Wird Ihr kleiner Fuchs und Ihre imToken-Wallet ins Visier genommen? Angriffe und Phishing, die auf Mainstream-Geldbörsen abzielen, nehmen in großem Umfang zu

In der Branche sind in letzter Zeit verschiedene Vorfälle im Bereich der Wallet-Sicherheit aufgetreten:
Am 18. April verbreitete sich in der Krypto-Community ein Tweet über 5.000 gestohlene ETH-Coins des MetaMask-Wallet-Entwicklers @tayvano_, in dem er glaubte, dass MetaMask eine Sicherheitslücke aufwies, was in der Community Panik auslöste. Am 19. April antwortete MetaMask, dass es falsch sei, dass die Schwachstelle gestohlen worden sei, man untersuche aber die Quelle der Schwachstelle.
Am 20. April erinnerten imToken-Beamte daran, dass Betrüger sich kürzlich als imToken-Beamte ausgegeben und Benutzer kontaktiert haben, indem sie Textnachrichten und andere Methoden verschickten, um Benutzer dazu zu verleiten, gefälschte Websites zu besuchen und mnemonische Phrasen einzugeben, was zu Vermögensverlusten bei den Benutzern führte. Am 21. April sagten SlowMist-Forscher Die Top-Werbung nach der Suche nach „imToken“ bei Google ist eine neue Art von Phishing-Website. Nutzern wird empfohlen, nicht auf den Link zu klicken und vorsichtig zu sein, um Risiken zu vermeiden.
Am 22. April gab Trust Wallet bekannt, dass eine Schwachstelle in den Adressen neuer Wallets bestehe, die zwischen dem 14. und 23. November letzten Jahres erstellt wurden, und dass ein Entschädigungsverfahren für betroffene Benutzer eingerichtet wurde.
Mit der explosionsartigen Zunahme der Nachfrage nach Interaktionen in der Kette wie DeFi und NFT ist die Branche nicht mehr wie in den Anfängen. Der einfache Kauf von Münzen an der CEX und deren Platzierung an der CEX können die Bedürfnisse der meisten Anleger erfüllen sogar alle zusammen werden in der eigenen Wallet aufbewahrt, was auch dazu geführt hat, dass diese Branche zu einem Paradies für Hacker geworden ist. Von Zeit zu Zeit wird berichtet, dass einige Investoren gefälschte Apps aufgrund von Autorisierung herunterladen, private Schlüssel preisgeben oder Schwachstellen in der Wallet selbst haben, die zum Diebstahl ihrer Vermögenswerte führten, stellte sich letztendlich als nichts heraus. Die Gewährleistung der Sicherheit der eigenen Vermögenswerte ist zu einer wesentlichen Fähigkeit in der Branche geworden.
Als Nächstes werden wir umfassend verstehen, wie die Sicherheit von Blockchain-Assets unter verschiedenen Aspekten wie Wallet-bezogenem Wissen, gestohlenen Fällen und Wissen zum Schutz privater Schlüssel geschützt werden kann.
Kenntnisse im Zusammenhang mit Geldbörsen
Bevor Sie die Sicherheit Ihrer Vermögenswerte gewährleisten, müssen Sie über ein gewisses Grundwissen über Geldbörsen in der Branche verfügen, damit Sie besser verstehen, wie Sie Ihre Vermögenswerte schützen können. Als nächstes stellen wir kurz einige verwandte Konzepte vor.
1. Symmetrische Verschlüsselung und asymmetrische Verschlüsselung
Bevor wir den öffentlichen (privaten) Schlüssel verstehen, verstehen wir zunächst kurz die symmetrische Verschlüsselung und die asymmetrische Verschlüsselung in der Kryptographie. Symmetrische Verschlüsselung bedeutet, dass A B über einen bestimmten Algorithmus erhalten kann, und umgekehrt kann B A über denselben Algorithmus entschlüsseln. Hier wird derselbe Algorithmus für die Verschlüsselung und Entschlüsselung verwendet, was bedeutet, dass A über einen bestimmten Algorithmus B erhalten kann , aber B kann nicht mit demselben Algorithmus rückwärts entschlüsselt werden. Für die Verschlüsselung und Entschlüsselung sind hier unterschiedliche Algorithmen erforderlich.
