大纲
第二节:私钥风险
私钥存储风险
1、私钥丢失
2、被他人偷窥和盗取
私钥使用风险
第二节:私钥风险
据《比特币的十周年数据深度解析》估测:总计无法找回的比特币预计在 200万~ 300万左右,占比特币总量约 12%~ 18%。也许你看到这个数据并不以为然,“没关系吧,哪有这么严重,丢币的都是小概率。这种事应该不会发生在我身上。” 我想,丢币的人,在丢币之前也是这么想的。别人的故事,只有发生在自己身上才是事故。
丢币的案例非常非常多,除了交易平台的丢币案例属于客观不可控之外(交易平台被黑客恶意攻击或是监守自盗),剩下的大多是因为个人原因导致丢币。实际上这个是可以靠提高安全意识,或是养成良好的注重隐私的习惯去规避的。
我将私钥可能遇到的风险,分作两个部分跟你分享,希望这些案例能给你一些警醒,和规避风险的思路。
私钥存储风险
因个人私钥存储风险导致丢币的情况主要分作两类,一是私钥丢失,二是被他人偷盗。
1、私钥丢失
想必大家在注册账户的时候,会收到钱包的提醒:“请勿截图,请抄写写私钥(助记词)并存放在安全的地方。”
使用不联网的媒介储存私钥是最常见的一种方法,比方说将私钥和助记词抄写在纸条上或者保存在硬盘中等等。使用物理隔离的方法储存私钥,确实可以避免黑客接触我们的私钥,但这也不是绝对的安全,物理媒介也存在容易丢失、或是随时间流逝物理媒介损坏的风险。因抄写私钥或助记词的纸条丢失,或是因为U盘放置时间长而损坏之类的案例确实不少。
在美剧《硅谷》第 5 季中有一个根据真实案例改编的情节,说的就是剧中一家创业公司创始人把数字货币钱包存储在U盘里,结果U盘不小心被丢进了垃圾桶,从而导致私钥丢失。巧合的是,在《生活大爆炸》第 11 季中也出现过因U盘格式化而丢失数字货币的情节。
币圈大佬猫叔也在暗夜启程(三)的文章中提到过,自己丢失了最早刚学习比特币时的钱包私钥。
第二种,因忽视了私钥和助记词的重要性,没有进行备份,导致在钱包卸载后、或是因忘记钱包密码,而无法再进行交易操作,导致数字货币丢失。
币乎的创始人咕噜就曾在一次活动中分享,发生在他身边的三个丢币的故事:第一个故事讲的是咕噜自己的故事,他曾经因为忘记钱包密码,人肉尝试各种可能使用的密码,尝试了一个星期,花费了二十几个小时最后才找回。你设身处地的想一想,如果是你,你手头有大量的资产即将丢失,你会是什么心情?可能尝试找回密码的这一段时间情绪都会很糟糕,甚至影响生活和工作。
第二个咕噜朋友的故事,咕噜的这位朋友在众筹 ETH 的时候因为不清楚私钥和助记词的重要性(当时的 ETH 还没那么值钱),丢失了备份的纸条。后来在钱包卸载后,就无法再导入钱包,导致钱包中大量的 ETH 丢失。咕噜说,他这位朋友很长一段时间状态都很不好,因为这可能是半辈子才能赚到的钱,就在这一次失误中烟消云散了。
第三个故事是币圈某大佬的故事, 他的 Keystore 文件还在,但是忘记了密码,导致钱包中大量 ETH 丢失。从 2015 年到 2018 年下半年,这位大佬还试图在亚马逊服务器上破解密码,已经花费 1 万多美元的服务器费用,却仍未破解。
因自己找不到从而导致私钥丢失的案例还非常多,总的来说,都是因为平时对私钥不够注重,最后需要导入私钥时,发现找不到了,才后悔莫及,人世间最痛苦的事莫过于此。
还有一种,是因私钥抄写错误,导致资产丢失的。今年春节期间,币圈金马奖社群中就有一位成员因为抄错私钥,而差点丢失 EOS。
2、被他人偷窥和盗取
私钥没有规律不易抄写,总有部分用户嫌麻烦,无视钱包的提醒,选择将私钥和助记词截屏、或是复制保存到微信收藏夹等地方。实际上这些都是非常不安全的保存方式,可能存在被攻击者窃取私钥的风险。
2018 年 8 月份的时候,西安的警方就破获了一起数字货币盗窃案。据报道,这位受害者就是因为电脑被入侵,导致保存在电脑中的私钥被盗,当时市值达上亿元的数字货币被洗劫一空,真是私钥不管好,亲人泪两行。最后警方统计,这个犯罪团伙盗取了共计估值 6 亿的数字货币。
还有一种是被身边的“亲朋好友”偷窥到私钥最终盗币。实际上,这种被盗币的情况也是最多的。有的用户为了避免自己钱包丢失, 将自己的钱包助记词或者私钥告诉身边的家人,导致数字货币被姐夫盗走、也有备份钱包时被旁边的伙伴以拍照等手段盗取私钥或是助记词等等。
坚石曾经写过两篇关于帮别人找回数字货币的文章,其中提到的两个案例,都是将私钥记在本子上,被身边人看到,然后将币盗走。诸如此类的真实案例还非常多,所以千万不要在金钱的面前,考验人性。
私钥使用风险
不仅是储存,在私钥使用中,也常有一些陷阱可能导致我们丢币。
1、在手机、电脑上复制私钥信息时,可能被恶意软件从剪贴板窃取。目前来说,这是窃取用户信息或资产最普遍的攻击方式之一。不止是私钥,复制地址时也要注意,有种恶意软件“剪贴板劫持者”可以将用户的钱包地址替换成黑客的钱包地址。据统计,该劫持软件共监视了超过 230 万个加密货币地址。(说不定你的钱包地址就在其中)。
建议你在复制私钥和地址时,不要直接复制完整信息。可以只复制前半段,留下几个字符手动输入。
2、在钓鱼网站、或是软件上导入了私钥。可能很多人认为这种攻击方式非常老旧,不以为然,但你别说,它现在仍然奏效。比方说,你收到一个黑客伪装交易所或是钱包发来的一封邮件,说你的账户出现了什么问题,需要你点击链接恢复资产。从表面上看,很难看出链接的差别,包括点击进去也和官方网站一模一样。但只要你在上面导入了私钥,资产就会被盗取。据统计,黑客已经利用这种方法窃取了至少 2.25 亿美元的数字货币。
所以在遇到需要你输入私钥的地方,最好提高警惕,非官方渠道下载的软件不要使用,网站的网址也要仔细辨认清楚。
金马的一位朋友,在 EOS 主网上线前,被骗了将近 400 万人民币的数字货币。骗子就是假装 EOS 官方 Twitter 账号,在假账号被养了很长一段时间后,发布了一个可以获取 EOS 空投的假网站,假 Twitter 账号被骗子运营的十分逼真。
参考案例:
⑤ 价值6亿元比特币被盗 警方从3万条线索里挖出“黑客”蛛丝马迹
参考数据:
如果你想查看完整版,在微信中扫描二维码,回复私钥查看教程完整版。
「注意」 我是金马,别人离开币圈的时候,正是我深耕的时候。
这是我日更的第126天,你的熊市,让我陪你度过可好?
币圈金马奖,和你一起走币圈这条光明大道。
希望和你成为朋友,我的微信:lijinma888
「力场lichang.io」公链挖矿第一社区!
网友评论