数百万比特币被锁定
迈克尔是一名欧洲加密货币持有者,两年前他发现自己陷入了困境。早在 2013 年,他就在一个受密码保护的数字钱包中存储了 43.6 BTC,当时价值约 4000 欧元或 5300 美元。
2022 年,当他向乔-格兰德求助时,这些比特币的价值已经飙升到了惊人的 200 万美元。
问题出在哪里?
迈克尔忘记了钱包的密码。他使用密码管理器 RoboForm 生成了一个 20 个字符的强大密码。
然而,他并没有将密码存储在 RoboForm 中,而是错误地用一个名为 TrueCrypt 的单独工具进行了加密。不幸的是,加密文件损坏了,迈克尔无法访问他宝贵的比特币。
寻求硬件黑客的帮助
在这场斗争中,迈克尔并不孤单。许多人因为忘记密码而无法访问加密货币。
他找到了乔-格兰德(Joe Grand),一位以擅长恢复丢失的数字资产而闻名的硬件黑客。
然而,格兰德最初拒绝提供帮助。他的专长是破解硬件钱包,而迈克尔的情况涉及软件钱包。暴力破解密码需要自动尝试数百万个密码组合,这似乎也不切实际。
随机性的缺陷
迈克尔没有气馁,2022 年 6 月,他再次找到格兰德。这一次,格兰德和他的合作者布鲁诺决定采取不同的方法。他们怀疑2013年使用的RoboForm'密码生成程序存在潜在漏洞。
在当时,该程序可能依赖于有缺陷的"伪随机数生成器",而不是真正的随机数。这就意味着,如果知道生成的日期和时间以及 RoboForm 使用的其他参数,密码就可能是可预测的。
有一个问题迈克尔记不起创建密码的确切日期。
缩小可能性
在信息有限的情况下,格兰德和布鲁诺做出了一些推测。他们知道迈克尔的第一笔比特币交易发生在 2013 年 4 月 14 日。
在此基础上,他们对 RoboForm 进行了配置,以便在 2013 年 3 月 1 日至 4 月 20 日的时间范围内生成与迈克尔可能使用的参数(字符长度、特殊字符等)相同的密码。
遗憾的是,这些尝试都没有得到正确的密码。
他们继续完善搜索,根据迈克尔对当时生成的其他密码的记忆,扩大了时间范围并调整了参数。
这个过程让双方都很沮丧,迈克尔不确定具体细节,格兰德和布鲁诺需要更多信息才能确定正确的密码。
幸运之神与财富的回归
终于,在 2022 年 11 月,经过几个月的寻找,格兰德和布鲁诺找到了金子。他们破解了密码!
密码生成于 2013 年 5 月 15 日格林尼治标准时间下午 4:10:40 时,不包含任何特殊字符。这个幸运的密码让迈克尔重新获得了丢失已久的比特币。
迈克尔找回钱包时,比特币的价值已经大幅攀升。每个比特币价值约 38,000 美元。
在格兰德和布鲁诺拿走一部分比特币作为他们辛勤工作的报酬后,迈克尔一直持有剩下的比特币,直到比特币的价值上升到每枚 62,000 美元时,他才决定卖掉其中的一部分。
截至目前,他持有 30 个比特币,在撰写本文时价值略高于 200 万美元,他预计这些比特币的价值将进一步攀升至每枚 10 万美元。
迈克尔认为,过去丢失密码是偶然的,因为这使他无法在比特币每枚价值 4 万美元时出售比特币,从而可能错失更可观的利润。
不过,这也反映了加密钱包固有的安全漏洞。如果白帽黑客能熟练地访问和恢复账户,这意味着拥有类似甚至更强能力的恶意黑客也能同样轻易地利用这些弱点。
恶意 Chrome 浏览器扩展窃取登录凭证
加密货币用户成为一种欺骗性攻击的受害者,这种攻击涉及一个伪装成合法 "Aggr" 应用程序的假冒 Chrome 浏览器扩展。
这个恶意软件窃取了用户的 cookie 数据,损害了他们的账户,尤其是 Binance 交易所的账户。这一事件凸显了未经适当研究就下载扩展程序的危险性。
该骗局于 2024 年 2 月首次曝光,当时一位名为"doomxbt"的 Binance 交易员报告说,他们的账户可疑地损失了 7 万美元。被盗资金最初存入加密货币交易所 SideShift。
通过社交媒体影响进行欺骗
调查发现,罪魁祸首是 Chrome 浏览器商店中的一个假冒 Aggr 应用程序。这个冒牌货提供了看似有价值的交易工具,但其实是一个木马。与正版 Aggr 不同,恶意版本包含的代码旨在从毫无戒心的用户那里窃取所有网站 cookie。
黑客随后利用这些被盗数据重建密码和用户密钥,特别是针对 Binance 账户进行未经授权的访问和盗窃。
用先令传播陷阱
