OKX Web3錢包特別策劃了《安全特刊》,專門研究網站安全,涉及用戶最真實案例,透過安全專家或機構深入交易所與總結,幫助用戶學習安全教育和資產安全。在Web3世界中,安全至關重要。 OneKey團隊和OKX Web3團隊帶來了裝置安全加強建議。用戶需留意設備安全,包括防網路攻擊、保護硬體錢包和電子設備安裝、使用安全軟體,以及在日常操作中保持警覺。同時,使用者也應關注新興虛擬技術的風險,如AI換臉,保護隱私數據,了解多因素認證方法,以降低安全風險。
引言:OKX Web3錢包特別策劃了《安全特刊》 ,針對網站安全問題進行專門的研究。透過最發生在用戶身邊最真實案例,與安全專家或機構共同參與,由不同視角進行深入交易所與歸納總結,從而幫助用戶安全教育以及資產安全。
在Web3世界衝浪,2錢不能省
一個是鏈上Gas;一個是鏈上裝備
但無論鏈上或鏈下,安全第一~
本期是安全特刊第04 期,特邀請加密貨幣商OneKey安全團隊與OKX Web3錢包團隊,從實實在在的指南角度出發,教你給設備安全加點「Buff」。
OneKey安全團隊:OneKey成立於19年,是一家專注於安全的開源錢包與軟體錢包公司,並設有安全攻防實驗室,已獲得Coinbase、Ribbit Capital、Dragonfly等一線機構支援。目前,OneKey錢包是亞洲最暢銷的錢包品牌之一。
OKX Web3安全團隊:OKX在Web3領域安全工作團隊,負責網路安全、合規工作,為使用者提供產品安全、安全、綜合防護服務,為整個區塊鏈社群提供安全保障。
Q1:能否分享幾個用戶維護的設備風險案例
OneKey安全團隊:Web3使用者涉及的裝置安全案例具有不同的特徵,我們舉例說明了幾個較常見的案例。
案例一,用戶Alice離開自己的設備後,在不知情的情況下被身邊人物理入侵了設備,並盜走了資產。這在電腦安全領域被稱為“邪惡女僕攻擊(Evil maid attack)”,也是用戶遭遇的最常見的設備風險類型之一。
從「擼毛工作室」的同事、打掃房間的阿姨到親密的無間的枕邊人,都有可能見財起意。
案例二,用戶Bob被物理脅迫,不得已交出自己有資產控制權限的設備,這個在加密貨幣圈內有個哭不得的名字-「五美元扳手攻擊($5 Wrench Attack)」。
今年3月,加密貨幣交易所OG宣布其加密貨幣交易所地位正式確立,旨在打擊網路犯罪,防範網路犯罪,提振投資者信心,緩解資金緊張,為全球經濟注入新活力,該交易所在2023年年初,就有媒體報道其虛擬貨幣遭搶劫消息,受害者包括在線下數位貨幣投資者聚會,飯後在車內被控制,非法分子強行利用受害人面部識別解鎖手機與錢包軟體,將錢包加密貨幣兌換為410萬USDT,旋即轉移資金並離開,近期在推特上,也熱傳一位加密貨幣礦業公司OG表示自己在遭遇了國際犯罪集團的搶劫,被勒索了畢生增持的大量資產。
OKX Web3錢包安全團隊:今天這個主題很好,採取了私鑰安全、MEME交易安全、以及擼毛安全等很多鏈上安全的主題,實際上設備安全也非常重要,我們分享了一些比較經典的案例。
案例一:被竄改使用的硬體錢包
用戶A從未經授權購買了一個錢包,未經授權用戶開始使用。實際上,該錢包應用程式已經預先產生了堵塞套助記詞。最終用戶存放該錢包的加密貨幣資產被駭客控制,導致事故發生。
預防措施:1)用戶從可信任頻道或可信任平台取得硬體錢包。 2)使用錢包驗證機制,確保錢包安全。
案例二:釣魚攻擊
