Инциденты, связанные с безопасностью криптоактивов, происходят часто. Как обеспечить безопасность платформы и приложения кошелька, которые вы используете?

Автор: Му Му, народный блокчейн
Безопасность активов всегда была распространенной и важной темой в индустрии шифрования. Однако, согласно обычным наблюдениям за блокчейном, хотя наука о безопасности часто популяризируется, не многие люди действительно обращают внимание на вопросы безопасности, потому что общий менталитет многих людей таков: « Это вполне вероятно. «Три дыни и два финика — не моя очередь. Вместо этого они часто думают, что обязательно настанет их очередь выиграть в лотерею с меньшей вероятностью, чем эта».
Фактически, с распространением криптоактивов инциденты безопасности, направленные против активов отдельных пользователей, происходят часто. Независимо от того, являются ли крупные инвесторы или розничные инвесторы, эти инциденты часто случаются вокруг нас, и они больше не являются редким событием.
Итак, начиная с наиболее распространенных в последнее время инцидентов, связанных с безопасностью личных активов пользователей, давайте посмотрим на проблемы безопасности, которые тесно связаны с нами. Самое важное, от чего приходится нести основную тяжесть: как убедиться, что вы используете платформу и приложение кошелька. использование безопасно?
01 Обязательно ли безопасны «официальные каналы»?
Большинство людей думают, что обеспечить безопасность платформы и приложения кошелька легко. Просто найдите «официальные каналы», верно? На самом деле, не обязательно...
1. «Официальный веб-сайт» больше похож на официальный веб-сайт, чем на официальный веб-сайт. Все знают, что нужно искать «официальный веб-сайт», но, взяв в качестве примера обычные кошельки, можете ли вы сразу перечислить их точные адреса официальных веб-сайтов? Сразу тест «задай вопросы»:
Большинство людей могут выбрать A и B. Согласно повседневной практике, многие люди думают, что название бренда + .com или суффикс io — это официальный сайт с «силой бренда». Однако на самом деле многие команды начинали как небольшие предпринимательские компании. команды в первые дни. Официальное доменное имя, зарегистрированное в то время, было очень «зашифрованным», и правильный ответ на самом деле был C.
По той же причине официальные команды этих кошельков, возможно, даже не рассматривали возможность регистрации товарных знаков, когда они начинали... Затем товарный знак бренда регистрировали другие, а затем другие могли использовать товарный знак для приобретения услуг по защите бренда в некоторых поисковых системах. и в результатах поиска очень сбивает с толку ставить знак сертификации «официальный бренд» или услуги по продвижению покупок, чтобы всегда занимать первое место. Это произошло только за последние два года. До сих пор при поиске «официального сайта кошелька xxx» в некоторых основных поисковых системах результаты на первых нескольких страницах, скорее всего, были поддельными.
Эти «официальные веб-сайты», которые являются более официальными, чем официальные веб-сайты, действительно «попали в ловушку» многих людей, поскольку они также являются одним из методов с более низкой стоимостью и более высоким уровнем успеха для хакеров. 2. Что делать, если вы знаете адрес официального сайта? Многие люди думают, что если вы введете правильное официальное доменное имя, загружаемое приложение будет безопасным. Однако кое-что еще случается. В недавнем инциденте с безопасностью кошелька Bitkeep BitKeep объявил, что после предварительного расследования, проведенного командой, есть подозрения, что некоторые загрузки APK-пакетов были взломаны хакерами и установлены пакеты с кодами, имплантированными хакерами. Проще говоря, пакет APK, загруженный некоторыми пользователями, был «захвачен» хакерами во время процесса, загружен и установлен в «кошелек», специально обработанный хакером. Давайте включим его в качестве неофициального «поддельного кошелька» для этого процесса. время.
