加密貨幣領域有很多批評。一是它對於新來者來說似乎是不可滲透的。另一個是與其他大多數金融領域相比,投資加密貨幣可能更容易虧錢。而且,這些問題可以結合在一起,為具有惡意意圖的黑客創造一個有利可圖的環境。
Chrome瀏覽器擴展程序令人發臭
由於影響市場的波動和炒作,投資者通常會非常有動力去購買某些加密貨幣。無論背景如何,所有人都面臨相同的初始障礙:在哪裡購買加密貨幣並在哪裡存儲?
部分原因是缺乏健全的法規以及通常資金不足且過度擴張的執法活動的有限法律能力,因此沒有統一的方法來為初學者購買無風險的購買加密貨幣的方法。
許多詐騙 錢包和交易所都擁有高質量且設計良好的網站,這些網站營造出令人信服的真實性幻覺。儘管加密貨幣和區塊鏈的機制都非常複雜,但是每天的投資者都不希望成為技術專家。
儘管許多投資者可能不是編碼超常專家,但幸運的是,許多專家在線上發現了奇怪的東西,並且掌握了深入研究代碼並了解實際情況的專業知識。僅在最近幾天裡,加密貨幣世界就從他們的珍貴資金中吸取了部分投資者的最新騙局。
雙手插在加密貨幣罐中
12月30日,哈里登利,安全在MyCrypto官員發現,一個復仇的錢包,被稱為「Shitcoin錢包」,據報導,從打開的瀏覽器窗口注入惡意JavaScript代碼從客戶竊取數據。
檢查代碼後,Denley注意到chrome擴展程序可以通過從遠程伺服器下載javascript文件來起作用。Denley與Cointelegraph有關如何將Shitcoin Wallet引起他的注意,以及引起他警鐘的確切原因:
「自從我們開始召集,索引和研究各種騙局,惡意軟體和網絡釣魚工具包以來,我們已經獲得了不斷向我們報告的人員網絡。其中一個人直接向我報告了Shitcoin錢包,並簡要調查了向當前瀏覽器選項卡中注入「 content_.js」以竊取秘密的行為。在向我報告之前,我從未聽說過它。然後,我將擴展程序下載到VM上,並查看代碼以確認報告並發現其他惡意行為-擴展程序的錢包創建行為也將新鮮的機密發送到其後端。」
「 Shitcoin」是貶義性術語,經常出現在比特幣(BTC)的最高主義者圈子中,以及經常相信自己選擇的一種數字貨幣的固有質量高於其他所有貨幣的投資者中。
誠然,加密貨幣討論的在線世界確實存在諷刺和巨額供過於求的現象,這通常是公司和平台品牌中的固有現象,但許多評論員認為,被挑釁性地命名為「 Shitcoin Wallet」對於投資者而言已經足夠大了避開。許多Twitter用戶寫道,他們不相信人們會將chrome擴展誤認為是合法服務。
網絡安全專家凱文·博蒙特出現鳴叫的想法他懷疑有人會自願接受從他的辦公室的安全團隊的電子郵件後,安裝一個名為「Shitcoin錢包」插件:
「今天工作的第一封電子郵件是,我們的威脅情報提供商必須在'Shitcoin錢包中編寫惡意軟體。」 該死,我正要安裝Shitcoin Wallet插件。」
同樣,Red Hat Jan Wildeboer的自我描述的開源傳播者還發推文說,該名稱應為投資者敲響警鐘:
「誰還會安裝帶有該名稱的擴展程序?#WhereIsMySurprisedFace一個名為Shitcoin Wallet的Google Chrome擴展程序正在竊取密碼和錢包私鑰。」
專家考慮加密貨幣的安全缺陷
拉斯維加斯網絡安全機構Zokyo Labs的執行長Hartej Sawhney告訴Cointelegraph,說要讓加密貨幣公司制定穩健的網絡安全政策要容易做起來容易,做起來難,因為部分原因是對保險政策和人員配備限制的過度依賴:
「加密是一個相對不受監管的新興行業。擁有網絡安全計劃的挑戰是必須擁有內部和第三方的合格人員。沒有遵循諸如雇用第三方道德黑客定期進行滲透測試之類的基本標準。在Crypto中,如果黑客能夠識別和利用協議漏洞,那麼他們將危害整個網絡,因為安全鏈是協議,然後是交換,然後是錢包。」
內部和外部都譴責了加密行業缺乏全面的監管結構和安全標準。Sawhney向Cointelegraph解釋說,許多公司甚至沒有指派一般技術監督人員,而且該行業缺乏對那些有資格填補空白的人員缺乏激勵的能力:
「許多主要的加密公司甚至都沒有指派首席信息安全官或基本的網絡安全計劃,該計劃突顯了面臨漏洞時應採取的步驟。對於世界一流的網絡安全專家來說,也缺乏動力來專注於加密行業。需要一種非常專業的技能來專注於網絡安全和加密貨幣的交集。」
對於總部位於倫敦的交易所Interdax的首席技術官查爾斯·潘(Charles Phan)來說,執法部門和加密業務部門需要共同努力,以增強網絡安全防禦和意識。潘接著補充說:
「網絡犯罪的許多方面也需要特定的知識,因此,專家,執法機構,投資者和整個生態系統之間需要進行溝通,以清除不良行為者。以教育形式進行預防也很重要。」
Tala Security的執行長兼創始人Aanand Krishnan表示,了解造成攻擊增加的原因很簡單:安全性還不夠。克里希南告訴Cointelegraph:
「這可能是顯而易見的,但是攻擊正在上升,因為在安全有效性下降的同時,攻擊技術不斷創新。這種「市場狀況」需要更多的安全投資或不同的想法。由於安全預算仍然緊張,因此需要新的方法。其中許多攻擊利用了JavaScript漏洞,這些漏洞可以通過基於標準的安全措施來解決。令人驚訝的是,這些措施很少部署。」
Google是否掩蓋了其意圖?
