custom_header
特別報導

【TIME】【FORTUNE】全球中文獨家授權

五種常見的威脅,告訴你駭客如何偷走你的比特幣

2017/12/21 , 評論
FORTUNE
Photo Credit: Reuters/達志影像
FORTUNE
財星雜誌是商業財經媒體中的全球領導者,旗艦內容包含全球前五百大企業報導、百大最佳企業雇主。

文:JEFF JOHN ROBERTS
譯:張書豪

這星期(12月8日)有一家比特幣挖礦平台被駭客盜走總值6,400萬美元的比特幣,再次證明數位貨幣是多麼吸引詐騙客和盜賊。

這樣的報導會嚇跑業餘的投資人,他們怕的不只是比特幣不穩定,還怕它不安全,對比特幣而言,這不完全公平,實際狀況是比特幣是安全的,而且一般人無須花太多功夫就可保障它的安全。真正的問題是,並非每一個人了解比特幣是如何運作的,導致他們所做的決定讓他們遭受盜竊。

從下面這些例子的描述可明瞭,盜賊偷走別人比特幣的五種常見手法,不過在這之前,先簡要說明比特幣的運作方式及它的安全性。(如果你已經熟知,可跳過此段。)

比特幣的技術如何保護你的資金

你可以把比特幣想成是打包好的錢放在安全的存款箱,接著要考慮的問題是,你想自己操作此箱子,還是委託第三者幫你操作。

大多數一般的投資人選擇後者,購買和儲存比特幣交給一家平台辦理,譬如Coinbase,這是合情合理的選擇,因為這些比特幣平台全靠安全特點建立的,就像如果你自己持有比特幣,你會做的一樣安全。

另一個選擇就是自己親自取得一個比特幣錢包,這需要記錄保有兩串稱作「公共鑰匙」和「私人鑰匙」的字元代碼。你可以把公共鑰匙想成是你的存款箱的存入口,任何人可通過這個存入口給你比特幣,而私人鑰匙則是只有你知道如何開啟存款箱的機密方法。

基本上比特幣的設計就是不可能猜到私人鑰匙,也就是說,沒有人可以駭進或強行侵入你的錢包/存款箱。

意思就是說,比特幣會被偷走的唯一途徑,就是盜賊設局使你或你信賴的第三者讓他得手,或是第三者洩密。以下是事件如何發生的一些案例,以及怎麼防範的建議。

一、盜賊在平台取得你的帳戶密碼

發生緣由:如果你採用如Coinbase的平台,你毋須那麼麻煩去記「公共鑰匙」和「私人鑰匙」,你只要用一個使用者代碼(通常是電子郵件地址)和初步的密碼,如同網路銀行作業。

藉著取得你的密碼,也讓盜賊更易於盜取你的比特幣。他們最常見的做法,就是駭入客戶的電子郵件帳戶,再跟Coinbase平台(或任何你在用的平台)申請重設密碼,重設後的密碼發送到遭駭的電子郵件帳戶,進而讓盜賊取得比特幣資金

如何預防:首先將你的電子郵件帳戶,建立雙重驗證的防堵機制以封鎖駭客,你也要在你的比特幣平台做同樣的動作。就Coinbase平台而言,該公司已採雙重驗證的登入程序,包括密碼及簡訊收到的文字代碼,不過由於簡訊可能被攔截,你最好利用諸如Google的電腦應用程式為基礎做為驗證。(聽起來好像很複雜,實則不然。就像基本的電腦防護一般,只要是需要密碼保護的網路線上作業,你都應該這麼做。)

二、你的私人鑰匙暴露

發生緣由:再次強調,這樣的風險只存在於你管理自己的錢包,而不是採用如Coinbase的平台。在這種情況下,其他人可能透過進入你的電子郵件(如果你的私人鑰匙存放在此),或是在現實世界看到而取得私人鑰匙。一個著名的例子就是,某人在電視節目上展示其私人鑰匙,駭客很快地複製此鑰匙,進而淘空其錢包。

如何預防:將你的私人鑰匙離線存放在一張紙上或是在隨身碟裡,並置於某個安全的地方,譬如實體的保險箱。

三、駭客假扮成比特幣接受者

發生緣由:當公司發起所謂的「首次代幣發行」(一種募資方式),要投資人傳送比特幣給公司,今年就發生多起關於比特幣遭駭客駭入的事件。確定的事例中,聰明的駭客偽造網站假扮成公司,並說服投資人將價值百萬元資金的比特幣傳送到另外的錢包,一旦比特幣傳送出去,一切都無可挽回,因而造成公司與投資人的損失。

如何預防:當你打算移轉比特幣資金給某人,要確認錢包地址是真的。

四、你信賴不安全的第三者

發生緣由:這星期知名的NiceHash比特幣挖礦平台被盜走總值6,400萬美元的比特幣,發生原因似乎是駭客入侵一位員工的筆記型電腦,再進入公司的支付系統,一旦駭客進入,很快即截獲公司比特幣其中一個錢包,裡面包括屬於NiceHash客戶的資金,全部被淘空。

這類型的意外事件,有一點像駭客入侵Target的支付系統,並盜走客戶的信用卡資料。對於比特幣的持有者來說,他們往來的這家公司,並無恰當的網路安全性措施,更糟的是,不像Target breach,幾乎無人可獲得賠償損失的錢。

如何預防:審慎挑選你採用的比特幣平台的公司。

五、出場騙局

發生緣由:一家提供比特幣相關服務平台的公司,諸如比特幣交易,或一個持有比特幣帳戶客戶聚集的市集。往往在宣稱被駭客入侵後不久,突然公司就消失了。實際上,公司所有人做了一個出場騙局,帶走其客戶的比特幣,從網路世界中消失。

如何預防:出場騙局經常是與網路黑暗角落,或是無信譽的隱蔽性投資機構有關,如果你是喜歡將比特幣流連在這種地方,噯,那唯一的忠告是「風險自負!」

© 2017 Time Inc. 版權所有。經Time Inc.授權翻譯並出版,嚴禁未經書面授權的任何形式與語言版本轉載。

責任編輯:朱家儀
核稿編輯:翁世航

專題下則文章:

想聽真正寶貴的意見,離開你的辦公桌先

【TIME】【FORTUNE】全球中文獨家授權:

《關鍵評論網》獨家獲得時代雜誌與財星雜誌全球中文數位版授權,將每日提供兩大媒體品牌文章的中文譯文,題材涵蓋國際政治、財經、科技、文化、歷史、生活、娛樂等各領域。

看完整特別報導