今天TP錢包上面transit閃兌服務鬧得沸沸揚揚,黑客已盜上億資金,我們在web3傲游的同時如何保障資金和隱私安全?
看完本篇你應該不會再被盜了吧!
一、你所有的操作都有泄露隱私的風險
網絡世界的安全問題實際上一直縈繞從所有人的頭上。
關于安全的知識龐雜而又繁瑣,我們首先要掌握一個原則,計算機世界里,幾乎沒有安全的地方,甚至你的每一步操作都有泄露隱私的風險。
之前也有很多人做過這方面的科普,但要么過于簡單、要么過于復雜。這篇文章里,我準備用最簡單、易懂的語言,讓盡可能多的人讀懂。
具體來說,我們需要關注的安全問題應該包括一下幾個方面:情緒控制、web3錢包的使用、設備的使用、個人隱私保護。
二、情緒是你最大的敵人
這里我繼續說一下自己stepn鞋子差點被盜的經歷,希望對大家會有一些警示作用。前不久我弄了一雙stepn鞋子想給家人使用,由于鞋子始終不能正常運行,無法獲得gst。我每天通過郵件和Discord與官方客服交流,但始終沒解決問題。這時我因為一直無法賺到gst變得有些焦慮,在無意中發現有Stepn的“客服”通過私信與我交流。客服表示這個問題是由于服務器維護導致的,只要提供賬號郵箱和驗證碼確認身份就能解決問題。?
重點來了,由于國內很多服務都是需要提供驗證碼以驗證本人身份,加上郵件上只寫了”completeverication”而沒有提示驗證碼具體的作用,特別是自己也已經很焦慮。收到驗證碼后,我沒想太多復制了驗證碼。所幸在我按下“回車”的那一刻突然清醒過來,”WewillneverDMyou”這句discord名言突然在腦中回響,我立即停止了所有的操作。然后來到stepn的服務器驗證,發現所謂的”客服“果然是騙子。
SVB:任命William Kosturos為重組業務主管:金色財經報道,SVB金融集團表示,任命William Kosturos為重組業務主管。[2023/3/14 13:02:09]
可謂是騙子聚集地,項目方一般都會有明顯的提示
回過神來,才發現一雙價值幾千刀的鞋子就這么差點被“客服“騙走,真是兇險萬分。后來我看了許多安全方面的資料。發現焦慮和傲慢這兩種情緒是我們在區塊鏈世界最大的敵人。
1、焦慮
大部分人都像我一樣,來到區塊鏈世界是為了賺錢的。但只要涉及到金錢,難免會產生fomo、焦慮的情緒,例如前幾天GAL首發的時候有人以200刀的價格入場,又如有的NFT玩家在開盤前被騙到了假的網站mint……
總之,焦慮是所有投資人的大忌,一旦與錢打交道的時候,一定要想辦法保持冷靜。
2、傲慢
與焦慮相反的一面是傲慢。許多人認為自己是行業大佬,上知區塊鏈技術下知匯編語言,熟知各類騙術,怎么可能會被騙?但恰恰是這樣的傲慢,才會屬于防范,前不久就發生過DefianceCapital創始人ArthurCheong錢包被盜的事件。據報道,ArthurCheong只是中了一個最常見的攻擊方式:打開了郵件里帶有病的文件。
所謂“驕兵必敗”,不少人的事業在處于上升階段的時會以為自己總是對的那一個,忽略了很多其他方面的問題,等到災難降臨的時候已經一切歸零。
三、如何安全使用web3錢包
前面是從人性的角度講述可能的攻擊手段,現在我們從大家最關心的錢包安全開始,說一些大家最關心的問題。
1、冷錢包、熱錢包、交易所
我們的代幣有三個地方可以存放。其中以冷錢包最為安全,如Ledger。對于大多數人來說,只要做好密碼保護和雙重驗證,交易所實際上會比熱錢包更安全;我們的熱錢包因為時刻在鏈上,一旦發生錯誤的授權,資產就很容易被轉移。
美聯儲3月保持利率不變的概率為32.1%:金色財經報道,據CME“美聯儲觀察”:美聯儲3月保持利率不變的概率為32.1%,加息25個基點至4.75%-5.00%區間的概率為67.9%,加息50個基點至5.00%-5.25%區間的概率已降至0%;到5月累計加息50個基點的概率為55.2%,累計加息75個基點至5.25%-5.50%區間的概率為24.2%,累計加息100個基點至5.50%-5.75%區間的概率為0%。[2023/3/14 13:02:05]
2、USDT的潛在風險
