Google和Apple对加密货币行业的“防御”史

论坛 期权论坛 期权     
MOCex   2020-1-11 19:09   1444   0
[h2]头图:pixabay
编辑:MOC酱[/h2][h2]
[/h2][h2]加密货币行业受到了许多批评。[/h2]

其中一个原因是,它对新来者来说可能是无法理解的。另一个原因是,与其他金融领域相比,加密技术的投资可能更容易出现亏损。


更重要的是,这些问题可以结合起来,为黑客创造一个利润丰厚的环境与邪恶的意图。



[h1]01
[/h1][h1]加密货币“真实的假象”[/h1]

由于影响市场的波动和炒作,投资者往往具有购买某些加密货币的强烈动机。



不过,不论他们的背景如何,他们都面临着同样的最初的障碍:在哪里购买加密货币,在哪里存储?


由于缺乏强有力的监管、经常资金不足和不具备过大的执法力度等原因,没有统一的办法为外行人找到无风险的购买加密货币的途径。



在许多骗局中,钱包和交易所有高质量和精心设计的网站,创造了一个令人信服的真实性的假象。


虽然加密货币和区块链的机制都是高度复杂的,日常投资者却并不被期望成为技术专家。



尽管许多投资者可能不是编码高手,但幸运的是,有一些专家能够在网上发现一些奇怪的东西,并且具备钻研代码的专业知识,看到真正发生了什么。



仅仅在过去的一段日子里,加密世界就获悉了最新的骗局,将投资者从他们宝贵的资金中分离出来。



[h1]02
[/h1][h1]从浏览器窗口中注入恶意代码[/h1]

2019年,12月30日,MyCrypto的安全官员哈里·丹利(HarryDenley)发现,一个名为“屎币钱包”(ShitcoinWallet)的以太坊(etherium)钱包,正在从打开的浏览器窗口中注入恶意javascript代码,以窃取客户的数据。


在检查代码之后,哈里·丹利(HarryDenley)注意到chrome扩展的功能是从远程服务器下载javascript文件。


Denley向人透露了“屎币钱包”(ShitcoinWallet)是如何引起他的注意的,到底是什么引起了他的警觉:


“自从我们开始呼吁、索引和调查一系列不同的诈骗、恶意软件和钓鱼工具以来,我们已经获得了一个不断向我们报告的人员网络。其中一个人直接向我举报了ShitcoinWallet,并对加入的内容的行为进行了简要调查。进入当前的浏览器标签来窃取机密。在我收到这份报告之前,我从未听说过这件事。然后,我在一个虚拟机上下载了扩展程序,并查看了代码,以确认报告并发现其他恶意行为ーー扩展程序的钱包创建行为也向后端发送了新的秘密。”



“屎币”(Shitcoin)是一个贬义词,经常出现在比特币(Bitcoin)极大主义者的圈子里,也出现在那些特别相信自己选择的一种数字货币比其他所有货币具有内在特性的投资者中。


虽然在网上密码讨论的世界里确实充斥着大量的讽刺和恶搞,这些往往是公司和平台的标志,但许多评论人士认为,这个名字颇具煽动性的“屎币钱包”(ShitcoinWallet)应该是一个足够大的警告,让投资者避开它。



一些Twitter用户写道,他们不相信人们会把chrome扩展误认为是合法的服务。



网络安全专家凯文·博蒙特(KevinBeaumont)似乎在推特上表示,他对有人在收到办公室安全团队的电子邮件后,自愿安装一个名为“屎币钱包”(ShitcoinWallet)的插件的想法表示怀疑:“今天上班的第一封电子邮件,我们的威胁情报提供商不得不在‘屎币钱包该死,我正要安装ShitcoinWallet插件。”


同样,自称是RedHat开源布道者的简·威尔德伯(JanWildeboer)也在twitter上表示,这个名字应该给投资者敲响警钟:“谁会安装这个名字的扩展?一个名叫ShitcoinWallet的谷歌Chrome扩展程序正在窃取密码和钱包私人钥匙。”


[h1]03
[/h1][h1]专家称密码技术存在安全缺陷[/h1]

LasVegas-based网络安全机构ZokyoLabs的首席执行官HartejSawhney曾透露:


