比特币大劫案：4,100 个比特币被盗

比特币大劫案：4,100 个比特币被盗

南方都市报 2013.11.2815:37

这是历史上第一起比特币银行抢劫案，也再次提出了一个老问题：比特币真的像人们所说的那样稳定安全吗？

比特币大劫案

文字_苏语插画_丑丑

银行盗窃总是一件大事，但比特币银行盗窃不仅规模大，而且更为罕见。 最近，一位 18 岁的比特币“银行家”宣布他的比特币银行 Inputs.io 遭到黑客攻击，当时价值 130 万美元的 4,100 个比特币被盗。

这是历史上第一起比特币银行抢劫案，也再次提出了一个老问题：比特币真的像人们所说的那样稳定安全吗？

比特币银行

由于比特币背后没有政府的支持，也没有信用体系，也就是说，比特币在使用和追踪上更像是现金，而不是信用卡或其他在线支付方式——一旦比特币离开你的手，你就无法再使用它通过第三方机构（如信用卡公司）追回，你很难追查你的比特币交易到哪里去了。

因此，如何安全地存储比特币就成了一个问题。

首先我们要明白比特币的本质是一个64字节的私钥（比如E9 87 3D 79 C6 D8 7D C0 6A 57 78 63 33 89 F4 45 32 13 30 3D A6 1F 20 BD 67 FC 23 3A A3 32 62）。 密钥可以生成对应的比特币地址，但比特币地址不能反推比特币密钥。 更重要的是，密钥是人们使用比特币的凭证，所以妥善保管好密钥对任何比特币拥有者来说都是非常重要的。

您可以打开一个计算机文件并记录密钥，但在这种情况下，一旦您的计算机遭到入侵，密钥就会被盗； 最稳妥的办法是把密钥记下来记录在纸上，或者用Pywallet之类的软件打印出来，但这样做的缺点是不方便，支付和兑换都相当麻烦。

因此，大多数人都会使用一个“比特币钱包”，它可以让你方便地接收和支付比特币，同时也保证了相当的安全性。 钱包分为三种类型：安装在您 PC 上的软件钱包，让您完全控制并意味着您对比特币的安全负责； 以及安装在手机和平​​板电脑上的移动钱包，您可以通过扫描二维码或使用“近场交易”在实体店用比特币购买东西； 还有一个像 Inputs.io 这样的“在线银行”，它是一个在线钱包。

与传统银行不同，比特币银行实际上比储蓄银行更安全。 在这种银行的帮助下，你可以存比特币而不至于太累太麻烦； 但前提是你必须找到一家可以放心信任的比特币银行，并且需要支付少量的保管费。

比特币的蓬勃发展也催生了很多这样的比特币银行，而这些银行的管理者不需要像现实世界的银行家那样对金融和安全有深入的研究，也没有太多的经验。 信用保证。 Inputs.io 的管理员 TradeFortress 是一名刚满 18 岁的澳大利亚人，他拒绝透露自己的真实姓名。 他的网站注册在澳大利亚新南威尔士州霍斯比镇沃特街，但他的真实身份不为人知。

“永远不要将装有比特币的电脑连接到互联网”

Inputs.io 曾经雄心勃勃。 在网站上，它自称是“市场上最安全的比特币网络钱包之一”：它不仅需要双因素身份验证（一种使用时间同步技术的系统，由三个变量生成的一次性动态密码密钥，而不是传统的静态密码），并且需要基于位置的电子邮件确认。 所以它声称，即使它所在的网络服务器被黑客入侵，这个钱包里的比特币也不会被盗。

现在看来，这个防盗措施并没有奏效。 TradeFortress表示，这是一次社交引擎攻击，也就是说，这次攻击并没有侵入web服务器的数据库，而是冒充他的身份，以管理员身份提取比特币。

首先，黑客入侵了 TradeFortress 六年前设立的旧邮箱。 那个邮箱没有绑定手机号，很容易被攻破。 黑客在澳大利亚租用了一台服务器，因此他通过代理获取的IP地址与TradeFortress的真实IP地址非常相似，重置邮箱密码时也没有触发警报。 从这里开始，他继续破解了一系列的邮箱，最终破解了他现在用来管理网站的邮箱比特币被盗的原因，并以此为跳板重设了网站的密码，然后堂堂正正地抹掉了里面所有的比特币。 目前还不清楚黑客是如何攻破双因素认证防盗系统的，但 TradeFortress 推测黑客是利用了服务器中的一个漏洞绕过了这一步。

当然，并非所有人都相信 TradeFortress 的解释。 许多Inputs.io用户怀疑他自己偷了钱，因为TradeFortress花了将近两周的时间才向用户宣布被盗，而且他没有报警，也没有寻求其他执法机构的帮助，因为他相信“此事警方无能为力”。 毕竟，比特币是一种几乎无法追踪的货币。 澳大利亚联邦警察发言人表示，据他所知比特币被盗的原因，目前还没有警方介入对比特币盗窃案的调查，但如果受害者报案，他们会展开调查。

不过，TradeFortress表示，他打算用自己积累的比特币和没有被盗的比特币来弥补用户的损失。 “我现在一共拥有1540个比特币，虽然没有办法全额赔偿用户的损失，但每个人都会得到40%到75%不等的补偿。”

总结其教训，TradeFortress 说：“我不建议您将比特币存储在任何连接到互联网的计算机上。” 他解释说，虽然到目前为止，还没有专门针对比特币的高级恶意软件，但黑客有其他方法可以破坏比特币持有者的电脑，从他们的外部硬盘驱动器甚至他们的浏览器中窃取比特币。

忧虑与疯狂

TradeFortress 表示，此次盗窃将损害人们对比特币的信任。 这种不信任首先指向的是他自己，乃至整个比特币网银行业。 “这是一个很好的例子。它告诉我们，你永远不应该相信所谓的在线钱包服务，”一位 Reddit 用户写道。 “老实说，我不明白为什么会有人相信这样一个完全匿名的人。”

计算机安全公司CORE Security的高级安全顾问Matthew Bergin指出，人们应该学会使用更安全的方法来保护自己的财产，比如把钥匙写在纸上； 但他的同事 Tommy Chin 认为，比特币本质上是一种不安全的货币，它的匿名性和数字化特性让聪明人很容易从别人那里窃取钱财。

事实上，比特币盗窃并不是什么新鲜事。 虽然这是有史以来第一次盗窃比特币银行或比特币网络钱包，但交易量较大但安全性较低的比特币交易所经常被盗。 2011年，一个叫Allinvain的人丢失了25000个比特币，当时价值50万美元，现在价值超过1亿美元； 在 TradeFortress 的银行被抢劫后不久，捷克共和国的一家交易所又被黑客入侵，485 个比特币被盗。

然而，比特币的疯狂并没有因为这些不安全因素而结束。 TradeFortress 在 11 月 8 日披露 Input.io 被盗后，比特币价格一度受到冲击，从 11 月 7 日的 350 美元跌至 200 美元以下； 涨至新高——11月17日，成交价达到484美元/件。 要知道在今年年初，每件只值 30 美元。 比特币价格的飙升也引来了越来越多的犯罪活动，玩家应该看好在线钱包。