Kriptoresursu drošības incidenti notiek bieži. Kā nodrošināt, lai jūsu izmantotā platforma un maka APP ir droši?

Autors: Mu Mu, tautas valodā blokķēde
Aktīvu drošība vienmēr ir bijusi izplatīta un svarīga tēma šifrēšanas nozarē. Tomēr saskaņā ar tautas blokķēdes novērojumiem, lai gan drošības zinātne bieži tiek popularizēta, daudzi cilvēki drošības jautājumiem nepievērš uzmanību, jo daudzu cilvēku mentalitāte ir šāda: " Tā ir pilnīga varbūtība "Trīs melones un divi randiņi nav mana kārta, bet viņi bieži domā, ka noteikti būs viņu kārta laimēt loterijā ar mazāku varbūtību."
Faktiski, ieviešot kriptoaktīvus, drošības incidenti, kas vērsti uz atsevišķu lietotāju aktīviem, notiek bieži, neatkarīgi no lielajiem investoriem vai privātajiem investoriem, šie incidenti bieži notiek mūsu apkārtnē, un tie vairs nav retums.
Tāpēc, sākot no pēdējā laikā izplatītākajiem personīgo lietotāju līdzekļu drošības incidentiem, apskatīsim ar mums cieši saistītās drošības problēmas. Vissvarīgākais, kas jāuzņemas, ir: Kā nodrošināt, ka platforma un maka APP esat lietošana ir droša?
01 Vai “oficiālie kanāli” noteikti ir droši?
Lielākā daļa cilvēku domā, ka ir viegli nodrošināt platformas un maka APP drošību. Vienkārši meklējiet "oficiālos kanālus", vai ne? Patiesībā ne obligāti...
1. “Oficiālā vietne” izskatās vairāk kā oficiāla vietne, nevis oficiālā vietne. Ikviens zina, ka jāmeklē “oficiālā vietne”, taču, piemēram, vai varat nekavējoties uzskaitīt viņu precīzas oficiālās vietņu adreses? Nekavējoties izpildiet jautājumus:
Lielākā daļa cilvēku var izvēlēties A un B. Saskaņā ar ikdienas praksi daudzi cilvēki domā, ka zīmola nosaukums + .com vai io ir oficiālā vietne ar "zīmola spēku". komandas pirmajās dienās Oficiālais domēna vārds, kas reģistrēts tobrīd, bija ļoti "sašifrēts", un pareizā atbilde bija C.
Tā paša iemesla dēļ šo maku oficiālās komandas, iespējams, pat nedomāja reģistrēt preču zīmes, kad tās sāka... Tad zīmola preču zīmi reģistrēja citi, un tad citi varēja izmantot preču zīmi, lai iegādātos zīmola aizsardzības pakalpojumus dažās meklētājprogrammās, un meklēšanas rezultātos Ir ļoti mulsinoši likt “zīmola oficiālo” sertifikācijas etiķeti vai pirkuma veicināšanas pakalpojumus vienmēr ierindot pirmajā vietā. Tas notika tikai pēdējo divu gadu laikā. Līdz šim, meklējot “xxx maka oficiālā vietne” dažās galvenajās meklētājprogrammās, rezultāti pirmajās lapās, visticamāk, ir viltoti.
Šīs "oficiālās vietnes", kas ir oficiālākas nekā oficiālās vietnes, patiešām ir "ieslodzījušas" daudzus cilvēkus, jo tās ir arī viena no metodēm ar zemākām izmaksām un lielāku hakeru panākumu līmeni. 2. Ko darīt, ja zināt oficiālās vietnes adresi? Daudzi cilvēki domā, ka, pārliecinoties, ka ievadāt pareizo oficiālo domēna nosaukumu, lejupielādētajai lietotnei ir jābūt drošai. Tomēr lietas joprojām notiek. Nesenajā Bitkeep maka drošības incidentā BitKeep paziņoja, ka pēc komandas sākotnējās izmeklēšanas pastāv aizdomas, ka dažas APK pakotņu lejupielādes ir nolaupījuši hakeri un instalētas paketes ar hakeru implantētiem kodiem. Vienkārši sakot, dažu lietotāju lejupielādēto APK pakotni procesa laikā "nolaupīja" hakeri, un tā tika lejupielādēta un instalēta hakera speciāli apstrādātā "makā". Iekļausim to kā neoficiālu "viltus maku". Pagaidām.