"让加密公司有一个强有力的网络安全政策说起来容易做起来难,部分原因是过度依赖保险政策和人员配备限制:“加密是一个相对不受监管的新行业。拥有一个网络安全项目的挑战是需要有合格的内部和第三方人员。基本的标准,如雇佣第三方道德黑客定期进行渗透测试没有得到遵守。在加密行业,如果黑客能够识别并利用协议漏洞,那么他们将危及整个网络,因为安全链是协议,然后是交换,最后是钱包。”


密码行业缺乏全面的监管结构和安全标准,这一点从内部和外部都受到谴责。



据Cointelegraph报道,索尼(Sawhney)曾表示:



“许多公司甚至没有为一般技术监督指派员工,而且这个行业缺乏对那些有资格填补空白的人的激励:“许多主要的加密公司甚至没有一个指定的首席信息安全官或者一个基本的网络安全程序,这个程序强调当面临攻击时应该采取什么措施。世界级的网络安全专家也缺乏专注于密码产业的动力。专注于网络安全和加密货币的交叉点,需要极其专业的技能。”


对于总部位于伦敦的交易所Interdax的首席技术官查尔斯潘(CharlesPhan)来说,执法部门和加密业务都需要共同努力,以提高网络安全防御能力和公众意识。


查尔斯潘(CharlesPhan)接着补充道:“网络犯罪的许多方面也需要具体的知识,因此专家、执法部门、投资者和整个生态系统之间需要进行沟通,以淘汰不良分子。以教育的形式进行预防也很重要。”


首席执行官兼创始人阿南达克里希南(AanandKrishnan)说,理解黑客攻击增加的原因很简单:安全性并没有达到标准


克里希南表示:


“这可能是显而易见的,但攻击正在上升,因为攻击技术在不断创新,而安全效率却在下降。这种”市场状况”需要更多的证券投资或不同的思维。由于安全预算仍然紧张,需要采取新的办法。许多攻击利用了JavaScript漏洞,这些漏洞可以通过基于标准的安全措施来解决。令人惊讶的是,这些措施很少被采用。


[h1]04
[/h1][h1]谷歌是否在隐藏自己的意图?[/h1]

尽管ShitcoinWallet的扩展被正确地发现和曝光,但并不是所有的在线平台都得到了他们认为应得的待遇。


自从2019年Facebook的天秤座宣布的分水岭时刻以来,世界上的科技巨头已经开始扩大他们在加密货币行业的业务。


撇开相对短暂的“天秤座效应”不谈,有影响力和实力的公司的行为并不总是有积极的影响。


在一个手机在日常生活中扮演着越来越重要的角色的世界里,无论是苹果的AppStore还是谷歌的PlayAppStore上的应用程序对于公司来说都是生死攸关的事情。


被发现违反规定的应用程序经常被从商店中删除。虽然平台必须谨慎对待他们为客户提供的应用程序,但安全措施并不总是按计划进行


2019年12月下旬,著名的Chrome扩展和钱包服务提供商MetaMask收到了一份不想要的圣诞礼物,这份礼物被谷歌列入了黑名单。


对MetaMask来说幸运的是,这项禁令只持续了一周就最终被推翻了。谷歌之所以禁止浏览器,是因为这个科技巨头把浏览器扩展误认为是一个挖掘应用,而这是不允许的。


尽管MetaMask可能暂时被谷歌取消了,但是这个短暂的黑名单还是发现了这个钱包提供商的其他问题。


正如去年12月底报道的那样,一位MetaMask的贡献者声称团队已经完全不堪重负,并且没有得到母公司consensus的足够支持。


尽管受欢迎的加密公司在快速增长的需求压力下捉襟见肘的情况并不罕见,但该贡献者还声称,该公司既不透明,也不分散,声称该项目的代码“质量低下,充满了技术债务”。


这位投稿人的评论引起了美国超级市场集团雇员丹尼尔·芬利的回应,他质疑了一位非正式团队成员所说的危言耸听的语气。


尽管如此,芬利承认,一些批评是准确的,尤其是对项目代码的批评。


芬利在接受Cointelegraph采访时表示,他对越来越多的针对加密相关公司和跨技术平台账户的禁令感到不安:“我非常希望这是谷歌评论者的一个诚实的错误,但加上所有的加密YouTube禁令,这绝对让我对谷歌如何参与分散化技术感到不安。”


