在不少投資者眼中，比特幣交易既然全程記錄在區塊鏈中，而區塊鏈是不可篡改的公開(kāi)賬本，怎么會(huì )被盜呢？既便被盜，不也可以追回來(lái)嗎？所以，比特幣賬戶(hù)的安全性，有啥可以擔心的？

而事實(shí)上，還真不是這樣，類(lèi)似的案例已經(jīng)有很多。所以，作為一個(gè)比特幣投資者，還真的要好好關(guān)注下比特幣賬戶(hù)的安全問(wèn)題。

比特幣被盜，背后的三大套路

比特幣本質(zhì)上只是區塊鏈上的一串字符，記錄著(zhù)該比特幣誕生以來(lái)的所有交易記錄，由于區塊鏈屬于去中心化的結構，用戶(hù)通過(guò)一個(gè)公開(kāi)的地址和只有自己知道的密鑰來(lái)宣示所有權。某種程度上，誰(shuí)掌握了這個(gè)密鑰，誰(shuí)就實(shí)質(zhì)性地擁有了對應地址中的比特幣資產(chǎn)。

而區塊鏈的防篡改特征，是指比特幣的交易記錄不可篡改，而非密鑰不會(huì )丟失。同時(shí)，也正因為區塊鏈不可篡改，密鑰一旦丟失，也意味著(zhù)不可能通過(guò)修改區塊鏈記錄來(lái)拿回比特幣。所以，丟了，可能就真的丟了。結合近年來(lái)的一些案例，不難發(fā)現比特幣被盜的三種套路。

交易平臺監守自盜

很多投資者都是通過(guò)交易平臺進(jìn)行比特幣交易的，自然也會(huì )把比特幣存放在交易所賬戶(hù)之中。除了個(gè)別國家以發(fā)放牌照的方式將虛擬貨幣交易所納入監管框架之內，多數國家和地區的虛擬貨幣交易所都沒(méi)有監管背書(shū)，也沒(méi)有上線(xiàn)諸如資金存管、虛擬貨幣存管等防范措施，意味著(zhù)如果交易所自身動(dòng)了壞心思，“偷”你的比特幣簡(jiǎn)直是探囊取物一般。

舉個(gè)例子，2014年2月24日，當時(shí)世界最大的比特幣交易所運營(yíng)商Mt.Gox宣布其交易平臺的65萬(wàn)個(gè)比特幣已經(jīng)被盜一空，隨后Mt.Gox便宣布破產(chǎn)。而后來(lái)執法部門(mén)的調查發(fā)現，所謂的65萬(wàn)比特幣被盜，其實(shí)只有7000個(gè)比特幣因黑客攻擊而失蹤，其余的都被平臺的內部人拿去了，屬于典型的監守自盜。

交易所遭受黑客攻擊

居心不良的交易平臺畢竟是少數，更多的被盜案件源于黑客攻擊。無(wú)論是交易所自身的密鑰還是用戶(hù)的密鑰，都存放在交易所的錢(qián)包系統中，若系統被黑客攻破，導致密鑰泄露，里面的比特幣資產(chǎn)自然也就會(huì )不翼而飛?？紤]到虛擬貨幣交易所的實(shí)力差異很大，對系統安全的重視程度也不同，因黑客攻擊導致的丟幣事件并不鮮見(jiàn)。

2014年3月，美國數字貨幣交易所Poloniex被盜，損失12.3%的比特幣，這次丟幣便是由于黑客利用了交易平臺的代碼漏洞把資金偷走的。

2015年2月14日，黑客利用比特兒從冷錢(qián)包填充熱錢(qián)包的瞬間，將比特兒交易平臺冷錢(qián)包中的所有BTC盜走，總額為7170BTC。

2015年2月23日，比特幣錢(qián)包運營(yíng)商比特幣存錢(qián)罐被盜，據比特幣存錢(qián)罐官方表示，黑客于2014年6月30日入侵了平臺的Linode賬號，并修改了Linode賬號密碼和服務(wù)器的root密碼，從而入侵了服務(wù)器并且獲得了服務(wù)器的控制和管理權限，導致比特幣被盜。

用戶(hù)交易賬戶(hù)被盜

隨著(zhù)各大交易所加強系統安全的防護，交易所自身系統被黑客攻破的幾率大幅下降，而用戶(hù)自身交易賬戶(hù)被盜開(kāi)始成為主要的丟幣方式。

用戶(hù)與交易所之間主要通過(guò)登錄名和密碼建立聯(lián)系，就像銀行卡被盜刷、第三方支付賬戶(hù)會(huì )被盜用一樣，若用戶(hù)的登錄名和密碼泄露，就會(huì )出現虛擬貨幣賬戶(hù)被盜用的現象。而用戶(hù)名和密碼泄露則太容易了，比如用戶(hù)設備中了木馬病毒、多個(gè)平臺用同一套用戶(hù)名和密碼遭受撞庫襲擊、交易平臺自身的系統漏洞導致用戶(hù)的賬戶(hù)和密碼泄露等，都會(huì )導致交易賬戶(hù)的被盜用。

