而区块链的防篡改特征,是指比特币的交易记录不可篡改,而非密钥不会丢失。同时,也正因为区块链不可篡改,密钥一旦丢失,也意味着不可能通过修改区块链记录来拿回比特币,所以,丢了,可能就真的丢了。结合近年来的一些案例,不难发现比特币被盗的三种套路。
比特币被盗的三种套路
交易平台监守自盗
很多投资者都是通过交易平台进行比特币交易的,自然也会把比特币存放在交易所账户之中。除了个别国家以发放牌照的方式将虚拟货币交易所纳入监管框架之内,多数国家和地区的虚拟货币交易所都没有监管背书,也没有上线诸如资金存管、虚拟货币存管等防范措施,意味着如果交易所自身动了坏心思,“偷”你的比特币简直是探囊取物一般。
举个例子,2014年2月24日,当时世界最大的比特币交易所运营商Mt.Gox 宣布其交易平台的65万个比特币已经被盗一空,随后Mt.Gox便宣布破产。而后来执法部门的调查发现,所谓的65万比特币被盗,其实只有7000个比特币因黑客攻击而失踪,其余的都被平台的内部人拿去了,属于典型的监守自盗。
交易所遭受黑客攻击
居心不良的交易平台毕竟是少数,更多的被盗案件源于黑客攻击。无论是交易所自身的密钥还是用户的密钥,都存放在交易所的钱包系统中,若系统被黑客攻破,导致密钥泄露,里面的比特币资产自然也就会不翼而飞。考虑到虚拟货币交易所的实力差异很大,对系统安全的重视程度也不同,因黑客攻击导致的丢币事件并不鲜见。
2014年3月,美国数字货币交易所Poloniex被盗,损失12.3%的比特币,这次丢币便是由于黑客利用了交易平台的代码漏洞把资金偷走的。
2015年2月14日,黑客利用比特儿从冷钱包填充热钱包的瞬间,将比特儿交易平台冷钱包中的所有BTC盗走,总额为7170BTC。
2015年2月23日,比特币钱包运营商比特币存钱罐被盗,据比特币存钱罐官方表示,黑客于2014年6月30日入侵了平台的Linode账号,并修改了Linode账号密码和服务器的root密码,从而入侵了服务器并且获得了服务器的控制和管理权限,导致比特币被盗。
用户交易账户被盗
随着各大交易所加强系统安全的防护,交易所自身系统被黑客攻破的几率大幅下降,而用户自身交易账户被盗开始成为主要的丢币方式。
用户与交易所之间主要通过登录名和密码建立联系,就像银行卡被盗刷、第三方支付账户会被盗用一样,若用户的登录名和密码泄露,就会出现虚拟货币账户被盗用的现象。而用户名和密码泄露则太容易了,比如用户设备中了木马病毒、多个平台用同一套用户名和密码遭受撞库袭击、交易平台自身的系统漏洞导致用户的账户和密码泄露等,都会导致交易账户的被盗用。
比特币被盗后,还能追回来吗?
那么,接下来的问题便是,如果账户里的比特币被盗,还能追的回来吗?其实,要分不同的情况来看。如果是交易平台自身的监守自盗,直接向平台索赔就好了,所以,我们着重看看后面两种情况。
在交易所系统被黑客攻击的情况下,难度较大。因为黑客一旦盗取比特币,接下来便会通过混币等手段把盗窃的比特币洗白,除非金额巨大引起国家相关部门强力介入,否则追回的可能性仅仅停留在理论层面。在追不回来的情况下,若损失金额很小,一般是交易所自行承担损失;若损失金额超过了交易所承受能力,为了避免交易所破产,一般采取所有用户按比例分摊损失的做法。
比如说,如果交易所因黑客攻击损失了1万个比特币,且交易所无力承担损失,此时便进入损失公摊模式,若你的比特币资产在交易所中占比1%,则意味着你需要承担100个比特币的损失。
当然,还有一种情况便是在区块链层面进行回滚操作,强制拿回被黑客偷走的比特币。不过,这样会导致区块链的硬分叉,也会影响区块链的不可篡改和去中心化特征,一般不被社区所接受。所以,这种情况只在以太坊TheDao事件中发生过一次,结果导致以太坊一分为二,出现了以太币ETH和以太经典ETC的分裂,影响很大,在比特币历史上,尚无先例,以后估计也不会出现类似案例。
对于用户自身交易账户被盗的情况,相比交易所被黑客攻击,其金额和影响要小得多。在排除用户自身的原因(比如用户监守自盗,存在欺诈嫌疑)之后,负责任的交易所通常会主动承担损失。若用户自身存在明显过错,则很有可能会陷入纠纷,需要通过诉讼来解决问题。
2016年7月25日,北京海淀法院曾通告一个用户诉讼交易平台的案例,用户施先生在某平台被盗40余个比特币而向平台索赔41万元,而平台方则表示,事件起因是施先生的安全意识不足,同时丢失了资金密码和登录密码且未开启行业惯用的二次登录验证,并暗示不排除用户存在“监守自盗”行为的可能性。
提高自身安全意识才是王道
站在交易所的角度,为了应对账户被盗风险,就如同第三方支付企业会搭建专门的欺诈风险防控体系,综合利用设备指纹验证、位置认证、人脸识别、指纹验证、用户行为习惯分析、原卡进出、交易限额控制等手段进一步降低风险损失一样,除了加强用户风险意识教育(如定期修改密码、不在共用电脑上登录账户、设置复杂的密码等)之外,一般情况下,会采取绑定Google验证、设置交易密码、开启登录二次验证、同卡提现等手段防范欺诈风险,确保既便登录用户名和密码泄露,也不会造成实质性的损失。
对用户而言,提高风险防范意识才是王道。除了定期更换密码、不在共用电脑登录交易账户等之外,也要配合平台的各项账户安全措施,提高账户安全等级,降低资金损失风险。