Ваша маленькая лисичка и кошелек imToken подверглись нападению? Атаки и фишинг, нацеленные на основные кошельки, приобретают массовый характер.

В последнее время в отрасли возникают различные инциденты с безопасностью кошельков: 18 апреля твит о краже 5000 монет ETH от разработчика кошелька MetaMask @tayvano_ был широко распространен в сообществе шифрования, полагая, что MetaMask имеет уязвимости, что вызвало панику в сообществе. 19 апреля MetaMask ответила, что утверждение о краже уязвимости — ложь, но она изучает источник уязвимости. 20 апреля представители imToken напомнили, что мошенники недавно выдавали себя за должностных лиц imToken и связывались с пользователями, отправляя текстовые сообщения и используя другие методы, чтобы побудить пользователей посещать поддельные веб-сайты и вводить мнемонические фразы, в результате чего пользователи терпят убытки. 21 апреля исследователи SlowMist сообщили. Верхняя реклама после поиска «imToken» в Google — это новый тип фишингового веб-сайта. Пользователям рекомендуется не нажимать на ссылку и соблюдать осторожность, чтобы избежать рисков.
22 апреля Trust Wallet опубликовал объявление о том, что в адресах новых кошельков, созданных с 14 по 23 ноября прошлого года, существует уязвимость, и для затронутых пользователей был создан процесс компенсации.
С ростом спроса на взаимодействие в цепочке, такой как DeFi и NFT, индустрия уже не такая, как в первые дни. Просто покупка монет на CEX и размещение их на CEX может удовлетворить потребности большинства инвесторов. даже все токены хранятся в собственном кошельке, что также привело к тому, что эта отрасль стала раем для хакеров. Время от времени сообщается, что некоторые инвесторы загружают поддельные приложения из-за авторизации, утечки личных ключей или наличия уязвимостей. в самом кошельке, что привело к краже их активов, в итоге оказалось ничем. Обеспечение безопасности собственных активов стало важным навыком в отрасли. Далее мы полностью поймем, как защитить безопасность активов блокчейна с нескольких аспектов, таких как знания, связанные с кошельками, украденные случаи и знания о защите закрытых ключей.
01 Знания, связанные с кошельком
Прежде чем обеспечить безопасность своих активов, вам необходимо иметь определенное представление о некоторых базовых знаниях о кошельках в отрасли, чтобы вы могли лучше понимать, как защитить свои активы. Далее мы кратко представим некоторые связанные понятия. 1. Симметричное и асимметричное шифрование. Прежде чем разобраться с открытым (закрытым) ключом, мы сначала кратко разберемся с симметричным и асимметричным шифрованием в криптографии. Симметричное шифрование означает, что A может получить B с помощью определенного алгоритма, и, в свою очередь, B может обратно расшифровать A с помощью того же алгоритма. Здесь один и тот же алгоритм используется для шифрования, а асимметричное шифрование означает, что A с помощью определенного алгоритма. B, но B не может быть обратно расшифрован с помощью одного и того же алгоритма. Здесь для шифрования и дешифрования требуются разные алгоритмы.
Как показано на рисунке, разница между симметричным и асимметричным шифрованием заключается в том, являются ли открытый ключ получателя сообщения и закрытый ключ получателя сообщения на рисунке одним и тем же ключом.
2. Открытый (закрытый) ключ, мнемоническая фраза, адрес. Понимание симметричного и асимметричного шифрования может помочь вам лучше понять некоторые основные концепции, связанные с кошельками.
Пара ключей. В асимметричном шифровании существует пара пар ключей, а именно открытый ключ и закрытый ключ. Открытый ключ является открытым, а закрытый ключ не является открытым.
Открытый ключ: используется для шифрования данных. Данные, зашифрованные с помощью открытого ключа, можно расшифровать только с помощью закрытого ключа.
Закрытый ключ: Закрытый ключ может генерировать открытый ключ, который используется для расшифровки данных, зашифрованных открытым ключом.
Адрес: соответствует «открытому ключу», поскольку открытый ключ слишком длинный, существует «адрес», и адрес генерируется открытым ключом.
Мнемоника: соответствует «закрытому ключу», поскольку закрытый ключ представляет собой случайно сгенерированную строку, слишком длинную и трудную для запоминания. Для замены закрытого ключа был создан набор удобочитаемых слов, чтобы помочь пользователям запомнить закрытый ключ. , обычно 12 неправильных фраз. (закрытый ключ = мнемоническая фраза)
Электронная подпись: для определенной части информации (вы передаете кому-то 100 Ethereum) эта информация должна быть подписана вашим закрытым ключом, а затем передана в блокчейн.
Проверка подписи. Получающая сторона может проверить с помощью вашего открытого ключа, что сообщение действительно подписано вашим закрытым ключом, то есть тем, что вы опубликовали, и что запись транзакции находится в цепочке. Следовательно, тот, кто контролирует закрытый ключ, контролирует кошелек.
