Sự cố bảo mật tài sản tiền điện tử xảy ra thường xuyên. Làm cách nào để đảm bảo rằng nền tảng và ứng dụng ví bạn sử dụng được an toàn?

Tác giả: Mu Mu, blockchain bản địa
Bảo mật tài sản luôn là một chủ đề phổ biến và quan trọng trong ngành mã hóa. Tuy nhiên, theo quan sát blockchain bản địa, mặc dù khoa học bảo mật thường được phổ biến rộng rãi nhưng không có nhiều người thực sự quan tâm đến vấn đề bảo mật, bởi tâm lý chung của nhiều người là: " Đây hoàn toàn là xác suất. "Ba quả dưa và hai quả chà là không đến lượt tôi." Ngược lại, họ thường nghĩ rằng chắc chắn sẽ đến lượt họ trúng xổ số với xác suất thấp hơn thế này.
Trên thực tế, với sự phổ biến của tài sản tiền điện tử, các sự cố bảo mật nhắm vào tài sản của người dùng cá nhân xảy ra thường xuyên, bất kể nhà đầu tư lớn hay nhà đầu tư bán lẻ, những sự cố này thường xảy ra xung quanh chúng ta và chúng không còn là sự kiện hiếm gặp.
Vì vậy, bắt đầu từ những sự cố bảo mật tài sản người dùng cá nhân phổ biến nhất gần đây, chúng ta hãy xem xét các vấn đề bảo mật có liên quan chặt chẽ đến chúng ta. Điều quan trọng nhất phải gánh chịu là: Làm thế nào để đảm bảo rằng nền tảng và APP ví của bạn. sử dụng có an toàn không?
01 “Các kênh chính thức” có nhất thiết phải an toàn không?
Hầu hết mọi người nghĩ rằng thật dễ dàng để đảm bảo tính bảo mật của nền tảng và ứng dụng ví. Chỉ cần tìm “các kênh chính thức”, phải không? Trên thực tế, không nhất thiết...
1. “Trang web chính thức” trông giống trang web chính thức hơn là trang web chính thức. Mọi người đều biết tìm kiếm “trang web chính thức”, nhưng lấy ví chính thức phổ biến làm ví dụ, bạn có thể liệt kê ngay địa chỉ trang web chính thức chính xác của họ không? Kiểm tra "làm câu hỏi" ngay lập tức:
Hầu hết mọi người có thể chọn A và B. Theo thông lệ hàng ngày, nhiều người sẽ nghĩ rằng tên thương hiệu + .com hoặc hậu tố io là trang web chính thức có “sức mạnh thương hiệu”. team trong những ngày đầu tên miền chính thức đăng ký lúc đó rất “tranh giành” và đáp án đúng thực ra là C.
Vì lý do tương tự, các nhóm chính thức của những ví này thậm chí có thể không cân nhắc việc đăng ký nhãn hiệu khi họ bắt đầu... Sau đó, nhãn hiệu thương hiệu đã được người khác đăng ký và sau đó những người khác có thể sử dụng nhãn hiệu đó để mua dịch vụ bảo vệ thương hiệu trên một số công cụ tìm kiếm, và trong kết quả tìm kiếm Thật khó hiểu khi đặt nhãn chứng nhận “thương hiệu chính thức” hoặc dịch vụ khuyến mãi mua hàng luôn được xếp hạng đầu tiên. Điều này chỉ xảy ra trong hai năm qua. Cho đến nay, khi tìm kiếm "trang web chính thức của ví xxx" trên một số công cụ tìm kiếm chính thống, kết quả trên một vài trang đầu tiên rất có thể là giả mạo.
Những “website chính thức” chính thức hơn website chính thức này đã thực sự “bẫy” nhiều người, bởi chúng cũng là một trong những phương pháp có chi phí thấp hơn và tỷ lệ thành công cao hơn đối với hacker. 2. Nếu bạn biết địa chỉ trang web chính thức thì sao? Nhiều người nghĩ rằng bằng cách đảm bảo nhập đúng tên miền chính thức, ứng dụng bạn tải xuống phải an toàn. Tuy nhiên, mọi chuyện vẫn xảy ra. Trong sự cố bảo mật ví Bitkeep gần đây, BitKeep đã thông báo rằng sau khi nhóm điều tra sơ bộ, người ta nghi ngờ rằng một số lượt tải xuống gói APK đã bị tin tặc tấn công và cài đặt các gói có mã bị tin tặc cấy vào. Nói một cách đơn giản, gói APK được một số người dùng tải xuống đã bị tin tặc "chiếm quyền điều khiển" trong quá trình này và đã được tải xuống và cài đặt vào một "ví" được tin tặc xử lý đặc biệt. Hãy đưa nó vào làm "ví giả" không chính thức cho người dùng. Hiện đang.
