在加密货币的世界里，你的资产就是链上的一串代码。

这里，是黑客敛财的新天地。据 *** 安全公司 Carbon Black 最新调查数据的调查数据显示，2018年上半年，有价值约11亿美元的数字加密货币被盗。2018年下半年，这个数字还在不断攀升。

而加密货币钱包，是黑客们肆虐的重点领域之一。

‍‍‍无论是热钱包、冷钱包，中心化、去中心化钱包，云端钱包、HD钱包，只要有利可图，都能在其中看到黑客狡黠的身影。

如何保卫被黑客盯上的钱包，将是一场漫长而残酷的战斗……

猖狂的黑客和脆弱的系统

“2017年年中出现大量有计划性针对性的黑客。”鱼池创始人、Cobo CEO神鱼告诉31QU，“据说有30万名黑客在针对区块链的各个方面做攻击跟薅羊毛的事情。”

而加密货币钱包，是黑客攻击的重灾区之一。

11月27日，一名黑客攻破了 Java 库，并在库中注入恶意代码，妄图窃取 BitPay、Copay 钱包存储在其中的比特币和比特币现金。

被波及的BitPay与Copay，是全球知名的加密货币钱包品牌。BitPay 在今年4月份获得了4000万美金的B轮融资，2017年支付总额接近20亿美元。

BitPay与Copay受到的威胁绝非个案，如今，黑客对钱包的攻击已经“肆无忌惮”。

今年7月份，由以太坊前CTO盖文·伍兹操刀的加密货币钱包 Parity 发布了安全警报，称有153000ETH(大约价值 3000 万美元)被盗。

2017年，在钱包方面，被黑客攻击、损失金额超过千万美金级别的就有6起。而与黑客疯狂的攻击相对应的，是目前加密货币钱包脆弱的安全技术。

据不完全统计，目前市面上有上千家钱包产品，但真正有安全技术的，并不多。

“钱包是一个非常重安全的事情，但用户对钱包并不是很了解。”神鱼表示，“很多人拿开源代码随便改改，一两个人一两周做出来的，底层安全几乎在裸奔。”

在今年，钱包领域迎来一个创业的高峰，也有大量“简单粗暴”的钱包产品涌现，“开源代码拿过来改一改，UI做的漂亮一点，功能做的简单粗暴一点”，用户一旦使用，就等于把自己的资产放在一个极度不安全的环境中。

在今年5月，360集团信息安全部发布了《数字货币钱包安全白皮书》，白皮书称，目前，市场上最为主流的20多款钱包中，有八成存在安全隐患。

“这样的安全现状，导致很多黑客都把区块链都当成靶场了。一旦加密货币钱包让他们攻破，资产丢了几乎没法找回，所以黑客们就把区块链当成了‘取款机’。”区块链安全公司的技术负责人赵伟认为。

正是如此低的进入门槛，导致这个钱包这个新兴领域变成了黑客的“屠宰场”。

消失的秘钥

除了直接攻击钱包的安全团队，黑客还把目光放在普通的用户身上。

使用过加密货币钱包的用户都了解，私钥对应的“助记词”，是一款钱包安全的关键。如果不是“中心化”的钱包，助记词丢失，意味着钱包再也找不回来；相应的，如果助记词被黑客盗用，就等于钱包被黑客攻破。

“其实这个世界上80%的人没有这个能力管理随机数（与私钥强相关）的。”神鱼认为，“一旦被盯上，随随便便一个木马就会导致你的数字资产荡然无存。”

举个最简单的例子，很多人在手机上使用了第三方的输入法，只要有“输入”、“备份”操作，你输进去的词就是不安全的，已经被上传到第三方数据库里。

如果你把助记词“复制”到其他地方，只要进了粘贴版，就被各种软件360度监控，黑客稍微动些心思，就能找到。

神鱼就曾和“黑客”有过一次惊心动魄的交锋。

2015年，正在维护自家矿池的神鱼，收到了一家“国外知名媒体”记者的采访邀请，简单的寒暄后，神鱼欣然答应了这名记者的采访。

从矿池到矿机，从加密货币行业现状，到未来区块链发展趋势，这位“记者”的问题涉猎广泛，并且相当专业。

“当时根本丝毫没有怀疑。”神鱼告诉31QU。

采访持续了一个月。一个月后，“记者”将采访内容整理出稿，给神鱼发了一份Word文档请求确认。

“我一般是不收Word文档的，因为Word文档很容易被植入木马，而PDF却相对安全的多。”神鱼解释道。他当时要求“记者”把Word文档转换成PDF格式，但对方却说“不方便”，百般推辞，就是不发PDF文档。

这个细节，让神鱼突然警惕起来。他找了台新的电脑，将这份文档转入虚拟机（对整个电脑而言，是相对安全的封闭环境），结果发现，这份Word文档确实有问题。

如果当时在常用的电脑上打开了这份文件，会被立刻植入木马，电脑上所有数据会一点一点泄露，数据和资产都面临风险。

即便有安全软件提示安全，自己也要多长心眼

“我又跟他聊了下，最后发现他是一个黑客。”神鱼说，“只要你值得被盗，黑客就愿意花心思。”

