盜幣事件頻出,關於加密資產保護我們需要知道什么?
如何識別假錢包地址?為什么冷錢包仍然存在被黑客攻擊的風險?這些攻擊是如何發生的?什么樣的人會成為黑客的目標?如何避免此類問題發生?
最近Web3頻繁發生盜幣事件,特別是備受關注的“ 1155 枚 WBTC 被盜事件”,引起了公衆的廣泛關注。加密資產的保護問題也成為了大家關注的焦點。針對這一事件,PoPP 和 OneKey 共同舉辦了一場場 Space 旨在向社區分享關於鏈上安全的問題,幹貨滿滿,給缺乏防範意識的新人們做了一場科普。
嘉賓:
-
PoPP CTO :Neo
-
OneKey Eco head:Cavin
主持:JY
本場 Space 主要圍繞以下幾個問題开展討論:
1、如何識別假錢包地址?
2、Crypto 放在交易所和錢包,哪個更安全?
3、為什么冷錢包仍然存在被黑客攻擊的風險?這些攻擊是如何發生的?
4、什么樣的人會成為黑客的目標?交易避坑/踩坑分享?
5、目前 PoPP 也聚集了很多用戶,關於資產安全這塊是怎么做的呢?
1. 如何識別假錢包地址?
關於如何識別假錢包地址的問題,Cavin 提到了兩種方法。首先是在轉账時仔細校對每一位數字和字母,避免被仿冒。其次,現在的主流的軟件錢包它都有這個地址庫的功能,包括 OKX、OneKey Classic,你可以把你常用的地址可以去放到這個地址庫裏,以便快速選擇正確地址。提醒大家在轉账前務必確保環境安全,避免從交易記錄上面去復制地址。
Neo 在分享中進行了一些其他補充。Neo 分享了他們團隊的一個开發人員,他從來不信任何的熱錢包,他只用他自己節點錢包來進行所有轉账,用 mini 行來控制,當然這種我們普通人是做不到的。普通人可以從以下 4 個方面進行防範:
-
a、首先,確保安全環境,包括網絡、VPN、手機和電腦環境。
-
b、其次,選擇安全設備,如蘋果設備或硬件錢包。
-
毋庸置疑的一個點是可能蘋果的設備它會相對安全點,然後就是一些硬件錢包。當我們必須要 Android 安裝其他一些軟件的時候,建議使用一至兩個主流的錢包即可。如果需要頻繁的導入助記詞的時候避免使用粘貼板。提醒大家不要下載太多錢包,僅在 APP 內進行更新。
-
c、再者,養成良好習慣,確認交易前進行小額測試轉账。建議最好用掃碼的形式向對方轉账,轉账前後彼此進行確認。
-
d、最後,每次轉账後查看區塊鏈瀏覽器確認轉账細節。
-
如果你發現數額不對,或者是目標地址不對,那這個時候是還可以馬上進行補救措施。你還可以馬上去發起一筆新的交易,以更高的 gas 費去把你之前那筆交易給衝掉。還有可能挽回,但是如果一旦你轉出成功了,或者你點了釣魚軟件,就可能真的沒辦法了。
2. Crypto 放在交易所和錢包,哪個更安全?
主持人 JY:
感謝 Neo 和 Cavin 的分享。想問一個問題,交易所和錢包哪個更安全?
Cavin:
從安全等級的角度來看,硬件錢包的安全等級是最高的。雖然硬件錢包的使用門檻和操作難度比熱錢包高一些,但它不像熱錢包那樣方便。
交易所和熱錢包安全性稍差,但應用性很好。建議將一部分資金放在可靠的交易所,如binance/" target="_blank">binance/" target="_blank">binance/" target="_blank">幣安或 OKX,短期內不會出現大問題,但也不能完全信任。
建議在靠譜的交易所放置部分資金,不要放太多。對不常見協議,可以使用新的熱錢包隔離管理。
Neo:
在研技術層面,安全永遠是相對的,沒有絕對安全,只是一個成本問題。
錢包:
如果放在錢包裏,在你不觸網的情況下,它是相對安全的。但是,在你涉及到和其他 dApp 的交互、鏈接的交互比較頻繁之後,在這個過程中你的安全指數就會持續的下降。
交易所:
Crypto 在交易所裏面較比熱錢包而言安全是相對的,交易所沒有單點故障。你去交易、买賣、劃轉都不會造成資產丟失。並且交易所能提供的優勢——賠付的能力。就即便是你在交易所裏面的錢丟了,那交易所是可以進行賠付的。
主持人 JY:例如,我的錢包互動和授權次數多,當我完成 NFT 銷售後,我可以取消之前的授權嗎?
