Ваша маленькая лисичка и кошелек imToken подверглись нападению? Атаки и фишинг, нацеленные на основные кошельки, приобретают массовый характер.

В последнее время в отрасли возникли различные инциденты, связанные с безопасностью кошельков:
18 апреля в криптосообществе широко распространился твит о 5000 украденных монетах ETH от разработчика кошелька MetaMask @tayvano_, который считал, что MetaMask имеет уязвимость, что вызвало панику в сообществе. 19 апреля MetaMask ответила, что утверждение о краже уязвимости — ложь, но она изучает источник уязвимости.
20 апреля представители imToken напомнили, что мошенники недавно выдавали себя за должностных лиц imToken и связывались с пользователями, отправляя текстовые сообщения и используя другие методы, чтобы побудить пользователей посещать поддельные веб-сайты и вводить мнемонические фразы, в результате чего пользователи терпят убытки.21 апреля исследователи SlowMist заявили, что Верхняя реклама после поиска «imToken» в Google — это новый тип фишингового сайта. Пользователям рекомендуется не переходить по ссылке и соблюдать осторожность, чтобы избежать рисков.
22 апреля Trust Wallet опубликовал объявление о том, что в адресах новых кошельков, созданных с 14 по 23 ноября прошлого года, существует уязвимость, и для затронутых пользователей был создан процесс компенсации.
С ростом спроса на взаимодействие в цепочке, такой как DeFi и NFT, индустрия уже не такая, как в первые дни. Просто покупка монет на CEX и размещение их на CEX может удовлетворить потребности большинства инвесторов. даже все они вместе хранятся в собственном кошельке, что также привело к тому, что эта отрасль стала раем для хакеров. Время от времени сообщается, что некоторые инвесторы загружают поддельные приложения из-за авторизации, утечки личных ключей или. Имеют уязвимости в самом кошельке, приводящие к краже их активов, в итоге оказалось, что обеспечение безопасности собственных активов стало важным навыком в отрасли.
Далее мы полностью поймем, как защитить безопасность активов блокчейна с нескольких аспектов, таких как знания, связанные с кошельками, украденные случаи и знания о защите закрытых ключей.
Знания, связанные с кошельком
Прежде чем обеспечить безопасность своих активов, вам необходимо иметь определенное представление о некоторых базовых знаниях о кошельках в отрасли, чтобы вы могли лучше понимать, как защитить свои активы. Далее мы кратко представим некоторые связанные понятия.
1. Симметричное шифрование и асимметричное шифрование.
Прежде чем разобраться с открытым (закрытым) ключом, мы сначала кратко разберемся с симметричным и асимметричным шифрованием в криптографии. Симметричное шифрование означает, что A может получить B с помощью определенного алгоритма, и, наоборот, B может обратно расшифровать A с помощью того же алгоритма. Здесь один и тот же алгоритм используется для шифрования, а асимметричное шифрование означает, что A с помощью определенного алгоритма может получить B; , но B не может быть обратно расшифрован с помощью одного и того же алгоритма. Здесь для шифрования и дешифрования требуются разные алгоритмы.
 Как показано на рисунке, разница между симметричным и асимметричным шифрованием заключается в том, являются ли открытый ключ получателя сообщения и закрытый ключ получателя сообщения на рисунке одним и тем же ключом.
2. Публичный (закрытый) ключ, мнемоническая фраза, адрес
Поняв симметричное и асимметричное шифрование, вы сможете лучше понять некоторые основные концепции, связанные с кошельками.
Пара ключей. В асимметричном шифровании существует пара пар ключей, а именно открытый ключ и закрытый ключ. Открытый ключ является открытым, а закрытый ключ не является открытым.
Открытый ключ: используется для шифрования данных. Данные, зашифрованные с помощью открытого ключа, можно расшифровать только с помощью закрытого ключа.
Закрытый ключ: Закрытый ключ может генерировать открытый ключ, который используется для расшифровки данных, зашифрованных открытым ключом.
Адрес: соответствует «открытому ключу», поскольку открытый ключ слишком длинный, существует «адрес», и адрес генерируется открытым ключом.
Мнемоника: соответствует «закрытому ключу», поскольку закрытый ключ представляет собой случайно сгенерированную строку, слишком длинную и трудную для запоминания. Для замены закрытого ключа был создан набор удобочитаемых слов, чтобы помочь пользователям запомнить закрытый ключ. , обычно 12 неправильных фраз. (закрытый ключ = мнемоническая фраза)
Сеть источника изображений: процесс транзакции в цепочкеЭлектронная подпись: для определенной части информации (вы передаете кому-то 100 Ethereum) эта информация должна быть подписана вашим закрытым ключом, а затем передана в блокчейн.
Проверка подписи: принимающая сторона может проверить с помощью вашего открытого ключа, что сообщение действительно подписано вашим закрытым ключом, то есть тем, что вы опубликовали, и что запись транзакции находится в цепочке. Следовательно, тот, кто контролирует закрытый ключ, контролирует кошелек.
