虛擬貨幣放在冷錢包還是交易所?該如何選擇?最近一段時間,幣安和 OKX 都不太平。幣安有用戶反饋惡意插件 Aggr 繞過幣安的 MFA(多因素身份認證),通過對敲盜走了用戶的資產(chǎn)。OKX 則有用戶稱黑客使用 AI 換臉繞過 MFA 后更換了手機號、郵箱以及谷歌的驗證器,隨后盜走用戶資產(chǎn)。
受害用戶們撰寫了生動的長文,一石激起千層浪。一時間,人心惶惶,各種截圖謠言四起催促著人們趕緊提走代幣。但僅僅是遷走代幣,就夠了嗎?或許,這個問題本身折射的思維模式,未必正確。安全從來不是一道單選題。
今天腳本之家小編給大家分享的是虛擬貨幣放在冷錢包還是交易所?該如何選擇的詳細介紹了,需要的朋友不要錯過哦!
了解 Web2 賬戶安全的防線:MFA
如果你非要在冷錢包和交易所之前二選一,其實本質(zhì)上,就是在「私鑰」和「MFA 多因素身份認證」之間選擇。
對于 MFA,如果你是一個多年的互聯(lián)網(wǎng)沖浪選手,或許你已深有體會——
不知道從什么時候開始,一個簡單的密碼已經(jīng)不夠了。短信驗證碼、郵箱驗證碼,甚至是人臉識別、谷歌驗證器才是「主角」。國內(nèi)有的 APP 甚至不需要設(shè)置密碼,只需要手機驗證碼。
這很好理解,大部分普通人設(shè)置的密碼根本不夠安全(很多密碼庫已經(jīng)被各大海內(nèi)外網(wǎng)站泄露無數(shù)次了),所以需要層層保護:
第一層,只有你知道的信息:如密碼、安全問題;
第二層,只有你在持有的物品:如 SIM卡、手機、谷歌驗證動態(tài)密碼等;
第三層,只有你本人有的特征:如指紋、虹膜、人臉、聲音等。
一個常見的認證因子組合:密碼 郵箱驗證碼 手機驗證碼 谷歌驗證器動態(tài)密碼 用戶人臉身份信息。
是不是聽起來無懈可擊?理論上來說,啟用了完全的 MFA ,賬戶應(yīng)該非常安全。即使某一層被突破,黑客也無法訪問帳戶,除非他們也獲得了其他身份驗證因素。
但是實際上并非如此。
在各大互聯(lián)網(wǎng)公司中的業(yè)務(wù)流程中,他們可能會為了簡化用戶的操作采取動態(tài)式的、選擇性地驗證。
這時候,真正重要的便是其風(fēng)控方案(如異地登陸、異常操作識別)能否覆蓋到用戶操作的邊緣情況。
以推特為例,2023 年 9 月,以太坊創(chuàng)始人 Vitalik 遭遇了 SimSwap(Sim 卡交換)攻擊——即有黑客通過社會工程學(xué),讓服務(wù)商 T-mobile 轉(zhuǎn)移 Vitalik 手機號到黑客手機上。隨后 Vitalik 的推特發(fā)布了詐 騙信息,導(dǎo)致了約 69 萬美元的損失。
Vitalik 事后在 Warcast(一個去中心化社交平臺) 上感嘆,一個電話號碼足以重置 Twitter 賬戶的密碼,電話號碼并不安全。慢霧科技的首席信息安全官也表示,SimSwap 攻擊成本不高,甚至黑市里都有 SimSwap 劫持的報價。(出處(https://x.com/WuBlockchain/status/1701407498174108136 、https://chaincatcher.com/article/2101231)。
可見,即使有 MFA 的存在,在手機號驗證權(quán)限過大、沒有識別出異常登陸的情況下,推特沒有阻擋黑客的攻擊。當(dāng)然,這也可能是推特在效率和安全上的平衡。
這種平衡,在涉及管理用戶資產(chǎn)的交易所更是一個難題。
