La tua piccola volpe e il tuo portafoglio imToken sono stati presi di mira? Gli attacchi e il phishing contro i portafogli tradizionali stanno esplodendo su larga scala

Recentemente nel settore sono emersi vari incidenti relativi alla sicurezza dei portafogli:
Il 18 aprile, un tweet su 5.000 monete ETH rubate dallo sviluppatore del portafoglio MetaMask @tayvano_ è stato ampiamente diffuso nella comunità crittografica, ritenendo che MetaMask avesse una vulnerabilità, causando il panico nella comunità. Il 19 aprile MetaMask ha risposto che era falso che la vulnerabilità fosse stata rubata, ma stava studiando la fonte della vulnerabilità.
Il 20 aprile, i funzionari di imToken hanno ricordato che i truffatori hanno recentemente impersonato funzionari di imToken e hanno contattato gli utenti inviando messaggi di testo e altri metodi per indurre gli utenti a visitare siti Web falsi e inserire frasi mnemoniche, causando agli utenti perdite patrimoniali. Il 21 aprile, hanno detto i ricercatori di SlowMist L'annuncio principale dopo aver cercato "imToken" su Google è un nuovo tipo di sito di phishing. Si consiglia agli utenti di non cliccare sul collegamento e di fare attenzione per evitare rischi.
Il 22 aprile, Trust Wallet ha annunciato che esisteva una vulnerabilità negli indirizzi dei nuovi portafogli creati dal 14 al 23 novembre dello scorso anno ed è stato creato un processo di risarcimento per gli utenti interessati.
Con l'esplosione della domanda di interazione su catene come DeFi e NFT, il settore non è più come ai suoi albori. Il semplice acquisto di monete su CEX e il loro posizionamento su CEX può soddisfare le esigenze della maggior parte degli investitori anche tutti i token vengono conservati nel proprio portafoglio, il che ha reso questo settore un paradiso per gli hacker. Di tanto in tanto, è stato riferito che alcuni investitori scaricano APP false a causa di autorizzazioni, perdono chiavi private o presentano vulnerabilità nel portafoglio stesso, con conseguente furto dei propri beni, alla fine si è rivelato nulla. Garantire la sicurezza dei propri beni è diventata una competenza essenziale nel settore.
Successivamente, comprenderemo in modo completo come proteggere la sicurezza delle risorse blockchain da diversi aspetti come la conoscenza relativa al portafoglio, i casi di furto e la conoscenza della protezione delle chiavi private.
Conoscenza relativa al portafoglio
Prima di garantire la sicurezza dei tuoi beni, devi avere una certa comprensione di alcune conoscenze di base sui portafogli nel settore in modo da poter capire meglio come proteggere i tuoi beni. Successivamente, introduciamo brevemente alcuni concetti correlati.
1. Crittografia simmetrica e crittografia asimmetrica
Prima di comprendere la chiave pubblica (privata), comprendiamo brevemente la crittografia simmetrica e la crittografia asimmetrica nella crittografia. La crittografia simmetrica significa che A può ottenere B tramite un determinato algoritmo e, a sua volta, B può decrittografare A in modo inverso tramite lo stesso algoritmo. In questo caso, lo stesso algoritmo viene utilizzato per la crittografia e la crittografia asimmetrica significa che A tramite A può ottenere un determinato algoritmo B, ma B non può essere decrittografato in modo inverso tramite lo stesso algoritmo. In questo caso sono necessari algoritmi diversi per la crittografia e la decrittografia.
 Come mostrato nella figura, la differenza tra crittografia simmetrica e crittografia asimmetrica sta nel fatto che la chiave pubblica del destinatario del messaggio e la chiave privata del destinatario del messaggio nella figura siano la stessa chiave.
2. Chiave pubblica (privata), frase mnemonica, indirizzo
Dopo aver compreso la crittografia simmetrica e la crittografia asimmetrica, puoi comprendere meglio alcuni concetti di base relativi ai portafogli.
