木星链 木星链
Ctrl+D收藏木星链
首页 > 波场 > 正文

区块链:你的小狐狸和imToken钱包被盯上了?针对主流钱包的攻击、钓鱼正大规模爆发

作者:

时间:1900/1/1 0:00:00

近期业内各种钱包安全事件层出不穷:

4月18日,MetaMask钱包开发人员@tayvano_?的一条5000枚ETH盗币推文在加密社区广泛传播,认为MetaMask存在漏洞,引起社区恐慌。4月19日,MetaMask回复因其漏洞被盗不实,但正研究此漏洞来源。

4月20日imToken官方提醒近期有分子假冒imToken官方人员,通过发送短信等方式联系用户,诱导用户访问假网站并输入助记词,导致用户遭受资产损失,而4月21日慢雾研究员称谷歌搜索“imToken”后的置顶广告为新型钓鱼网站,请用户切勿点击链接,注意规避风险。

4月22日,TrustWallet发布公告,去年11月14日至23日创建新钱包的地址存在漏洞,为受影响用户创建补偿流程。

随着DeFi、NFT等链上交互需求的爆发,行业早已不像早期那会儿,只要在CEX买coin并放在CEX就可以满足大多数投资者的需求,大多数投资者会将部分甚至全部Token放在自己的钱包里,这也导致了这个行业变成了黑客的天堂、时不时会传出一些投资者因为授权,下载假的APP泄漏私钥或者钱包自身漏洞等问题,导致自己资产被盗,到头来变成一场空,保证自有资产安全已经成为行业内一项必不可少的技能。

接下来,我们将从钱包相关知识、被盗案例以及保护私钥等知识等几个方面来全面了解如何保护区块链资产安全。

?01?

钱包相关知识

在保证自己资产安全之前,需要先对业内一些关于钱包等基础知识有一定了解,才能更好的理解如何保护自己的资产。接下来简单介绍下几个相关概念。

Jump Crypto收回Wormhole被盗的12万枚ETH:金色财经报道,跨链桥Wormhole去年因黑客攻击被盗的12万枚ETH已在三天前被Jump Crypto收回。Jump Crypto与Oasis合作,攻击了可升级的Oasis合同,从Wormhole黑客的金库中获得被盗资金,将抵押品和债务从攻击者的金库中转移到自身金库。Oasis称收到英格兰和威尔士高等法院的命令,追回与2022年2月2日Wormhole漏洞相关钱包地址的资产。这是根据法院命令的要求,使用多签名和法院授权的第三方进行的。按照法院命令的要求,这些资产立即被转移到由授权第三方控制的钱包上。

去年2月,Wormhole遭到攻击,约有12万枚ETH被盗,当时价值3.25亿美元。随后Jump Crypto宣布为Wormhole投入12万枚ETH,以弥补被盗损失。[2023/2/25 12:28:52]

1.对称加密与非对称加密

在了解公钥之前,我们先简单了解下密码学中的对称加密与非对称加密。对称加密,是指A通过某种算法,可以得到B,而反过来,B通过相同的算法也可以逆向解密出A,这里加密解密用的是同一种算法;而非对称加密,则是A通过某种算法,可以得到B,但B无法通过相同的算法逆向解密出B,这里的加密解密需要用到不同的算法。

如图,对称加密与非对称加密的区别在于图中消息接收方公钥与消息接收方私钥是否为同一把钥匙。

2.公钥,助记词,地址

了解了对称加密与非对称加密,可以更好的理解一些钱包相关的基本概念。

Binance合约将下架MINA USDT永续合约:2月6日消息,据官方公告,Binance合约于2月6日11:30对MINAUSDT永续合约进行自动清算,并将在自动清算后下架该交易对。重新上架时间另行通知。

此前报道,2月3日,据官方公告,Binance将于2月6日10:30和2月7日10:30分别上线MINA和HIGH1-20倍U本位永续合约。[2023/2/6 11:49:29]

密钥对:在非对称加密中,有一对密钥对,分别为公钥与私钥,公钥是公开的,私钥是不公开的。

公钥:用来给数据加密,用公钥加密的数据只能使用私钥解密。

私钥:私钥可以生成公钥,用来解密公钥加密的数据。

地址:与“公钥”相对应,由于公钥过长,于是有了“地址”,地址由公钥生成。

助记词:与“私钥”相对应,因为私钥是随机生成的字符串,过长且难记,于是催生了一组人类可读的单词代替私钥,用来帮助用户记住私钥,一般是12个无规律的短语。

图源网络:链上交易过程

电子签名:某条信息,这条信息需要你的私钥签名后,广播到区块链上。

数据:全球加密社交参与度在2年内攀升超过450%:金色财经报道,尽管市场低迷,但加密社区的社会参与度在过去几年中持续增加。加密社交智能分析平台LunarCrush表示,数据显示,过去两年加密行业的社交活动一直在稳步攀升,增幅高达457.4%。根据LunarCrush的信息,在所有数字资产的社交活动中,SHIB是领头羊。根据CryptoDep在推特上援引LunarCrush的信息分享说,在过去的一天里,它记录了SHIB近81000次的社交媒体提及次数和超过9000个共享链接。(Finbold)[2022/8/16 12:29:04]

