Autor |. Mu Mu Produkoval |. Lidový blockchain (ID: hellobtc)
Zabezpečení aktiv bylo vždy běžným a důležitým tématem v šifrovacím průmyslu, nicméně podle lidových pozorování blockchainu, ačkoli je bezpečnostní věda často popularizována, málo lidí věnuje pozornost bezpečnostním otázkám, protože běžná mentalita mnoha lidí je: Toto je úplná pravděpodobnost, že na mě není řada, ale často si myslím, že vyhraju v loterii s nižší pravděpodobností, než je tato. Ve skutečnosti, s mainstreamingem kryptografických aktiv, bezpečnosti jednotlivých uživatelských incidentů se stávají často a bez ohledu na to, zda se jedná o velké investory nebo drobné investory, tyto incidenty se většinou dějí kolem nás, takže se pojďme podívat na nejběžnější incidenty zabezpečení osobních uživatelských aktiv v poslední době ty, které s námi úzce souvisejí Pokud jde o otázky zabezpečení, první věc, kterou je třeba nést, je: Jak zajistit, aby platforma a aplikace pro peněženku, kterou používáte, byly bezpečné?
01 Jsou „oficiální kanály“ nutně bezpečné?
Většina lidí si myslí, že je snadné zajistit bezpečnost platformy a peněženky APP, stačí hledat „oficiální kanály“, že? Ve skutečnosti ne nutně... 1. „Oficiální web“ je spíše jako oficiální web než oficiální web Každý ví, že má hledat „oficiální web“, ale vezmeme-li si jako příklad běžné běžné peněženky, můžete je okamžitě uvést jejich přesné adresy oficiálních webových stránek? Okamžitě proveďte test „udělejte otázky“:
Většina lidí si může vybrat A a B. Podle každodenní praxe si mnoho lidí bude myslet, že název značky + .com nebo io je oficiální web se „sílou značky“. Ve skutečnosti však mnoho týmů začínalo jako malé podnikatelské týmy v prvních dnech Oficiální název domény zaregistrovaný v té době byl velmi „zakódovaný“ a správná odpověď byla ve skutečnosti C.
Ze stejného důvodu oficiální týmy těchto peněženek možná ani neuvažovaly o registraci ochranných známek, když začínaly... Poté ochrannou známku značky zaregistrovali jiní a jiní pak mohli použít ochrannou známku k nákupu služeb ochrany značky na některých vyhledávačích, a ve výsledcích vyhledávání Je velmi matoucí umístit certifikační štítek „oficiální značka“ nebo služby propagace nákupu vždy na první místo. Stalo se tak pouze v posledních dvou letech. Dosud při hledání „oficiální stránky peněženky xxx“ na některých běžných vyhledávačích jsou výsledky na prvních několika stránkách s největší pravděpodobností falešné. Tyto „oficiální weby“, které jsou více oficiální než oficiální weby, skutečně „chytily“ mnoho lidí, protože jsou také jednou z metod s nižší cenou a vyšší úspěšností pro hackery. 2. Co když znáte oficiální adresu webu? Mnoho lidí si myslí, že když se ujistíte, že zadáte správný oficiální název domény, stažená aplikace musí být bezpečná. Stále se však dějí věci. V nedávném bezpečnostním incidentu peněženky Bitkeep BitKeep oznámil, že po předběžném vyšetřování týmem existuje podezření, že některá stahování balíčků APK byla unesena hackery a nainstalovány balíčky s kódy implantovanými hackery.
Jednoduše řečeno, balíček APK stažený některými uživateli byl během procesu „unesen“ hackery a byl stažen a nainstalován do „peněženky“ speciálně zpracované hackerem Zahrneme jej jako neoficiální „falešnou peněženku“ pro bytí času. Hlavním důvodem zmiňovaným v oznámení je „únos“ Protože existuje mnoho „únosových“ metod a odkazů, není zatím jasné, který odkaz způsobil problém, ale můžeme mluvit o tom, jak hackeři obvykle přimějí uživatele jasně zadat „oficiální web“. " Název domény, ale stažený do falešné peněženky:
První metodou je úprava souboru Localhost místního hostitele poté, co je vyvoláno PC zařízení používající skript nebo je nainstalován malware nebo viry prostřednictvím zranitelností. Tato metoda může přímo nasměrovat zadaný název domény na IP neoficiálního serveru (např hacker (připravená „oficiální“ stránka), to znamená, že po otevření prohlížeče a zadání přesného názvu domény je webová stránka poskytnutá hackerem a stáhne se falešná aplikace.
Druhým způsobem je přímá manipulace se stránkou otevřenou místním prohlížečem nebo aplikací. Když otevřete webové stránky určité platformy nebo stránky peněženky, můžete přímo upravit obsah zobrazený na konkrétní webové stránce prostřednictvím zásuvného modulu prohlížeče, například ukázáním na ikonu. Tlačítko stažení APP na odkaz ke stažení APP Nahraďte adresu adresou připravenou hackerem, nahraďte adresu pro vklad a výběr aktiv hackerovou a také si přečtěte a upravte adresu peněženky nebo soukromý klíč ve schránce. Pokud jde o to, zda má zásuvný modul prohlížeče oprávnění upravovat webovou stránku, s tím si nedělejte starosti, protože takové oprávnění má téměř většina zásuvných modulů prohlížeče Peněženka má také takové povolení… Nedávno došlo k incidentu, kdy lidé, kteří si stáhli nejlepší CEX, zjistili, že i naše běžně používaná falešná APP způsobila výměnu adres pro vklad a výběr, což vedlo ke ztrátě majetku.
