后都會進行放篡改驗證，看上去更加安全

兩個錢包都提供記憶卡片，方便記憶復原密碼詞組，一定要保護好這張卡片，如果硬件錢包丟失或損壞，需要這組密碼詞組復原

imKey實測與手機配對多成非常簡單快捷，配對完成后，日常使用中鏈接非常快，給用戶的阻力非常小

LedgerX鏈接也很便捷，圖為防偽驗證，每次使用都會有這一步，但是速度很快，可以有效的阻止硬件設備遭到攻擊

這里提一下，由于imKey和LedgerX都是通過藍牙鏈接，如果信不過藍牙的安全性，可以選擇LedgerNanoS，實測用數據線和手機鏈接，可以成功運行

imKey的大小非常合適放入錢包，做工非常結實，適合隨身攜帶，存零花錢

LedgerX相對大很多，不夠便攜，適合放在家里當金庫

兩家的App都很好用：

Ledger的更加專注于錢包功能，沒有復雜的功能，定位是做大額資產管理。imToken可玩性超高，結合了Dapp瀏覽器，玩玩Defi應用，在手機上借Dai收租非常爽。

安全三件套Yubikey，imKey，Ledger

本文來源于非小號媒體平臺：

江明睿

現已在非小號資訊平臺發布1篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/3628620.html

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

開源代碼與網站代碼不一致？WalletGenerator曝出驚人漏洞

下一篇：

機構入場指南：一文讀懂數字資產托管全景圖

Tags：BITGERKEYEDGBITGET是什么交易所WHITE TIGER MOONonekeylite三維組在哪ledger錢包照片

PEPE