长推:深度迷思——资产放在冷钱包还是交易所,到底怎么选?

OneKey 中文热度: 17264

本文总结了币安和OKX交易所发生的安全事件,提醒人们在使用交易所时要注意账户安全。MFA多因素身份认证是重要手段,但并非万无一失,还需结合其他风控方案来保障账户安全。交易所也需平衡安全和效率,不能仅依靠MFA。用户应提高安全意识,不轻信谣言,保护个人信息和密码。MFA无法完全阻挡黑客攻击,交易所需通过风控方案平衡效率和安全。选择私钥或MFA都有利弊,重要的是认识风险并采取多样化措施。安全是思想和实践过程,OneKey等安全解决方案可提供帮助,但用户需保持警惕和思考。

摘要由 Mars AI 生成
本摘要由 Mars AI 模型生成,其生成内容的准确性、完整性还处于迭代更新阶段。

原文作者:OneKey 中文

原文来源:twitter

注:本文来自@OneKeyCN 推特,火星财经整理如下:

有人说,这是「最熊的牛市」,大饼震荡、山寨拉垮。或许唯一「永赚」的,只有黑客了。

最近一段时间,币安和 OKX 都不太平。币安有用户反馈恶意插件 Aggr 绕过币安的 MFA(多因素身份认证),通过对敲盗走了用户的资产。OKX 则有用户称黑客使用 AI 换脸绕过 MFA 后更换了手机号、邮箱以及谷歌的验证器,随后盗走用户资产。


受害用户们撰写了生动的长文,一石激起千层浪。一时间,人心惶惶,各种截图谣言四起催促着人们赶紧提走代币。


但仅仅是迁走代币,就够了吗?或许,这个问题本身折射的思维模式,未必正确。


安全从来不是一道单选题。


了解 Web2 账户安全的防线:MFA


如果你非要在冷钱包和交易所之前二选一,其实本质上,就是在「私钥」和「MFA 多因素身份认证」之间选择。


对于 MFA,如果你是一个多年的互联网冲浪选手,或许你已深有体会——


不知道从什么时候开始,一个简单的密码已经不够了。短信验证码、邮箱验证码,甚至是人脸识别、谷歌验证器才是「主角」。国内有的 APP 甚至不需要设置密码,只需要手机验证码。


这很好理解,大部分普通人设置的密码根本不够安全(很多密码库已经被各大海内外网站泄露无数次了),所以需要层层保护:


第一层,只有你知道的信息:如密码、安全问题;

第二层,只有你在持有的物品:如 SIM卡、手机、谷歌验证动态密码等;

第三层,只有你本人有的特征:如指纹、虹膜、人脸、声音等。


一个常见的认证因子组合:密码 + 邮箱验证码 + 手机验证码 + 谷歌验证器动态密码 + 用户人脸身份信息。


是不是听起来无懈可击?理论上来说,启用了完全的 MFA ,账户应该非常安全。即使某一层被突破,黑客也无法访问帐户,除非他们也获得了其他身份验证因素。


但是实际上并非如此。


在各大互联网公司中的业务流程中,他们可能会为了简化用户的操作采取动态式的、选择性地验证。


这时候,真正重要的便是其风控方案(如异地登陆、异常操作识别)能否覆盖到用户操作的边缘情况。


以推特为例,2023 年 9 月,以太坊创始人 Vitalik 遭遇了 SimSwap(Sim 卡交换)攻击——即有黑客通过社会工程学,让服务商 T-mobile 转移 Vitalik 手机号到黑客手机上。随后 Vitalik 的推特发布了诈骗信息,导致了约 69 万美元的损失。


Vitalik 事后在 Warcast(一个去中心化社交平台) 上感叹,一个电话号码足以重置 Twitter 账户的密码,电话号码并不安全。慢雾科技的首席信息安全官也表示,SimSwap 攻击成本不高,甚至黑市里都有 SimSwap 劫持的报价。(出处(https://x.com/WuBlockchain/status/1701407498174108136https://chaincatcher.com/article/2101231)。