 Wie in der Abbildung gezeigt, besteht der Unterschied zwischen symmetrischer und asymmetrischer Verschlüsselung darin, ob der öffentliche Schlüssel des Nachrichtenempfängers und der private Schlüssel des Nachrichtenempfängers in der Abbildung derselbe Schlüssel sind.
2. Öffentlicher (privater) Schlüssel, mnemonische Phrase, Adresse
Nachdem Sie die symmetrische und asymmetrische Verschlüsselung verstanden haben, können Sie einige grundlegende Konzepte im Zusammenhang mit Wallets besser verstehen.
Schlüsselpaar: Bei der asymmetrischen Verschlüsselung gibt es ein Schlüsselpaar, nämlich den öffentlichen Schlüssel und den privaten Schlüssel. Der öffentliche Schlüssel ist öffentlich und der private Schlüssel ist nicht öffentlich.
Öffentlicher Schlüssel: Wird zum Verschlüsseln von Daten verwendet, die mit dem öffentlichen Schlüssel verschlüsselt wurden. Sie können nur mit dem privaten Schlüssel entschlüsselt werden.
Privater Schlüssel: Der private Schlüssel kann einen öffentlichen Schlüssel generieren, der zum Entschlüsseln der mit dem öffentlichen Schlüssel verschlüsselten Daten verwendet wird.
Adresse: Entspricht dem „öffentlichen Schlüssel“, da der öffentliche Schlüssel zu lang ist, gibt es eine „Adresse“ und die Adresse wird durch den öffentlichen Schlüssel generiert.
Mnemonik: Entsprechend dem „privaten Schlüssel“ wurde eine Reihe von für Menschen lesbaren Wörtern erstellt, um den privaten Schlüssel zu ersetzen, da der private Schlüssel eine zufällig generierte Zeichenfolge ist, die zu lang und schwer zu merken ist, damit Benutzer sich den privaten Schlüssel merken können. , normalerweise 12 unregelmäßige Phrasen. (Privater Schlüssel = mnemonische Phrase)
Bildquellennetzwerk: On-Chain-TransaktionsprozessElektronische Signatur: Für eine bestimmte Information (Sie übertragen 100 Ethereum an jemanden) müssen diese Informationen mit Ihrem privaten Schlüssel signiert und dann an die Blockchain gesendet werden.
Signaturüberprüfung: Der Empfänger kann anhand Ihres öffentlichen Schlüssels überprüfen, ob die Nachricht tatsächlich mit Ihrem privaten Schlüssel signiert ist, also mit dem, was Sie veröffentlicht haben, und dass sich der Transaktionsdatensatz in der Kette befindet. Daher kontrolliert derjenige, der den privaten Schlüssel kontrolliert, die Brieftasche.
Um es einfach zu verstehen: Der öffentliche Schlüssel (Adresse) entspricht Ihrer Kontonummer und der private Schlüssel (mnemonische Phrase) entspricht Ihrer Kontonummer + Passwort (der private Schlüssel kann einen öffentlichen Schlüssel generieren).
Unter Verwendung der Bankkarten-Analogie gilt: öffentlicher Schlüssel = Bankkonto, Adresse = Bankkartennummer, Passwort = Bankkarten-Passwort, privater Schlüssel = Bankkartennummer + Bankkarten-Passwort, Mnemonik = privater Schlüssel = Bankkartennummer + Bankkarten-Passwort, Keystore + Passwort = privater Schlüssel,.