比特幣被盜后，還能追回來(lái)嗎？

那么，接下來(lái)的問(wèn)題便是，如果賬戶(hù)里的比特幣被盜，還能追的回來(lái)嗎？其實(shí)，要分不同的情況來(lái)看。如果是交易平臺自身的監守自盜，直接向平臺索賠就好了，所以我們著(zhù)重看看后面兩種情況。

在交易所系統被黑客攻擊的情況下，追回來(lái)的難度較大。因為黑客一旦盜取比特幣，接下來(lái)便會(huì )通過(guò)混幣等手段把盜竊的比特幣洗白，除非金額巨大引起國家相關(guān)部門(mén)強力介入，否則追回的可能性?xún)H僅停留在理論層面。在追不回來(lái)的情況下，若損失金額很小，一般是交易所自行承擔損失；若損失金額超過(guò)了交易所承受能力，為了避免交易所破產(chǎn)，一般采取所有用戶(hù)按比例分攤損失的做法。

比如說(shuō)，如果交易所因黑客攻擊損失了1萬(wàn)個(gè)比特幣，且交易所無(wú)力承擔損失，此時(shí)便進(jìn)入損失公攤模式，若你的比特幣資產(chǎn)在交易所中占比1%，則意味著(zhù)你需要承擔100個(gè)比特幣的損失。

當然，還有一種情況便是在區塊鏈層面進(jìn)行回滾操作，強制拿回被黑客偷走的比特幣。不過(guò)，這樣會(huì )導致區塊鏈的硬分叉，也會(huì )影響區塊鏈的不可篡改和去中心化特征，一般不被社區所接受。所以，這種情況只在以太坊TheDao事件中發(fā)生過(guò)一次，結果導致以太坊一分為二，出現了以太幣ETH和以太經(jīng)典ETC的分裂，影響很大。在比特幣歷史上，尚無(wú)先例，以后估計也不會(huì )出現類(lèi)似案例。

對于用戶(hù)自身交易賬戶(hù)被盜的情況，相比交易所被黑客攻擊，其金額和影響要小得多。在排除用戶(hù)自身的原因（比如用戶(hù)監守自盜，存在欺詐嫌疑）之后，負責任的交易所通常會(huì )主動(dòng)承擔損失。若用戶(hù)自身存在明顯過(guò)錯，則很有可能會(huì )陷入糾紛，需要通過(guò)訴訟來(lái)解決問(wèn)題。

2016年7月25日，北京海淀法院曾通告一個(gè)用戶(hù)訴訟交易平臺的案例，用戶(hù)施先生在某平臺被盜40余個(gè)比特幣而向平臺索賠41萬(wàn)元，而平臺方則表示，事件起因是施先生的安全意識不足，同時(shí)丟失了資金密碼和登錄密碼且未開(kāi)啟行業(yè)慣用的二次登錄驗證，并暗示不排除用戶(hù)存在“監守自盜”行為的可能性。

提高自身安全意識才是王道

站在交易所的角度，為了應對賬戶(hù)被盜風(fēng)險，就如同第三方支付企業(yè)會(huì )搭建專(zhuān)門(mén)的欺詐風(fēng)險防控體系，綜合利用設備指紋驗證、位置認證、人臉識別、指紋驗證、用戶(hù)行為習慣分析、原卡進(jìn)出、交易限額控制等手段進(jìn)一步降低風(fēng)險損失一樣。

除了加強用戶(hù)風(fēng)險意識教育（如定期修改密碼、不在共用電腦上登錄賬戶(hù)、設置復雜的密碼等）之外，一般情況下，會(huì )采取綁定Google驗證、設置交易密碼、開(kāi)啟登錄二次驗證、同卡提現等手段防范欺詐風(fēng)險，確保既便登錄用戶(hù)名和密碼泄露，也不會(huì )造成實(shí)質(zhì)性的損失。

對用戶(hù)而言，提高風(fēng)險防范意識才是王道。除了定期更換密碼、不在共用電腦登錄交易賬戶(hù)等之外，也要配合平臺的各項賬戶(hù)安全措施，提高賬戶(hù)安全等級，降低資金損失風(fēng)險。