K bezpečnostním incidentům kryptoaktiv dochází často Jak zajistit, aby platforma a aplikace peněženky, kterou používáte, byly bezpečné?

Autor: Mu Mu, lidový blockchain
 
Zabezpečení aktiv bylo vždy běžným a důležitým tématem v šifrovacím průmyslu, nicméně podle lidových pozorování blockchainu, ačkoli je bezpečnostní věda často popularizována, málo lidí věnuje pozornost bezpečnostním otázkám, protože běžná mentalita mnoha lidí je: To je naprostá pravděpodobnost "Tři melouny a dvě rande nejsou na mě." Místo toho si často myslí, že vyhrají v loterii s nižší pravděpodobností.
Ve skutečnosti se s mainstreamingem kryptoaktiv často vyskytují bezpečnostní incidenty zaměřené na jednotlivá uživatelská aktiva Bez ohledu na velké investory nebo drobné investory se tyto incidenty často stávají kolem nás a již nejsou vzácnou událostí.
Takže počínaje nejběžnějšími bezpečnostními incidenty osobních uživatelských aktiv v poslední době se podívejme na bezpečnostní problémy, které s námi úzce souvisejí. Nejdůležitější věc, kterou je třeba nést, je: Jak zajistit, že platforma a peněženka APP jste používání je bezpečné?
01 Jsou „oficiální kanály“ nutně bezpečné?
 
Většina lidí si myslí, že je snadné zajistit bezpečnost platformy a peněženky APP, stačí hledat „oficiální kanály“, že? Ve skutečnosti ne nutně...
1. „Oficiální webové stránky“ vypadají spíše jako oficiální webové stránky než jako oficiální webové stránky Každý ví, že má hledat „oficiální webové stránky“, ale pokud vezmete jako příklad běžné běžné peněženky, můžete okamžitě uvést jejich přesné adresy oficiálních webových stránek? Okamžitě proveďte test „udělejte otázky“:
Většina lidí si může vybrat A a B. Podle každodenní praxe si mnoho lidí bude myslet, že název značky + .com nebo io je oficiální web se „sílou značky“. Ve skutečnosti však mnoho týmů začínalo jako malé podnikatelské týmy v prvních dnech Oficiální název domény zaregistrovaný v té době byl velmi „zakódovaný“ a správná odpověď byla ve skutečnosti C.
Ze stejného důvodu oficiální týmy těchto peněženek možná ani neuvažovaly o registraci ochranných známek, když začínaly... Poté ochrannou známku značky zaregistrovali jiní a jiní pak mohli použít ochrannou známku k nákupu služeb ochrany značky na některých vyhledávačích, a ve výsledcích vyhledávání Je velmi matoucí umístit certifikační štítek „oficiální značka“ nebo služby propagace nákupu vždy na první místo. Stalo se tak pouze v posledních dvou letech. Dosud při hledání „oficiální stránky peněženky xxx“ na některých běžných vyhledávačích jsou výsledky na prvních několika stránkách s největší pravděpodobností falešné.
Tyto „oficiální weby“, které jsou více oficiální než oficiální weby, skutečně „chytily“ mnoho lidí, protože jsou také jednou z metod s nižší cenou a vyšší úspěšností pro hackery. 2. Co když znáte oficiální adresu webu? Mnoho lidí si myslí, že když se ujistíte, že zadáte správný oficiální název domény, stažená aplikace musí být bezpečná. Stále se však dějí věci. V nedávném bezpečnostním incidentu peněženky Bitkeep BitKeep oznámil, že po předběžném vyšetřování týmem existuje podezření, že některá stahování balíčků APK byla unesena hackery a nainstalovány balíčky s kódy implantovanými hackery. Jednoduše řečeno, balíček APK stažený některými uživateli byl během procesu „unesen“ hackery a byl stažen a nainstalován do „peněženky“ speciálně zpracované hackerem Zahrneme jej jako neoficiální „falešnou peněženku“ pro bytí času.
