以太坊钱包再遭黑客侵袭，维护区块链安全使命艰巨

以太坊钱包再遭黑客攻击，区块链生态安全保卫战路漫漫

🚥

近期，区块链交易平台的安全问题频发，一波未平一波又起，圈内人士对此已司空见惯。

😀

就在本周二，一则新闻再次引发关注：以太坊钱包MyEtherWallet（MEW）遭遇DNS劫持攻击。众多安全意识不足的用户在登录MEW网站时，忽视了“网站不安全”的警示，强行访问，导致攻击者获取了他们的在线钱包密码、私钥等敏感信息，仅用几秒钟便将钱包中的ETH全部转走。据悉，此次攻击持续约两小时，黑客盗取的ETH总价值超过13000美元。幸运的是，也有部分用户在看到安全提醒后并未继续登录，成功避免了损失。

近年来，数字货币交易平台发展迅速，各平台专注于核心业务，但在信息安全方面的投入却相对有限，导致安全事件频发。2014年，日本比特币交易平台Mt.Gox遭受黑客攻击，用户丢失约75万枚比特币，最终导致该平台破产。尽管前车之鉴在眼前，但国内外数字货币交易平台在安全建设方面仍然存在不足，遭受黑客攻击的事件时有发生，给平台和用户带来了巨大损失。

从信息安全的角度来看，黑客能够得逞的主要原因有三个：

一是通过钓鱼等手段进行身份冒用。上文提到的MEW遭遇DNS劫持攻击，本质上就是钓鱼攻击。此外，黑客还常通过邮件、电话、短信等社工手段进行身份冒用。

二是利用区块链交易平台的网络漏洞。除了网络协议中的漏洞外，还有账号密码中的弱口令、密码复用等问题导致的漏洞。

三是内部恶意人员。首先，公司管理员可能利用自身权限监守自盗；其次，静态密码、传统令牌等方式“认令不认人”，存在内部恶意人员盗用同事身份的风险，且事发后难以追溯；再次，由于缺乏统一的用户管理平台，员工角色变动时，部分账号未能及时增删，离职员工仍可能拥有账号权限，导致信息泄露，k1体育登录入口。

以上三种情况导致区块链交易平台存在多种攻击路线的安全风险，因此相关平台需要从各个环节、由内而外地加强抵御能力。

区块链本身具有中心化、防篡改的特点，但通过上述分析可以看出，区块链业务在账户准入方面仍存在安全问题。针对这一问题，锦佰安科技推出了一套综合的安全解决方案。

一、便捷安全的身份认证方式

用户可以通过SecID AI行为识别或SecID线上快速身份认证进行身份识别，确保只有本人才能登录账户和执行敏感操作。

（1）SecID AI行为识别

锦佰安科技自主研发的SecID AI行为识别系统，能通过手机中的多个传感器，多维度、多规则地收集用户日常登录的操作行为和使用习惯，然后利用卷积神经网络、循环神经网络、贝叶斯网络等方法，对这些特征进行持续深度学习，为每个用户单独建立识别模型，并与用户本人进行相似度匹配，即可对用户身份进行确认。通过这些核心技术，SecID不仅能有效分辨当前操作者是人还是机器，而且还能精确辨别其是否为用户本人。

具体应用到区块链交易平台的业务端，相关APP用户在进行注册、登录、支付、转账等敏感性操作时，其行为数据会同步与用户的AI模型对比，只有相似度达到一定阈值时才允许执行相关操作，从而有效拦截非本人授权的操作（包括黑客远程操作及机器操作等），确保账户内资金的安全。值得一提的是，整个过程是在用户无感知状态下完成的，用户无需改变操作习惯。

（2）SecID线上快速身份认证

SecID线上快速身份认证基于FIDOUAF1.0协议标准实现，能够在用户名和密码的基础上完成多因素身份认证。这种方式就是在用户名和密码的基础上，结合日趋成熟的生物特征识别（如指纹识别）与系统锁屏（密码、九宫格、PIN码等）完成简化版的多因素身份认证。

针对区块链交易平台的业务网站及服务器的登录、敏感操作等环节，采用硬件隔离即插即用的本地身份认证，用户隐私、生物特征信息及其产生的私钥不会上传到云端，而是保存在手机硬件可信环境之中，从而有效保护隐私。

二、大额交易时的身份识别与授权

在大额交易等关键操作环节，SecID身份识别与交叉授权机制加大审核力度。对授权人和被授权人，通过指纹识别或人脸识别等手段进行身份识别。与此同时，单独的审计日志还能对交易行为进行追溯和审计。

通过以上技术手段，SecID阻断了敏感操作环节身份被冒用的可能。

一、明确账户对应的应用，降低运维成本

SecID统一身份认证管理平台支持用户分组管理模式，明确每个账户对应的应用，避免员工因职位变动、权限不明等带来的安全隐患。

此外，SecID后台提供一站式批量化管理，支持单个及批量用户的创建、修改、删除等操作。也就是说，在员工离职时只需一键删除其SecID账户，即可取消对方所有的账户权限，避免离职员工泄漏信息的可能。

二、安全审计，责任到人

SecID后台可记录管理员操作日志及用户登录认证日志，方便安全审计和追溯。

三、多因素二次认证，确保合法可信的人进入对应系统

SecID对内网办公环境中涉及的网络准入（VPN/WiFi）、办公PC登录、访问电子邮件系统、访问其他Web类办公系统等登录操作，集成了多因素二次认证（一键确认、图片密码、指纹识别、人脸识别等），确保只有合法可信的人才能进入对应系统。

综上所述，通过SecID统一身份认证管理平台，可有效防止钓鱼、弱密码、账户职权混乱及区块链交易所内部恶意人员等导致的安全隐患，同时又能方便安全审计和追溯。

除此之外，锦佰安科技还提供每月两次的高频次安全检测，贯穿软件系统整个生命周期的安全服务，上线前360度全方位安全检测等，防范复杂多维、手段变化多样、隐藏技术运用多的新型安全攻击。

千里之堤毁于蚁穴。由于区块链生态中虚拟货币的属性，哪怕出现一丝安全问题都有可能造成极大损失。保卫区块链生态安全任重道远，用户的身份安全更是重中之重。

锦佰安科技结合安全服务及SecID身份识别系统，在保障用户账号安全的基础上，为区块链交易平台打造了一套综合的安全解决方案，让交易平台专注于核心业务。