Sua pequena raposa e carteira imToken estão sendo alvo? Ataques e phishing direcionados às carteiras convencionais estão explodindo em grande escala

Vários incidentes de segurança de carteira surgiram recentemente na indústria:
Em 18 de abril, um tweet sobre 5.000 moedas ETH roubadas pelo desenvolvedor da carteira MetaMask @tayvano_ foi amplamente divulgado na comunidade criptográfica, acreditando que MetaMask tinha uma vulnerabilidade, causando pânico na comunidade. Em 19 de abril, a MetaMask respondeu que era falso que a vulnerabilidade tivesse sido roubada, mas estava estudando a origem da vulnerabilidade.
Em 20 de abril, funcionários do imToken lembraram que fraudadores recentemente se passaram por funcionários do imToken e contataram usuários enviando mensagens de texto e outros métodos para induzi-los a visitar sites falsos e inserir frases mnemônicas, fazendo com que os usuários sofressem perdas de ativos. Em 21 de abril, pesquisadores do SlowMist disseram O principal anúncio após a pesquisa por "imToken" no Google é um novo tipo de site de phishing. Os usuários são aconselhados a não clicar no link e ter cuidado para evitar riscos.
No dia 22 de abril, a Trust Wallet divulgou um comunicado informando que havia uma vulnerabilidade nos endereços das novas carteiras criadas de 14 a 23 de novembro do ano passado, e foi criado um processo de compensação para os usuários afetados.
Com a explosão da demanda por interação em cadeias como DeFi e NFT, a indústria não é mais como antigamente. Apenas comprar moedas na CEX e colocá-las na CEX pode atender às necessidades da maioria dos investidores. até mesmo todos os tokens são mantidos na própria carteira, o que também fez com que esta indústria se tornasse um paraíso para hackers. De vez em quando, é relatado que alguns investidores baixam APPs falsos devido a autorização, vazam chaves privadas ou apresentam vulnerabilidades. na própria carteira, resultando no roubo de seus ativos, no final acabou não sendo nada. Garantir a segurança de seus próprios ativos tornou-se uma habilidade essencial no setor.
A seguir, entenderemos de forma abrangente como proteger a segurança dos ativos blockchain de vários aspectos, como conhecimento relacionado à carteira, casos roubados e conhecimento de proteção de chaves privadas.
Conhecimento relacionado à carteira
Antes de garantir a segurança de seus ativos, você precisa ter um certo conhecimento de alguns conhecimentos básicos sobre carteiras no setor para poder entender melhor como proteger seus ativos. A seguir, apresentamos brevemente alguns conceitos relacionados.
1. Criptografia simétrica e criptografia assimétrica
Antes de compreender a chave pública (privada), primeiro entendemos brevemente a criptografia simétrica e a criptografia assimétrica na criptografia. Criptografia simétrica significa que A pode obter B por meio de um determinado algoritmo e, por sua vez, B pode descriptografar A por meio do mesmo algoritmo. Aqui, o mesmo algoritmo é usado para criptografia e criptografia assimétrica significa que A por meio de um determinado algoritmo pode obter. B, mas B não pode ser descriptografado reversamente por meio do mesmo algoritmo. Diferentes algoritmos são necessários para criptografia e descriptografia aqui.
 Conforme mostrado na figura, a diferença entre criptografia simétrica e criptografia assimétrica reside no fato de a chave pública do destinatário da mensagem e a chave privada do destinatário da mensagem na figura serem a mesma chave.
2. Chave pública (privada), frase mnemônica, endereço
Depois de compreender a criptografia simétrica e a criptografia assimétrica, você poderá entender melhor alguns conceitos básicos relacionados às carteiras.
Par de chaves: Na criptografia assimétrica, existe um par de pares de chaves, nomeadamente a chave pública e a chave privada. A chave pública é pública e a chave privada não é pública.
Chave pública: usada para criptografar dados criptografados com a chave pública só podem ser descriptografados usando a chave privada.
Chave privada: A chave privada pode gerar uma chave pública, que é usada para descriptografar os dados criptografados pela chave pública.
Endereço: Correspondente à “chave pública”, pois a chave pública é muito longa, existe um “endereço”, e o endereço é gerado pela chave pública.
Mnemônico: Correspondente à "chave privada", porque a chave privada é uma string gerada aleatoriamente que é muito longa e difícil de lembrar, um conjunto de palavras legíveis por humanos foi criado para substituir a chave privada para ajudar os usuários a lembrar a chave privada. , geralmente 12 frases irregulares. (chave privada = frase mnemônica)
Rede de origem de imagens: processo de transação on-chainAssinatura eletrônica: Para uma determinada informação (você transfere 100 Ethereum para alguém), essa informação precisa ser assinada por sua chave privada e depois transmitida para o blockchain.