Coppia di chiavi: nella crittografia asimmetrica, esiste una coppia di chiavi, ovvero la chiave pubblica e la chiave privata. La chiave pubblica è pubblica e la chiave privata non è pubblica.
Chiave pubblica: utilizzata per crittografare i dati. I dati crittografati con la chiave pubblica possono essere decrittografati solo utilizzando la chiave privata.
Chiave privata: la chiave privata può generare una chiave pubblica, che viene utilizzata per decrittografare i dati crittografati dalla chiave pubblica.
Indirizzo: corrispondente alla "chiave pubblica", poiché la chiave pubblica è troppo lunga, c'è un "indirizzo" e l'indirizzo è generato dalla chiave pubblica.
Mnemonico: corrispondente alla "chiave privata", poiché la chiave privata è una stringa generata casualmente che è troppo lunga e difficile da ricordare, è stata creata una serie di parole leggibili dall'uomo per sostituire la chiave privata per aiutare gli utenti a ricordare la chiave privata. , solitamente 12 frasi irregolari. (Chiave privata = frase mnemonica)
Rete di origine immagine: processo di transazione on-chainFirma elettronica: per una determinata informazione (trasferisci 100 Ethereum a qualcuno), questa informazione deve essere firmata con la tua chiave privata e quindi trasmessa alla blockchain.
Verifica della firma: il destinatario può verificare attraverso la tua chiave pubblica che il messaggio sia effettivamente firmato dalla tua chiave privata, ovvero ciò che hai pubblicato, e che il record della transazione sia sulla catena. Pertanto, chi controlla la chiave privata controlla il portafoglio.
Per capirci semplicemente, la chiave pubblica (indirizzo) equivale al tuo numero di conto, e la chiave privata (frase mnemonica) equivale al tuo numero di conto + password (la chiave privata può generare una chiave pubblica).
Utilizzando l'analogia con la carta bancaria, chiave pubblica = conto bancario, indirizzo = numero carta bancaria, password = password carta bancaria, chiave privata = numero carta bancaria + password carta bancaria, mnemonico = chiave privata = numero carta bancaria + password carta bancaria, Keystore + password = chiave privata,.
3. Salvataggio della chiave privata (frase mnemonica)
Le tue monete non sono archiviate nell'APP del tuo portafoglio, ma nell'indirizzo corrispondente alla chiave privata nella rete blockchain. Finché disponi della chiave privata, puoi accedere a tutti i portafogli tramite la chiave privata (questo portafoglio ti supporta catena di monete), il portafoglio è solo un front-end per la visualizzazione dei fondi del conto e non memorizza la tua chiave privata.
Se la chiave privata viene persa, significa che anche i tuoi beni andranno persi e non potranno essere recuperati tramite il portafoglio Quando si registra un portafoglio per la prima volta, generalmente la pagina del portafoglio lo ricorderà agli utenti. Questo è completamente diverso da QQ e WeChat che usavamo prima. Se la password viene persa, può essere verificata tramite la verifica del telefono cellulare, le domande e la verifica degli amici. Naturalmente, questo è anche il fascino della decentralizzazione della blockchain il tuo.
4.Tipi di portafoglio
A seconda che la chiave privata sia connessa a Internet, i portafogli possono essere suddivisi in hot wallet e cold wallet, come mostrato nella figura sopra.
Portafoglio caldo: portafoglio client, portafoglio plug-in, APP mobile.
È facile da usare, facile da utilizzare per i principianti, ha un'efficienza relativamente elevata nei trasferimenti di transazioni, ma ha scarsa sicurezza ed è facile da rubare.
Portafoglio freddo: portafoglio hardware.
Ha un'elevata sicurezza ed è adatto per archiviare grandi quantità di risorse. Creazione complessa, trasferimenti problematici, danni all'hardware o perdita di chiavi private possono causare la perdita di risorse digitali.
