Czy Twój mały lis i portfel imToken są celem? Ataki i phishing na popularne portfele eksplodują na dużą skalę

Ostatnio w branży pojawiły się różne incydenty związane z bezpieczeństwem portfela:
18 kwietnia w społeczności kryptowalut szeroko rozpowszechnił się tweet o skradzionych 5000 monetach ETH przez twórcę portfela MetaMask @tayvano_, w którym twierdzono, że MetaMask ma lukę w zabezpieczeniach, wywołując panikę wśród społeczności. 19 kwietnia MetaMask odpowiedziała, że ​​informacja o kradzieży luki jest nieprawdziwa, ale bada jej źródło.
20 kwietnia urzędnicy imToken przypomnieli, że oszuści podszywali się ostatnio pod urzędników imToken i kontaktowali się z użytkownikami, wysyłając wiadomości tekstowe i inne metody nakłonienia ich do odwiedzenia fałszywych stron internetowych i wprowadzenia fraz mnemonicznych, co spowodowało, że użytkownicy ponieśli straty. 21 kwietnia badacze SlowMist stwierdzili, że Pierwszą reklamą po wyszukaniu „imToken” w Google jest nowy rodzaj witryny phishingowej. Użytkownikom zaleca się nie klikanie linku i zachowanie ostrożności w celu uniknięcia ryzyka.
22 kwietnia Trust Wallet ogłosił, że w adresach nowych portfeli utworzonych w dniach 14–23 listopada ubiegłego roku wystąpiła luka w zabezpieczeniach, w związku z czym stworzono proces rekompensaty dla dotkniętych użytkowników.
Wraz z eksplozją popytu na interakcję w sieciach takich jak DeFi i NFT, branża nie jest już taka, jak na początku. Samo kupowanie monet na CEX i umieszczanie ich na CEX może zaspokoić potrzeby większości inwestorów nawet wszystkie razem. Tokeny są przechowywane we własnym portfelu, co również spowodowało, że branża ta stała się rajem dla hakerów. Od czasu do czasu donoszą, że niektórzy inwestorzy pobierają fałszywe aplikacje z powodu autoryzacji, wycieku kluczy prywatnych lub mają luki w samym portfelu, co skutkuje kradzieżą ich aktywów, ostatecznie okazało się, że to nic. Zapewnienie bezpieczeństwa własnych aktywów stało się podstawową umiejętnością w branży.
Następnie kompleksowo zrozumiemy, jak chronić bezpieczeństwo aktywów blockchain z kilku aspektów, takich jak wiedza związana z portfelem, skradzione skrzynki i wiedza z zakresu ochrony kluczy prywatnych.
Wiedza związana z portfelem
Zanim zapewnisz bezpieczeństwo swoich aktywów, musisz posiadać pewną podstawową wiedzę na temat portfeli w branży, aby lepiej zrozumieć, jak chronić swoje aktywa. Następnie pokrótce przedstawimy kilka powiązanych pojęć.
1. Szyfrowanie symetryczne i szyfrowanie asymetryczne
Zanim zrozumiemy klucz publiczny (prywatny), najpierw krótko zrozumiemy szyfrowanie symetryczne i szyfrowanie asymetryczne w kryptografii. Szyfrowanie symetryczne oznacza, że ​​A może uzyskać B za pomocą określonego algorytmu, a B może odwrotnie odszyfrować A za pomocą tego samego algorytmu. W tym przypadku ten sam algorytm jest używany do szyfrowania i deszyfrowania, co oznacza, że ​​A do A może uzyskać określony algorytm B, ale B nie można odszyfrować odwrotnie za pomocą tego samego algorytmu. Do szyfrowania i deszyfrowania wymagane są różne algorytmy.
 Jak pokazano na rysunku, różnica między szyfrowaniem symetrycznym i asymetrycznym polega na tym, czy klucz publiczny odbiorcy wiadomości i klucz prywatny odbiorcy wiadomości na rysunku są tym samym kluczem.
2. Klucz publiczny (prywatny), fraza mnemoniczna, adres
Po zrozumieniu szyfrowania symetrycznego i asymetrycznego możesz lepiej zrozumieć niektóre podstawowe pojęcia związane z portfelami.
Para kluczy: w szyfrowaniu asymetrycznym istnieje para kluczy, mianowicie klucz publiczny i klucz prywatny. Klucz publiczny jest publiczny, a klucz prywatny nie jest publiczny.
