7,000 个比特币从 Binance 被盗，交易平台上的安全层仍然经常被黑客攻击。 我们应该做什么？

白话区块链

从入门到精通，看我！

几个小时前，币安发布公告称，币安今天凌晨发现大规模系统性攻击，黑客从币安比特币中盗走了7000 BTC。

虽然币安反应迅速，发布公告称将动用“SAFU基金”全额承担本次攻击的所有损失，没有用户有任何损失，但消息一出，市场出现恐慌情绪，市场立即大幅下跌。

交易平台动辄被盗，被人笑为“”。 为什么那些年薪百万的技术人员就无法阻止黑客的攻击呢？ 如果连交易平台的技术人员都挡不住，那我们这些没有技术背景的普通人自己保管加密资产会不会更危险？ 丢币的原因有哪些？

01

丢币可能是区块链项目本身的安全问题

区块链项目本身的安全问题一般指以下几点：

首先是协议本身存在漏洞。 例如，2010年8月15日，黑客发现比特币存在协议漏洞，黑客发送了一笔交易，输出了184亿比特币。 ，因为代码被发现存在漏洞，导致超过300万个以太币被黑客锁定。 以太坊上还有BCE和SMT两种ERC-20 Token存在代码漏洞交易btc账户被冻结，上百亿Token直接被黑客刷走。

二是节点钱包存在漏洞。 节点钱包是区块链项目P2P网络的基本单元。 比如比特黄金BTG的节点钱包被注入了木马，盗走了用户的钱包，导致大量币丢失。 以太坊的节点钱包Parity也因漏洞冻结了数亿美元合约账户中的Token。

还有第三种，被认为是边缘的，非节点钱包存在漏洞。 这些钱包一般都是开源项目，比如比特币SPV钱包（比如BitGo）和以太坊轻钱包（比如MyEtherWallet）。 这种类型的钱包很多，软件会有bug，往往会造成漏洞，严重的会出现盗币现象。

区块链项目本身的漏洞并不是币被盗的主要原因。

02

丢失硬币可能是计算机系统的安全问题

最好理解计算机系统的安全性。 一般黑客通过劫持安装了Token的用户电脑或手机，获得管理权限，从而窃取用户的私钥文件和密码。

黑客如何劫持用户电脑是另外一系列的安全问题，比如操作系统本身的漏洞、第三方软件带来​​的漏洞、路由器等网络设备被破解等等。

03

丢币可能是自研软件的安全问题

交易平台需要开发一套完整的软件，涉及到交易平台的撮合系统、账户管理系统、资金管理系统。 尤其是交易平台交易btc账户被冻结，往往需要定制开发自己的钱包，并做自动提款手续。

这些软件可能存在漏洞。 如果有漏洞，就有可能被利用，有机会丢币。

交易平台拥有大量的用户，很多用户使用机器人访问交易平台的API进行交易，这些机器人会存在漏洞，被他人利用。 这种情况在交易平台上经常会出现。

04

用户误操作可能导致币丢失

最常见的丢币现象并不是各种软件漏洞造成的，而是用户忘记密码造成的。 通常，钱包将被加密。 只要用户忘记密码就凉了，中本聪也救不了你。

如果用户不擅长使用电脑设备，在没有备份的情况下不小心删除了私钥文件，也是非常高的风险。 比如重装电脑系统，手机丢了等等。

部分用户安全意识薄弱，不了解数字货币私钥的重要性，导致不少用户暴露。 比如有些用户会用微信传输以太坊钱包的KeyStore文件，是不会加密的。 会不会出现类似用户主动在社交网络上发布自己的助记词、私钥文件等？

也有一些用户想使用各种云盘等在线工具备份私钥，比如把私钥文件放在百度云盘上，把助记词保存在有道云笔记上。 这些行为可以说是“自杀”行为，加密资产很容易被他人窃取。

用户经常将 Token 发送到错误的地址。 在某些情况下，如果发送错误，则会丢失硬币。 比如BCH发送到BTC隔离见证地址，可能会被“作恶”的矿池直接转账。 如果你将以太币转入一个合约账户，而合约账户中的代码不知道如何处理这些硬币，它就会丢失。

，有些用户不知道找零是什么，可能没有保存找零地址的私钥，也可能导致找零币全部丢失。 使用的加密货币都具有找零的特性。 一不留神，很容易丢币。

05

社会工程攻击导致币丢失

许多丢币事件都是被骗子骗走的。

有些骗子会冒充某公司的员工，比如把微信头像换成钱包公司的客服，然后通过一顿饭骗走用户的私钥，用户的币就会丢失。 甚至一些新手用户直接让不法分子使用QQ远程协助控制自己的电脑，结果被不法分子窃取了私钥。

钓鱼也是一种常见的丢币手段。 一些不法分子会利用钓鱼邮件冒充网页钱包网站，骗取用户的私钥。

在场外交易市场，伪造收据、中间人攻击等骗局层出不穷。 被骗的人不计其数。

一些不法分子还会冒充空投币，让别人用自己的私钥领取空投币，这也是一个大坑。

此外，还有一种特别流行，就是直接将用户电脑的文件加密，然后进行勒索。

其他领域的骗子如何骗钱，在区块链行业基本已经出现，因为缺乏监管，不法分子十分猖獗。

06

为什么交易平台经常丢币？

交易平台有很多币和钱，流动性很大。 每天都有黑客和不法分子盯着它。 现在交易平台被盗，他们往往不敢出声，怕丢脸，这让黑客更加猖獗。

交易平台系统复杂，软件众多，漏洞不可避免，发现并攻击漏洞只是成本和收益的问题。

另外，交易平台的人员管理复杂，资金流向不是一个人可以管理的，而是一群人来管理的。 任何一个环节都可能成为安全突破口。

为了盗币，不法分子可能不仅会搞网络入侵，还会侵入你的摄像头，甚至破门而入绑架你的老板，就像电影里偷银行一样。 这就是真实发生的事情。 乌克兰某交易平台老板曾被绑架。

现在由于制度的缺失，很多警察和法律都不太愿意受理Token被盗的案件，再加上Token的匿名性，也助长了不法分子的胆子。

还有，很多媒体喜欢煽风点火，可以把1夸大成100。公众也乐于听到、看到和传播交易平台被盗事件。

07

自我保护可以避免一些风险

与交易平台等资金集中的地方相比，用户自己持币可以规避一些风险。

自行持币的用户需要考虑计算机系统的安全和钱包软件本身的安全。 一般来说，只要所有软件都是正版，及时更新系统补丁，使用经过市场检验的钱包，大部分风险是可以避免的。

普通用户的Token流动性不会像交易平台那么高，所以普通用户可以用冷钱包存放大部分币，用热钱包存放一些零散的币，几乎可以高枕无忧放松。 你使用它的次数越少，自然暴露在风险中的机会就越少。

普通用户只要保持基本的警惕，不要贪小便宜，多学习一点数字货币的基础知识，加密资产的安全性就会大大提高。

08

概括

在加密货币的世界里，如何安全地存储自己的加密资产是每个参与者都必须面对的问题。

如果你掌握了最基本的安全知识和相关的区块链知识，将Token存放在你有私钥的钱包（冷钱包和热钱包）中无疑是最安全的； 如果粗心大意，将Token存放在大型交易平台，或者找专业机构托管，或许是更好的选择。

消息挖掘第 225 期：安全不是小事。 在区块链资产托管方面有哪些经验/教训可以跟大家分享一下？ 欢迎在留言区分享你的看法。