链安创始人杨霞谈巨鲸攻击背后,普通用户更应该注意的资产安全问题 | 链节点AMA
收藏
分享
微信扫一扫
分享到朋友或朋友圈
前不久的巨鲸丢币事件再一次将SIM卡攻击和数字资产安全问题推向了人们的视野。从目前已有的信息来看,这名巨鲸可以自己掌控私钥(他进行了签名验证),并且自称是遭到了SIM卡攻击。对此,慢雾安全团队分析称:“猜测是使用了一款很知名的去中心化钱包服务,而且这种去中心化钱包居然还需要SIM卡认证,也就是说有用户系统,可以开启基于 SIM 卡的短信双因素认证,猜测可能是 Blockchain.info。”
巨鲸丢币事件经过究竟是怎样的?我们能从中吸取什么教训?散户该如何安全的存储数字资产?在挑选市面上的硬件钱包时,该注意哪些安全要素?2月28日下午,成都链安科技创始人&CEO杨霞做客链节点AMA,就以上热门话题与社区用户展开讨论。
整体上来说在中国大陆,SIM卡被攻击的可能性很低。
日常生活中,当我们丢失SIM卡时,可以去相应运营商申请“移植”SIM卡,这一过程中,用户可以将电话号码直接转移到新的SIM设备上。我们通常说的SIM攻击则是指黑客利用这一漏洞将用户的SIM卡移植到自己的设备上,接下来,黑客就可以轻易通过验证码使用电子邮件上密码重置的功能,再利用邮箱去窃取用户的电子资产。但是杨霞目前在中国大陆,这样的可能性很低,对此,她解释道:如果一个攻击者要对一个目标的SIM进行攻击,在中国大陆地区,那他必须将目标的SIM卡信息全部克隆到自己可控的SIM卡上,这里引用中国移动多年前发布的一个辟谣信息,“中国移动信息安全管理部门表示,SIM卡是客户的识别模块,上面存储了手机客户信息,在卡片里存有一组128位长度的密钥以保障安全性,同时移动通信网络是独立在因特网之外的网络,先天上杜绝了来自因特网黑客的攻击,因此从技术上讲,SIM卡远程复制不可能办到”,如果攻击者要到营业厅去使用伪造的身份更改你的SIM卡,那就需要先把营运商的用户数据篡改成他的虚假信息才能成功。从整体上来说在中国大陆,SIM卡被攻击的可能性很低。这里我们需要注意的是,有社区用户提到,微信、支付宝等中心化钱包就很少会受到SIM卡的攻击,杨霞表示,这是因为微信、支付方式目前而言并不是手机验证码支付,而是使用的是生物特征加支付密码的方式。因此不能断章取义地将这两者的安全性归结于“中心化”。而对于已经因为SIM卡而导致财产损失的用户来说,起诉运营商也是一条维权的途径,但至于最终的结果还是要看具体的情形和法律的规定。
要注意私钥和个人信息的保护,同时对资产进行合理安全的分配
巨鲸丢币事件再度将资产安全问题推到了我们的眼前,那么普通人(主要针对那些加密资产不在三大交易所的用户)如何保障自己的加密数字货币资产的安全性?杨霞强调:对于不选择将资金存储在大交易所的用户来说,私钥的保护和个人信息的保护就是重中之重,最简单也易实行的安全手段是环境分割,比如建立专门用于操作资金转移或者交易的一套系统,包括手机,邮箱等,将生活和交易分隔开,用于操作交易所的手机环境应保证纯净,不安装任何不必要的应用,不用于通信,聊天,娱乐等与交易无关的活动,私钥和助记词的保管则建议使用原始但有效的纸张记录的方式,避免使用截图,截屏等形式通过网络传输。在私钥和个人信息保护的基础上,杨霞还表示,用户需要关注合理安全的分配资金,对于普通的投资用户来说最优的建议是将资金分为两部分:交易资金和持有资金,交易资金可以理解成流动性更大的资金部分,用于在交易所进行币币交易等需要频繁使用资金的环境,持有资金则是流动性较低的部分,可以是用户比较长期看好的币种或者稳定币,这样将资金进行合理的分割可以同时满足交易的便利性和安全性。
当用户需要将长期持有的资产存放在交易所时,则更需要关注交易所的挑选问题,对此,杨霞建议,用户需要特别关注交易所的几个维度:交易所的资金规模用户规模、交易所运营历史上的安全事件和处理结果、交易所上的项目的合规性和宣传手段。关于这一点,她补充道:
比如如果交易所重点宣传抵押资金高额返利等的话,那么作为普通用户这个时候可能就要提高警惕,谨慎判断,要想选择可以长期信任和使用的交易所需要综合考虑交易所的技术模型和金融模型,能否合理使用安全技术决定了交易所对外源攻击的抵抗能力,而有没有合理的、持续化的经济模型则决定了交易所能否拥有长期安全稳定的资金流,这两者对于一个优秀的交易所来说是缺一不可的。资产安全作为一个老生常谈的问题确实是值得每一个普通用户每天都思考的一个话题,或许当下我们能做的最好的资产保护方法,就是时刻保持安全意识在线,主动了解更多钱包、私钥的相关知识和原理,虽然做不到万无一失,但我们可以尽最大努力避免给攻击者们可乘之机。
详情回顾本期AMA: https://www.chainnode.com/ama/410811
免责声明:本文版权归原作者所有,不代表MyToken(www.mytokencap.com)观点和立场;如有关于内容、版权等问题,请与我们联系。