別讓駭客有機可乘幣圈黑暗森林「自救指南」


原文作者:YourAirdrop.ETH

原文來源:SevemUpDAO

最近TP 錢包上面transit 閃兌服務鬧得沸沸揚揚,駭客盜走上億資金,我們在web3 傲遊的同時,該如何保障資金和隱私安全?看完本篇你應該不會再被盜了吧

一、你所有的操作都有洩露隱私的風險

網絡世界的安全問題實際上一直縈繞從所有人的頭上。

關於安全的知識龐雜而又繁瑣,我們首先要掌握一個原則,網路世界裡,幾乎沒有安全的地方,甚至你的每一步操作都有洩露隱私的風險。

之前也有很多人做過這方面的科普,但要么過於簡單、要么過於復雜。這篇文章裡,我準備用最簡單、易懂的語言,讓盡可能多的人讀懂。

具體來說,我們需要關注的安全問題應該包括一下幾個方面:情緒控制、web3 錢包的使用、設備的使用、個人隱私保護。

二、情緒是你最大的敵人

這裡我繼續說一下自己stepn 鞋子差點被盜的經歷,希望對大家會有一些警示作用。

前不久我弄了一雙stepn 鞋子想給家人使用,由於鞋子始終不能正常運行,無法獲得GST。我每天通過郵件、Discord 與官方客服交易所,但始終沒解決問題。這時,我因為一直無法賺到GST 變得有些焦慮,在無意中發現有Stepn 的「客服」通過私訊與我交易所。客服表示,這個問題是由於伺服器維護導致的(剛好那段時間確實不穩定),只要提供帳號電郵信箱和驗證碼確認身份就能解決問題。

重點來了,由於中國很多服務都是需要提供驗證碼以驗證本人身份,加上郵件上只寫了「Complete Verification」而沒有提示驗證碼具體的作用,特別是自己也已經很焦慮。收到驗證碼後,我沒想太多複制了驗證碼。所幸在我按下「確認鍵」的那一刻突然清醒過來,「 We will never DM you」這句discord 名言突然在腦中迴響,我立即停止了所有的操作。然後來到stepn 的伺服器驗證,發現所謂的「客服」果然是騙子。

回過神來,才發現一雙價值幾千刀的鞋子就這麼差點被「客服」騙走,真是凶險萬分。後來,我看了許多資安方面的資料。發現焦慮和傲慢這兩種情緒是我們在區塊鏈世界最大的敵人。

1、焦慮

大部分人都像我一樣,來到區塊鏈世界是為了賺錢的。但只要涉及到金錢,難免會產生FOMO、焦慮的情緒,例如前幾天GAL 首發的時候有人以200 刀的價格入場,又如有的NFT 玩家在開盤前被「誘拐」到假的網站mint…….

總之,焦慮是所有投資人的大忌,一旦與錢打交道的時候,一定要想辦法保持冷靜。

2、傲慢

與焦慮相反的一面是傲慢。許多人都認為,自己是產業大佬,上知區塊鏈技術下知彙編語言,熟知各類騙術,怎麼可能會被騙?但恰恰是這樣的傲慢,才會疏於防範,前不久就發生過Defiance Capital 創始人Arthur Cheong 錢包被盜的事件。據報導,Arthur Cheong 只是中了一個最常見的攻擊方式:打開了郵件裡帶有病毒的文件。

所謂「驕兵必敗」,不少人的事業在處於上漲階段的時候,會以為自己總是對的,忽略了很多其他方面的問題,等到災難降臨的時候已經一切歸零。

三、如何安全使用web3 錢包

以上是從人性的角度講述可能的攻擊手段,現在我們從大家最關心的錢包安全開始,說一些大家最關心的問題。

1、冷錢包、熱錢包、交易所

我們的代幣有三個地方可以存放。其中以冷錢包最為安全,如Ledger。對於大多數人來說,只要做好加密貨幣保護和雙重驗證,交易所實際上會比熱錢包更安全;我們的熱錢包因為時刻在鏈上,一旦發生錯誤的授權,資產就很容易被轉移。

2、USDT 的潛在風險

很多人以為USDT 很安全,其實USDT 是由Tether 公司管理的,一旦被認為是黑錢,Tether 可以輕鬆凍結這筆資金。所以,遇到來歷不明的USDT 最好還是小心點。同理,需要注意的是USDC,也是會被凍結的。

3、錢包的各類交互操作

先說一個大家最容易犯錯的地方,就是簽名(Sign)。一般認為,簽名不涉及授權,不會有操作風險,但是遇到非明文寫下的簽名,還是有安全隱患的,所幸現在metamask 都會用紅字提示。

黑客

除簽名外,最常用的一個功能是授權(approve)。這決定了你授權了對方某個幣種可以自由使用的額度,一般來說像常用的Uniswap 這類DEX 比較安全,但是一旦遇到新的項目要求你無限轉帳額度的授權,就一定要小心了。駭客們最喜歡用的一招就是讓你在焦慮(新項目mint 時)、興奮(突然收到貌似大額的空投)、沮喪(反覆被騙)等情緒下,將你騙到一個假冒網站,讓你無意中授權給他。

