儘管比特幣匿名,而且採用了 PGP 等十分強大的加密手段,但是‘比特幣被偷”的事件卻屢見不鮮。如果你是一名比特幣玩家,建議你瞭解“比特幣竊賊”是如何動手的,知己知彼才能更好的保護自己。 簡單來說,“比特幣竊賊”偷別人的比特幣,一般經歷以下三個過程:
- 偷秘鑰;
- 洗錢;
- 發家。
由於比特幣擁有在線錢包(ledger),它記錄每個人擁有多少比特幣——通過“私人秘鑰”,它確認你是這部分比特幣的所有人。換言之,如果沒有“私人秘鑰”文件,那麼 blockchain 就不會承認是比特幣的所有人——還記得那個因為丟了硬盤而懊悔不已的人嗎?正是因為那塊硬盤裡,儲存著他所擁有的“私人秘鑰”,所以才讓自己蒙受損失。 因此,竊賊如果想偷別人的比特幣,首先需要搞定的,就是你的“私人秘鑰”文件。 早期的比特幣玩家,目前正在開發安全的比特幣錢包系統的Marak Squires建議,“我推薦搭建一個物理錢包,採用 Arch Linux 引導,但永遠都不上線。但很不幸的是,大部分人不可能做這樣的選擇。目前,大部分用戶缺乏安全的儲存虛擬資產的手段。
“ 於“比特幣竊賊”而言,合理的選擇是攻擊那些儲存了大量“私人秘鑰”的線上服務,然後將秘鑰文件複製下來,這樣竊賊就可以隨時別人的比特幣,除非原主改動比特幣儲存的位置。 好了,現在竊賊已經偷來別人的“私人秘鑰”,接下來的一步非常關鍵,那就是“洗錢”,將這些別人的資產通過一定手段轉變成為自己名下的資產。 blockchain會公開記錄比特幣的轉移情況。目前而言,這個特性對抓賊的幫助不大,賊大可以不留痕跡地轉移財產,但隨著技術進步,賊很難隱藏比特幣轉移的痕跡。
因此,賊必須“洗錢”,將手上這些不乾不淨的比特幣換成乾淨的。 比特幣竊賊會藉助洗錢人的幫助(mixer,又稱tumbler),隨機將“黑比特幣”與別人的比特幣混在一起,這樣賊就可以中斷blockchain的記錄。——具體過程是,賊通過Tor匿名網絡找到洗錢人,然後將“黑比特幣”存入洗錢人的地址;緊接著,賊再自己註冊一個比特幣賬號,換一個乾淨的比特幣地址——但洗錢人不會馬上將“黑比特幣”轉移過去,而是緊盯著新的比特幣交易情況,看到有人向這個地址轉比特幣的同時,向這個賬戶轉小筆“黑比特幣”。如此這般,“黑比特幣”存進了新的地址,換了持有人,擁有了合法的外貌。 不過,由於洗錢人只在Tor上與別人交易,難以追蹤身份,他們也有捲款潛逃的可能,因此與他們打交道也是一件風險很高的一件事。 現在,比特幣竊賊已經擁有數量頗多,而且已經洗白的比特幣了,但要由於許多地方還不支持比特幣直接支付,因此要利用比特幣的價值,就得將比特幣轉換成現實中,具備法律效力的貨幣才行。方法有很多種,但一定要夠安全——一下子拋售出去會引起別人不必要的注意。因此,那些對比特幣感興趣,但對竊賊身份不感興趣的富人是最好的交易對象。但交易的時候也要需要注意,因為一次性大量的交易,會引來別人的注意,因此持續幾個星期,甚至一年的交易的小額交易,對於賊來說會比較安全。 以下,是李笑來之前在微博發的“比特幣安全指南”,有指導意義:
- 不要在交易平臺留存大量的比特幣;
- 使用比特幣在線服務的時候,一定要設置二次驗證;
- http開頭(而不是https開頭)的網站是也過分業餘的,別用;
- 最好遠離Windows操作平臺;
- 為自己的幣做幾個紙錢包;
- 腦錢包並不完美——萬一摔個跟頭,腦震盪,然後恰好那部分失憶了怎麼辦;
- 比特幣其實並不是匿名的,所有的交易記錄都是公開的。所以,別以為你幹什麼別人不知道;
- 花錢買個正版的1Password很值;
- 絕對不能在多個網站使用同樣的用戶名和同樣的密碼;
- 不能把錢包文件保存在雲端(dropbox 等等)——哪怕是壓縮加密過的。
閱讀更多 區塊鏈投資家 的文章