Galvenais paziņojumā minētais iemesls ir "nolaupīšana" Tā kā ir daudz "nolaupīšanas" metožu un saišu, pagaidām nav skaidrs, kura saite izraisīja problēmu, taču varam runāt par to, kā parasti hakeri liek lietotājam skaidri ievadīt "oficiālo vietni". " Domēna nosaukums, bet lejupielādēts viltotā makā: pirmā metode ir izmantot vietējo Localhost failu, lai manuāli skriptētu inducējamo datora ierīci vai instalētu ļaunprātīgu programmatūru vai vīrusus, izmantojot ievainojamības. Modificējot vietējā resursdatora Localhost failu, šī metode var tieši mainīt norādīto domēna nosaukumu Norādot uz neoficiāla servera IP (piemēram, hakeru sagatavoto "oficiālo" lapu), tas ir, pēc pārlūkprogrammas atvēršanas un precīza domēna nosaukuma ievadīšanas jūs piekļūsit vietnei, ko nodrošina hakeris un lejupielādējiet viltotu APP. Otrā metode ir tieši manipulēt ar lapu, ko atver vietējā pārlūkprogramma vai lietotne. Atverot noteiktas platformas vietnes vai seifa lapas, varat tieši mainīt konkrētajā tīmekļa lapā parādīto saturu, izmantojot pārlūkprogrammas spraudni, piemēram, norādot uz. APP lejupielādes poga uz APP lejupielādes saiti Aizstājiet adresi ar hakera sagatavoto adresi, aizstājiet līdzekļu iemaksas un izņemšanas adresi ar hakera, kā arī izlasiet un mainiet maka adresi vai privāto atslēgu starpliktuvē. Runājot par to, vai pārlūkprogrammas spraudnim ir atļauja modificēt tīmekļa lapu, par to neuztraucieties, jo gandrīz vairumam pārlūkprogrammas spraudņu ir šāda atļauja Makam ir arī šāda atļauja… Pirms neilga laika notika incidents, kad cilvēki, kuri lejupielādēja labāko CEX, atklāja, ka pat mūsu bieži lietotā viltotā APP izraisīja iemaksas un izņemšanas adreses, kā rezultātā tika zaudēti līdzekļi. Trešais veids, attālā DNS nolaupīšana, domēna vārda izšķirtspējas ieraksta modifikācija un APP ražotāja servera uzlaušana, ir problēmas, kas pieder attāliem interneta pakalpojumu sniedzējiem. Tās rodas reti, un arī izmaksas un grūtības ir ļoti augstas, taču tās notiek tie ir arī, izmantojot līdzīgu "Saindēšanās" metodi, kas ļauj jūsu apmeklētajam domēna vārdam atrisināt hakera adresi. Turklāt, ja pakalpojumu sniedzēja paša domēna vārdu pakalpojumu sniedzēja konts tiek nozagts, izraisot domēna vārda izšķirtspējas modifikāciju utt., var tikt ievadīta oficiālā vietnes adrese, bet hakeru vietne. Turklāt, ja tiek uzlauzti paši APP ražotāji, viņiem nebūs ko teikt. Šīs ir situācijas, kuras mēs nevaram kontrolēt.
02 drošības padomi tautas valodā Blockchain
Pēc tam, kad uzzināju, ka hakeri var nolaupīt pat oficiālās vietnes, man ir jāžēlojas, ka to nav iespējams novērst. Faktiski šīs drošības problēmas pastāv ne tikai šifrēšanas jomā. Digitālajā laikmetā jebkurai lietotnei ir drošības problēmas, tostarp banku un trešo pušu maksājumu lietojumprogrammas. Tāpēc mēs esam apkopojuši Iepriekšējā pieredze: 1. Izmantojot HTTPS pretnolaupīšanu, domēna nosaukuma sākumā noteikti pievienojiet https://. Tas ir ļoti noderīgi URL, ja pastāv lokālas nolaupīšanas vai attālās DNS nolaupīšanas risks, parasti virs pārlūkprogrammas adreses joslas būs redzams sarkans brīdinājums un dažādi brīdinājumi, piemēram, lapas drošības riski ir arī viens no plaši izplatītajiem asimetriskās šifrēšanas lietojumiem. Izmantošana Lai novērstu nolaupīšanu, tiek izmantota šifrētu parakstu asimetriska pārbaude, lai nodrošinātu, ka piekļūstat oficiālajām tīmekļa lapām.