Verificação de assinatura: O destinatário pode verificar através de sua chave pública se a mensagem está realmente assinada por sua chave privada, que é o que você publicou, e o registro da transação está na cadeia. Portanto, quem controla a chave privada controla a carteira.
Para simplificar, a chave pública (endereço) equivale ao número da sua conta, e a chave privada (frase mnemônica) equivale ao número da sua conta + senha (a chave privada pode gerar uma chave pública).
Usando a analogia do cartão bancário, chave pública = conta bancária, endereço = número do cartão bancário, senha = senha do cartão bancário, chave privada = número do cartão bancário + senha do cartão bancário, mnemônico = chave privada = número do cartão bancário + senha do cartão bancário, Keystore + senha = chave privada,.
3. Salvamento da chave privada (frase mnemônica)
Suas moedas não são armazenadas no APP da sua carteira, mas no endereço correspondente à chave privada na rede blockchain. Contanto que você tenha a chave privada, você pode fazer login em todas as carteiras através da chave privada (esta carteira oferece suporte para você). cadeia de moedas), a carteira é apenas um front-end para exibir os fundos da conta e não armazena sua chave privada.
Se a chave privada for perdida, significa que seus ativos também serão perdidos e não poderão ser recuperados através da carteira. Ao registrar uma carteira pela primeira vez, a página da carteira geralmente lembrará os usuários disso. Isso é completamente diferente do QQ e do WeChat que usamos antes. Se a senha for perdida, ela poderá ser verificada por meio de verificação de telefone celular, perguntas e verificação de amigos. Claro, esse também é o charme da descentralização do blockchain. seu próprio.
4.Tipos de carteira
Dependendo se a chave privada está conectada à Internet, as carteiras podem ser divididas em carteiras quentes e carteiras frias, conforme mostrado na figura acima.
Carteira quente: carteira de cliente, carteira plug-in, APP móvel.
É fácil de usar, fácil de operar para iniciantes, tem eficiência relativamente alta em transferências de transações, mas tem pouca segurança e é fácil de ser roubado.
Carteira fria: carteira de hardware.
Possui alta segurança e é adequado para armazenar grandes quantidades de ativos. Criação complexa, transferências problemáticas, danos ao hardware ou perda de chaves privadas podem causar a perda de ativos digitais.
Do exposto, podemos saber que a chave privada é tudo, e todas as nossas medidas para proteger os activos são, na verdade, para proteger a chave privada, proteger a chave privada e proteger a chave privada. (Evitar que a chave privada seja perdida e obtida por terceiros)
Casos roubados
Depois de compreender os conceitos relevantes, vamos dar uma olhada nos principais casos de perda atualmente. Através dos casos, podemos proteger melhor as nossas próprias carteiras.
1.Vazamento de chave privada (frase mnemônica)
No início de 2021, Yiren, o fundador do Making Money Youshu, salvou a chave privada do Bitcoin no Cloud Notes, resultando na perda de ativos de oito dígitos no BTC.
Em 22 de novembro, os ativos digitais do fundador da Fenbushi Capital, Shen Bo, no valor de US$ 42 milhões, foram roubados. Os ativos roubados incluíam: 38.233.180 USDC, 1.607 ETH, 719.760 USDT e 4,13 BTC. Segundo análise posterior da agência de segurança Slow Mist, o roubo foi causado pelo vazamento da frase mnemônica.
2. A chave privada (frase mnemônica) foi perdida
O engenheiro de TI britânico James Howells perdeu o disco rígido do seu computador em 2013, que continha 8.000 Bitcoins. Nove anos depois, ele planejou gastar US$ 74,3 milhões vasculhando ferros-velhos para recuperar o disco rígido do computador.
3. Clique no link do vírus
Um usuário clicou aleatoriamente em um link enviado por outras pessoas, fazendo com que os hackers lessem o backup criptografado local da metamask e todos os ativos fossem roubados.
O Twitter KOL clica no link privado enviado por outras pessoas, fazendo com que a conta do Twitter seja roubada e, em seguida, publica informações venenosas de lançamento aéreo, usando a confiança dos fãs no KOL para clicar no link e roubar os ativos dos fãs.
4. A autorização à vontade pode levar a vulnerabilidades no aplicativo.
Em 2 de outubro, o DEX Transit Swap da Token Pocket declarou oficialmente que havia sofrido um ataque de hacker, com perdas de ativos superiores a US$ 15 milhões, e lembrou aos usuários que cancelassem a autorização.
Em 11 de outubro, a carteira plug-in Rabby desenvolvida pela equipe do DeBank alegou que seu contrato de Swap tinha uma vulnerabilidade e recomendou que os usuários cancelassem a autorização do Rabby Swap. No final, o hacker ganhou mais de US$ 190.000.
5. Baixe o APP falso (com software antivírus)
Depois que alguns hackers obtêm informações do usuário da plataforma, eles espalham mensagens de pânico aos usuários por meio de mensagens de texto. A plataforma não é mais segura. Eles precisam clicar no link para reinstalar o aplicativo ou fazer login na conta. são roubados.