除了针对一人的黑客攻击，对于普通用户而言，黑客也会无差别大范围的攻击。

2018年3月20日，慢雾科技发现了臭名昭著的“以太坊情人节”攻击。这次黑客可以说是“雨露均沾”，对以太坊钱包进行了持续数年攻击，敛财高达数千万美金。

2016年2月14日，黑客通过之一笔成功攻击获得了26.7个以太坊

这一切要从2016年2月14日说起。

情人节这天，黑客通过一组可以直接从以太坊钱包自动转账的命令“ETH_sendTransaction”，之一次在以太坊 *** 上盗取了26.7个以太坊。

之后，这个盗窃方式在以太坊全网蔓延。

首先，黑客通过在全球扫描开放的 RPC API 接口的以太坊节点，有了这个接口，黑客便可以检测以太坊区块高度、钱包地址及余额。

全球开放 RPC API 的以太坊节点

然后，黑客通过不断调用 ETH_sendTransaction 命令，尝试将地址中的余额转到黑客事先准备好的钱包。

如果此时恰好遇到用户从自己钱包退出，部分浏览器会默认在300s内无需用户再次输入密码。此时黑客的 ETH_sendTransaction 命令将会发挥作用，将钱包中的资金悉数卷走。

这些 IP 目前正在从以太坊世界寻找猎物

慢雾已经梳理了目前正在进行类似攻击的IP地址，共有31个。

五花八门的物理攻击

事实上，在 *** 攻击之外，还有其他大规模针对加密货币的“物理攻击”。

有着“维京海盗”传奇历史的北欧，近些年发生了数起针对高净值加密货币持有者的“入侵绑架”事件。

刀架在脖子上，当然要什么给什么。

2017年，著名的加密货币交易所 *** C-e，因为涉及洗黑钱等问题，导致FBI直接冲进了他的IDC机房，抱走了服务器。

结果，整个交易所用户的比特币，都存在那几台服务器里，用户最后亏损了三分之二的比特币。

除此之外，还有专门针对硬件钱包的“供应链攻击”。

神鱼解释道，所谓“供应链攻击”，是指在硬件钱包出厂到客户手上这段距离上，黑客对硬件钱包动了手脚，钱包本身的随机数就不再随机，黑客就有可能攻破钱包，进而将客户资产转走。

这并不是危言耸听。

2018年1月份，网友 moodyrocket ，在eBay购买了一个二手硬件钱包，随后将3.4万美金加密货币悉数转入了这个二手钱包中。

一周之后，当 moodyrocket 再次打开这个钱包时，却惊讶的发现“余额为零了”。

原来，moodyrocket是从黑客手中购买了这个二手钱包，而黑客预先在设备中写入了其自己设置的复原码，并没有使用硬件钱包厂商Ledger公司提供的随机码。

被认为最安全的“硬件钱包”，也被攻陷了。

守卫钱包安全

黑客的盗取钱包的手段五花八门，从直接破解随机算法，到读取电脑粘贴板数据、破解电脑信息，再到更改硬件钱包随机数，甚至配合犯罪集团进行人身攻击，“只有想不到，没有黑客办不到”。

面对互联网上花样繁多的黑客盗窃 *** ，钱包创业者要如何应对？

首先，钱包团队本身要把安全技术放在首位。

目前有很多开源系统，但开源系统是存在许多安全漏洞的，“需要开发人员重新把架构优化”，神鱼表示。

这意味着，对不同的加密货币，也要有不用的安全保障机制，这往往需要几个月的准备和测试。

“举个例子，比如某些加密货币采用了非标准的签名算法，那在上币前首先需要把签名算法实现，然后联系硬件厂家，在硬件里面烧录，然后通过安全公司审计等一系列流程。”神鱼解释道。

其次，对于不同用户，也可以用不同的安全策略。

比如一些小白用户，对“存储私钥”的重要性并没有太深的理解，这时候，可以在设计流程上，尽量不让用户接触核心逻辑。

“比如导出私钥、导入私钥这些功能，直接不加。”神鱼认为，“因为用户自己导入导出私钥，被黑客盯上之后，资产很容易被窃取了。”

而在私钥保存方面，记载小纸片上的信息很容易损坏或者丢失，可以使用“金属助记词板”，自己拼出来，然后放在安全的地方。

金属助记词板

目前，黑客主要还是通过线上的手段来进行攻击，相对的，硬件钱包会比较安全。

而保证硬件钱包安全，则要做到两个方面：之一，是有一颗安全的加密芯片；第二，是要有“供应链攻击检测”，检测钱包从生产再到用户手里，是否被外界植入其他信息。

团队需要不停打磨自身的安全技术，对于用户而言，要如何保护自己的加密货币安全呢？

慢雾科技联合创始人余弦向31QU推荐了用二手苹果手机做硬件钱包的 *** ，“可以用一台二手苹果手机上安装去中心化钱包，再将不相关功能重置，需要联网的话，就用4G *** 。”

在做好这一切，也就极大降低了黑客盗窃盗取加密货币的可能性。

还有一个忠告是：持有大量加密货币资产的人，尽量保持低调。

“高调一些的人可能会被黑客盯上，黑客在微信群、 *** 群，做点社工，高调的人就有可能被盯上，这就增加了被盗的可能性。”神鱼说道。

今年1月份，俄罗斯加密货币投资者Nyashin刚在网上炫耀了自己的加密货币财富，随后被盯上。在格勒州的家中，Nyashin遭到袭击和抢劫，袭击者偷走了价值2400万卢布（42.5万美元）的资金。Nyashin因此绝望，选择了自杀。

虽然并不是严格意义上的黑客盗窃，但这次暴力事件也足以提醒加密货币投资者“随时保持低调”。

● ● ●

因为需要在安全方面进行大量的投入，所以加密货币钱包，并不是一个轻松的创业领域。

“我们的判断是，钱包会从一个早期的管理私钥的工具，逐渐变成DApp等领域的入口。”神鱼认为，这个入口级的机会，可以诞生一家伟大的公司。

但是，在成为加密货币世界的入口之前，首先面对的，是黑客的枪林弹雨。守住安全的最后防线，是所有钱包创业者和用户都需要正视和应对的挑战。