用戶B收到「錢包中心」的郵件說明用戶錢包問題並要求用戶輸入錢包的恢復語句進行安全恢復。實際上這是一場精心設計的人身攻擊,用戶最終損失全部資產。
注意事項:1)使用者不要在登入頁面驗證使用者訊息,否則將無法繼續使用本服務。 2)使用硬體錢包的螢幕驗證所有操作資訊。
案例三:軟體安全
使用者C從未經驗證的管道下載了應用程序,當使用者進行密碼操作時,由於軟體存在惡意邏輯,導致資產遺失。
注意事項:1)使用者從下載管道並定期更新軟體和裝置。 2)使用防毒軟體和設備保護你的隱私。
Q2:使用者常用的實體設施以及風險類型
OneKey安全團隊:涉及用戶資產安全的設備的話,通常包括用戶手機、電腦、硬體錢包、USB儲存的設備以及網路通訊設備(如WIFI)。
除了我們前面提到的離開設備時會遇到的“邪惡女僕攻擊(Evil Maid Attack)”和,以及暴力犯罪“ 5 美元扳手攻擊($5 Wrench Attack)”,以下我們再補充還需要特別注意的幾個方面。
一、社會工程與釣魚攻擊
社會治安管理處罰法規定,犯罪嫌疑人、被告或其他人員違反本法規定,構成犯罪的,依法追究刑事責任。
該公司表示,公司將繼續致力於為用戶提供更安全、更可靠的服務,並積極主動地向用戶提供更及時、更及時的技術支持,以確保其設備的安全。
二、供應鏈任務
攻擊是指在設備的或運送過程中進行惡意攻擊。具體表現為以下三點。
1.硬體改造。在製造入戶香菸的過程中,如果使用者從不可靠來源購買硬體設備,那麼這些設備就可以預先安裝並能夠竊取資訊或允許使用的香菸。
第2個是軟體改造。它被用於應用程式的供應鏈,改造軟體或韌體更新包。當使用者下載和安裝這些更新時,裝置可能被植入門程式或其他初始惡意程式碼。
第3個是物流目標:在設備運輸過程中,它們可能會被替換或擠壓,轉化為實施後續目標。
三、中間人員攻擊
中間人攻擊(Man-in-the-Middle Attack,MITM)是指在雙方通訊過程中攔截並篡改封包。
例如,當使用者使用未加密的HTTP網站時,它被建構為無法截取並修改使用者發送和接收的資料。
再例如公共WIF,使用公共WIFI 時,用戶回家更容易被攔截。甚至被設定為惡意的公共WIFI 熱點,一旦用戶連接,就可以監視並竊取用戶敏感訊息,如登入憑證和銀行交易記錄。在極端情況下也有人可能會被入侵安裝監控記錄。
四、第三方內部攻擊及軟體漏洞
第三方內部攻擊和軟體漏洞,對使用者來說是難以控制的風險,但對實體設備安全有重大影響的因素。
某些外掛程式或應用程式可能未被發現,而這些應用程式可以透過為它們取得裝置的控制權來解決這個問題。這個通常可以保持安全,同時也要考慮使用最新的加密貨幣技術。
而軟體方人員活動:軟體供應商或政府部門人員逃避審計,進行非法活動,竊取使用者資料等。或因某些原因導致的違規活動。
例如,採取行動曾有「擼毛工作室」因為使用某款多開指紋瀏覽器導致資產被盜的案例,可能就是軟體或插件的內部惡意導致。顯示即便是合法軟體,如果其內部控制不嚴格,也可能對使用者資產安全構成威脅。
又例如,Ledger 之前有一次引起恐慌的攻擊——很多dapp 在用的Connect Kit 出問題了。攻擊的原因是一位前員工成為網路釣魚攻擊的受害者,他們被建立在Connect Kit 的GitHub 庫中插入了惡意程式碼。還好Ledger 的安全團隊在被告知問題後40分鐘內部署了修復措施,Tether 也及時凍結了攻擊者的USDT 資金。
OKX Web3錢包團隊:我們歸化了一些使用者常用的實體設備,並對其產生的污染物進行處理。