這裡提供一些查詢和授權的網站,仔細檢查一些是否有不明來源的授權,這對你很重要:

bscscan.com/tokenapprovalchecker snowtrace.io/tokenapprovalchecker cronoscan.com/tokenapprovalchecker

近期還有一種偽裝成NFT 的ERC1155 協議。駭客會將做一個與你錢包裡同名的NFT,然後空投給你,一旦你在指定的網站上授權掛單,駭客就可以轉移對應的NFT,十分危險。所以不要隨便使用不明來源的空投。

Mint 主要用於鑄造NFT,一般來說不會有什麼風險。不過,要確定自己Mint 的網站不是駭客偽造的,這類事件時有發生。假冒的網站經常會把Mint 改為一個授權協議,如果在FOMO 當下進行鑄造,很有可能會因為沒注意協議導致誤授權。有的騙子很直白,會直接要求你send eth 給他……

4、其他錢包

很多人對ETH 錢包的相關操作瞭如指掌,以為可以輕鬆駕馭其他的錢包(犯了前文提到的自傲的錯)。實際上,其他鏈的錢包更不安全。因為你對新的公鏈肯定不如對ETH 了解那麼深,公鍊和錢包在設計邏輯上也會存在bug,所以交互的時候應該更加小心,不要隨意使用陌生的網站進行陌生的交互。

黑客

慢霧創始人餘弦就提到過一個SOL 案例。攻擊者批量給用戶空投NFT(上圖1),用戶通過空投NFT 描述內容裡的連結進入目標網站,連接錢包(上圖2),點擊頁面上的「Mint」,出現批准提示框(上圖3)。注意,此時的批准提示框並沒有什麼特別提示,當批准後,該錢包裡的所有SOL 都會被轉走。這裡面有兩個坑需要注意:

惡意合約在用戶批准(Approve) 後,可以轉走用戶的原生資產( SOL),這點在以太坊上是不可能的。以太坊的授權釣魚釣不走以太坊的原生資產(ETH),但可以釣走其他代幣。於是,這裡就存在「常識違背」現象,導致用戶容易掉以輕心; Solana 最知名的錢包Phantom 在「所見即所簽」 安全機制上存在缺陷(其他錢包沒測試),沒有給用戶完備的風險提醒。這非常容易造成安全盲區,導致用戶丟幣。

5、NFT

NFT 很熱,相關的騙局也很多,比如:

從傳統app 彈出通知將你引誘到某NFT項目——好項目是不需要通過web2 的方式來引流的; 社群不斷討論如何維護地板價——崩盤前奏; Discord 上頻繁踢人、禁言——這是項目方沒有自信的表現; 沒有審計(這一點其他非NFT項目也是一樣的)—— 雖然審計了也不一定安全,例如說被CertiK 審計但卻登上REKT list 的那些項目;但不審計肯定危險,尤其是加disclaimer 的那種,例如SpaceLoot。

黑客

頻繁出現漏洞——比如gas 過高,mint 方式不合理; 假冒NFT——許多新手會被誘騙買到假冒的NFT,所謂的假冒可能是仿冒了某個已經存在的NFT 產品,也可能是謊稱由某知名藝術家製作,或者謊稱擁有某知名藝術家的授權發布的產品,因此購買NFT 前最好多來源確認產品的合規性。

6、網站前端安全

網站不安全,一般是發生在以下幾種情況中:

HTTP 肯定是不安全的——必須確保你使用的網站帶有HTTPS,HTTP 網站的傳輸是未加密的,你的所有資訊都有可能被駭客看到。被他人或第三方的資訊帶入釣魚網站——不僅要警惕陌生人,有時候熟人也有可能由於早就被誤導,導致發送錯誤的連結給你,還有的時候是群聊中的朋友,一時輕信了某些消息,無意中傳播了釣魚網站。官方網站被駭——這比較難防範,你能做的只有一直保持警覺,留意公告再三確認自己進入的網站是否安全。

7、剪貼簿安全

剪貼簿的風險主要在於被其他應用讀取你的個人資訊,然後組成一套完整的個人檔案,獲得加密貨幣或者錢包密鑰/助記詞。我對剪貼簿做了一些查證,獲取了以下資訊:

幾乎所有的手機app(包括蘋果)都會讀取你的剪貼簿,所以真的不能在手機上複製密鑰; Google 近年來對Chrome 的插件做了很多限制,除非被破解或者用戶主動安裝來源不明的插件,否則插件是無法讀取剪貼簿的,這個基本可以放心; 電腦上的各種軟體也有讀取剪貼簿的可能,所以復制資料的時候要小心。

8、關於使用錢包的一些安全建議

不要復制,也不要使用網路傳輸私鑰、助記詞。萬不得已時,蘋果用戶可使用隔空投送,其他用戶可使用telegram(相對安全); 大額資產使用獨立的錢包; 新項目開始前,如果感到危險,可新建立一個錢包去參與; 對不明來源的空投保持警惕,騙子常常會在NFT 上刻下釣魚網站的網址,將你誘騙到危險的地方; 對每一次錢包的操作都保持警惕。四、設備安全