Для простоты понимания: открытый ключ (адрес) эквивалентен номеру вашей учетной записи, а закрытый ключ (мнемоническая фраза) эквивалентен номеру вашей учетной записи + паролю (закрытый ключ может генерировать открытый ключ).
Используя аналогию с банковской картой, открытый ключ = банковский счет, адрес = номер банковской карты, пароль = пароль банковской карты, закрытый ключ = номер банковской карты + пароль банковской карты, мнемоника = закрытый ключ = номер банковской карты + пароль банковской карты, хранилище ключей + пароль = закрытый ключ.
3. Сохранение закрытого ключа (мнемонической фразы)
Ваши монеты хранятся не в приложении вашего кошелька, а по адресу, соответствующему закрытому ключу в сети блокчейна. Пока у вас есть закрытый ключ, вы можете войти во все кошельки через закрытый ключ (этот кошелек поддерживает вас). монет), кошелек является лишь интерфейсом для отображения средств на счете и не хранит ваш закрытый ключ.
Если закрытый ключ утерян, это означает, что ваши активы также будут утеряны и не смогут быть восстановлены через кошелек. При первой регистрации кошелька страница кошелька обычно напоминает пользователям об этом. Это полностью отличается от QQ и WeChat, которые мы использовали раньше. Если пароль утерян, его можно проверить с помощью проверки мобильного телефона, вопросов и проверки друзей. Конечно, в этом также прелесть децентрализации блокчейна. Ваши активы полностью защищены. твой собственный.
4.Типы кошельков
В зависимости от того, подключен ли закрытый ключ к Интернету, кошельки можно разделить на горячие и холодные, как показано на рисунке выше.
Горячий кошелек: клиентский кошелек, подключаемый кошелек, мобильное приложение.
Он прост в использовании, прост в эксплуатации для новичков, имеет относительно высокую эффективность при передаче транзакций, но имеет низкую безопасность и его легко украсть.
Холодный кошелек: Аппаратный кошелек.
Он имеет высокий уровень безопасности и подходит для хранения больших объемов активов. Сложное создание, трудная передача, повреждение оборудования или потеря закрытых ключей могут привести к потере цифровых активов.
Из вышесказанного мы можем знать, что закрытый ключ — это все, и все наши меры по защите активов на самом деле направлены на защиту закрытого ключа, защиту закрытого ключа и защиту закрытого ключа. (Предотвращайте потерю закрытого ключа и его получение другими)
Украденные дела
Поняв соответствующие концепции, давайте рассмотрим основные случаи потерь на данный момент. С помощью этих случаев мы можем лучше защитить наши собственные кошельки.
1.Утечка закрытого ключа (мнемоническая фраза)
В начале 2021 года Йирен, основатель Making Money Youshu, сохранил закрытый ключ Биткойна в Cloud Notes, что привело к потере восьмизначных активов в BTC.
22 ноября у основателя Fenbushi Capital Шен Бо были украдены цифровые активы на сумму 42 миллиона долларов США. Украденные активы включали: 38 233 180 долларов США, 1 607 ETH, 719 760 долларов США и 4,13 BTC. Согласно последующему анализу охранного агентства Slow Mist, причиной кражи стала утечка мнемонической фразы.
2. Приватный ключ (мнемоническая фраза) утерян.
Британский ИТ-инженер Джеймс Хауэллс потерял в 2013 году жесткий диск своего компьютера, на котором хранилось 8000 биткойнов. Девять лет спустя он планировал потратить 74,3 миллиона долларов США, роясь на свалках, чтобы вернуть жесткий диск компьютера.
3. Нажмите на ссылку вируса.
Пользователь случайно нажал на ссылку, отправленную другими, в результате чего хакеры прочитали локальную зашифрованную резервную копию метамаски, и все активы были украдены.
Twitter KOL нажимает на частную ссылку, отправленную другими, что приводит к краже учетной записи Twitter, а затем публикует ядовитую информацию о раздаче, используя доверие фанатов к KOL, чтобы щелкнуть ссылку и украсть активы фанатов.
4. Авторизация по желанию может привести к появлению уязвимостей в приложении.
2 октября компания DEX Transit Swap компании Token Pocket официально заявила, что подверглась хакерской атаке, потери активов которой превысили 15 миллионов долларов США, и напомнила пользователям об отмене авторизации.
11 октября плагин-кошелек Rabby, разработанный командой DeBank, заявил, что его контракт Swap имеет уязвимость, и рекомендовал пользователям отменить авторизацию Rabby Swap. В итоге хакер заработал более 190 000 долларов.
5. Загрузите поддельное приложение (с вирусным ПО)
После того, как некоторые хакеры получают информацию о пользователях платформы, они распространяют среди пользователей панические сообщения через текстовые сообщения. Платформа больше не является безопасной. Им необходимо нажать на ссылку, чтобы переустановить приложение или войти в учетную запись. После входа в систему средства на счету. украдены.