Hlavním důvodem uvedeným v oznámení je „únos“ Vzhledem k tomu, že existuje mnoho „únosových“ metod a odkazů, není zatím jasné, který odkaz způsobil problém, ale můžeme se bavit o tom, jak hackeři obvykle přimějí uživatele jasně zadat „oficiální web“. " Název domény, ale stažený do falešné peněženky: První metodou je použití místního souboru Localhost k ručnímu skriptování počítačového zařízení, které má být vyvoláno, nebo je prostřednictvím zranitelností instalován malware nebo viry. Úpravou souboru místního hostitele Localhost může tato metoda přímo změnit zadaný název domény Ukázáním na IP neoficiálního serveru (jako je „oficiální“ stránka připravená hackery), to znamená, že po otevření prohlížeče a zadání správného názvu domény vstoupíte na webovou stránku poskytovanou hacker a stáhněte si falešnou aplikaci. Druhým způsobem je přímá manipulace se stránkou otevřenou místním prohlížečem nebo aplikací. Když otevřete webové stránky určité platformy nebo stránky peněženky, můžete přímo upravit obsah zobrazený na konkrétní webové stránce prostřednictvím zásuvného modulu prohlížeče, například ukázáním na ikonu. Tlačítko stažení APP na odkaz ke stažení APP Nahraďte adresu adresou připravenou hackerem, nahraďte adresu pro vklad a výběr aktiv hackerovou a také si přečtěte a upravte adresu peněženky nebo soukromý klíč ve schránce. Pokud jde o to, zda má zásuvný modul prohlížeče oprávnění upravovat webovou stránku, s tím si nedělejte starosti, protože takové oprávnění má téměř většina zásuvných modulů prohlížeče Peněženka má také takové povolení… Nedávno došlo k incidentu, kdy lidé, kteří si stáhli nejlepší CEX, zjistili, že i naše běžně používaná falešná APP způsobila výměnu adres pro vklad a výběr, což vedlo ke ztrátě majetku. Třetí typ, vzdálené odcizení DNS, úprava záznamu překladu názvu domény a hackování serveru výrobce APP, jsou problémy, které patří vzdáleným poskytovatelům internetových služeb. Vyskytují se zřídka a náklady a obtížnost jsou také velmi vysoké, ale vyskytují se jsou také prostřednictvím podobné metody „otravy“, která umožňuje název domény, kterou navštívíte, převést na adresu hackera. Kromě toho, pokud je odcizen vlastní účet poskytovatele služeb doménových jmen, což způsobí úpravu překladu názvu domény atd., může to vést k zadání adresy oficiálního webu, ale vstupu na webovou stránku hackerů. Navíc, pokud budou hacknuti samotní výrobci APP, nebudou mít co říct. Toto jsou situace, které nemůžeme ovlivnit.
 
02 Bezpečnostní tipy pro lidový blockchain
Poté, co jsem se dozvěděl, že hackeři mohou napadnout i oficiální stránky, musím si postesknout, že tomu „není možné zabránit“. Co mám tedy dělat? Ve skutečnosti tyto bezpečnostní problémy neexistují pouze v oblasti šifrování V digitálním věku má každá aplikace bezpečnostní problémy, včetně bank a platebních aplikací třetích stran, proto jsme shrnuli na základě předchozí zkušenosti Některé odpovídající bezpečnostní tipy pro vaši referenci: 1. Při použití HTTPS anti-hijacking pro zadání správného oficiálního názvu domény nezapomeňte na začátek názvu domény přidat https://. Je to velmi užitečné URL, pokud existuje riziko lokálního únosu nebo vzdáleného odcizení DNS, obvykle bude nad adresním řádkem prohlížeče "nebezpečné" červené varování a různá varování, jako jsou bezpečnostní rizika stránky. Zjednodušeně řečeno, toto je také jednou z rozšířených aplikací asymetrického šifrování Použití K zabránění únosu se používá asymetrické ověřování zašifrovaných podpisů, aby bylo zajištěno, že přistupujete na oficiální webové stránky.
