• 媒体品牌
    爱范儿
    关注明日产品的数字潮牌
    APPSO
    先进工具,先知先行,AIGC 的灵感指南
    董车会
    造车新时代,明日出行家
    玩物志
    探索城市新生活方式,做你的明日生活指南
  • 知晓云
  • 制糖工厂
    扫描小程序码,了解更多

偷比特币的三个步骤

公司

2013-12-20 17:13

尽管比特币匿名,而且采用了 PGP 等十分强大的加密手段,但是 ‘比特币被偷” 的事件却屡见不鲜。如果你是一名比特币玩家,建议你了解 “比特币窃贼” 是如何动手的,知己知彼才能更好的保护自己。

简单来说,“比特币窃贼” 偷别人的比特币,一般经历以下三个过程

  • 偷秘钥;
  • 洗钱;
  • 发家。

之前我曾经写过一篇文章解释过比特币的 “秘钥” 是怎么一回事,在这里就不重复叙述了。由于比特币拥有在线钱包(ledger),它记录每个人拥有多少比特币——通过 “私人秘钥”,它确认你是这部分比特币的所有人。换言之,如果没有 “私人秘钥” 文件,那么 blockchain 就不会承认是比特币的所有人——还记得那个因为丢了硬盘而懊悔不已的人吗?正是因为那块硬盘里,储存着他所拥有的 “私人秘钥”,所以才让自己蒙受损失。

因此,窃贼如果想偷别人的比特币,首先需要搞定的,就是你的 “私人秘钥” 文件。

早期的比特币玩家,目前正在开发安全的比特币钱包系统的 Marak Squires 建议,“我推荐搭建一个物理钱包,采用 Arch Linux 引导,但永远都不上线。但很不幸的是,大部分人不可能做这样的选择。目前,大部分用户缺乏安全的储存虚拟资产的手段。“

于 “比特币窃贼” 而言,合理的选择是攻击那些储存了大量 “私人秘钥” 的线上服务,然后将秘钥文件复制下来,这样窃贼就可以随时别人的比特币,除非原主改动比特币储存的位置。

好了,现在窃贼已经偷来别人的 “私人秘钥”,接下来的一步非常关键,那就是 “洗钱”,将这些别人的资产通过一定手段转变成为自己名下的资产。

blockchain 会公开记录比特币的转移情况。目前而言,这个特性对抓贼的帮助不大,贼大可以不留痕迹地转移财产,但随着技术进步,贼很难隐藏比特币转移的痕迹。因此,贼必须 “洗钱”,将手上这些不干不净的比特币换成干净的。

比特币窃贼会借助洗钱人的帮助(mixer,又称 tumbler),随机将 “黑比特币” 与别人的比特币混在一起,这样贼就可以中断 blockchain 的记录。——具体过程是,贼通过 Tor 匿名网络找到洗钱人,然后将 “黑比特币” 存入洗钱人的地址;紧接着,贼再自己注册一个比特币账号,换一个干净的比特币地址——但洗钱人不会马上将 “黑比特币” 转移过去,而是紧盯着新的比特币交易情况,看到有人向这个地址转比特币的同时,向这个账户转小笔 “黑比特币”。如此这般,“黑比特币” 存进了新的地址,换了持有人,拥有了合法的外貌。

不过,由于洗钱人只在 Tor 上与别人交易,难以追踪身份,他们也有卷款潜逃的可能,因此与他们打交道也是一件风险很高的一件事。

现在,比特币窃贼已经拥有数量颇多,而且已经洗白的比特币了,但要由于许多地方还不支持比特币直接支付,因此要利用比特币的价值,就得将比特币转换成现实中,具备法律效力的货币才行。方法有很多种,但一定要够安全——一下子抛售出去会引起别人不必要的注意。因此,那些对比特币感兴趣,但对窃贼身份不感兴趣的富人是最好的交易对象。但交易的时候也要需要注意,因为一次性大量的交易,会引来别人的注意,因此持续几个星期,甚至一年的交易的小额交易,对于贼来说会比较安全。

以下,是李笑来之前在微博发的 “比特币安全指南”,有指导意义:

  • 不要在交易平台留存大量的比特币;
  • 使用比特币在线服务的时候,一定要设置二次验证;
  • http 开头(而不是 https 开头)的网站是也过分业余的,别用;
  • 最好远离 Windows 操作平台;
  • 为自己的币做几个纸钱包;
  • 脑钱包并不完美——万一摔个跟头,脑震荡,然后恰好那部分失忆了怎么办;
  • 比特币其实并不是匿名的,所有的交易记录都是公开的。所以,别以为你干什么别人不知道;
  • 花钱买个正版的 1Password 很值;
  • 绝对不能在多个网站使用同样的用户名和同样的密码;
  • 不能把钱包文件保存在云端(dropbox 等等)——哪怕是压缩加密过的。
登录,参与讨论前请先登录

评论在审核通过后将对所有人可见

正在加载中