Основная причина, упомянутая в объявлении, - «взлом». Поскольку существует множество методов и ссылок «перехвата», пока неясно, какая ссылка вызвала проблему, но мы можем говорить о том, как хакеры обычно заставляют пользователя явно войти на «официальный сайт». «Доменное имя, но загруженное в поддельный кошелек: первый метод — использовать локальный файл Localhost для ручного создания сценария для запускаемого устройства ПК или для установки вредоносного ПО или вирусов через уязвимости. Изменяя файл Localhost локального хоста, этот метод может напрямую изменить указанное доменное имя. Указав IP неофициального сервера (например, «официальной» страницы, подготовленной хакерами), то есть после открытия браузера и ввода точного доменного имени вы получите доступ к веб-сайту, предоставленному хакера и загрузите поддельное приложение. Второй метод заключается в непосредственном манипулировании страницей, открытой в локальном браузере или приложении. Когда вы открываете определенные веб-сайты платформы или страницы кошелька, вы можете напрямую изменять контент, отображаемый на конкретной веб-странице, с помощью плагина браузера, например, указывая на значок. Кнопка загрузки приложения на ссылку для загрузки приложения. Замените адрес адресом, подготовленным хакером, замените адрес ввода и вывода активов на адрес хакера, а также прочитайте и измените адрес кошелька или закрытый ключ в буфере обмена. Что касается того, имеет ли плагин браузера разрешение на изменение веб-страницы, не беспокойтесь об этом, потому что почти большинство плагинов браузера имеют такое разрешение. Если вы внимательно понаблюдаете, вы обнаружите, что даже наш часто используемый Little Fox. У кошелька также есть такое разрешение… Не так давно произошел инцидент, когда люди, загрузившие верхнюю версию CEX, обнаружили, что даже наше часто используемое поддельное приложение привело к замене адресов депозита и вывода средств, что привело к потере активов. Третий тип, удаленный перехват DNS, изменение записи разрешения доменного имени и взлом сервера производителя приложения, — это проблемы, принадлежащие удаленным поставщикам интернет-услуг. Они возникают редко, а стоимость и сложность также очень высоки, но они случаются и случаются. они также используют аналогичный метод «отравления», позволяющий доменному имени, которое вы посещаете, преобразовать в адрес хакера. Кроме того, если учетная запись поставщика услуг доменных имен украдена, что приводит к изменению разрешения доменного имени и т. д., это может привести к вводу официального адреса веб-сайта, но входу на хакерский веб-сайт. Кроме того, если взломают самих производителей приложений, им нечего будет сказать. Это ситуации, которые мы не можем контролировать.
02 совета по безопасности для народного блокчейна
Узнав, что хакеры могут захватывать даже официальные сайты, я вынужден сетовать, что это «невозможно предотвратить». Что же мне делать? На самом деле, эти проблемы безопасности существуют не только в области шифрования. В эпоху цифровых технологий у любого приложения есть проблемы с безопасностью, включая банки и сторонние платежные приложения. Поэтому мы подвели итоги на основе. Прошлый опыт. Некоторые соответствующие советы по безопасности для справки: 1. При использовании защиты от взлома HTTPS для ввода правильного официального имени домена обязательно добавьте https:// в начале имени домена. Это очень полезно. URL-адрес, если существует риск локального перехвата или удаленного перехвата DNS, обычно над адресной строкой браузера появляется «небезопасное» красное предупреждение и различные предупреждения, такие как риски безопасности страницы. Конкретный принцип не будет подробно описан. также является одним из распространенных применений асимметричного шифрования. Использование Для предотвращения взлома используется асимметричная проверка зашифрованных подписей, чтобы гарантировать, что вы получаете доступ к официальным веб-страницам.
На самом деле, многие веб-сайты на стороне проекта и даже веб-сайты DeFi не используют или вынуждены использовать HTTPS для развертывания веб-сайтов. Это совершенно неразумно. Трудно почувствовать заботливое отношение и профессионализм команды. 2. Проверьте хеш-файл APK-файла. По некоторым особым причинам пользователи телефонов Android не могут загружать приложения напрямую через Google Play и могут загружать только установочные пакеты APK. Большинство нарушений безопасности приложений происходят при замене APK или загрузке поддельного APK. .вопрос, то надо убедиться, что APK предоставлен официально.
Сначала используйте HTTPS, чтобы открыть официальный сайт и войти на страницу загрузки. Внимательные студенты могут заметить, что на некоторых страницах загрузки обычно есть ссылка со словами «Проверка безопасности приложения» или SHA256. По оценкам, 80% людей не будут читать. запросы безопасности, и 90% людей не нажимали на ссылку проверки, чтобы просмотреть содержимое и проверить его... После нажатия на ссылку проверки безопасности или ссылку SHA256 мы увидим хэш-значение, соответствующее официально объявленному файлу установочного пакета APK. (при наличии каких-либо модификаций файла, хаш-значение будет полностью изменено). После скачивания APK-файла мы рассчитываем, что его хэш-значение соответствует официальному, а это значит, что файл не был заменен. После загрузки APK наступает ключевой шаг. Откройте веб-сайт проверки на вирусыvirustotal.com, принадлежащий Google, и загрузите только что загруженный APK-файл. Мы можем получить хеш-значение этого файла для сравнения и выполнить поиск по десяткам вирусных баз данных. Независимо от того, содержит ли файл вредоносный код и т. д., можно сказать, что это артефакт, который убивает двух зайцев одним выстрелом.
Наконец, если вы хотите быть более строгим, вам также следует обратить внимание на то, что хэш-значение и ссылка для скачивания подделываются местными вирусами и плагинами при открытии официальной страницы загрузки веб-сайта. Затем вы можете еще раз проверить, есть ли это. хеш-значение единообразно в браузерах в разных средах, например на мобильных телефонах.
