?譯者 | 劉濤

審校 | 孫淑娟

作為一名企業(yè)家，缺乏安全感在所難免，特別是在資金安全方面。無論如今數(shù)字空間中的解決方案有多么強大、多有遠見，人為因素仍然是資產(chǎn)被盜的關鍵。如果您已經(jīng)成立了一家公司，獲得了投資，但依然擔心資金安全問題，那么有必要采取行動來評估用于公司目的的加密服務所面臨的所有威脅。

本文討論了當前數(shù)字安全問題，并就企業(yè)家在不久的將來可能面臨的特殊威脅提出了解決方案。

具備先發(fā)制人的思維方式

有句話說得好：“預先警告就是預先武裝”，并非毫無根據(jù)。一般而言，有兩樣東西必須重視起來加以保護——私鑰和助記詞(或者是助記符)。心懷不軌的人很容易猜到它們并偷走其中一個，具體是怎么做到的呢？以下是這類人竊取資產(chǎn)的主要方式。

1、設備入侵

不管是筆記本電腦還是智能手機，儲存私人密鑰都不是個好主意。丟失這樣的鑰匙就等于丟失了信用卡或借記卡連同PIN碼。后果顯而易見，無需進一步解釋。

怎么解決？

找到其他方法來儲存敏感信息。事實上，最常見的解決方法就是保留私鑰的硬拷貝。然而，紙張似乎并不總是最可靠的儲存方式，因此，如果采用更具創(chuàng)造性的方法，一定會降低損失的概率。對于企業(yè)所有者來說，最有意義的解決方案是 Cryptosteel、 Cryptoart以及使用硬碟安全模塊（HSM）。

2、電子郵件網(wǎng)絡釣魚

電子郵件是商業(yè)的重要組成部分，黑客比任何人都清楚。出于這個原因，他們會通過一個假定您已經(jīng)習慣了的服務發(fā)送電子郵件，這種服務要求數(shù)據(jù)執(zhí)行特定行為。

他們的電子郵件可能會偽裝成公司代表（例如，如果您使用錢包服務）要求您分享一些個人信息，盡管官方代表從來沒有這樣做過。這就是人為因素造成的，有些人被騙并提供了個人信息。

怎么解決？

當您收到這樣的信息時，不要理會，馬上聯(lián)系您所在公司或服務機構的官方代表。作為生活常識，您應該經(jīng)常提醒自己：官方銀行代表是否需要輸入密碼？

3、假錢包

不幸的是，黑客成功地模仿官方公司(比如Trezor)開發(fā)的應用程序，從而避免了在谷歌應用商店(Google App Store)平臺上被禁。他們用相似的名字，偽裝成官方的錢包。2022年，Trezor 的用戶收到了一封來自 Trezor.us 域名的郵件，該郵件模仿 Trezor.io 發(fā)送的信息，要求用戶通過點擊鏈接來更新錢包軟件——這似乎是一個旨在竊取資產(chǎn)的陰謀。

怎么解決？

請務必從錢包服務的官方網(wǎng)站下載應用程序。其中一些錢包甚至可能會要求您的手機號碼發(fā)送一個安全的鏈接，讓您到應用程序商店。

4、惡意軟件

對于黑客來說，獲取數(shù)據(jù)至關重要。作為一款惡意軟件，鍵盤記錄器非常適合這一目標，記錄每一個密碼、 PIN碼和助記符，然后將其轉交給覬覦已久的惡意者?？梢酝ㄟ^三種方式感染鍵盤記錄器：

• 電郵
• 從特定的網(wǎng)站或種子上運行被感染的軟件
• 插入受感染的

還有木馬，類似于鍵盤記錄器，可以監(jiān)控您的行為，竊取任何看起來像是私鑰的東西。當木馬完成任務后，黑客會迅速容易地破壞您的加密地址，甚至不會引起您的注意。

此外，還有一些惡意軟件會把剪貼板弄亂，所以當您復制錢包地址進行轉賬時，一旦粘貼上，地址就會發(fā)生變化。

怎么解決？

確保您的防病毒系統(tǒng)掃描您下載的所有附件。確保有可靠的防病毒系統(tǒng)供商業(yè)使用，以便您和從事與加密工作相關的員工可以檢測到惡意軟件的時間。另外，不要忘記仔細檢查您粘貼的錢包地址。

5、冒充

冒充某個公司、加密交易所或某個特定的人，對于黑客來說是屢試不爽的手段，而且仍是達成目的的最常見手段之一。這種方法完全基于人為因素，而且由于入侵計算機系統(tǒng)的任務更加復雜，因此使用該方法通常要容易得多。在這種情況下，冒充者對竊取您的帳戶感興趣，而不是入侵。他們會要求您在特定的地址進行交易。更狡猾的黑客會創(chuàng)建一個網(wǎng)站，讓您可以看到自己的“投資”，然后要求您分享一些數(shù)據(jù)。

怎么解決？

這里提到的問題與我們的個性密切相關，所以請仔細檢查每件事情，不要倉促做出決定，并將這些信息傳達給員工。

6、瀏覽器擴展程序

安裝在瀏覽器上的擴展程序可以使您的生活變得更加簡單，但它們也對您的安全構成了潛在威脅。擴展程序除了能提供正常服務功能之外，有許多報道爆出了它們參與了黑客的監(jiān)控和盜竊數(shù)據(jù)。僅在2020年，谷歌就移除了49個被發(fā)現(xiàn)竊取加密錢包密鑰的 Chrome 擴展程序。

