盜幣事件頻出，關於加密資產保護我們需要知道什么？

如何識別假錢包地址？為什么冷錢包仍然存在被黑客攻擊的風險？這些攻擊是如何發生的？什么樣的人會成為黑客的目標？如何避免此類問題發生？

最近Web3頻繁發生盜幣事件，特別是備受關注的“ 1155 枚 WBTC 被盜事件”，引起了公衆的廣泛關注。加密資產的保護問題也成為了大家關注的焦點。針對這一事件，PoPP 和 OneKey 共同舉辦了一場場 Space 旨在向社區分享關於鏈上安全的問題,幹貨滿滿，給缺乏防範意識的新人們做了一場科普。

嘉賓：

• PoPP CTO ：Neo

• OneKey Eco head：Cavin

主持：JY

本場 Space 主要圍繞以下幾個問題开展討論：

1、如何識別假錢包地址？

2、Crypto 放在交易所和錢包，哪個更安全？

3、為什么冷錢包仍然存在被黑客攻擊的風險？這些攻擊是如何發生的？

4、什么樣的人會成為黑客的目標？交易避坑/踩坑分享？

5、目前 PoPP 也聚集了很多用戶，關於資產安全這塊是怎么做的呢？

1. 如何識別假錢包地址？

關於如何識別假錢包地址的問題，Cavin 提到了兩種方法。首先是在轉账時仔細校對每一位數字和字母，避免被仿冒。其次，現在的主流的軟件錢包它都有這個地址庫的功能，包括 OKX、OneKey Classic，你可以把你常用的地址可以去放到這個地址庫裏，以便快速選擇正確地址。提醒大家在轉账前務必確保環境安全，避免從交易記錄上面去復制地址。

Neo 在分享中進行了一些其他補充。Neo 分享了他們團隊的一個开發人員，他從來不信任何的熱錢包，他只用他自己節點錢包來進行所有轉账，用 mini 行來控制，當然這種我們普通人是做不到的。普通人可以從以下 4 個方面進行防範：

• a、首先，確保安全環境，包括網絡、VPN、手機和電腦環境。

• b、其次，選擇安全設備，如蘋果設備或硬件錢包。

• 毋庸置疑的一個點是可能蘋果的設備它會相對安全點，然後就是一些硬件錢包。當我們必須要 Android 安裝其他一些軟件的時候，建議使用一至兩個主流的錢包即可。如果需要頻繁的導入助記詞的時候避免使用粘貼板。提醒大家不要下載太多錢包，僅在 APP 內進行更新。

• c、再者，養成良好習慣，確認交易前進行小額測試轉账。建議最好用掃碼的形式向對方轉账，轉账前後彼此進行確認。

• d、最後，每次轉账後查看區塊鏈瀏覽器確認轉账細節。

• 如果你發現數額不對，或者是目標地址不對，那這個時候是還可以馬上進行補救措施。你還可以馬上去發起一筆新的交易，以更高的 gas 費去把你之前那筆交易給衝掉。還有可能挽回，但是如果一旦你轉出成功了，或者你點了釣魚軟件，就可能真的沒辦法了。

2. Crypto 放在交易所和錢包，哪個更安全？

主持人 JY：

感謝 Neo 和 Cavin 的分享。想問一個問題，交易所和錢包哪個更安全？

Cavin：

從安全等級的角度來看，硬件錢包的安全等級是最高的。雖然硬件錢包的使用門檻和操作難度比熱錢包高一些，但它不像熱錢包那樣方便。

交易所和熱錢包安全性稍差，但應用性很好。建議將一部分資金放在可靠的交易所，如binance/" target="_blank">binance/" target="_blank">binance/" target="_blank">幣安或 OKX，短期內不會出現大問題，但也不能完全信任。