目前使用者常用的實體設備主要包括:1)電腦(桌上型電腦和筆記本),用於存取去中心化應用程式(dApps),管理數位貨幣套件、參與區塊鏈網路等。 2)智慧型手機和平板電腦,用於行動存取dApps、管理數位貨幣包和進行交易。 3)硬體錢包,用於安全儲存加密貨幣私鑰,防止被駭客攻擊。 4)網路基礎設施,路由器、交易所、防火牆等設備,確保區塊鏈基礎設施的穩定性。 5)節點設備,運行區塊鏈節點的軟體設備(可以是個人電腦或專用伺服器),參與網路共識和資料驗證。 6)冷儲存設備,用於離線儲存私鑰的設備,例如USB驅動器、紙錢包等,防止線上攻擊。
目前實體設備產生的較大風險主要有以下幾種
1)物理設備風險
• 設備遺失或損壞:硬體金鑰遺失或損壞,可能導致金鑰遺失,無法使用或無法計費。
•物理入侵:非法分子以實體手段入侵設備,取得私鑰或敏感資訊。
2)網路安全
• 應用程式和病毒:透過應用程式攻擊使用者設備,竊取私鑰或敏感資訊。
• 攻擊:偽裝合法服務使用者提供私人或登入憑證。
• 中間人攻擊(MITM):接收到的請求並轉換為區塊鏈網路之間的通訊。
3)使用者行為風險
•工信部:透過社會工程手段洩漏使用者隱私資訊。
• 操作失誤:使用者在交易或管理資產時操作失誤,導致資產遺失。
4)技術風險
•軟體漏洞:dApps、數位貨幣包或區塊鏈協議中的漏洞可能被駭客利用。
•智能合約漏洞:智慧合約程式碼中的漏洞可能導致資金被竊。
5)監管和法律風險
•法律合規性:不同顯示對加密貨幣和區塊鏈技術監管政策不同,可能影響股東資產與交易所資產的相互轉換。
•監管變化:政策突然改變預期資產凍結或交易目標。
Q3:硬體錢包是安全防護措施類型
一個關鍵的安全團隊:當然,我們必須選擇安全金鑰,並且該金鑰對於我們而言是必需的,它可以幫助我們在日常交易中保護用戶隱私,並幫助我們在應用程式商店中驗證和刪除用戶隱私。
我們來談談硬體優勢:
1)硬體將私鑰儲存在專用設備上,與聯網的電腦和行動裝置進行通信,並且應用程式被程式化,因此,互聯網從未接觸過它。
2)交易:使用硬體錢包進行交易,用戶必須在設備上確認和交易細節。這個過程使得即使收益者帳戶資訊被洩露,資產也將被轉移。
3)安全晶片:許多硬體錢包使用專用的安全晶片來儲存金鑰。這些晶片經過索尼安全認證,如CC EAL6+(OneKey Pro和Ledger Stax等新硬體錢包採用標準),能夠有效防護實體通道攻擊。安全晶片不僅能夠防止未經審計的訪問,還能節省多種高級攻擊手段,如電磁分析和電力分析攻擊。
除了硬體之外,方法也增強了安全性,使用者自主選擇權:
1)紙錢包:紙錢包是將私鑰和公鑰印在紙上的一種離線方式。雖然簡單來說,但要注意防火、防潮、防丟失等安全問題。有條件買一個金屬刻字進行實體記錄(面上選擇很多,例如OneKey 的KeyTag)。
2)手機銀行:離線儲存的密碼,或離線的手機銀行轉賬,避免網路攻擊,使用者需自行設定這些設備。
3)分片儲存:分片儲存是一種將資料分成多個區域,並儲存多個應用的分散式儲存系統,它能夠為資料提供多種存取控制,提高資料安全性,避免使用者存取控制受到限制。
4)多重簽章(Multisig):多重簽章技術要求多個私鑰共同簽署交易,才能完成轉帳作業。透過增加簽署者數量來提高安全性,防止單一私鑰被盜而導致資產被轉移。例如,可以設定一個三方簽署的多方帳戶,當至少兩個私鑰時,才能交易。這不僅提高了安全性,還可以實現更靈活的管理和控制。