Třetí typ, vzdálené odcizení DNS, úprava záznamu překladu názvu domény a hackování serveru výrobce APP, jsou problémy, které patří vzdáleným poskytovatelům internetových služeb. Vyskytují se zřídka a náklady a obtížnost jsou také velmi vysoké, ale vyskytují se jsou také prostřednictvím podobné metody „otravy“, která umožňuje název domény, kterou navštívíte, převést na adresu hackera. Kromě toho, pokud je odcizen vlastní účet poskytovatele služeb doménových jmen, což způsobí úpravu překladu názvu domény atd., může to vést k zadání adresy oficiálního webu, ale vstupu na webovou stránku hackerů. Navíc, pokud budou hacknuti samotní výrobci APP, nebudou mít co říct. Toto jsou situace, které nemůžeme ovlivnit.
02 Bezpečnostní tipy pro lidový blockchain
Poté, co jsem se dozvěděl, že hackeři mohou napadnout i oficiální stránky, musím si postesknout, že tomu „není možné zabránit“. Co mám tedy dělat? Ve skutečnosti tyto bezpečnostní problémy neexistují pouze v oblasti šifrování V digitálním věku má každá aplikace bezpečnostní problémy, včetně bank a platebních aplikací třetích stran, proto jsme shrnuli na základě Některá odpovídající bezpečnostní opatření jsou pro vaši informaci:
1. Použijte HTTPS, abyste zabránili únosu
Při zadávání správného oficiálního názvu domény nezapomeňte na začátek názvu domény přidat https:// Je to velmi užitečné při otevírání webu, pokud existuje riziko místního únosu nebo vzdáleného únosu DNS být "nebezpečnou" zprávou nad adresním řádkem prohlížeče Konkrétní principy různých varování jako jsou červená upozornění a bezpečnostní rizika stránky Zjednodušeně řečeno, jde také o jednu z rozšířených aplikací asymetrického šifrování zabránit únosu a zajistí, že přístupná osoba je prostřednictvím asymetrického ověření šifrovaných podpisů.
Zde je odbočka Ve skutečnosti mnoho webových stránek na straně projektu a dokonce i weby DeFi nepoužívají nebo jsou nuceny používat HTTPS k nasazení webových stránek, je to zcela nerozumné.
2. Zkontrolujte hash souboru APK
Z některých zvláštních důvodů nemohou domácí uživatelé telefonů Android stahovat aplikace přímo prostřednictvím Google Play a mohou stahovat pouze instalační balíčky APK Většina falešných bezpečnostních incidentů APP se vyskytuje při výměně souboru APK nebo stažení falešného souboru APK abyste se ujistili, že je soubor APK oficiálně poskytnut.
Nejprve použijte HTTPS k otevření oficiálního webu a vstupte na stránku ke stažení Opatrní studenti mohou vidět, že některé stránky ke stažení mají obvykle odkaz se slovy „Ověřit zabezpečení aplikace“ nebo SHA256. Odhaduje se, že 80 % lidí nebude číst bezpečnostní výzvy a 90 % lidí nekliklo na ověřovací odkaz, aby si zobrazili obsah a ověřili jej...
Po kliknutí na odkaz pro ověření zabezpečení nebo odkaz SHA256 se nám zobrazí hodnota hash odpovídající oficiálně oznámenému souboru instalačního balíčku APK (pokud dojde k jakékoli úpravě souboru, hodnota hash se po stažení souboru APK zcela změní, vypočítáme ji Pokud je hash hodnota konzistentní s oficiální, znamená to, že soubor nebyl nahrazen.
Po stažení souboru APK přichází klíčový krok Otevřete webovou stránku antivirové kontroly virustotal.com vlastněnou společností Google a nahrajte soubor APK, který jste právě stáhli, pro porovnání můžeme získat hodnotu hash tohoto souboru a prohledat jej v desítkách virových databází. Ať už soubor nese škodlivý kód apod., dá se říci, že jde o artefakt, který zabije dvě mouchy jednou ranou.
A konečně, pokud chcete být přísnější, měli byste také věnovat pozornost obavám, že hodnota hash a odkaz ke stažení jsou narušeny místními viry a zásuvnými moduly při otevírání stránky pro stahování oficiálních webových stránek. Poté můžete znovu zkontrolovat, zda hodnota hash je konzistentní prostřednictvím prohlížečů v různých prostředích, jako jsou mobilní telefony. Pokud stránka stahování oficiálního webu peněženky, kterou se chystáte stáhnout, nepodporuje HTTPS, první věc, o které byste měli pochybovat, je, zda se jedná o skutečnou oficiální webovou stránku, pokud navíc neposkytuje ověření hodnoty hash souboru APK, můžete také pochybovat o bezpečnosti tohoto peněženkového týmu, takové opomenutí je velmi nevhodné a nezodpovědné, pečlivě zvažte, zda tuto aplikaci použijete.
