銀行失竊總是大事，而比特幣銀行失竊不僅重大，而且更為罕見。最近，一個18歲的比特幣“銀行家”宣布，他管理的比特幣銀行Inputs.io遭到了黑客入侵，其中的4100枚比特幣被盜，這在當(dāng)時價值130萬美元。

這是歷史上第一起比特幣銀行劫案，再次引起了一個老問題：比特幣究竟是不是像傳說中那樣穩(wěn)定而安全？

比特幣銀行

由于比特幣背后并沒有政府支撐，更沒有信用系統(tǒng)，也就是說，比特幣在使用和追蹤上更像是現(xiàn)金，而不是信用卡或者其他網(wǎng)上支付手段——一旦比特幣離開了你的手，你就無法再通過第三方機(jī)構(gòu)（比如說信用卡公司）追回，而且你也很難追溯你的比特幣曾經(jīng)交易到何處。

所以，如何安全地儲存比特幣，就成了一個問題。

首先我們需要了解的是，比特幣的本質(zhì)是一段長達(dá)64字節(jié)的私有密鑰（比如E9 87 3D 79 C6 D8 7D C0 FB 6A 57 78 63 33 89 F4 45 32 13 30 3D A6 1F 20 BD 67 FC 23 3A A3 32 62）。密鑰可以生成相應(yīng)的比特幣地址，但比特幣地址無法反向推導(dǎo)出比特幣密鑰。更關(guān)鍵的是，密鑰是人們使用比特幣的憑證，所以對于任何比特幣擁有者來說，妥善地保存密鑰就非常重要。

你可以打開一個電腦文檔，然后把那段密鑰記錄下來，不過這樣的話，一旦你的電腦被入侵，這段密鑰也就被盜了；最保險的方法當(dāng)然是把這段密鑰寫下來記錄在紙上，或者用類似于Pywallet這樣的軟件將其打印出來，但這樣的缺點就是不方便，用來支付和兌換的時候相當(dāng)麻煩。

所以，大多數(shù)人都會使用“比特幣錢包”，它可以讓你方便地收取和支付比特幣，并且也保證有相當(dāng)?shù)陌踩?。錢包分為三種：安裝在個人電腦上的軟件錢包，這種錢包給你完全的支配權(quán)，也意味著你得對自己的比特幣安全負(fù)責(zé)；還有安裝在手機(jī)和平板電腦上的移動錢包，你可以通過掃描二維碼或者使用NFC“近場交易”的方式在實體店用比特幣買東西；還有一種，就是Inputs.io這樣的“網(wǎng)絡(luò)銀行”，即為網(wǎng)絡(luò)錢包。

比特幣銀行跟傳統(tǒng)銀行不一樣，它其實更像是一個保險柜，而不是儲蓄所。在這種銀行的幫助下，你不用很累很麻煩就可以保存比特幣；但前提是，你必須找到自己能夠放心信任的比特幣銀行，而且需要支付一小筆保管費。

比特幣的蓬勃發(fā)展也催生了不少類似這樣的比特幣銀行，而這些銀行的管理者并不像真實世界的銀行家們那樣，需要對金融和安全都有深刻的研究，也沒有太多的信譽(yù)保證。Inputs.io的管理者TradeFortress就是一個剛滿18歲的澳大利亞人，而且拒絕透露自己的真名。他的網(wǎng)站注冊地址為澳大利亞新南威爾士州霍斯比鎮(zhèn)的沃特街，不過真實身份尚未為人所知。

“永遠(yuǎn)別把存有比特幣的電腦聯(lián)網(wǎng)”

Inputs.io曾經(jīng)野心勃勃，在網(wǎng)站上，它自稱是“市場上最安全的比特幣網(wǎng)絡(luò)錢包之一”：不僅需要雙因素認(rèn)證（一種采用時間同步技術(shù)的系統(tǒng)，采用了基于時間、事件和密鑰三變量而產(chǎn)生的一次性動態(tài)密碼，而非傳統(tǒng)靜態(tài)密碼），并且需要基于地理位置的電子郵件確認(rèn)。所以它宣稱，就算是其所在的網(wǎng)絡(luò)服務(wù)器被侵入了，這個錢包里的比特幣也不會被盜。

現(xiàn)在看來，這個防盜措施并沒有起作用。TradeFortress表示，這是一次社交引擎式攻擊，也就是說，這次攻擊并不是侵入了網(wǎng)絡(luò)服務(wù)器的數(shù)據(jù)庫，而是模擬了他的身份，并以管理員的角色將比特幣提取出來。