5)密碼學創新技術:現在隨著科技的發展,一些新興的密碼學技術也不斷應用於私鑰保護。例如,門限簽章方案,TSS)和多方運算(Multi-Party Computation,MPC)等技術,透過分散式運算和協作方式,進一步提高了私鑰管理的安全性和可靠性。這裡一般是企業用得比較多,個人使用極少。
OKX Web3安全團隊:針對網路犯罪者的攻擊行為,以及網路犯罪者利用非法手段取得資訊等,提供了更安全、更有效率的網路攻擊防禦解決方案。
1)使用安全的儲存設備:選擇可信賴的硬體設施或其他儲存設備,降低私鑰被網路攻擊的風險。
2)建立完善的安全意識教育:加強對私鑰的安全重視和保護意識,對任何需要輸入私鑰的網頁或程式保持警惕,在必須複製貼上私鑰時,可以只複製部分,留幾位字符手動輸入,防止剪貼簿攻擊。
3)助記詞和私鑰的安全儲存:避免拍照、截圖或線上記錄助記詞,應盡量寫在紙上並存放在安全的地方。
4)私鑰分離儲存:將私鑰分成多個部分,分別儲存在美國的不同的地方,減少單點故障風險。
Q4:目前身分驗證和存取控制方面存在的漏洞
區塊鏈安全團隊:區塊鏈不像Web2.0那樣需要去儲存身份訊息,它是透過密碼學來實現資產的自託管和託管,這意味著用戶控制資產的安全是所有利益相關者的責任,一般來說,使用者控制資產的安全是基於使用者私鑰的,因此,如果私鑰遺失、被盜用,就不利於資產的正常使用。
這也是為什麼我們在託管服務領域中,會使用到很多的安全機制,比如說,在託管服務中使用者可以使用的權限、安全性等,這些都是我們在託管服務領域中必須掌握的。
當然,也有不少用戶使用交易所帳戶直接儲存資產,意外的身份驗證和存取控制就比較類似Web2了。
此密碼保護機制將關乎使用者密碼安全意識。使用弱密碼和重複密碼是一個常見的問題。使用者傾向於使用簡單、易猜的密碼或在多個平台(例如驗證用郵箱)上重複使用相同的密碼,這比其他密碼更容易被暴力破解或資料外洩受到攻擊。
儘管這其中多重身份驗證(如簡訊驗證碼、Google Authenticator)可以增加安全性,但如果實施不當或存在漏洞(如簡訊劫持),也會成為攻擊目標。 例如簡訊劫持SIM交易所攻擊——透過欺騙或賄賂行動電信商,將受害者的電話號碼轉移到控制的SIM卡上,從而接收所有發送到受害者手機的簡訊驗證碼。 步驟Vitalik曾經遭遇「SIM SWAP」攻擊,接收到其推特發出釣魚訊息導致許多人資產受損。 此外,多重驗證器如「Google Authenticator」的備份碼儲存不當也可能被取得並用於攻擊帳號。
OKX Web3錢包安全團隊:這是非常值得關注的,目前來看要注意的是
1)弱密碼和密碼重複使用:使用者經常使用簡單、容易猜測的密碼,許多服務上重複使用相同的密碼,他的密碼被暴力破解或透過其他外洩管道獲取風險。
2)多因素身份驗證(MFA)不足:Web2中多因素身份驗證可以顯著提高安全性,但web3錢包中一旦私鑰被竊取就意味著建立了帳戶的全部操作權限,難以建立有效的MFA機制。
3)釣魚攻擊和社會工程:它們利用釣魚郵件、假網站等手段欺騙用戶洩露敏感資訊。 目前針對web3的釣魚網站表現出集團化、服務化的特徵,如果沒有足夠的安全意識就可以上當受騙。
4)API金鑰管理不當:開發者可能會將API金鑰硬編碼在客戶端應用中,或在沒有執行金鑰控制和過期管理的情況下,導致金鑰外洩後外洩。
Q5:使用者應該如何預防AI換臉等新興虛擬技術的風險?
