您正在使用IE低版浏览器,为了您的雷锋网账号安全和更好的产品体验,强烈建议使用更快更安全的浏览器
业界专题 正文
发私信给刘芳平
发送

0

比特币盗窃大揭密:三步即可!

本文作者:刘芳平 2013-12-20 17:47
导语:对比特币来说,很难理解这些数字盗窃是如何做到的。他们到底偷窃的是什么?而一旦得手,又该如何处理脏物?

本月早些时候,发生了比特币史上最严重的抢劫事件,在线毒品市场Sheep Marketplace被洗劫了,价值约1亿美元的比特币被偷走,做案者可能是黑客也可能是内部人士。

比特币偷盗事件并不鲜见。2011年6月,一名叫Allinvain的用户成为有记录以来首次大规模比特币偷盗事件的受害者。Allinvain醒来发现黑客窃取了价值约50万美元的比特币。“我现在想死的心都有了,”他当时写道。

自那以来又有了数十起比特币盗窃案。许诺高回报率的投资基金Bitcoin Savings & Trust结果是一个金字塔骗局,它的拥有者被指控卷走了投资者450万美元的比特币。MyBitcoin是一家比特币在线“钱包”服务,带着用户价值100万美元的比特币消失了。一些知名的比特币公司,包括Mt. Gox和已经没了的Bitcoinica交易平台,都曾发生过大规模偷盗事件。

信用卡偷盗的受害者可以把卡冻结并取消欺诈交易,不过比特币的交易是无法逆转的,因而格外受到窃贼的喜爱。“比特币就像现金,”卡内基梅隆大学的助理研究教授Nicolas Christin说,他做了大量的比特币分析。“把它找回来的唯一办法就是把偷窃的人找到并打到他还回来为止。”

不过对比特币来说,很难理解这些数字盗窃是如何做到的。他们到底偷窃的是什么?而一旦得手,又该如何处理脏物?

第一步:复制密钥

比特币不是个东西。它更像是一个叫blockchain(块环链)的公共账簿,这个账簿不断跟踪持续扩展的地址列,以及这些地址中有多少比特币。

如果你拥有比特币,你真正拥有的是解锁某个地址的密钥(密码)。这个私人密钥看起来是一串数字和字母的组合。你可以把密钥打印在纸上,存在硬盘或在线服务上,或是纹到身上。

不过所有的存储方式都有被偷盗的风险,因为那只是一串字符。对普通人来说,还没有特别安全的方式来存储虚拟货币。

最有利可图的攻击往往针对的是那些存储了大量用户密钥的在线服务,就比如Sheep Marketplace。此类攻击时常是由内部人士进行的,他们不用做太多黑客的工作。只要复制了密钥的数据库就能控制所有的地址,然后就能使用这些地址上的比特币了。

第二步:把脏比特币“洗”干净

尽管比特币的一些特性使它对窃贼格外有吸引力,它也有一些对抗偷盗的特性。由于blockchain是公共的,这意味着任何人都可以看到比特币转向哪里。在Sheep Marketplace被劫后,一些用户追踪到被偷的比特币在各个地址之间辗转。

这些追踪技术并不很有效,因为窃贼的身份仍然是未知的。然而,随着程序员找到更多新方法来从blockchain中提取信息,一些比特币取证已经变得越来越好。窃贼留下的踪迹现在可能无法探测,但可以在未来被发现。

这就是为什么洗钱这一步很重要。洗白比特币用的是“mixers”(也叫“tumblers”),也就是把你的比特币和其他用户的比特币混在一起,这样你就得到了一个干净的地址,blockchain无法把它和被偷的那些地址联系起来。

基本上它是这样操作的:把偷来的比特币转到由tumbler拥有的地址上。这个地址仍然是“脏的”,因为它和受害者的地址有明显的联系,于是tumbler把比特币放在那里。接下来tumbler会把同样数额的比特币从其它用户那里转到你拥有的一个新的“干净”地址。但它不会立马把这个数额的比特币转过去,因为同样的数额很容易被别人注意。tumbler会用更小数额分多次转给你。越是大额的比特币越要小心谨慎,延长每份之间的跨度。

一段时间后,比特币都洗干净了,等到“脏”地址被发现,你也已经逍遥法外了。tumbler只能通过匿名的Tor网络去获得,因而执法机构很难追踪它的流量或是找出它背后的人。

当然,这也意味着你需要信任tumbler,这种服务也是匿名的,如果没能取回脏比特币,你也无处求援。

另一种洗钱方式跟一般的暴徒差不多:到Satoshi Dice或其它比特币赌场上去。

第三步:变成大富翁

现在你已经有了干净的比特币,然后盯上了法国南部的某处别墅。不幸的是,房主不接受比特币。像多数商家一样,他只接受政府支持的货币——欧元。

所以现在你需要做的是把比特币变成欧元。但是你拥有很多比特币。如果你是Sheep Marketplace的拥有者,那就是1亿美元。整个比特币经济现在还小而且流动性也不高——没有那么多的购买者一次性帮你兑现,而且如此大的交易也肯定会引起注意,导致你很难掩盖自己的身份。多数的交易平台多少都需要一些身份信息,而且你还要一个能存欧元的账户。

这时就需要发挥创造力了。把大量比特币兑现同时保持匿名有很多方法。例如,可以找个愿意不验证身份,以折扣价从你那里购买比特币的有钱买家。不过最好的方法是保持耐心,在几周、几月甚至几年的时间里通过多次交易把比特币兑现,如此便可以避免引起blockchain观察者以及真实世界的执法机构的怀疑——你突然多出来的几百万美元是哪来的。

现在,你可以开始享受在法国的生活了。

via Theverge

相关

比特币投资者们,不要自杀!

雷锋网原创文章,未经授权禁止转载。详情见转载须知

分享:
相关文章

文章点评:

表情
最新文章
请填写申请人资料
姓名
电话
邮箱
微信号
作品链接
个人简介
为了您的账户安全,请验证邮箱
您的邮箱还未验证,完成可获20积分哟!
请验证您的邮箱
立即验证
完善账号信息
您的账号已经绑定,现在您可以设置密码以方便用邮箱登录
立即设置 以后再说