首先，黑客入侵了TradeFortress在六年前設(shè)立的一個老郵箱，那個郵箱沒有綁定手機(jī)號，所以非常容易攻破。黑客租了一個澳大利亞的服務(wù)器，所以他通過代理得到的IP地址跟TradeFortress的真實IP地址十分相近，在重設(shè)郵箱密碼時并未引發(fā)報警。從這里開始，他繼續(xù)入侵了一系列的郵箱，最終破解了他現(xiàn)在用來管理網(wǎng)站的電子郵箱，并以此為跳板重設(shè)了網(wǎng)站密碼，之后堂而皇之地將里面的比特幣掃蕩一空。目前尚不清楚黑客如何攻破雙因素驗證防盜系統(tǒng)，不過TradeFortress猜測，黑客利用服務(wù)器的漏洞，繞開了這個步驟。

當(dāng)然，并不是所有人都相信TradeFortress的解釋，有不少Inputs.io的用戶懷疑，他其實是監(jiān)守自盜偷走了這些錢，因為TradeFortress過了差不多兩周才向用戶公布失竊的事情，而且他并未報警或?qū)で笃渌麍?zhí)法機(jī)關(guān)的幫助，因為他相信“警方在這件事上也做不了什么”，畢竟，比特幣是一種幾乎無法追蹤的貨幣。澳大利亞聯(lián)邦警察局的發(fā)言人表示，據(jù)他所知，還沒有任何警方曾介入關(guān)于比特幣失竊案的調(diào)查，但如果受害者報案的話，他們會展開調(diào)查。

絕對不要相信所謂的在線錢包服務(wù)。說真的，我就不明白為什么有人會相信這種完全匿名的人。

不過TradeFortress表示，他打算用自己積攢的比特幣和沒有被盜的比特幣來償還用戶的損失?！拔椰F(xiàn)在總共有1540枚比特幣，雖然沒辦法全額賠償用戶損失，但每個人將得到40%到75%不等的賠償?！?/p>

在總結(jié)自己的教訓(xùn)時，TradeFortress說：“我不建議大家將比特幣存儲在任何連接到互聯(lián)網(wǎng)的電腦上?！彼忉屨f，盡管到目前為止，依然沒有任何專門針對比特幣的高級惡意軟件，但黑客們可以通過其他手法攻克比特幣持有者的電腦，從他們的外接硬盤甚至是瀏覽器里偷盜比特幣。

憂慮與瘋狂

TradeFortress說，這次劫案會損害人們對比特幣的信任。這種不信任首先指向的是他本人乃至于整個比特幣線上銀行業(yè)。“這是一個非常好的例子。這告訴我們，絕對不要相信所謂的在線錢包服務(wù)。”一個Reddit用戶寫道，“說真的，我就不明白為什么有人會相信這種完全匿名的人?！?/p>

電腦安全公司CORE Security高級安全顧問柏金（Matthew Bergin）指出，人們應(yīng)該學(xué)會使用更安全的方法來保存自己的財產(chǎn)，比如將密鑰寫在紙上；但他的同事Tommy Chin卻認(rèn)為，比特幣從本質(zhì)上來說就是一種不安全的貨幣，它的匿名性和數(shù)字性能夠讓聰明人輕松地從別人那里偷錢。

事實上，比特幣失竊案也并不新鮮了。盡管這是史上第一起比特幣銀行（亦即比特幣網(wǎng)絡(luò)錢包）失竊案，但流量更大、安全系數(shù)較低的比特幣交易所卻時常被盜。2011年，一個名叫Allinvain的人就曾丟掉過25000枚比特幣，當(dāng)時價值50萬美元，放到現(xiàn)在，其價值超過1億美元；就在TradeFortress的銀行遭劫后不久，捷克的一所交易所又遭到黑客入侵，485枚比特幣被盜。

然而比特幣的瘋狂并未因為這些不安全性而結(jié)束。在TradeFortress在11月8日公開Input.io的失竊案后，比特幣的價格一度遭到打擊，從11月7日的350美元降到了200美元以下；然而僅僅數(shù)日之后，比特幣的價格又升到了新的高峰——11月17日，交易價格已經(jīng)達(dá)到了每枚484美元，要知道在今年年初，每枚價值僅為30美元。比特幣的暴漲也在吸引越來越多的犯罪，玩家們可要看好網(wǎng)絡(luò)錢包了。