在最近于拉脫維亞里加舉行的Baltic Honeybadger 2019會議上，Casa CEO Jeremy Welch就與比特幣安全有關(guān)的各種威脅發(fā)表了演講。在演講中，Welch列舉了13個比特幣用戶如何失去資金的例子。

這些威脅中有10個來自黑客的攻擊，而不是用戶錯誤或硬件故障。讓我們仔細看看黑客試圖獲取您的比特幣私鑰的十種不同方式。

1.網(wǎng)絡釣魚

Welch在演講中提到的第一個黑客威脅是網(wǎng)絡釣魚，也就是一個攻擊者通過一個合法網(wǎng)站的假版本欺騙用戶提交他們的登錄憑證。軟件升級攻擊，例如困擾比特幣精簡版錢包Electrum的攻擊，也屬于這一類。

2.SIM劫持

劫持SIM卡是一個嚴重的問題已經(jīng)有一段時間了，但手機服務提供商似乎對解決這個問題不感興趣。雖然這種攻擊以前被用來攻擊傳統(tǒng)的在線賬號，但在一個比特幣和基于短信的雙因素認證的世界里，當受害者的電話號碼被轉(zhuǎn)移到黑客的設(shè)備上時，真金白銀就會丟失?！安恍业氖?，這種情況有了巨大的增長，電信公司并沒有為此或者解決這個問題做太多的努力。”Welch在談話中說道。

3.網(wǎng)絡攻擊

網(wǎng)絡攻擊涉及黑客瞄準比特幣用戶訪問各種web應用程序所需的核心基礎(chǔ)設(shè)施。MyEtherWallet曾看到過這種攻擊的一個例子，當時錢包提供商遭到了DNS黑客攻擊。

4.惡意軟件

惡意軟件攻擊通常與網(wǎng)絡釣魚結(jié)合使用，欺騙用戶下載惡意軟件，使攻擊者可以竊取賬戶憑證、私鑰等等。

5.供應鏈攻擊

大多數(shù)比特幣用戶可能并不太了解與供應鏈攻擊有關(guān)的威脅。這種類型的攻擊涉及向流行的設(shè)備（如硬件錢包）添加惡意代碼或硬件。

“很多人認為這是一個潛在的制造商可能會把這個放在那里，但也可能是一個流氓雇員，可能有一個流氓［生產(chǎn)合作伙伴］，”Welch在他的談話中解釋?！昂芏嗳藳]有意識到有多少公司實際上把他們產(chǎn)品的生產(chǎn)外包了出去。甚至非常大的頂級公司也把大量的工作外包出去。所以，它可能是一個流氓合作伙伴，合作伙伴的流氓雇員，甚至可能是一個滲透到這些公司的政府特工?！?/p>

6.物理脅迫

除了計算機安全，比特幣用戶還需要考慮物理安全性。涉及物理脅迫的攻擊通常被稱為“5美元扳手式攻擊”，因為再多的加密或數(shù)據(jù)安全性都無法阻止有人走近個人，并要求他們手里拿著扳手交出信息。

綁架、酷刑或敲詐也可能與這類襲擊有關(guān)。Welch表示，由于比特幣價格隨時間推移而上漲，這類攻擊的頻率也在增加?！耙驗楸忍貛攀强梢浦驳?，而且是不可逆轉(zhuǎn)的，所以恢復起來更加困難。因此，當這些資金成功時，要追回［被盜資金］是非常、非常困難的?！盬elch說。

Welch認為，政府查封是對比特幣用戶的另一種威脅，但歸根結(jié)底，這也可以被視為以暴力相威脅的盜竊行為。

7.兒童或?qū)櫸锕?/p>

兒童或?qū)櫸锕羰俏锢砻{迫攻擊的一個分支。在這里，像孩子或?qū)櫸镞@樣的親人受到暴力威脅或綁架，而不是比特幣的真正擁有者。

當然，贖金需求并非比特幣所獨有。幾年前甚至有一部電影講述了一位億萬富翁拒絕為他的孫子支付贖金的故事?！霸S多有錢人已經(jīng)習慣了（親人被綁架的威脅），但大多數(shù)比特幣用戶還不習慣這種情況?！盬elch解釋道。

8.內(nèi)部服務提供商攻擊

內(nèi)部服務提供商的攻擊涉及加密貨幣公司（如交易所或錢包提供商）的員工，利用他們對服務提供商的后臺的特權(quán)來收集客戶的個人信息或直接竊取資金。

9.平臺或主機攻擊

今天的大部分網(wǎng)絡都建立在云中幾個集中的基本基礎(chǔ)設(shè)施上，對于黑客來說，高度集中的云數(shù)據(jù)看起來就像一個巨大的寶藏箱。這與黑客傾向于攻擊交易所而不是單個用戶的節(jié)點一樣。

“所有這些數(shù)據(jù)都集中在一個地方，如果你發(fā)動攻擊，如果你能夠訪問那個云服務器，通常可以很快得到大量數(shù)據(jù)，通過竊取這些數(shù)據(jù)，然后再一次攻擊客戶，”Welch說。Welch指出，2012年對網(wǎng)絡主機Linode的攻擊就是這種攻擊的一個具體例子。

10.代碼依賴攻擊

代碼依賴攻擊與平臺和托管攻擊有些類似，因為它們還涉及一個依賴一些外部基礎(chǔ)設(shè)施的比特幣服務提供商。依賴于谷歌分析和Mixpanel等第三方工具的平臺需要確保這些外部代碼庫不會引入惡意Javascript代碼。
來源；區(qū)塊網(wǎng)