Šeit ir atkāpe. Patiesībā daudzas projekta vietnes un pat DeFi vietnes neizmanto vai ir spiestas izmantot HTTPS. Tas ir pilnīgi nesaprātīgi. 2. Pārbaudiet APK faila jaucējkodu. Dažu īpašu iemeslu dēļ vietējie Android tālruņu lietotāji nevar lejupielādēt lietotnes tieši no pakalpojuma Google Play un var lejupielādēt tikai APK instalācijas pakotnes jautājumu, tad mums ir jānodrošina, ka APK ir oficiāli nodrošināts.
Vispirms izmantojiet HTTPS, lai atvērtu oficiālo vietni un ieietu lejupielādes lapā. Uzmanīgi studenti var redzēt, ka dažās lejupielādes lapās ir ietverta saite ar vārdiem "Pārbaudiet lietojumprogrammas drošību" vai SHA256. Tiek lēsts, ka 80% cilvēku nelasīs drošības uzvednes, un 90% cilvēku nav noklikšķinājuši uz verifikācijas saites, lai skatītu saturu un to pārbaudītu... Pēc noklikšķināšanas uz drošības verifikācijas saites vai SHA256 saites, mēs redzēsim oficiāli paziņotajam APK instalācijas pakotnes failam atbilstošu jaucējvērtību. (ja failā ir veiktas izmaiņas, ha Hash vērtība tiks pilnībā mainīta pēc APK faila lejupielādes, mēs aprēķinām, ka tā jaucējvērtība atbilst oficiālajai, kas nozīmē, ka fails nav aizstāts). Pēc APK lejupielādes ir jāatver Google vīrusa pārbaudes vietne un augšupielādējiet tikko lejupielādēto APK failu. Mēs varam iegūt šī faila jaucējvērtību, lai to meklētu desmitiem vīrusu datu bāzu. Neatkarīgi no tā, vai fails satur ļaunprātīgu kodu utt., var teikt, ka tas ir artefakts, kas nogalina divus putnus ar vienu akmeni.
Visbeidzot, ja vēlaties rīkoties stingrāk, jums vajadzētu pievērst uzmanību arī tam, ka, atverot oficiālās vietnes lejupielādes lapu, jaucējvērtību un lejupielādes saiti sabojā jaucējvērtība ir konsekventa, izmantojot pārlūkprogrammas dažādās vidēs, piemēram, mobilajos tālruņos.
Ja tā maka oficiālās vietnes lejupielādes lapa, kuru gatavojaties lejupielādēt, neatbalsta HTTPS, vispirms ir jāšaubās, vai tā ir īstā oficiālā vietne. Turklāt, ja tā nenodrošina APK faila jaucējvērtības pārbaudi, varat arī šaubīties par šīs maka komandas drošību, šāda izlaidība ir ļoti nepiemērota un bezatbildīga, lūdzu, rūpīgi apsveriet, vai izmantot šo APP. 3. Kā pārbaudīt, vai šobrīd instalētā platforma un maka APP ir droši? Faktiski labākais veids ir ievadīt Android Google Play un IOS AppStore, lai lejupielādētu un instalētu, izmantojot oficiālās vietnes lejupielādes lapu, jo teorētiski Google un Apple App Store drošības faktors ir daudz augstāks nekā oficiālais drošības faktors. no maka, un viņu platformām ir pasaules augstākā līmeņa drošības programmatūra, aparatūra, talantu rezerves, maki vai platformas nav tajā pašā līmenī.
Tāpēc atveriet Google Play un AppStore lapas, izmantojot maka un platformas oficiālās vietnes lejupielādes lapu, un vēlreiz apstipriniet izstrādātāja uzņēmuma nosaukumu, lejupielādes apjomu un pārskatīšanas apjomu (parastajiem makiem ir lieli apjomi, ja nav problēmu, mēs to varam apsvērt). lejupielādētā lietotne pašlaik ir droša.