Klucz publiczny: służy do szyfrowania danych. Dane zaszyfrowane kluczem publicznym można odszyfrować wyłącznie przy użyciu klucza prywatnego.
Klucz prywatny: Klucz prywatny może wygenerować klucz publiczny, który służy do odszyfrowania danych zaszyfrowanych kluczem publicznym.
Adres: Odpowiada „kluczowi publicznemu”, ponieważ klucz publiczny jest za długi, istnieje „adres”, a adres jest generowany przez klucz publiczny.
Mnemonik: Odpowiadający „kluczowi prywatnemu”, ponieważ klucz prywatny jest losowo generowanym ciągiem znaków, który jest zbyt długi i trudny do zapamiętania, stworzono zestaw słów czytelnych dla człowieka, aby zastąpić klucz prywatny i pomóc użytkownikom zapamiętać klucz prywatny. , zwykle 12 nieregularnych fraz. (klucz prywatny = fraza mnemoniczna)
Sieć źródłowa obrazu: proces transakcji w łańcuchuPodpis elektroniczny: W przypadku określonej informacji (przekazujesz komuś 100 Ethereum) informacja ta musi zostać podpisana Twoim kluczem prywatnym, a następnie przesłana do blockchainu.
Weryfikacja podpisu: Odbiorca może sprawdzić za pomocą Twojego klucza publicznego, czy wiadomość rzeczywiście jest podpisana Twoim kluczem prywatnym, czyli tym, co opublikowałeś, a zapis transakcji znajduje się w łańcuchu. Zatem ktokolwiek kontroluje klucz prywatny, kontroluje portfel.
Aby to łatwo zrozumieć, klucz publiczny (adres) jest odpowiednikiem numeru konta, a klucz prywatny (fraza mnemoniczna) jest odpowiednikiem numeru konta + hasła (klucz prywatny może wygenerować klucz publiczny).
Używając analogii do karty bankowej, klucz publiczny = konto bankowe, adres = numer karty bankowej, hasło = hasło do karty bankowej, klucz prywatny = numer karty bankowej + hasło do karty bankowej, mnemoniczny = klucz prywatny = numer karty bankowej + hasło do karty bankowej, Magazyn kluczy + hasło = klucz prywatny.
3. Zapisanie klucza prywatnego (fraza mnemoniczna)
Twoje monety nie są przechowywane w aplikacji Twojego portfela, ale pod adresem odpowiadającym kluczowi prywatnemu w sieci blockchain. Tak długo jak posiadasz klucz prywatny, możesz logować się do wszystkich portfeli za pomocą klucza prywatnego (ten portfel Cię obsługuje łańcuch monet), portfel jest jedynie interfejsem do wyświetlania środków na koncie i nie przechowuje Twojego klucza prywatnego.
Jeśli klucz prywatny zostanie zgubiony, oznacza to, że Twoje aktywa również zostaną utracone i nie będzie można ich odzyskać za pośrednictwem portfela. Podczas pierwszej rejestracji portfela strona portfela z reguły przypomina o tym użytkownikom. Różni się to całkowicie od QQ i WeChat, z których korzystaliśmy wcześniej. Jeśli hasło zostanie utracone, można je zweryfikować poprzez weryfikację za pomocą telefonu komórkowego, zadawanie pytań i weryfikację znajomych. Oczywiście na tym polega również decentralizacja blockchain. Twoje aktywa są całkowicie Be Twój własny.
4.Typy portfeli
W zależności od tego, czy klucz prywatny jest podłączony do Internetu, portfele można podzielić na portfele gorące i portfele zimne, jak pokazano na powyższym rysunku.
Gorący portfel: portfel klienta, portfel wtykowy, aplikacja mobilna.
Jest łatwy w użyciu, łatwy w obsłudze dla nowicjuszy, ma stosunkowo wysoką wydajność w transferach transakcji, ale ma słabe bezpieczeństwo i łatwo go ukraść.
Zimny ​​portfel: portfel sprzętowy.
Ma wysoki poziom bezpieczeństwa i nadaje się do przechowywania dużych ilości zasobów. Skomplikowane tworzenie, kłopotliwe transfery, uszkodzenie sprzętu lub utrata kluczy prywatnych mogą spowodować utratę zasobów cyfrowych.
Z powyższego możemy wiedzieć, że klucz prywatny jest wszystkim, a wszystkie nasze środki mające na celu ochronę zasobów mają w rzeczywistości na celu ochronę klucza prywatnego, ochronę klucza prywatnego i ochronę klucza prywatnego. (Zapobiegaj zgubieniu i zdobyciu klucza prywatnego przez inne osoby)
Skradzione skrzynki
Po zrozumieniu odpowiednich pojęć przyjrzyjmy się obecnie głównym przypadkom strat. Dzięki tym sprawom możemy lepiej chronić własne portfele.