行走web3.0,保持設備與保證錢包安全同樣重要:

手機和電腦的操作系統應該保持更新並開啟自動更新,特別是不要使用停止維護的系統,比如win 7。

黑客

善用windows 安全中心可以保持良好的使用習慣; 不要使用root 過的安卓手機,小品牌的安卓手機風險也很高,必須使用官方市場的app,最好是用google play,蘋果手機(非越獄)相對來說更安全; 電腦上不要安裝不明來源的軟體,特別是中國軟體,幾乎沒有下限; 虛擬機是個好東西,對於不明來源的文件可以嘗試使用虛擬機打開。現在win10 就自帶虛擬機,具體使用可參照微軟官方文檔但一定要注意,有的駭客(或木馬)很厲害,能夠意識到自己正在「matrix」當中,會主動尋求跳出虛擬機的方法; 瀏覽器和錢包必須保持更新; Wifi 是最容易被監聽的渠道。永遠不要使用外面的wifi,自己家的路由器也要經常檢查,防止被監聽。如果不懂如何檢查,最好保存好相關的信息後每隔一段時間重置一次; 你的SIM 卡也不一定安全,駭客可以偽造一個相同的sim 卡獲得你的資料(比如驗證碼)。所以最好不要在網路上炫富,更不要暴露真實身份,這會帶來很多麻煩; 如果迫不得已要通過網路傳輸密鑰,身邊的設備可以使用隔空投送功能,網絡傳輸建議Telegram,可以最大限度地避免被竊取。五、社會工程學攻擊

駭客除了會尋找軟硬體上存在的漏洞,還會尋找用戶有意無意流露出來的資訊,製造社會工程學攻擊。

1、加密貨幣

不知大家是否知道,我們大多數的web2 網站都被入侵過,甚至有的網站對加密貨幣根本就沒有加密貨幣,網管可以隨意讀取,所以絕對不要把你使用過的加密貨幣用在跟資產有關的地方。建議設置好幾套加密貨幣,分別在不同的網絡和環境下使用,尤其是涉及到大額資金的加密貨幣,必須使用包括大寫、小寫字母、數字、符號的10 位以上的加密貨幣,且不能含有生日這種容易被猜到的數字。對於一些不熟悉的軟體和網站,也可以單獨使用一套加密貨幣,避免跟其他已知安全的軟體和網站混餚。

這裡有個小建議,如果擔心記不住加密貨幣,你可以使用一串數字為你的生日「加密貨幣」。例如,如果你的生日是19901202,你可以錯位加上一串家人(如19500821)的生日,像是19901202+05008210,然後再附上一些字母和符號,駭客沒法猜到經過你自己「加密貨幣」的加密貨幣。

2、釣魚

郵件或是其他聊天軟體傳來的不明文件詐騙雖然很土,但依舊奏效,如果遇到必須打開的情況,可以按照上文的方式,在虛擬機中打開。

3、不要輕信任何客服

這在上文已經提過多次,不重複了。

4. 個人資料

Web3.0 的個人資料除了包括生日、電話、家庭住址等,還應包括你的錢包地址,主資產錢包應該跟社交錢包絕對隔離(即不能有互相轉帳的紀錄等),特別對於擼毛黨,如果你不想被舉報,一定不能洩露你的地址。

黑客

除了網路上的隱私外,最好不要在生活中透露自己是個搞區塊鏈的,除了能避免很多誤會外,還能盡量避免被熟悉你的人通過你的個人資料進行撞庫攻擊。

關於社會工程學的知識可以再出一個專題,我們要記得別隨意洩露個人隱私就好了。

結語

這篇文章中,我們總結了衝浪Web3.0 時應對各種駭客攻擊的方式,但道高一尺魔高一丈,駭客們已經開始熟練地將各種攻擊組合在一起,完成更隱蔽、傷害更大的進攻。

只有不斷提高警覺,才能免於受到駭客的侵害。大致來說,我們可以把握以下幾個原則:

保持健康的情緒; 錢包交互的時候一定要看清楚內容; 密鑰、助記詞不能複制,應離線保存; 確保各項設備安全,並一直保持更新; 不要相信主動聯繫你的「客服」,也不要隨意打開不明來源的文件,靈活使用虛擬機; 線上和線下都不要洩露個人隱私和資產。

網絡安全是一個很龐雜的問題,本文難免有遺漏的地方,還請諒解。

(以上內容獲合作夥伴MarsBit 授權節錄及轉載,原文連結| 出處:SevemUpDAO)

聲明:文章僅代表作者個人觀點意見,不代表區塊客觀點和立場,所有內容及觀點僅供參考,不構成投資建議。投資者應自行決策與交易,對投資者交易形成的直接間接損失作者及區塊客將不承擔任何責任。

這篇文章別讓駭客有機可乘幣圈黑暗森林「自救指南」 最早出現於區塊客。

資訊來源:由0x資訊編譯自BLOCKCAST。版權歸作者區塊客所有,未經許可,不得轉載

Total
0
Shares
Related Posts