Gli incidenti relativi alla sicurezza delle criptovalute si verificano frequentemente. Come garantire che la piattaforma e l'APP del portafoglio che utilizzi siano sicure?

Autore: Mu Mu, blockchain vernacolare
La sicurezza delle risorse è sempre stata un argomento comune e importante nel settore della crittografia. Tuttavia, secondo le osservazioni vernacolari della blockchain, sebbene la scienza della sicurezza sia spesso resa popolare, non molte persone prestano realmente attenzione ai problemi di sicurezza, perché la mentalità comune di molte persone è: " Questa è tutta probabilità: "Tre meloni e due datteri non toccano a me." Invece spesso pensano che toccherà sicuramente a loro vincere alla lotteria con una probabilità inferiore a questa.
In effetti, con l’integrazione dei cripto-asset, gli incidenti di sicurezza che prendono di mira le risorse dei singoli utenti si verificano frequentemente e, indipendentemente dai grandi investitori o dagli investitori al dettaglio, questi incidenti accadono spesso intorno a noi e non sono più un evento raro.
Quindi, partendo dagli incidenti di sicurezza delle risorse personali degli utenti più comuni di recente, diamo un'occhiata ai problemi di sicurezza che sono strettamente correlati a noi. La cosa più importante di cui sopportare il peso è: come garantire che la piattaforma e l'APP del portafoglio siano l'utilizzo è sicuro?
01 I “canali ufficiali” sono necessariamente sicuri?
 
La maggior parte delle persone pensa che sia facile garantire la sicurezza della piattaforma e dell'APP del portafoglio. Basta cercare i “canali ufficiali”, giusto? In effetti, non necessariamente...
1. Il “sito web ufficiale” è più simile al sito web ufficiale che al sito web ufficiale Tutti sanno che bisogna cercare il “sito web ufficiale”, ma prendendo come esempio i comuni portafogli tradizionali, puoi elencare immediatamente i loro indirizzi web ufficiali accurati? Prova subito "fai le domande":
La maggior parte delle persone sceglie A e B. Secondo la pratica quotidiana, molte persone penseranno che il nome del marchio + .com o il suffisso io sia il sito ufficiale con la "forza del marchio". Tuttavia, in realtà, molti team hanno iniziato come piccoli imprenditori team nei primi tempi Il nome di dominio ufficiale registrato a quel tempo era molto "codificato" e la risposta corretta era in realtà C.
Per lo stesso motivo, i team ufficiali di questi portafogli potrebbero non aver nemmeno preso in considerazione la registrazione dei marchi quando hanno iniziato... Poi il marchio del marchio è stato registrato da altri, e poi altri potrebbero utilizzare il marchio per acquistare servizi di protezione del marchio su alcuni motori di ricerca, e nei risultati di ricerca è molto confuso mettere l'etichetta di certificazione "marchio ufficiale" sul marchio, o acquistare servizi di promozione, e sarai sempre al primo posto. Questo è successo solo negli ultimi due anni. Finora, quando si cerca "sito ufficiale del portafoglio xxx" su alcuni motori di ricerca tradizionali, è molto probabile che i risultati nelle prime pagine siano falsi.
Questi "siti ufficiali", che sono più ufficiali dei siti ufficiali, hanno davvero "intrappolato" molte persone, perché sono anche uno dei metodi a basso costo e con una maggiore percentuale di successo per gli hacker. 2. Cosa succede se conosci l'indirizzo del sito web ufficiale? Molte persone pensano che assicurandosi di inserire il nome di dominio ufficiale corretto, l'app che scarichi debba essere sicura. Tuttavia, le cose continuano a succedere. Nel recente incidente di sicurezza del portafoglio Bitkeep, BitKeep ha annunciato che, dopo un'indagine preliminare da parte del team, si sospetta che alcuni download di pacchetti APK siano stati dirottati da hacker e abbiano installato pacchetti con codici impiantati dagli hacker. In parole povere, il pacchetto APK scaricato da alcuni utenti è stato "dirottato" dagli hacker durante il processo ed è stato scaricato e installato in un "portafoglio" appositamente elaborato dall'hacker. Includiamolo come un "portafoglio falso" non ufficiale per per ora.