Cavin:是的。如果沒有定期檢查合約授權是否取消的習慣,風險會逐漸增加。
3. 為什么冷錢包仍然存在被黑客攻擊的風險?這些攻擊是如何發生的?
主持人 JY:
明白了。我之前有一個朋友在將資金從 OKX 交易到 OKX 錢包時丟失了 126 萬 USDT,工作人員表示可以凍結兩小時,但後來他提到他的錢之前是存在冷錢包裏的。請問為什么冷錢包仍然存在被黑客攻擊的風險?這些攻擊是如何發生的?
Cavin:
我認為這與冷錢包無關,可能是在資金轉移過程中發生了問題。硬件錢包通常通過在芯片內存儲私鑰或助記詞來保障安全。但當使用硬件錢包時需要聯網,私鑰存儲在瀏覽器緩存或數據文件中,因此容易受到黑客攻擊。
硬件錢包必須與軟件錢包一起使用,籤名過程在硬件錢包完成,您的私鑰自始至終都不會接觸互聯網。
實際上是把這個過程轉移到了物理設備上,它實際上有一個安全芯片(Secure ),通過使用芯片裏面的私鑰完成籤名,籤完名之後它會把這個籤名傳入到軟件錢包,軟件錢包獲得錢包之後會把交易發到鏈上。所以籤名過程是在您不聯網的情況下在硬件錢包上完成的。
若硬件錢包丟失,只需將助記詞導入新硬件錢包即可。然而,存在社會工程學攻擊風險,黑客可能獲取錢包解鎖碼來竊取資產。
硬件錢包設計原則在交易籤名過程中加入二次確認,增加安全性。供應鏈攻擊和內部攻擊也是存在的風險,因此建議購买开源硬件錢包。在保證硬件錢包未被篡改的前提下,即使硬件錢包丟失,資產仍安全。
主持人 JY:
硬件錢包雖需聯網籤名,但並非百分之百安全。如何盡量避免此類情況?是否有其他識別方法?
Cavin:
OneKey 產品已獲得 EAL 6+認證,安全性較高。黑客難以從硬件錢包導出私鑰,暴力破解難度極高。軟件錢包易受網絡攻擊,硬件錢包可隔離此過程。
Neo:
安全是相對的,私鑰體系存在問題。資產管理需謹慎,不要依賴單一設備存儲所有資產。做好備份,不要輕信任何看似安全的設備。我們將提出解決方案,如何更好地管理資產。
4. 什么樣的人會成為黑客的目標?是滿足了什么條件嗎?
主持人 JY:什么樣的人會成為黑客的目標?是滿足了什么條件嗎?
Cavin:
從 1155 個 WBTC 的案例中,我們推測黑客在實施攻擊之前進行了哈希碰撞和模擬地址,採取了廣撒網的方式,大概撒了幾萬個地址。通過交易會議記錄可以發現黑客的習慣動作。用戶需要做好防護措施,包括資金分管、在不同場景中隔離錢包、定期檢查地址授權情況、養成良好的轉账交易習慣。
Neo:
黑客可能通過放置釣魚鏈接等方式無差別盜取資產,包括授權方式、模擬轉账方式、盜取私鑰方式。
黑客也可能針對個人,當發現鏈上資金較多時會發動攻擊,通過社交信息給你發一些鏈接。或者說找你購买 USDT、給你發送郵件、模擬同事等等很多形式進行盜取。 所以要注意不親信任何人,點擊陌生鏈接。
對於項目方,黑客可能會針對合約地址尋找漏洞進行攻擊,項目方需要做好審計和用戶資產校驗。此外,黑客很可能攻擊項目方的客服人員,通過加好友、發送消息等方式入侵電腦,獲取內網信息進行資產盜取。針對企業和持有大額資產的用戶,黑客更可能有組織、有預謀的入侵。 團隊需要進行培訓,建立有效的防範措施。
用戶 A 提問
如何識別和防範網絡釣魚和鏈接這種攻擊呢?