1. Wyciek klucza prywatnego (fraza mnemoniczna)
Na początku 2021 roku Yiren, założyciel Making Money Youshu, zapisał klucz prywatny Bitcoin w Cloud Notes, co spowodowało utratę ośmiocyfrowych aktywów w BTC.
22 listopada skradziono aktywa cyfrowe założyciela Fenbushi Capital, Shen Bo, o wartości 42 milionów dolarów. Skradzione aktywa obejmowały: 38 233 180 USDC, 1607 ETH, 719 760 USDT i 4,13 BTC. Według późniejszej analizy agencji bezpieczeństwa Slow Mist przyczyną kradzieży był wyciek mnemonicznego wyrażenia.
2. Klucz prywatny (fraza mnemoniczna) został utracony
Brytyjski inżynier IT James Howells stracił w 2013 roku dysk twardy swojego komputera, na którym znajdowało się 8 000 bitcoinów. Dziewięć lat później planował wydać 74,3 miliona dolarów na szperanie po złomowiskach w celu odzyskania dysku twardego komputera.
3. Kliknij łącze wirusa
Użytkownik losowo kliknął link przesłany przez innych, co spowodowało, że hakerzy odczytali lokalną zaszyfrowaną kopię zapasową metamaski i wszystkie zasoby zostały skradzione.
Twitter KOL klika prywatny link przesłany przez innych, powodując kradzież konta na Twitterze, a następnie publikuje informacje o trujących zrzutach, wykorzystując zaufanie fanów do KOL, aby kliknąć link w celu kradzieży aktywów fanów.
4. Dowolna autoryzacja może prowadzić do powstania luk w aplikacji.
2 października firma Token Pocket DEX Transit Swap oficjalnie oświadczyła, że ​​padła ofiarą ataku hakerskiego, w wyniku którego straty aktywów przekroczyły 15 milionów dolarów, i przypomniała użytkownikom o anulowaniu autoryzacji.
11 października portfel wtyczek Rabby opracowany przez zespół DeBank stwierdził, że jego umowa Swap ma lukę w zabezpieczeniach i zalecił użytkownikom anulowanie autoryzacji Rabby Swap. Ostatecznie haker zarobił ponad 190 000 dolarów.
5. Pobierz fałszywą aplikację (z oprogramowaniem antywirusowym)
Po tym, jak niektórzy hakerzy uzyskają informacje o użytkownikach platformy, rozsyłają do nich wiadomości paniki za pomocą wiadomości tekstowych. Platforma nie jest już bezpieczna. Aby ponownie zainstalować aplikację lub zalogować się na konto, muszą kliknąć łącze są kradzione.
Użytkownik pobrał fałszywą aplikację Binance i podczas przesyłania pieniędzy przelał je na adres innej osoby, w wyniku czego 5 aktywów ETH zostało całkowicie utraconych.
Z powyższych przypadków widać, że zasoby użytkowników są kradzione głównie w następujących sytuacjach: wyciek kluczy prywatnych (frazy mnemoniczne), utrata kluczy prywatnych (frazy mnemoniczne), kliknięcie łączy wirusowych, samowolna autoryzacja i luki w zabezpieczeniach aplikacji w kilku sytuacjach, takich jak pobranie fałszywej aplikacji (z oprogramowaniem antywirusowym).
Następnie ustalmy, jakich metod można użyć, aby uniknąć powyższej sytuacji.
Jak uniknąć szkód materialnych
1. Przechowywanie kluczy prywatnych (rdzeń: niełatwy do zgubienia, niełatwy do uszkodzenia i niemożliwy do uzyskania dostępu lub wykorzystania przez inne osoby)
Utwórz kopię zapasową portfela natychmiast po jego wygenerowaniu, podwójną kopię zapasową, ponieważ raz utraconej nie można odzyskać.
Fraza mnemoniczna jest przechowywana na nośniku, który nie jest podłączony do Internetu i nie można jej łatwo zgubić ani uszkodzić, na przykład kopiując ją na papierze i samodzielnie szyfrując (dodając lub odejmując określone znaki w celu ułatwienia zapamiętania); nigdy nie podłączony do Internetu; istnieją portfele Dostawcy sprzedają żelazne tabliczki powiązane z frazami mnemonicznymi.
