加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads

你的小狐貍和imToken錢包被盯上了?針對主流錢包的攻擊、釣魚正大規模爆發_區塊鏈:Shibaken Finance

Author:

Time:1900/1/1 0:00:00

近期業內各種錢包安全事件層出不窮:

4月18日,MetaMask錢包開發人員@tayvano_?的一條5000枚ETH盜幣推文在加密社區廣泛傳播,認為MetaMask存在漏洞,引起社區恐慌。4月19日,MetaMask回復因其漏洞被盜不實,但正研究此漏洞來源。

4月20日imToken官方提醒近期有詐騙分子假冒imToken官方人員,通過發送短信等方式聯系用戶,誘導用戶訪問假網站并輸入助記詞,導致用戶遭受資產損失,而4月21日慢霧研究員稱谷歌搜索“imToken”后的置頂廣告為新型釣魚網站,請用戶切勿點擊鏈接,注意規避風險。

4月22日,TrustWallet發布公告,去年11月14日至23日創建新錢包的地址存在漏洞,為受影響用戶創建補償流程。

隨著DeFi、NFT等鏈上交互需求的爆發,行業早已不像早期那會兒,只要在CEX買coin并放在CEX就可以滿足大多數投資者的需求,大多數投資者會將部分甚至全部Token放在自己的錢包里,這也導致了這個行業變成了黑客的天堂、時不時會傳出一些投資者因為授權,下載假的APP泄漏私鑰或者錢包自身漏洞等問題,導致自己資產被盜,到頭來變成一場空,保證自有資產安全已經成為行業內一項必不可少的技能。

接下來,我們將從錢包相關知識、被盜案例以及保護私鑰等知識等幾個方面來全面了解如何保護區塊鏈資產安全。

派盾:jimbos protocol被攻擊是由于缺乏對流動性轉移操作的滑點控制:5月28日消息,派盾(PeckShield)監測顯示,今日遭遇攻擊損失 4090 枚 ETH(約 750 萬美元)的 jimbos protocol 是由于缺乏對流動性轉移操作的滑點控制,協議擁有的流動性被投入到一個傾斜 / 不平衡的價格范圍,這在反向交換中被攻擊以獲利。

金色財經此前報道,jimbos protocol 項目疑似遭受攻擊,累計損失約 750 萬美元[2023/5/28 9:47:09]

?01?

錢包相關知識

在保證自己資產安全之前,需要先對業內一些關于錢包等基礎知識有一定了解,才能更好的理解如何保護自己的資產。接下來簡單介紹下幾個相關概念。

1.對稱加密與非對稱加密

在了解公鑰之前,我們先簡單了解下密碼學中的對稱加密與非對稱加密。對稱加密,是指A通過某種算法,可以得到B,而反過來,B通過相同的算法也可以逆向解密出A,這里加密解密用的是同一種算法;而非對稱加密,則是A通過某種算法,可以得到B,但B無法通過相同的算法逆向解密出B,這里的加密解密需要用到不同的算法。

如圖,對稱加密與非對稱加密的區別在于圖中消息接收方公鑰與消息接收方私鑰是否為同一把鑰匙。

2.公鑰,助記詞,地址

數據:一巨鯨從OKX提出185萬枚ARB:金色財經報道,據Lookonchain監測,一巨鯨地址(0x0db8開頭)從OKX提出185萬枚ARB。該地址曾在Trade Joe和Uniswap上為ARB提供流動性。[2023/4/10 13:54:55]

