加密钱包资产安全常见问题解答2

本文作者：Eason_BTC@Eason_Jiang_。发文时间：上午12:06 · 2024年6月10日

今天目力所及范围内就出现了3起 OKX@okxchinese账户资产被盗案件，而且都是金额巨大 (100w u左右)。结合前两天币安@binancezh的Chrome扩展插件对敲100w美金被盗案（最后貌似得到妥善解决），不得不感叹最近行情冷淡之际，也是加密黑客春风得意之时啊。昨晚正好有幸作为嘉宾参与了一场关于资产安全的space，趁今天黑客案件爆发之时，把会议笔记整理出来分享一下，希望对小伙伴们有用.

下面链接是第一篇内容。https://ytm.app/2024/05/29/%e5%8a%a0%e5%af%86%e9%92%b1%e5%8c%85%e8%b5%84%e4%ba%a7%e5%ae%89%e5%85%a8%e5%b8%b8%e8%a7%81%e9%97%ae%e9%a2%98%e8%a7%a3%e7%ad%94/

昨晚有幸参与了@KeystoneCN组织举办的资产安全主题space。

首先回顾了币安上发生的用户因下载恶意的 Chrome 扩展 Aggr 导致 100 万美金被盗的案件。如果你安装并使用了Aggr 这款恶意插件，那么黑客就可以收集你的Cookies，并利用收集的Cookies，访问登录用户账户，进行交易，提取资金，甚至冒充用户进行社会工程攻击，这样黑客不再需要密码或2FA，能够控制你的帐户。在受害人的实际情况中，因为他的资料保存在1password之中，黑客没有办法绕过2FA提走他的资产。但可以利用他的Cookies，通过挟持他的账户，对敲获取收益。

在今天 OKX 这几起被盗案件中，黑客貌似是掌控了用户账户并能强行进行交易和资产提取，而不是通过对敲手段获利，目前背后原因仍在调查中，貌似受害者均没有开启2FA二次验证。

再加上加密圈最常见的钓鱼攻击（有意或无意点击钓鱼链接），会议小伙伴们总结了一些注意事项小tips：

1. 使用手机端app，尽量不要使用网页版app，可以规避浏览器插件或者减少点击钓鱼链接等等一系列问题

2. 不乱下载插件，不乱点击不认识的链接，以及下载安全软件，比如 Scam Sniffer

3. 一定要开启2FA 二次验证，短信、电子邮件、Google Authenticator 等方式。每次登录和进行重要操作（如提取资金）都要二次验证，确保即使用户的 cookies 被盗，攻击者也无法轻易访问账户。

4. 完成交互后记得及时取消签名（比如低gas的时候），可以用类似http://revoke.cash这样的软件，最好在交互的时候只允许dapp动用最低限度的资金，不要批准对方动用所有额度。

5. 最好用苹果设备，安全性更高。

6. Telegram Discord Twitter私信一律不要信，比如Telegram可能莫名其妙被拉进一个跟官方很像的群（亲身经历被拉进过高仿的RNDR官方群）

7. 防社会工程式scam，比如群友发的链接（可能群友无心之举）

8. 推特帖子要辨认是否是官方推文，看共同关注好友的数量和质量，查handle @之后的唯一推特账号名字，以及看清楚推文最后一条写到哪里，经常有高仿号在官推最后补上一条假推文并附上钓鱼链接

9. 不要乱点击质押、抽奖类小项目链接（蝇头小利钓鱼）

10. 要做交互一定去官网，不要用谷歌搜索官网网址，从官方推特或者Coingecko标注网站进入官网，多渠道交叉认证（官推账号也有可能被黑，并被黑客附上钓鱼链接）

11. 不要所有资产全部放在一个地方，不管是冷钱包还是哪儿，尤其不要放在一个可能不收你控制的地方（比如中心化交易所not your key not your coin，或者没有离网创建私钥的热钱包如MetaMask，OKX Web3钱包）

12. 使用冷钱包，尤其大额资产，绝对不连接网络，不做任何交互，热钱包里面存放少量资金做交互，冷热分离。

13. 理解助记词的重要性，有助记词就能在任何地方恢复钱包以及里面的资产，坚决不在任何地方输入助记词。

14. 认真保管助记词，不要复制粘贴，不要拍照上传云端备份，在独自一人的环境下（不要被人看到，摄像机，社会工程），手写助记词保存起来，甚至刻在钢板上（防水防火）。拿OKX Web3钱包举例，卸载删除app/换手机的情况下，需要助记词才能恢复钱包，忘了助记词等于丢失所有资产。

15. 创建钱包时，私钥不接触网络最安全，像热钱包比如MetaMask OKX都是触网的，可以配合冷钱包使用

16. 如果是鲸鱼大户，最好用不同公司的多个不同冷钱包，并分开交互钱包和屯币钱包，交互钱包最好也是冷热钱包结合使用的方式。

17. 接上一条，如何挑选冷钱包公司：离网状态下创建助记词，好的tracking record, 知名投资人背书，团队透明，创始人活跃，代码开源，等等。

18. 养成做测试转账的习惯，小额资金转进一个钱包看看能不能转出来，如果因设置不到位导致无法签名转出，则资产归零，仅剩纸面财富。

19. 转账仔细核对每一位地址数字字母，不要只看前几位后几位，或从历史记录/白名单中复制粘贴地址，容易被黑客用0 gas转账记录覆盖之前记录，接而引诱你直接转账给黑客地址。

交易设备一定要装防诈骗软件

核心逻辑：不要乱点链接，不要随便相信能帮你赚钱的信息尤其是质押。如果点了钓鱼链接了怎么办，看看scam sniffer能不能防住，看看只给dapp自定义的交互额度能不能控制损失，看看平时revoke cash清理签名的习惯能不能防住，如果钱包脏了及时转出所有财产不管哪条链。如果这都没防住，那你是否做了屯币和交互冷热分离，如果做了那你只损失了gas或者小额交互资产。所以，真正的精髓不是在于如何防止被黑被钓鱼，因为不可能永远完全保证100%做到的，真正的精髓在于如果不幸被黑之后，通过平时的良好习惯能不能尽量控制和减小损失，能不能保证始终留在牌桌上。