Da quanto sopra, possiamo sapere che la chiave privata è tutto e che tutte le nostre misure per proteggere le risorse mirano in realtà a proteggere la chiave privata, proteggere la chiave privata e proteggere la chiave privata. (Impedisci che la chiave privata venga persa e ottenuta da altri)
Casi rubati
Dopo aver compreso i concetti rilevanti, diamo uno sguardo ai principali casi di perdita attuali. Attraverso i casi, possiamo proteggere meglio i nostri portafogli.
1.Perdita della chiave privata (frase mnemonica)
All'inizio del 2021, Yiren, il fondatore di Making Money Youshu, ha salvato la chiave privata Bitcoin in Cloud Notes, provocando la perdita di asset a otto cifre in BTC.
Il 22 novembre, le risorse digitali del fondatore di Fenbushi Capital, Shen Bo, per un valore di 42 milioni di dollari, sono state rubate: 38.233.180 USDC, 1.607 ETH, 719.760 USDT e 4,13 BTC. Secondo le successive analisi dell'agenzia di sicurezza Slow Mist, il furto sarebbe stato causato dalla fuga della frase mnemonica.
2. La chiave privata (frase mnemonica) viene persa
L'ingegnere informatico britannico James Howells ha perso il disco rigido del suo computer nel 2013, che conteneva 8.000 Bitcoin. Nove anni dopo, aveva pianificato di spendere 74,3 milioni di dollari frugando tra le discariche per recuperare il disco rigido del computer.
3. Fare clic sul collegamento del virus
Un utente ha fatto clic in modo casuale su un collegamento inviato da altri, costringendo gli hacker a leggere il backup crittografato locale di metamask e tutte le risorse sono state rubate.
Twitter KOL fa clic sul collegamento privato inviato da altri, provocando il furto dell'account Twitter, quindi pubblica informazioni velenose sugli airdrop, sfruttando la fiducia dei fan nel KOL per fare clic sul collegamento per rubare le risorse dei fan.
4. L'autorizzazione volontaria può comportare vulnerabilità nell'applicazione.
Il 2 ottobre, il DEX Transit Swap di Token Pocket ha dichiarato ufficialmente di aver subito un attacco hacker, con perdite patrimoniali superiori a 15 milioni di dollari, e ha ricordato agli utenti di annullare l'autorizzazione.
L'11 ottobre il portafoglio plug-in Rabby sviluppato dal team DeBank ha affermato che il suo contratto Swap presentava una vulnerabilità e ha raccomandato agli utenti di annullare l'autorizzazione Rabby Swap. Alla fine, l'hacker ha guadagnato più di 190.000 dollari.
5. Scarica l'APP falsa (con software antivirus)
Dopo che alcuni hacker hanno ottenuto le informazioni sugli utenti della piattaforma, diffondono messaggi di panico agli utenti tramite messaggi di testo. La piattaforma non è più sicura. È necessario fare clic sul collegamento per reinstallare l'applicazione o accedere all'account vengono rubati.
Un utente ha scaricato un'app Binance falsa e, durante il trasferimento di denaro, l'ha trasferito all'indirizzo di qualcun altro e 5 risorse ETH sono andate completamente perse.
Dai casi sopra riportati possiamo vedere che i beni degli utenti vengono rubati principalmente nelle seguenti situazioni: perdita di chiavi private (frasi mnemoniche), perdita di chiavi private (frasi mnemoniche), clic su collegamenti di virus, autorizzazione arbitraria e vulnerabilità dell'applicazione diverse situazioni come il download di APP false (con software antivirus).
Successivamente, vediamo quali metodi possono essere utilizzati per evitare la situazione di cui sopra.
Come evitare danni alla proprietà
1. Conservazione delle chiavi private (principale: non facile da perdere, non facile da danneggiare e non accessibile o utilizzabile da altri)
Esegui il backup del portafoglio immediatamente dopo che è stato generato, doppio backup, perché una volta perso non può essere recuperato.
