交易平台监守自盗
很多投资者都是通过交易平台进行比特币交易的,自然也会把比特币存放在交易所账户之中。除了个别国家以发放牌照的方式将虚拟货币交易所纳入监管框架之内,多数国家和地区的虚拟货币交易所都没有监管背书,也没有上线诸如资金存管、虚拟货币存管等防范措施,意味着如果交易所自身动了坏心思,“偷”你的比特币简直是探囊取物一般。
举个例子,2014年2月24日,当时世界最大的比特币交易所运营商Mt.Gox 宣布其交易平台的65万个比特币已经被盗一空,随后Mt.Gox便宣布破产。而后来执法部门的调查发现,所谓的65万比特币被盗,其实只有7000个比特币因黑客攻击而失踪,其余的都被平台的内部人拿去了,属于典型的监守自盗。
交易所遭受黑客攻击
居心不良的交易平台毕竟是少数,更多的被盗案件源于黑客攻击。无论是交易所自身的密钥还是用户的密钥,都存放在交易所的钱包系统中,若系统被黑客攻破,导致密钥泄露,里面的比特币资产自然也就会不翼而飞。考虑到虚拟货币交易所的实力差异很大,对系统安全的重视程度也不同,因黑客攻击导致的丢币事件并不鲜见。
2014年3月,美国数字货币交易所Poloniex被盗,损失12.3%的比特币,这次丢币便是由于黑客利用了交易平台的代码漏洞把资金偷走的。
2015年2月14日,黑客利用比特儿从冷钱包填充热钱包的瞬间,将比特儿交易平台冷钱包中的所有BTC盗走,总额为7170BTC。
2015年2月23日,比特币钱包运营商比特币存钱罐被盗,据比特币存钱罐官方表示,黑客于2014年6月30日入侵了平台的Linode账号,并修改了Linode账号密码和服务器的root密码,从而入侵了服务器并且获得了服务器的控制和管理权限,导致比特币被盗。
用户交易账户被盗
随着各大交易所加强系统安全的防护,交易所自身系统被黑客攻破的几率大幅下降,而用户自身交易账户被盗开始成为主要的丢币方式。
用户与交易所之间主要通过登录名和密码建立联系,就像银行卡被盗刷、第三方支付账户会被盗用一样,若用户的登录名和密码泄露,就会出现虚拟货币账户被盗用的现象。而用户名和密码泄露则太容易了,比如用户设备中了木马病毒、多个平台用同一套用户名和密码遭受撞库袭击、交易平台自身的系统漏洞导致用户的账户和密码泄露等,都会导致交易账户的被盗用。
去中心化:比特币是第一种分布式的虚拟货币,整个网络由用户构成,没有中央银行。去中心化是比特币安全与自由的保证。
全世界流通:比特币可以在任意一台接入互联网的电脑上管理。不管身处何方,任何人都可以挖掘、购买、出售或收取比特币。
专属所有权:操控比特币需要私钥,它可以被隔离保存在任何存储介质,如硬盘、纸条等。
无隐藏成本:作为由A到B的支付手段,比特币没有繁琐的额度与手续限制。知道对方比特币地址就可以进行支付。
跨平台挖掘:用户可以在众多平台上发掘不同硬件的计算能力。
BTC优异的特性也造成它本身的某些缺点,比如一旦丢失,BTC将难以找回。
丢失分两种,一种是自己不小心弄丢私钥或者,第二种是被盗。
BTC总量2100万枚,但目前市场上流通的只有1800万枚左右,而这其中,有近170万枚BTC已经彻底丢失。
丢失的故事令人悲伤。每一位BTC的拥有者都了解私钥的安全以及重要性,大部分人都会老老实实把私钥记录在只有自己知道的地方,比如写在纸条上压床底、把纸条藏在不起眼的鱼竿中等等,亦或者存在硬盘里或者电脑中。
即便是这样,仍然会有丢失的可能,压床底的纸条可能因为搬家而忘掉,鱼竿可能因为被房东或者家人当做垃圾清理。
而把私钥存在硬盘里和电脑中风险也非常高,硬盘和电脑都可能会损坏,一旦损坏也就彻底丢失BTC。
还有些人将私钥拆分,让自己的合伙人保管一半,自己保管一半,结果合伙人因车祸意外去世,这些BTC也随之丢失。
任何意外都可能导致私钥的丢失,所以要尽可能将私钥保存在多个地方,且包含备用方案。还必须防止被人盗窃。
被盗窃的BTC更加难以找回。假设你的BTC真的被盗,虽然通过公开的区块链浏览器就可以查到被盗的BTC流向何方,但问题是,你也只能眼睁睁的看着你的BTC被人随意转账。
而如果盗窃私钥的人采用了混币技术,那想追回BTC无疑是希望渺茫。
混币技术介绍一下,常见的混币器是基于CoinJoin协议开发的,以CoinJoin协议为例,它利用比特币UTXO特性(一笔交易可以有多个输入和输出),构建了“多个交易发送者地址转给多个交易接收者地址”的交易行为,以此让追踪者无法建立输出地址与追踪事件的强关联,从而达到擦除痕迹的目的。
混币技术的初衷是为BTC交易增加了资产流传的匿名性,但被一些不法分子利用,借助其洗钱、盗窃等。
我们以2014年3月10日的比特币链上发生的一笔11万BTC大额转账举例,这是暗网丝绸之路的钱包地址,可以看到在溯源第四层上面,每一层的钱包地址数量几乎以指数层级增长。
想要最终BTC的最终流向,耗时耗力,且收效甚微。
再通过对比特币250GB全量数据和4亿多笔交易数据进行存取和去重分析,共计分析出将近3亿多条的比特币地址,其中有余额的地址大概是2000多万条。
根据已有的交易所冷钱包地址、矿池钱包地址和已经公开的网站的比特币交易地址,根据地址交易特征,比特币地址余额、支出总次数、支出总金额、收入总次数、收入总金额、第一次支出时间、最后一次支出时间、第一次收入时间、最后一次收入时间等,对比特币全量交易关系进行分析。
目前从3亿多条比特币地址分析出43741745个钱包。
这样海量的数据,想要从中找回被盗的BTC,无异于大海捞针。
而被盗的情况一般是不小心登录了钓鱼网站,私钥泄露等,所以在每次导出记录私钥时,一定要注意网络安全环境和记录方式,防止被盗。
私钥犹如银行卡+银行卡密码,并且银行系统是去中心化的,一旦发生被盗情况,没有任何人能阻止交易的发生。
那数字资产应该存在哪里最好呢?答案是个人钱包。
很多人会觉得私钥保存非常麻烦,于是将数字资产全部放在中心化的交易所,若是交易所发生被盗,那么用户的资金同样也会遭受严重损失。
投资数字资产首先想到的一定是安全,就像理财的时候,首先想到的是本金安全,收益并不是最为重要的,安全才是。
保护好私钥安全便是保护好了资产安全,请广大投资者一定要谨记安全风险。