Lý do chính được đề cập trong thông báo là "chiếm quyền điều khiển". Vì có nhiều phương pháp và liên kết "chiếm quyền điều khiển", vẫn chưa rõ liên kết nào gây ra sự cố, nhưng chúng ta có thể nói về cách tin tặc thường bắt người dùng nhập rõ ràng "trang web chính thức". " Tên miền nhưng được tải xuống ví giả: Phương pháp đầu tiên là sử dụng tệp Localhost cục bộ để tạo kịch bản thủ công cho thiết bị PC hoặc cài đặt phần mềm độc hại hoặc vi-rút thông qua các lỗ hổng. Bằng cách sửa đổi tệp Localhost của máy chủ cục bộ, phương pháp này có thể trực tiếp thay đổi tên miền được chỉ định Trỏ IP của máy chủ không chính thức (chẳng hạn như trang "chính thức" do tin tặc chuẩn bị), tức là sau khi mở trình duyệt và nhập tên miền chính xác, bạn sẽ truy cập vào trang web được cung cấp bởi hacker và tải xuống APP giả mạo. Phương pháp thứ hai là thao tác trực tiếp trang được mở bởi trình duyệt hoặc Ứng dụng cục bộ. Khi bạn mở một số trang web hoặc trang ví trên nền tảng nhất định, bạn có thể trực tiếp sửa đổi nội dung được hiển thị trên trang web cụ thể thông qua plug-in của trình duyệt, chẳng hạn như trỏ tới. Nút tải xuống APP thành liên kết tải xuống APP. Thay thế địa chỉ bằng địa chỉ do tin tặc chuẩn bị, thay thế địa chỉ gửi và rút tài sản bằng địa chỉ của tin tặc, đồng thời đọc và sửa đổi địa chỉ ví hoặc khóa riêng trong bảng tạm. Về việc plugin trình duyệt có quyền sửa đổi trang web hay không, đừng lo lắng về điều này, vì hầu hết các plug-in trình duyệt đều có quyền như vậy. Nếu quan sát kỹ, bạn sẽ thấy rằng ngay cả Little Fox thường được sử dụng của chúng tôi. Wallet cũng có sự cho phép như vậy … Cách đây không lâu, đã xảy ra sự việc những người tải xuống CEX hàng đầu phát hiện ra rằng ngay cả APP giả thường được sử dụng của chúng tôi cũng khiến địa chỉ gửi và rút tiền bị thay thế, dẫn đến mất tài sản. Loại thứ ba, chiếm quyền điều khiển DNS từ xa, sửa đổi bản ghi độ phân giải tên miền và hack máy chủ của nhà sản xuất APP, là những vấn đề thuộc về các nhà cung cấp dịch vụ Internet từ xa. Chúng hiếm khi xảy ra, chi phí và độ khó cũng rất cao, nhưng chúng vẫn xảy ra và. họ cũng thông qua phương thức "Poisoning" tương tự cho phép tên miền bạn truy cập phân giải thành địa chỉ của hacker. Ngoài ra, nếu tài khoản của nhà cung cấp dịch vụ tên miền riêng của nhà cung cấp dịch vụ bị đánh cắp khiến độ phân giải tên miền bị sửa đổi, v.v., có thể dẫn đến việc nhập địa chỉ trang web chính thức nhưng lại vào trang web của hacker. Ngoài ra, nếu chính các nhà sản xuất APP bị hack thì họ cũng sẽ không còn gì để nói. Đây là những tình huống mà chúng tôi không thể kiểm soát được.
02 Lời khuyên bảo mật cho Vernacular Blockchain
Sau khi biết tin tặc thậm chí có thể chiếm quyền điều khiển các trang web chính thức, tôi phải than thở rằng “không thể ngăn chặn được” vậy tôi phải làm sao? Trên thực tế, những vấn đề bảo mật này không chỉ tồn tại trong lĩnh vực mã hóa. Trong thời đại kỹ thuật số, bất kỳ APP nào cũng có vấn đề về bảo mật, bao gồm cả ngân hàng và APP thanh toán của bên thứ ba. Có rất nhiều "APP" giả mạo. kinh nghiệm trước đây. Một số mẹo bảo mật tương ứng để bạn tham khảo: 1. Khi sử dụng tính năng chống chiếm quyền điều khiển HTTPS để nhập đúng tên miền chính thức, hãy nhớ thêm https:// vào đầu tên miền. Điều này rất hữu ích. URL, nếu có nguy cơ bị chiếm quyền điều khiển cục bộ hoặc chiếm quyền điều khiển DNS từ xa, thông thường sẽ có cảnh báo màu đỏ "không an toàn" phía trên thanh địa chỉ trình duyệt và các cảnh báo khác nhau như rủi ro bảo mật trang. Nói một cách đơn giản, điều này sẽ không được trình bày chi tiết. cũng là một trong những ứng dụng rộng rãi của mã hóa bất đối xứng Sử dụng Để ngăn chặn việc chiếm quyền điều khiển, việc xác minh bất đối xứng các chữ ký được mã hóa được sử dụng để đảm bảo rằng bạn đang truy cập các trang web chính thức.