Il motivo principale menzionato nell'annuncio è il "dirottamento". Poiché esistono molti metodi e collegamenti di "dirottamento", non è ancora chiaro quale collegamento abbia causato il problema, ma possiamo parlare di come gli hacker di solito costringono un utente ad accedere chiaramente al "sito web ufficiale". " Nome di dominio, ma scaricato su un portafoglio falso: il primo metodo consiste nell'utilizzare il file Localhost locale per eseguire manualmente lo scripting del dispositivo PC che viene indotto o vengono installati malware o virus tramite vulnerabilità. Modificando il file Localhost dell'host locale, questo metodo può modificare direttamente il nome di dominio specificato Puntando all'IP di un server non ufficiale (come la pagina "ufficiale" preparata dagli hacker), vale a dire che, dopo aver aperto il browser e inserito il nome di dominio esatto, il sito web a cui ha avuto accesso l'hacker viene si accede e si scarica l'APP falsa. Il secondo metodo consiste nel manipolare direttamente la pagina aperta dal browser locale o dall'app. Quando si aprono determinati siti Web di piattaforme o pagine Web del portafoglio, è possibile modificare direttamente il contenuto visualizzato sulla pagina Web specifica tramite il plug-in del browser, ad esempio il puntamento. il pulsante di download dell'APP al collegamento per il download dell'APP Sostituisci l'indirizzo con l'indirizzo preparato dall'hacker, sostituisci l'indirizzo di deposito e prelievo degli asset con quello dell'hacker e leggi e modifica anche l'indirizzo del portafoglio o la chiave privata negli appunti. Per quanto riguarda se il plug-in del browser ha il permesso di modificare la pagina web, non preoccuparti, perché quasi la maggior parte dei plug-in del browser ha tale permesso. Se osservi attentamente, scoprirai che anche il nostro Little Fox comunemente usato Anche Wallet dispone di tale autorizzazione... Non molto tempo fa, si è verificato un incidente in cui le persone che hanno scaricato il CEX principale hanno scoperto che anche la nostra APP falsa comunemente utilizzata causava la sostituzione degli indirizzi di deposito e prelievo, con conseguente perdita di risorse. Il terzo tipo, il dirottamento DNS remoto, la modifica del record di risoluzione del nome di dominio e l'hacking del server del produttore dell'APP, sono problemi che appartengono ai fornitori di servizi Internet remoti. Si verificano raramente e anche i costi e la difficoltà sono molto elevati, ma si verificano sono anche attraverso un metodo simile di "avvelenamento" che consente al nome di dominio visitato di risolversi nell'indirizzo dell'hacker. Inoltre, se l'account del fornitore di servizi dei nomi di dominio del fornitore di servizi viene rubato, causando la modifica della risoluzione del nome di dominio, ecc., il risultato potrebbe essere l'immissione dell'indirizzo del sito Web ufficiale ma l'accesso al sito Web dell'hacker. Inoltre, se gli stessi produttori di APP venissero hackerati, non avrebbero nulla da dire. Queste sono situazioni che non possiamo controllare.
 
02 Suggerimenti per la sicurezza per la Blockchain vernacolare
Dopo aver appreso che gli hacker possono anche prendere il controllo dei siti Web ufficiali, devo lamentarmi che è "impossibile prevenirlo". In realtà, questi problemi di sicurezza non esistono solo nel campo della crittografia. Nell'era digitale, qualsiasi APP ha problemi di sicurezza, comprese le banche e le APP di pagamento di terze parti. Pertanto, abbiamo riassunto in base a esperienza passata Alcuni suggerimenti di sicurezza corrispondenti come riferimento: 1. Quando utilizzi l'anti-dirottamento HTTPS per inserire il nome di dominio ufficiale corretto, assicurati di aggiungere https:// all'inizio del nome di dominio. È molto utile all'apertura Se è presente un rischio di dirottamento locale o di dirottamento DNS remoto del sito Web, in genere verrà visualizzato un avviso rosso "non sicuro" sopra la barra degli indirizzi del browser e vari avvisi come i rischi per la sicurezza della pagina. Il principio specifico non verrà elaborato è anche una delle applicazioni più diffuse della crittografia asimmetrica. Utilizzo Per prevenire il dirottamento, viene utilizzata la verifica asimmetrica delle firme crittografate per garantire l'accesso alle pagine Web ufficiali.