怎么解決？

在安裝擴展程序之前，驗證它背后的公司或開發(fā)人員。在線審查（復查）也是一個不錯的方法。

7、繞過2FA

值得信賴的錢包供應商總是使用雙因素認證來確保某些業(yè)務背后有真實的人在操作。雖然2FA仍然是一種有效的保護用戶免受欺詐行為的方法，但也出現(xiàn)了黑客找到繞過這一層安全方法的案例。

例如，攻擊者可能因為數(shù)據(jù)傳輸協(xié)議中的漏洞而攔截 SMS消息。黑客也可能事先用惡意軟件感染智能手機，克隆移動運營商的卡片，入侵網(wǎng)站中的用戶賬戶。其目的是控制所有訪問者使用的保護措施。從那以后，黑進加密錢包就不那么重要了：騙子們已經(jīng)開始使用加密貨幣了。

怎么解決？

密切關注您收到的通知，并記住這里所說的一切。

更進一步，考慮多重簽名錢包和冷錢包

到目前為止，這些隱藏的因素影響著熱錢包(總是連接到互聯(lián)網(wǎng))以及個人專用私鑰，但在考慮安全性時，還有很多因素需要考慮。讓我們看看能夠提高安全級別的解決方案，這樣您永遠不用擔心遭到黑客攻擊或者損失大量資金了。

熱錢包和冷錢包

如何在追求功能和安全之間找到適當?shù)钠胶庖恢笔莻€相關問題，而現(xiàn)在可以通過使用熱錢包和冷錢包來解決。一方面，熱錢包非常實用，但缺乏安全性。另一方面，冷錢包是相當安全，但功能不全?，F(xiàn)在的問題是: 如何選擇？

那些長期使用加密技術的人，可以通過將資金存儲在物理設備(比如 Ledger 或Trezor)上并通過互聯(lián)網(wǎng)轉賬的方式從混合體驗中獲益。硬件錢包不如熱錢包方便，因為它們必須打開電源然后連接到互聯(lián)網(wǎng)。此外，它們可能會花費50到200美元。盡管如此，為了保護企業(yè)免于損失所有資金，這只是一個小小的代價，因為這些設備的設計就是為了抵御黑客攻擊。

然而，熱錢包也因其在接收、存儲、交換以及發(fā)送支付方面的易用性而受到企業(yè)的青瞇。因為它們總是在線，所以不需要再離線和在線之間轉換來進行加密貨幣交易。這種錢包用于及時支付和與合作伙伴結賬，以及從一個錢包對多個賬戶地址進行不同的加密支付。對于大額交易，有些系統(tǒng)需要至少2名客戶管理員在交易簽署之前批準交易。

也就是說，如果您想要一個完美的低風險決策，那么混合策略就是最佳選擇。

多重簽名錢包

多重簽名錢包（multi-signature）可能是加密業(yè)務中最有價值的工具之一。但是您也許會問，多重錢包是什么？

多重簽名錢包是一種特殊的加密錢包，只有在兩個或兩個以上的簽名同時輸入時才能使用。它實際上是一個數(shù)字版本的多鑰匙保險箱，只有在多把鑰匙插入多把鎖的情況下才能打開。

這種錢包中的交易還發(fā)生在多個用戶輸入他們獨特的簽名或者密鑰的時候。用戶可以創(chuàng)建一條規(guī)則，并且確定需要多少簽名來完成操作/交易：1/2、2/3、5/8等等。這樣的交易不會過期，直到所有所需的密鑰都簽署了交易，系統(tǒng)才會結束其掛起狀態(tài)。多重簽名錢包沒有等級結構，意味著無需驗證和完成交易的特定簽名。

對于那些不愿意依賴唯一的私鑰持有者的企業(yè)來說，多重簽名錢包是必不可少的。使用多重簽名程序可以幫助企業(yè)獲得資金，并且允許不同的雇員按要求進行交易。

除了提高安全性外，當一組私鑰持有者們可以共同控制資金時，使用多重簽名錢包的主要優(yōu)勢之一就是決策。每個人都能看到預算，提出不同的意見，但是誰也不能把錢轉移到自己賬戶。錢包主要作為一種類似投票的形式，即使在大多數(shù)用戶同意的情況下，交易還是不能通過。

至于缺點，使用這種錢包會影響交易速度，因為它需要多個簽名。但是這里最常見的障礙可能是建立一個多重簽名錢包所需要的技術知識。此外，還有一些法律上的細微差別沒有跟上新技術的發(fā)展。幸運的是，有第三方錢包提供商和公司（例如，BitPay或Casa）來幫助企業(yè)解決這些問題，尤其是在使用多重簽名錢包時。

結論

如上所述，有很多提高您業(yè)務安全的方法，必須認真考慮。其中，使用多重簽名錢包被證明是一種很好的解決安全問題的方法，同時也可以讓人們公平地控制資金。話說回來，當涉及到與多方做生意時，多重簽名錢包更是必不可少的。

譯者介紹

劉濤，51CTO社區(qū)編輯，某大型央企系統(tǒng)上線檢測管控負責人。

原文標題：??How Can Businesses Prevent Money Losses and Stay Secure in the World of Crypto???，作者：Adam Stieb?