¿Están siendo atacados su pequeño zorro y su billetera imToken? Los ataques y el phishing dirigidos a carteras convencionales se están disparando a gran escala

Recientemente han surgido varios incidentes de seguridad de billeteras en la industria:
El 18 de abril, un tweet sobre 5,000 monedas ETH robadas por el desarrollador de billetera MetaMask @tayvano_ circuló ampliamente en la comunidad criptográfica, creyendo que MetaMask tenía una vulnerabilidad, lo que causó pánico en la comunidad. El 19 de abril, MetaMask respondió que era falso que la vulnerabilidad fuera robada, pero estaba estudiando el origen de la vulnerabilidad.
El 20 de abril, los funcionarios de imToken recordaron que los estafadores recientemente se hicieron pasar por funcionarios de imToken y se pusieron en contacto con los usuarios mediante el envío de mensajes de texto y otros métodos para inducir a los usuarios a visitar sitios web falsos e ingresar frases mnemotécnicas, lo que provocó que los usuarios sufrieran pérdidas de activos. El 21 de abril, dijeron los investigadores de SlowMist. El anuncio principal después de buscar "imToken" en Google es un nuevo tipo de sitio web de phishing. Se recomienda a los usuarios no hacer clic en el enlace y tener cuidado para evitar riesgos.
El 22 de abril, Trust Wallet emitió un anuncio de que había una vulnerabilidad en las direcciones de las nuevas billeteras creadas del 14 al 23 de noviembre del año pasado y se creó un proceso de compensación para los usuarios afectados.
Con la explosión de la demanda de interacción en cadenas como DeFi y NFT, la industria ya no es como en los primeros días. Simplemente comprar monedas en CEX y colocarlas en CEX puede satisfacer las necesidades de la mayoría de los inversores. Incluso todos los tokens se guardan en la propia billetera, lo que también ha provocado que esta industria se convierta en un paraíso para los piratas informáticos. De vez en cuando, se informa que algunos inversores descargan aplicaciones falsas debido a autorización, filtran claves privadas o tienen vulnerabilidades. en la propia billetera, lo que resultó en el robo de sus activos, pero al final resultó ser nada. Garantizar la seguridad de sus propios activos se ha convertido en una habilidad esencial en la industria.
A continuación, comprenderemos de manera integral cómo proteger la seguridad de los activos de blockchain desde varios aspectos, como el conocimiento relacionado con la billetera, los casos de robo y el conocimiento de la protección de claves privadas.
Conocimientos relacionados con la billetera
Antes de garantizar la seguridad de sus activos, debe tener ciertos conocimientos básicos sobre las billeteras en la industria para poder comprender mejor cómo proteger sus activos. A continuación, presentamos brevemente algunos conceptos relacionados.
1. Cifrado simétrico y cifrado asimétrico
Antes de comprender la clave pública (privada), primero comprendamos brevemente el cifrado simétrico y el cifrado asimétrico en criptografía. El cifrado simétrico significa que A puede obtener B a través de un determinado algoritmo y, a su vez, B puede descifrar A a la inversa mediante el mismo algoritmo. Aquí, se utiliza el mismo algoritmo para el cifrado y el descifrado asimétrico significa que A puede obtener A a través de un determinado algoritmo. B, pero B no se puede descifrar a la inversa utilizando el mismo algoritmo. Aquí se requieren algoritmos diferentes para el cifrado y descifrado.
 Como se muestra en la figura, la diferencia entre el cifrado simétrico y el cifrado asimétrico radica en si la clave pública del destinatario del mensaje y la clave privada del destinatario del mensaje en la figura son la misma clave.
2. Clave pública (privada), frase mnemotécnica, dirección
Después de comprender el cifrado simétrico y el cifrado asimétrico, podrá comprender mejor algunos conceptos básicos relacionados con las billeteras.
Par de claves: en el cifrado asimétrico, hay un par de pares de claves, a saber, la clave pública y la clave privada. La clave pública es pública y la clave privada no es pública.
Clave pública: se utiliza para cifrar datos. Los datos cifrados con la clave pública solo se pueden descifrar utilizando la clave privada.
Clave privada: la clave privada puede generar una clave pública, que se utiliza para descifrar datos cifrados por la clave pública.
Dirección: correspondiente a la "clave pública", debido a que la clave pública es demasiado larga, hay una "dirección" y la dirección es generada por la clave pública.
Mnemónico: correspondiente a la "clave privada", debido a que la clave privada es una cadena generada aleatoriamente que es demasiado larga y difícil de recordar, se creó un conjunto de palabras legibles por humanos para reemplazar la clave privada para ayudar a los usuarios a recordar la clave privada. , normalmente 12 frases irregulares. (Clave privada = frase mnemotécnica)
Red de origen de imágenes: proceso de transacción en cadenaFirma electrónica: para una determinada información (transfiere 100 Ethereum a alguien), esta información debe firmarse con su clave privada y luego transmitirse a la cadena de bloques.