很多人以為USDT很安全,其實USDT是由Tether公司管理的,一旦被認為是黑錢,Tether可以輕松凍結這一筆錢。所以遇到不明來源的USDT最好還是小心點。同理,需要注意的是USDC,也是會被凍結的。
3、錢包的各類交互操作。
先說一個大家最容易犯錯的地方,就是簽名。一般認為簽名不涉及授權,不會有操作風險,但是遇到非明文寫下的簽名,還是有安全隱患的,好在現在metamask都會用紅字提示。
除簽名外,最常用的一個功能是授權。這決定了你授權了對方某個幣種可以自由使用的額度,一般來說像常用的Uniswap這類的DEX比較安全,但是一旦遇到新的項目要求你無限轉賬額度的授權,就一定要小心了。黑客們最喜歡用的一招就是讓你在焦慮、興奮、沮喪等情緒下,將你騙到一個假冒網站,讓你無意中將授權交給他。
這里提供一些查詢和授權的網站,仔細檢查一些是否有不明來源的授權,這對你很重要
https://bscscan.com/tokenapprovalchecker
https://hecoinfo.com/tokenapprovalchecker
https://polygonscan.com/tokenapprovalchecker
Justin Sun::將推出Huobi Hong Kong,已申請交易牌照:金色財經報道,Huobi 全球顧問委員會成員 Justin Sun 在社交平臺發文表示,Huobi 宣布在香港申請加密貨幣交易牌照,將持續致力于以合規和規范的方式運營。新牌照將能夠擴展其向香港客戶提供的服務和產品,提供更廣泛的加密貨幣交易和投資選擇。
同時,Huobi 還在香港推出了一個新的交易平臺 Huobi Hong Kong,該交易平臺將完全遵守當地法規,并為客戶提供一系列交易和服務。[2023/2/20 12:17:44]
https://snowtrace.io/tokenapprovalchecker
https://cronoscan.com/tokenapprovalchecker
https://revoke.cash/?擴展錢包Rabby?https://rabby.io/
近期還有一種偽裝成NFT的erc1155協議。黑客會將做一個與你錢包里同名的NFT,然后空投給你,一旦你在指定的網站上授權掛單,黑客就可以轉移對應的NFT,十分危險。所以不要隨便使用不明來源的空投。
Mint主要用于鑄造NFT,一般來說不會有什么風險。不過要確定自己mint的網站不是黑客偽造的,這類事件時有發生。偽裝的網站經常會把mint改為一個授權協議,如果在fomo的情緒中mint,很有可能沒注意協議導致誤授權。有的騙子很直白,會直接要求你sendeth給他……
4、其他錢包
很多人對ETH錢包的相關操作了如指掌,以為可以輕松駕馭其他的錢包。實際上,其他鏈的錢包更不安全。因為你對新的公鏈肯定不如對ETH了解那么深,公鏈和錢包在設計邏輯上也會存在bug,所以交互的時候應該更加小心,不要隨意使用陌生的網站進行陌生的交互。
淘寶小程序接入Cocos游戲引擎,探索電商元宇宙:12月5日,據Cocos引擎官方消息,近日,Cocos推出社區版,實現對淘寶平臺的支持。內容開發者和商家使用社區版CocosCreator,即可輕松實現將游戲一鍵發布至淘寶購物平臺。
這是繼Cocos和阿里淘寶開放平臺(TaobaoOpenPlatform,簡稱TOP)聯合舉辦的2022淘寶開放生態創新大賽之后,雙方的又一次合作。(鞭牛士)[2022/12/5 21:23:48]
慢霧創始人余弦就提到過一個SOL案例。攻擊者批量給用戶空投?NFT?,用戶通過空投?NFT?描述內容里的鏈接進入目標網站,連接錢包?(上圖2),點擊頁面上的?“Mint”,出現批準提示框?(上圖?3)。注意,此時的批準提示框并沒有什么特別提示,當批準后,該錢包里的所有?SOL?都會被轉走。這里面有兩個坑需要注意:a)惡意合約在用戶批準?(Approve)?后,可以轉走用戶的原生資產?(SOL),這點在以太坊上是不可能的。以太坊的授權釣魚釣不走以太坊的原生資產?(ETH),但可以釣走其上的?Token。于是這里就存在?“常識違背”現象,導致用戶容易掉以輕心。
