【EBTC·未来洞见者大会】零时科技CEO邓永凯:你的数字资产真的安全吗?
11月6日,由耳朵财经主办,币小白、二拾三度五、耳朵矿场、Bitmobi以及Ear Fund协办,百慕大总冠名的“百慕大之夜EBTC·2020”颁奖晚宴圆满结束。本次晚宴邀请了30多位顶级嘉宾、100家行业媒体以及500名合作伙伴和行业精英齐聚一堂共同探讨区块链的未来,洞见机遇,抓住趋势。
零时科技CEO邓永凯在活动现场发表致辞,精彩内容整理如下:
各位朋友,大家晚上好!非常感谢海祥,感谢耳朵财经的邀请,我们一块来聊一聊数字资产的安全问题。
说到数字资产,可能在座的每一位手里都有比如说比特币、以太坊,但它真的是属于你吗?或者是你觉得它在你的钱包里就很踏实吗?这绝对是不一定的。
我简单介绍一下我们公司,我们主要是做区块链安全的,所以大家可以记住我们是一家安全公司。首先给大家解释两个名词,一个白帽子和黑客。黑客大家都听过,干坏事的、偷我们币的。但白帽子不一样,也属于黑客群体,但不是做坏事的黑客,不是以非法手段牟取利益的群体,是以技术手段帮助我们网络,帮助我们的信息和数据更安全的群体,比如说我们现在的团队都是出身于白帽子团队,发生了我们问题会交给社区、项目方、企业,协助他们修复,可以把白帽子理解成正义的黑客。所以安全世界里存在两类人在不停进行博弈。
10年前可能大家那个时候没有数字资产的概念,那时候用法币纸币,但是黑客也可以把纸币盗走。在10年前美国一个最高级别的黑客大会上,黑客现场拿了一台ATM机,可以让ATM不停的吐钱。10年后的今天,中国也有这样的黑客大赛,10月24号中国举办了黑客破解大赛,有很多白帽子群体破解了很多设备和软件。现场黑客用了15秒就可以破解我们的特斯拉,让特斯拉直接致盲,刹车系统瘫痪,包括车系统等等都现场遭到破解。有很多方法和技术可以盗取我们的信息、数据,包括我们现在的数字资产。
这些黑客对于我们手里的比特币,对我们手里的数字资产他们已经青睐很久了,黑客是无往不利的,对金钱的嗅觉是非常敏感的。加之数字资产的特性,比如我们去中心化的给黑客带来了便捷,因为数字资产的特性用户操作比较困难,而且保存也比较麻烦,而且门槛非常高。我们经常都会收到谁谁谁的数字货币给盗了的问题,能不能查一下谁把钱盗了。安全事件在整个区块链行业里是屡见不鲜的。
通过我们的研究和总结,所有丢失数字资产的原因大概有这几个类别,各种各样的安全漏洞导致系统被人攻击,私钥被人拿走了,手机、电脑、办公网络被恶意攻击,中毒或者钓鱼了,导致资产丢失。第三大原因自己的操作失误,因为操作比较复杂,所以操作过程中导致自己的资产丢失了。
安全漏洞是最容易出现的,也是黑客最容易利用的。黑客有各种方法利用他的技术手段去找到你的系统安全漏洞,比如说交易所、智能合约的漏洞,在安全世界里只要是人写的代码基本上都会出现漏洞,没有谁说他写的代码是100%安全。所以说只要是人写的代码都会出现漏洞,人其实就是最大的漏洞。人在黑客手里是最大利剑盗取我们的数据和资产。
还有APT攻击是比较高级的攻击手法,是高级可持续性的威胁。举个例子,之前有个段子说有个技术人员,他给一个交易所投了一份简历,去交易所上班了,技术比较厉害,半年后他掌握了公司很多服务器,包括热钱包等等服务器的权限,他半年后因为各种原因离职了,离职后之后交易所钱包被盗走了,是很简单的APT的攻击。现在整个区块链行业里,特别是交易所和项目方,还有供应链团队APT攻击已经到了泛滥的阶段。
还有安全意识的问题,个人安全意识导致账号、私钥丢失了,加上数据泄露。为什么通过一个QQ邮箱就可以获取我的账号密码,这很正常,现在很多互联网的账号密码数据被泄露了,在互联网暗网里进行售卖转发,导致这些人把数据收集起来,有可能你都不知道注册了哪些平台,可能这些数据被黑客盗了,数据搭建了系统,可以查到所有的信息,包括历史使用的所有密码。通过账号问题导致资产被丢失了。
这有个网站可以查一下,输入邮箱这些可以看哪些平台注册了账号,有没有把你的账单和密码泄漏出去,这个平台是可以直接查的。还有包括现场的WIFI,还有短信,WIFI可能大家都知道,比如去过咖啡馆、星巴克都知道,发个文件连接一下WIFI,没有密码的WIFI并不是真正公共场合的WIFI,可能是人家搭载钓鱼的热点,可能截取你的信息,上网的痕迹,登录的密码。
还有短信,只需要两个设备就可以劫持现在所有人的短信。第一个设备是摩托罗拉的C180手机,被拆掉了,其实它很小。第二个设备是信号屏蔽器,可能现在所有人用的是4G,这个设备拿到现场就没有4G信号,只有2G信号,大家收到短信发出去的短信都可以通过我们的工具抓取到,比如说下面它收到一条美团外卖的短信。包括短信、WIFI在现场都是可以直接演示,大家的数据都可以抓取到。还有转账时登录帐号是短信登录,包括转比特币有时也需要短信验证,只要拿一个短信可以干很多事情。这些攻击手法手段可能大家觉得离我们很遥远,其实很近,而且都是非常容易做到,成本非常低。
