如何保护比特币不被盗

描述

随着加密货币市场的升温，黑客的热情也在升温。

如果说华尔街知名股票经纪人彼得希夫的比特币钱包“被盗”事件只是虚惊一场，那么2月22日，一位加密货币鲸鱼用户就因为持有价值4500万美元的加密货币被盗。 而在Reddit上发出的紧急求助，又一次引发了“比特币应该如何存储？”的历史迷局。

让我们先看看发生了什么。

今日，巨鲸在Reddit（现已删除）发文称，自己刚刚丢失了约6万枚BCH（价值约3000万美元），请求矿工帮他找回。 此外，丢失的不仅仅是BCH，还有1547枚比特币（价值约1500万美元）同时丢失。

由于求助帖附有数字签名，已证实帖子真实，他确实丢失了数亿比特币和目前价值数亿的BCH。

这个万壁侯是谁？

根据“周健福”在网上披露的信息，他原名乔什·琼斯，来自美国加利福尼亚州的小城圣莫尼卡。 令人意外的是，他还是个华人女婿。 2014 年 7 月，他在 Reddit 上透露如何盗取比特币，他的中国岳母购买了 43 个比特币。

一个能够拥有如此大量比特币的人，很可能是加密货币的早期参与者，事实也确实如此。

Josh Jones 是一位成功的企业家，其 Reddit 帐户于 2006 年注册。 作为一名开源软件和技术大师，他曾在企业产品提供商 Inktank 的董事会任职，直到 2014 年 4 月被 RedHat 以 1.75 亿美元收购； 链球菌国际 (GBSI) 的首席财务官。

据报道，他还是虚拟主机领域最好的服务提供商之一 DreamHost 的联合创始人。 除了是一名企业家，生活中的乔希·琼斯也是一个十足的特斯拉粉丝。 无论是在 Twitter 还是 YouTube 上，他都多次提到马斯克和特斯拉。

有钱任性的乔什·琼斯，生活并不乏味。 除了特斯拉，他还是一名 3D 打印爱好者。

2013年10月，他用“Makerbot Replicator”打印了一条blingbling的比特币项链，打印过程被记录下来放在了YouTube上。 而在thingiverse这个专门发布3D打印作品的网站上，展示的更多是他的作品，包括各种小动物、蔬菜、游戏机等等。

据 BlockBeats 报道，Josh Jones 从 2010 年开始接触比特币。2014 年的一篇帖子显示，他重启了比特币交易平台 Bitcoinbuilder，他在向公众开放之前曾使用该平台从 Mt. Gox 购买比特币。

他曾自称在门头沟拥有43768个比特币（一部分是他个人的，一部分是网站用户的），这个平台成为门头沟破产后的第二大债权人。 也正是因为如此，有人猜测，既然门头沟事件涉案人员的真实姓名和电子邮箱是公开的，他很可能早就被盯上了。

BCH分叉成功后如何盗取比特币，这位比特币老玩家开始将目光投向了这个新币种。 以至于有人根据他的公开地址查出2018年地址中有5400个比特币，并猜测他用3900个比特币兑换了60000个BCH。

求助贴发布后，引起了Bitcoin Jesus R0ger Ver.的关注。 他在帖子下方分析称，黑客可能利用电话公司攻击窃取了他的手机号码，用于双因素认证（2FA）。 根据这些信息，安全公司慢雾分析称：猜测这个大账号使用的是知名的去中心化钱包服务，加上需要SIM卡认证，也就是说有用户系统。 因此，这个钱包可能是Blockchain.info，“Blockchain.info的安全系统做得不够好”。

按理说，作为一名资深的比特币玩家和技术人员，他应该熟悉黑客技术并知道如何应对，所以这种盗窃事件应该不会发生。 却没想到，他竟然中了最不安全的验证方式——SIM卡。

SIM卡诈骗的手法非常普遍，在国外已经形成了成熟的犯罪链条。 简单来说，不法分子可以绕过运营商的安全措施，复制或重新申请受害人的电话卡，获取手机验证短信，从而窃取资产。

在他的帖子下，一些人难掩震惊之色。 真的很难想象，一个拥有上千比特币的人，还会选择使用SIM卡短信作为最终的安全验证通道。 这就像拥有一辆敞篷梅赛德斯，钥匙放在驾驶座上。

