最近,币安和OKX都经历了动荡。币安用户反映恶意插件Aggr绕过了币安的多因素身份认证(MFA),盗走用户资产。而OKX用户称黑客利用人工智能换脸技术绕过MFA,更改手机号、邮箱和谷歌验证器,然后盗取用户资产。
受害用户们撰写了详细的文章,引起了轩然大波。人们纷纷感到不安,各种谣言四起,催促人们尽快提走代币。然而,仅仅搬迁代币就足够了吗?也许,这个问题本身反映的思维模式并不正确。
安全从来不是一道单选题。了解Web2账户安全的最后一道防线:MFA。如果非要在冷钱包和交易所之间做选择,本质上就是在“私钥”和“MFA多因素身份认证”之间做选择。
MFA对于互联网老手来说并不陌生。密码已经不再安全,短信验证码、邮箱验证码,甚至人脸识别、谷歌验证器才是“主角”。但实际上,即使启用了完整的MFA,账户也可能不安全。在某些情况下,真正重要的是风控方案能否覆盖到用户操作的边缘情况。
在推特的案例中,即使有MFA存在,也未能阻止黑客攻击。这种平衡,在涉及管理用户资产的交易所中尤为棘手。币安用户因恶意插件丢失资产,黑客通过交易操作进行对敲,通过亏损交易让黑客获利。然而,大多数人希望交易快速进行,不希望在交易中验证多层MFA。
放弃一劳永逸,唯有狡兔三窟。选择私钥,需要自我承担风控方案的责任。管理资产安全,需要考虑风险、分散风险、降低风险和应对风险。
最后,安全是反人性的,被黑客攻破往往是人性的弱点被利用。安全不是简单的结果,而是一个思想和实践过程。认知决定财富守护的底线。