在2009年,网络漫画xkcd 发布了一则漫画,阐述了网络安全中一个令人毛骨悚然的简单概念:“5美元扳手攻击”。在漫画中,一个火柴人解释了如何绕过复杂的加密——不是通过代码或暴力破解,而是通过用5美元的扳手威胁某人,直到他们放弃密码。
可悲的是,5美元扳手攻击不再是一个笑话。更糟糕的攻击在现实生活中频繁发生。罪犯们不再费心去破解私钥或妥协种子短语——他们只是敲门,绑架加密货币持有者,要求访问钱包,往往伴随着暴力。
最近的一起攻击发生在几天前的乌干达,Mitroplus Labs的创始人Festo Ivaibi 据报道在家附近被绑架,并在枪口威胁下被迫转移价值约50万美元的加密货币。
在法国,一系列可怕的绑架和企图绑架事件让加密货币社区感到震惊。值得注意的是,本月早些时候,一位加密货币企业家的父亲在巴黎被绑架,他的手指被割断以施压要求支付500万至700万欧元的赎金,以加密货币形式支付。他在经历了两天的折磨后获救,五名嫌疑人被捕。在另一起事件中,一位加密货币首席执行官的怀孕女儿和她的孩子在巴黎遭遇了白天的绑架企图,但被路人阻止。这是自一月以来发生的六起攻击之一。
在美国,三名青少年在11月绑架了一名拉斯维加斯男子,原因是他举办了一场加密货币会议,并将他驱车60英里到莫哈维沙漠,在那里要求访问他的加密货币。他们在偷走400万美元的数字资产后将他留在那里。两名嫌疑人,都是来自佛罗里达州的16岁青少年,最近被捕,现在面临多项重罪指控,包括绑架和抢劫。
随着比特币在最近几天创下历史新高,背上的目标比以往任何时候都要大。那么,当你安全设置中最薄弱的环节是你自己时,你该怎么办?
一种日益增长的工具、钱包设置和物理协议正在出现,以防范现实世界中的胁迫。以下是如何开始像一个精明但极度偏执的亿万富翁一样思考。
1. 多重签名钱包
多重签名钱包需要多个私钥来授权交易。一个常见的设置是2-of-3:需要两个密钥才能移动资金,但总共有三个。如果攻击者仅获得一个密钥——比如通过威胁你——那么他们仍然无法耗尽你的资产。
像Nunchuk和Casa这样的工具允许用户将密钥分散存放在不同地点(例如,一个在家,一个在银行保险库,一个在律师那里),使得即时盗窃变得不可能。
潜在的缺点:攻击者可以简单地迫使你向其他密钥持有者乞求授权交易。
2. 沙米尔的秘密分享
一些钱包,包括Trezor Model T,支持一种叫做“沙米尔秘密分享”的技术,这听起来像是一本儿童书的标题,但实际上是一种加密算法,可以将你的恢复种子分割成多个碎片。你可以将这些碎片分发给你信任的人或地方。只需要一个阈值数量(例如,3-of-5)的碎片即可重新组装密钥。
另一个选择是Vault12,它允许你指定监护人——家人、律师或商业伙伴——只有在需要时才帮助你恢复你的保险库。
潜在的缺点:与多重签名钱包一样,SSS的安全性仅与共同种子持有者抵御胁迫的能力相当。
3. 胁迫钱包和诱饵
许多钱包,例如Blockstream Jade,支持所谓的“胁迫PIN”。输入一个PIN可以访问你的真实钱包。输入另一个——在胁迫下——则会打开一个余额适中的假钱包。它甚至可以通过一个秘密紧急PIN来清除设备。
如果你口才了得,合理否认可以是一个极好的策略。
潜在的缺点:如果攻击者一直在网上跟踪你,他们可能知道你持有数百万,而不是在诱饵钱包中显示的267美元。
4. 隐藏你的踪迹
避免攻击的一个好方法是首先不要看起来像一个目标。隐私保护工具可以减少你在区块链上的可见足迹。例如,门罗币(XMR)使用隐秘地址和环签名,使交易几乎无法追踪(getmonero.org)。像Wasabi这样的比特币钱包实现了CoinJoin,这是一种将硬币与其他硬币混合以模糊来源的技术。
潜在的缺点:无论他们是否试图隐藏自己的财富,识别出谁是大加密货币玩家都相对容易。
5. 近程和远程清除
许多优秀的硬件钱包,包括Trezor和Ledger,提供此功能,可以通过多种方式调用,包括输入一个特殊的PIN,立即使你的钱包失效。Samourai钱包曾因其卓越的安全性而闻名,直到Feds关闭它并逮捕了创始人,因涉嫌洗钱,支持通过发送特殊短信进行远程清除。如果你知道自己在做什么,可以从互联网上的代码库中找到Samourai软件并调用该功能。
潜在的缺点:在有人用枪指着你头时使钱包失效是有风险的;短信可能会被拦截。
6. 隔离硬件钱包
普通的加密亿万富翁将他们的加密货币保存在一个或多个硬件钱包中。如果他们将其保存在家中而不是安全存款银行或秘密藏身处,那么它们就会被很好地隐藏。像COLDCARD和Keystone Pro这样的设备使用二维码或SD卡离线签署交易。即使攻击者拥有你的笔记本电脑,他们仍然需要物理设备、PIN和(通常)另一个共同签署者。
潜在的缺点:一个高度动机和暴力的窃贼可能有办法迫使你访问你的硬件钱包。我们都在电影中见过这种情节。
7. 带GPS追踪的可穿戴紧急按钮
紧凑型、可穿戴的紧急按钮已经存在很久了。它们是为普通的、偏执的高净值个人发明的,而不是为加密货币人士。像Silent Beacon这样的设备可以拨打任何电话号码,并将用户的GPS位置发送给指定联系人。它还具有双向通信功能,允许受害者与潜在的救援者交谈。
潜在的缺点:佩戴紧急按钮向潜在的盗贼发出信号,表明你确实在保护某些有价值的东西。
免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。
