?譯者 | 劉濤

審校 | 孫淑娟

作為一名企業(yè)家，缺乏安全感在所難免，特別是在資金安全方面。無(wú)論如今數(shù)字空間中的解決方案有多么強(qiáng)大、多有遠(yuǎn)見，人為因素仍然是資產(chǎn)被盜的關(guān)鍵。如果您已經(jīng)成立了一家公司，獲得了投資，但依然擔(dān)心資金安全問(wèn)題，那么有必要采取行動(dòng)來(lái)評(píng)估用于公司目的的加密服務(wù)所面臨的所有威脅。

本文討論了當(dāng)前數(shù)字安全問(wèn)題，并就企業(yè)家在不久的將來(lái)可能面臨的特殊威脅提出了解決方案。

具備先發(fā)制人的思維方式

有句話說(shuō)得好：“預(yù)先警告就是預(yù)先武裝”，并非毫無(wú)根據(jù)。一般而言，有兩樣?xùn)|西必須重視起來(lái)加以保護(hù)——私鑰和助記詞(或者是助記符)。心懷不軌的人很容易猜到它們并偷走其中一個(gè)，具體是怎么做到的呢？以下是這類人竊取資產(chǎn)的主要方式。

1、設(shè)備入侵

不管是筆記本電腦還是智能手機(jī)，儲(chǔ)存私人密鑰都不是個(gè)好主意。丟失這樣的鑰匙就等于丟失了信用卡或借記卡連同PIN碼。后果顯而易見，無(wú)需進(jìn)一步解釋。

怎么解決？

找到其他方法來(lái)儲(chǔ)存敏感信息。事實(shí)上，最常見的解決方法就是保留私鑰的硬拷貝。然而，紙張似乎并不總是最可靠的儲(chǔ)存方式，因此，如果采用更具創(chuàng)造性的方法，一定會(huì)降低損失的概率。對(duì)于企業(yè)所有者來(lái)說(shuō)，最有意義的解決方案是 Cryptosteel、 Cryptoart以及使用硬碟安全模塊（HSM）。

2、電子郵件網(wǎng)絡(luò)釣魚

電子郵件是商業(yè)的重要組成部分，黑客比任何人都清楚。出于這個(gè)原因，他們會(huì)通過(guò)一個(gè)假定您已經(jīng)習(xí)慣了的服務(wù)發(fā)送電子郵件，這種服務(wù)要求數(shù)據(jù)執(zhí)行特定行為。

他們的電子郵件可能會(huì)偽裝成公司代表（例如，如果您使用錢包服務(wù)）要求您分享一些個(gè)人信息，盡管官方代表從來(lái)沒有這樣做過(guò)。這就是人為因素造成的，有些人被騙并提供了個(gè)人信息。

怎么解決？

當(dāng)您收到這樣的信息時(shí)，不要理會(huì)，馬上聯(lián)系您所在公司或服務(wù)機(jī)構(gòu)的官方代表。作為生活常識(shí)，您應(yīng)該經(jīng)常提醒自己：官方銀行代表是否需要輸入密碼？

3、假錢包

不幸的是，黑客成功地模仿官方公司(比如Trezor)開發(fā)的應(yīng)用程序，從而避免了在谷歌應(yīng)用商店(Google App Store)平臺(tái)上被禁。他們用相似的名字，偽裝成官方的錢包。2022年，Trezor 的用戶收到了一封來(lái)自 Trezor.us 域名的郵件，該郵件模仿 Trezor.io 發(fā)送的信息，要求用戶通過(guò)點(diǎn)擊鏈接來(lái)更新錢包軟件——這似乎是一個(gè)旨在竊取資產(chǎn)的陰謀。

怎么解決？

請(qǐng)務(wù)必從錢包服務(wù)的官方網(wǎng)站下載應(yīng)用程序。其中一些錢包甚至可能會(huì)要求您的手機(jī)號(hào)碼發(fā)送一個(gè)安全的鏈接，讓您到應(yīng)用程序商店。

4、惡意軟件

對(duì)于黑客來(lái)說(shuō)，獲取數(shù)據(jù)至關(guān)重要。作為一款惡意軟件，鍵盤記錄器非常適合這一目標(biāo)，記錄每一個(gè)密碼、 PIN碼和助記符，然后將其轉(zhuǎn)交給覬覦已久的惡意者?？梢酝ㄟ^(guò)三種方式感染鍵盤記錄器：