签名验证:接收端可以通过你的公钥验证这个消息确实是通过你的私钥签名,那就是你发布的,交易记录上链,因此,谁掌握了私钥,谁就掌握了该钱包。

简单理解,公钥相当于你的账号,而私钥,则相当于你的账号+密码。

用银行卡来类比,公钥=银行账户,地址=银行卡号,密码=银行卡密码,私钥=银行卡号+银行卡密码,助记词=私钥=银行卡号+银行卡密码,Keystore+密码=私钥,关于钱包基础知识,可以查看白话之前的科普文章《想要安全的保管资产,先要知道钱包的这些知识》。

3.私钥的保存

你的coin并不是存在你的钱包APP中,而是存在区块链网络中私钥对应的地址之中,只要你拥有私钥,就可以通过私钥来登录所有的钱包,钱包仅仅是作为账户资金显示的前端,并不保存你的私钥。

如果私钥丢了,意味着你的资产也将丢失,无法通过钱包找回,首次注册钱包时,钱包页面一般也会提醒用户注意这点。这点和我们之前用到的QQ,微信完全不同,如果密码丢失,还可以通过手机验证,问题以及好友验证可以找回,当然,这也是区块链去中心化的魅力所在,你的资产完全属于你自己。

4.钱包种类

数据:上半年风投机构在区块链公司投入175亿美元:7月26日消息,据PitchBook的数据显示,今年上半年,风投机构在区块链公司投入 175 亿美元,这使得加密行业的投资额有望超过去年筹集的 269 亿美元。

据悉,在北美地区,加密行业的投资与一般风险投资形成鲜明对比。由于宏观环境和市场动荡冷却投资,上半年一般风险投资从去年同期的 1,582 亿美元降至 1,442 亿美元。此外,欧洲的加密投资活动也很强劲,今年上半年有 22 亿美元的风险投资。(路透社)[2022/7/26 2:37:58]

根据私钥是否触网,可以将钱包分为热钱包与冷钱包,如上图。

热钱包:客户端钱包、插件钱包、手机端APP。

使用方便,新手易操作,交易转账的效率比较高,安全性较差,容易被盗。

冷钱包:硬件钱包。

安全性高,适合存放大额资产,创建复杂,转账麻烦,硬件损坏或私钥丢失都可能造成数字资产的丢失。

关于钱包更详细的分类可以查看白话区块链之前的科普文章《科普|数字资产钱包有哪些种类?》

通过以上,我们可以知道,私钥即一切,而我们所有保护资产的措施,其实都是保护私钥,保护私钥,保护私钥。

?02?

被盗案例

了解了相关的概念,我们再来看下,目前主要存在哪些丢失的案例,通过案例,我们可以更好的保护我们自己的钱包。

1.私钥泄漏

2021年初,生财有术创始人亦仁,将比特币私钥保存在云笔记中,导致八位数资产的BTC丢失。

兰博基尼支持的GT赛车队VSR宣布使用NFT验证汽车零件:7月5日消息,由兰博基尼支持的 GT 赛车队 Vincenzo Sospiri Racing (VSR) 宣布与 NFT 平台 Go2NFT 建立合作伙伴关系,双方将共同启动一项认证赛车零件的计划,旨在监控并确保汽车零件的质量。除了汽车零部件,VSR 未来还希望将 NFT 认证计划扩展到官方商品和其他产品。(Cointelegraph )[2022/7/5 1:52:31]

22年11月,分布式资本创始人沈波价值4200万美元的数字资产被盗,被盗资产包括:38,233,180枚USDC、1607枚ETH、719,760枚USDT以及4.13枚BTC。据安全机构慢雾后续分析称,被盗是因为助记词泄漏所导致。

2.私钥丢失

英国IT工程师JamesHowells在2013年弄丢电脑硬盘,里面存有8000枚比特币,9年后,计划花7430万美金翻遍垃圾场来找回电脑硬盘。

3.点击病链接

一用户胡乱点击别人发送的链接,导致黑客读取metamask本地加密备份,所有资产被盗。

推特KOL点击别人私发链接,导致推特账户被盗,然后发布带空投信息,利用粉丝对KOL的信任点击链接盗走粉丝资产。

4.随意授权,应用出现漏洞

10月2日,TokenPocket旗下闪兑DEXTransitSwap官方表示遭遇黑客攻击,资产损失超1500万美元,提醒用户取消授权。

10月11日,DeBank团队开发的插件钱包Rabby称其Swap合约存在漏洞,建议用户取消RabbySwap授权,最终黑客获利超19万美元。

5.下载假的APP

一些黑客获取平台用户信息后,通过短信给用户散布恐慌信息,平台已经不安全,需要点击链接重新安装应用或登录账户,登录后,账户资金被盗。

一用户下载假的Binanceapp,转账时,转入其他人地址,5个ETH的资产彻底丢失。

我们从上述案例可以看出,用户资产被盗,主要集中在这几种情况:私钥泄漏,私钥丢失,点击病链接,随意授权,应用出现漏洞,下载假的APP等几种情况。

接下来,我们来整理下有哪些方法可以避免上述情况的发生。

?03?