3. Speicherung des privaten Schlüssels (Mnemonik)
Ihre Coins werden nicht in Ihrer Wallet-APP gespeichert, sondern an der Adresse, die dem privaten Schlüssel im Blockchain-Netzwerk entspricht. Solange Sie den privaten Schlüssel haben, können Sie sich über den privaten Schlüssel bei allen Wallets anmelden (diese Wallet unterstützt Sie dabei). Coin-Chain) dient das Wallet nur als Frontend zur Anzeige des Kontoguthabens und speichert nicht Ihren privaten Schlüssel.
Wenn der private Schlüssel verloren geht, bedeutet dies, dass auch Ihr Vermögen verloren geht und nicht über das Wallet abgerufen werden kann. Bei der erstmaligen Registrierung eines Wallets werden Benutzer in der Regel auf der Wallet-Seite darauf hingewiesen. Dies ist völlig anders als bei QQ und WeChat, die wir zuvor verwendet haben. Wenn das Passwort verloren geht, kann es durch die Verifizierung von Mobiltelefonen, Fragen und Freunden überprüft werden. Dies ist natürlich auch der Charme der Blockchain-Dezentralisierung dein eigenes.
4.Wallet-Typen
Je nachdem, ob der private Schlüssel mit dem Internet verbunden ist, können Wallets in Hot Wallets und Cold Wallets unterteilt werden, wie in der Abbildung oben dargestellt.
Hot Wallet: Client-Wallet, Plug-in-Wallet, mobile APP.
Es ist einfach zu verwenden, auch für Anfänger leicht zu bedienen, weist eine relativ hohe Effizienz bei Transaktionsübertragungen auf, weist jedoch eine geringe Sicherheit auf und kann leicht gestohlen werden.
Kalte Geldbörse: Hardware-Geldbörse.
Es verfügt über eine hohe Sicherheit und eignet sich für die Speicherung großer Mengen an Vermögenswerten. Komplexe Erstellung, mühsame Übertragungen, Hardwareschäden oder der Verlust privater Schlüssel können zum Verlust digitaler Vermögenswerte führen.
Aus dem oben Gesagten können wir erkennen, dass der private Schlüssel alles ist und alle unsere Maßnahmen zum Schutz von Vermögenswerten tatsächlich darauf abzielen, den privaten Schlüssel zu schützen, den privaten Schlüssel zu schützen und den privaten Schlüssel zu schützen. (Verhindern Sie, dass der private Schlüssel verloren geht und von anderen erhalten wird.)
Gestohlene Fälle
Nachdem wir die relevanten Konzepte verstanden haben, werfen wir einen Blick auf die derzeit wichtigsten Verlustfälle. Durch die Fälle können wir unsere eigenen Geldbörsen besser schützen.
1. Verlust des privaten Schlüssels (mnemonische Phrase)
Anfang 2021 speicherte Yiren, der Gründer von Making Money Youshu, den privaten Bitcoin-Schlüssel in Cloud Notes, was zum Verlust von achtstelligen Vermögenswerten in BTC führte.
Am 22. November wurden dem Gründer von Fenbushi Capital, Shen Bo, digitale Vermögenswerte im Wert von 42 Millionen US-Dollar gestohlen. Zu den gestohlenen Vermögenswerten gehörten: 38.233.180 USDC, 1.607 ETH, 719.760 USDT und 4,13 BTC. Laut einer späteren Analyse der Sicherheitsagentur Slow Mist wurde der Diebstahl durch das Durchsickern der mnemonischen Phrase verursacht.
2. Der private Schlüssel (mnemonische Phrase) geht verloren
Der britische IT-Ingenieur James Howells verlor 2013 seine Computerfestplatte, auf der sich 8.000 Bitcoins befanden. Neun Jahre später plante er, 74,3 Millionen US-Dollar auszugeben, um auf Schrottplätzen zu wühlen, um die Computerfestplatte wiederzugewinnen.
3. Klicken Sie auf den Virenlink
Ein Benutzer klickte zufällig auf einen von anderen gesendeten Link, was dazu führte, dass Hacker das lokale verschlüsselte Backup von Metamask lasen und alle Vermögenswerte gestohlen wurden.
