比特币盗窃大揭密:三步即可! - 开源中国社区
比特币盗窃大揭密:三步即可!
oschina 2013年12月21日

比特币盗窃大揭密:三步即可!

oschina oschina 发布于2013年12月21日 收藏 22 评论 18

【腾讯云】如何快速搭建微信小程序?>>>  

本月早些时候,发生了比特币史上最严重的抢劫事件,在线毒品市场Sheep Marketplace被洗劫了,价值约1亿美元的比特币被偷走,做案者可能是黑客也可能是内部人士。

比特币偷盗事件并不鲜见。2011年6月,一名叫Allinvain的用户成为有记录以来首次大规模比特币偷盗事件的受害者。Allinvain醒来发现黑客窃取了价值约50万美元的比特币。“我现在想死的心都有了,”他当时写道。

steal1

自那以来又有了数十起比特币盗窃案。许诺高回报率的投资基金Bitcoin Savings & Trust结果是一个金字塔骗局,它的拥有者被指控卷走了投资者450万美元的比特币。MyBitcoin是一家比特币在线“钱包”服务,带着用户价值 100万美元的比特币消失了。一些知名的比特币公司,包括Mt. Gox和已经没了的Bitcoinica交易平台,都曾发生过大规模偷盗事件。

信用卡偷盗的受害者可以把卡冻结并取消欺诈交易,不过比特币的交易是无法逆转的,因而格外受到窃贼的喜爱。“比特币就像现金,”卡内基梅隆大学的助 理研究教授Nicolas Christin说,他做了大量的比特币分析。“把它找回来的唯一办法就是把偷窃的人找到并打到他还回来为止。”

不过对比特币来说,很难理解这些数字盗窃是如何做到的。他们到底偷窃的是什么?而一旦得手,又该如何处理脏物?

steal2

第一步:复制密钥

比特币不是个东西。它更像是一个叫blockchain(块环链)的公共账簿,这个账簿不断跟踪持续扩展的地址列,以及这些地址中有多少比特币。

如果你拥有比特币,你真正拥有的是解锁某个地址的密钥(密码)。这个私人密钥看起来是一串数字和字母的组合。你可以把密钥打印在纸上,存在硬盘或在线服务上,或是纹到身上。

不过所有的存储方式都有被偷盗的风险,因为那只是一串字符。对普通人来说,还没有特别安全的方式来存储虚拟货币。

最有利可图的攻击往往针对的是那些存储了大量用户密钥的在线服务,就比如Sheep Marketplace。此类攻击时常是由内部人士进行的,他们不用做太多黑客的工作。只要复制了密钥的数据库就能控制所有的地址,然后就能使用这些地址上的比特币了。

steal3

第二步:把脏比特币“洗”干净

尽管比特币的一些特性使它对窃贼格外有吸引力,它也有一些对抗偷盗的特性。由于blockchain是公共的,这意味着任何人都可以看到比特币转向哪里。在Sheep Marketplace被劫后,一些用户追踪到被偷的比特币在各个地址之间辗转。

这些追踪技术并不很有效,因为窃贼的身份仍然是未知的。然而,随着程序员找到更多新方法来从blockchain中提取信息,一些比特币取证已经变得越来越好。窃贼留下的踪迹现在可能无法探测,但可以在未来被发现。

这就是为什么洗钱这一步很重要。洗白比特币用的是“mixers”(也叫“tumblers”),也就是把你的比特币和其他用户的比特币混在一起,这样你就得到了一个干净的地址,blockchain无法把它和被偷的那些地址联系起来。

基本上它是这样操作的:把偷来的比特币转到由tumbler拥有的地址上。这个地址仍然是“脏的”,因为它和受害者的地址有明显的联系,于是 tumbler把比特币放在那里。接下来tumbler会把同样数额的比特币从其它用户那里转到你拥有的一个新的“干净”地址。但它不会立马把这个数额的 比特币转过去,因为同样的数额很容易被别人注意。tumbler会用更小数额分多次转给你。越是大额的比特币越要小心谨慎,延长每份之间的跨度。

一段时间后,比特币都洗干净了,等到“脏”地址被发现,你也已经逍遥法外了。tumbler只能通过匿名的Tor网络去获得,因而执法机构很难追踪它的流量或是找出它背后的人。

当然,这也意味着你需要信任tumbler,这种服务也是匿名的,如果没能取回脏比特币,你也无处求援。

另一种洗钱方式跟一般的暴徒差不多:到Satoshi Dice或其它比特币赌场上去。

steal4

第三步:变成大富翁

现在你已经有了干净的比特币,然后盯上了法国南部的某处别墅。不幸的是,房主不接受比特币。像多数商家一样,他只接受政府支持的货币——欧元。

所以现在你需要做的是把比特币变成欧元。但是你拥有很多比特币。如果你是Sheep Marketplace的拥有者,那就是1亿美元。整个比特币经济现在还小而且流动性也不高——没有那么多的购买者一次性帮你兑现,而且如此大的交易也肯 定会引起注意,导致你很难掩盖自己的身份。多数的交易平台多少都需要一些身份信息,而且你还要一个能存欧元的账户。