建議在靠譜的交易所放置部分資金，不要放太多。對不常見協議，可以使用新的熱錢包隔離管理。

Neo：

在研技術層面，安全永遠是相對的，沒有絕對安全，只是一個成本問題。

錢包：

如果放在錢包裏，在你不觸網的情況下，它是相對安全的。但是，在你涉及到和其他 dApp 的交互、鏈接的交互比較頻繁之後，在這個過程中你的安全指數就會持續的下降。

交易所：

Crypto 在交易所裏面較比熱錢包而言安全是相對的，交易所沒有單點故障。你去交易、买賣、劃轉都不會造成資產丟失。並且交易所能提供的優勢——賠付的能力。就即便是你在交易所裏面的錢丟了，那交易所是可以進行賠付的。

主持人 JY：例如，我的錢包互動和授權次數多，當我完成 NFT 銷售後，我可以取消之前的授權嗎？

Cavin：是的。如果沒有定期檢查合約授權是否取消的習慣，風險會逐漸增加。

3. 為什么冷錢包仍然存在被黑客攻擊的風險？這些攻擊是如何發生的？

主持人 JY：

明白了。我之前有一個朋友在將資金從 OKX 交易到 OKX 錢包時丟失了 126 萬 USDT，工作人員表示可以凍結兩小時，但後來他提到他的錢之前是存在冷錢包裏的。請問為什么冷錢包仍然存在被黑客攻擊的風險？這些攻擊是如何發生的？

Cavin：

我認為這與冷錢包無關，可能是在資金轉移過程中發生了問題。硬件錢包通常通過在芯片內存儲私鑰或助記詞來保障安全。但當使用硬件錢包時需要聯網，私鑰存儲在瀏覽器緩存或數據文件中，因此容易受到黑客攻擊。

硬件錢包必須與軟件錢包一起使用，籤名過程在硬件錢包完成，您的私鑰自始至終都不會接觸互聯網。

實際上是把這個過程轉移到了物理設備上，它實際上有一個安全芯片（Secure ），通過使用芯片裏面的私鑰完成籤名，籤完名之後它會把這個籤名傳入到軟件錢包，軟件錢包獲得錢包之後會把交易發到鏈上。所以籤名過程是在您不聯網的情況下在硬件錢包上完成的。

若硬件錢包丟失，只需將助記詞導入新硬件錢包即可。然而，存在社會工程學攻擊風險，黑客可能獲取錢包解鎖碼來竊取資產。

硬件錢包設計原則在交易籤名過程中加入二次確認，增加安全性。供應鏈攻擊和內部攻擊也是存在的風險，因此建議購买开源硬件錢包。在保證硬件錢包未被篡改的前提下，即使硬件錢包丟失，資產仍安全。

主持人 JY：

硬件錢包雖需聯網籤名，但並非百分之百安全。如何盡量避免此類情況？是否有其他識別方法？

Cavin：

OneKey 產品已獲得 EAL 6+認證，安全性較高。黑客難以從硬件錢包導出私鑰，暴力破解難度極高。軟件錢包易受網絡攻擊，硬件錢包可隔離此過程。

Neo：

安全是相對的，私鑰體系存在問題。資產管理需謹慎，不要依賴單一設備存儲所有資產。做好備份，不要輕信任何看似安全的設備。我們將提出解決方案，如何更好地管理資產。

4. 什么樣的人會成為黑客的目標？是滿足了什么條件嗎？

主持人 JY：什么樣的人會成為黑客的目標？是滿足了什么條件嗎？

Cavin:

從 1155 個 WBTC 的案例中，我們推測黑客在實施攻擊之前進行了哈希碰撞和模擬地址，採取了廣撒網的方式，大概撒了幾萬個地址。通過交易會議記錄可以發現黑客的習慣動作。用戶需要做好防護措施，包括資金分管、在不同場景中隔離錢包、定期檢查地址授權情況、養成良好的轉账交易習慣。

Neo:

黑客可能通過放置釣魚鏈接等方式無差別盜取資產，包括授權方式、模擬轉账方式、盜取私鑰方式。

黑客也可能針對個人，當發現鏈上資金較多時會發動攻擊，通過社交信息給你發一些鏈接。或者說找你購买 USDT、給你發送郵件、模擬同事等等很多形式進行盜取。 所以要注意不親信任何人，點擊陌生鏈接。