Qui c’è una digressione. In effetti, molti siti Web lato progetto e persino siti Web DeFi non utilizzano o sono costretti a utilizzare HTTPS per distribuire siti Web. È difficile percepire l’atteggiamento premuroso e la professionalità del team. 2. Controllare l'hash del file APK. Per alcuni motivi speciali, gli utenti domestici di telefoni Android non possono scaricare le APP direttamente tramite Google Play e possono scaricare solo i pacchetti di installazione APK. La maggior parte degli incidenti di sicurezza delle APP false si verificano quando l'APK viene sostituito o viene scaricato l'APK falso . domanda, allora dobbiamo assicurarci che l'APK sia fornito ufficialmente.
Innanzitutto, utilizza HTTPS per aprire il sito Web ufficiale e accedere alla pagina di download. Gli studenti attenti potrebbero vedere che alcune pagine di download di solito hanno un collegamento con le parole "Verifica sicurezza dell'applicazione" o SHA256. Si stima che l'80% delle persone non leggerà il richieste di sicurezza e il 90% delle persone non ha fatto clic sul collegamento di verifica per visualizzare il contenuto e verificarlo... Dopo aver fatto clic sul collegamento di verifica di sicurezza o sul collegamento SHA256, vedremo il valore hash corrispondente al file del pacchetto di installazione APK annunciato ufficialmente (se ci sono modifiche al file, il valore hash verrà completamente cambiato). Dopo aver scaricato il file APK, calcoliamo che il suo valore hash è coerente con quello ufficiale, il che significa che il file non è stato sostituito. Dopo aver scaricato l'APK, arriva il passaggio chiave: aprire il sito Web di controllo virus virustotal.com di proprietà di Google e caricare il file APK appena scaricato. Possiamo ottenere il valore hash di questo file per confrontarlo e cercarlo in decine di database di virus. Se il file contiene codice dannoso, ecc., si può dire che sia un artefatto che prende due piccioni con una fava.
Infine, se vuoi essere più rigoroso, dovresti anche prestare attenzione alla preoccupazione che il valore hash e il collegamento per il download vengano manomessi da virus e plug-in locali quando apri la pagina di download del sito ufficiale il valore hash è coerente attraverso i browser in diversi ambienti come i telefoni cellulari.
Se la pagina di download del sito ufficiale del portafoglio che stai per scaricare non supporta HTTPS, la prima cosa di cui dovresti dubitare è se si tratti del vero sito ufficiale. Inoltre, se non fornisce la verifica del valore hash del file APK, puoi anche dubitare della sicurezza di questo team di portafoglio. Atteggiamento, tale omissione è molto inappropriata e irresponsabile, valuta attentamente se utilizzare questa APP. 3. Come verificare se la piattaforma attualmente installata e l'APP del portafoglio sono sicure? In effetti, il modo migliore è accedere all'AppStore Android Google Play e IOS per scaricarlo e installarlo tramite la pagina di download del sito ufficiale, perché in teoria il fattore di sicurezza di Google e Apple App Store è molto più alto del fattore di sicurezza ufficiale di il portafoglio e le loro piattaforme hanno software di sicurezza, hardware, riserve di talenti, portafogli o piattaforme di massimo livello mondiale non sono allo stesso livello di loro.
Pertanto, apri le pagine di Google Play e AppStore tramite la pagina di download del sito Web ufficiale del portafoglio e della piattaforma e riconferma il nome della società di sviluppo, il volume di download e il volume di recensioni (i portafogli tradizionali hanno grandi volumi, se non ci sono problemi, possiamo). considerare l'APP scaricata al sicuro in questo momento.