Trên thực tế, có một sự lạc đề ở đây là nhiều trang web bên dự án và thậm chí cả trang web DeFi không sử dụng hoặc buộc phải sử dụng HTTPS để triển khai trang web. Điều này là hoàn toàn không hợp lý. 2. Kiểm tra hàm băm của tệp APK. Vì một số lý do đặc biệt, người dùng điện thoại Android trong nước không thể tải xuống APP trực tiếp thông qua Google Play và chỉ có thể tải xuống các gói cài đặt APK. Hầu hết các sự cố bảo mật APP giả mạo xảy ra khi APK bị thay thế hoặc APK giả được tải xuống. ., thì chúng tôi phải đảm bảo rằng APK được cung cấp chính thức.
Đầu tiên, hãy sử dụng HTTPS để mở trang web chính thức và vào trang tải xuống. Những sinh viên cẩn thận có thể thấy rằng một số trang tải xuống thường có liên kết với dòng chữ "Xác minh bảo mật ứng dụng" hoặc SHA256. lời nhắc bảo mật và 90% Mọi người chưa nhấp vào liên kết xác minh để xem nội dung và xác minh nó... Sau khi nhấp vào liên kết xác minh bảo mật hoặc liên kết SHA256, chúng ta sẽ thấy giá trị băm tương ứng với tệp gói cài đặt APK được công bố chính thức (nếu có bất kỳ sửa đổi nào đối với tệp, ha Giá trị băm sẽ được thay đổi hoàn toàn). Sau khi tải xuống tệp APK, chúng tôi tính toán rằng giá trị băm của nó phù hợp với giá trị chính thức, nghĩa là tệp chưa được thay thế. Sau khi tải xuống APK, bước quan trọng sẽ đến. Mở trang web kiểm tra vi-rút virustotal.com do Google sở hữu và tải lên tệp APK bạn vừa tải xuống. Chúng tôi có thể lấy giá trị băm của tệp này để so sánh và tìm kiếm nó qua hàng tá cơ sở dữ liệu vi-rút. Cho dù tập tin có mang mã độc hay không, v.v., nó có thể nói là hiện vật giết chết hai con chim bằng một hòn đá.
Cuối cùng, nếu muốn khắt khe hơn, bạn cũng nên chú ý đến nỗi lo giá trị băm và liên kết tải xuống bị vi rút và plug-in cục bộ giả mạo khi mở trang tải xuống của trang web chính thức. giá trị băm nhất quán thông qua các trình duyệt trong các môi trường khác nhau như điện thoại di động.
Nếu trang tải xuống của trang web chính thức của ví bạn sắp tải xuống không hỗ trợ HTTPS, điều đầu tiên bạn nên nghi ngờ là liệu đó có phải là trang web chính thức thực sự hay không. Ngoài ra, nếu nó không cung cấp xác minh giá trị băm tệp APK, bạn cũng có thể nghi ngờ tính bảo mật của nhóm ví này. Thái độ, sự thiếu sót như vậy là rất không phù hợp và vô trách nhiệm. Hãy cân nhắc kỹ xem có nên sử dụng APP này hay không. 3. Làm cách nào để kiểm tra xem nền tảng và ứng dụng ví hiện được cài đặt có an toàn không? Trên thực tế, cách tốt nhất là vào Android Google Play và iOS AppStore để tải xuống và cài đặt thông qua trang tải xuống của trang web chính thức, vì về lý thuyết, hệ số bảo mật của Google và Apple App Store cao hơn nhiều so với hệ số bảo mật chính thức. của ví và nền tảng của họ có phần mềm, phần cứng, dự trữ nhân tài, ví hoặc nền tảng bảo mật cấp cao nhất thế giới không cùng đẳng cấp với họ.
Do đó, hãy mở trang Google Play và AppStore thông qua trang tải xuống trang web chính thức của ví và nền tảng, đồng thời xác nhận lại tên công ty, khối lượng tải xuống và khối lượng đánh giá của nhà phát triển (ví chính thống có khối lượng lớn). APP đã tải xuống vẫn an toàn tại thời điểm này.