3. Jak zkontrolovat, zda jsou aktuálně nainstalovaná platforma a peněženka APP bezpečné?
Ve skutečnosti je nejlepším způsobem vstoupit do Android Google Play a IOS AppStore a stáhnout a nainstalovat prostřednictvím stránky stahování na oficiálních webových stránkách, protože teoreticky je bezpečnostní faktor Google a Apple App Store mnohem vyšší než oficiální bezpečnostní faktor. peněženky a jejich platformy mají světový bezpečnostní software nejvyšší úrovně, hardware, talentové rezervy, peněženky nebo platformy nejsou na stejné úrovni jako oni. Otevřete proto stránky Google Play a AppStore prostřednictvím oficiální stránky pro stahování peněženky a platformy a znovu potvrďte název společnosti vývojáře, objem stahování a objem recenzí (běžné peněženky mají velké objemy, pokud nejsou žádné problémy, můžeme to zvážit). stažená aplikace je v tuto chvíli bezpečná. Pokud si nejste jisti, zda je balíček apk, který aktuálně používáte k instalaci aplikace, bezpečný, můžete podle předchozích dvou bezpečnostních tipů potvrdit oficiální a ověřit hash a poté jej stáhnout do telefonu, abyste instalaci přepsali. nezapomeňte pomocníka nejprve zálohovat. Pamatujte na slova zabránit ztrátě dat v důsledku chyb v procesu přepisování a nemožnosti obnovit peněženku (obecně však přepsání instalace nebo aktualizace aplikací nezpůsobí ztrátu dat).
4. Další návrhy na zabezpečení peněženky
Pokud nepoužíváte studené peněženky nebo hardwarové peněženky, a ti, kteří mají rádi horké peněženky, je nejbezpečnější možnost nainstalovat si ji na iPhone Za prvé, potřebujete pouze zahraniční ID a nepotřebujete všechny potíže s Androidem , po uzamčení iPhonu nelze šifrovaná data odemknout bez klíče. Mnoho běžných zámořských aplikací (jako je Metamask) nepodporuje stahování a instalaci APK samostatně, protože existuje příliš mnoho bezpečnostních problémů. Mnoho výrobců však nemá jinou možnost, než přilákat nové zákazníky, a existuje příliš mnoho uživatelů Androidu, kteří by stahování APK otevřeli. Pokud chce Android obejít Chcete-li otevřít soubor APK, potřebujete potřebný software, jako je Google Service Framework (včetně Google Play) a Google Password Verifier V této fázi je z některých důvodů velmi obtížné nainstalovat řešení třetích stran neoficiální zdroje nejsou bezpečné a nejsou dostatečně přesné. Samozřejmě musíte použít telefon s Androidem Můžete si vybrat některé výrobce, kteří stále nativně podporují rámec Google Family Bucket, jako je například Samsung druhá vrstva zabezpečení, kterou lze dosáhnout Stejně jako telefon Apple má další bezpečnostní účinek, že v případě ztráty není možné odemknout a získat citlivá data.
5. Návrhy na platformě APP
Vzhledem k tomu, že většina platforem CEX používá vícenásobné ověření, jsou méně ovlivněny falešnými aplikacemi (které jsou pro hackery obtížnější), ale měli byste také věnovat pozornost potvrzení, zda jsou adresy pro vklad a výběr v aplikaci v souladu s adresami uvedenými na oficiálních webových stránkách. Kromě toho musíte Chcete-li povolit funkci „whitelist“ v rámci platformy, aktiva mohou být zmíněna pouze na bezpečné adrese.
Kromě toho je největším rizikem, kterému platforma CEX čelí, kromě dvou místních únosů a úprav adres pro vkládání a výběry uvedených výše, phishing, protože aplikace, SMS a Google autentifikátor většiny lidí jsou ve skutečnosti nainstalovány na stejném zařízení jako a Výsledkem je, že pokud hacker ovládá nebo monitoruje zařízení, může s největší pravděpodobností ovládat tyto tři informace a ovládat aktiva vaší platformy. Z bezpečnostních důvodů se proto nedoporučuje provozovat více ověření na jednom zařízení současně. Google Authenticator můžete nainstalovat na jiný zabezpečený mobilní telefon nebo můžete účet platformy provozovat na PC nebo webové stránce PC bez instalace. aplikace v mobilním telefonu To může zabránit jedinému kliknutí „Explode“, aby byla v největší míře chráněna bezpečnost majetku.
03 Shrnutí
Zabezpečení není žádná malá záležitost. Vernacular Blockchain věří, že o bezpečnostních otázkách stojí za to mluvit každý den a neustále V každodenních operacích možná stačí věnovat pozornost těmto detailům ještě jednu sekundu a může to zlepšit zabezpečení majetku 99% možnost, proč ne?
KONEC