Для простоты понимания: открытый ключ (адрес) эквивалентен номеру вашей учетной записи, а закрытый ключ (мнемоническая фраза) эквивалентен номеру вашей учетной записи + паролю (закрытый ключ может генерировать открытый ключ). Используя аналогию с банковской картой, открытый ключ = банковский счет, адрес = номер банковской карты, пароль = пароль банковской карты, закрытый ключ = номер банковской карты + пароль банковской карты, мнемоника = закрытый ключ = номер банковской карты + пароль банковской карты, хранилище ключей + пароль = Что касается закрытых ключей и базовых знаний о кошельках, вы можете ознакомиться с предыдущей научно-популярной статьей «Если вы хотите сохранить свои активы в безопасности, вы должны сначала знать эти вещи о кошельках». 3. Сохранение закрытого ключа (мнемоническая фраза). Ваша монета хранится не в приложении вашего кошелька, а по адресу, соответствующему закрытому ключу в сети блокчейн. Пока у вас есть закрытый ключ, вы можете использовать закрытый ключ. Войдите во все кошельки (данный кошелек поддерживает цепочку, в которой находятся ваши монеты). Кошелек является лишь интерфейсом для отображения средств на счете и не сохраняет ваш приватный ключ. Если закрытый ключ утерян, это означает, что ваши активы также будут утеряны и не смогут быть восстановлены через кошелек. При первой регистрации кошелька страница кошелька обычно напоминает пользователям об этом. Это полностью отличается от QQ и WeChat, которые мы использовали раньше. Если пароль утерян, его можно проверить с помощью проверки мобильного телефона, вопросов и проверки друзей. Конечно, в этом также прелесть децентрализации блокчейна. Ваши активы полностью защищены. твой собственный.
4.Типы кошельков
В зависимости от того, подключен ли закрытый ключ к Интернету, кошельки можно разделить на горячие и холодные, как показано ниже.
Горячий кошелек: клиентский кошелек, подключаемый кошелек, мобильное приложение. Он прост в использовании, прост в эксплуатации для новичков, имеет относительно высокую эффективность при передаче транзакций, но имеет низкую безопасность и его легко украсть.
Холодный кошелек: Аппаратный кошелек.
Он имеет высокий уровень безопасности и подходит для хранения больших объемов активов. Сложное создание, трудная передача, повреждение оборудования или потеря закрытых ключей могут привести к потере цифровых активов. Для более подробной классификации кошельков вы можете ознакомиться с предыдущей научно-популярной статьей «Научно-популярная статья | Какие типы кошельков цифровых активов существуют?» Из вышесказанного мы можем знать, что закрытый ключ — это все, и все наши меры по его устранению. защита активов на самом деле предназначена для защиты закрытого ключа. Защита закрытого ключа, защита закрытого ключа. (Предотвратите потерю закрытого ключа и его получение другими)
02 Украденные дела
Поняв соответствующие концепции, давайте рассмотрим основные случаи потерь на данный момент. С помощью этих случаев мы можем лучше защитить наши собственные кошельки. 1.Утечка закрытого ключа (мнемоническая фраза)
В начале 2021 года Йирен, основатель Making Money Youshu, сохранил закрытый ключ Биткойна в Cloud Notes, что привело к потере восьмизначных активов в BTC.
22 ноября у основателя Fenbushi Capital Шен Бо были украдены цифровые активы на сумму 42 миллиона долларов США. Украденные активы включали: 38 233 180 долларов США, 1 607 ETH, 719 760 долларов США и 4,13 BTC. Согласно последующему анализу охранного агентства Slow Mist, причиной кражи стала утечка мнемонической фразы.
  2. Приватный ключ (мнемоническая фраза) утерян.
Британский ИТ-инженер Джеймс Хауэллс потерял в 2013 году жесткий диск своего компьютера, на котором хранилось 8000 биткойнов. Девять лет спустя он планировал потратить 74,3 миллиона долларов США, роясь на свалках, чтобы вернуть жесткий диск компьютера.
3. Нажмите на ссылку вируса.
Пользователь случайно нажал на ссылку, отправленную другими, в результате чего хакеры прочитали локальную зашифрованную резервную копию метамаски, и все активы были украдены.
Twitter KOL нажимает на частную ссылку, отправленную другими, что приводит к краже учетной записи Twitter, а затем публикует ядовитую информацию о раздаче, используя доверие фанатов к KOL, чтобы щелкнуть ссылку и украсть активы фанатов.
4. Авторизация по желанию может привести к появлению уязвимостей в приложении.
2 октября компания DEX Transit Swap компании Token Pocket официально заявила, что подверглась хакерской атаке, потери активов которой превысили 15 миллионов долларов США, и напомнила пользователям об отмене авторизации.
11 октября плагин-кошелек Rabby, разработанный командой DeBank, заявил, что его контракт Swap имеет уязвимость, и рекомендовал пользователям отменить авторизацию Rabby Swap. В итоге хакер заработал более $190 000.