攻击并不局限于创建虚假扩展。作案者在社交媒体上发起了一场推广下载的活动。这种策略被称为 "shilling",即雇佣有影响力的人传播正面口碑。
与这些有影响力的人相关的社交媒体账户在时间轴上充斥着交易术语,把假冒的 Aggr 说成是必备工具。这种策略很可能会说服毫无戒心的用户下载恶意软件,从而危及他们的金融安全。
始终坚持自己研究 (DYOR)
有影响力的人参与这场骗局,让人怀疑他们是否尽职尽责。目前还不清楚这些推广者是否知道假冒的Aggr'的恶意性质,或者只是忽略了在认可软件之前对其进行验证的重要性。
正如上文 Aler Auriega 的 X 号帖子所述、
只有一个真正的扩展,在他们的 GitHub 上,经过验证,是安全的。
这一事件有力地提醒了所有用户,在下载任何应用程序(尤其是浏览器扩展程序)之前,一定要自行调查(DYOR)。验证软件的合法性对于保护您的在线账户和数字资产至关重要。
加密货币钱包:安全性分析
为了保护您的数字资产,了解可用于存储的各种加密货币钱包至关重要。
加密钱包主要有三种类型:硬件钱包、软件钱包和纸质钱包。每种类型都提供不同程度的安全性。
冷钱包与热钱包
- 冷钱包 冷钱包不连接互联网,因此比热钱包更安全。硬件钱包是最流行的冷钱包类型。它们将私钥存储在一个类似 USB 驱动器的安全设备上。当您需要进行交易时,可以将硬件钱包连接到电脑上,除此之外,它一直处于离线状态,大大降低了黑客攻击的风险。
- 热门钱包 它们始终与互联网相连,因此更容易受到黑客攻击。软件钱包是最常见的热钱包类型。它们有多种形式,包括手机钱包、浏览器扩展钱包和桌面钱包。软件钱包虽然方便交易,但安全性不如冷钱包,因为它们一直在线。
热钱包的类型和安全考虑因素
- 移动钱包 作为应用程序下载,其功能与手机上的其他应用程序类似。虽然很方便,但如果您的手机被入侵,它们可能会受到恶意软件和黑客的攻击。
- 浏览器扩展钱包 是可下载的扩展程序,可与网络浏览器一起使用。它们可以快速访问您的加密货币,但由于依赖于浏览器的安全性,因此黑客攻击的风险很高。
- 桌面钱包 与手机钱包类似,但存储在电脑上。一般来说,它们不如手机钱包方便,但安全性可能会稍好一些,因为您的电脑可以采取额外的安全措施。
纸质钱包:通过实物保护确保安全
从技术上讲,纸质钱包并不是钱包,而是一张印有私人密钥的纸。如果存放得当,它们具有很高的安全性,但这也是一个挑战。纸张容易受到水、火和其他因素的损坏。此外,如果您丢失了纸质钱包,您也就丢失了加密货币。
选择最安全的加密钱包
硬件钱包被认为是最安全的加密钱包类型,因为它们将私钥离线存储在专用设备上。
然而,它们并非万无一失。
如果有人实际接触到您的硬件钱包和您的 PIN 码,他们就可能盗取您的加密货币。重要的是,要选择具有强大安全功能、信誉良好的硬件钱包,并对您的 PIN 码和恢复短语保密。
加密钱包安全面临的挑战和威胁
尽管加密货币钱包具有强大的安全功能,但它们并非无懈可击。用户必须意识到潜在的风险,才能有效保护自己的数字资产:
- 诈骗和网络钓鱼 加密货币行业普遍存在网络钓鱼行为。恶意行为者假冒合法的钱包提供商窃取私钥或恢复短语。用户应谨慎行事,在与钱包网站互动前核实其合法性。
- 丢失私人密钥或恢复短语: 遗忘或丢失私人密钥或恢复短语可能会导致永久性的经济损失。备份必须安全存储,不得与任何人共享。
- 硬件故障: 硬件钱包虽然坚固耐用,但也无法避免物理损坏或故障。用户应小心处理,并保存多个恢复短语的备份副本。
- 监管风险: 不同国家的监管变化会影响加密货币钱包的使用。随时了解当地法规和合规要求对用户来说至关重要。
- 第三方风险: 在使用在线钱包或交易所时,用户基本上是将自己的私人密钥委托给第三方服务提供商。这些服务提供商很容易受到黑客攻击或其他安全漏洞的影响。
用户责任对加密钱包安全的重要性
加密货币界有一句名言:"不是你的钥匙,就不是你的币",强调的是用户的安全责任。无论钱包类型如何,用户在保护其加密资产方面都扮演着重要角色。以下是一些提高加密货币钱包安全性的基本做法:
- 选择信誉良好的供应商: 选择信誉良好、值得信赖的供应商提供的钱包。在将您的贵重物品委托给钱包服务之前,请进行全面的调查并阅读评论。
- 保护私人密钥 处理私人密钥时要格外小心。将其保存在离线状态,切勿与任何人共享。考虑使用硬件钱包,以获得额外的安全保障。
