原文作者:YourAirdrop.ETH
Twitter:@YourAirdropETH
“
今天 TP 钱包上面 transit 闪兑服务闹得沸沸扬扬,黑客已盗上亿资金,我们在 web3 傲游的同时如何保障资金和隐私安全?
看完本篇你应该不会再被盗了吧!
本篇文章开始前,笔者首先要感谢慢雾、Secure3.io、Panews、区块律动、web3caff 以及推特大佬@jason_chen998。为了保护我的钱包,笔者翻阅他们提供的大量盗窃案例和安全教程,以及与 Secure3 的朋友简单交流之后,才写出这篇文章。
这是一篇关于 Web3 钱包及个人设备安全的指引,希望大家可以在遨游区块链世界的时候,免受攻击,守住自己的财产。
之所以写下这篇文章,是因为我作为一个从小学就开始学编程用电脑的老鸟,前不久自己也差点被骗走一双 stepn 的鞋子。这才意识到,安全问题离我们每个人都很近。
一、你所有的操作都有泄露隐私的风险
关于安全的知识庞杂而又繁琐,我们首先要掌握一个原则,计算机世界里,几乎没有安全的地方,甚至你的每一步操作都有泄露隐私的风险。
具体来说,我们需要关注的安全问题应该包括一下几个方面:情绪控制、web3 钱包的使用、设备的使用、个人隐私保护。
二、情绪是你最大的敌人
重点来了,由于国内很多服务都是需要提供验证码以验证本人身份,加上邮件上只写了”complete verication”而没有提示验证码具体的作用,特别是自己也已经很焦虑。收到验证码后,我没想太多复制了验证码。所幸在我按下“回车”的那一刻突然清醒过来,”We will never DM you”这句 discord 名言突然在脑中回响,我立即停止了所有的操作。然后来到 stepn 的服务器验证,发现所谓的”客服“果然是骗子。
1、焦虑
总之,焦虑是所有投资人的大忌,一旦与钱打交道的时候,一定要想办法保持冷静。
2、傲慢
所谓“骄兵必败”,不少人的事业在处于上升阶段的时会以为自己总是对的那一个,忽略了很多其他方面的问题,等到灾难降临的时候已经一切归零。
三、如何安全使用 web3 钱包
前面是从人性的角度讲述可能的攻击手段,现在我们从大家最关心的钱包安全开始,说一些大家最关心的问题。
1、冷钱包、热钱包、交易所
我们的代币有三个地方可以存放。其中以冷钱包最为安全,如 Ledger。对于大多数人来说,只要做好密码保护和双重验证,交易所实际上会比热钱包更安全;我们的热钱包因为时刻在链上,一旦发生错误的授权,资产就很容易被转移。
2、USDT 的潜在风险
很多人以为 USDT 很安全,其实 USDT 是由 Tether 公司管理的,一旦被认为是黑钱,Tether 可以轻松冻结这一笔钱。所以遇到不明来源的 USDT 最好还是小心点。同理,需要注意的是 USDC,也是会被冻结的。
3、钱包的各类交互操作。
先说一个大家最容易犯错的地方,就是签名(sign)。一般认为签名不涉及授权,不会有操作风险,但是遇到非明文写下的签名,还是有安全隐患的,好在现在 metamask 都会用红字提示。
这里提供一些查询和授权的网站,仔细检查一些是否有不明来源的授权,这对你很重要
https://bscscan.com/tokenapprovalchecker
https://hecoinfo.com/tokenapprovalchecker
https://polygonscan.com/tokenapprovalchecker
https://snowtrace.io/tokenapprovalchecker
https://cronoscan.com/tokenapprovalchecker
Mint 主要用于铸造 NFT,一般来说不会有什么风险。不过要确定自己 mint 的网站不是黑客伪造的,这类事件时有发生。伪装的网站经常会把 mint 改为一个授权协议,如果在 fomo 的情绪中 mint,很有可能没注意协议导致误授权。有的骗子很直白,会直接要求你 send eth 给他……