Verificación de firma: el extremo receptor puede verificar a través de su clave pública que el mensaje está efectivamente firmado por su clave privada, eso es lo que usted publicó, y el registro de la transacción está en la cadena. Por lo tanto, quien controla la clave privada controla la billetera.
Para entenderlo simplemente, la clave pública (dirección) es equivalente a su número de cuenta, y la clave privada (frase mnemotécnica) es equivalente a su número de cuenta + contraseña (la clave privada puede generar una clave pública).
Usando la analogía de la tarjeta bancaria, clave pública = cuenta bancaria, dirección = número de tarjeta bancaria, contraseña = contraseña de tarjeta bancaria, clave privada = número de tarjeta bancaria + contraseña de tarjeta bancaria, mnemónico = clave privada = número de tarjeta bancaria + contraseña de tarjeta bancaria, almacén de claves + contraseña = clave privada,.
3. Guardado de clave privada (frase mnemotécnica)
Sus monedas no se almacenan en su aplicación de billetera, sino en la dirección correspondiente a la clave privada en la red blockchain. Siempre que tenga la clave privada, puede iniciar sesión en todas las billeteras a través de la clave privada (esta billetera lo admite). cadena de monedas), la billetera es solo una interfaz para mostrar los fondos de la cuenta y no almacena su clave privada.
Si se pierde la clave privada, significa que sus activos también se perderán y no podrán recuperarse a través de la billetera. Cuando registre una billetera por primera vez, la página de la billetera generalmente recordará esto a los usuarios. Esto es completamente diferente de QQ y WeChat que usamos antes. Si se pierde la contraseña, se puede verificar mediante la verificación del teléfono móvil, las preguntas y la verificación de amigos. Por supuesto, este también es el encanto de la descentralización de blockchain. tu propio.
4.Tipos de billetera
Dependiendo de si la clave privada está conectada a Internet, las billeteras se pueden dividir en billeteras activas y billeteras frías, como se muestra en la figura anterior.
Hot wallet: billetera de cliente, billetera enchufable, aplicación móvil.
Es fácil de usar, fácil de operar para principiantes, tiene una eficiencia relativamente alta en las transferencias de transacciones, pero tiene poca seguridad y es fácil de robar.
Monedero frío: Monedero de hardware.
Tiene alta seguridad y es adecuado para almacenar grandes cantidades de activos. La creación compleja, las transferencias problemáticas, los daños al hardware o la pérdida de claves privadas pueden provocar la pérdida de activos digitales.
De lo anterior, podemos saber que la clave privada lo es todo, y todas nuestras medidas para proteger los activos son en realidad proteger la clave privada, proteger la clave privada y proteger la clave privada. (Evita que otros pierdan y obtengan la clave privada)
Casos robados
Después de comprender los conceptos relevantes, echemos un vistazo a los principales casos de pérdidas actuales. A través de los casos, podemos proteger mejor nuestras propias billeteras.
1.Fuga de clave privada (frase mnemotécnica)
A principios de 2021, Yiren, el fundador de Making Money Youshu, guardó la clave privada de Bitcoin en Cloud Notes, lo que provocó la pérdida de activos de ocho dígitos en BTC.
El 22 de noviembre, los activos digitales del fundador de Fenbushi Capital, Shen Bo, valorados en 42 millones de dólares, fueron robados. Los activos robados incluían: 38.233.180 USDC, 1.607 ETH, 719.760 USDT y 4,13 BTC. Según un análisis posterior de la agencia de seguridad Slow Mist, el robo se debió a la filtración de la frase mnemotécnica.
2. Se pierde la clave privada (frase mnemotécnica)
El ingeniero informático británico James Howells perdió el disco duro de su computadora en 2013, que contenía 8.000 Bitcoins. Nueve años después, planeaba gastar 74,3 millones de dólares hurgando en depósitos de chatarra para recuperar el disco duro de la computadora.
3. Haga clic en el enlace del virus.
Un usuario hizo clic aleatoriamente en un enlace enviado por otros, lo que provocó que los piratas informáticos leyeran la copia de seguridad cifrada local de metamask y robaran todos los activos.
Twitter KOL hace clic en el enlace privado enviado por otros, lo que provoca el robo de la cuenta de Twitter, y luego publica información venenosa sobre lanzamientos aéreos, utilizando la confianza de los fanáticos en el KOL para hacer clic en el enlace y robar los activos de los fanáticos.
4. La autorización a voluntad puede provocar vulnerabilidades en la aplicación.
El 2 de octubre, DEX Transit Swap de Token Pocket declaró oficialmente que había sufrido un ataque de piratas informáticos, con pérdidas de activos superiores a los 15 millones de dólares, y recordó a los usuarios que cancelaran la autorización.
El 11 de octubre, la billetera enchufable Rabby desarrollada por el equipo de DeBank afirmó que su contrato Swap tenía una vulnerabilidad y recomendó que los usuarios cancelaran la autorización de Rabby Swap. Al final, el hacker ganó más de 190.000 dólares.
5. Descargar APP falsa (con software antivirus)
Después de que algunos piratas informáticos obtienen información del usuario de la plataforma, difunden mensajes de pánico a los usuarios a través de mensajes de texto. La plataforma ya no es segura. Deben hacer clic en el enlace para reinstalar la aplicación o iniciar sesión en la cuenta. son robados.
