风险提示:理性看待区块链,提高风险意识!

深度迷思:资产放在冷钱包还是交易所?到底怎么选?


作者:OneKey 中文 来源:X,@OneKeyCN最近一段时间,币安和 OKX 都不太平。币安有用户反馈恶意插件 Aggr 绕过币安的 MFA(多因素身份认证),通过对敲盗走了用户的资产。OKX

作者:OneKey 中文 来源:X,@OneKeyCN

最近一段时间,币安和 OKX 都不太平。币安有用户反馈恶意插件 Aggr 绕过币安的 MFA(多因素身份认证),通过对敲盗走了用户的资产。OKX 则有用户称黑客使用 AI 换脸绕过 MFA 后更换了手机号、邮箱以及谷歌的验证器,随后盗走用户资产。

受害用户们撰写了生动的长文,一石激起千层浪。一时间,人心惶惶,各种截图谣言四起催促着人们赶紧提走代币。

但仅仅是迁走代币,就够了吗?或许,这个问题本身折射的思维模式,未必正确。

安全从来不是一道单选题。

了解 Web2 账户安全的防线:MFA

如果你非要在冷钱包和交易所之前二选一,其实本质上,就是在「私钥」和「MFA 多因素身份认证」之间选择。

对于 MFA,如果你是一个多年的互联网冲浪选手,或许你已深有体会——

不知道从什么时候开始,一个简单的密码已经不够了。短信验证码、邮箱验证码,甚至是人脸识别、谷歌验证器才是「主角」。国内有的 APP 甚至不需要设置密码,只需要手机验证码。

这很好理解,大部分普通人设置的密码根本不够安全(很多密码库已经被各大海内外网站泄露无数次了),所以需要层层保护:

第一层,只有你知道的信息:如密码、安全问题;

第二层,只有你在持有的物品:如 SIM卡、手机、谷歌验证动态密码等;

第三层,只有你本人有的特征:如指纹、虹膜、人脸、声音等。

一个常见的认证因子组合:密码 邮箱验证码 手机验证码 谷歌验证器动态密码 用户人脸身份信息。

是不是听起来无懈可击?理论上来说,启用了完全的 MFA ,账户应该非常安全。即使某一层被突破,黑客也无法访问帐户,除非他们也获得了其他身份验证因素。

但是实际上并非如此。

在各大互联网公司中的业务流程中,他们可能会为了简化用户的操作采取动态式的、选择性地验证。

这时候,真正重要的便是其风控方案(如异地登陆、异常操作识别)能否覆盖到用户操作的边缘情况。

以推特为例,2023 年 9 月,以太坊创始人 Vitalik 遭遇了 SimSwap(Sim 卡交换)攻击——即有黑客通过社会工程学,让服务商 T-mobile 转移 Vitalik 手机号到黑客手机上。随后 Vitalik 的推特发布了诈骗信息,导致了约 69 万美元的损失。

Vitalik 事后在 Warcast(一个去中心化社交平台) 上感叹,一个电话号码足以重置 Twitter 账户的密码,电话号码并不安全。慢雾科技的首席信息安全官也表示,SimSwap 攻击成本不高,甚至黑市里都有 SimSwap 劫持的报价。(出处(https://x.com/WuBlockchain/status/1701407498174108136 、https://chaincatcher.com/article/2101231)。

可见,即使有 MFA 的存在,在手机号验证权限过大、没有识别出异常登陆的情况下,推特没有阻挡黑客的攻击。当然,这也可能是推特在效率和安全上的平衡。

这种平衡,在涉及管理用户资产的交易所更是一个难题。

以币安用户因恶意插件丢失资产为例。黑客实际上并无法通过直接提币到链上盗取用户的资产,因为这肯定会需要过 MFA。所以,黑客使用了交易操作进行对敲,通过来回亏损交易某个小市值代币让黑客从波动中获利。随后快速地从另一个账户提走,完成盗币。

然而,对于登陆状态下的交易所,大部分人肯定是希望交易能够及时、快速。大家肯定不希望在快速买卖的过程中还要验证几层 MFA。在这一点上,币安只能通过升级更复杂的风控方案(比如识别对敲)来解决,而不是使用 MFA 去影响用户交易的效率。

放弃一劳永逸,唯有狡兔三窟

看完前一部分内容,相信你已经知道理解了 MFA 并不完美,仍需要通过风控方案来进行平衡效率和安全。强如世界级大所,也需要一直升级。

而选择私钥,便是自我承担风控方案的开始,这升级的压力来到了你的身上。

你是否做好了准备完全控制自己的加密资产?你也许一开始只是简单地从小狐狸上抄写私钥到小纸条上,但很快你就会发现这远远不够。

你依然需要:

- 以相同的力度防止黑客入侵你的电脑;

- 以相同的警觉度防范最新的黑客钓鱼、社会工程攻击;

- 在常用热交互钱包、冷钱包之间分配资金,同时管理授权;

- 付出一些额外成本,如使用硬件钱包保护隔离私钥,甚至是更高级的方案

到这一步,你会发现「放在冷钱包还是交易所,到底怎么选?」并不是一个好问题。私钥和 MFA 都各有好处和权衡。

对于系统性地管理资产安全,思考这几个问题才是更重要的:

- 有哪些风险?对于大部分用户来说,就是防黑客入侵与钓鱼;

- 如何分散风险?通过多样化和冗余的策略来降低单点故障的风险;在 Defi 圈子里,有句话叫「一矿一地址」,可以体会下;

- 如何降低风险?是否在能力范围内采取各种各样的预防措施和控制措施,比如安装安全插件、使用硬件钱包甚至是多签;

- 如何应对风险?制定应急响应计划和灾难恢复计划,比如如何最快联系到如慢雾这样安全机构进行资产被盗后的补救。

这些问题,对于不同资产规模、不同需求的用户,回答都不同。

搞清楚这些问题之后,或许我们就不会再问标题所提到的问题,做一些诸如把全部资产放在一个交易所、使用存放大额资产的钱包去交互陌生网站的操作了。

(推荐阅读:A0 ~ A9 成神之路的加密资产保管方案,你在什么段位?https://x.com/OneKeyCN/status/1792075838617452688)

结语:安全是反人性的

投资通常是反人性的,安全亦然。

安全被黑客攻破,最终往往是由于人性的弱点被利用——如懒惰、贪婪和轻视。

我们深知一些用户只想要一个简单的答案,比如用 App 这个就安全、买了这个硬件钱包就能解决一切问题。就像大家永远在问,买了哪个币能发财。

作为一家负责的加密安全解决方案提供商,我们必须诚实地说——安全不是一个简单的结果,而是一个思想和实践过程。

有人说,认知决定了财富获取的高度。

同样地,认知也决定财富守护的底线。

热门币种
更多
币种
流通量
24小时
OM
MANTRA
0.71 USDT
3.17
HNT
Helium
3.413 USDT
6.32
ENS
Ethereum Name Service
26.6612 USDT
186.94
StarkNet
0.737 USDT
19.63
Neutron
0.513 USDT
8.39
ICX
ICON
0.1536 USDT
1.43
XAI
Xai
0.5088 USDT
11.12
Marinade staked SOL
158.32 USDT
0.01
Frax
0.9784 USDT
0
DEXTools
0.6717 USDT
0.02
WMT
World Mobile Token
0.2694 USDT
1.76
Huobi BTC
33663.91 USDT
0.01