加密钱包资产安全常见问题解答2

网络安全6个月前发布 cryptobaby
315 0 0

本文作者:Eason_BTC@Eason_Jiang_。发文时间:上午12:06 · 2024年6月10日


今天目力所及范围内就出现了3起 OKX@okxchinese账户资产被盗案件,而且都是金额巨大 (100w u左右)。结合前两天币安@binancezh的Chrome扩展插件对敲100w美金被盗案(最后貌似得到妥善解决),不得不感叹最近行情冷淡之际,也是加密黑客春风得意之时啊。昨晚正好有幸作为嘉宾参与了一场关于资产安全的space,趁今天黑客案件爆发之时,把会议笔记整理出来分享一下,希望对小伙伴们有用.

下面链接是第一篇内容。https://ytm.app/2024/05/29/%e5%8a%a0%e5%af%86%e9%92%b1%e5%8c%85%e8%b5%84%e4%ba%a7%e5%ae%89%e5%85%a8%e5%b8%b8%e8%a7%81%e9%97%ae%e9%a2%98%e8%a7%a3%e7%ad%94/

昨晚有幸参与了@KeystoneCN组织举办的资产安全主题space。

首先回顾了币安上发生的用户因下载恶意的 Chrome 扩展 Aggr 导致 100 万美金被盗的案件。如果你安装并使用了Aggr 这款恶意插件,那么黑客就可以收集你的Cookies,并利用收集的Cookies,访问登录用户账户,进行交易,提取资金,甚至冒充用户进行社会工程攻击,这样黑客不再需要密码或2FA,能够控制你的帐户。在受害人的实际情况中,因为他的资料保存在1password之中,黑客没有办法绕过2FA提走他的资产。但可以利用他的Cookies,通过挟持他的账户,对敲获取收益。

在今天 OKX 这几起被盗案件中,黑客貌似是掌控了用户账户并能强行进行交易和资产提取,而不是通过对敲手段获利,目前背后原因仍在调查中,貌似受害者均没有开启2FA二次验证。

再加上加密圈最常见的钓鱼攻击(有意或无意点击钓鱼链接),会议小伙伴们总结了一些注意事项小tips:

1. 使用手机端app,尽量不要使用网页版app,可以规避浏览器插件或者减少点击钓鱼链接等等一系列问题

2. 不乱下载插件,不乱点击不认识的链接,以及下载安全软件,比如 Scam Sniffer

3. 一定要开启2FA 二次验证,短信、电子邮件、Google Authenticator 等方式。每次登录和进行重要操作(如提取资金)都要二次验证,确保即使用户的 cookies 被盗,攻击者也无法轻易访问账户。

4. 完成交互后记得及时取消签名(比如低gas的时候),可以用类似http://revoke.cash这样的软件,最好在交互的时候只允许dapp动用最低限度的资金,不要批准对方动用所有额度。

5. 最好用苹果设备,安全性更高。

6. Telegram Discord Twitter私信一律不要信,比如Telegram可能莫名其妙被拉进一个跟官方很像的群(亲身经历被拉进过高仿的RNDR官方群)

7. 防社会工程式scam,比如群友发的链接(可能群友无心之举)

8. 推特帖子要辨认是否是官方推文,看共同关注好友的数量和质量,查handle @之后的唯一推特账号名字,以及看清楚推文最后一条写到哪里,经常有高仿号在官推最后补上一条假推文并附上钓鱼链接

9. 不要乱点击质押、抽奖类小项目链接(蝇头小利钓鱼)

10. 要做交互一定去官网,不要用谷歌搜索官网网址,从官方推特或者Coingecko标注网站进入官网,多渠道交叉认证(官推账号也有可能被黑,并被黑客附上钓鱼链接)

11. 不要所有资产全部放在一个地方,不管是冷钱包还是哪儿,尤其不要放在一个可能不收你控制的地方(比如中心化交易所not your key not your coin,或者没有离网创建私钥的热钱包如MetaMask,OKX Web3钱包)

12. 使用冷钱包,尤其大额资产,绝对不连接网络,不做任何交互,热钱包里面存放少量资金做交互,冷热分离。

13. 理解助记词的重要性,有助记词就能在任何地方恢复钱包以及里面的资产,坚决不在任何地方输入助记词。

14. 认真保管助记词,不要复制粘贴,不要拍照上传云端备份,在独自一人的环境下(不要被人看到,摄像机,社会工程),手写助记词保存起来,甚至刻在钢板上(防水防火)。拿OKX Web3钱包举例,卸载删除app/换手机的情况下,需要助记词才能恢复钱包,忘了助记词等于丢失所有资产。

15. 创建钱包时,私钥不接触网络最安全,像热钱包比如MetaMask OKX都是触网的,可以配合冷钱包使用

16. 如果是鲸鱼大户,最好用不同公司的多个不同冷钱包,并分开交互钱包和屯币钱包,交互钱包最好也是冷热钱包结合使用的方式。

17. 接上一条,如何挑选冷钱包公司:离网状态下创建助记词,好的tracking record, 知名投资人背书,团队透明,创始人活跃,代码开源,等等。

18. 养成做测试转账的习惯,小额资金转进一个钱包看看能不能转出来,如果因设置不到位导致无法签名转出,则资产归零,仅剩纸面财富。

19. 转账仔细核对每一位地址数字字母,不要只看前几位后几位,或从历史记录/白名单中复制粘贴地址,容易被黑客用0 gas转账记录覆盖之前记录,接而引诱你直接转账给黑客地址。

加密钱包资产安全常见问题解答2

交易设备一定要装防诈骗软件

核心逻辑:不要乱点链接,不要随便相信能帮你赚钱的信息尤其是质押。如果点了钓鱼链接了怎么办,看看scam sniffer能不能防住,看看只给dapp自定义的交互额度能不能控制损失,看看平时revoke cash清理签名的习惯能不能防住,如果钱包脏了及时转出所有财产不管哪条链。如果这都没防住,那你是否做了屯币和交互冷热分离,如果做了那你只损失了gas或者小额交互资产。所以,真正的精髓不是在于如何防止被黑被钓鱼,因为不可能永远完全保证100%做到的,真正的精髓在于如果不幸被黑之后,通过平时的良好习惯能不能尽量控制和减小损失,能不能保证始终留在牌桌上。

 

© 版权声明

相关文章

暂无评论

暂无评论...