La frase mnemonica è archiviata su un supporto che non è connesso a Internet e non viene persa o danneggiata facilmente, ad esempio copiandola su carta e crittografandola tu stesso (aggiungendo o sottraendo caratteri specifici per facilitare la memorizzazione nella memoria della fotocamera); mai connesso a Internet; ci sono alcuni portafogli I fornitori vendono targhe di ferro relative a frasi mnemoniche.
Utilizzare un portafoglio freddo (portafoglio hardware) e scegliere un portafoglio freddo noto; acquistare da canali ufficiali e non tramite canali di terze parti (i canali di terze parti potrebbero contenere virus) il portafoglio hardware da smarrimento o danneggiamento.
2. Prevenire la fuga di chiavi private (frase mnemonica).
Non copiare e incollare la chiave privata, alcuni software possono leggere gli appunti dell'utente
Non salvare la chiave privata nella raccolta WeChat, nel trasferimento di file, in Baidu Cloud, Evernote e altre piattaforme online
Non rivelare mai a nessuno la tua chiave privata. Ricorda, è chiunque. Alcuni truffatori fingono di essere funzionari del portafoglio per frodare la tua chiave privata.
Non copiare e incollare le chiavi private quando utilizzi il Wi-Fi pubblico
Per scaricare varie applicazioni, dovresti andare sui canali ufficiali. A volte tutti gli store di applicazioni non sono affidabili (ricorda, tutti) e ci sono applicazioni false.
Fai attenzione quando firmi il tuo portafoglio. Per gli utenti abituali di protocolli DeFi e interazioni NFT, ricorda di revocare l'autorizzazione in tempo per evitare il furto di risorse a causa di vulnerabilità nell'applicazione.
Non fare clic su collegamenti (messaggi di testo) inviati da altri a piacimento, scaricare file condivisi da altri o anche fare clic su alcuni collegamenti KOL a piacimento, poiché potrebbero contenere virus.
Una volta scoperto che c'è una perdita di risorse nel tuo portafoglio, dovresti abbandonarlo il prima possibile e non correre rischi.
Non utilizzare una VPN gratuita
Tieniti aggiornato sulle notizie e scopri nuove informazioni rubate in tempo reale
Tutte le misure di cui sopra servono in realtà a proteggere la tua chiave privata dalla fuga. Non la tua chiave, non la tua moneta!
3. Le risorse vengono collocate in modo disperso
Puoi disperdere i tuoi fondi nei portafogli e nelle piattaforme di trading Sebbene l'incidente di FTX abbia portato a una mancanza di fiducia nelle piattaforme di trading centralizzate, per la maggior parte delle persone è meglio mettere i propri beni in alcune piattaforme di trading leader centralizzate piuttosto che trattenerli. nelle loro mani È relativamente più sicuro e conveniente di un portafoglio Finché la perdita non è particolarmente elevata, diverse piattaforme leader possono generalmente permettersi il risarcimento.
Ci sono diversi punti da considerare quando si utilizza una piattaforma di trading centralizzata:
Attiva la tripla verifica (telefono cellulare, email, verifica in due passaggi di Google)
Abilita la whitelist per il ritiro delle monete
Scarica l'App dai canali ufficiali
Quando trasferisci denaro, conferma se l'indirizzo è corretto
Attraverso le conoscenze sopra correlate, gli utenti inesperti possono avere una comprensione completa delle conoscenze rilevanti sulla sicurezza delle risorse blockchain. Con lo sviluppo della blockchain e l'aumento delle interazioni sulla catena, l'uso dei portafogli diventerà gradualmente un'importante competenza di base e varie misure. in realtà non sono assolutamente sicuri, ma relativamente possono permetterci di evitare la maggior parte delle insidie. Con lo sviluppo della blockchain continueranno a sorgere nuovi problemi che richiederanno di continuare a migliorare la nostra riserva di conoscenze.
Non è necessario salvare piccole quantità di fondi secondo il metodo sopra, ma devi essere cauto e cauto quando salvi posizioni di grandi dimensioni, perché un errore da parte tua potrebbe farti buttare giù dal treno della blockchain per sempre .