Web3安全警示丨新資產協議熱潮下,一般用戶如何有效保障自身加密資產安全?

隨著新資產協議和NFT 生態快速發展,各種新玩法層出不窮的當下,如何有效保護好自己的加密數位資產成為Web3用戶所面臨的新挑戰。在由NFTScan 和Mint Blockchain 共同舉辦的Twitter space NFT 新資產聊天室,邀請到了imToken、Onekey、慢霧科技、NFTScan 等行業各領域的權威們,探討在這一熱潮中如何有效保護自己的加密資產,並分享一系列實用經驗和建議。

Host:Yuri | NFTScan

Guest:

  • Liz | SlowMist Team

  • Mako | Market Researcher Lead of imToken

  • Niq | Chief Content of OneKey

  • Shier | Co-founder of NFTScan Labs

Yuri | host:

根據NFTScan 的數據顯示,現在鏈上每天新增約600 萬枚NFT 資產,4000~6000 個NFT 資產合約,隨著NFT 資產規模的大規模增長,出現了透過NFT metadata 誘導的釣魚事件,尤其是在EVM 網路和L2 網路上,例如BNBChain、Polygon、Base 等,進而導致資產損失,關於這一點各位老師有沒有一些應對的策略,給到dApp開發者和Web3 用戶?

Niq | OneKey:

鏈上NFT詐騙主要有兩種形式。首先是大量發送無價值的NFT到用戶錢包,目的是使用戶在OpenSea等網站上點擊這些NFT,從而被誘導到釣魚網站並獲取用戶的許可簽名。例如,詐騙者可能發送標記為「未解鎖」的NFT,並引導用戶訪問特定網站進行解鎖,用戶一旦簽名便授權了代幣。另一種是透過修改合約的「Sleep Minting」或假Mint,主要針對新手,這種修改使得在某人的錢包交易記錄中顯示為Mint了NFT,實際上是誘導用戶訪問包含釣魚元數據的NFT網站。

儘管有些平台如OpenSea已能過濾大部分詐騙,有些錢包還是可能顯示這些活動。這類詐騙在交易記錄的元資料模式中一致,開發者可以透過專門的API輕鬆識別和過濾。

對普通用戶而言,維持基本的安全意識非常關鍵,應對看似誘人的免費空投或代幣連結保持警惕。了解到並非所有Mint行為都是自發性的,許多釣魚NFT是透過假Mint產生,故應保持警覺,避免陷入詐騙陷阱。

Mako | imToken:

確實,Niq已經很好地解釋了這個問題。這些詐騙行為,尤其是誘導用戶前往第三方網站進行Mint確實普遍存在。儘管我們和許多錢包與安全機構已經做了大量科普,但社區中仍然頻繁出現這類問題。但很多用戶未親身經歷這些問題,可能不會特別關注安全風險。

在imToken這邊,我們有跟第三方API合作也建立了自己的過濾規則,但仍能接收到用戶的反饋,安全措施雖普及但並非萬無一失,需要透過社區共建來共享和交流關於詐騙的數據的重要性。

此外,我們進行的市場調查顯示,如Simple Hash這樣的公司透過類似白名單的方法為NFT提供評分服務,儘管可能與區塊鏈精神不完全符合。但我認為,隨著AI技術的發展,AI輔助識別風險和提供安全提示的能力逐漸提升,未來防範詐騙這方面,區塊鏈與AI技術可能會有效結合。

Shier | NFTScan Labs:

在NFTScan,我們從資料服務的角度出發,首先在資料來源實施了安全策略,目的是為下游開發者過濾垃圾和風險資產。我們為B端開發者開放了API接口,允許他們主動提交觀察到的或從C端用戶收到的垃圾資產資訊。收到回饋後,我們進行安全審核並可能標記過濾,防止這些資產流向下游。

我們也定期分析鏈上資產的發行和交易模式,尋找規律後使用演算法進行二次過濾。此外,NFTScan瀏覽器也增設了使用者回饋入口,讓使用者提交他們發現的風險資產或垃圾資產,以期透過B端和C端的共同努力,輸出更高品質的資產或消除潛在安全風險。

同時也需要也提醒C端用戶,由於NFT資產的可編程性,Metadata中的資訊可能隨時變化,因此在瀏覽涉及可疑連結或文件的圖片、影片、音訊時應格外謹慎。對於那些聲稱可以領取大量U的廣告,應學會自動屏蔽,很可能是釣魚行為。這基本上是NFTScan對整個鏈上NFT資產進行的一系列策略,抵禦誘導釣魚和批量空投的廣告垃圾資產。

Liz | SlowMist:

