余干区块链交流群

数字货币钱包遭遇攻击!用户资金丢失!如何保障数字资产安全?

怪大叔尬聊区块链2019-02-09 06:49:34

在这里读懂区块链


 

4月24日晚上9点,数字货币钱包Myetherwallet(MEW)遭受了DNS劫持攻击,劫持持续了几个小时。据称黑客似乎从此次攻击中获得了大约215个ETH(价值约15万美元)。一名不幸的用户损失了超过85个ETH,价值近6万美元。

 

此次事件的发生使得人们开始担心数字钱包的安全性。有人甚至发表观点称,数字钱包及其底层的区块链技术就是个骗局,区块链技术宣称的不可篡改性、安全性根本不存在,只是个骗钱的工具!那么事实真的是这样么?




我们来回顾一下这次的事件。以下是一位遭受损失的网友的自述:


“虽然收到了不安全的提示,但我仍然尝试继续登陆。尽管我身体的每个细胞都告诉我不要尝试登录,但我还是强行登录了。在我强行登陆后,出现约10秒钟的倒计时,然后我钱包中的ETH就被发送到另一个钱包中!”


等到从Etherscan上看到交易已经完成,这位可怜的网友才意识自己可能是被骗了。


实际上这次事件有一个共同点,遭受损失的用户均强行登陆了被提示不安全的钓鱼网站。之后,要么在该网站上输入了交易信息,提供了自己的私钥;要么曾经将私钥保存在电脑的文件中,导致被黑客窃取进行数字货币的转账操作。请大家一定记住,在区块链中,没有私钥是无法进行交易的。私钥非常重要!没有确认绝对的安全一定不要随便输入私钥!



我们看到,用户在登录时首先收到了一则网页不安全的提示,但他仍然强行登陆。这里我们要解释一下何为DNS劫持


  • 平时我们上网,会在地址栏中输入网址。比如百度:www.baidu.com,然后网页开始跳转到我们需要的搜索页面。

  • 坐在显示屏前的我们看来,我们输入网址,然后页面就显示出来,这就是一步过程。

  • 但实际上,网址是便于我们记忆的一个地址,而机器并不能够直接识别我们直接输入的地址,而需要首先将其翻译成机器能够识别的地址,即IP地址。

  • 而所谓的DNS(域名系统)的作用,就是把我们输入的网络地址(域名)对应到真实的计算机能够识别的网络地址(IP地址)。

 

使用网上银行、交易所等进行正常交易时的流程如下图所示。此时的DNS服务器为正常服务器,我们输入网址后显示器显示的是正确的IP地址对应的正确的网址,因此我们能进行安全的网上交易操作。



但如果DNS服务器被劫持了(如下图所示),那么虽然我们从显示器上看到的页面与实际正确的页面一样,但实际访问的却是错误的页面,即我们经常听到的钓鱼网站。如果你没有发现,或者无视网页不安全的警告强行输入信息进行交易,那这些钱就会悲剧地转到黑客的账户中去了。



这次数字钱包MyEtherWallet所遭受的DNS劫持攻击,就属于上述这类情况。MyEtherWallet调查后表示,“几台DNS服务器被劫持,myetherwallet.com用户被重定向到一个钓鱼网站。 这次问题不在myetherwallet方面,我们正在验证哪些服务器可以尽快解决问题。”

事发几小时后,网站即恢复正常。



我们在之前的文章中聊到:

区块链这种分布式记账方式通过加密算法决定记账权归属,以分布式的方式通过全网进行数据验证,从而保证数据的安全性与不可篡改性。同时,通过非对称加密方法保障用户隐私。

因此,只要用户安全掌握并使用自己的密钥,不泄露私钥,那么,区块链上的交易就能够保证安全性。

 

但是,就好比你要进一家店,店内的一切都能令人满意,安全性可以得到很好保障。问题是,你上来就被忽悠走错了店门,进了一家骗子的店,店里的一切布置与正规店面一模一样,然后你在这家假冒的店里被骗了钱。作为区块链技术,它能够最大程度保证整个交易过程的安全性,但对于登陆钓鱼网站使得用户泄露私钥导致资金损失,这个锅,区块链技术不背。


*资料来源于网络


其实DNS劫持的案例不在少数。我们列举历史上有名的几件DNS劫持事件,均造成了不同程度的损失。DNS劫持并不针对数字货币钱包,各大网站、银行在历史上均有遭遇过DNS劫持问题,目前仍无法根绝这一问题。庆幸的是,目前大多数的主流杀毒软件均能有效判断出网址是否存在安全隐患,就像这次的MyEtherWallet案例一样,用户在登录网站时被提醒网站存在安全隐患。

 

而我们需要真正加强的,一个是继续研究对DNS劫持的防范技术,另一个就是加强自身的安全意识。对于数字货币钱包,以及区块链应用来说,便是谨慎使用、不泄露自己的私钥,这样才能保障资金安全。

 

最后重要的事情说三遍:

私钥很重要!保存好!没有确认绝对的安全一定不能随便输入!

私钥很重要!保存好!没有确认绝对的安全一定不能随便输入!

私钥很重要!保存好!没有确认绝对的安全一定不能随便输入!



与怪大叔深入交流,加入我们的微信群吧。

关注公众号,有入群方式哦~


推荐阅读

EOS强势破百!到底发生了什么?我们该不该入场?

数字货币的罪与罚!

炒比特币爆仓风波 | 投资者持敌敌畏讨要资金

消息落地!人民币将依靠区块链实现国际化

【深度好文】别再不信了,一篇文章告诉你区块链到底有多牛?

赶紧上区块链3.0这趟车!你的同龄人并没有抛弃你!!!



好文就要点赞转发哦~


友情链接

Copyright © 余干区块链交流群@2017