2020年的春天是不平静的。除了在现实世界里躲避着肆意侵虐的病毒之外,在区块链世界里,用户们也正在遭遇着一波又一波的黑客攻击。一旦被瞄准,就无处可躲,防不胜防。从一月开始,提现地址篡改、项目被黑、资产转移事件层出不穷,直至巨鲸某用户被盗造成2.6亿损失,引发一片哗然。有不少被盗用户选择自救,仅在近第一季度,成都链安就收到了多位受害者的求助。
受害者A: 去年夏天将近50BTC存入某热钱包里,并把助记符多种方式备份。刚刚发现钱包里的BTC在情人节前后被全部转走,有一笔已被卖掉,需要安全公司的协助破案。
交易所B: 交易所再次发现超百万价值的数字货币被盗,与先前被盗方式几乎一样!经过排查怀疑是内部作案,但无法锁定证据。急需帮助监测地址流向,抓到凶手以挽回损失。
用户C: 花了近百万投资数字货币,因近期盗币事件频发,朋友向我推荐了某钱包,说该冷钱包已经过了时间检验、安全性高。在他的指导下进行下载,将全部资产转入这个冷钱包。几天后发现,账户内大部分资产被分批转走。能不能帮忙追踪资产动向,锁定转移人员。
这仅仅是三位受伤者向我们求助的问题,还有很多受伤者我们没有放出来。从数据统计发现,2020年钱包问题非常棘手,冷钱包、热钱包均受影响,且黑客攻击手法多样。
近两年来,区块链行业发展如火如荼,数字货币钱包的数量也与日俱增。但值得注意的是,大部分钱包开发团队普遍遵循业务优先原则,对自身钱包产品的安全性尚未足够重视,且相应安全标准严重滞后,安全防护落后。据成都链安调查,目前市场上最为主流的近20多款数字货币钱包近八成都存在安全隐患,主要风险有:用户操作被截屏/录屏记录、未监测软件运行环境安全、交易密码未检测弱口令、核心功能代码未加固、钱包APP伪造漏洞。黑客一旦瞄准钱包,找到漏洞,就会将账户货币洗劫一空。由于数字货币匿名、不可追踪等特性,资产一旦被盗,无法挂失难以追回。因此,加强对数字货币钱包的安全防护刻不容缓。
我们建议数字货币钱包服务商一方面应加强对钱包进行安全审计,另一方面要进行包括域名系统安全检测、主机实例安全检测、服务端应用安全检测等一系列审核。同时还要监控私钥、助记词、交易过程、数据存储的安全。为保障钱包安全、保护用户资产,成都链安推出数字钱包安全解决方案。方案从安全评估设计-安全审计-安全威胁发现(渗透测试)-出具检测和审计报告形成闭环,全方面保障钱包安全。
对于经常使用在线钱包的用户,在不同平台设置不同的密码,并且开启二次认证。此外,建议资产占有量较大的个人投资者最好将冷钱包与热钱包配合使用,根据具体使用需求分配使用冷热钱包,以便隔离风险。
对于不选择将资金存储在大交易所的用户来说,私钥的保护和个人信息的保护就是重中之重。最简单也容易实行的安全手段是环境分割,比如建立专门用于操作资金转移或者交易的一套系统,包括手机、邮箱等,将生活和交易分隔开。用于操作交易所的手机环境应保证纯净,不安装任何不必要的应用,不用于通信、聊天、娱乐等与交易无关的活动。对于私钥和助记词的保管,则建议使用原始但有效的纸张记录的方式,避免使用截图、截屏等形式通过网络传输。
热钱包和冷钱包各有优劣,根据情况选择使用能最大化优势、避免劣势的方式。使用冷热钱包时,建议配置为“热轻冷重”。热钱包存储需要频繁交易的资金,当收到盈利时可以选择将收益导入冷钱包长期存储,避免热钱包累积过多资金。冷钱包应只收钱而不向外转出,需要使用冷钱包资金时建议一次全部转出之后弃用已触网的冷钱包,避免重复使用。
选择一个适合自己的保管方式是关键。如果不幸发现自己的数字资产被盗,如果资产放在交易所里,应该先联系交易所调查分析被盗原因。如果资产是放在去中心化钱包里,很可能就是私钥、助记词泄露了。这时候可以联系成都链安,我们的AML系统可以对被盗资产