b)Solana最知名的錢包?Phantom?在?“所見即所簽”?安全機制上存在缺陷?(其他錢包沒測試),沒有給用戶完備的風險提醒。這非常容易造成安全盲區,導致用戶丟幣。
5、NFT
NFT很熱,相關的騙局也很多,比如:a)從傳統app彈出通知將你引到某NFT項目——好項目是不需要通過web2的方式來引流的。b)社區不斷地討論如何維護地板價——崩盤前奏。c)Discord上頻繁踢人、禁言——這是項目方沒有自信的表現。
CryptoPunks系列NFT 24小時交易額達8773 ETH:6月19日消息,據 OpenSea 數據顯示,CryptoPunks 系列 NFT 24 小時交易額達 8773 ETH,增幅為892.89%,排 OpenSea 站內 24 小時交易額榜單首位。另據 NFTGo.io 數據顯示,截止發稿,該系列地板價為 61.75 ETH,24 小時漲幅 24.87%。[2022/6/19 4:38:34]
d)沒有審計——雖然審計了也不一定安全,例如說被CertiK審計但卻登上REKTlist的那些項目;但不審計肯定危險,尤其是加disclaimer的那種,例如SpaceLoot
e)頻繁出現漏洞——比如gas過高,mint方式不合理
f)假冒NFT——許多新手會被誘騙買到假冒的NFT,所謂的假冒可能是仿冒了某個已經存在的NFT產品,也可能是謊稱由某知名藝術家制作,或者謊稱擁有某知名藝術家的授權發布的產品,因此購買NFT前最好多來源確認產品的合規性。
6、網站前端安全
網站不安全,一般是發生在以下幾種情況中:a)?HTTP肯定是不安全的——必須確保你使用的網站帶有HTTPS,HTTP網站的傳輸是未加密的,你的所有信息都有可能被黑客看到。b)被他人的信息帶入釣魚網站——不僅要警惕陌生人,有時候熟人也有可能由于早就被誤導,導致發送錯誤的鏈接給你,還有的時候是群聊中的朋友,一時輕信了某些消息,無意中傳播了釣魚網站。
c)官方網站被黑——這比較難防范,你能做的只有一直保持警覺,留意公告再三確認自己進入的網站是否安全。
7、剪貼板安全
剪貼板的風險主要在于被其他應用讀取你的個人信息,然后組成一套完整的個人檔案,獲得密碼或者錢包密鑰/助記詞。我對剪貼板做了一些查證,獲取了一下信息:a)幾乎所有的手機app都會讀取你的剪貼板,所以真的不能在手機上復制密鑰。b)谷歌近年來對chrome的插件做了很多限制,除非被破解或者用戶主動安裝來源不明的插件,否則插件是無法讀取剪貼板的,這個基本可以放心。
c)電腦上的各種軟件也有讀取剪貼板的可能,所以復制信息的時候要小心。
8、關于使用錢包的一些安全建議
a)不要復制,也不要使用網絡傳輸私鑰、助記詞。萬不得已時,蘋果用戶可使用隔空投送,其他用戶可使用telegramb)大額資產使用獨立的錢包c)新項目開始前,如果感到危險,可新建立一個錢包去參與d)對不明來源的空投保持警惕,騙子常常在nft上刻下釣魚網站的網址,將你誘騙到危險的地方
e)對每一次錢包的操作都保持警惕
四、設備安全
行走web3.0,保持設備與保證錢包安全同樣重要。
1、手機和電腦的操作系統應該保持更新并開啟自動更新,特別是不要使用停止維護的系統,比如win7。
善用windows安全中心可以保持良好的使用習慣2、不要使用root過的安卓手機,小品牌的安卓手機風險也很高,必須使用官方市場的app,最好是用googleplay,蘋果手機相對來說更安全。3、電腦上不要安裝不明來源的軟件,特別是國產軟件,幾乎沒有下限。4、虛擬機是個好東西,對于不明來源的文件可以嘗試使用虛擬機打開。現在win10就自帶虛擬機,具體使用可參照微軟官方文檔但一定要注意,有的黑客很厲害,能夠意識到自己正在“matrix”當中,會主動尋求跳出虛擬機的方法。5、瀏覽器和錢包必須保持更新。6、Wifi是最容易被監聽的渠道。永遠不要使用外面的wifi,自己家的路由器也要經常檢查,防止被監聽。如果不懂如何檢查,最好保存好相關的信息后每隔一段時間重置一次。7、你的SIM卡也不一定安全,黑客可以偽造一個相同的sim卡獲得你的信息。所以最好不要在網絡上炫富,更不要暴露真實身份,這會帶來很多麻煩。8、如果迫不得已要通過網絡傳輸密鑰,身邊的設備可以使用隔空投送功能,網絡傳輸建議Telegram,可以最大限度地避免被竊取。
