比特币最负盛名的钱包服务遭遇一连串盗窃案

在12月15日的几个小时内，杰夫损失了将近1万美元。...

在12月15日的几个小时内，杰夫损失了将近1万美元。

钱包服务Coinbase中持有10.6比特币，这是市场上资金最充裕、应用最广泛的服务。杰夫要求我们不要用他的姓，他一经得知交易的消息，就和一位客服代表来回奔走，把钱退了。整整一个月后，事情又发生了。

Coinbase告诉他他被黑了

这一次，消息传来时，他正在医院为他的女儿出生。他匆匆忙忙地取消了支票账户的链接，却看到价值7000美元的比特币新购刚刚结清。他很快把新的钱从Coinbase中转移出来，放在一个安全的离线钱包里，黑客无法拿到。他把7000美元从失窃中救了出来，但他原来的10.6比特币现在却一去不复返了。Coinbase告诉他他被黑客攻击了，不符合第二次退款的条件。

这是近几周该服务遭遇的一系列比特币盗窃案的一部分。Verge已经确认了另外两个Coinbase用户的故事与Jeff相似，一个是16000美元，另一个是5000美元。在第一个案件中，受害人使用双因素认证，并获得退款；在第二种情况下，两个因素没有被启用，退款被拒绝，理由是用户没有正确设置帐户的安全措施。其他一些尚未核实的报告也被发布在Coinbase subreddit上。

Verge已经证实另外两个Coinbase用户也有类似的故事

来自安全公司FireEye的研究人员说，由于漏洞的范围相对较小，Coinbase不太可能存在服务范围的漏洞。相反，研究人员认为Jeff和其他人单独受到了攻击，但是Coinbase异常强大的API密钥使得他们在攻击发生后更容易受到攻击。用于让第三方应用程序访问Coinbase帐户，正确的API键将允许任何程序将比特币进出给定的帐户。一旦密钥泄露，攻击者甚至可以访问链接的银行账户购买更多比特币。如果用户不需要API密钥，建议他们不要对其进行授权，但如果某个帐户已被泄露，黑客可能会自行决定对其进行授权，因为Jeff怀疑这是他的遭遇。

漏洞的范围很小，不太可能出现服务范围内的漏洞

Coinbase首席执行官布莱恩·阿姆斯特朗（Brian Armstrong）在征求意见时证实，一些用户曾遭遇过攻击，但他强调了这些攻击的个别性质，称“网络钓鱼是一种正在进行的行为。阿姆斯特朗还指出，Coinbase使用双因素身份验证，这一功能在许多主要银行网站上仍然缺失。FireEye的研究人员一致认为：这些攻击似乎都不是针对Coinbase自己的基础设施。所有迹象都表明，这些攻击是针对个人账户的个人攻击，Coinbase自己的用户协议明确规定，用户“有责任维护对任何和所有ID、密码、个人识别号、，或者你用来访问Coinbase服务的任何其他代码。尽管如此，在真实的经济损失中，很容易理解他们为什么感到被背叛。

任何具有适当API密钥的程序都能够生成自己的事务

在Jeff的例子中，API键几乎肯定是错误的。他说，他重置了密钥，并在第一次黑客攻击后将其禁用，但在下次登录时发现黑客重新启用了密钥。在Jeff第二次黑客攻击的第二天，Coinbase通过电子邮件为任何试图打开API密钥的人启用了双因素身份验证，这一改变可能阻止了Jeff的损失——但那时已经太迟了。即使是现在，任何具有适当密钥的程序都可以在不进行进一步身份验证的情况下进行自己的事务。

这些攻击发生在Coinbase的关键时刻，Coinbase是一家由Andreessen Horowitz支持的公司，近几个月来已成为比特币市场最大、最具声誉的经纪商。今年1月，该公司与Overstock.com 为网站处理比特币交易，这是比特币有史以来最大的零售实现。像BloomNation、Malwarebytes和payment tracker Mint这样的小型网站不久就与Coinbase签约。与此同时，该公司经常成为网络钓鱼计划的目标，尤其是在今年4月发现公众用户交易记录之后。针对Verge的报告，Coinbase今早发表了一篇博客文章，专门警告网络钓鱼计划，指示用户“避免点击可疑或未知的URL”

“对一个有钥匙的人来说，把账户里的资金都拿出来实在太容易了。”

大部分责任还在于比特币的基本结构特性，这使得比特币不可能进行反向交易，一旦被盗就很容易洗钱。如果同样的黑客试图从传统银行账户转移资金，账户所有人可能有一个小而关键的窗口来停止支付，而先发制人的反欺诈措施可以在交易发生之前停止交易。由于网络的开放性和匿名性，这些保护措施在比特币市场上极难实施。

Jeff则将责任归咎于API密钥和公司网站上的“银行级安全”承诺，Armstrong说他坚持这一承诺对于拥有密钥的人来说，从账户中取出所有资金太容易了，”Jeff在谈到API密钥时说。他希望启用的选项更容易接近，更隐蔽。”我真希望它从来没有出现过。”这让他特别恼火，因为关键是开发人员级别的功能，而大多数消费者都没有使用它。对Jeff来说，额外的第三方接入带来了高昂的价格。正如他所说，“我只是个想从库存过剩的地方买点东西的家伙。”