Пользователь скачал поддельное приложение Binance и при переводе денег перевел их на чужой адрес, в результате чего 5 активов ETH были полностью потеряны.
Из приведенных выше случаев мы видим, что активы пользователей крадут в основном в следующих ситуациях: утечка приватных ключей (мнемонических фраз), потеря приватных ключей (мнемонических фраз), переходы по вирусным ссылкам, произвольная авторизация, уязвимости приложений. несколько ситуаций, таких как загрузка поддельного приложения (с вирусным программным обеспечением).
Далее давайте разберемся, какие методы можно использовать, чтобы избежать описанной выше ситуации.
Как избежать материального ущерба
1. Хранение закрытых ключей (основное: нелегко потерять, нелегко повредить, к ним нельзя получить доступ или использовать другие лица)
Сделайте резервную копию кошелька сразу после его создания, двойную резервную копию, поскольку после потери его невозможно будет восстановить.
Мнемоническая фраза хранится на носителе, не подключенном к Интернету, и ее нелегко потерять или повредить, например, скопировав ее на бумагу и зашифровав самостоятельно (добавив или убрав определенные символы для облегчения поиска памяти камеры); никогда не подключался к Интернету, есть некоторые кошельки. Провайдеры продают железные таблички, связанные с мнемоническими фразами.
Используйте холодный кошелек (аппаратный кошелек) и выбирайте известный холодный кошелек; совершайте покупку по официальным каналам, а не через сторонние каналы (сторонние каналы могут содержать вирусы, чтобы предотвратить это), установите надежный пароль и создайте резервную копию закрытого ключа; аппаратный кошелек от потери или повреждения.
2. Предотвратить утечку закрытого ключа (мнемонической фразы).
Не копируйте и не вставляйте закрытый ключ, некоторые программы могут читать буфер обмена пользователя.
Не сохраняйте закрытый ключ в коллекции WeChat, передаче файлов, Baidu Cloud, Evernote и других онлайн-платформах.
Никогда никому не сообщайте свой закрытый ключ. Помните, что некоторые мошенники притворяются чиновниками кошелька, чтобы обмануть ваш закрытый ключ.
Не копируйте и не вставляйте приватные ключи при использовании общедоступного Wi-Fi.
Для скачивания различных приложений следует заходить на официальные каналы. Иногда все магазины приложений не заслуживают доверия (помните, все) и встречаются поддельные приложения.
Будьте осторожны при подписании своего кошелька. Активным пользователям протоколов DeFi и взаимодействия NFT не забудьте вовремя отозвать авторизацию, чтобы предотвратить кражу активов из-за уязвимостей в приложении.
Не нажимайте на ссылки (текстовые сообщения), отправленные другими по желанию, не загружайте файлы, которыми поделились другие, и даже не нажимайте на некоторые ссылки KOL по своему желанию, поскольку они могут содержать вирусы.
Как только вы обнаружите, что в вашем кошельке произошла утечка активов, вам следует как можно скорее покинуть кошелек и не рисковать.
Не используйте бесплатный VPN
Следите за новостями и узнавайте о новой украденной информации в режиме реального времени.
Все вышеперечисленные меры на самом деле предназначены для защиты вашего закрытого ключа от утечки. Не вашего ключа, не вашей монеты!
3. Активы рассредоточены
Вы можете рассредоточить свои собственные средства по кошелькам и торговым платформам. Хотя инцидент с FTX привел к отсутствию доверия к централизованным торговым платформам, для большинства людей лучше разместить свои активы на нескольких централизованных ведущих торговых платформах, чем хранить их. В собственных руках это относительно безопаснее и удобнее, чем кошелек. Пока потеря не особенно велика, несколько ведущих платформ обычно могут позволить себе компенсацию.
При использовании централизованной торговой платформы следует учитывать несколько моментов:
Включите тройную проверку (мобильный телефон, электронная почта, двухэтапная проверка Google)
Включить белый список вывода монет
Загрузите приложение с официальных каналов.
При переводе денег подтвердите правильность адреса
Благодаря вышеуказанным знаниям начинающие пользователи могут получить полное представление о соответствующих знаниях о безопасности активов блокчейна. С развитием блокчейна и увеличением количества взаимодействий в цепочке использование кошельков постепенно станет важным базовым навыком и различными мерами. на самом деле не являются абсолютно безопасными, но, условно говоря, они могут позволить нам избежать большинства ловушек. С развитием блокчейна будут продолжать возникать новые проблемы, требующие от нас дальнейшего совершенствования собственных знаний.
Небольшие суммы средств не нужно копить по вышеописанному методу, но вы должны быть осторожны и осторожны при сохранении крупных позиций, потому что одна ошибка с вашей стороны может привести к тому, что вы навсегда будете выброшены из поезда блокчейна. .