Un usuario descargó una aplicación Binance falsa y al transferir dinero, lo transfirió a la dirección de otra persona y 5 activos ETH se perdieron por completo.
De los casos anteriores podemos ver que los activos del usuario se roban principalmente en las siguientes situaciones: fuga de claves privadas (frases mnemotécnicas), pérdida de claves privadas (frases mnemotécnicas), hacer clic en enlaces de virus, autorización arbitraria y vulnerabilidades de aplicaciones. varias situaciones, como la descarga de una aplicación falsa (con software antivirus).
A continuación, analicemos qué métodos se pueden utilizar para evitar la situación anterior.
Cómo evitar daños a la propiedad
1. Almacenamiento de claves privadas (básica: no es fácil de perder, no es fácil de dañar, otros no pueden acceder a ella o no pueden usarla)
Haga una copia de seguridad de la billetera inmediatamente después de que se genere, doble copia de seguridad, porque una vez perdida, no se puede recuperar.
La frase mnemotécnica se almacena en un medio que no está conectado a Internet y que no se pierde ni se daña fácilmente, como copiarla en papel y cifrarla usted mismo (agregando o restando caracteres específicos para facilitar la búsqueda de una memoria de almacenamiento); nunca conectado a Internet; hay algunos proveedores de billeteras que venden placas de hierro relacionadas con frases mnemotécnicas.
Utilice una billetera fría (billetera de hardware) y elija una billetera fría conocida para comprar en canales oficiales y no a través de canales de terceros (los canales de terceros pueden contener virus, establezca una contraseña segura y haga una copia de seguridad de la clave privada para evitarlo); la billetera de hardware se pierda o se dañe.
2. Evitar la fuga de clave privada (frase mnemotécnica)
No copie y pegue la clave privada, algunos programas pueden leer el portapapeles del usuario
No guarde la clave privada en la colección WeChat, transfiera archivos, Baidu Cloud, Evernote y otras plataformas en línea.
Nunca le digas a nadie tu clave privada. Recuerda que es cualquiera. Algunos estafadores se hacen pasar por funcionarios de la billetera para defraudar tu clave privada. No lo creas. La parte de la billetera no tiene derecho a obtener la clave privada.
Cuando utilice una red Wi-Fi pública, no copie ni pegue su clave privada
Para descargar varias aplicaciones conviene acudir a los canales oficiales. En ocasiones, todas las tiendas de aplicaciones no son fiables (recordad, todas) y hay aplicaciones falsas.
Tenga cuidado al firmar su billetera. Para los usuarios habituales de protocolos DeFi e interacciones NFT, recuerde revocar la autorización a tiempo para evitar el robo de activos debido a vulnerabilidades en la aplicación.
No haga clic en enlaces (mensajes de texto) enviados por otros a voluntad, no descargue archivos compartidos por otros o incluso haga clic en algunos enlaces de KOL a voluntad, ya que pueden contener virus.
Una vez que descubra que hay alguna fuga de activos en su billetera, debe abandonar la billetera lo antes posible y no correr ningún riesgo.
No uses una VPN gratuita
Manténgase al día con las noticias y conozca nueva información robada en tiempo real
Todas las medidas anteriores son en realidad para proteger su clave privada de la filtración. ¡No su clave, no su moneda!
3. Los activos están distribuidos de forma dispersa
Puede dispersar sus propios fondos en billeteras y plataformas comerciales. Aunque el incidente de FTX ha provocado una falta de confianza en las plataformas comerciales centralizadas, para la mayoría de las personas es mejor colocar sus activos en unas pocas plataformas comerciales centralizadas líderes que retenerlos. En sus propias manos, es relativamente más seguro y conveniente que una billetera, siempre que la pérdida no sea particularmente grande, varias plataformas líderes generalmente pueden pagar la compensación.
Hay varios puntos a tener en cuenta al utilizar una plataforma comercial centralizada:
Activar la verificación triple (teléfono móvil, correo electrónico, verificación en dos pasos de Google)
Habilitar la lista blanca de retiro de monedas
Descarga la App desde canales oficiales
Al transferir dinero, confirme si la dirección es correcta
A través del conocimiento relacionado anterior, los usuarios novatos pueden tener una comprensión integral del conocimiento relevante de la seguridad de los activos de blockchain. Con el desarrollo de blockchain y el aumento de las interacciones en cadena, el uso de billeteras se convertirá gradualmente en una habilidad básica importante y en diversas medidas. En realidad, no son absolutamente seguros, pero en términos relativos, pueden permitirnos evitar la mayoría de los obstáculos. Con el desarrollo de blockchain, seguirán surgiendo nuevos problemas que nos exigirán seguir mejorando nuestra propia reserva de conocimientos.
No es necesario ahorrar pequeñas cantidades de fondos de acuerdo con el método anterior, pero debe ser cauteloso al guardar grandes posiciones, porque un error de su parte puede hacer que lo arrojen para siempre del tren blockchain. .