我們都知道Metadata是指NFT包含的特定訊息,例如名稱、描述、圖片和動圖等,但這些資訊因NFT的性質或創作屬性而異,而元資料的這種靈活性也帶來了多重風險:

首先是資訊誤導或竄改,如果元資料由創作者任意設定,購買者可能因資訊誤導或竄改而遭受損失。其次如果NFT的元資料儲存在鏈下伺服器中,一旦伺服器停運或受攻擊,相關的元資料可能會遺失,損害NFT的價值。最後圖片或動圖的URI可能用來擷取使用者的基本隱私訊息,導致隱私侵犯。

面對這些問題,我認為我們可以採取以下幾點應對措施:

首先,購買NFT時應選擇知名的、主流的、可信賴的平台。其次,我們還需啟用包括雙重認證、郵箱或手機驗證在內的各種安全措施,以提高帳戶的保護等級。雖然這些安全措施很重要,但還不足以完全保障安全。

因此,我們也需要養成定期進行安全檢查和系統更新的習慣,以確保長期的安全性。切勿隨意點擊來源不明的鏈接,特別是那些可能請求敏感信息的鏈接。

Yuri | host:

最近一年業界出現了許多新的加密資產協議標準,帶來許多發行新資產的熱點和玩法,包括銘文、BRC20、ERC404、Memecoin、Restaking、擼空投等,普通的Web3 用戶在參與的過程中,就是大家有沒有一些建議可以給?怎麼樣去防範這樣一個安全問題?

Niq | OneKey:

剛剛提到關於Restaking相關的一些安全問題,特別是涉及大額資產被竊的情況。根據Scam Sniffer報告,一些涉及質押代幣的被盜案件頻發,包括幾起平均交易額達兩百萬美元的盜竊。這些案件通常涉及盜用的permit簽名和用戶與不熟悉合約或網路的高風險互動。

此外,市場上一些聲稱能一鍵檢測和領取空投的工具,實際上增加了使用大額資金地址的風險。因此,重要的是在進行高風險交易之前將資產轉移到安全的位置,並在交易後徹底撤銷所有授權,確保所有風險都已妥善處理。總之,與不熟悉的工具或項目互動時,確保採取適當的預防措施至關重要,降低風險敞口。

Mako | imToken:

最近關於互不接盤的話題特別受關注,尤其是一些玩銘文、Solana等項目。在參與這些專案時,我通常選擇使用新的錢包,而對於小型專案通常不使用硬體錢包。

然而,涉及大額資產時,我會選擇硬體錢包進行staking等活動。對於發布的MemeCoin等,我傾向於用小額錢包操作。取得資訊的主要管道是透過Twitter等社群媒體,但需警惕假帳號,很容易讓人上當。

從經驗來看,判斷推文可信度的一個方法是查看我認識的人是否關注了這個帳號。有關取消授權,我發現其實在以太坊上直接更換地址經濟實惠。其次,在參與MemeCoin或其他熱門項目時,我認為重要的是量力而行,認清市場波動是常態,及時獲利了結。號

Liz | SlowMist:

最近,我們收到了許多用戶因錢包私鑰而被盜的報告,這再次凸顯了錢包安全的重要性。正如常言“不是你的私鑰就不要洩露”,這是大家都熟悉的安全原則。

例如,許多竊盜案件發生是因為使用者將私鑰或助記詞明文保存在不安全的地方,如桌面文件、表格或微信收藏等。此外,有些用戶在使用應用程式時沒有切換到正確的網絡,導致資產被誤轉到其他鏈上,如果錢包或平台不支援新協議,資產很容易遺失。

因此,在參與任何專案之前,都應仔細閱讀白皮書,研究專案背景,並盡量選擇經過安全審計的專案或平台,避免盲目跟風造成損失。同時,儘管自動化工具方便,但使用前必須確保能夠正確操作,以防誤操作帶來嚴重後果。

Shier | NFTScan Labs:

確實,對於投資或參與較小的加密項目,換一個專門的錢包是一種非常直接且安全的做法,尤其是當這個錢包不需要存放太多資金時。此外,當我們瀏覽一些大型專案的官方推特時,尤其是那些有空投預期但還未發行空投的情況。我們在Mint 這邊會採取一種預防措施。例如,在推特活動結束時,會發布一張圖明確聲明這是該系列推文中的最後一條,以防止釣魚詐騙的發生。

然後我總結一下,對前面三位老師說的大概有這麼幾點:

