近日,最受欢迎的以太坊钱包MyEtherWallet(MEW)又遭到黑客攻击,距离其上次遭到攻击还不足三个月。
今年4月下旬,MEW遭到了DNS劫持攻击。有些用户在登录MEW网站时,完全无视不安全提示而强行访问,使得攻击者窃得了他们的在线钱包密码、私钥铭文等信息,随后就在几秒内将他们钱包里的ETH悉数转走。在这场持续了两个小时的攻击事件中,黑客盗窃的ETH总价值超过1.3万美元。
而最近的这起事件则是另一种攻击方式,受影响的用户数量也更多,不过这个锅并不是由MEW来背:可能有约5000万的Hola(免费VPN服务)的用户账户受到黑客恶意攻击并损失大量加密货币。
在这起攻击中,MEW的常规用户并未收到影响,因为Hola是一款插入浏览器的VPN服务,而MEW自己的服务并没有受到黑客攻击。
据悉,本次攻击的时间长达5小时,在这5个小时内访问MEW并通过VPN服务使用电子钱包的Hola用户,应该在一定程度上受到了影响。MEW建议,如果有用户在过去24小时内通过Hola使用了其电子钱包,最好还是把账户内的代币转移到其他钱包。
解决身份认证问题是关键
这两起事件表明,区块链交易平台的安全建设依然非常脆弱,而黑客也倾向通过窃取用户身份这一手段来窃取代币,比如通过DNS劫持和攻击VPN服务获取账户信息等。不可否认的是,没有防止账户密码被窃的万全之策,那么,有没有一种防止黑客通过窃取的账户密码登录账户的技术手段呢?
答案是肯定的。锦佰安科技自主研发的两款身份认证产品——SecID多因素身份认证系统和SecID AI行为识别身份认证系统——即可很好地解决这一问题。
其中,SecID多因素身份认证系统是在登录账户过程中所需的静态密码基础上,增加了一个二次强身份认证环节,该环节提供人脸识别、指纹识别、图片密码、一键确认、OTP动态口令等多种身份验证方案,政府和企业用户可根据自身业务特点按需选择。由于攻击者无法绕过该认证环节,所以即使窃取密码也无法登录账户。
而SecID AI行为识别身份认证系统则应用了专为行为识别而设计的下一代神经网络SGCF(SecID Siamese Gated-CNN Framework)。SGCF用孪生神经网络作为主干框架,基于自编码器原理进行大量的无监督学习,将数据从用户行为空间映射到对应的特征空间中存储起来,随着用户日常使用时间的增加,该特征向量也会越来越精确。在用户登录账户的验证过程中,只需要将行为数据录入网络中,得到对应的新的特征向量,与之前的日常行为特征向量作相似度对比,即可得到行为的置信度,完成用户身份验证。
在便捷性方面,因为SGCF是对用户独一无二的、日常操作手机的行为特征进行深度学习,所以用户完全不用录入指纹、人脸等易被窃取或伪造的信息,也无需改变操作习惯。
在安全性方面,SecID不仅能有效进行人机识别,从而过滤虚假机器操作,而且还能准确分辨操作者是否为用户本人。即使密码已经泄漏,攻击者也会因为其行为特征无法与用户本人相匹配,而无法登录账户。
也就是说,SecID AI行为无感知身份认证系统真正实现了身份验证便捷性和安全性的完美结合。
在应用方面,SecID AI行为无感知身份认证系统可以广泛应用于所有对身份认证有需求的场景,比如注册、登录、转账、支付等敏感性操作中的身份鉴别,或大额交易时的身份识别与授权。