了解了對稱加密與非對稱加密,可以更好的理解一些錢包相關的基本概念。

密鑰對:在非對稱加密中,有一對密鑰對,分別為公鑰與私鑰,公鑰是公開的,私鑰是不公開的。

公鑰:用來給數據加密,用公鑰加密的數據只能使用私鑰解密。

私鑰:私鑰可以生成公鑰,用來解密公鑰加密的數據。

地址:與“公鑰”相對應,由于公鑰過長,于是有了“地址”,地址由公鑰生成。

助記詞:與“私鑰”相對應,因為私鑰是隨機生成的字符串,過長且難記,于是催生了一組人類可讀的單詞代替私鑰,用來幫助用戶記住私鑰,一般是12個無規律的短語。

圖源網絡:鏈上交易過程

電子簽名:某條信息,這條信息需要你的私鑰簽名后,廣播到區塊鏈上。

簽名驗證:接收端可以通過你的公鑰驗證這個消息確實是通過你的私鑰簽名,那就是你發布的,交易記錄上鏈,因此,誰掌握了私鑰,誰就掌握了該錢包。

以太坊Layer 2總鎖倉量回升至63.3億美元,7日漲幅2.16%:2月27日消息,據L2BEAT數據顯示,當前以太坊Layer2總鎖倉量回升至63.3億美元,7日漲幅2.16%。

其中,鎖倉量前五分別為:ArbitrumOne(33.9億美元,7日漲幅4.21%);

Optimism(19.5億美元,7日漲幅1.69%);

dYdX(3.74億美元,7日跌幅0.88%);

MetisAndromeda(1.41億美元,7日跌幅8.77%);

ImmutableX(1.25億美元,7日跌幅0.15%)。[2023/2/27 12:31:47]

簡單理解,公鑰相當于你的賬號,而私鑰,則相當于你的賬號+密碼。

用銀行卡來類比,公鑰=銀行賬戶,地址=銀行卡號,密碼=銀行卡密碼,私鑰=銀行卡號+銀行卡密碼,助記詞=私鑰=銀行卡號+銀行卡密碼,Keystore+密碼=私鑰,關于錢包基礎知識,可以查看白話之前的科普文章《想要安全的保管資產,先要知道錢包的這些知識》。

3.私鑰的保存

你的coin并不是存在你的錢包APP中,而是存在區塊鏈網絡中私鑰對應的地址之中,只要你擁有私鑰,就可以通過私鑰來登錄所有的錢包,錢包僅僅是作為賬戶資金顯示的前端,并不保存你的私鑰。

如果私鑰丟了,意味著你的資產也將丟失,無法通過錢包找回,首次注冊錢包時,錢包頁面一般也會提醒用戶注意這點。這點和我們之前用到的QQ,微信完全不同,如果密碼丟失,還可以通過手機驗證,問題以及好友驗證可以找回,當然,這也是區塊鏈去中心化的魅力所在,你的資產完全屬于你自己。

“FTX崩盤事件”主題紀錄片已于巴哈馬開機啟拍,奧斯卡提名導演David Darg執導:11月18日消息,知名紀錄片工作室XTR將推出以“FTX崩盤事件”和“SBF”為主題的相關紀錄片,該片由艾美獎得主、奧斯卡提名導演David Darg(大衛·達格)擔任導演,目前相關制作組已抵達巴哈馬開展拍攝工作。

XTR執行制片人Justin Lacob表示:FTX的崩盤是近期最為轟動的金融故事,它暴露了加密貨幣領域的主要缺陷。我們的團隊已獲得獨家訪問權,將深入了解這個已經讓湯姆·布雷迪等名人陷入困境的突發事件。(Variety)[2022/11/18 13:21:46]

4.錢包種類

根據私鑰是否觸網,可以將錢包分為熱錢包與冷錢包,如上圖。

熱錢包:客戶端錢包、插件錢包、手機端APP。

使用方便,新手易操作,交易轉賬的效率比較高,安全性較差,容易被盜。

冷錢包:硬件錢包。

安全性高,適合存放大額資產,創建復雜,轉賬麻煩,硬件損壞或私鑰丟失都可能造成數字資產的丟失。

關于錢包更詳細的分類可以查看白話區塊鏈之前的科普文章《科普|數字資產錢包有哪些種類?》

通過以上,我們可以知道,私鑰即一切,而我們所有保護資產的措施,其實都是保護私鑰,保護私鑰,保護私鑰。

Harmony發布Horizon被盜事件補償提案,計劃硬分叉以增加ONE供應:7月27日消息,Harmony發布跨鏈橋Horizon被盜事件補償提案,提案計劃將對Harmony區塊鏈進行硬分叉,增加ONE供應,并為期三年以ONE Token的形式對Horizon被盜事件受影響的用戶進行補償,Token分配將按月進行。補償提案中8600萬枚ONE將支持少數DeFi借貸協議,維護生態系統運轉。據悉,跨鏈橋Horizon被盜事件造成價值99,340,030美元的資產損失。