包括现在手机,很多人用的苹果手机,觉得苹果手机比安卓更安全,因为苹果手机里的软件,大家普遍觉得苹果手机比安卓手机安全,但其实不是这样的,不管是安卓还是苹果手机,包括之前的其他手机它都有针对性的恶意软件攻击你。举个例子,我们当时尝试过国内很多钱包,包括交易所APP,我可以给这个APP上绑一个木马,这个原始APP跟绑了木马的APP你是感觉不到区别的,安装之后所有的功能、操作、页面都是一模一样,如果装到你的手机上打开了,这时候我的后台就可以收到你手机上的数据,包括看你相册,上网内容都可以看到。而且这个APP跟原始官方下载的APP是一模一样的。所以说这告诉大家什么呢?不要在非官方渠道去下载一些APP软件装到自己的手机上,现在很多社区里发一个安装包,甚至有些人把安装包扔在网盘上,从网盘上下载,网盘上知道从哪来的吗?不知道。绑一个木马放到群里大家安装,得出来的货币就是我的,因为你手机上的任何信息我都可以看到。不要觉得这很遥远,其实很简单就可以做到。
2018年时有一个很疯狂的勒索病毒勒索了近20亿美金的比特币,一年时间达到20亿美金。这种黑客组织拿恶意软件通过各种渠道抓取我们的电脑、PC、办公机、笔记本、手机,都有针对性的恶意软件去做攻击。
还有钓鱼,大家很多人收到邮件,邮件里发一个附件,领导找你谈话,给你涨工资,可能利用你身边人的口吻给你发邮件,邮件里发一些附件。当你打开附件时后面恶意程序做了很多操作,可能电脑就沦陷了。还有发消息说恶意被我黑掉了,数据被我加密了,给我交比特币,不交就把敏感信息公开出去,这种勒索事件经常有。上个礼拜就收到这样的邮件,看勒索钱包的比特币地址一天就收到了3个比特币。这是广撒网,只要有人中招交赎金就能赚钱,各种各样的网站都是钓鱼网站,充进去的钱基本上拿不回来。大家在投资项目时安装软件时一定要看清楚。
最后一个家贼难防,我们可以帮大家解决安全漏洞,提高大家的安全意识,也可以尽可能防御减少黑客攻击,但怎么也防不了人性的贪婪。很多技术团队干着干着就跑路了,跑路之后项目就搞掉了,很多项目方或者很多交易所出现问题,有可能是自己走掉了,但把锅扔到黑客手里。
有这么多风险怎么让比特币更安全,让它真正躺在我们的钱包里。第一个最重要的安全意识,安全意识关系到每一个人,不管是我们保存数字资产,还有上互联网,包括我们一些账号,都要提高安全意识。免费的WIFI就不要用了,一些不知名的软件邮件不要点,下载尽量去官方下载,不要轻易将手机和电脑交给不信任的人使用。我拿了你的手机只需要几秒钟时间就可以把信息导出来,还有比如进入到一个实验室里,进去就可以在手机里植入木马。还有怎么保存助记词,怎么保存私钥,怎么使用钱包,不要把助记词和私钥放在网上,也不要通过现在使用的QQ、微信、钉钉传我们的私钥。只要连了我的WIFI就可以把你信息抓取出来,你所有东西我都能看到。尽量写在一个纸上,放在你保险箱里,不要把私钥导到陌生未知的软件里。
交易过程要注意安全,交易时一定要看清楚网页是不是官方网页,APP是不是官方APP,平台账号一定要开启两步验证,尽量不要用短信两步验证,要用谷歌的两步验证。在转账时把地址看清楚,多复制几遍,因为出现过一个事件,有两种情况,一种情况在转正时把地址输错了,20万USDT找不出来了,还有种情况手机有可能,恶意软件在复制地址后,你在另外一个软件去粘贴,粘贴过程中有一到两秒的时间差,恶意软件就可以把复制地址替换掉,最后转账时不检查直接转到恶意地址里去了。所以交易过程中也要注意安全。
把自己的钱包监控起来,有个资产监控小程序,很多人不敢把钱放到交易所里,把钱放到去中心化的钱包里,但不可能时时刻刻去看去中心化钱包,每天打开看在不在,那天忘了,那天如果丢了是不知道的。所以可以把钱包地址绑在我们的小程序里,如果资产发生变动可以第一时间通知,在微信上给你发消息。
还有如果资产一旦丢了,不是说100%找不回来,具体看你是怎么丢的,有一种情况是可以找出来的,因为黑客把你的钱盗走之后可能不动,有可能很快转到其他平台洗掉了。这过程需要时间,打时间差。
举个案例就在9月份,一个用户91万丢了,给我打电话说哪找,那时候黑客的钱在钱包里没有动,没有任何交易,没有交易肯定找不回来,也不知道是谁,把地址放系统里做监控,过了三天后把钱分了很多批转到一个交易所地址上,交易所我们标记了,但不能100%确定,因为是大数据确定的,后来问了客服确实是那个地址。后来把它冻结了,之后可以找到这个人是谁,因为币安有手续必须有备案书才能调取,我们去报案后警方出了协商函,之后把信息提供给客户了。整个过程中不是找不回来币,即使找不回来数字货币也可以找到是谁偷了你的数字货币,但也得看情况,如果一直没有交易是找不到的。只要有交易,标记了就能找出是谁。如果丢了可以尝试联系专业的团队做溯源和监控。
除了刚才讲的很多威胁到数字资产的问题,包括怎么做加强数字资产的保护,我们也提供了很多这样的安全审计服务,保护用户和客户的资产安全。
谢谢大家!
责任编辑:言一