Los incidentes de seguridad de los criptoactivos ocurren con frecuencia ¿Cómo garantizar que la plataforma y la APP de billetera que utilizas sean seguras?

Autor: Mu Mu, blockchain vernácula
La seguridad de los activos siempre ha sido un tema común e importante en la industria del cifrado. Sin embargo, según las observaciones vernáculas de blockchain, aunque la ciencia de la seguridad a menudo se populariza, no mucha gente realmente presta atención a los problemas de seguridad, porque la mentalidad común de muchas personas es: " Esto es completamente probable: "Tres melones y dos dátiles no son mi turno", sino que a menudo piensan que definitivamente será su turno de ganar en una lotería con una probabilidad menor que ésta.
De hecho, con la generalización de los criptoactivos, los incidentes de seguridad que afectan a los activos de usuarios individuales ocurren con frecuencia. Independientemente de si son grandes inversores o inversores minoristas, estos incidentes ocurren a menudo a nuestro alrededor y ya no son un evento raro.
Entonces, partiendo de los incidentes de seguridad de activos de usuarios personales más comunes recientemente, echemos un vistazo a los problemas de seguridad que están estrechamente relacionados con nosotros. Lo más importante que debe soportar es: Cómo garantizar que su plataforma y aplicación de billetera sean correctas. ¿El uso es seguro?
01 ¿Son los “canales oficiales” necesariamente seguros?
 
La mayoría de la gente piensa que es fácil garantizar la seguridad de la plataforma y la aplicación de billetera. Simplemente busque los "canales oficiales", ¿verdad? De hecho, no necesariamente...
1. El “sitio web oficial” se parece más a un sitio web oficial que a un sitio web oficial. Todo el mundo sabe que debe buscar un “sitio web oficial”, pero tomando como ejemplo las billeteras comunes, ¿puede enumerar de inmediato las direcciones exactas de sus sitios web oficiales? Inmediatamente prueba de "hacer las preguntas":
La mayoría de la gente puede elegir A y B. Según la práctica diaria, muchas personas pensarán que la marca + .com o el sufijo io es el sitio web oficial con "fuerza de marca". Sin embargo, de hecho, muchos equipos comenzaron como pequeñas empresas. equipos en los primeros días, el nombre de dominio oficial registrado en ese momento estaba muy "codificado" y la respuesta correcta era en realidad C.
Por la misma razón, es posible que los equipos oficiales de estas billeteras ni siquiera hayan considerado registrar marcas cuando comenzaron... Luego, la marca fue registrada por otros, y luego otros pudieron usar la marca para comprar servicios de protección de marca en algunos motores de búsqueda. y en los resultados de búsqueda resulta muy confuso poner siempre la etiqueta de certificación “oficial de marca” o servicios de promoción de compra en el primer lugar. Esto sucedió solo en los últimos dos años. Hasta ahora, al buscar "sitio web oficial de xxx wallet" en algunos motores de búsqueda principales, lo más probable es que los resultados de las primeras páginas sean falsos.
Estos "sitios web oficiales" que son más oficiales que los sitios web oficiales realmente han "atrapado" a muchas personas, porque también son uno de los métodos con menor costo y mayor tasa de éxito para los piratas informáticos. 2. ¿Qué pasa si conoces la dirección del sitio web oficial? Mucha gente piensa que al asegurarse de ingresar el nombre de dominio oficial correcto, la aplicación que descargue debe ser segura. Sin embargo, todavía suceden cosas. En el reciente incidente de seguridad de la billetera Bitkeep, BitKeep anunció que después de una investigación preliminar por parte del equipo, se sospecha que algunos piratas informáticos secuestraron algunas descargas de paquetes APK e instalaron paquetes con códigos implantados por piratas informáticos. En pocas palabras, el paquete APK descargado por algunos usuarios fue "secuestrado" por piratas informáticos durante el proceso y fue descargado e instalado en una "billetera" especialmente procesada por el pirata informático. Incluyémoslo como una "billetera falsa" no oficial para el. de momento.
La razón principal mencionada en el anuncio es el "secuestro". Dado que existen muchos métodos y enlaces de "secuestro", aún no está claro qué enlace causó el problema, pero podemos hablar de cómo los piratas informáticos suelen hacer que un usuario ingrese claramente al "sitio web oficial". "Nombre de dominio, pero descargado en una billetera falsa: el primer método es usar el archivo Localhost local para programar manualmente el dispositivo de PC para inducirlo o instalar malware o virus a través de vulnerabilidades. Al modificar el archivo Localhost del host local, este método puede cambie directamente el nombre de dominio especificado Apuntando a la IP de un servidor no oficial (como la página "oficial" preparada por piratas informáticos), es decir, después de abrir el navegador e ingresar el nombre de dominio exacto, accederá al sitio web proporcionado por el hacker y descargue la aplicación falsa. El segundo método es manipular directamente la página abierta por el navegador o la aplicación local. Cuando abre ciertos sitios web de la plataforma o páginas de billetera, puede modificar directamente el contenido que se muestra en la página web específica a través del complemento del navegador, como apuntar al. Botón de descarga de la APLICACIÓN al enlace de descarga de la APLICACIÓN Reemplace la dirección con la dirección preparada por el pirata informático, reemplace la dirección de depósito y retiro de activos con la del pirata informático y también lea y modifique la dirección de la billetera o la clave privada en el portapapeles. En cuanto a si el complemento del navegador tiene permiso para modificar la página web, no se preocupe, porque casi la mayoría de los complementos del navegador tienen ese permiso. Si observa con atención, encontrará que incluso nuestro Little Fox de uso común. Wallet también tiene ese permiso... No hace mucho, hubo un incidente en el que las personas que descargaron el CEX superior descubrieron que incluso nuestra aplicación falsa de uso común provocó que se reemplazaran las direcciones de depósito y retiro, lo que resultó en la pérdida de activos. El tercer tipo, el secuestro remoto de DNS, la modificación del registro de resolución de nombres de dominio y el pirateo del servidor del fabricante de aplicaciones, son problemas que pertenecen a proveedores remotos de servicios de Internet. Rara vez ocurren y el costo y la dificultad también son muy altos, pero ocurren y. También utilizan un método similar de "envenenamiento" que permite que el nombre de dominio que usted visita se resuelva en la dirección del hacker. Además, si se roba la cuenta del proveedor de servicios de nombres de dominio del proveedor de servicios, lo que provoca que se modifique la resolución del nombre de dominio, etc., puede resultar en ingresar al sitio web oficial pero ingresar al sitio web del pirata informático. Además, si los propios fabricantes de APP son hackeados, no tendrán nada que decir. Son situaciones que no podemos controlar.
 