4、其他钱包
很多人对 ETH 钱包的相关操作了如指掌,以为可以轻松驾驭其他的钱包(犯了前文提到的自傲的错)。实际上,其他链的钱包更不安全。因为你对新的公链肯定不如对 ETH 了解那么深,公链和钱包在设计逻辑上也会存在 bug,所以交互的时候应该更加小心,不要随意使用陌生的网站进行陌生的交互。
b)Solana 最知名的钱包 Phantom 在 “所见即所签” 安全机制上存在缺陷 (其他钱包没测试),没有给用户完备的风险提醒。这非常容易造成安全盲区,导致用户丢币。
5、NFT
d) 没有审计(这一点其他非NFT项目也是一样的)——虽然审计了也不一定安全,例如说被CertiK审计但却登上REKT list的那些项目;但不审计肯定危险,尤其是加disclaimer的那种,例如SpaceLoot
f)假冒NFT——许多新手会被诱骗买到假冒的NFT,所谓的假冒可能是仿冒了某个已经存在的NFT产品,也可能是谎称由某知名艺术家制作,或者谎称拥有某知名艺术家的授权发布的产品,因此购买NFT前最好多来源确认产品的合规性。
6、网站前端安全
c)官方网站被黑——这比较难防范,你能做的只有一直保持警觉,留意公告再三确认自己进入的网站是否安全。
7、剪贴板安全
c)电脑上的各种软件也有读取剪贴板的可能,所以复制信息的时候要小心。
8、关于使用钱包的一些安全建议
e)对每一次钱包的操作都保持警惕
四、设备安全
1、手机和电脑的操作系统应该保持更新并开启自动更新,特别是不要使用停止维护的系统,比如win 7。
9、出于不可名状的原因,本人不建议任何人使用那个被大力推广的反诈XXX。
五、社会工程学攻击
黑客除了会寻找软硬件上存在的漏洞,还会寻找用户有意无意流露出来的信息,制造社会工程学攻击。
1、密码
这里有个小建议,如果担心记不住密码,你可以使用一串数字为你的生日“加密”。例如,如果你的生日是 19901202,你可以错位加上一串家人(如 19500821)的生日,像是 19901202+05008210,然后再附上一些字母和符号,黑客没法猜到经过你自己“加密”的密码。
2、邮件钓鱼
邮件或是其他聊天程序传来的不明文件诈骗虽然很土,但依旧奏效,如果遇到必须打开的情况,可以按上文的方式,在虚拟机中打开。
3、不要轻信任何客服
这在上文已经提过多次,不重复了。
4.个人信息
Web3.0 的个人信息除了包括生日、电话、家庭住址等,还应包括你的钱包地址,主资产钱包应该跟社交钱包绝对隔离(即不能有互相转账的纪录等),特别对于撸毛党,如果你不想被举报,一定不能泄露你的地址。你看,我的地址YouAirdrop.ETH里面什么都没有:)
关于社会工程学的知识可以再出一个专题,我们之恶要知道不要随意泄露个人隐私就好了,如果想了解更多的信息,可以去知乎的这个问答下看看:
# 结语
网络安全是一个很庞杂的问题,本文难免有遗漏的地方,还请谅解。
欢迎大家关注我的个人推特@YourAirdropETH
谢谢你的时间。
声明:请读者严格遵守所在地法律法规,本文不代表任何投资建议。
原文链接:
https://mirror.xyz/yourairdrop.eth/4O6NtFj76yCXmcs5NE5nLvvrUyc2HZBYmzpxcPXrRhk
7up DAO
关于我们
7upDAO 是一个 Web3 投研社区,致力于分享 Web3 前沿动态,深度分析各赛道热点话题。社区聚集了大量的 Web3 投资人、创业者、工程师、产品经理、艺术家...
微信群:加微信 seven7upDAO 入群
Twitter:@7upDAO
Discord:https://discord.gg/7updao
【免责声明】市场有风险,投资需谨慎。本文不构成投资建议,用户应考虑本文中的任何意见、观点或结论是否符合其特定状况。据此投资,责任自负。