9、出于不可名狀的原因,本人不建議任何人使用那個被大力推廣的反詐XXX。
五、社會工程學攻擊
黑客除了會尋找軟硬件上存在的漏洞,還會尋找用戶有意無意流露出來的信息,制造社會工程學攻擊。
1、密碼
不知大家是否知道,我們大多數的web2網站都被入侵過,甚至有的網站對密碼根本就沒有加密,網管可以隨意讀取,所以絕對不要把你使用過的密碼用在跟資產有關的地方。建議設置好幾套密碼,分別在不同的網絡和環境下使用,尤其是涉及到大額資金的密碼,必須使用包括大寫、小寫字母、數字、符號的10位以上的密碼,且不能含有生日這種容易被猜到的信息。對于一些不熟悉的軟件和網站,也可以單獨使用一套密碼,避免跟其他已知安全的軟件和網站混肴。
這里有個小建議,如果擔心記不住密碼,你可以使用一串數字為你的生日“加密”。例如,如果你的生日是19901202,你可以錯位加上一串家人的生日,像是19901202+05008210,然后再附上一些字母和符號,黑客沒法猜到經過你自己“加密”的密碼。
2、郵件釣魚
郵件或是其他聊天程序傳來的不明文件詐騙雖然很土,但依舊奏效,如果遇到必須打開的情況,可以按上文的方式,在虛擬機中打開。
3、不要輕信任何客服
這在上文已經提過多次,不重復了。
4.個人信息
Web3.0的個人信息除了包括生日、電話、家庭住址等,還應包括你的錢包地址,主資產錢包應該跟社交錢包絕對隔離,特別對于擼毛黨,如果你不想被舉報,一定不能泄露你的地址。你看,我的地址YouAirdrop.ETH里面什么都沒有:)
除了線上的隱私外,最好不要在生活中透露自己是個搞傳銷區塊鏈的,除了能避免很多誤會外,還能盡量避免被熟悉你的人通過你的個人信息進行撞庫攻擊。
關于社會工程學的知識可以再出一個專題,我們之惡要知道不要隨意泄露個人隱私就好了,如果想了解更多的信息,可以去知乎的這個問答下看看:
#結語
這篇文章中我們總結了沖浪Web3.0時的應對各種黑客攻擊的方式,但道高一尺魔高一丈,黑客們已經開始熟練地將各種攻擊組合在一起,完成更隱蔽、傷害更大的進攻。只有不斷提高警覺,才能免于受到黑客的侵害。大致來說,我們可以把握以下幾個原則:1、保持健康的情緒2、錢包交互的時候一定要看清楚內容3、密鑰、助記詞不能復制,應離線保存4、確保各項設備安全,并一直保持更新5、不要相信主動找你的“客服”,也不要隨意打開不明來源的文件,靈活使用虛擬機6、線上和線下都不要泄露個人隱私和資產
網絡安全是一個很龐雜的問題,本文難免有遺漏的地方,還請諒解。
Aptos最有意思的點,并不在于吹上天際的16萬TPS的交易并行模式BlockSTM,而在于它的每個區塊里沒有交易的原始數據.
1900/1/1 0:00:00各位朋友們早上好,我們將持續更新幣圈每日行情分析,為大家提供有價值的信息。昨日老嚴給出的全網公開單是大餅19600-19800,老嚴自己也是在19621的空單進場,姨太給出的是1380-1360.
1900/1/1 0:00:00質押和CCIP即將推出,這兩項重要變化會給Chainlink帶來什么? 撰寫:Lo 編譯:深潮TechFlow自推出以來,Chainlink已經成為DeFi的一個基本組成部分.
1900/1/1 0:00:00總部位于香港的咨詢公司FirstDigital入選畢馬威和匯豐銀行2022年亞太地區新興巨頭名單.
1900/1/1 0:00:00上周XRP迎來強勢反彈,在過去7天內最高漲幅達到60%,跑贏市值前百大的加密貨幣,很多XRP鯨魚大戶伺機而動,但有客戶向必查客爆料,在幣安大額交易XRP時,出現高達260%的滑點現象.
1900/1/1 0:00:00這兩天XEN特別火,看了看代碼,相對比較簡單。這篇文章就來結合文檔來解讀一下合約代碼,僅做學習交流用。對于玩法還不熟悉的朋友可以先看看我昨天發的推文.
1900/1/1 0:00:00