Если страница загрузки официального сайта кошелька, который вы собираетесь загрузить, не поддерживает HTTPS, первое, в чем вам следует усомниться, — это настоящий официальный сайт. Кроме того, если он не обеспечивает проверку хеш-значения APK-файла, Вы также можете усомниться в безопасности этой команды кошелька, такое упущение очень неуместно и безответственно. Пожалуйста, внимательно подумайте, стоит ли использовать это приложение. 3. Как проверить, безопасны ли установленные в данный момент платформа и приложение кошелька? На самом деле, лучший способ — войти в Android Google Play и IOS AppStore для загрузки и установки через страницу загрузки официального сайта, поскольку теоретически фактор безопасности Google и Apple App Store намного выше официального фактора безопасности. кошелька, а их платформы имеют программное обеспечение и оборудование для обеспечения безопасности высшего уровня в мире, кадровые резервы, кошельки или платформы не находятся на том же уровне, что и они.
Поэтому откройте страницы Google Play и AppStore через страницу загрузки официального сайта кошелька и платформы и еще раз подтвердите название компании разработчика, объем загрузок и объем обзоров (основные кошельки имеют большие объемы, если нет проблем, мы можем это учитывать). загруженное приложение в настоящее время безопасно.
Если вы не уверены, безопасен ли пакет apk, который вы сейчас используете для установки приложения, вы можете следовать двум предыдущим советам по безопасности, чтобы подтвердить официальный и проверить хэш, а затем загрузить его на свой телефон, чтобы перезаписать установку. не забудьте сначала создать резервную копию помощника. Запомните слова, чтобы предотвратить ошибки в процессе перезаписи, ведущие к потере данных и невозможности восстановления кошелька (но обычно перезапись установки или обновления приложений не приводит к потере данных). 4. Другие предложения по безопасности кошелька. Если вы не используете холодные или аппаратные кошельки, а также любителям горячих кошельков, самый безопасный способ — установить его на устройство iPhone. Во-первых, вам нужен только зарубежный идентификатор и не нужно. Мне не нужны все хлопоты Android. Во-вторых, iPhone заблокирован. Зашифрованные данные невозможно разблокировать без ключа.
Многие популярные зарубежные приложения (например, Metamask) не поддерживают загрузку и установку APK, поскольку существует слишком много проблем с безопасностью. Однако у многих производителей нет другого выбора, кроме как привлекать новых пользователей, и слишком много пользователей Android открывают загрузки APK. Если Android хочет обойти APK, вам понадобится необходимое программное обеспечение, такое как Google Service Framework (включая Google Play) и Google Password Verifier. На этом этапе по некоторым причинам очень сложно установить сторонние решения. люди ищут неофициальные источники. Небезопасно и недостаточно строго.
Конечно, вы должны использовать телефон Android. Вы можете выбрать некоторых производителей, которые по-прежнему поддерживают платформу Google Family Bucket, например Samsung. Кроме того, можно установить кошелек на устройство, поддерживающее безопасную папку, поддерживающую изоляцию чипа безопасности. второй уровень безопасности, которого можно достичь. Как и телефон Apple, он имеет дополнительный эффект безопасности, заключающийся в невозможности разблокировки и получения конфиденциальных данных в случае утери.
5. Предложения по приложению платформы.
Поскольку большинство платформ CEX используют множественные проверки, на них меньше влияют поддельные приложения (которые более сложны для хакеров), но вам также следует обратить внимание на то, соответствуют ли адреса депозита и вывода средств в приложении адресам, указанным на официальном сайте. Кроме того, вы должны включить функцию «белого списка» на платформе, активы могут быть упомянуты только по безопасному адресу белого списка.
Кроме того, самым большим риском, с которым сталкивается платформа CEX, помимо двух локальных взломов и изменения адресов ввода и вывода средств, упомянутых выше, является фишинг, поскольку у большинства людей приложение, SMS и аутентификатор Google фактически установлены на одном и том же устройстве. В результате, пока хакер контролирует или контролирует устройство, он или она, скорее всего, может контролировать эти три части информации и контролировать активы вашей платформы.
Поэтому по соображениям безопасности не рекомендуется выполнять несколько проверок на одном устройстве одновременно. Вы можете установить Google Authenticator на другой защищенный мобильный телефон или управлять учетной записью платформы на ПК или на веб-странице ПК без установки. приложение на мобильном телефоне. Это может предотвратить одиночный щелчок «Взорвать», чтобы максимально защитить безопасность активов.
03 Резюме
Безопасность – это немаловажный вопрос. Vernacular Blockchain считает, что о проблемах безопасности стоит говорить каждый день и постоянно. В повседневной работе, возможно, потребуется всего одна секунда, чтобы обратить внимание на эти детали, и это может улучшить безопасность активов. 99%. Почему бы и нет?