- 启用安全功能: 如果您的钱包支持 2FA、多重签名或加密,请启用它们以加强安全性。
- 定期软件更新: 维护最新的钱包软件可确保您受益于最新的安全补丁和改进。
- 提高对网络钓鱼的认识: 警惕点击可疑链接或在网上提供个人信息。在与钱包网站互动之前,一定要核实其合法性。
保护加密货币安全的其他提示
以下是一些您可以采取的提高加密资产安全性的额外措施:
- 避免使用公共 Wi-Fi 访问加密货币钱包时。公共 Wi-Fi 网络通常不安全,可能被黑客渗透。
- 使用 VPN(虚拟专用网络) 来加密你的互联网流量并隐藏你的 IP 地址。这有助于防止黑客窃取您的登录信息。
- 分散投资。 不要将所有加密货币存储在一个钱包中。考虑使用冷热钱包组合来分散风险。
- 安全备份您的私人密钥。 如果您丢失了硬件钱包或忘记了 PIN 码,您将需要私钥来恢复加密货币。不过,重要的是要安全地存储私钥,切勿与任何人共享。
Kroo 加入英国挑战者银行行列,因安全问题禁止加密货币交易
英国数字银行 Kroo 正在对加密货币采取强硬立场,其主要原因是网络欺诈和骗局的增加。这一决定于 2024 年 5 月 30 日生效,禁止 Kroo 客户使用其账户进行任何与加密货币相关的交易。
Kroo's 对加密货币活动的限制
Kroo'更新的条款和条件概述了对加密货币活动的零容忍政策。如果银行发现客户使用其账户购买、出售或接收与加密货币有关的资金,他们将采取行动。
这种行动可能包括阻止交易、冻结账户,甚至在持续试图参与加密活动的情况下永久关闭账户。
该银行特别提到,他们将不再处理与加密货币相关的银行转账或银行卡支付。这实际上切断了客户使用 Kroo 账户进行加密货币交易的任何途径。
追随英国挑战者银行的发展趋势
Kroo'的决定与英国挑战者银行日益增长的趋势相一致。Starling 银行和英国大通银行等其他机构已经对加密货币交易实施了类似的禁令。这些旨在与老牌金融巨头竞争的银行正在优先考虑采取安全措施来保护自己的客户群。
对加密货币相关欺诈行为的担忧
涉及加密货币的在线欺诈行为的增加是 Kroo 和其他银行的一大担忧。加密货币的匿名性可能会吸引怀有恶意的人。骗子可能会利用加密货币交易洗钱或欺诈毫无戒心的受害者。
根据俄罗斯中央银行的数据,2023 年近一半的金融欺诈案件涉及加密货币。这凸显了传统金融机构在与不受监管的加密货币市场打交道时所面临的潜在风险。
全球银行敦促谨慎对待加密货币
Kroo'的决定反映了全球银行业更广泛的安全担忧。即使在美国这样的国家,美联储等机构也对银行拥抱加密货币持保留意见。
与加密货币和中央银行数字货币(CBDC)相关的潜在欺诈和骗局是人们关注的主要领域。
在加密货币世界不断发展的同时,像 Kroo 这样的传统银行也在优先考虑安全问题,与加密货币交易的相关风险保持距离。
加密货币可能是一种存在安全隐患的高风险投资。以下是关键要点的分解:
加密货币作为投资是否安全?
加密货币是一种不稳定的投资,这意味着其价格可能会大幅波动。与成熟的资产类别不同,加密货币在很大程度上不受监管,这可能会增加风险。
缺乏监管意味着,如果加密货币交易所破产或遭遇黑客攻击,无法保证你能拿回自己的钱。
加密货币的安全风险
- 骗局 加密货币诈骗非常普遍,犯罪分子利用虚假应用程序、钱包和电子邮件窃取您的私人密钥并访问您的加密货币。在投资一种新的加密货币之前,要警惕未经请求的提议,并始终进行研究。
- 有限的法律保护: 与传统的借记卡和信用卡消费不同,加密货币交易的法律保护较少。如果你的钱被骗了,几乎没有机会拿回来。
- 不可逆转的交易: 由于区块链技术的存在,加密货币交易通常是不可逆的。这意味着,如果出了问题,您无法获得退款。
在不确定的市场中保护投资
总的来说,加密货币可能是一种存在安全隐患的高风险投资。无论其他人声称它有多安全,没有什么是完全安全的。
了解这些风险并采取措施保护您的投资至关重要。数字资产的安全在很大程度上取决于用户的责任和意识。
就目前而言,选择离线硬件冷钱包被认为是较好的选择,可以避免在复杂的网络环境中频繁操作。然而,确保整个网络生态系统的安全是一项系统性工作。
可以说,最安全的做法是不赌博,不持有任何加密产品。
CaptainX
Alex
WenJun
ZeZheng
Dante
JinseFinance
Cheng Yuan
Clement
cryptopotato
Ftftx