Tradefortress,比特币web钱包Inputs.io的开发者,由于黑客事件被迫关闭服务,今天(2013.7.7)在他的网站上发表了一篇声明,说:
“我知道这并能代表什么,但是我很抱歉,说我很伤心这太轻描淡写了。”
Inputs.io原本是一个高安全性的比特币web钱包,在10月23日被黑客入侵,以当前比特币价格来算的话,偷走了价值超过120万美元的比特币。
今天早上发表的声明里还表示:
“两次黑客活动总共盗走了约4100 BTC,导致我们无法赔付所有用户的存款。攻击者通过电子邮箱帐户(非常老,没有电话号码连接,所以很容易复位)攻破了托管账户。攻击者能够绕过2FA是由于服务器主机这端的缺陷。”
“数据库访问也被其获得,但是密码被安全地存储着,并在客户端杂散化。”
“如果你存的币超过1 BTC,应该发邮件给support@inputs.io,附上比特币地址(最好是一个离线、开源或SPV的钱包地址,比如Multibit或Electrum)。使用input时使用相同的电子邮箱。请不要将比特币存储在互联网连接设备里,无论它是你自己的还是某个服务器的。”
“我知道这并能代表什么,但是我很抱歉,说我很伤心太轻描淡写了。”
根据HackerNews上的消息,比特币是从网站的在线钱包中被偷的,这种在线钱包可以现场提款,就像当年的Bitfloor黑客事件,被盗了24,000BTC。然而,Inputs.io本可以保证大多数的比特币不会被偷,如果不是所有的比特币都在线存储,其他服务商经常保持高达80%的比特币都离线存储。
Inputs.io表示虽然黑客攻击发生在10月23日,但在那之后存款的用户也并不安全,因为其他用户能够从共享钱包提款。
与像Blockchain.info这样的服务相比(通常认为是安全的,但仍然在8月遭受安全问题) ,Inputs.io是一个共享钱包,管理用户的存款和他们的私钥,这个私钥可以让他们完全访问存储的所有比特币。
Blockchain.info帐户的访问有一个标识符/应用程序作保证,加上密码组合和双重认证,一般认为是安全的。然而,不管有什么技术,没有什么是能完全安全的。据比特币Talk论坛的用户masteroflove说:
“如果blockchain.info域名被盗,黑客可以利用JavaScript来记录你的密码,进而访问你的所有比特币。这就是为什么推荐使用谷歌或火狐的blockchain应用程序。但即使这样也不是100%的安全,一个获得访问blockchain凭证的攻击者可以推动一个恶意的更新,使得您的浏览器应用程序自动更新。”
问题来了,Inputs.io的主要开发人员Tradefortress声称对于比特币安全程序的复杂性有一个深刻的理解。
当CoinDesk找Tradefortress就此做出评论时他告诉我们:“攻击者能够利用古老的电子邮箱帐户,因为它们没有连接电话号码,所以可以很容易地重置。一个妥协古老的电子邮箱帐户导致了另一个妥协,最终允许他们重置托管帐户的密码并绕过主机的双重认证获取远程访问。”
他继续说道:“我们不使用客户端加密,好像万无一失,给人一种虚假的安全感。
当被问到Inputs.io能够偿还多少给用户,他的反应有点晦涩:“我们可以100%退款。对于Inputs来说,关键是数额。1 BTC在按目前的比例增减将是74%,2BTC是 65%……这个数字并未最终决定,如果我们有剩下的币我们可以多退一点。”
换句话说:如果你在Input拥有的比特币不到1 BTC,你应该把它弄回来,否则,做好折价的准备。
原文链接:https://www.coindesk.com/hackers-steal-bitcoins-inputs-io-wallet-service/
翻译:比特人----qiurong910326
翻译:比特人----qiurong910326