OneKey安全團隊:在2015年的BlackHat大會上,全球駭客一致認為人臉辨識技術是不是很可靠的身份認證方法。近十年後,在AI技術的進步下,我們已經近乎完美的替換人臉的“魔法”,果然普通的視覺人臉識別已經無法提供安全的保護。在此之中,更多的是識別方需要升級的演算法來識別和阻止深度內容。
對於AI換臉的這些風險,使用者端除了保護自己的隱私生物特徵資料之外,能夠做的確實不多。以下一些小建議:
1)指引用戶識別應用程式
為確保用戶在選擇應用時的安全,我們採用了開源軟體的開發方式,並公開了用戶使用我們開發的軟體的所有信息,確保應用的安全。
2)了解多因素認證(MFA)
單一的生物特徵認證存在較大的風險,因此結合多種認證方式能夠顯著提升安全性。多因素認證(MFA)結合了多種驗證方法,例如指紋、膜掃描、聲紋掃描,以及全部的DNA數據。對使用者來說,這種組合認證方式能夠使一個認證方法被攻破,提供額外的安全層。對使用者來說,保護自己這方面的隱私資料同樣重要。
3)保持懷疑,防範詐騙
很顯然,人臉和聲音都被人工智慧模仿了,隔絕了網路冒充一個人的簡單得多。使用者應特別注意涉及敏感資訊或資金轉移的請求,雙重驗證,透過電話或面對面確認對方身分。保持警惕,不輕信緊急要求,辨識假冒高階主管、熟人、客服等常見詐騙手段。首先如今假冒名人也很多,參與一些專案都要小心「假站台」。
OKX Web3錢包安全團隊:一般來說,新興的虛擬貨幣技術引進了新的安全策略,而新的安全策略則採用了新的風險管理方法。
一、AI詐欺風險
在AI換臉血液中,已經有很多AI換臉產品被曝光,當前工業界已經放棄了第三種自動檢測虛假人物形象的方式,即透過自動檢測數位內容來產生獨特的價值(指紋辨識),使用者也可以透過人工智慧觀察臉部特徵,邊緣處理,音畫不同步等,此外,微軟也為deepfack推出了一系列產品,以促進其用戶對deepfack的學習和研究。
二、資料與隱私風險
大模型在網路安全應用中也吸引了用戶的數據,在平時,在機器人使用過程中,用戶隱私資訊保護,隱私金鑰輸入,密碼等關鍵資訊輸入,以及Github上關於隱私金鑰輸入的說明,如果提交程式碼中OpenAI apikey有隱私洩露,則推送隱私資訊。
三、內容生成的冒險
在使用者日常工作中,可能會遇到很多重大模型內容的結果,這些內容雖然有效,但是由於害怕生成虛假信息,現在也出現了一些產品,例如:文本內容是否為重大模型內容,是否為模型帶來了不利影響,從而降低了一些相應的風險。此外,在使用重大模型程式碼時,一定要遵循合法的、保密的、可追溯的規則,這才是關鍵。
四、日常的關注以及學習
用戶在日常瀏覽短視頻,長視頻以及文章時,要有意識的去判斷以及識別,記住那些AI造句或AI生成的內容,如常見的說男音,女音,讀音錯誤,以及常見的換臉視頻,在遇到關鍵場景下,有意識的去判斷和識別這些風險。
Q6:從專業的角度,分享實體設備安全建議
OneKey安全團隊:根據前面提到的風險,我們將採取防護措施,簡單總結。
1.注意防範網路攻擊風險
在我們日常生活中,連網設備已經普及,但這並不是一件容易的事。為了防範網路攻擊,我們應該選擇防範網路攻擊,避免受到攻擊。我們應該在設備上安裝和配置設備,以便更好地管理網路攻擊。