對於項目方，黑客可能會針對合約地址尋找漏洞進行攻擊，項目方需要做好審計和用戶資產校驗。此外，黑客很可能攻擊項目方的客服人員，通過加好友、發送消息等方式入侵電腦，獲取內網信息進行資產盜取。針對企業和持有大額資產的用戶，黑客更可能有組織、有預謀的入侵。 團隊需要進行培訓，建立有效的防範措施。

用戶 A 提問

如何識別和防範網絡釣魚和鏈接這種攻擊呢？

Neo：

第一個，無論手機還是 PC 端，當你不確定這個鏈接是不是有效的時候，你可以利用谷歌瀏覽器的隱私模式或者匿名模式打开這個鏈接。

第二，當你需要在電腦端安裝軟件，我會建議使用像 CMC 這樣的集合。你可以在項目方推特或者聚合平臺公开的網站使用隱私模式訪問，其次，使用一個空錢包鏈接。肉眼去識別官方的地址，一般情況下，官方的域名不很復雜。

Cavin:

補充：你還可以安裝一些安全插件。其次，不建議從谷歌搜索項目網站。

用戶 B 提問

加密資產或者現貨放在交易所是否安全？

Neo：

任何的都是相對的安全交易所，你要看你放到哪個交易所。某些交易所具備一定的賠付能力，即便是你小額資產丟失了，他也可以賠給你，比如binance/" target="_blank">binance/" target="_blank">binance/" target="_blank">幣安。但是合約裏面的資產它有可能確實會消失；現貨有可能沒問題。注意的是小交易所跑路是很正常的，而且小交易所有可能扛不住黑客的攻擊也可能會被盜。建議放在主流的、具備賠付能力的交易所。

5. 目前 PoPP 也聚集了很多用戶，關於資產安全這塊是怎么做的呢？

主持人 JY：目前 PoPP 也聚集了很多用戶，關於資產安全這塊是怎么做的呢？

Neo:

我們將資產安全放在首要位置，以下是我們所採取的幾個重點措施：

首先是整個账號體系的安全管理：

我們目前採用 MPC 方式管理账號體系，並且在 2.0 版本中，即Q2、Q3時，我們將再次進行更新。個人認為目前使用 EOA 账號作為資產管理方式存在一定問題，因此更安全的方式是充分利用 EUA 账號和智能合約账號，將私鑰僅用於籤名目的。此外，將資產和操作隔離开是比較合理的方式。硬件錢包、軟件錢包都可以提高私鑰安全程度。資金安全放在智能合約中是更安全的方式。在账號體系中，我們會使用 MPC 的方案，將私鑰分成三部分以增加安全性。（例如你自己的私鑰泄漏了，或者平臺的私鑰泄露了，都是無法去完成這個籤名過程的。因為還有一部分是給到安全機構的。）

智能合約账戶，分為社交账號和虛擬账號。社交账號使用 ERC-6551 協議儲存社交資產，在交互過程中可以進行多籤和校驗。（當你在交易的時候，如果某一個私鑰泄露了，你可以更換你的私鑰，而不會導致你總的資產丟失。）另外就是熱門的 ERC-4337 的虛擬账號。雖然目前使用場景不是很多，但虛擬账號是一個潛在的發展趨勢，會讓账號體系逐步智能化。目前我們主要使用 ERC-6551 來支持你的社交账號的智能合約化。

其次是交互流程的安全性：

我們注意到更多的資產丟失發生在交互層，因此在 PoPP 2.0 版本中我們將發布社交插件，可以通過該插件訪問項目方信息。當進行交互時，我們的社交插件將識別需要授權費白名單的項目並進行預警提示。此外，通過內置的 DEID 和插件，我們在交互流程中提供隔離層，以保護用戶的資產和社交身份安全。

最後是我們的 AI 信息源：PoPP 會與安全項目方和數據方合作，披露白名單和黑名單信息，幫助用戶獲取安全信息。通過這三個層面，我們致力於保障用戶的資產和社交體驗安全。感謝大家的聆聽。

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播信息之目的，不構成任何投資建議，如有侵權行為，請第一時間聯絡我們修改或刪除，多謝。