Zde je odbočka Ve skutečnosti mnoho webových stránek na straně projektu a dokonce i weby DeFi nepoužívají nebo jsou nuceny používat HTTPS k nasazení webových stránek, je to zcela nerozumné. 2. Zkontrolujte hash souboru APK Kvůli některým zvláštním důvodům nemohou domácí uživatelé telefonů Android stahovat aplikace přímo přes Google Play a mohou stahovat pouze instalační balíčky APK K většině falešných bezpečnostních incidentů dochází při výměně souboru APK nebo stažení falešného souboru APK , pak musíme zajistit, aby byl soubor APK oficiálně poskytnut.
Nejprve použijte HTTPS k otevření oficiálního webu a vstupte na stránku ke stažení Opatrní studenti mohou vidět, že některé stránky ke stažení mají obvykle odkaz se slovy „Ověřit zabezpečení aplikace“ nebo SHA256. Odhaduje se, že 80 % lidí nebude číst bezpečnostní výzvy a 90 % lidí nekliklo na ověřovací odkaz, aby si prohlédli obsah a ověřili jej... Po kliknutí na bezpečnostní ověřovací odkaz nebo odkaz SHA256 se nám zobrazí hash hodnota odpovídající oficiálně oznámenému souboru instalačního balíčku APK (pokud jsou v souboru nějaké úpravy, ha Hodnota hash se zcela změní) Po stažení souboru APK spočítáme, že jeho hodnota hash je v souladu s oficiální hodnotou, což znamená, že soubor nebyl nahrazen. Po stažení souboru APK přichází klíčový krok Otevřete webovou stránku antivirové kontroly virustotal.com vlastněnou společností Google a nahrajte soubor APK, který jste právě stáhli, pro porovnání můžeme získat hodnotu hash tohoto souboru a prohledat jej v desítkách virových databází. Ať už soubor nese škodlivý kód apod., dá se říci, že jde o artefakt, který zabije dvě mouchy jednou ranou.
A konečně, pokud chcete být přísnější, měli byste také věnovat pozornost obavám, že hodnota hash a odkaz ke stažení jsou narušeny místními viry a zásuvnými moduly při otevírání stránky pro stahování oficiálních webových stránek. Poté můžete znovu zkontrolovat, zda hodnota hash je konzistentní prostřednictvím prohlížečů v různých prostředích, jako jsou mobilní telefony.
Pokud stránka stahování oficiálního webu peněženky, kterou se chystáte stáhnout, nepodporuje HTTPS, první věc, o které byste měli pochybovat, je, zda se jedná o skutečnou oficiální webovou stránku, pokud navíc neposkytuje ověření hodnoty hash souboru APK, můžete také pochybovat o bezpečnosti tohoto peněženkového týmu, takové opomenutí je velmi nevhodné a nezodpovědné, pečlivě zvažte, zda tuto aplikaci použijete. 3. Jak zkontrolovat, zda jsou aktuálně nainstalovaná platforma a peněženka APP bezpečné? Ve skutečnosti je nejlepším způsobem vstoupit do Android Google Play a IOS AppStore a stáhnout a nainstalovat prostřednictvím stránky stahování na oficiálních webových stránkách, protože teoreticky je bezpečnostní faktor Google a Apple App Store mnohem vyšší než oficiální bezpečnostní faktor. peněženky a jejich platformy mají světový bezpečnostní software nejvyšší úrovně, hardware, talentové rezervy, peněženky nebo platformy nejsou na stejné úrovni jako oni.
Otevřete proto stránky Google Play a AppStore prostřednictvím oficiální stránky pro stahování peněženky a platformy a znovu potvrďte název společnosti vývojáře, objem stahování a objem recenzí (běžné peněženky mají velké objemy, pokud nejsou žádné problémy, můžeme to zvážit). stažená aplikace je v tuto chvíli bezpečná.