  5. Загрузите поддельное приложение (с вирусным ПО)
После того, как некоторые хакеры получают информацию о пользователях платформы, они распространяют среди пользователей панические сообщения через текстовые сообщения. Платформа больше не является безопасной. Им необходимо нажать на ссылку, чтобы переустановить приложение или войти в учетную запись. После входа в систему средства на счету. украдены.
Пользователь скачал поддельное приложение Binance и при переводе денег перевел их на чужой адрес, в результате чего 5 активов ETH были полностью потеряны.
Из приведенных выше случаев мы видим, что активы пользователей крадут в основном в следующих ситуациях: утечка приватных ключей (мнемонических фраз), потеря приватных ключей (мнемонических фраз), переходы по вирусным ссылкам, произвольная авторизация, уязвимости приложений. несколько ситуаций, таких как загрузка поддельного приложения (с вирусным программным обеспечением). Далее давайте разберемся, какие методы можно использовать, чтобы избежать описанной выше ситуации.
 03 Как избежать материального ущерба
1. Хранение закрытых ключей (основное: нелегко потерять, нелегко повредить, к ним нельзя получить доступ или использовать другие лица)
Сделайте резервную копию кошелька сразу после его создания, двойную резервную копию, поскольку после потери его невозможно будет восстановить.
Мнемоническая фраза хранится на носителе, не подключенном к Интернету, и ее нелегко потерять или повредить, например, скопировав ее на бумагу и зашифровав самостоятельно (добавив или убрав определенные символы для облегчения поиска памяти камеры); никогда не подключался к Интернету, есть некоторые кошельки. Провайдеры продают железные таблички, связанные с мнемоническими фразами.
Используйте холодный кошелек (аппаратный кошелек) и выбирайте известный холодный кошелек; совершайте покупки по официальным каналам, а не через сторонние каналы (сторонние каналы могут содержать вирусы, чтобы предотвратить это), установите надежный пароль и создайте резервную копию закрытого ключа; аппаратный кошелек от потери или повреждения.
2. Предотвратить утечку закрытого ключа (мнемонической фразы)
Не копируйте и не вставляйте закрытый ключ, некоторые программы могут читать буфер обмена пользователя.
Не сохраняйте закрытый ключ в коллекции WeChat, передаче файлов, Baidu Cloud, Evernote и других онлайн-платформах.
Никогда никому не сообщайте свой закрытый ключ. Помните, что некоторые мошенники притворяются чиновниками кошелька, чтобы обмануть ваш закрытый ключ.
Не копируйте и не вставляйте приватные ключи при использовании общедоступного Wi-Fi.
Для скачивания различных приложений следует заходить на официальные каналы. Иногда все магазины приложений не заслуживают доверия (помните, все) и встречаются поддельные приложения.
Будьте осторожны при подписании своего кошелька. Активным пользователям протоколов DeFi и взаимодействия NFT не забудьте вовремя отозвать авторизацию, чтобы предотвратить кражу активов из-за уязвимостей в приложении.
Не нажимайте на ссылки (текстовые сообщения), отправленные другими по желанию, не загружайте файлы, которыми поделились другие, и даже не нажимайте на некоторые ссылки KOL по своему желанию, поскольку они могут содержать вирусы.
Как только вы обнаружите, что в вашем кошельке произошла утечка активов, вам следует как можно скорее покинуть кошелек и не рисковать.
Не используйте бесплатный VPN
Следите за новостями и узнавайте о новой украденной информации в режиме реального времени.
Все вышеперечисленные меры на самом деле предназначены для защиты вашего закрытого ключа от утечки. Не вашего ключа, не вашей монеты!
3. Активы рассредоточены
Вы можете рассредоточить свои собственные средства по кошелькам и торговым платформам. Хотя инцидент с FTX привел к отсутствию доверия к централизованным торговым платформам, для большинства людей лучше разместить свои активы на нескольких централизованных ведущих торговых платформах, чем хранить их. В собственных руках это относительно безопаснее и удобнее, чем кошелек. Пока потеря не особенно велика, несколько ведущих платформ обычно могут позволить себе компенсацию. При использовании централизованной торговой платформы следует учитывать несколько моментов:
Включите тройную проверку (мобильный телефон, электронная почта, двухэтапная проверка Google)
Включить белый список вывода монет
Загрузите приложение с официальных каналов.
При переводе денег подтвердите правильность адреса
04 Заключение
Благодаря вышеуказанным знаниям начинающие пользователи могут получить полное представление о соответствующих знаниях о безопасности активов блокчейна. С развитием блокчейна и увеличением количества взаимодействий в цепочке использование кошельков постепенно станет важным базовым навыком и различными мерами. на самом деле не являются абсолютно безопасными, но, условно говоря, они могут позволить нам избежать большинства ловушек. С развитием блокчейна будут продолжать возникать новые проблемы, требующие от нас дальнейшего совершенствования собственных знаний. Небольшие суммы средств не обязательно сохранять согласно вышеописанному методу, но вы должны быть осторожны и осторожны при сохранении крупных позиций, потому что одна ошибка с вашей стороны может привести к тому, что вы навсегда будете выброшены из поезда блокчейна. .