在最近于拉脫維亞里加舉行的Baltic Honeybadger 2019會(huì)議上，Casa CEO Jeremy Welch就與比特幣安全有關(guān)的各種威脅發(fā)表了演講。在演講中，Welch列舉了13個(gè)比特幣用戶(hù)如何失去資金的例子。

這些威脅中有10個(gè)來(lái)自黑客的攻擊，而不是用戶(hù)錯(cuò)誤或硬件故障。讓我們仔細(xì)看看黑客試圖獲取您的比特幣私鑰的十種不同方式。

1.網(wǎng)絡(luò)釣魚(yú)

Welch在演講中提到的第一個(gè)黑客威脅是網(wǎng)絡(luò)釣魚(yú)，也就是一個(gè)攻擊者通過(guò)一個(gè)合法網(wǎng)站的假版本欺騙用戶(hù)提交他們的登錄憑證。軟件升級(jí)攻擊，例如困擾比特幣精簡(jiǎn)版錢(qián)包Electrum的攻擊，也屬于這一類(lèi)。

2.SIM劫持

劫持SIM卡是一個(gè)嚴(yán)重的問(wèn)題已經(jīng)有一段時(shí)間了，但手機(jī)服務(wù)提供商似乎對(duì)解決這個(gè)問(wèn)題不感興趣。雖然這種攻擊以前被用來(lái)攻擊傳統(tǒng)的在線賬號(hào)，但在一個(gè)比特幣和基于短信的雙因素認(rèn)證的世界里，當(dāng)受害者的電話號(hào)碼被轉(zhuǎn)移到黑客的設(shè)備上時(shí)，真金白銀就會(huì)丟失?！安恍业氖牵@種情況有了巨大的增長(zhǎng)，電信公司并沒(méi)有為此或者解決這個(gè)問(wèn)題做太多的努力。”Welch在談話中說(shuō)道。

3.網(wǎng)絡(luò)攻擊

網(wǎng)絡(luò)攻擊涉及黑客瞄準(zhǔn)比特幣用戶(hù)訪問(wèn)各種web應(yīng)用程序所需的核心基礎(chǔ)設(shè)施。MyEtherWallet曾看到過(guò)這種攻擊的一個(gè)例子，當(dāng)時(shí)錢(qián)包提供商遭到了DNS黑客攻擊。

4.惡意軟件

惡意軟件攻擊通常與網(wǎng)絡(luò)釣魚(yú)結(jié)合使用，欺騙用戶(hù)下載惡意軟件，使攻擊者可以竊取賬戶(hù)憑證、私鑰等等。

5.供應(yīng)鏈攻擊

大多數(shù)比特幣用戶(hù)可能并不太了解與供應(yīng)鏈攻擊有關(guān)的威脅。這種類(lèi)型的攻擊涉及向流行的設(shè)備（如硬件錢(qián)包）添加惡意代碼或硬件。

“很多人認(rèn)為這是一個(gè)潛在的制造商可能會(huì)把這個(gè)放在那里，但也可能是一個(gè)流氓雇員，可能有一個(gè)流氓［生產(chǎn)合作伙伴］，”Welch在他的談話中解釋?！昂芏嗳藳](méi)有意識(shí)到有多少公司實(shí)際上把他們產(chǎn)品的生產(chǎn)外包了出去。甚至非常大的頂級(jí)公司也把大量的工作外包出去。所以，它可能是一個(gè)流氓合作伙伴，合作伙伴的流氓雇員，甚至可能是一個(gè)滲透到這些公司的政府特工。”

6.物理脅迫

除了計(jì)算機(jī)安全，比特幣用戶(hù)還需要考慮物理安全性。涉及物理脅迫的攻擊通常被稱(chēng)為“5美元扳手式攻擊”，因?yàn)樵俣嗟募用芑驍?shù)據(jù)安全性都無(wú)法阻止有人走近個(gè)人，并要求他們手里拿著扳手交出信息。

綁架、酷刑或敲詐也可能與這類(lèi)襲擊有關(guān)。Welch表示，由于比特幣價(jià)格隨時(shí)間推移而上漲，這類(lèi)攻擊的頻率也在增加。“因?yàn)楸忍貛攀强梢浦驳?，而且是不可逆轉(zhuǎn)的，所以恢復(fù)起來(lái)更加困難。因此，當(dāng)這些資金成功時(shí)，要追回［被盜資金］是非常、非常困難的?！盬elch說(shuō)。

Welch認(rèn)為，政府查封是對(duì)比特幣用戶(hù)的另一種威脅，但歸根結(jié)底，這也可以被視為以暴力相威脅的盜竊行為。

7.兒童或?qū)櫸锕?/p>

兒童或?qū)櫸锕羰俏锢砻{迫攻擊的一個(gè)分支。在這里，像孩子或?qū)櫸镞@樣的親人受到暴力威脅或綁架，而不是比特幣的真正擁有者。

當(dāng)然，贖金需求并非比特幣所獨(dú)有。幾年前甚至有一部電影講述了一位億萬(wàn)富翁拒絕為他的孫子支付贖金的故事。“許多有錢(qián)人已經(jīng)習(xí)慣了（親人被綁架的威脅），但大多數(shù)比特幣用戶(hù)還不習(xí)慣這種情況?！盬elch解釋道。

8.內(nèi)部服務(wù)提供商攻擊

內(nèi)部服務(wù)提供商的攻擊涉及加密貨幣公司（如交易所或錢(qián)包提供商）的員工，利用他們對(duì)服務(wù)提供商的后臺(tái)的特權(quán)來(lái)收集客戶(hù)的個(gè)人信息或直接竊取資金。

9.平臺(tái)或主機(jī)攻擊

今天的大部分網(wǎng)絡(luò)都建立在云中幾個(gè)集中的基本基礎(chǔ)設(shè)施上，對(duì)于黑客來(lái)說(shuō)，高度集中的云數(shù)據(jù)看起來(lái)就像一個(gè)巨大的寶藏箱。這與黑客傾向于攻擊交易所而不是單個(gè)用戶(hù)的節(jié)點(diǎn)一樣。

“所有這些數(shù)據(jù)都集中在一個(gè)地方，如果你發(fā)動(dòng)攻擊，如果你能夠訪問(wèn)那個(gè)云服務(wù)器，通?？梢院芸斓玫酱罅繑?shù)據(jù)，通過(guò)竊取這些數(shù)據(jù)，然后再一次攻擊客戶(hù)，”Welch說(shuō)。Welch指出，2012年對(duì)網(wǎng)絡(luò)主機(jī)Linode的攻擊就是這種攻擊的一個(gè)具體例子。

10.代碼依賴(lài)攻擊

代碼依賴(lài)攻擊與平臺(tái)和托管攻擊有些類(lèi)似，因?yàn)樗鼈冞€涉及一個(gè)依賴(lài)一些外部基礎(chǔ)設(shè)施的比特幣服務(wù)提供商。依賴(lài)于谷歌分析和Mixpanel等第三方工具的平臺(tái)需要確保這些外部代碼庫(kù)不會(huì)引入惡意Javascript代碼。
來(lái)源；區(qū)塊網(wǎng)