前联邦执法部门律师、堪萨斯城(Kansas City)KennyhertzPerryLLCBradenPerry律师事务所的监管和政府调查律师向Cointelegraph解释说,尽管谷歌在其平台上对DApps的扩散具有相当大的影响力,但缺乏监管透明度以及安全性和需求之间的冲突常常意味着这家科技巨头发现自己处于一种棘手的境地:“他们在进一步审查后改变了方向。


以MetaMask为例——谷歌否决了这个应用,然后根据开发者和公众的反应,改变了做法,允许这个应用。



谷歌现在处境艰难,一方面要确保下载Dapps的公众的安全,另一方面要与Dapps背后的开发者保持联系。


[h1]05
[/h1][h1]苹果也对DApps保持警惕[/h1]

Metamask并不是唯一一家引起所谓“科技四巨头”之一愤怒的公司。


根据12月28日发表在Reddit上的一篇文章,UnitedStates-based加密货币交换和钱包提供商Coinbase警告用户,为了遵守苹果的移动应用商店政策,它可能会被迫从钱包应用程序中移除DApp浏览器功能。


Coinbase首席执行官布莱恩·阿姆斯特朗(Kansas City)对这篇文章发表了评论,概述了他的观点,即苹果正在经历一个从应用商店中淘汰DApps的过程:“这真是不幸的看到。


苹果似乎正在从应用商店中淘汰Dapps的使用。这超出了Coinbase和IMO的范围,对生态系统构成了非常大的威胁。



对于Zokyo实验室的索尼来说,许多大型科技公司的行为等同于审查,“这完全是审查和控制


苹果(Apple)和谷歌(Google)等科技巨头希望他们的客户在规模达数十亿美元的DApp市场上有限的曝光。



对于MyCrypto的Denley来说,谷歌对DApps的立场并不是那么简单。



虽然Denley承认,谷歌在政策执行方面做出了一些有问题的决定,但部分原因是缺乏明确性:“谷歌对dapp/加密货币审查的做法不一致,所以在我看来,这是不合理的,因为规则太模糊,不知道你站在哪一边。”



丹利(Denley)补充说,一旦对于审查和监管低质量或恶意加密货币内容的能力,哪些应该被允许,哪些不应该被允许有了更清晰的认识,公司和评论员就会更容易选择站在哪一边。


BradenPerry向Cointelegraph概述了他的观点,通过监管,可能在地方分权和安全之间达到健康的平衡:



“监管是不可避免的。它将如何影响加密取决于这个规则看起来像什么。仓促控制每一个安全潜能的尝试很可能会失败,并且对技术造成更大的损害。但是,一个精心设计的监管方案,旨在影响不良行为者,而不是过度监管技术,可能会对加密技术产生积极影响,这需要国会、监管机构、大型科技公司(谷歌、苹果等)和开发商共同努力。”


以市场为基础的方法,塔拉安全(TalaSecurity)的克里希南(Krishnan)认为地方分权已经被接受了。


克里希南(Krishnan)的评论也呼应了商业领袖和加密货币行业法律人士日益达成的共识,即前进的唯一道路是建立基于标准的安全和信息共享,以便扭转行业中恶意行为者泛滥的趋势:



“基于标准的安全模型,通常来自最优秀和最聪明的人的信息共享,为定义未来所需的安全模型提供了希望。拥抱这些模式,并为他们的进步做出贡献,这种不同的思维方式需要确保攻击者不会总是获胜。”




参考:Cointelegraph

MOCex



MOCex官方公众号。即时推送MOCex最新消息、数字货币行情、区块链知识,立志打造去中心化世界的优质服务平台。





点击图片,即可阅读原文





[url=http://mp.weixin.qq.com/s?__biz=MzI5MzM4MjM5Mg==&mid=2247484167&idx=1&sn=a14703fc65347d5061e39ceaefd1266f&chksm=ec73b290db043b8654cae73e89503aae553d9052f7e3efb812de325d0fc84356f2832b8769a5&scene=21#wechat_redirect][/url]

分享到 :
0 人收藏
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

积分:177
帖子:3
精华:0
期权论坛 期权论坛
发布
内容

下载期权论坛手机APP