这已经成了币圈循环上演的规律：伴随着每一次虚拟货币价格的暴涨，随之传出的，必定会有黑客攻击、导致币大量被盗的新闻。

今年6月25日，比特币涨到11755.5美元，创下了近一年来的最高值，而在接下来一周时间内，CoinTiger（币虎）交易所的冷钱包开始受到黑客攻击，最终导致该钱包中4亿多枚PTT（质子链）不翼而飞，按照7月底的价格计算，价值约1800多万美元。

虚拟货币被盗早不是第一桩了，事实上，交易所失窃事件在过去一年间极速增长，有黑客透露，几乎所有的交易所，都遭遇过攻击。

在以往，交易所被攻击，往往会被归咎于交易所自身安全防护不给力，但这次CoinTiger的事故，却让无数虚拟货币的信奉者傻了眼。

不仅因为它是个安全措施健全的大型交易所，更在于，这次被盗的是理论安全性100%的冷钱包。

“死”也解不开的冷钱包, 安全级别究竟多高？

CoinTiger成立于2017年，目前是CoinMarketCap中交易量全球排名第8的大型交易所。

根据CoinTiger提供的黑客地址，4亿PTT早在7月1日就已被黑客悄悄转走，而直到一个半月后8月17日，CoinTiger才发出公告，正式披露盗币事件。

而之所以拖了这么久才说，官方解释是，因为受到攻击的是冷钱包，只有在定期核查时才能发现。而正是这一结论引发了无数质疑和阴谋论。

要理解这起盗窃案的蹊跷，我们得先明白什么叫冷钱包。

密钥是数字货币唯一的凭证，只有拥有密钥的人才能拿走数字货币。而所谓的密钥，又分为两种：公钥和私钥，两者合并，才能确认用户身份，从而完成加密货币的交易验证。

公钥，顾名思义，是对外界公开的；而属于自己的私钥，则储存在用户的“钱包”里。

以比特币和以太币为例，他们的私钥通常是一串256位的随机字符串，这么长的无规律密码要靠脑子记住显然是不现实，而按照私钥的存储方式是否可以被互联网访问，“钱包”可以分成热钱包和冷钱包。

如果你用连网的App、插件或者网站储存，这就是“热钱包”。

相反，如果你把私钥保存在不联网的电脑手机里，就叫“冷钱包”，因为不能被互联网访问，冷钱包避免了被黑马和木马袭击的风险，技术上来讲，不存在被黑客入侵的可能性。

冷钱包到底能有多安全？我们不妨看个真实的例子…

今年 2 月，加拿大最大加密货币交易平台QuadrigaCX创始人科顿（Gerald Cotton）突然去世，只有他知道的冷钱包私钥不知所终，这直接导致价值高达1.5亿美元的数字货币被锁死，无法提取也不能交易，成为“幽灵财产”。

尽管用尽了各种技术与非技术手段，请来顶级黑客尝试，都没能成功破解密钥。

正是因为这近乎为0的被盗概率，无论是加密货币史上最臭名昭著的“门头沟事件”（2014年，交易所Mt. Gox因丢失85万枚比特币，而宣布破产），或是轰动一时的币安被盗案，黑客通常都是对热钱包下手，不会打冷钱包的主意。

破不了密码, 那不如换个思路…

那么，问题就来了…

能破解出最高级的密码，CoinTiger难不成是遇到“武林高手”了？

黑客的水平有多高不好说，但至于整个作案过程，我们可以打个比方…

这就像，你用最牛逼的加密算法设了无可破解的密码，却忘了自己的保险柜的锁是用塑料做的，一撬就开，对方压根儿没必要大费周章破解密码，直接拎锤子不好吗！

说白了，如果案件过程真如CoinTiger所述，那么这就是一场降维打击的胜利，黑客用最原始的办法，侮辱了高科技的智商。

而目前用户普遍质疑，CoinTiger是为了私吞资产，而自导自演了这出“贼喊捉贼”的大戏，要么就是交易所内部出了“内鬼”。

毕竟，比特币交易是匿名的、不可逆的、没有担保的，一旦失窃就丧失了追回的可能性，因此，对于CoinTiger给出的“离奇故事”，外界根本无从判断真伪。

就像至今悬而未决的“科顿死亡案”，CoinTiger的失窃多半也会成为悬案一桩。

私钥管理，仍是加密货币的致命伤

如此荒诞的情形反复出现的背后，是加密货币私钥难以保管的技术缺陷，同时，这也一直是阻碍加密货币普及的主要原因之一，并导致了许多资产的流失。

根据2017年的统计，自从2009年比特币诞生以来，不到10年间，其遗失量可能已达到惊人的近400万枚，其中还包括中本聪本人所持有的100万枚，按比特币恒定的2100万枚总量，已经有近20%的比特币下落不明。

即便按目前比特币跌至9700美元算，价值也高达360多亿美元，差不多相当于玻利维亚整个国家的生产总值。

私钥既难记，输入起来又繁琐，这也是越多越多小型加密货币散户依赖Coinbase、币安等交易所存放资产的原因，在这些中心化平台上发送比特币，只要输入简单的密码即可，私钥签名则由钱包自行在后台进行。

而对于现在的交易所而言，它们往往会搭配使用线上的热钱包和线下的冷钱包，就像银行，柜台里只留一小部分现金用于流通，大部分资产存在安全性更高的金库里，即使遇到打劫的，也不至于造成致命的损失。

虽然用户普遍接受这种模式，大部分交易所的运行也还算平稳，但这种集中化的管理方式不但违背了区块链去中心化的核心思想，也没有彻底解决私钥保管的问题。

接连两起牵扯冷钱包的案件，也让中心化带来的各种问题浮到了水面之上：倘若遇到不按套路出牌的黑客，或是摆明了割一波就跑路的平台，持币者就只能是任人宰割的“韭菜”。

为了解决这个问题，各种私钥保管替代方案也在源源不断地产生，比如，秘密分享——私钥信息被以分散的方式委托给某个由众多节点组成的委员会，单一节点无法取得完整密钥信息，只负责保管的工作。

但无论何种保管方式，加密，解决的始终只是技术问题，而对于利益面前人性的贪婪，并不是一个256位的密码就能锁得住的。