首发:
https://www.jianshu.com/p/c8a4e2bb91f8第一坑:忘记钱包的PIN或密码对!你没看错!不止一人踩过的坑就是忘记密码或者PIN。你可能会觉得这些人也太傻了,私钥就是钱,这么马大哈怪得了谁?在去中心化的网络里,都不能打电话给银行客服来重新设置密码,因为你就是自己的银行!忘记了密码就只能打碎牙往肚子里咽啦。
但古往今来,忘记密码的人不知道有多少。我们唯一能确定的是,同样的事情还会持续不断地发生。作为吃瓜群众能做的事情,就是帮忙在坑边上放满警示牌,提醒后来者。
类似的事情一般是这样的:就在前几天,reddit用户lostjmpass(马甲账号)发了一篇帖子,声称TA忘记了joinmarket钱包的一半密码,然后里面大概有
几十万美刀吧[1]。
不幸中的万幸,lostjmpass只忘记了一半的密码(密码有6个字母),TA还记得12个助记词还有另一半的密码。这也就表示暴力破解是可行的。但lostjmpass技术不流利,没办法自己暴力破解。所以TA提出,只要有人提供给TA一个暴力流破解的工具,并且最后安全地拿到了币,那么lostjmpass会支付一共2.5万美刀的赏金。
好笑的是,在第二天,
lostjmpass忘记了这个马甲账号的密码,不得不又重新注册了一个马甲
lostjmpass2,自己都不得不吐槽自己智商下线。
从这个事件中我们可以看出lostjmpass至少犯了三个错误:
1. 过于自信,备份了助记词但忘记了密码
2. 把所有的钱都放在一个钱包里
3. 把钱都放在一个热钱包里
但马大哈lostjmpass至少还是幸运的,TA有所有的助记词,并知道其中一半的密码,所以可以在一定的时间内暴力破解。TA要是所有都不记得,直接暴力破解私钥需要多久呢?
吃瓜网友随手一算,大概世界上最快的计算网络要算65京年[2]。你问我京是个什么单位,0000000000000000,16个0。随口说个题外话,宇宙的年龄大概是138亿年。亿大家都知道,00000000,八个零。
第二坑:丢掉硬盘在2012年的时候,Campbell Simpson扔掉了一个250GB的普通硬盘。这个硬盘有些磨损老化,寿命不长了,Simpson决定让它退休。在这个硬盘里面,存着一个几kb的文件。这是一个比特币冷钱包。回溯到2010年,那时比特币只有1.5分美金,Simpson买了大概25美金的比特币。Simpson不相信任何的线上服务,决定把私钥放在一个移动硬盘里。但同时,一个250GB的硬盘只存几kb的文件多可惜啊,所以他在这个硬盘里存了很多其他的内容,音乐,电影,照片,习题等等。这之后的一年时间内,Simpson和女友同居又分手,搬家的过程中,他整理到了这个一息尚存的硬盘。他想,里面的音乐啦电影啦哥都备份啦,哥还有好几个更好的硬盘,这个就光荣退休吧。
大概几个月之后,Simpson想到了这个硬盘里还有宝马广告短片The Hire没有备份,网上资源很少顿时觉得非常可惜。他又想了想硬盘里还有什么其他东西没有备份的。突然想起:哎呀还有1400个比特币!那时候比特币大概是2.5美金上下浮动。所以瞎算算大概有4000美刀吧。Simpson有点不爽但也觉得还好。
后来故事大家都知道了,比特币价格前所未有地像火箭一样向上发射。坚强的Simpson写了一篇文章,叙述了这一段令人心酸的心路历程[3]。
可能有朋友会觉得,Simpson丢币仅仅是因为他没有对其引起足够的重视。但机智的吃瓜群众稍微一分析就应该能在这个事件中发现以下值得重视的几点:
1. 所有的币都放在了同一个钱包里
2. 这个钱包的私钥没有备份
3. 私钥并不是存储在一个离线钱包中(一旦移动硬盘联网,这个私钥就不是离线的)
4. 移动硬盘并没有加密,即使不是被Simpson丢掉,也有可能被朋友/家人借走使用格式化/删除文档
另一个活生生的例子是Reddit网友me_is_idiot(这个马甲名不能更贴切)在去年的时候把存了150个比特币的硬盘给扔垃圾桶里了。他五年前给未来的自己写的
不要丢掉这个硬盘的小纸条,也没办法阻止他把这个硬盘给不小心丢了。
第三坑:黑客袭击这个坑是一个尸骨无存级别的,大部分属于被盗了都不知道是怎么被盗的。简单举几个例子。