Nếu bạn không chắc gói apk bạn đang sử dụng để cài đặt ứng dụng có an toàn hay không, bạn có thể làm theo hai mẹo bảo mật trước đó để xác nhận chính thức và xác minh hàm băm rồi tải xuống điện thoại để ghi đè cài đặt. đừng quên sao lưu trợ giúp trước nhé. Hãy nhớ những từ để tránh lỗi trong quá trình ghi đè dẫn đến mất dữ liệu và không thể khôi phục ví (nhưng nhìn chung việc ghi đè cài đặt hoặc cập nhật ứng dụng sẽ không gây mất dữ liệu). 4. Các đề xuất khác về bảo mật ví. Nếu bạn không sử dụng ví lạnh hoặc ví phần cứng và những người thích ví nóng, cách an toàn nhất là cài đặt trên thiết bị iPhone. Đầu tiên, bạn chỉ cần ID ở nước ngoài và không cần. Tôi không cần tất cả những rắc rối của Android Thứ hai, dữ liệu sau mã hóa không thể được mở khóa nếu không có chìa khóa.
Nhiều ứng dụng chính thống ở nước ngoài (chẳng hạn như Metamask) không chỉ hỗ trợ tải xuống và cài đặt APK vì có quá nhiều vấn đề về bảo mật. Tuy nhiên, nhiều nhà sản xuất không có lựa chọn nào khác ngoài việc thu hút người dùng mới và có quá nhiều người dùng Android mở tải xuống APK. Nếu Android muốn bỏ qua Để mở APK, bạn cần có các phần mềm cần thiết như Google Service Framework (bao gồm cả Google Play) và Trình xác minh mật khẩu của Google. Ở giai đoạn này, rất khó cài đặt vì một số lý do. mọi người tìm kiếm là những nguồn không chính thức. Không an toàn và không đủ nghiêm ngặt.
Tất nhiên, bạn phải sử dụng điện thoại Android. Bạn có thể chọn một số nhà sản xuất vẫn hỗ trợ khung Google Family Bucket, chẳng hạn như Samsung. Ngoài ra, việc cài đặt ví vào thiết bị hỗ trợ thư mục bảo mật hỗ trợ cách ly chip bảo mật có thể trở thành. lớp bảo mật thứ hai, có thể đạt được Giống như điện thoại Apple, nó có tác dụng bảo mật bổ sung là không thể mở khóa và lấy dữ liệu nhạy cảm nếu bị mất.
5. Gợi ý về nền tảng APP
Vì hầu hết các nền tảng CEX sử dụng nhiều xác minh nên chúng ít bị ảnh hưởng bởi các APP giả mạo (gây khó khăn hơn cho tin tặc), nhưng bạn cũng nên chú ý xác nhận xem địa chỉ gửi và rút tiền trong APP có khớp với địa chỉ được cung cấp trên trang web chính thức hay không Ngoài ra, bạn phải kích hoạt chức năng "danh sách trắng" trong nền tảng, nội dung chỉ có thể được đề cập đến địa chỉ danh sách trắng an toàn.
Ngoài ra, rủi ro lớn nhất mà nền tảng CEX phải đối mặt, ngoài hai vụ tấn công cục bộ và sửa đổi địa chỉ gửi và rút tiền được đề cập ở trên, là lừa đảo, bởi vì hầu hết APP, SMS và trình xác thực Google của mọi người thực sự được cài đặt trên cùng một thiết bị. Kết quả là, miễn là tin tặc kiểm soát hoặc giám sát một thiết bị, rất có thể hắn có thể kiểm soát ba loại thông tin này và kiểm soát tài sản nền tảng của bạn.
Do đó, vì lý do bảo mật, bạn không nên thực hiện nhiều xác minh trên một thiết bị cùng lúc. Bạn có thể cài đặt Google Authenticator trên một điện thoại di động an toàn khác hoặc bạn có thể vận hành tài khoản nền tảng trên PC hoặc trang web PC mà không cần cài đặt. ứng dụng trên điện thoại di động. Điều này có thể ngăn chặn một cú nhấp chuột "Nổ" để bảo vệ an toàn tài sản ở mức độ lớn nhất.
03 Tóm tắt
Bảo mật không phải là vấn đề nhỏ. Vernacular Blockchain tin rằng các vấn đề bảo mật luôn đáng được nhắc đến hàng ngày, trong hoạt động hàng ngày, có lẽ chỉ cần mất thêm một giây để chú ý đến những chi tiết này và nó có thể cải thiện tính bảo mật của tài sản. Khả năng là 99%, tại sao không?