02 consejos de seguridad para blockchain vernácula
Después de enterarme de que los piratas informáticos pueden incluso secuestrar sitios web oficiales, tengo que lamentar que sea "imposible de evitar". De hecho, estos problemas de seguridad no solo existen en el campo del cifrado. En la era digital, cualquier aplicación tiene problemas de seguridad, incluidas las aplicaciones de pago de bancos y de terceros. Por lo tanto, las hemos resumido en función de ellas. Experiencia pasada. Algunos consejos de seguridad correspondientes para su referencia: 1. Cuando utilice el antisecuestro HTTPS para ingresar el nombre de dominio oficial correcto, asegúrese de agregar https:// al principio del nombre de dominio. En la URL, si existe riesgo de secuestro local o de DNS remoto, generalmente habrá una advertencia roja "insegura" encima de la barra de direcciones del navegador y varias advertencias, como riesgos de seguridad de la página. El principio específico no se explicará en detalle. También es una de las aplicaciones más extendidas del cifrado asimétrico. Uso Para evitar el secuestro, se utiliza la verificación asimétrica de firmas cifradas para garantizar que se accede a páginas web oficiales.
De hecho, muchos sitios web del lado del proyecto e incluso sitios web DeFi no usan o se ven obligados a usar HTTPS para implementar sitios web. Esto es completamente irrazonable. 2. Verifique el hash del archivo APK. Debido a algunas razones especiales, los usuarios nacionales de teléfonos Android no pueden descargar aplicaciones directamente a través de Google Play y solo pueden descargar paquetes de instalación de APK. La mayoría de los incidentes de seguridad de aplicaciones falsas ocurren cuando se reemplaza el APK o se descarga el APK falso. , entonces debemos asegurarnos de que el APK se proporcione oficialmente.
Primero, use HTTPS para abrir el sitio web oficial e ingrese a la página de descarga. Los estudiantes cuidadosos pueden ver que algunas páginas de descarga generalmente tienen un enlace con las palabras "Verificar la seguridad de la aplicación" o SHA256. Se estima que el 80% de las personas no leerán el. mensajes de seguridad, y el 90% de las personas no han hecho clic en el enlace de verificación para ver el contenido y verificarlo... Después de hacer clic en el enlace de verificación de seguridad o el enlace SHA256, veremos el valor hash correspondiente al archivo del paquete de instalación APK anunciado oficialmente. (Si hay alguna modificación en el archivo, ha El valor hash cambiará por completo. Después de descargar el archivo APK, calculamos que su valor hash es consistente con el oficial, lo que significa que el archivo no ha sido reemplazado. Después de descargar el APK, llega el paso clave: abra el sitio web de comprobación de virus virustotal.com propiedad de Google y cargue el archivo APK que acaba de descargar. Podemos obtener el valor hash de este archivo para compararlo y buscarlo en docenas de bases de datos de virus. Ya sea que el archivo contenga código malicioso, etc., se puede decir que es un artefacto que mata dos pájaros de un tiro.
Finalmente, si desea ser más riguroso, también debe prestar atención a la preocupación de que el valor hash y el enlace de descarga sean manipulados por virus y complementos locales al abrir la página de descarga del sitio web oficial. Luego puede verificar si. el valor hash es consistente a través de navegadores en diferentes entornos, como teléfonos móviles.
Si la página de descarga del sitio web oficial de la billetera que está a punto de descargar no admite HTTPS, lo primero que debe dudar es si es el sitio web oficial real. Además, si no proporciona verificación del valor hash del archivo APK, También puede dudar de la seguridad de este equipo de billetera. Actitud, tal omisión es muy inapropiada e irresponsable. Considere cuidadosamente si desea utilizar esta aplicación. 3. ¿Cómo comprobar si la plataforma y la aplicación de billetera actualmente instaladas son seguras? De hecho, la mejor manera es ingresar a Google Play de Android y AppStore de IOS para descargar e instalar a través de la página de descarga del sitio web oficial, porque en teoría, el factor de seguridad de Google y Apple App Store es mucho más alto que el factor de seguridad oficial. de la billetera, y sus plataformas tienen el software, hardware, reservas de talento, billeteras o plataformas de seguridad de primer nivel del mundo que no están al mismo nivel que ellos.
Por lo tanto, abra las páginas de Google Play y AppStore a través de la página de descarga del sitio web oficial de la billetera y la plataforma y vuelva a confirmar el nombre de la empresa del desarrollador, el volumen de descarga y el volumen de revisión (las billeteras convencionales tienen grandes volúmenes, si no hay problemas, podemos considerarlo). la aplicación descargada es segura en este momento.
Si no está seguro de si el paquete apk que está utilizando actualmente para instalar una aplicación es seguro, puede seguir los dos consejos de seguridad anteriores para confirmar el oficial y verificar el hash y luego descargarlo a su teléfono para sobrescribir la instalación. No olvide hacer una copia de seguridad del asistente primero. Recuerde las palabras para evitar la pérdida de datos debido a errores en el proceso de sobrescritura y la imposibilidad de restaurar la billetera (pero generalmente sobrescribir la instalación o actualizar las aplicaciones no causará pérdida de datos). 4. Otras sugerencias sobre la seguridad de la billetera Si no usa billeteras frías o billeteras de hardware, y aquellos a quienes les gustan las billeteras activas, la forma más segura es instalarlas en un dispositivo iPhone. En primer lugar, solo necesita una identificación en el extranjero y no. No necesita todas las molestias de Android. En segundo lugar, el iPhone está bloqueado. Los datos post-cifrados no se pueden desbloquear sin la clave.
Muchas aplicaciones extranjeras convencionales (como Metamask) no admiten la descarga e instalación de APK por sí solas porque hay demasiados problemas de seguridad. Sin embargo, muchos fabricantes no tienen más remedio que atraer nuevos usuarios y hay demasiados usuarios de Android para abrir las descargas de APK. Si Android quiere omitir Para abrir un APK, necesita el software necesario, como Google Service Framework (incluido Google Play) y Google Password Verifier. En esta etapa, es muy difícil instalarlo por algunas razones. La gente busca son fuentes no oficiales, no son seguras ni son lo suficientemente rigurosas.
Por supuesto, debe usar un teléfono Android. Puede elegir algunos fabricantes que aún admitan de forma nativa el marco de Google Family Bucket, como Samsung. Además, puede instalar la billetera en un dispositivo que admita una carpeta segura que admita el aislamiento del chip de seguridad. una segunda capa de seguridad, que puede lograr como un teléfono Apple, tiene el efecto de seguridad adicional de no poder desbloquear ni obtener datos confidenciales en caso de pérdida.
 
