200万美元的Ian Balina Hack:4个重要的安全事项和提醒

如果您在过去一周内没有听到加密领域的最新动态,那么您可能生活在一块岩石上,因为(不幸的是)所有人都在关注它。在美国东部时间2018年4月16日凌晨4点左右,Ian Balina在直播,加密货币投资者,顾问和自称为“传道者”的地方,从他的ETH钱包中偷走了200万美元.

他突然结束了自己的直播,在Twitter上发布了以下消息-

伊恩·巴利纳(Ian Balina)Hack Tweet

很难想像拥有数百万资产的人是如何如此鲁ck地存储它的。最可怕的部分-它比您想像的要普遍。在如今已删除的电报按摩中,巴利纳(Balina)解释了自己的想法:

这就是我认为自己被黑客入侵的方式。我的大学电子邮件被列为发送到我的Gmail的辅助电子邮件。我记得收到一封关于它遭到破坏的电子邮件,并试图跟进我的大学安全部门以使其解决,但是却无法以快速的方式处理它,并以为它只是旧的而放弃了它。电子邮件.

我将私钥的文本版本存储在Evernote中,作为带有密码的加密文本文件。我认为他们使用我的大学电子邮件入侵了我的电子邮件,然后入侵了我的Evernote.

对于不确定Ian Balina是谁的人,他于2017年初开始制作YouTube视频,教投资者如何“破解系统”,以及 赚六位数的收入. 在他发现自己拼凑了一张 90,000美元的投资,400万美元 在不到12个月的时间内–他证实了自己的说法 Blockfolio快照发布在Twitter上.

无论是否喜欢他,Ian Balina hack都是一门昂贵的课程,说明了保持加密货币安全的重要性。以下是4个基本的安全要点和提醒:HODLers应该熟悉并实施其加密浏览,投资和存储,以最大程度地减少被黑客入侵(或在社交媒体上受到抨击的可能性)的可能性。.

1.不要仅仅因为得到了就炫耀它

就像普通人不会在凌晨2点大喊大叫他们的银行帐户详细信息以及他们在钱包里有多少钱一样,加密货币投资者不应该在线或亲自公开其加密货币投资组合和资产.

即使在参加流行的在线论坛(例如BitcoinTalk或Reddit)时,谨慎也是关键– 只是问这个Redditor 他实际上在网上发布了他们的Siacoin私人种子,并且幸运地被Redditor的同伴给上了一堂安全课.

避免在网上广播金融信息似乎是一个显而易见的技巧,但仍然需要重复.

以下只是一些可能导致投资者面临的后果和安全风险:

  1. 有针对性的网络钓鱼诈骗
  2. 勒索软件
  3. 社会工程学
  4. 抢劫

是的,抢劫。从它那里拿走 这个台湾人 向3位诈骗者展示了他的比特币的证据,并最终遭到殴打和抢劫。诈骗者从他的帐户中转移了18个比特币(估计价值超过170,000美元)(通过电话).

甚至冰岛总理也最终成为一个无知的逃脱者,逃脱了一个人 涉嫌盗窃约600台计算机 与比特币一起,被认为是冰岛有史以来最大的抢劫案.

您可能不想被忽略,但是您也不想被太多关注。不要让自己昏迷.

2.如果您在线存储的工资超过1个月,请使用冷藏库

在决定是否小马并在硬件钱包上花费$ 60- $ 150时,HODLers应该问自己,如果密码或登录信息遭到破坏,丢失了多少钱.

在线存储私钥和使用热钱包是可管理的,适合于在线存储少量资金的投资者,而冷库(将钱存储在离线设备中)和硬件钱包应由持​​有交易所一个月以上薪水的投资者使用。.

但是,即使是因为黑客而损失了一个星期的薪水,无论是在财务上还是在情感上都对您造成了极大的影响,那么值得花那个周末的标签,或者为您的娜娜90岁生日所节省的部分钱.

Balina在他的存储和/或私钥中犯了错误的地方是通过使用通用和免费的云存储程序以及受感染的大学电子邮件,这使黑客能够黑客入侵他当前的电子邮件并获得对Evernote的访问权限.

在线存储私钥或种子不被认为是冷存储-因为它已连接到互联网,所以被认为是热钱包-并且随同 与热钱包相关的众多问题和安全漏洞.

如果有疑问, 变冷.

