OKX Web3:鏈上防釣魚安全交易指南

2024-04-12 17:04:27

進入新周期,鏈上交互風險隨着用戶活躍度的增加而日益暴露。釣魚者通常會採用假冒錢包網站、竊取社交媒體账號、創建惡意瀏覽器插件、發送釣魚郵件和信息以及發布虛假應用程序等方式,誘使用戶泄露敏感信息,導致資產損失,釣魚形式和場景呈現多樣性、復雜性和隱匿性等特徵。

比如,釣魚者一般通過創建與正規錢包網站外觀相似的假冒網站,誘使用戶輸入其私鑰或助記詞,這些假冒網站通常會使用社交媒體、電子郵件或廣告進行推廣,誤導用戶認為他們正在訪問正規的錢包服務,從而盜取用戶的資產。此外,還有釣魚者可能會利用社交媒體平臺、論壇或即時通訊應用程序,僞裝成錢包客服或社區管理員,向用戶發送虛假消息,要求他們提供錢包信息或私鑰,這種方式利用了用戶對官方的信任,誘使他們泄露私人信息等等。

總之,這些案例突出了釣魚行為對Web3錢包用戶的威脅。為幫助用戶提高Web3錢包使用安全意識,並保護資產安全免受損失, OKX Web3深入社區調研並收集了衆多Web3錢包用戶遭遇過的釣魚事件,從而提煉出用戶最常遇到的 4 大典型釣魚場景,並通過不同場景下的細分案例,採用圖文案例結合的方式,撰寫了Web3用戶該如何進行安全交易的最新指南,供大家學習參考。

惡意信息來源

1、熱門項目推特回復

通過熱門項目推特回復是 惡意信息的主要方式之一, 釣魚推特账號可以從 Logo、名字、認證標識等都做到和官方號一模一樣,甚至連 Follower 數量也可以是幾十 K,而唯一能區別兩者的就是—— 推特 handle(注意相似字符),請用戶務必擦亮眼睛。

 

此外,很多時候,假账號會在官推消息下面故意回復,但回復內容中帶有釣魚鏈接,很容易讓用戶以為是官方鏈接,從而上當受騙。目前,有些官方账號目前在推文中,會增加 End of Tweet 推文,提醒用戶防範後續回復中可能包含釣魚鏈接的風險。

2、盜取官方推特/Discord

為增加可信性,釣魚者還會盜取項目方或者 KOL 的官方推特/Discord,以官方名義發布釣魚鏈接,所以很多用戶很容易上當。比如,Vitalik 的推特账號以及 TON 項目官方推特就曾被盜取,釣魚者借機發布了虛假信息或者釣魚鏈接。

3、谷歌搜索廣告

釣魚者有時會使用谷歌搜索廣告發布惡意鏈接,用戶從瀏覽器顯示的名字看為官方域名,但點擊後跳轉到的鏈接為釣魚鏈接。

4、虛假應用

釣魚者還會通過 虛假應用從而誘導用戶。比如當用戶下載 安裝了釣魚者發布的假錢包,會導致其私鑰泄漏和資產丟失。有釣魚者曾修改過的 Telegram 安裝包,從而改變了接收和發送代幣的鏈上地址,導致了用戶資產的損失。

5、應對措施:OKX Web3錢包支持釣魚鏈接檢測及風險提醒

當前,OKX Web3錢包通過支持釣魚鏈接檢測及風險提醒,為幫助用戶更好地應對上述問題。比如,用戶通過 OKX Web3插件錢包使用瀏覽器訪問網站時,如果該域名為已知惡意域名,則會第一時間收到告警提醒。此外,如果用戶使用 OKX Web3 APP 在 Discover 界面訪問第三方 DAPP 時,OKX Web3錢包將會自動針對域名進行風險檢測,如果其為惡意域名,則會進行攔截提醒,禁止用戶訪問。

錢包私鑰安全

1、進行項目交互或者資格驗證

釣魚者會在用戶在進行項目交互或者資格驗證時候,僞裝成插件錢包彈窗的頁面或者其他任何網頁,要求用戶填寫助記詞/私鑰,這類一般都是都是惡意網站,用戶應該提高警惕意識。