Ja neesat pārliecināts, vai apk pakotne, kuru pašlaik izmantojat lietojumprogrammas instalēšanai, ir droša, varat sekot iepriekšējiem diviem drošības padomiem, lai apstiprinātu oficiālo informāciju un pārbaudītu jaucējkodu, un pēc tam lejupielādēt to savā tālrunī, lai pārrakstītu instalāciju. neaizmirstiet vispirms izveidot palīga dublējumkopiju, lai novērstu kļūdas pārrakstīšanas procesā, kas izraisa datu zudumu un nevar atjaunot seifu (bet parasti pārrakstīšana vai lietojumprogrammu atjaunināšana neizraisīs datu zudumu). 4. Citi ieteikumi par seifa drošību Ja jūs neizmantojat aukstos makus vai aparatūras makus, drošākais veids ir instalēt to iPhone ierīcē. Pirmkārt, jums ir nepieciešams tikai ārvalstu ID. t ir vajadzīgas visas Android problēmas. Otrkārt, iPhone ir bloķēts pēc šifrēšanas.
Daudzas galvenās ārvalstu lietojumprogrammas (piemēram, Metamask) neatbalsta tikai APK lejupielādi un instalēšanu, jo ir pārāk daudz drošības problēmu. Tomēr daudziem ražotājiem nav citas izvēles, kā tikai piesaistīt jaunus lietotājus, un ir pārāk daudz Android lietotāju, lai atvērtu APK lejupielādes. Ja Android vēlas apiet Lai atvērtu APK, jums ir nepieciešama programmatūra, piemēram, Google Service Framework (tostarp Google Play) un Google Password Verifier. Šajā posmā ir ļoti grūti instalēt trešo pušu risinājumus cilvēku meklēti ir neoficiāli avoti, kas nav droši un nav pietiekami stingri.
Protams, jums ir jāizmanto Android tālrunis. Varat izvēlēties dažus ražotājus, kas joprojām atbalsta Google Family Bucket sistēmu, piemēram, Samsung. Turklāt maka instalēšana ierīcē, kas atbalsta drošības mikroshēmas izolāciju, var kļūt otrs drošības līmenis, ko var sasniegt Tāpat kā Apple tālrunim, tam ir papildu drošības efekts, jo tas nespēj atbloķēt un iegūt sensitīvus datus, ja tie tiek pazaudēti.
5. Ieteikumi platformā APP
Tā kā lielākā daļa CEX platformu izmanto vairākas pārbaudes, tās mazāk ietekmē viltotas lietotnes (kuras hakeriem ir grūtāk), taču jums arī jāpievērš uzmanība, lai pārbaudītu, vai APP iemaksas un izņemšanas adreses atbilst oficiālajā vietnē norādītajām adresēm. lapa Turklāt, lai platformā iespējotu "baltā saraksta" funkciju, līdzekļus var minēt tikai drošā baltā saraksta adresē.
Turklāt lielākais risks, ar ko saskaras platforma CEX, neskaitot divus iepriekš minētos vietējos nolaupījumus un iemaksas un izņemšanas adrešu modifikācijas, ir pikšķerēšana, jo lielākā daļa cilvēku APP, SMS un Google autentifikators ir instalēti vienā un tajā pašā ierīcē Rezultātā, kamēr hakeris kontrolē vai uzrauga ierīci, viņš vai viņa, visticamāk, var kontrolēt šīs trīs informācijas daļas un kontrolēt jūsu platformas līdzekļus.
Tāpēc drošības apsvērumu dēļ nav ieteicams veikt vairākas pārbaudes vienā ierīcē. Varat instalēt Google autentifikatoru citā drošā mobilajā tālrunī vai arī varat izmantot platformas kontu personālajā datorā vai datora tīmekļa lapā, neinstalējot. Lietotne mobilajā tālrunī var novērst vienu klikšķi uz "Explode", lai maksimāli aizsargātu līdzekļu drošību.
03 Kopsavilkums
Drošība nav mazsvarīgs jautājums. Blockchain uzskata, ka par drošības jautājumiem ir vērts runāt katru dienu un visu laiku 99% iespēja, kāpēc ne?