可见,即使有 MFA 的存在,在手机号验证权限过大、没有识别出异常登陆的情况下,推特没有阻挡黑客的攻击。当然,这也可能是推特在效率和安全上的平衡。


这种平衡,在涉及管理用户资产的交易所更是一个难题。


以币安用户因恶意插件丢失资产为例。黑客实际上并无法通过直接提币到链上盗取用户的资产,因为这肯定会需要过 MFA。所以,黑客使用了交易操作进行对敲,通过来回亏损交易某个小市值代币让黑客从波动中获利。随后快速地从另一个账户提走,完成盗币。


然而,对于登陆状态下的交易所,大部分人肯定是希望交易能够及时、快速。大家肯定不希望在快速买卖的过程中还要验证几层 MFA。在这一点上,币安只能通过升级更复杂的风控方案(比如识别对敲)来解决,而不是使用 MFA 去影响用户交易的效率。


放弃一劳永逸,唯有狡兔三窟


看完前一部分内容,相信你已经知道理解了 MFA 并不完美,仍需要通过风控方案来进行平衡效率和安全。强如世界级大所,也需要一直升级。


而选择私钥,便是自我承担风控方案的开始,这升级的压力来到了你的身上。


你是否做好了准备完全控制自己的加密资产?你也许一开始只是简单地从小狐狸上抄写私钥到小纸条上,但很快你就会发现这远远不够。


你依然需要:


- 以相同的力度防止黑客入侵你的电脑;

- 以相同的警觉度防范最新的黑客钓鱼、社会工程攻击;

- 在常用热交互钱包、冷钱包之间分配资金,同时管理授权;

- 付出一些额外成本,如使用硬件钱包保护隔离私钥,甚至是更高级的方案


到这一步,你会发现「放在冷钱包还是交易所,到底怎么选?」并不是一个好问题。私钥和 MFA 都各有好处和权衡。


对于系统性地管理资产安全,思考这几个问题才是更重要的:


- 有哪些风险?对于大部分用户来说,就是防黑客入侵与钓鱼;

- 如何分散风险?通过多样化和冗余的策略来降低单点故障的风险;在 Defi 圈子里,有句话叫「一矿一地址」,可以体会下;

- 如何降低风险?是否在能力范围内采取各种各样的预防措施和控制措施,比如安装安全插件、使用硬件钱包甚至是多签;

- 如何应对风险?制定应急响应计划和灾难恢复计划,比如如何最快联系到如慢雾这样安全机构进行资产被盗后的补救。


这些问题,对于不同资产规模、不同需求的用户,回答都不同。

搞清楚这些问题之后,或许我们就不会再问标题所提到的问题,做一些诸如把全部资产放在一个交易所、使用存放大额资产的钱包去交互陌生网站的操作了。


(推荐阅读:A0 ~ A9 成神之路的加密资产保管方案,你在什么段位?https://x.com/OneKeyCN/status/1792075838617452688


结语:安全是反人性的


投资通常是反人性的,安全亦然。


安全被黑客攻破,最终往往是由于人性的弱点被利用——如懒惰、贪婪和轻视。


我们深知一些用户只想要一个简单的答案,比如用 App 这个就安全、买了这个硬件钱包就能解决一切问题。就像大家永远在问,买了哪个币能发财。


作为一家负责的加密安全解决方案提供商,我们必须诚实地说——安全不是一个简单的结果,而是一个思想和实践过程。


OneKey 以及各位安全友商所能提供的,是各位极致打造的安全方案(软件钱包与硬件钱包)。我们希望成为用户的选择,但我们依然希望用户保持对安全问题的思考,尤其是在去中心化的 Web3。这就像投资需要的是策略,同样的币在不同的人手中,结果完全不同。


有人说,认知决定了财富获取的高度。


同样地,认知也决定财富守护的底线。

声明:本文为入驻“MarsBit 专栏”作者作品,不代表MarsBit官方立场。
转载请联系网页底部:内容合作栏目,邮件进行授权。授权后转载时请注明出处、作者和本文链接。未经许可擅自转载本站文章,将追究相关法律责任,侵权必究。
提示:投资有风险,入市须谨慎,本资讯不作为投资理财建议。
免责声明:本文不构成投资建议,用户应考虑本文中的任何意见、观点或结论是否符合其特定状况,及遵守所在国家和地区的相关法律法规。