不管怎样，悲剧已经发生了，重要的是能不能挽回。 所以在文章开头有个求助帖。

追回巨额资产

根据他在 Reddit 上的想法，他已经放弃了价值 1500 万美元的比特币，他希望通过双花攻击取回价值 3000 万美元的 BCH。

简单来说，双花就是让当前链失效，在被盗的623333区块高度后重新开始出块，并连接一条新链。 作为比特币的早期玩家，想必早已打入矿工圈。 BCH的算力比比特币小很多。 理论上，请矿工帮忙是可行的，因为按照比特币的逻辑，最长链原则，只要新链比旧链长，就可以认定新链为主链.

为什么说这条路是可行的呢？ 因为这种方法确实发生在BCH上。

2019年5月，攻击者利用BCH长期存在的漏洞，在5月BCH升级时发起攻击。 当时的情况是攻击者发送了大量的交易，但是因为之前的BUG，BCH矿工无法打包这些交易，如果攻击者的节点打包了这些交易，就可以拿走这些币。 因此，BCH的几大矿池联合连续生产了10个空块，保证了主链没有继续按照攻击者的方式进行，解决了这次攻击。

所以，这在理论上是可行的逻辑。 但问题是，矿池之所以要连续出10个空块，是因为在BCH中，有一种新的机制叫rolling checkpoint，10个块就是一个checkpoint，只要超过10个块，就不能回滚到 10 个街区之前。

这是BCH特有的机制。 BTC 和 BSV 没有。 这种机制是为了保护用户资产，但在BCH的反对者看来，这已经完全违背了中本聪的比特币哲学，彻底废除了最长链原则。 如果有人作恶，只要作恶者能连续产生10个区块，作恶者的记录就会永远保存在BCH链上。

那时没有发生的事情，今天发生了。

也正是因为这种滚动检查点机制，让曾经持有3000万美元BCH的大佬无法再回滚，因为从发生攻击到现在区块高度已经超过10个区块，无法回滚背部。

这应该是BCH历史上第一次将作恶者的行为彻底记录在网络上，任何人都无法更改。

回滚的方式不行。 为了挽回损失，有人建议他起诉SIM卡公司，因为根据目前的推断，乔什·琼斯的手机SIM卡是被黑客攻击的。 黑客复制了他的 SIM 卡并获得了短信。 如果操作人员的安全措施严格一些，就可以避免事故的发生。

起诉SIM卡公司确实已经完成了。 两年前，加密货币基金 BitAngels 的创始人 Michael Terpin 遇到了与 Josh 一模一样的事情。 他的钱包也被黑客以 SIM 卡攻击的形式偷走了。 一位年轻的黑客给他打电话，导致他的钱包丢失了 300 万个加密货币，当时据说价值 2400 万美元。

迈克尔一言不发，将他使用的运营商 AT&T 告上法庭，要求赔偿 2 亿美元。 这不是第一次发生在他身上，也不是他一个人，SIM卡诈骗是一种成熟的犯罪模式。

官司到现在还没有结束。 去年年中法院要求AT&T回应Michael的请求，之后就没有消息了。 但至少它给了乔什·琼斯一个选择，运营商也不是不能起诉。

我们应该注意什么

我们身边类似电信诈骗的事件并不多。 一般来说，我们所理解的电信诈骗属于另一种犯罪类型。 由于我们目前运营商的安全要求，如果您不亲自出现，您的手机SIM卡很少会被封。 复制或重做。 但这并不意味着它对我们没有警告。

对于资产规模较大的账户，安全措施尤为重要。 首先，你必须保管好你的私钥。 目前，钱包行业还没有发生明显的迭代。 保管好自己的私钥和助记词尤为重要。 无论是早前的Peter Wheel Schiff输错密码，还是最近发生的毒枭将私钥藏在鱼竿里却弄丢了鱼竿的事件，都在提醒人们妥善保管私钥的重要性。

其次，BlockBeats提醒用户使用2FA验证方式，同时尽量少用短信验证，多使用谷歌验证等安全方式，提高账户安全性。

希望大家手中珍贵的比特币永远平安无事。