比特币钱包风险

由于比特币背后并没有政府支撑，更没有信用系统，也就是说，比特币在使用和追踪上更像是现金，而不是信用卡或者其他网上支付手段——一旦比特币离开了你的手，你就无法再通过第三方机构（比如说信用卡公司）追回，而且你也很难追溯你的比特币曾经交易到何处。所以，如何安全地储存比特币，就成了一个问题。首先我们需要了解的是，比特币的本质是一段长达64字节的私有密钥（比如E9 87 3D 79 C6 D8 7D C0 FB 6A 57 78 63 33 89 F4 45 32 13 30 3D A6 1F 20 BD 67 FC 23 3A A3 32 62）。密钥可以生成相应的比特币地址，但比特币地址无法反向推导出比特币密钥。更关键的是，密钥是人们使用比特币的凭证，所以对于任何比特币拥有者来说，妥善地保存密钥就非常重要。你可以打开一个电脑文档，然后把那段密钥记录下来，不过这样的话，一旦你的电脑被入侵，这段密钥也就被盗了；最保险的方法当然是把这段密钥写下来记录在纸上，或者用类似于Pywallet这样的软件将其打印出来，但这样的缺点就是不方便，用来支付和兑换的时候相当麻烦。所以，大多数人都会使用“比特币钱包”，它可以让你方便地收取和支付比特币，并且也保证有相当的安全性。钱包分为三种：安装在个人电脑上的软件钱包，这种钱包给你完全的支配权，也意味着你得对自己的比特币安全负责；还有安装在手机和平板电脑上的移动钱包，你可以通过扫描二维码或者使用NFC“近场交易”的方式在实体店用比特币买东西；还有一种，就是Inputs.io这样的“网络银行”，即为网络钱包。比特币银行跟传统银行不一样，它其实更像是一个保险柜，而不是储蓄所。在这种银行的帮助下，你不用很累很麻烦就可以保存比特币；但前提是，你必须找到自己能够放心信任的比特币银行，而且需要支付一小笔保管费。比特币的蓬勃发展也催生了不少类似这样的比特币银行，而这些银行的管理者并不像真实世界的银行家们那样，需要对金融和安全都有深刻的研究，也没有太多的信誉保证。Inputs.io的管理者TradeFortress就是一个刚满18岁的澳大利亚人，而且拒绝透露自己的真名。他的网站注册地址为澳大利亚新南威尔士州霍斯比镇的沃特街，不过真实身份尚未为人所知。“永远别把存有比特币的电脑联网”Inputs.io曾经野心勃勃，在网站上，它自称是“市场上最安全的比特币网络钱包之一”：不仅需要双因素认证（一种采用时间同步技术的系统，采用了基于时间、事件和密钥三变量而产生的一次性动态密码，而非传统静态密码），并且需要基于地理位置的电子邮件确认。所以它宣称，就算是其所在的网络服务器被侵入了，这个钱包里的比特币也不会被盗。现在看来，这个防盗措施并没有起作用。TradeFortress表示，这是一次社交引擎式攻击，也就是说，这次攻击并不是侵入了网络服务器的数据库，而是模拟了他的身份，并以管理员的角色将比特币提取出来。首先，黑客入侵了TradeFortress在六年前设立的一个老邮箱，那个邮箱没有绑定手机号，所以非常容易攻破。黑客租了一个澳大利亚的服务器，所以他通过代理得到的IP地址跟TradeFortress的真实IP地址十分相近，在重设邮箱密码时并未引发报警。从这里开始，他继续入侵了一系列的邮箱，最终破解了他现在用来管理网站的电子邮箱，并以此为跳板重设了网站密码，之后堂而皇之地将里面的比特币扫荡一空。目前尚不清楚黑客如何攻破双因素验证防盗系统，不过TradeFortress猜测，黑客利用服务器的漏洞，绕开了这个步骤。当然，并不是所有人都相信TradeFortress的解释，有不少Inputs.io的用户怀疑，他其实是监守自盗偷走了这些钱，因为TradeFortress过了差不多两周才向用户公布失窃的事情，而且他并未报警或寻求其他执法机关的帮助，因为他相信“警方在这件事上也做不了什么”，毕竟，比特币是一种几乎无法追踪的货币。澳大利亚联邦警察局的发言人表示，据他所知，还没有任何警方曾介入关于比特币失窃案的调查，但如果受害者报案的话，他们会展开调查。不过TradeFortress表示，他打算用自己积攒的比特币和没有被盗的比特币来偿还用户的损失。“我现在总共有1540枚比特币，虽然没办法全额赔偿用户损失，但每个人将得到40%到75%不等的赔偿。”在总结自己的教训时，TradeFortress说：“我不建议大家将比特币存储在任何连接到互联网的电脑上。”他解释说，尽管到目前为止，依然没有任何专门针对比特币的高级恶意软件，但黑客们可以通过其他手法攻克比特币持有者的电脑，从他们的外接硬盘甚至是浏览器里偷盗比特币。