Twitter KOL klickt auf den von anderen gesendeten privaten Link, wodurch der Twitter-Account gestohlen wird, und veröffentlicht dann giftige Airdrop-Informationen, wobei er das Vertrauen der Fans in den KOL nutzt, um auf den Link zu klicken, um die Vermögenswerte der Fans zu stehlen.
4. Eine willkürliche Autorisierung kann zu Schwachstellen in der Anwendung führen.
Am 2. Oktober gab DEX Transit Swap von Token Pocket offiziell bekannt, dass es einen Hackerangriff erlitten hatte, bei dem Vermögenswerte in Höhe von über 15 Millionen US-Dollar verloren gingen, und erinnerte die Benutzer daran, die Autorisierung zu widerrufen.
Am 11. Oktober behauptete das vom DeBank-Team entwickelte Plug-in-Wallet Rabby, dass sein Swap-Vertrag eine Schwachstelle aufwies, und empfahl den Benutzern, die Rabby-Swap-Autorisierung zu widerrufen. Am Ende verdiente der Hacker mehr als 190.000 US-Dollar.
5. Laden Sie eine gefälschte APP herunter (mit Virensoftware)
Nachdem einige Hacker Benutzerinformationen der Plattform erhalten haben, verbreiten sie Paniknachrichten an Benutzer. Die Plattform ist nicht mehr sicher. Sie müssen auf den Link klicken, um die Anwendung neu zu installieren oder sich beim Konto anzumelden werden gestohlen.
Ein Benutzer hat eine gefälschte Binance-App heruntergeladen und beim Überweisen von Geld an die Adresse einer anderen Person überwiesen, wodurch 5 ETH-Vermögenswerte vollständig verloren gingen.
Aus den oben genannten Fällen können wir ersehen, dass Benutzerressourcen hauptsächlich in den folgenden Situationen gestohlen werden: Verlust privater Schlüssel (Mnemonikphrasen), Verlust privater Schlüssel (Mnemonikphrasen), Klicken auf Virenlinks, willkürliche Autorisierung und Anwendungsschwachstellen verschiedene Situationen wie das Herunterladen einer gefälschten APP (mit Virensoftware).
Lassen Sie uns als Nächstes herausfinden, welche Methoden verwendet werden können, um die oben genannte Situation zu vermeiden.
So vermeiden Sie Sachschäden
1. Speicherung privater Schlüssel (Kern: nicht leicht zu verlieren, nicht leicht zu beschädigen und für andere nicht zugänglich oder verwendbar)
Sichern Sie die Wallet sofort nach der Erstellung, doppelte Sicherung, denn wenn sie einmal verloren ist, kann sie nicht mehr wiederhergestellt werden.
Die mnemonische Phrase wird auf einem Medium gespeichert, das nicht mit dem Internet verbunden ist und nicht so leicht verloren geht oder beschädigt wird, z. B. indem Sie sie auf Papier kopieren und selbst verschlüsseln (durch Hinzufügen oder Entfernen bestimmter Zeichen, um die Speicherung zu erleichtern). nie mit dem Internet verbunden; es gibt einige Wallet-Anbieter, die Eisenplatten im Zusammenhang mit mnemonischen Phrasen verkaufen.
Verwenden Sie ein Cold Wallet (Hardware-Wallet) und wählen Sie ein bekanntes Cold Wallet; kaufen Sie es über offizielle Kanäle und nicht über Kanäle Dritter (Kanäle Dritter können Viren enthalten) und sichern Sie den privaten Schlüssel, um dies zu verhindern dass die Hardware-Wallet verloren geht oder beschädigt wird.
2. Verhindern Sie den Verlust des privaten Schlüssels (mnemonische Phrase).
Kopieren Sie den privaten Schlüssel nicht und fügen Sie ihn nicht ein. Einige Softwareprogramme können die Zwischenablage des Benutzers lesen
Speichern Sie den privaten Schlüssel nicht in der WeChat-Sammlung, übertragen Sie Dateien, Baidu Cloud, Evernote und anderen Online-Plattformen
Teilen Sie niemals Ihren privaten Schlüssel mit. Einige Betrüger geben vor, Ihren privaten Schlüssel zu stehlen.
