Bitfinex、The DAO、Gatecoin等等,都体现了比特币和加密货币领域的安全漏洞,2016年行业企业也频繁遭到恶意攻击。
今年我们看到大型企业遭到多次黑客攻击,证明恶意攻击者可能仍然威胁着加密货币初创企业,让区块链行业的用户和投资者暴露在风险之下。
现在初创企业和投资者都在备战2017,我们一起回顾一下今年的一些重大事故,希望2017年黑客的运气差一点。
2016上半年:中心化服务攻击
中心化服务(大量加密货币)总能吸引黑客展开攻击。
而且需要注意的是,这段时期内三个加密货币交易所遭到攻击的方式是完全不同的。一些消费者希望可以防范中心化数字货币存储的风险,然而实际情况让他们处境艰难。
比如ShapeShift遭到内部人员攻击,损失了大量资金;而Gatecoin和Bitfinex资金损失来源于外部攻击(目前他们正在努力归还消费者资金)。
还有今年最大的黑客事件The DAO。
3月份去中心化风险投资基金The DAO从全球数字货币投资者那里获得了大约1.5亿美元。
不幸的是,黑客利用The DAO代码提取了5000万美元的以太币,挑战了智能合约和“代码即法律”的承诺。我们必须清楚,智能合约只是软件,就不可能避免逻辑漏洞带来的安全缺陷。
就像把钱投到交易所一样,你也应该仔细考量智能合约和去中心化解决方案,它们是如何工作的,怎样保护个人资金。
2016下半年:个人成为攻击目标
随着加密货币领域的服务开发,安全标准升级,黑客开始瞄准较容易的目标,比如个人用户。
福布斯报道,即使Jered Kenna等精明的比特币领域专家也没能避开这波攻击。
2016下半年加密货币领域部分人的电话号码被盗。黑客利用所谓”社会工程“向电话运营商发出请求,说服技术支持工程师将他们的电话号码切换为黑客掌控的号码。
这种做法十分阴险,因为手机短信和电话号码是很多日常服务的常用验证机制,包括谷歌、脸书和一些加密货币服务。
一些情况下,你的电话是重置密码或者登录账户的单一因素。你的电话运营商用尽可能低廉的劳力来维护你的数字化服务,他们的技术支持工程师不总是遵循安全流程。
最好的做法是将所有可能用到手机号码的服务与你的手机解绑。还有一个最佳方案是,将个人账户设置密码,并设定SIM卡或运营商更换的前提是本人在现场进行实名验证;当然这也不是万无一失,因为运营商不一定遵循安全操作流程。
关于社会工程,请注意保护存储个人保密信息的服务,比如脸书、推特和领英。
因为黑客可以采集这些信息,用来获取个人账户。仔细考虑个人安全问题的解决方案,确定别人是否会通过脸书档案对你进行攻击。
而且如果你在多个网站重复使用相同用户名和密码,最好考虑更换。在每个网站采用基于硬件或者设备的双因素验证。
还有骗取个人秘密信息的钓鱼网站,黑客都会一直购买关键字广告,让他们的恶意网站总是显示在网页搜索结果的顶端。
展望2017
2016是黑客的丰收年,然而2017年可以扭转局势。
我们应该多加关注,用高级的防护措施保护个人账户和企业账户,就可以营造更加安全的加密货币生态。
然而我们做的还不够。期待2017年该行业可以大量投入到区块链隐私保护技术和身份识别方案的开发。
译者:Annie_Xu 文章来源:http://chainb.com/?P=Cont&id=3164 原文链接:http://www.coindesk.com/bitcoin-security-in-2016-a-tale-of-two-weaknesses/ 原文作者:Bill Shihara 特别申明:区块链行业ICO项目鱼龙混杂,投资风险极高;各种数字货币真假难辨,需用户谨慎投资。blockvalue.com只负责分享信息,不构成任何投资建议,用户一切投资行为与本站无关。
相关文章
头条焦点
精彩导读