Se non sei sicuro che il pacchetto apk che stai utilizzando per installare un'applicazione sia sicuro, puoi seguire i due suggerimenti di sicurezza precedenti per confermare l'ufficialità e verificare l'hash, quindi scaricarlo sul tuo telefono per sovrascrivere l'installazione Non dimenticare di eseguire prima il backup dell'helper. Ricorda le parole per evitare errori nel processo di sovrascrittura che portano alla perdita di dati e all'impossibilità di ripristinare il portafoglio (ma generalmente la sovrascrittura dell'installazione o l'aggiornamento delle applicazioni non causerà la perdita di dati). 4. Altri suggerimenti sulla sicurezza del portafoglio. Se non usi portafogli freddi o portafogli hardware e coloro che amano gli portafogli caldi, il modo più sicuro è installarlo su un dispositivo iPhone. In primo luogo, hai solo bisogno di un ID estero e non farlo. Non sono necessari tutti i fastidi di Android. In secondo luogo, i dati post-crittografati dell'iPhone non possono essere sbloccati senza la chiave.
Molte APP tradizionali all'estero (come Metamask) non supportano solo il download e l'installazione dell'APK perché ci sono troppi problemi di sicurezza. Tuttavia, molti produttori non hanno altra scelta se non quella di attirare nuovi clienti e hanno troppi utenti Android per aprire i download dell'APK vuole bypassare Per aprire un APK, è necessario il software necessario come Google Service Framework (incluso Google Play) e Google Password Verifier. In questa fase, per alcuni motivi, è molto difficile installare le soluzioni di terze parti che molte persone cercano non sono ufficiali e non sono sicuri e non sono sufficientemente rigorosi.
Ovviamente, devi utilizzare un telefono Android. Puoi scegliere alcuni produttori che supportano ancora in modo nativo il framework Google Family Bucket, come Samsung. Inoltre, l'installazione del portafoglio in una cartella sicura che supporta l'isolamento del chip di sicurezza può diventare un secondo livello sicurezza che può raggiungere Come un telefono Apple, ha l'ulteriore effetto di sicurezza di non essere in grado di sbloccare e ottenere dati sensibili in caso di smarrimento.
 
5. Suggerimenti sulla piattaforma APP
Poiché la maggior parte delle piattaforme CEX utilizzano verifiche multiple, sono meno colpite dalle APP false (che sono più difficili per gli hacker). Tuttavia, dovresti anche prestare attenzione a verificare se gli indirizzi di deposito e prelievo nell'APP sono coerenti con quelli forniti sull'ufficiale Inoltre, assicurati di abilitare la funzione "whitelist" all'interno della piattaforma, le risorse possono essere menzionate solo a un indirizzo whitelist sicuro.
Inoltre, il rischio più grande affrontato dalla piattaforma CEX, a parte i due dirottamenti locali e la modifica degli indirizzi di deposito e prelievo sopra menzionati, è il phishing, perché l'APP, gli SMS e l'autenticatore di Google della maggior parte delle persone sono effettivamente installati sullo stesso dispositivo Di conseguenza, finché un hacker controlla o monitora un dispositivo, molto probabilmente può controllare queste tre informazioni e controllare le risorse della piattaforma.
Pertanto, per motivi di sicurezza, non è consigliabile eseguire più verifiche contemporaneamente su un dispositivo. È possibile installare Google Authenticator su un altro telefono cellulare protetto oppure è possibile gestire l'account della piattaforma su un PC o una pagina Web del PC senza installarlo. l'app sul telefono cellulare. Ciò può impedire un singolo clic su "Esplosione" per proteggere al massimo la sicurezza delle risorse.
 
03 Riepilogo
La sicurezza non è una cosa da poco. Vernacular Blockchain ritiene che valga la pena parlare di problemi di sicurezza ogni giorno e in ogni momento. Nel processo operativo quotidiano, forse ci vuole solo un secondo in più per prestare attenzione a questi dettagli e può migliorare la sicurezza patrimonio del 99%. Perché no?