Kopieren Sie keine privaten Schlüssel und fügen Sie sie nicht ein, wenn Sie öffentliches WLAN nutzen
Um verschiedene Anwendungen herunterzuladen, sollten Sie zu offiziellen Kanälen gehen. Manchmal sind nicht alle Anwendungs-Stores vertrauenswürdig (denken Sie daran, alle) und es gibt gefälschte Anwendungen.
Seien Sie beim Signieren Ihrer Wallet vorsichtig. Denken Sie bei intensiven Nutzern von DeFi-Protokollen und NFT-Interaktionen daran, die Autorisierung rechtzeitig zu widerrufen, um den Diebstahl von Vermögenswerten aufgrund von Schwachstellen in der Anwendung zu verhindern.
Klicken Sie nicht auf Links (Textnachrichten), die von anderen nach Belieben gesendet wurden, laden Sie keine von anderen freigegebenen Dateien herunter und klicken Sie auch nicht nach Belieben auf einige KOL-Links, da diese Viren enthalten können.
Sobald Sie feststellen, dass in Ihrem Wallet ein Vermögensverlust vorliegt, sollten Sie das Wallet so schnell wie möglich aufgeben und kein Risiko eingehen.
Verwenden Sie kein kostenloses VPN
Bleiben Sie auf dem Laufenden und erfahren Sie in Echtzeit mehr über neue gestohlene Informationen
Alle oben genannten Maßnahmen dienen eigentlich dazu, Ihren privaten Schlüssel vor dem Durchsickern zu schützen, nicht Ihren Schlüssel, nicht Ihre Münze!
3. Vermögenswerte werden verstreut platziert
Sie können Ihr eigenes Geld in Wallets und Handelsplattformen verteilen. Obwohl der FTX-Vorfall zu einem Mangel an Vertrauen in zentralisierte Handelsplattformen geführt hat, ist es für die meisten Menschen besser, ihre Vermögenswerte auf einigen wenigen zentralen führenden Handelsplattformen anzulegen, als sie zu halten In ihren eigenen Händen ist es relativ sicherer und bequemer als eine Brieftasche. Solange der Verlust nicht besonders groß ist, können sich mehrere führende Plattformen im Allgemeinen eine Entschädigung leisten.
Bei der Nutzung einer zentralisierten Handelsplattform sind mehrere Punkte zu beachten:
Dreifache Verifizierung aktivieren (Mobiltelefon, E-Mail, zweistufige Verifizierung durch Google)
Aktivieren Sie die Whitelist für Münzabhebungen
Laden Sie die App über offizielle Kanäle herunter
Überprüfen Sie bei der Überweisung, ob die Adresse korrekt ist
Durch das oben genannte verwandte Wissen können unerfahrene Benutzer ein umfassendes Verständnis der relevanten Kenntnisse der Blockchain-Asset-Sicherheit erlangen. Mit der Entwicklung der Blockchain und der Zunahme von On-Chain-Interaktionen wird die Verwendung von Wallets nach und nach zu einer wichtigen Grundkompetenz und verschiedenen Maßnahmen sind eigentlich nicht absolut sicher, aber relativ gesehen können sie es uns ermöglichen, die meisten Fallstricke zu vermeiden. Mit der Entwicklung der Blockchain werden weiterhin neue Probleme auftauchen, die eine weitere Verbesserung unserer eigenen Kenntnisse erfordern.
Kleine Geldbeträge müssen nach der oben genannten Methode nicht gespeichert werden, Sie müssen jedoch vorsichtig und vorsichtig sein, wenn Sie große Positionen speichern, da ein Fehler Ihrerseits dazu führen kann, dass Sie für immer aus dem Blockchain-Zug geworfen werden .