Neo:
第一個,無論手機還是 PC 端,當你不確定這個鏈接是不是有效的時候,你可以利用谷歌瀏覽器的隱私模式或者匿名模式打开這個鏈接。
第二,當你需要在電腦端安裝軟件,我會建議使用像 CMC 這樣的集合。你可以在項目方推特或者聚合平臺公开的網站使用隱私模式訪問,其次,使用一個空錢包鏈接。肉眼去識別官方的地址,一般情況下,官方的域名不很復雜。
Cavin:
補充:你還可以安裝一些安全插件。其次,不建議從谷歌搜索項目網站。
用戶 B 提問
加密資產或者現貨放在交易所是否安全?
Neo:
任何的都是相對的安全交易所,你要看你放到哪個交易所。某些交易所具備一定的賠付能力,即便是你小額資產丟失了,他也可以賠給你,比如binance/" target="_blank">binance/" target="_blank">binance/" target="_blank">幣安。但是合約裏面的資產它有可能確實會消失;現貨有可能沒問題。注意的是小交易所跑路是很正常的,而且小交易所有可能扛不住黑客的攻擊也可能會被盜。建議放在主流的、具備賠付能力的交易所。
5. 目前 PoPP 也聚集了很多用戶,關於資產安全這塊是怎么做的呢?
主持人 JY:目前 PoPP 也聚集了很多用戶,關於資產安全這塊是怎么做的呢?
Neo:
我們將資產安全放在首要位置,以下是我們所採取的幾個重點措施:
首先是整個账號體系的安全管理:
我們目前採用 MPC 方式管理账號體系,並且在 2.0 版本中,即Q2、Q3時,我們將再次進行更新。個人認為目前使用 EOA 账號作為資產管理方式存在一定問題,因此更安全的方式是充分利用 EUA 账號和智能合約账號,將私鑰僅用於籤名目的。此外,將資產和操作隔離开是比較合理的方式。硬件錢包、軟件錢包都可以提高私鑰安全程度。資金安全放在智能合約中是更安全的方式。在账號體系中,我們會使用 MPC 的方案,將私鑰分成三部分以增加安全性。(例如你自己的私鑰泄漏了,或者平臺的私鑰泄露了,都是無法去完成這個籤名過程的。因為還有一部分是給到安全機構的。)
智能合約账戶,分為社交账號和虛擬账號。社交账號使用 ERC-6551 協議儲存社交資產,在交互過程中可以進行多籤和校驗。(當你在交易的時候,如果某一個私鑰泄露了,你可以更換你的私鑰,而不會導致你總的資產丟失。)另外就是熱門的 ERC-4337 的虛擬账號。雖然目前使用場景不是很多,但虛擬账號是一個潛在的發展趨勢,會讓账號體系逐步智能化。目前我們主要使用 ERC-6551 來支持你的社交账號的智能合約化。
其次是交互流程的安全性:
我們注意到更多的資產丟失發生在交互層,因此在 PoPP 2.0 版本中我們將發布社交插件,可以通過該插件訪問項目方信息。當進行交互時,我們的社交插件將識別需要授權費白名單的項目並進行預警提示。此外,通過內置的 DEID 和插件,我們在交互流程中提供隔離層,以保護用戶的資產和社交身份安全。
最後是我們的 AI 信息源:PoPP 會與安全項目方和數據方合作,披露白名單和黑名單信息,幫助用戶獲取安全信息。通過這三個層面,我們致力於保障用戶的資產和社交體驗安全。感謝大家的聆聽。
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。
Virtuals Protocol 生態狂飆》基礎設施幣 G.A.M.E 一週跳漲157%,官方解釋其重要性
過 去 24 小時,加密貨幣市場呈現出不同尋常的走勢:比特幣獨自下跌,而其他山寨幣普遍上漲,似乎預...
MEXC 官方網站新增 17 種支持語言:深耕新興市場,加速全球化佈局
全 球領先的加密貨幣交易平臺 MEXC 今(24)日宣布官方網站新增 17 種支持語言,包括荷蘭語...
日本 DMM Bitcoin 被盜真相:北韓駭客社交攻擊竊取 4502 枚比特幣手法揭祕
日 本持牌加密貨幣交易所 DMM Bitcoin 在今年 5 月 遭到 駭客攻擊,導致 4,502...
本週五「史上最大規模」140億美元比特幣期權到期,小心市場劇烈波動
從 歷史高點到近一月低谷,比特幣在過去一週經歷了過山車行情。 就在不到一週前,比特幣價格衝破 10...
解讀 Messari 加密行業 2025 年展望:比特幣明年會更好,Meme 火熱仍將延續
撰文:Messari 翻譯:深潮 TechFlow 導讀 又是一年末,到了總結與展望的時候。 作為...
星球日報
文章數量
7703粉絲數
0