2、冒充項目方客服或者管理員

釣魚者經常會冒充項目方客服或者 Discord 管理員,並提供網址讓用戶輸入助記詞或者私鑰,這種情況說明對方是釣魚者。

3、其他助記詞/私鑰泄漏可能路徑

用戶 助記詞和私鑰泄漏可能路徑有很多, 常見的包括電腦被植入木馬病毒軟件、電腦使用了擼毛用的指紋瀏覽器、電腦使用了遠程控制或代理工具、助記詞/私鑰截圖保存相冊,但被惡意 APP 上傳、備份到雲端,但雲端平臺被入侵、輸入助記詞/私鑰過程被監控、身邊人物理獲取到助記詞私鑰文件/紙 、以及开發人員推送包括私鑰代碼到 Github 等等。

總之,用戶需要安全地存儲和使用助記詞/私鑰,從而更好的保證錢包資產安全。比如,當前作為去中心化的自托管錢包,OKX Web3錢包上线 iCloud/Google Drive 雲端、手動、硬件等多種助記詞/私鑰備份方式,已成長為市面上支持私鑰備份方式較為全面的錢包,為用戶提供較為安全的私鑰存儲方式。在用戶私鑰被盜問題上,OKX Web3錢包已支持 Ledger、 Keystone、Onekey 等較為全面的主流硬件錢包功能,硬件錢包的私鑰存儲在硬件錢包設備裏,由用戶自己掌握,從而保障資產安全。也就是 OKX Web3錢包讓用戶通過硬件錢包安全管理資產的同時,又可以自由參與鏈上代幣交易、NFT 市場和各類 dApp 項目交互等。此外,OKX Web3 錢包現已上线 MPC 無私鑰錢包、以及 AA 智能合約錢包,幫助用戶進一步簡化私鑰問題。

4 大經典釣魚場景

場景 1、竊取主鏈代幣

釣魚者往往會給惡意合約函數起名為 Claim,SeurityUpdate 等具有誘導性名字,而實際函數邏輯為空,從而只轉移用戶主鏈代幣。當前 OKX Web3錢包已上线交易預執行功能,顯示該交易上鏈後資產及授權變化,從而進一步提醒用戶注意安全。另外,如果其交互合約或授權地址為已知惡意地址,則會進行紅色安全提醒。

場景 2、相似地址轉账

當監測到有大額轉账時,釣魚者會通過地址碰撞生成和接收地址首位若幹位相同的地址,利用 transferFrom 進行 0 金額轉账,或利用假 USDT 進行一定金額轉账,污染用戶交易歷史,期望用戶後續轉账從交易歷史拷貝錯誤地址,完成詐騙。

https://www.oklink.com/cn/trx/address/TT3irZR6gVL1ncCLXH3PwQkRXUjFpa9itX/token-transfer

https://tronscan.org/#/transaction/27147fd55e85bd29af31c00e3d878bc727194a377bec98313a79c8ef42462e5f

場景 3、鏈上授權

釣魚者通常會誘導用戶籤署 approve / increaseAllowance / decreaseAllowance / setApprovalForAll 交易,以及升級使用 Create 2 生成預先計算好的新地址,繞過安全檢測,從而騙取用戶授權相關。OKX Web3錢包會針對授權交易進行安全提醒,請用戶注意該交易為授權相關交易,注意風險。另外,如果交易授權地址為已知惡意地址時,會進行紅色信息提醒,避免用戶上當受騙。

場景 4、鏈下籤名

除了鏈上授權外,釣魚者還會通過誘導用戶進行鏈下籤名的方式進行釣魚。比如,ERC 20 代幣授權允許用戶授權給另外一個地址或合約一定額度,被授權地址可以通過 transferFrom 轉移用戶資產,釣魚者就是利用這種特點進行詐騙。當前 OKX Web3錢包正在針對此類場景开發風險提示功能,當用戶籤署離线籤名時,通過解析籤名授權地址,如果命中已知惡意地址,會對用戶進行風險提示。

