阿唯

宅人一個,熱衷探討本地宅文化生態,自創《宅人調查報告》同人誌系列。現正研究如何透過加密貨幣和投資宅股,創造被動收入。另經營Facebook專頁「好宅之人」。

幣圈新手必讀︰如何減低被Hack風險

發布於

自從Bitcoin在去年底突破2萬美金後,阿唯真的感受到加密貨幣的炒風轉趨熾熱,因為就連身邊沒留意開加密貨幣的朋友,都紛紛問我怎麼入場了。這也難怪,當Bitcoin的升幅跑贏Tesla等科技股,連登契媽(Catherine Wood)又預言Bitcoin將升至50萬,散戶和機構都怕執輸,紛紛掃貨,幣價自然爆升。

無論你是因為想走資、避免銀行戶口遭凍結,還是想參與投資炒賣而接觸加密貨幣,作為幣圈新手,有件事務必注意 —在加密貨幣的去中心化設計下,除了用戶自己,無任何人或機構負責保安工作。換句話說,若電腦保安意識不足,密碼一旦被Hacker知道,所持有的加密貨幣,將被Hacker全數盜去,而且追討無門。

我絕非在嚇大家,因為自己也曾是受害者,當年就試過被Hacker闖入軟件錢包,把裡面的所有幣轉走,而我只能眼白白看著自己辛苦儲下的LikeCoin,在交易所被賤價變賣。若想知道詳情,可以看我這三篇有血有淚的文章︰一夜間,我失去了所有LikeCoinLikeCoin劫後餘生LikeCoin被盜事件還原

就在上個月,有位網友得知我的經歷後,主動跟我聯絡,說他自己也有類似的遭遇!雖然我無法幫到他,但至少我可以將案情重組並公開(已取得當事人同意),讓各位幣圈新手不會再犯同樣的過錯。

.加密貨幣離奇消失

在去年10月某一天,事主(以下簡稱A君)如常打開自己的Binance(幣安)戶口,卻發現自己的ETH(以太幣)戶口顯示結餘為0,而且戶口有不尋常的外國登入記錄。A君立即透過transaction hash(tx)記錄,追蹤自己的ETH去向,發現這些ETH經過幾個地址,最後被轉到Huobi(火幣網)。

A君立即聯絡Huobi的客服,希望官方能夠截住這筆贓款,或者協助追查該戶口的持有人的真實身份。可惜該平台的客服指,一定要香港警方介入,才能夠凍結戶口。A君已經在網上進行電子報案,但未知警方要花多少時間來處理。

.帳戶被Hack原因

A君明明已在Binance做了2FA,為甚麼帳戶仍輕易被Hack?原來Binance提供的2FA方式總共有4種,分別是安全設備(例如YubiKey)、Google Authenticator、手機SMS驗證和E-mail地址,而A君選用的是Google Authenticator。

其實做了2FA已大大提升安全性,不過A君卻將Google Authenticator的密鑰,直接寫在雲端筆記軟件Evernote上面,而且沒有把字串加密!結果Hacker只需要hack進Evernote,就能在自己的手機的Google Authenticator App上,自行產生6位數字的驗證碼,Binance立即變成「無掩雞籠」!

Hacker用不同的假IP闖入Evernote(由事主提供)

另外,這個Hacker也同時取得了Gmail的密碼,並且闖入了A君的Gmail,不斷搜尋各種加密貨幣平台的名字,以及deposit、withdraw等字眼,以確定A君在Binance開了帳戶。A君在檢查「我的 Google 活動」時,發現到不尋常的搜尋記錄,所以才知道這件事。

.香港警察的跟進

到了11月底,警方終於主動透過電話聯絡A君,雙方談了接近半小時。可是警方似乎對於加密貨幣一竅不通,在對談中強調他們沒有這方面的知識,而且又向A君查問跟案情無關的事,例如問這些加密貨幣是何時購入,所用的資金來自何方等等。

警方一時指這筆金額太小,一時說他們只能夠處理本地案件,一涉及跨境犯案會很麻煩,總之就是不想受理的樣子。之後警方要求A君將相關的證據列印出來,然後到就近的警局落口供,同時要耐心地向警員講解加密貨幣的相關知識。

可是A君這時已相當不滿,明明自己是加密貨幣案件的受害者,卻要化身加密貨幣導師,教導警員應如何處理,實在相當諷刺。想到自己已沒甚麼機會追回贓款,便打消了落口供的念頭。

.從這單案件中得到的教訓

  1. 千萬不要將Seed Phrase、密碼等機密資料,儲存在自己的電腦之中。找一枝筆,好好寫在記事簿上,然後收藏在安全的地方吧!
  2. 也絕對不要把機密資料儲存在Evernote這類雲端筆記軟件之中,這比起儲在電腦之中更危險。就算開通了2FA,並且將密碼字串加密,Hacker一樣有機會把密碼偷到手。
  3. 記得開啟平台的電郵和電話SMS通知(如有)。當Hacker嘗試登入平台時,你便立即得悉Hacker的舉動,從而採取措施將損失減低。
  4. 就算加密貨幣平台做了KYC(Know Your Customer)步驟,也不一定會幫你凍結Hacker戶口和追討損失。始終口講無憑,加密貨幣一經轉走,你就無法證明那些幣仍然是你的。
  5. 定期檢查一下自己的email搜尋記錄(Gmail用家可到 https://myactivity.google.com/ 檢查),查看有沒有異常的檢索字詞。
  6. 不要旨意香港警察能幫到手。

據A君所述,這次損失的幣並不是太多,算是不幸中之大幸,就當是買個教訓。但無端被人打劫,始終不是好事,除了金錢損失,也許自此會對加密貨幣產生陰影,甚至影響到其他人怕了加密貨幣這新科技。

其實只要不貪方便,好好儲存密碼,已經能把保安效果大大提升,就算技術多高超的Hacker,也無可能偷到你錢包中的加密貨幣。

最後賣個廣告,阿唯在好宅之人Patreon版,除了會寫投資教學分析外,平時還會分享各種加密貨幣的操作心得。如果你也是剛進(或想進)幣圈的新手,歡迎你花一杯咖啡的價錢,subscribe我的Patreon︰https://www.patreon.com/veryotaku

我剛剛寫了一篇詳盡的文章,裡面會以自己經驗,教大家如何選取合適的加密貨幣錢包︰https://www.patreon.com/posts/46770621

另外我還會在Patreon,由淺入深地教讀者各種買幣方式和投資生息技巧,包你受用一生!如果你也對加密貨幣有興趣,就絕對不能錯過了。

喜歡我的文章嗎?
別忘了給點支持與讚賞,讓我知道創作的路上有你陪伴。

CC BY-NC-ND 2.0 版權聲明
12

看不過癮?

一鍵登入,即可加入全球最優質中文創作社區