Pokud si nejste jisti, zda je balíček apk, který aktuálně používáte k instalaci aplikace, bezpečný, můžete podle předchozích dvou bezpečnostních tipů potvrdit oficiální a ověřit hash a poté jej stáhnout do telefonu, abyste instalaci přepsali. nezapomeňte pomocníka nejprve zálohovat, zapamatujte si slova, abyste předešli chybám v procesu přepisování vedoucím ke ztrátě dat a nemožnosti obnovit peněženku (obecně však přepsání instalace nebo aktualizace aplikací nezpůsobí ztrátu dat). 4. Další návrhy na zabezpečení peněženky Pokud nepoužíváte studené peněženky nebo hardwarové peněženky, a pro ty, kteří mají rádi horké peněženky, je nejbezpečnějším způsobem instalace na zařízení iPhone Za prvé, potřebujete pouze zahraniční ID. t potřebovat všechny potíže Android Za druhé, iPhone je uzamčena bez klíče.
Mnoho běžných zámořských aplikací (jako je Metamask) nepodporuje stahování a instalaci APK samostatně, protože existuje příliš mnoho bezpečnostních problémů. Mnoho výrobců však nemá jinou možnost, než přilákat nové uživatele, a existuje příliš mnoho uživatelů Androidu, kteří by stahování APK otevřeli. Pokud chce Android obejít Chcete-li otevřít soubor APK, potřebujete potřebný software, jako je Google Service Framework (včetně Google Play) a Google Password Verifier V této fázi je z některých důvodů velmi obtížné nainstalovat řešení třetích stran neoficiální zdroje nejsou bezpečné a nejsou dostatečně přesné.
Samozřejmě musíte použít telefon s Androidem Můžete si vybrat některé výrobce, kteří stále nativně podporují rámec Google Family Bucket, jako je například Samsung druhá vrstva zabezpečení, kterou lze dosáhnout Stejně jako telefon Apple má další bezpečnostní účinek, že v případě ztráty není možné odemknout a získat citlivá data.
 
5. Návrhy na platformě APP
Vzhledem k tomu, že většina platforem CEX používá vícenásobné ověření, jsou méně ovlivněny falešnými aplikacemi (které jsou pro hackery obtížnější), ale měli byste také věnovat pozornost potvrzení, zda jsou adresy pro vklad a výběr v aplikaci v souladu s adresami uvedenými na oficiálních webových stránkách. Kromě toho musíte Chcete-li povolit funkci „whitelist“ v rámci platformy, aktiva mohou být zmíněna pouze na bezpečné adrese.
Kromě toho je největším rizikem, kterému platforma CEX čelí, kromě dvou místních únosů a úprav adres pro vkládání a výběry uvedených výše, phishing, protože aplikace, SMS a Google autentifikátor většiny lidí jsou ve skutečnosti nainstalovány na stejném zařízení jako a Výsledkem je, že pokud hacker ovládá nebo monitoruje zařízení, může s největší pravděpodobností ovládat tyto tři informace a ovládat aktiva vaší platformy.
Z bezpečnostních důvodů se proto nedoporučuje provozovat více ověření na jednom zařízení současně. Google Authenticator můžete nainstalovat na jiný zabezpečený mobilní telefon nebo můžete účet platformy provozovat na PC nebo webové stránce PC bez instalace. aplikace v mobilním telefonu To může zabránit jedinému kliknutí „Explode“, aby byla v největší míře chráněna bezpečnost majetku.
 
03 Shrnutí
Zabezpečení není žádná malá záležitost. Vernacular Blockchain věří, že o bezpečnostních otázkách stojí za to mluvit každý den a neustále V každodenních operacích možná stačí věnovat pozornost těmto detailům ještě jednu sekundu a může to zlepšit zabezpečení majetku 99% možnost, proč ne?