两个都 特雷佐Ledger Nano 有两个流行且信誉良好的用于存放资金的硬件钱包。请记住,现在在安全方面进行少量投资可能会阻止 查理·史瑞姆(Charlie Shrem) –比特币基金会的创始成员–从给您未来的机会.

查理·史莱姆·安·巴利纳(Charlie Shrem)

而且,如果您希望将流动性与冷藏库混合使用,请考虑使用 酷钱包S, 支持比特币,以太坊,Ripple,Litecoin和比特币现金的移动硬件钱包(即将推出的ERC-20令牌).

此外,如果您不使用钱包,则钱包是冷藏的有效方法 将纸张与恢复种子和PIN一起放置 乘飞机前在女儿的枕头下,并雇一个清洁团队来整理.

全面了解加密货币钱包, 查阅我们的初学者关于加密货币钱包的指南.

3.提防Punycode

自从最近几年加密技术的迅猛发展以来,网络钓鱼已成为那些希望利用粗心的HODLers和快速跳升免费加密货币赠品的骗子的首选方法–感谢来自俄罗斯的@VitarikBooterun,他有2位关注者,没有个人资料图片(这是伪造的,完全由Twitter组成,但是登录Twitter,找到一个 @VitalikButerin 鸣叫并记录).

当今网络钓鱼攻击最令人担忧的问题是其复杂性和美观性。特别是对于像我这样的人,从技术上讲应该戴老花镜但对母亲说服他看起来更帅气的人不相信–而是选择斜视并握住计算机靠近脸部.

而且,我不是唯一一个曾经被愚弄过的人.

今年初,人们发现 假的Tron帐户已通过Twitter验证. 该帐户在推特上发布骗局赠品时已积累了超过140,000的关注者,用户在其中发送了少量ETH到已发布的地址,并承诺会收到10倍的回报.  

它不止于此。网络钓鱼攻击正变得越来越有创意。尽管网络钓鱼方法未在Balina黑客中使用,但仍值得关注:只看“ punycode”即可。

伪造币安网络钓鱼punycode

简而言之,punycode是的特殊表示形式 统一码, 允许黑客将字符转换为ASCII码(一种较小且受限制的字符集),例如德语。例如,慕尼黑的德语名称是“慕尼黑”.

那么,如何分辨恶意网站的合法网站??

  • 对于初学者,请在网站URL地址的左侧找到绿色的“ https”和单词“ Secure”。绿色表示网站已获得必要的SSL证书,并且是合法的.
  • 其次,为经常访问的网页添加书签是将错误或拼写错误最小化的有效方法.
  • 仔细检查以确保正确输入了URL,并信任您的直觉。一个立即弹出页面后显示弹出式窗口的网站可能不是交易和存储价值数千美元加密货币的正确网站.

4.两方面身份验证是关键-一种方法占据上风

使用两要素身份验证(也称为2FA)备份加密帐户和登录名是增强投资组合安全性的重要步骤。 2FA要求用户输入通过智能手机或应用程序提供给他们的一次性密码(OTP),以完成登录过程.

但是,认真对待安全性的用户应停止对2FA使用SMS身份验证,而应使用诸如 Google身份验证器, 或不太受欢迎 Authy.

研究人员和 安全专家长期警告不要使用短信 作为在线登录时的一种验证性安全措施,并指出黑客此前曾策划大规模攻击,他们利用各种小区网络中的已知漏洞来拦截发送给用户的短信.  

Google Authenticator的优势在于它依靠不需要与蜂窝运营商进行交互的优势,将时间受限的身份验证代码保留在应用程序(通常为30秒)和电话上。即使黑客迅速将用户的电话号码移至新电话,代码也不会受到影响.     

使用Google Authenticator或其他2FA应用程序时,备份私钥并安全存储它们非常重要,以防万一您摔坏或丢失手机.

最后的想法

尽管加密社区中的一些人不相信Balina确实遭到了黑客入侵-指出了一些可疑的情况以及Balina可能直接参与其中的原因-Balina自此驳斥了此类说法,并指出这种入侵是 现在正式接受刑事调查.

不管实际发生了什么,很明显,即使是“经验丰富”的加密持有人也犯下了严重而明显的安全错误。.

希望本文能提醒所有人,重要的是花一点时间重新评估您是否采取了适当的预防措施(无论它们看起来多么简单和基本)以安全地进行交易和存储加密货币.

有关的: 如何保护您的加密货币