該提案提供兩種備選補償具體選項,選項1為預估100%報銷,將鑄造49.7億枚ONE,即3年每月發行1.38億枚ONE(以0.020美元價格計算為276萬美元),逐步投入流通。選項二為預估50%報銷,鑄造24.8億ONE,即3年每月發行6900萬枚ONE(以0.020美元價格計算為138萬美元),逐步投入流通。快照投票將于8月1日開始,并于8月15日結束。[2022/7/27 2:39:57]

?02?

被盜案例

了解了相關的概念,我們再來看下,目前主要存在哪些丟失的案例,通過案例,我們可以更好的保護我們自己的錢包。

1.私鑰泄漏

2021年初,生財有術創始人亦仁,將比特幣私鑰保存在云筆記中,導致八位數資產的BTC丟失。

22年11月,分布式資本創始人沈波價值4200萬美元的數字資產被盜,被盜資產包括:38,233,180枚USDC、1607枚ETH、719,760枚USDT以及4.13枚BTC。據安全機構慢霧后續分析稱,被盜是因為助記詞泄漏所導致。

2.私鑰丟失

英國IT工程師JamesHowells在2013年弄丟電腦硬盤,里面存有8000枚比特幣,9年后,計劃花7430萬美金翻遍垃圾場來找回電腦硬盤。

3.點擊病鏈接

一用戶胡亂點擊別人發送的鏈接,導致黑客讀取metamask本地加密備份,所有資產被盜。

推特KOL點擊別人私發鏈接,導致推特賬戶被盜,然后發布帶空投信息,利用粉絲對KOL的信任點擊鏈接盜走粉絲資產。

4.隨意授權,應用出現漏洞

10月2日,TokenPocket旗下閃兌DEXTransitSwap官方表示遭遇黑客攻擊,資產損失超1500萬美元,提醒用戶取消授權。

10月11日,DeBank團隊開發的插件錢包Rabby稱其Swap合約存在漏洞,建議用戶取消RabbySwap授權,最終黑客獲利超19萬美元。

5.下載假的APP

一些黑客獲取平臺用戶信息后,通過短信給用戶散布恐慌信息,平臺已經不安全,需要點擊鏈接重新安裝應用或登錄賬戶,登錄后,賬戶資金被盜。

一用戶下載假的Binanceapp,轉賬時,轉入其他人地址,5個ETH的資產徹底丟失。

我們從上述案例可以看出,用戶資產被盜,主要集中在這幾種情況:私鑰泄漏,私鑰丟失,點擊病鏈接,隨意授權,應用出現漏洞,下載假的APP等幾種情況。

接下來,我們來整理下有哪些方法可以避免上述情況的發生。

?03?

