推特帳號 @0x_Lens 分享了一則影片,該影片只有約 46 秒,卻牽涉了一起高達十萬美元的加密貨幣竊盜案。隨著比特幣價格不斷創新高,吸引許多用戶進入加密貨幣的世界,本篇文章將簡介整起事件起源,並提醒正確的資安觀念。
Table of Contents
僅十秒時間,直播主註記詞外洩噴了十萬鎂
影片中可以看到直播主首先關閉瀏覽器,這時他顯示在桌面上的註記詞 (影片左上角) 就在直播當中全部曝光。而這一切發生不過十秒,當下他馬上切換回瀏覽器頁面,並檢查自己的 Phantom 錢包,卻發現有數十萬美元的加密貨幣已經被轉走了。這時他開始歇斯底里,確認錢包遭駭後開始在直播中怒砸鍵盤,這也引來同在屋內的朋友注意。
而這一切回歸到最基本的觀念,在鏈上的所有權只認註記詞,而不是認人。這表示只要持有地址私鑰或註記詞,就能夠持有資產,而不是誰創立錢包就持有資產。
不過,後來 @0x_Lens 發現,這一切都是直播主自導自演,事實上根本沒有被盜竊。
冷錢包服務商示警:只要連網就有風險
一般來說分為託管錢包與非託管錢包,託管錢包就如同中心化交易所。而大部分錢包服務提供商則是非託管錢包,這表示私鑰及註記詞都只有用戶自己知道。而先前報導的 DEXX 私鑰外洩事件,則是號稱非託管錢包,官方卻擁有私鑰數據。延續此話題,或許我們可以逐步檢視常用的交易機器人究竟是否為非託管錢包。
(土狗交易所 DEXX 驚傳私鑰外洩,多位 KOL 無腦推薦,受害金額破億)
冷錢包供應商 OneKey 中文就整理了各種錢包的屬性,包括所謂的託管錢包或是會連網的行動裝置錢包,都屬於風險較高的。而將註記詞抄在紙上丶冷錢包及用不連網的舊錢包安裝加密貨幣錢包,會是更安全的方式。
私鑰必須線下儲存,Not your key not your coin
對於新用戶來說,創建錢包的第一步應是將註記詞(通常是 12 至 24 組單字)依序抄在紙上並妥善保存(注意,就如同先前所述鏈上資產只認註記詞不認人,勢必要保存好註記詞,若失去註記詞則無法存取資產)。另外還有一個作法是複製私鑰時手動刪除末五碼,並將末五碼抄在紙上,這會是更便捷的做法。
最重要的是只要裝置連網就有風險,因此若是資產數量龐大,會更建議購買冷錢包,並妥善保存。就如同區塊鏈世界的名言:Not your key, not your coin。
(Hotcoin Global與CoolWallet達成戰略合作)