偷比特币的三个步骤
尽管比特币匿名,而且采用了 PGP 等十分强大的加密手段,但是‘比特币被偷”的事件却屡见不鲜。如果你是一名比特币玩家,建议你了解“比特币窃贼”是如何动手的,知己知彼才能更好的保护自己。
简单来说,“比特币窃贼”偷别人的比特币,一般经历以下三个过程:
- 偷秘钥;
- 洗钱;
- 发家。
之前我曾经写过一篇文章解释过比特币的“秘钥”是怎么一回事,在这里就不重复叙述了。由于比特币拥有在线钱包(ledger),它记录每个人拥有多少比特币——通过“私人秘钥”,它确认你是这部分比特币的所有人。换言之,如果没有“私人秘钥”文件,那么 blockchain 就不会承认是比特币的所有人——还记得那个因为丢了硬盘而懊悔不已的人吗?正是因为那块硬盘里,储存着他所拥有的“私人秘钥”,所以才让自己蒙受损失。
因此,窃贼如果想偷别人的比特币,首先需要搞定的,就是你的“私人秘钥”文件。
早期的比特币玩家,目前正在开发安全的比特币钱包系统的 Marak Squires 建议,“我推荐搭建一个物理钱包,采用 Arch Linux 引导,但永远都不上线。但很不幸的是,大部分人不可能做这样的选择。目前,大部分用户缺乏安全的储存虚拟资产的手段。“
于“比特币窃贼”而言,合理的选择是攻击那些储存了大量“私人秘钥”的线上服务,然后将秘钥文件复制下来,这样窃贼就可以随时别人的比特币,除非原主改动比特币储存的位置。
好了,现在窃贼已经偷来别人的“私人秘钥”,接下来的一步非常关键,那就是“洗钱”,将这些别人的资产通过一定手段转变成为自己名下的资产。
blockchain 会公开记录比特币的转移情况。目前而言,这个特性对抓贼的帮助不大,贼大可以不留痕迹地转移财产,但随着技术进步,贼很难隐藏比特币转移的痕迹。因此,贼必须“洗钱”,将手上这些不干不净的比特币换成干净的。
比特币窃贼会借助洗钱人的帮助(mixer,又称 tumbler),随机将“黑比特币”与别人的比特币混在一起,这样贼就可以中断 blockchain 的记录。——具体过程是,贼通过 Tor 匿名网络找到洗钱人,然后将“黑比特币”存入洗钱人的地址;紧接着,贼再自己注册一个比特币账号,换一个干净的比特币地址——但洗钱人不会马上将“黑比特币”转移过去,而是紧盯着新的比特币交易情况,看到有人向这个地址转比特币的同时,向这个账户转小笔“黑比特币”。如此这般,“黑比特币”存进了新的地址,换了持有人,拥有了合法的外貌。
不过,由于洗钱人只在 Tor 上与别人交易,难以追踪身份,他们也有卷款潜逃的可能,因此与他们打交道也是一件风险很高的一件事。
现在,比特币窃贼已经拥有数量颇多,而且已经洗白的比特币了,但要由于许多地方还不支持比特币直接支付,因此要利用比特币的价值,就得将比特币转换成现实中,具备法律效力的货币才行。方法有很多种,但一定要够安全——一下子抛售出去会引起别人不必要的注意。因此,那些对比特币感兴趣,但对窃贼身份不感兴趣的富人是最好的交易对象。但交易的时候也要需要注意,因为一次性大量的交易,会引来别人的注意,因此持续几个星期,甚至一年的交易的小额交易,对于贼来说会比较安全。
以下,是李笑来之前在微博发的“比特币安全指南”,有指导意义:
- 不要在交易平台留存大量的比特币;
- 使用比特币在线服务的时候,一定要设置二次验证;
- http 开头(而不是 https 开头)的网站是也过分业余的,别用;
- 最好远离 Windows 操作平台;
- 为自己的币做几个纸钱包;
- 脑钱包并不完美——万一摔个跟头,脑震荡,然后恰好那部分失忆了怎么办;
- 比特币其实并不是匿名的,所有的交易记录都是公开的。所以,别以为你干什么别人不知道;
- 花钱买个正版的 1Password 很值;
- 绝对不能在多个网站使用同样的用户名和同样的密码;
- 不能把钱包文件保存在云端(dropbox 等等)——哪怕是压缩加密过的。