如何避免財產損失

1.私鑰的保存

錢包生成后及時備份,雙重備份,因為一旦丟失,將無法找回

助記詞保存在不聯網且不易丟失和損壞的介質上,比如抄在紙上,自己進行加密;找一臺永不聯網手機的拍照存儲;有一些錢包提供商會出售助記詞相關的鐵板。

使用冷錢包,選擇知名的冷錢包;應從官方渠道購買,不要通過第三方渠道購買;設置較強的密碼,同時備份私鑰,防止硬件錢包丟失或損壞。

2.防止私鑰泄漏

不要復制粘貼私鑰,有些軟件可以讀取用戶的剪切板不要將私鑰保存在微信收藏,傳輸文件,百度云,印象筆記等網絡平臺絕不告訴任何人私鑰,記住,是任何人,一些騙子假冒錢包官方人騙取你的私鑰,不要相信,錢包方也沒有權力獲取用戶私鑰使用公共Wi-Fi時,不要復制粘貼私鑰下載各種應用,應去官方渠道,所有應用商店有時也不可信,存在虛假應用錢包簽名時要謹慎,DeFi協議和NFT交互重度用戶,記得及時撤銷授權,防止應用出現漏洞后導致資產被盜不要隨意點擊別人發送的鏈接,下載別人分享的文件,甚至一些kol的鏈接也不要隨意點擊,有可能含有病一旦發現錢包有一點資產泄漏,應第一時間舍棄錢包,不要抱任何僥幸心理不使用免費的VPN緊跟新聞,實時了解新的被盜信息以上所有的措施,其實都是為了保護你的私鑰不泄密,Notyourkey,notyourcoin!

3.資產分散放置

可以將自身資金分散放置在錢包與交易平臺中,雖然FTX出事,導致中心化交易平臺信任缺失,但對于絕大多數人來說,資產放在幾個中心化頭部交易平臺比拿在自己手中相對要安全很多,便利性也會比錢包好一些,只要不是特別大的損失,幾個頭部平臺一般都能賠的起。

使用中心化交易平臺需要注意幾點:

開啟三重驗證開啟提coin白名單從官方渠道下載App轉賬時,確認地址是否正確

圖源網絡

?04?

結語

通過上述相關知識,可以使新手用戶對區塊鏈資產安全的相關的知識有個全面的認識,隨著區塊鏈的發展,鏈上交互的增加,使得錢包的使用也將逐漸變成一項重要基礎技能,各種措施,其實都沒有絕對的安全,只是相對來說,可以讓我們避掉大多數坑,而隨著區塊鏈的發展,也會不斷出現新的問題,需要我們不斷提升自己的知識儲備。

小額資金,可以不完全遵照上面的方式來保存,但自己大倉位資金的保存,一定要慎重慎重再慎重,因為你的一次失誤,可能導致你永遠被區塊鏈這條列車所甩開,永遠無法追上。

Tags:區塊鏈ONEKENTOKE區塊鏈適合什么人做one幣什么時候上市Shibaken Financeimtoken蘋果下載教程

萊特幣最新價格
ETH 和 BTC 會迎來牛市嗎?從供給分析中尋找答案_ETH:NLA

牛市什么時候會重現?這是所有人都想問的問題。然而問題并沒有確切答案,但一個分析框架有助于我們接近正確答案.

1900/1/1 0:00:00
頭等倉研報:全鏈互操作性協議 LayerZero_LAYER:OneRoot

注:本研報于2023–01–02首發于頭等倉官網 LayerZero是一種全鏈互操作性協議,專注于鏈與鏈之間的數據消息傳遞.

1900/1/1 0:00:00
a16z:代幣模型設計的7個準則_ABR:ANK

代幣是一種功能強大的新原語,可以通過多種方式進行定義;我在這里討論了為什么我們應該考慮代幣的研究和設計,而不僅僅是“代幣經濟學”。代幣顯然允許非常豐富的設計.

1900/1/1 0:00:00
iZUMi Finance研究報告_UMI:VentiSwap

目錄 一、項目簡介 二、項目愿景 三、特色和優勢 四、發展歷史 五、團隊背景 六、融資信息 七、發展成果 八、經濟模型 九、行業分析 十、風險與機會 一、項目簡介 iZUMiFinance是一個.

1900/1/1 0:00:00
Arbitrum CEO「Web3 嘉年華」演講:L2 擴容的初心與 Arbitrum 的生態進展_ARB:FREETRUMP價格

大家好!非常榮幸和大家在網上見面,我也非常興奮,下面就通過這個機會和大家講一講我們公司和我自己。你們當中的有些人可能對我不太熟悉,我是Arbitrum的CEO和聯合創始人.

1900/1/1 0:00:00
去中心化排序器:下一步該何去何從?_MEV:EVA

2022年可謂是Rollup備受矚目的一年,一些Rollup網絡在加密貨幣市場整體的下跌趨勢中反而取得了巨大成功。以太坊Rollup網絡的采用在2022年激增,但仍存在一些有待改進之處.

1900/1/1 0:00:00
ads