俗话说:常在江湖飘,哪能不挨刀。火星人最近就遭遇了狠狠的一刀,在FBI拍卖事件中,被一个黑客利用社会工程学盗走了公司100个比特币。关于事情的详细过程,大家可以看 CRYPTO CRIMSON 上面的新闻,这篇新闻报道的中文翻译在这里。而且好事不出门,坏事传千里,这次事件被澳大利亚国家广播电视台ABC报道了,链接在这里。
这件事情简而言之,就是一个黑客伪装成一个记者,要求采访丝绸之路拍卖事件,然后用一个钓鱼邮件获得了公司 CEO 的 Gmail 密码,通过 Gmail 又获得了公司网站的服务器的访问权限,在阅读所有人的邮件后,修改了部分人的邮箱密码,伪装公司另外几个人给 CTO 发邮件要求转账100个比特币,公司 CEO 当天很忙没有能接到 CTO 的确认电话,公司 CFO 以为是一笔客户的提款要求,就给予了批准。
这次事件让不少玩家对于比特币的安全性产生了疑问,比特币到底安全吗?
比特币的安全性
比特币的安全,就是私钥的安全。私钥在,比特币在,私钥亡,比特币亡。比特币私钥几乎不可能被暴力破解,关于为什么不能暴力破解,火星人可以推荐大家几篇文章,来自VV酱的《为什么不可能穷举比特币私钥——宇宙的法则》,文中指出:宇宙中的原子大概有10的60到80次方个,而比特币的私钥总数2^256个,又比宇宙中原子的数量多出好几十个数量级。如果你用一台太阳系大小的超级计算机,使用太阳的全部输出功率,直到太阳燃尽也不能从1遍历到2^256-1,这只不过是遍历,更别说计算HASH和比较了。因此比特币的数学基础,让人有一种对宇宙的敬畏。
有一些朋友基于对计算机的一知半解,认为超级计算机,更进一步,量子计算机可以破解比特币的私钥,但是答案真的如此吗?大家可以参考参与过量子计算机和安全算法方面的研究的琼妆博士的文章《关于量子计算机,我来说点什么》,文中指出:即便量子器件获得重大突破,退相干,准确率的问题都能解决,也只能拿来攻击网银,没法攻击BTC。比特币里没有Fourier变换和量子模拟,因此,量子计算机没法用Fourier变换和量子模拟对比特币进行攻击。
那么有没有可能随着计算机科学的发展,比特币目前的SHA-256算法遭遇问题呢?这也完全不是问题,因为比特币的本质是一个开源协议,随时可以升级。如果遇到紧急状况,比特币完全可以修改算法为SHA-512,甚至SHA-1024,这就会使得安全性有了指数级别的提升。KK的《失控》里提出了一个观点:加密永胜。解密只能是跟着加密的步伐,如果提不出问题,根本就不可能产生答案。更加深入一点的结论来自彭罗斯的《皇帝的新脑》,如果制造这个世界的上帝是数学家,那么这个世界是无法测量和预测的。
社会工程学
什么是社会工程学?维基百科上如此说到:在计算机科学中,社会工程学指的是通过与他人的合法地交流,来使其心理受到影响,做出某些动作或者是透露一些机密信息的方式。这通常被认为是一种欺诈他人以收集信息、行骗和入侵计算机系统的行为,一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段。所有社会工程学攻击都建立在使人决断产生认知偏差的基础上,有时候这些偏差被称为“人类硬件漏洞”。
实际上这种攻击是基于人性的攻击,和技术无关,并且只要存在人工能够干预的地方,技术做得再好也是没用的。一个朋友曾经和火星人如此说:『我们公司物理隔离,单比特反向加密穿透外网,数据全程加密。还不是有傻逼插U盘看A片,内网中毒?信息安全只能知天命,安人事。手机插在内网电脑上充电,手机自己转换成 Moden 模式,弄得信息那里报警,安全部的人跑过来,那个人还不知道那里出问题了。』
社会工程学是一种与普通的欺骗和诈骗不同层次的手法。因为社会工程学需要搜集大量的信息针对对方的实际情况,进行心理战术的一种手法。社会工程学陷阱就是通常以交谈、欺骗、假冒或口语等方式,从合法用户中套取用户系统的秘密。在我们公司被攻击的过程中,黑客得知了我们正在竞拍 FBI 的比特币,于是伪装成记者采访,提交给我们 GoogleDoc 形式的采访问题,这个非常自然,然后点击该钓鱼文件,自己的 Gmail 就泄漏了。黑客获得了公司服务器的控制权,认真研究了公司的管理结构,人员权责安排,精心策划了这一次社会工程学攻击。不得不说,这是一次非常精彩的教科书式的攻击。Sam本身是从事网络安全行业的,都没有能够避免中招。
在这个问题上,我们也并不孤独,比特币基金会前副主席 Charlie 安慰了我们,说去年三月份他被同样的手段偷走了3000多个比特币。
吸取教训
这次事件对我们是一个不小的教训,我们公司几个合伙人共同承担此次损失。对于比特币初创企业来说,出现这种问题是好事情,早出问题比晚出问题更加好。我们几个商量了一下,尽管非常丢人,还是决定要把这次事件公之与众,提醒大家以后不要犯同样的错误。经验教训有不少,下面列举一些:
1,Gmail 邮箱登录一定要采用双重验证机制,使用 Google Authenticator 方案。
2,低等级安全的邮箱里千万不要交流有关服务器密码一类的信息。
3,一定要小心钓鱼链接,完全确认链接无误再点击,最近针对比特币用户的钓鱼邮件横行,火星人已经收到了几十封钓鱼邮件。
4,人怕出名猪怕壮,没事儿别装逼,上个新闻说自己要去竞拍,然后被黑客盯上。
5,比特币相关的公司运作,一定要有良好的资金管理机制。
风险提示
最后贴上耻辱的记录,丢失的这100个比特币是肯定无法追回了。但是希望比特币玩家们可以吸取我们的教训,以后做到防火防盗防黑客,小心钓鱼邮件,保护资金安全。