2、保持實體監控與保護
」 Steve Hutchins 說。「我們當地的居民應該把安全、可靠的設備存放在豪華酒店,並配備視頻監控和自動警報功能。 如果我們要出行,選擇有安全密碼的飯店,我們還需要便攜式行動設備,以確保我們的設備安全。 此外,我們還可以攜帶式行動設備,確保我們的安全。
3.降低風險及預防單點故障
將設備與資產去中心化到各個地方是降低安全性的秘訣。我們不應該將資產儲存在一個地方政府帳戶中,而應該將其儲存在一個地方政府帳戶中,以便我們可以在同一時間、在同一家公司、在同一家公司之間存放資產。此外,我們還可以使用多個錢包和現金,以便大幅提高我們的資產安全性。
4.假設最壞情況的應急措施
確保在執行職務時,遵守當地法令,防範各類風險。 正確答案: 在安全生產監督管理部門的監督下,我們嚴格按照《中華人民共和國反腐敗法》和《中華人民共和國反腐敗法》的規定執行,確保在安全生產監督管理過程中,遵守當地法律法規,妥善處理各類突發事件,確保必要時採取有效措施,以防止各類風險的發生。
OKX Web3錢包安全團隊:我們分兩個層面來介紹,一個是OKX Web3 APP層面、另一個是使用者層面。
1、OKX Web3 APP 平台
OKX Web3 全方位服務平台透過多種方式解決使用者登入問題,包括:身分驗證、系統故障偵測、應用防禦以及網路安全,同時能夠最大限度地減少使用者登入APP的感染風險,使用戶能夠透過多種方式取得到更優質的登入體驗。
另外,在Web3錢包資料安全論壇,使用了安全性技術,利用晶片級加密貨幣手段,對錢包中的敏感資料進行加密,該加密貨幣資料跟裝置加密貨幣,加密貨幣資料如果被盜,任何人都無法解密。
2、用戶名單
針對用戶涉及硬體錢包、電腦、以及手機等設備,我們建議從以下方面加強用戶的安全意識
1)硬體錢包:使用知名品牌的硬體錢包,從官方管道購買,並在社交平台上產生和儲存密鑰。 儲存密鑰的Medium應符合防火、防水、防盜的規定。 建議使用防火防水的保險箱,並可在不同的安全位置私鑰或助記詞以提升安全性。
2)電子設備:安裝軟體的手機與電腦建議選用安全性與隱私性較好的品牌(例如蘋果),同時減少安裝其它軟體,純淨水環境。使用蘋果身份認證、多設備備份,避免單機故障。
3)日常使用:避免在錢包設備敏感資訊操作中洩漏;定期使用可信任軟體對設備環境進行查殺;定期對實體設備存放位置進行可靠性檢查。
最後,感謝大家看完OKX Web3錢包《安全特刊》欄目,目前正在緊鑼密鼓準備第05期內容,不僅有真實的案例、風險識別、還有安全操作乾貨,敬請期待
免責聲明:
本文僅提供參考,無意提供(i)投資建議或投資推薦;(ii)購買、出售或持有數位資產的要求或招攬;或(iii)財務、會計、法律或稅務建議。 持有數位資產(包括穩定幣和NFT)涉及高風險,可能會大幅波動,甚至變得毫無價值。您應根據自己的財務狀況考慮或持有數位資產是否不存在。請您自行負責和遵守當地的相關法律和法規。
資訊來源:0x資訊編譯自網際網路。版權歸作者OKX所有,未經許可,不得轉載