5. Sugerencias sobre la plataforma APP
Dado que la mayoría de las plataformas CEX utilizan verificaciones múltiples, se ven menos afectadas por aplicaciones falsas (que son más difíciles para los piratas informáticos), pero también debe prestar atención para confirmar si las direcciones de depósito y retiro en la aplicación son consistentes con las proporcionadas en el sitio web oficial. Además, debe Para habilitar la función de "lista blanca" dentro de la plataforma, los activos solo se pueden mencionar en una dirección de lista blanca segura.
Además, el mayor riesgo que enfrenta la plataforma CEX, además de los dos secuestros locales y la modificación de las direcciones de depósito y retiro mencionados anteriormente, es el phishing, porque la aplicación, los SMS y el autenticador de Google de la mayoría de las personas están instalados en el mismo dispositivo. Como resultado, siempre que un pirata informático controle o supervise un dispositivo, lo más probable es que pueda controlar estos tres datos y controlar los activos de su plataforma.
Por lo tanto, por razones de seguridad, no se recomienda realizar múltiples verificaciones en un dispositivo al mismo tiempo. Puede instalar Google Authenticator en otro teléfono móvil seguro o puede operar la cuenta de la plataforma en una PC o en una página web de PC sin instalar. la aplicación en el teléfono móvil. Esto puede evitar un solo clic en "Explotar" para proteger la seguridad de los activos en la mayor medida posible.
 
03 Resumen
La seguridad no es un asunto menor. Vernacular Blockchain cree que vale la pena hablar de los problemas de seguridad todos los días y todo el tiempo en las operaciones diarias, tal vez solo se necesite un segundo más para prestar atención a estos detalles, y puede mejorar la seguridad de los activos. 99% de posibilidades, ¿por qué no?