Użyj zimnego portfela (portfela sprzętowego) i wybierz dobrze znany zimny portfel; kupuj za pośrednictwem oficjalnych kanałów, a nie kanałów stron trzecich (kanały stron trzecich mogą zawierać wirusy), aby temu zapobiec, ustaw silne hasło i wykonaj kopię zapasową klucza prywatnego; portfel sprzętowy przed zgubieniem lub uszkodzeniem.
2. Zapobiegaj wyciekowi klucza prywatnego (frazy mnemonicznej).
Nie kopiuj i nie wklejaj klucza prywatnego, niektóre programy mogą czytać schowek użytkownika
Nie zapisuj klucza prywatnego w kolekcji WeChat, przesyłaj pliki, Baidu Cloud, Evernote i innych platformach internetowych
Nigdy nie mów nikomu o swoim kluczu prywatnym. Pamiętaj, że to ktokolwiek inny, podszywając się pod urzędników portfela, aby oszukać Twój klucz prywatny. Osoba obsługująca portfel nie ma prawa uzyskać klucza prywatnego użytkownika.
Nie kopiuj i nie wklejaj kluczy prywatnych podczas korzystania z publicznej sieci Wi-Fi
Aby pobrać różne aplikacje, powinieneś udać się do oficjalnych kanałów. Czasami nie wszystkie sklepy z aplikacjami są godne zaufania (pamiętaj, wszystkie) i pojawiają się fałszywe aplikacje.
Zachowaj ostrożność podczas podpisywania swojego portfela. W przypadku intensywnych użytkowników protokołów DeFi i interakcji NFT pamiętaj o cofnięciu autoryzacji w odpowiednim czasie, aby zapobiec kradzieży zasobów z powodu luk w aplikacji.
Nie klikaj dowolnie linków (wiadomości tekstowych) wysyłanych przez inne osoby, nie pobieraj plików udostępnionych przez innych, a nawet nie klikaj według własnego uznania niektórych łączy KOL, ponieważ mogą one zawierać wirusy.
Gdy stwierdzisz, że w Twoim portfelu nastąpił wyciek aktywów, powinieneś jak najszybciej go porzucić i nie ryzykować.
Nie korzystaj z bezpłatnej sieci VPN
Bądź na bieżąco z aktualnościami i dowiaduj się o nowych skradzionych informacjach w czasie rzeczywistym
Wszystkie powyższe środki mają w rzeczywistości chronić Twój klucz prywatny przed wyciekiem. Nie Twój klucz, nie Twoja moneta!
3. Aktywa są lokowane w sposób rozproszony
Możesz rozdysponować własne środki w portfelach i platformach transakcyjnych Chociaż incydent z FTX doprowadził do braku zaufania do scentralizowanych platform transakcyjnych, dla większości ludzi lepiej jest umieścić swoje aktywa na kilku wiodących scentralizowanych platformach transakcyjnych, niż je trzymać. w swoich rękach Jest to stosunkowo bezpieczniejsze i wygodniejsze niż portfel, o ile strata nie jest szczególnie duża, na rekompensatę może pozwolić sobie na ogół kilka wiodących platform.
Korzystając ze scentralizowanej platformy transakcyjnej, należy zwrócić uwagę na kilka punktów:
Włącz potrójną weryfikację (telefon komórkowy, e-mail, weryfikacja dwuetapowa Google)
Włącz białą listę wypłat monet
Pobierz aplikację z oficjalnych kanałów
Przesyłając pieniądze, sprawdź, czy adres jest poprawny
Dzięki powyższej wiedzy początkujący użytkownicy mogą kompleksowo zrozumieć odpowiednią wiedzę na temat bezpieczeństwa zasobów blockchain i wzrostu liczby interakcji w łańcuchu, korzystanie z portfeli stopniowo stanie się ważnymi podstawowymi umiejętnościami i różnymi środkami. w rzeczywistości nie są całkowicie bezpieczne, ale mówiąc relatywnie, mogą pozwolić nam uniknąć większości pułapek. Wraz z rozwojem technologii blockchain będą nadal pojawiać się nowe problemy, wymagające od nas ciągłego doskonalenia własnych zasobów wiedzy.
Niewielkie kwoty środków nie muszą być oszczędzane zgodnie z powyższą metodą, jednak przy zapisywaniu dużych pozycji należy zachować ostrożność i ostrożność, ponieważ jeden błąd z Twojej strony może spowodować, że zostaniesz wyrzucony z pociągu blockchain na zawsze .