其他釣魚場景

場景 5、TRON 账號權限

這類場景比較抽象,一般是釣魚者通過獲取用戶 TRON 账號權限來控制其資產 。TRON 账號權限設置和 EOS 類似,分為 Owner 和 Active 權限,並可以設置類似多籤形式進行權限控制,如下權限設置 Owner 門限為 2 ,兩個地址權重分別為 1 和 2 ,第一個地址為用戶地址,權重為 1 無法單獨操作账號。

 

場景 6、Solana 代幣及账號權限

釣魚者通過 SetAuthroity 修改代幣 ATA 账戶 Ownership,相當於代幣轉給了新的 Owner 地址。用戶被該方法釣魚後,資產轉移給釣魚方等等。此外,如果用戶籤署了 Assign 交易,其正常账號的 Owner 將從 System Program 被修改為惡意合約。

場景 7、EigenLayer 調用 queueWithdrawal

由於協議本身的設計機制等問題,也很容易被釣魚者利用。基於以太坊的中間件協議 EigenLayer 的 queueWithdrawal 調用,允許指定其他地址作為 withdrawer,用戶被釣魚籤署了該交易。七天後,指定地址通過 completeQueuedWithdrawal 獲得用戶的質押資產。

探索鏈上世界,安全第一

安全使用Web3錢包是保護資產的關鍵措施,用戶應切實採取預防措施以防範潛在的風險和威脅。可以選擇行業知名的、經過安全審計的 OKX Web3錢包、更安全便捷地探索鏈上世界。

作為行業最先進以及功能最全面的錢包,OKX Web3錢包完全去中心化、且自托管,支持用戶一站式玩轉鏈上應用,現已支持 85+ 公鏈,App、插件、網頁三端統一,涵蓋錢包、DEX、DeFi、NFT 市場、DApp 探索 5 大板塊、並支持 Ordinals 市場、MPC 和 AA 智能合約錢包、兌換 Gas、連接硬件錢包等。此外,用戶還可以通過安全地保護私鑰和助記詞、定期更新錢包應用和操作系統、謹慎處理鏈接和信息以及啓用多重身份驗證功能,從而增加錢包的安全性。

總之,在鏈上世界,資產安全大於一切。

用戶需要謹記這 3 條Web3安全規則:不要在任何網頁填寫助記詞/私鑰、謹慎點擊錢包交易界面 確認按鈕、以及推特/Discord/搜索引擎獲得的鏈接可能是釣魚鏈接。

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。

推薦文章

觀點》Memecoin 是史上最瘋狂的賺錢機器嗎?

我 們要去邁阿密!我們要買藍寶堅尼!來自倫敦的 16 歲大學生 Oliver Szmul 聲音嘶啞...

Foresight News
5 7小時前

鮑爾放鷹「不急降息」比特幣下殺 $86,600、美股全倒,10月PPI顯示通膨仍具黏性

美 國聯準會主席鮑爾在臺灣時間今(15)日清晨於達拉斯的一場活動上釋出鷹派言論,他表示近期美國經濟...

Editor Jr.
5 7小時前

Upbit 加密貨幣交易量遠超韓國股市,市場過熱跡象再現?

自 川普在本月初強勢贏下美國總統大選後,美股和加密貨幣市場紛紛迎來慶祝行情,標普 500 指數一度...

Editor Jr.
5 7小時前

iOS最強AI「視覺智能」,蘋果AI眼鏡的前哨

在 iOS 18.2 Beta 2 上,蘋果 Visual Intelligence(視覺智能)正...

VR陀螺
5 7小時前

Gary Gensler發表“離別演講”,特朗普2.0下的SEC將採取什么加密監管政策?

來源:WilmerHale 原標題:Trump Administration 2.0: How t...

比推BitpushNews
5 7小時前

吳說播客:ACT 喜與悲,有人意外爆賺 200 萬,有人爆發前一天割肉

編輯:吳說區塊鏈 本期播客從 AI Memecoin 投資熱點及近日 ACT 暴漲事件展开,def...

吳說Real
5 7小時前