随着比特币的价值超过1,000美元安全漏洞利用和攻击的风险
过去一周,比特币的价值突破了1,000美元的门槛,标志着虚拟货币的新里程碑。随着比特币的价值和用途(以分散的货币形式于2009年首次出现)的兴起,黑客和分子的兴趣也不断增加。
最新的比特币相关攻击之一是恶意软件,该恶意软件会自行安装在用户的PC上,以“挖掘”新的比特币。虚拟货币是通过利用计算能力发现新的比特币区块的数字挖掘创建的。安全公司Malwarebytes 报告了开采比特币的恶意软件,并通过恶意的工具栏应用程序将其安装在受害者的PC上。
比特币生态系统中的网站也受到了最近的攻击。该bitcointalk.org社区网站遭到攻击过去的这个星期,随着攻击者获得访问用户名和密码在网站上。
此类攻击的风险在于,攻击者现在可以潜在地利用那些用户帐户从比特币活动中获利。在更直接的攻击中,欧洲比特币交易所BIPS(比特币互联网支付系统)上周遭到破坏,利用了100万美元的比特币用户。
Bishop Fox的高级安全分析师Joe DeMesy表示,虽然攻击者正在关注与比特币相关的网站,但在比特币网络的安全性与比特币交易所之间存在重要区别。
“比特币网络是使用比特币协议进行通信的计算机网络,允许网络中的人交换和挖掘比特币,而比特币交易所只是一个允许用户出售其现有比特币以换取其他货币的网站,例如美元”,DeMesy告诉eWEEK。
DeMesy说,没有人发现比特币协议本身存在严重的漏洞,该漏洞将允许比特币网络中的用户欺诈性地创建硬币或进行交易。
就是说,在虚拟货币的整个生命周期中,各种比特币交易所都存在妥协,并且随着比特币价值的增加,使用交易所的风险也随之增加。
DeMesy说:“这些交易所的设计要求用户将其比特币转移到交易所中,如果攻击者破坏了交易所,他们可以提取其中存储的所有比特币。”
用户面临的另一风险来自比特币钱包的安全性,这是实际上持有用户拥有的比特币的技术。
“我们已经观察到一些恶意软件包针对比特币用户的wallet.dat文件,”亚当迈尔斯,在CrowdStrike情报的副总裁,告诉eWEEK的。“丢失了wallet.dat文件就像丢失了装满现金的实际钱包一样,如果它消失了,您可能再也看不到这些钱了。”
比特币钱包可以在本地用户的PC上存储的,但它们也可以存储在与服务提供商,呈现另一套风险的云。
应用安全公司Cenzic的首席营销官Bala Venkat告诉eWEEK,事实是,比特币可以存储在Web服务上,并将它们与加密生成的地址相关联,这使它们暴露于应用程序层中常见的威胁向量。Venkat说:
“黑客可以通过SQL注入,XSS(跨站点脚本)等轻松利用这些漏洞,并对这些向量进行重新配置,以从Web服务和在线钱包服务中窃取比特币,”
使用比特币钱包的用户面临的另一个风险是,与信用卡交易不同,比特币付款不可通过银行或信用卡发行商等中央机构进行逆转。
只有人接受基金可以退还比特币交易,Venkat说。“这意味着人应该特别小心的人,并组织他们信任做生意,” Venkat说。
AccessData营销和业务开发副总裁Devin Krugly认为,没有中央管理机构来监督比特币交易或就使用虚拟货币的方式,地点或用途设定任何安全标准,这一事实令人担忧。 。
“有一组IT最小的几乎任何人都经历可以建立一个Bitcoin的挖掘和-transaction站点,因此新手很容易被黑客攻击,” Krugly告诉每周电脑报。
最终,就像真实硬通货一样,比特币用户有责任保护自己的比特币。
克鲁格说:“如果您没有钱包的备份计划,或者如果离开时任何人都不知道钱包的位置或密码,那么您的钱将永远无法收回。