Um usuário baixou um aplicativo falso da Binance e ao transferir dinheiro, transferiu-o para o endereço de outra pessoa, e 5 ativos ETH foram completamente perdidos.
Podemos ver nos casos acima que os ativos do usuário são roubados principalmente nas seguintes situações: vazamento de chaves privadas (frases mnemônicas), perda de chaves privadas (frases mnemônicas), cliques em links de vírus, autorização arbitrária e vulnerabilidades de aplicativos. diversas situações como download de APP falso (com software antivírus).
A seguir, vamos descobrir quais métodos podem ser usados ​​para evitar a situação acima.
Como evitar danos materiais
1. Armazenamento de chaves privadas (essencial: não é fácil de perder, não é fácil de danificar, não pode ser acessado por terceiros ou não pode ser usado por terceiros)
Faça backup da carteira imediatamente após sua geração, backup duplo, pois uma vez perdida não poderá ser recuperada.
A frase mnemônica é armazenada em um meio que não está conectado à Internet e não é facilmente perdido ou danificado, como copiá-lo em papel e criptografá-lo você mesmo (adicionando ou subtraindo caracteres específicos para facilitar a localização de um armazenamento na câmera); nunca conectado à Internet; existem alguns provedores de carteiras que vendem placas de ferro relacionadas a frases mnemônicas.
Use uma carteira fria (carteira de hardware) e escolha uma carteira fria bem conhecida, compre em canais oficiais e não através de canais de terceiros (canais de terceiros podem conter vírus, defina uma senha forte e faça backup da chave privada para evitar); a carteira de hardware seja perdida ou danificada.
2. Evitar vazamento de chave privada (frase mnemônica)
Não copie e cole a chave privada, alguns softwares podem ler a área de transferência do usuário
Não salve a chave privada na coleta do WeChat, transferência de arquivos, Baidu Cloud, Evernote e outras plataformas online
Nunca conte a ninguém sua chave privada. Lembre-se, é qualquer pessoa. Alguns golpistas fingem ser funcionários da carteira para fraudar sua chave privada.
Não copie e cole chaves privadas ao usar Wi-Fi público
Para baixar vários aplicativos, você deve ir aos canais oficiais. Às vezes, todas as lojas de aplicativos não são confiáveis ​​(lembre-se, todas) e existem aplicativos falsos.
Tenha cuidado ao assinar sua carteira. Para usuários frequentes de protocolos DeFi e interações NFT, lembre-se de revogar a autorização a tempo de evitar roubo de ativos devido a vulnerabilidades no aplicativo.
Não clique em links (mensagens de texto) enviados por terceiros à vontade, baixe arquivos compartilhados por terceiros ou mesmo clique em alguns links KOL à vontade, pois eles podem conter vírus.
Depois de descobrir que há algum vazamento de ativos em sua carteira, você deve abandoná-la o mais rápido possível e não se arriscar.
Não use uma VPN gratuita
Acompanhe as novidades e saiba mais sobre novas informações roubadas em tempo real
Todas as medidas acima são, na verdade, para proteger sua chave privada de vazamento. Nem sua chave, nem sua moeda!
3. Os ativos são colocados de forma dispersa
Você pode distribuir seus próprios fundos em carteiras e plataformas de negociação Embora o incidente da FTX tenha levado à falta de confiança nas plataformas de negociação centralizadas, para a maioria das pessoas é melhor colocar seus ativos em algumas plataformas de negociação centralizadas e líderes do que mantê-los. em suas próprias mãos.É relativamente mais seguro e conveniente do que uma carteira. Desde que a perda não seja particularmente grande, várias plataformas líderes geralmente podem arcar com a compensação.
Existem vários pontos a serem observados ao usar uma plataforma de negociação centralizada:
Ative a verificação tripla (telemóvel, e-mail, verificação em duas etapas do Google)
Ativar lista branca de retirada de moedas
Baixe o aplicativo dos canais oficiais
Ao transferir dinheiro, confirme se o endereço está correto
Através do conhecimento acima relacionado, os usuários novatos podem ter uma compreensão abrangente do conhecimento relevante da segurança de ativos blockchain. Com o desenvolvimento do blockchain e o aumento das interações na cadeia, o uso de carteiras se tornará gradualmente uma habilidade básica importante e várias medidas. na verdade, não são absolutamente seguros, mas relativamente falando, podem permitir-nos evitar a maioria das armadilhas. Com o desenvolvimento da blockchain, novos problemas continuarão a surgir, exigindo-nos que continuemos a melhorar a nossa própria reserva de conhecimento.
Pequenas quantias de fundos não precisam ser economizadas de acordo com o método acima, mas você deve ser cauteloso e cauteloso ao salvar grandes posições, porque um erro de sua parte pode fazer com que você seja jogado para fora do trem do blockchain para sempre. .