如何避免财产损失

1.私钥的保存

钱包生成后及时备份,双重备份,因为一旦丢失,将无法找回

助记词保存在不联网且不易丢失和损坏的介质上,比如抄在纸上,自己进行加密;找一台永不联网手机的拍照存储;有一些钱包提供商会出售助记词相关的铁板。

使用冷钱包,选择知名的冷钱包;应从官方渠道购买,不要通过第三方渠道购买;设置较强的密码,同时备份私钥,防止硬件钱包丢失或损坏。

2.防止私钥泄漏

不要复制粘贴私钥,有些软件可以读取用户的剪切板不要将私钥保存在微信收藏,传输文件,百度云,印象笔记等网络平台绝不告诉任何人私钥,记住,是任何人,一些子假冒钱包官方人取你的私钥,不要相信,钱包方也没有权力获取用户私钥使用公共Wi-Fi时,不要复制粘贴私钥下载各种应用,应去官方渠道,所有应用商店有时也不可信,存在虚假应用钱包签名时要谨慎,DeFi协议和NFT交互重度用户,记得及时撤销授权,防止应用出现漏洞后导致资产被盗不要随意点击别人发送的链接,下载别人分享的文件,甚至一些kol的链接也不要随意点击,有可能含有病一旦发现钱包有一点资产泄漏,应第一时间舍弃钱包,不要抱任何侥幸心理不使用免费的VPN紧跟新闻,实时了解新的被盗信息以上所有的措施,其实都是为了保护你的私钥不泄密,Notyourkey,notyourcoin!

3.资产分散放置

可以将自身资金分散放置在钱包与交易平台中,虽然FTX出事,导致中心化交易平台信任缺失,但对于绝大多数人来说,资产放在几个中心化头部交易平台比拿在自己手中相对要安全很多,便利性也会比钱包好一些,只要不是特别大的损失,几个头部平台一般都能赔的起。

使用中心化交易平台需要注意几点:

开启三重验证开启提coin白名单从官方渠道下载App转账时,确认地址是否正确

图源网络

?04?

结语

通过上述相关知识,可以使新手用户对区块链资产安全的相关的知识有个全面的认识,随着区块链的发展,链上交互的增加,使得钱包的使用也将逐渐变成一项重要基础技能,各种措施,其实都没有绝对的安全,只是相对来说,可以让我们避掉大多数坑,而随着区块链的发展,也会不断出现新的问题,需要我们不断提升自己的知识储备。

小额资金,可以不完全遵照上面的方式来保存,但自己大仓位资金的保存,一定要慎重慎重再慎重,因为你的一次失误,可能导致你永远被区块链这条列车所甩开,永远无法追上。

标签:区块链ETHAPPWOR区块链币排名PETH数字钱包app下载新版本topnetwork币最新消息

波场热门资讯
ELS:Pantera Capital管理合伙人:加密项目风投募资趋势

我采访了斯坦福区块链俱乐部的负责人吉尔·罗森(GilRosen),讨论了围绕区块链风险投资的一些话题,包括融资、团队组建、趋势,以及加密风险投资与非加密风险投资的比较。以下是那次谈话的要点.

1900/1/1 0:00:00
SUI:长推: SUI 生态值得关注的项目以及打法

注:本文来自@assemblyhenry推特,其BuildingNon-EVMecosystem,原推文内容由MarsBit整理如下:既不擅长meme也不会薅羊毛,又懒得打白单的我.

1900/1/1 0:00:00
DAO:专访DAO资金掠夺者:他们是如何榨干国库的?

DAO在加密领域获得了极大的关注和投资,其中有几个DAO在各自的国库中管理着数十亿美元。然而,并不是所有DAO的参与者都有着高尚的目的.

1900/1/1 0:00:00
JAY:长推:NFT赛道早期项目分享——Jaypeggers

注:本文来自@victalk_eth推特,原推文内容由MarsBit整理如下:@jaypeggerz是一个另类的NFT流动性解决方案项目,其独创的以太本位只涨不跌的经济模型为这个项目的核心.

1900/1/1 0:00:00
ARK:批判“加密显学”零知识证明(ZKP)

*注:首先,这是一个用一个小时写的草稿。主要是为了快速收集信息,所以可能存在非常多的潜在错误和不完整的信息.

1900/1/1 0:00:00
主网发布在即: 万字长文带你深度了解SUI

是否应该存在另一个Layer-1区块链?以太坊、Solana、Avalanche等众多平台都在争夺成为智能合约开发的主要基础层.

1900/1/1 0:00:00