窃取“虚拟货币”软件首现谷歌商店!如何保证数字货币钱包安全?
前言:近日,知名计算机安全软件厂商Eset的工作人员Lukas Stefanko在进行安全测试时,发现谷歌Play应用商店存在名为Android/Clipper.C的恶意软件,这款软件可以替换用户的数字货币钱包地址,从而将数字货币转入黑客的钱包,这是通过剪切替换实现“调包”类恶意应用软件首次出现在谷歌应用商店。
无处不在的“黑客”。有利润的地方就有江湖,以比特币为代表的数字货币自2013年与黄金等价时,“数字黄金”的暴利吸引很多“网络高手”关注,针对数字货币钱包的各种研究开始了,理论上,数字货币钱包是可以破解的,但是成本代价太高。谷歌商店的这款恶意软件,最早在2019年2月1日被Lukas Stefanko发现,窃取虚拟货币的Android/Clipper.C是模仿一款MetaMask的服务,MetaMask是帮忙浏览器支持虚拟货币以太坊可以运行的一款软件,在实际应用中是被用户认可的。用户在谷歌商店使用Android/Clipper.C进行数字货币操作时,黑客会把要转出的数字货币钱包地址在中途“调包”,变成黑客的数字货币钱包地址,这样用户的虚拟货币就“不知不觉”的被窃取了。
安全永远是相对的,而不是绝对的。你的钱包是安全的吗?大多数数字钱包都是可以破解的,只不过破解的成本超过钱包本身的价值。数字货币钱包分为热钱包和冷钱包,通俗的说,我们联网使用的数字钱包是冷钱包,通过物理设备隔离,不联通网络的是冷钱包。理论上,冷钱包的安全性是高于热钱包的,但是对于冷钱包的安全性在2017年曾进行过测试。Large Bitcoin Collider这一组织在2017年在8个月时间,生成3000万亿条密钥,“匹配”了十多个钱包的密钥,其中有三个钱包里面存有比特币。这个破解过程被称为“挖宝”,破解后,钱包内的数字货币由破解者平分。Large Bitcoin Collider是一台欧洲粒子物理研究所的大型强子对撞机的名字,用意是表明可用强大的算力,猜出数字货币钱包的密钥。当然这个破解过程的成本是非常高的。
如何保证我们数字货币的相对安全?对于普通的区块链投资者而言,黑客来破解你数字钱包密钥的可能性为零,同样的精力,黑客更青睐大量的数字货币交易所。但是黑客虽然不会暴力破解你的钱包,但是会通过一些其他方式来转走你的虚拟货币财产。谷歌商店这种正规的应用商店都会出现这类盗取虚拟货币的软件,那么苹果商店,以及国内的各种安卓类应用商店也难免会出现类似的黑客软件。我们应该如何避免,才能降低风险?
第一、使用正规的官方应用软件,不在陌生的应用软件上进行数字货币交易,以及秘钥的输入。
第二、秘钥生成后,不要通过截屏、复制、粘贴的方式存在文档、邮件中,秘钥要用笔记在纸上,保存好!
第三、分散钱包资产,不要把大量数字货币资产集中存放在一个平台、或者钱包中,降低被盗取的风险。
第四、不要过于迷信数字货币冷钱包。根据链帅(笔者)的了解,目前基于MTK手机平台的大部分手机都是存在隐患的,通过固件信息,是可以导出你的操作数字货币的缓存信息,甚至你的助记词词库都是可以导出的。【声明:本文为公众号:链帅科技(lianshuaikeji)原创,如有不妥,请联系修正,未经授权严禁转载】