• 電郵
• 從特定的網(wǎng)站或種子上運(yùn)行被感染的軟件
• 插入受感染的

還有木馬，類似于鍵盤記錄器，可以監(jiān)控您的行為，竊取任何看起來(lái)像是私鑰的東西。當(dāng)木馬完成任務(wù)后，黑客會(huì)迅速容易地破壞您的加密地址，甚至不會(huì)引起您的注意。

此外，還有一些惡意軟件會(huì)把剪貼板弄亂，所以當(dāng)您復(fù)制錢包地址進(jìn)行轉(zhuǎn)賬時(shí)，一旦粘貼上，地址就會(huì)發(fā)生變化。

怎么解決？

確保您的防病毒系統(tǒng)掃描您下載的所有附件。確保有可靠的防病毒系統(tǒng)供商業(yè)使用，以便您和從事與加密工作相關(guān)的員工可以檢測(cè)到惡意軟件的時(shí)間。另外，不要忘記仔細(xì)檢查您粘貼的錢包地址。

5、冒充

冒充某個(gè)公司、加密交易所或某個(gè)特定的人，對(duì)于黑客來(lái)說(shuō)是屢試不爽的手段，而且仍是達(dá)成目的的最常見手段之一。這種方法完全基于人為因素，而且由于入侵計(jì)算機(jī)系統(tǒng)的任務(wù)更加復(fù)雜，因此使用該方法通常要容易得多。在這種情況下，冒充者對(duì)竊取您的帳戶感興趣，而不是入侵。他們會(huì)要求您在特定的地址進(jìn)行交易。更狡猾的黑客會(huì)創(chuàng)建一個(gè)網(wǎng)站，讓您可以看到自己的“投資”，然后要求您分享一些數(shù)據(jù)。

怎么解決？

這里提到的問(wèn)題與我們的個(gè)性密切相關(guān)，所以請(qǐng)仔細(xì)檢查每件事情，不要倉(cāng)促做出決定，并將這些信息傳達(dá)給員工。

6、瀏覽器擴(kuò)展程序

安裝在瀏覽器上的擴(kuò)展程序可以使您的生活變得更加簡(jiǎn)單，但它們也對(duì)您的安全構(gòu)成了潛在威脅。擴(kuò)展程序除了能提供正常服務(wù)功能之外，有許多報(bào)道爆出了它們參與了黑客的監(jiān)控和盜竊數(shù)據(jù)。僅在2020年，谷歌就移除了49個(gè)被發(fā)現(xiàn)竊取加密錢包密鑰的 Chrome 擴(kuò)展程序。

怎么解決？

在安裝擴(kuò)展程序之前，驗(yàn)證它背后的公司或開發(fā)人員。在線審查（復(fù)查）也是一個(gè)不錯(cuò)的方法。

7、繞過(guò)2FA

值得信賴的錢包供應(yīng)商總是使用雙因素認(rèn)證來(lái)確保某些業(yè)務(wù)背后有真實(shí)的人在操作。雖然2FA仍然是一種有效的保護(hù)用戶免受欺詐行為的方法，但也出現(xiàn)了黑客找到繞過(guò)這一層安全方法的案例。

例如，攻擊者可能因?yàn)閿?shù)據(jù)傳輸協(xié)議中的漏洞而攔截 SMS消息。黑客也可能事先用惡意軟件感染智能手機(jī)，克隆移動(dòng)運(yùn)營(yíng)商的卡片，入侵網(wǎng)站中的用戶賬戶。其目的是控制所有訪問(wèn)者使用的保護(hù)措施。從那以后，黑進(jìn)加密錢包就不那么重要了：騙子們已經(jīng)開始使用加密貨幣了。

怎么解決？

密切關(guān)注您收到的通知，并記住這里所說(shuō)的一切。

更進(jìn)一步，考慮多重簽名錢包和冷錢包

到目前為止，這些隱藏的因素影響著熱錢包(總是連接到互聯(lián)網(wǎng))以及個(gè)人專用私鑰，但在考慮安全性時(shí)，還有很多因素需要考慮。讓我們看看能夠提高安全級(jí)別的解決方案，這樣您永遠(yuǎn)不用擔(dān)心遭到黑客攻擊或者損失大量資金了。

熱錢包和冷錢包

如何在追求功能和安全之間找到適當(dāng)?shù)钠胶庖恢笔莻€(gè)相關(guān)問(wèn)題，而現(xiàn)在可以通過(guò)使用熱錢包和冷錢包來(lái)解決。一方面，熱錢包非常實(shí)用，但缺乏安全性。另一方面，冷錢包是相當(dāng)安全，但功能不全。現(xiàn)在的問(wèn)題是: 如何選擇？