这时就需要发挥创造力了。把大量比特币兑现同时保持匿名有很多方法。例如,可以找个愿意不验证身份,以折扣价从你那里购买比特币的有钱买家。不过最 好的方法是保持耐心,在几周、几月甚至几年的时间里通过多次交易把比特币兑现,如此便可以避免引起blockchain观察者以及真实世界的执法机构的怀 疑——你突然多出来的几百万美元是哪来的。

现在,你可以开始享受在法国的生活了。

via Theverge/雷锋网

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:比特币盗窃大揭密:三步即可!
分享
评论(18)
最新评论
0

引用来自“sevk”的评论

给网络警察增加了难度啊。匿名做坏事。

你的意思是现行货币领域,小偷们都搞资质审核,玩的是实名行窃?
0
给网络警察增加了难度啊。匿名做坏事。
0
第二和第三可以无视,关键是第一,包括得到钱包和打开钱包的密码。
0

引用来自“铂金小鸟”的评论

我钱包里有10多个比特币,这么牛逼你们来盗盗看,盗去全是你们的。

土豪鸟 啊
0
这洗钱方式厉害啊,大笔钱从脏账户转到其中一个洗钱服务商账号上,服务商用其他n个小账户,不同时间不同额度的汇到一个新干净账户上。so即使知道全网所有的交易记录(所有交易记录本来谁都可以查的),除了知道服务商所有的小号,不然没法知道那大笔脏钱去哪个新账户上了哦。
0
我钱包里有10多个比特币,这么牛逼你们来盗盗看,盗去全是你们的。
0
专家真多
0

引用来自“haitaosoft”的评论

信用卡偷盗的受害者可以把卡冻结并取消欺诈交易,不过比特币的交易是无法逆转的,因而格外受到窃贼的喜爱。
——比特币的硬伤之一

btc定位是一种可供支付的货币, 信用卡是基于货币和信用体系的一种提供保险理赔的信贷服务,原文拿这两种完全不一样的东西做类比本身就很扯淡。 电子货币(当然不一定是btc)发展到一定程度, 自然会有金融机构和公司提供相应的后者(信贷服务)出现。
0
信用卡偷盗的受害者可以把卡冻结并取消欺诈交易,不过比特币的交易是无法逆转的,因而格外受到窃贼的喜爱。
——比特币的硬伤之一
0

引用来自“魔力猫”的评论

引用来自“c2547959”的评论

引用来自“魔力猫”的评论

所以说这东西没它说的那么优秀,照样丢失、偷窃、洗钱。

这东西可从来没鼓吹过设计来防丢失、防偷窃和防洗钱的

怎么没有。鼓吹的人可是说过可以追溯其所有的交易历史的、如果相关人只要有一个不同意,就无法支取。但是现在很明显,追溯交易历史会被覆盖,交易所本身就可以随意卷款。

本来就能追溯所有交易, 有问题么?

全网确认机制防的是伪造钱包交易, 对应的社会问题是假钞, 行窃的钱是假钞么? 你这是在偷换概念。

交易历史谁说可以被覆盖? 只是一个地址通过匿名方式把钱散出去, 另一个地址把等额合法的钱收进来, 所有交易都可查, 只是没办法把两个地址联系起来, 你要有能力可以有效解决这种这种洗钱问题, 去拿个炸弹奖吧。

卷钱跑路这是社会问题, 关货币什么事? 每年卷钱跑路的私募、p2p放贷多得一比, 那是法币的问题么?


0
技術不能主導世界,祇能是一種手段而已。
0

引用来自“c2547959”的评论

引用来自“魔力猫”的评论

所以说这东西没它说的那么优秀,照样丢失、偷窃、洗钱。

这东西可从来没鼓吹过设计来防丢失、防偷窃和防洗钱的

怎么没有。鼓吹的人可是说过可以追溯其所有的交易历史的、如果相关人只要有一个不同意,就无法支取。但是现在很明显,追溯交易历史会被覆盖,交易所本身就可以随意卷款。
0
我毕竟没有看过Bitcoin的源码,仅从内容上吐槽一下。
被在线服务商给盗走,这就好比支付宝里的钱被阿里的内部人士卷走一样,谁都拦不住吧。
确实,洗钱这个问题很严重,希望设计者能提出有效的方法防止洗钱(不过我觉得在黑客面前是白搭)。
0
黑的漂亮 ...
0
远程洗钱。
0

引用来自“魔力猫”的评论

所以说这东西没它说的那么优秀,照样丢失、偷窃、洗钱。

这东西可从来没鼓吹过设计来防丢失、防偷窃和防洗钱的
0
所以说这东西没它说的那么优秀,照样丢失、偷窃、洗钱。
0
高人。
顶部