以幣安用戶因惡意插件丟失資產(chǎn)為例。黑客實際上并無法通過直接提幣到鏈上盜取用戶的資產(chǎn),因為這肯定會需要過 MFA。所以,黑客使用了交易操作進行對敲,通過來回虧損交易某個小市值代幣讓黑客從波動中獲利。隨后快速地從另一個賬戶提走,完成盜幣。
然而,對于登陸狀態(tài)下的交易所,大部分人肯定是希望交易能夠及時、快速。大家肯定不希望在快速買賣的過程中還要驗證幾層 MFA。在這一點上,幣安只能通過升級更復(fù)雜的風(fēng)控方案(比如識別對敲)來解決,而不是使用 MFA 去影響用戶交易的效率。
放棄一勞永逸,唯有狡兔三窟
看完前一部分內(nèi)容,相信你已經(jīng)知道理解了 MFA 并不完美,仍需要通過風(fēng)控方案來進行平衡效率和安全。強如世界級大所,也需要一直升級。
而選擇私鑰,便是自我承擔(dān)風(fēng)控方案的開始,這升級的壓力來到了你的身上。
你是否做好了準(zhǔn)備完全控制自己的加密資產(chǎn)?你也許一開始只是簡單地從小狐貍上抄寫私鑰到小紙條上,但很快你就會發(fā)現(xiàn)這遠遠不夠。
你依然需要:
- 以相同的力度防止黑客入侵你的電腦;
- 以相同的警覺度防范最新的黑客釣魚、社會工程攻擊;
- 在常用熱交互錢包、冷錢包之間分配資金,同時管理授權(quán);
- 付出一些額外成本,如使用硬件錢包保護隔離私鑰,甚至是更高級的方案
到這一步,你會發(fā)現(xiàn)「放在冷錢包還是交易所,到底怎么選?」并不是一個好問題。私鑰和 MFA 都各有好處和權(quán)衡。
對于系統(tǒng)性地管理資產(chǎn)安全,思考這幾個問題才是更重要的:
- 有哪些風(fēng)險?對于大部分用戶來說,就是防黑客入侵與釣魚;
- 如何分散風(fēng)險?通過多樣化和冗余的策略來降低單點故障的風(fēng)險;在 Defi 圈子里,有句話叫「一礦一地址」,可以體會下;
- 如何降低風(fēng)險?是否在能力范圍內(nèi)采取各種各樣的預(yù)防措施和控制措施,比如安裝安全插件、使用硬件錢包甚至是多簽;
- 如何應(yīng)對風(fēng)險?制定應(yīng)急響應(yīng)計劃和災(zāi)難恢復(fù)計劃,比如如何最快聯(lián)系到如慢霧這樣安全機構(gòu)進行資產(chǎn)被盜后的補救。
這些問題,對于不同資產(chǎn)規(guī)模、不同需求的用戶,回答都不同。
搞清楚這些問題之后,或許我們就不會再問標(biāo)題所提到的問題,做一些諸如把全部資產(chǎn)放在一個交易所、使用存放大額資產(chǎn)的錢包去交互陌生網(wǎng)站的操作了。
(推薦閱讀:A0 ~ A9 成神之路的加密資產(chǎn)保管方案,你在什么段位?https://x.com/OneKeyCN/status/1792075838617452688)
結(jié)語:安全是反人性的
投資通常是反人性的,安全亦然。
安全被黑客攻破,最終往往是由于人性的弱點被利用——如懶惰、貪婪和輕視。
我們深知一些用戶只想要一個簡單的答案,比如用 App 這個就安全、買了這個硬件錢包就能解決一切問題。就像大家永遠在問,買了哪個幣能發(fā)財。
作為一家負責(zé)的加密安全解決方案提供商,我們必須誠實地說——安全不是一個簡單的結(jié)果,而是一個思想和實踐過程。
有人說,認知決定了財富獲取的高度。
同樣地,認知也決定財富守護的底線。
以上就是腳本之家小編給大家分享的虛擬貨幣放在冷錢包還是交易所?該如何選擇的詳細介紹了,希望大家喜歡!
鄭重聲明:本文版權(quán)歸原作者所有,轉(zhuǎn)載文章僅為傳播更多信息之目的,如作者信息標(biāo)記有誤,請第一時間聯(lián)系我們修改或刪除,多謝。