2011年的时候,bitcointalk网友allinvain发了个帖子,声称自己2.5万个比特币被黑客盗取[4]。是的,你没有看错,不是2.5万个美元,是2.5万个比特币。事情的经过也是很简单,allinvain发现自己slushs pool矿池的密码和比特币付款地址被更改。一个晚上过后发现,所有存在电脑私钥里的比特币都被偷走了。allinvain把私钥(存储在wallet.dat文件内)放在平时使用的Windows电脑里面,也就是说TA的私钥是随时联网的。TA的电脑被病毒袭击之后,私钥也就被泄露了。
2016年的8月份,Jered Kenna发现自己的两个邮箱密码被篡改[5]。他试图更改密码的时候发现手机收不到短信验证码。打电话给运营商之后发现,自己的手机号已经被移动到了另一个公司旗下(可以转移运营商且不更改电话号码),并且被黑客的Google Voice账号关联上了。所有的短信验证码都发到了黑客手中的电话号码里。通过更改邮箱密码,黑客瞬间坐拥了Kenna的至少30个账号,其中包括两个银行账号,PayPal,还有两个比特币服务,更重要的是Windows账号登陆他个人电脑的关键信息。Kenna很早就是一个矿工了,他刚开始的时候比特币网络只有区区个位数的电脑在挖矿。所以这次攻击Kenna也是损失惨重。
Kenna和allinvain一样都是把私钥放在了电脑里:
1. 私钥完全联网,使得网络攻击有了可乘之机
2. 所有的币都在一个钱包里,且没有备份。
当然,黑客并不会只攻击个人[6]。
2012年的时候,交易所Bitfloor声称被攻击,丢失了2.4万个比特币。Bitfloor直接破产。
2014年的时候,交易所Mt. Gox声称被攻击,丢失了85万个比特币,Mt. Gox直接破产。
2015年的时候,交易所Bitstamp声称被攻击,丢失了1.9万个比特币,没破产。
2016年的时候,交易所Bitfinex声称被攻击,丢失了12万个比特币,没破产。
2017年的时候,矿池NiceHash声称被攻击,丢失了4700个比特币,没破产。
当然这个榜单并不是全部,还有好多钱包公司被攻击跑路,小交易所被打趴,等等事件没法一一列举。
那怎么办?看到这里,我们来简单总结一下防止此类事件再次发生的措施:
1. 离线并安全生成使用私钥。也就意味着在生成,和使用过程中,任何设备比如说电脑,打印机都不能联网。且使用安全可靠的地址生成方法。
2. 离线使用私钥。私钥一旦联网就可能被网络袭击,除非是硬件钱包,否则每次使用都需要转移钱币。
3. 狡兔三窟,不把所有的钱存储在一个钱包里。
4. 合理保存私钥/助记词/PIN/密码,并备份。
5. 心理上引起足够重视。
看完这么多案例和分析,现在我只想说一句:你们这些富人的烦恼真是光想想就很有意思呢。
[1]
https://www.reddit.com/r/joinmarket/comments/8a52jb/lost_my_mnemonic_extension_password_but_i_know/?st=jfqwwlka&sh=c8d0a112[2] [https://bitcoin.stackexchange.com/a/2852](
https://bitcoin.stackexchange.com/a/2852)
[3] [https://www.gizmodo.com.au/2017/05/i-threw-away-4-8-million-in-bitcoin/](
https://www.gizmodo.com.au/2017/05/i-threw-away-4-8-million-in-bitcoin/)
[4]
https://bitcointalk.org/index.php?topic=16457.0[5] [https://www.forbes.com/sites/laurashin/2016/12/20/hackers-have-stolen-millions-of-dollars-in-bitcoin-using-only-phone-numbers/#170139bc38ba](
https://www.forbes.com/sites/laurashin/2016/12/20/hackers-have-stolen-millions-of-dollars-in-bitcoin-using-only-phone-numbers/#170139bc38ba)
[6]
https://blockgeeks.com/guides/cryptocurrency-hacks/
此篇内容为币惠存原创。致力于慢吞吞但有质量的原创内容。