儘管正確發現了Shitcoin Wallet擴展並使其過時了,但並不是所有的在線平台都能得到應有的待遇。自2019年Facebook 天秤座宣布分水嶺以來,全球科技巨頭已經開始擴大其在加密貨幣行業的業務。除了相對較短的「天秤座效應」,有影響力和強大實力的公司的行動並不總是會產生積極的影響。
在當今世界,手機在日常生活中發揮著越來越重要的作用的情況下,無論是在Apple的 App Store還是Google的 Play App Store中使用應用程式,對於公司而言都是生死攸關的問題。發現違反法規的應用程式經常從商店中刪除。儘管平台必須謹慎考慮向客戶提供哪些應用程式,但安全措施並非總是按計劃進行。
在2019年12月下旬,著名的Chrome擴展程序和錢包服務提供商MetaMask 以Google黑名單的形式收到了不想要的聖誕節禮物。對於MetaMask來說幸運的是,禁令只持續了一周,直到最終被推翻。谷歌之所以做出這一禁令,是因為該科技巨頭將採礦應用的瀏覽器擴展誤認為是不允許的。
儘管MetaMask可能已被Google暫時取消,但簡短的黑名單為錢包提供商帶來了其他問題。根據12月下旬的報導,MetaMask的貢獻者聲稱該團隊完全不知所措,沒有得到其母公司ConsenSys的足夠支持。
儘管在快速增長的需求壓力下受命的流行加密公司絕非罕見,但撰稿人還聲稱該公司既不透明也不分散,聲稱該項目的代碼「質量低下,充滿技術債務」。
貢獻者的評論引起了MetaMask員工Daniel Finlay的回應,他挑戰了他所說的不是正式團隊成員的警惕語氣。儘管如此,Finlay承認一些批評是準確的,尤其是在項目代碼方面。Finlay 告訴 Cointelegraph,他對越來越多的跨技術平台的加密相關公司和帳戶的禁令感到不安:
「我非常希望這是Google審稿人的誠實錯誤,但與YouTube禁止使用的所有加密貨幣相結合,這無疑使我對Google如何使用分散技術感到不快。」
總部位於堪薩斯城的Kennyhertz Perry LLC的前聯邦執法律師以及監管和政府調查律師Braden Perry向Cointelegraph解釋說,儘管Google對DApps在其平台上的擴散具有相當大的影響力,但缺乏監管明確性以及安全性與需求之間的衝突通常意味著科技巨頭髮現自己處在棘手的狀況中:
「他們更改了課程,並在進一步審核後允許使用應用程式。以MetaMask為例-Google拒絕了它,然後基於對開發人員和公眾的反應,相反的做法並允許該應用。Google處境艱難,試圖確保下載Dapps的公眾安全,同時又與Dapps背後的開發人員保持聯繫。」
蘋果也對DApps保持警惕
MetaMask不是唯一一家惹起所謂的四大科技巨頭之一的公司。根據Reddit 於12月28日發布的一篇文章,總部位於美國的加密貨幣交易所和錢包提供商Coinbase 警告用戶,為了遵守Apple的移動App Store政策,可能會被迫從其錢包應用程式中刪除DApp瀏覽器功能。
Coinbase執行長布萊恩·阿姆斯特朗(Brian Armstrong )在帖子中發表了評論,概述了他的觀點,即蘋果正在經歷從App Store淘汰DApp的過程:
「這真是不幸的發現。蘋果似乎正在從App Store中刪除Dapps的使用。[...]對Coinbase和IMO來說,對生態系統的威脅很大。」
對於Zokyo Lab的Sawhney而言,許多大型科技公司的行為無異於審查制度,「這全都與審查制度和控制有關。蘋果和谷歌等科技巨頭希望他們的客戶在價值數十億美元的DApp市場中擁有有限的曝光度。」
對於MyCrypto的Denley來說,Google對DApps的立場問題並不是那麼簡單。雖然Denley認識到Google在執行其政策方面做出了一些可疑的決定,但部分原因是缺乏明確性:
「 Google對DApp /加密貨幣審查的方法不一致,因此在我看來這是不合理的,因為規則太混亂了,無法知道您站在哪一邊。」
Denley補充說,一旦就應該審查和不應該審查和監督不良質量或惡意加密貨幣內容的能力有了更清晰的認識,公司和評論員都將更容易選擇立場。布雷登·佩里(Braden Perry)向Cointelegraph概述了他的觀點,即通過監管,有可能在權力下放與安全之間取得健康的平衡:
「監管是不可避免的。它如何影響加密取決於該法規的外觀。匆忙嘗試控制各種安全潛力可能會失敗,並造成對技術的損害大於益處。但是設計良好的監管方案旨在影響不良行為者而不過度監管技術,可能對加密貨幣有利,而這將需要國會,監管機構,大型科技公司(Google,Apple等)與開發人員之間的共同努力。」
Tala Security的Krishnan採用基於市場的方法,認為權力下放已被接受。克里希南(Krishnan)的評論還呼應了加密貨幣行業的商業領袖和法律界人士之間日益增長的共識,即前進的唯一方法是創建基於標準的安全性和信息共享,以扭轉行業中惡意行為者擴散的潮流:
「基於標準的安全模型,其中信息的共享(通常是最好的和最聰明的),為定義未來所需的安全模型提供了希望。擁抱這些模型並為它們的發展做出貢獻是確保攻擊者不會總是獲勝所需的另一種思路。」