那些長(zhǎng)期使用加密技術(shù)的人，可以通過(guò)將資金存儲(chǔ)在物理設(shè)備(比如 Ledger 或Trezor)上并通過(guò)互聯(lián)網(wǎng)轉(zhuǎn)賬的方式從混合體驗(yàn)中獲益。硬件錢包不如熱錢包方便，因?yàn)樗鼈儽仨毚蜷_電源然后連接到互聯(lián)網(wǎng)。此外，它們可能會(huì)花費(fèi)50到200美元。盡管如此，為了保護(hù)企業(yè)免于損失所有資金，這只是一個(gè)小小的代價(jià)，因?yàn)檫@些設(shè)備的設(shè)計(jì)就是為了抵御黑客攻擊。

然而，熱錢包也因其在接收、存儲(chǔ)、交換以及發(fā)送支付方面的易用性而受到企業(yè)的青瞇。因?yàn)樗鼈兛偸窃诰€，所以不需要再離線和在線之間轉(zhuǎn)換來(lái)進(jìn)行加密貨幣交易。這種錢包用于及時(shí)支付和與合作伙伴結(jié)賬，以及從一個(gè)錢包對(duì)多個(gè)賬戶地址進(jìn)行不同的加密支付。對(duì)于大額交易，有些系統(tǒng)需要至少2名客戶管理員在交易簽署之前批準(zhǔn)交易。

也就是說(shuō)，如果您想要一個(gè)完美的低風(fēng)險(xiǎn)決策，那么混合策略就是最佳選擇。

多重簽名錢包

多重簽名錢包（multi-signature）可能是加密業(yè)務(wù)中最有價(jià)值的工具之一。但是您也許會(huì)問(wèn)，多重錢包是什么？

多重簽名錢包是一種特殊的加密錢包，只有在兩個(gè)或兩個(gè)以上的簽名同時(shí)輸入時(shí)才能使用。它實(shí)際上是一個(gè)數(shù)字版本的多鑰匙保險(xiǎn)箱，只有在多把鑰匙插入多把鎖的情況下才能打開。

這種錢包中的交易還發(fā)生在多個(gè)用戶輸入他們獨(dú)特的簽名或者密鑰的時(shí)候。用戶可以創(chuàng)建一條規(guī)則，并且確定需要多少簽名來(lái)完成操作/交易：1/2、2/3、5/8等等。這樣的交易不會(huì)過(guò)期，直到所有所需的密鑰都簽署了交易，系統(tǒng)才會(huì)結(jié)束其掛起狀態(tài)。多重簽名錢包沒有等級(jí)結(jié)構(gòu)，意味著無(wú)需驗(yàn)證和完成交易的特定簽名。

對(duì)于那些不愿意依賴唯一的私鑰持有者的企業(yè)來(lái)說(shuō)，多重簽名錢包是必不可少的。使用多重簽名程序可以幫助企業(yè)獲得資金，并且允許不同的雇員按要求進(jìn)行交易。

除了提高安全性外，當(dāng)一組私鑰持有者們可以共同控制資金時(shí)，使用多重簽名錢包的主要優(yōu)勢(shì)之一就是決策。每個(gè)人都能看到預(yù)算，提出不同的意見，但是誰(shuí)也不能把錢轉(zhuǎn)移到自己賬戶。錢包主要作為一種類似投票的形式，即使在大多數(shù)用戶同意的情況下，交易還是不能通過(guò)。

至于缺點(diǎn)，使用這種錢包會(huì)影響交易速度，因?yàn)樗枰鄠€(gè)簽名。但是這里最常見的障礙可能是建立一個(gè)多重簽名錢包所需要的技術(shù)知識(shí)。此外，還有一些法律上的細(xì)微差別沒有跟上新技術(shù)的發(fā)展。幸運(yùn)的是，有第三方錢包提供商和公司（例如，BitPay或Casa）來(lái)幫助企業(yè)解決這些問(wèn)題，尤其是在使用多重簽名錢包時(shí)。

結(jié)論

如上所述，有很多提高您業(yè)務(wù)安全的方法，必須認(rèn)真考慮。其中，使用多重簽名錢包被證明是一種很好的解決安全問(wèn)題的方法，同時(shí)也可以讓人們公平地控制資金。話說(shuō)回來(lái)，當(dāng)涉及到與多方做生意時(shí)，多重簽名錢包更是必不可少的。

譯者介紹

劉濤，51CTO社區(qū)編輯，某大型央企系統(tǒng)上線檢測(cè)管控負(fù)責(zé)人。

原文標(biāo)題：??How Can Businesses Prevent Money Losses and Stay Secure in the World of Crypto???，作者：Adam Stieb?