  • 防範釣魚網站:要特別注意不要誤入釣魚網站。確保透過官方社交媒體或官方網站獲取項目信息,並在確認後再進入官方網站,以減少被釣魚的風險。

  • 錢包連接授權:在進行簽名操作時,務必仔細查看簽名訊息,確保知曉其目的。這一步至關重要,可以避免資產被不明簽章操作所損失。

  • 資產安全:尤其在參與新協議時,要注意保障資產安全,最好做好資產隔離,盡量減少主力資產的操作,以降低風險。

  • 私鑰管理:對於私鑰管理,需要認真學習和研究。使用硬體錢包是一個不錯的選擇,例如像OneKey和imToken這樣的專業硬體錢包。同時,確保連接的網路和錢包是可信任的也是至關重要的。

Yuri | host:

最後一個問題,在區塊鏈這個黑暗叢林中,如何有效的保護加密資產安全呢?請各位老師給大家分享一些用真金白銀換來的教訓和經驗。

Shier | NFTScan Labs:

最近我們遇到了一個問題,有人冒充投資機構在Twitter上私訊我們,並提供了一個Zoom會議連結。這個連結要求我們用官方社群媒體帳號授權,初看似乎不尋常,但考慮到可能是為了確認身分我們決定授權。不幸的是,這是一個釣魚鏈接,攻擊者通過這種方式在深夜發起攻擊並獲取了我們官方帳號的編輯權限。我們的社群迅速做出反應,我們取消了所有Twitter授權,及時控制了局面。

另一個案例發生在一波去中心化流動性挖礦熱潮期間,一個朋友在開源一個腳本時不慎公開了自己的私鑰,導致損失了數十萬美元的資產。

這些案例強調了安全事故往往可以防範,常因缺乏警覺和安全意識,提醒我們在進行任何投資或操作時必須維持高度警覺和採取嚴格的安全措施。

Niq | OneKey:

討論到”黑暗叢林”,必須提及慢霧近日發布的《黑暗森林自由手冊》v1.2版本,其中提出的零信任和持續驗證兩大安全法則非常精闢。

我曾經遇到的一個例子是關於一個空投人設,該團隊發布教程贏得信任後,突然推出含有惡意連結的教程,導致許多人私鑰被盜。這不僅是技術攻擊,同時也利用了社會工程學中的人際信任,資訊互動和人際間互動是十分重要的。

因此,始終實行零信任和持續驗證至關重要。此外,避免在精神狀態不佳時操作,管理好自己的風險敞口,經常檢查自己授權給合約的代幣數量,以及自己持有的代幣是否處於一個不穩定的項目中。這些策略則是應對黑暗叢林中風險的關鍵。

Mako | imToken:

隨著時間推移,錢包用戶教育顯著進步,沒有備份習慣的用戶已大為減少。但偶爾仍有觸目驚心的例子,例如用戶的備份被親人發現並盜用,顯示出資產安全意識的不足。即使在家庭中,也必須保持一定的安全措施。

一個常見問題是用戶透過搜尋引擎下載假錢包,如有用戶誤下載了假「imToken」應用程式,損失了約15萬美元。我也看過人們在小紅書上分享助記詞,通常出於貪小便宜。我嘗試將這樣的助記詞導入空錢包,發現有100美元,很快就被自動腳本轉走,典型的釣魚行為。此外,我們與慢霧討論了自訂IPC問題,許多人在嘗試領空投時,會被騙子要求配置特定的IPC,以竊取資產。

這些例子強調,不應貪圖小便宜或自以為聰明。我們持續進行使用者教育,但許多人可能只有在事情發生後才會關注。

Liz | SlowMist:

我這裡想分享一些關於釣魚事件的資訊。根據我們每天接收到的受害者提交的被盜訊息,釣魚活動每個月都在逐漸增長,並且在被盜原因中佔比相當大。

盲簽釣魚是目前最常見的釣魚類型之一,以eth_sign簽名方法為例,這是一個開放式簽名方法,允許對任意hash進行簽名,用於交易或資料簽名。這對非技術使用者而言難以理解,易埋下釣魚風險。幸運的是,現在許多錢包已開始提供安全提示,以減少資產損失。

在防止釣魚方面,使用者應在互動前核實專案官網,並警惕任何惡意簽署請求。重要的是,不應在任何地方洩露助記詞或私鑰。在專案參與前,要考慮專案是否匿名、團隊是否知名、程式碼是否經過安全審計及其品質。使用者應優先參與知名且經過多方面安全審計的Web3項目,同時留意這些審計是否持續更新,以應對新的安全挑戰。

最後,我還想提醒大家,我們的《區塊鏈黑暗森林自救手冊》是一個很好的資源。我建議大家定期閱讀,尤其是那些可能因為熟悉而放鬆警惕的人。即使內容可能有些基礎,常讀常新,可以幫助我們避免掉入常見的陷阱。

Total
0
Shares
Related Posts