บทนำ: OKX Web3 Wallet วางแผนคอลัมน์ "ปัญหาพิเศษด้านความปลอดภัย" เป็นพิเศษเพื่อให้คำตอบพิเศษสำหรับปัญหาด้านความปลอดภัยออนไลน์ประเภทต่างๆ ผ่านกรณีจริงที่สุดที่เกิดขึ้นกับผู้ใช้ เราทำงานร่วมกับผู้เชี่ยวชาญหรือสถาบันในด้านการรักษาความปลอดภัยเพื่อแบ่งปันและตอบคำถามจากมุมมองที่แตกต่างกัน จึงแยกแยะและสรุปกฎการทำธุรกรรมที่ปลอดภัยจากตื้นไปยังลึก โดยมีจุดมุ่งหมายเพื่อเสริมสร้างความปลอดภัยของผู้ใช้ การศึกษาและช่วยให้ผู้ใช้เรียนรู้ที่จะปกป้องความปลอดภัยของคีย์ส่วนตัวและทรัพย์สินกระเป๋าเงินจากตนเอง

ปฏิบัติการขนลุกดุเดือดราวกับเสือ และปัจจัยด้านความปลอดภัยติดลบ 5?

ในฐานะผู้ใช้ปฏิสัมพันธ์บนห่วงโซ่ความถี่สูง ความปลอดภัยเป็นสิ่งสำคัญอันดับแรกสำหรับช่างทำผมเสมอ

วันนี้ “ราชาแห่งการหลีกเลี่ยงหลุมพราง” บนสองเครือข่ายหลักจะสอนวิธีดำเนินกลยุทธ์การป้องกันความปลอดภัย

ฉบับนี้เป็นฉบับที่ 03 ของฉบับพิเศษด้านความปลอดภัย เราได้เชิญผู้เชี่ยวชาญด้านความปลอดภัยที่มีชื่อเสียงในอุตสาหกรรม 0x AA และทีมรักษาความปลอดภัยกระเป๋าเงิน OKX Web3 เพื่ออธิบายความเสี่ยงด้านความปลอดภัยทั่วไปและมาตรการป้องกันของ "คนขนดก" จากมุมมองของแนวปฏิบัติ

WTF Academy: ขอบคุณมากสำหรับคำเชิญจาก OKX Web3 ฉันคือ 0x AA จาก WTF Academy WTF Academy เป็นมหาวิทยาลัยโอเพ่นซอร์ส Web3 ที่ช่วยให้นักพัฒนาเริ่มต้นการพัฒนา Web3 ในปีนี้เราได้บ่มเพาะโครงการช่วยเหลือ Web3 RescuETH (ทีมช่วยเหลือออนไลน์) โดยมุ่งเน้นที่การช่วยเหลือทรัพย์สินที่เหลืออยู่ในกระเป๋าเงินที่ถูกขโมยของผู้ใช้ ปัจจุบันเราได้ช่วยเหลือทรัพย์สินที่ถูกขโมยไปแล้วมากกว่า 3 ล้านหยวนบน Ethereum, Solana และ Cosmos .

ทีมรักษาความปลอดภัย OKX Web3 Wallet: สวัสดีทุกคน ฉันมีความสุขมากที่จะแบ่งปันสิ่งนี้ ทีมรักษาความปลอดภัยกระเป๋าสตางค์ OKX Web3 มีหน้าที่หลักในการสร้างความสามารถด้านความปลอดภัยต่างๆ ของ OKX ในด้าน Web3 เช่น การสร้างความสามารถด้านความปลอดภัยกระเป๋าสตางค์ การตรวจสอบความปลอดภัยของสัญญาอัจฉริยะ การตรวจสอบความปลอดภัยของโครงการแบบออนไลน์ ฯลฯ เพื่อมอบผลิตภัณฑ์ให้กับผู้ใช้ ความปลอดภัย ความปลอดภัยของกองทุน ความปลอดภัยของธุรกรรม ฯลฯ บริการการป้องกันที่หลากหลายมีส่วนช่วยในการรักษาระบบนิเวศความปลอดภัยของบล็อคเชนทั้งหมด

คำถามที่ 1: โปรดแบ่งปันกรณีความเสี่ยงที่แท้จริงบางประการที่ผู้ช่วยตัวเองทำผมต้องเผชิญ

WTF Academy: การรั่วไหลของคีย์ส่วนตัวเป็นหนึ่งในความเสี่ยงด้านความปลอดภัยที่สำคัญที่ผู้ใช้ Lumao ต้องเผชิญ โดยพื้นฐานแล้ว คีย์ส่วนตัวคือชุดอักขระที่ใช้ในการควบคุมเนื้อหาที่เข้ารหัสลับ ใครก็ตามที่ครอบครองคีย์ส่วนตัวจะสามารถควบคุมเนื้อหาที่เข้ารหัสที่เกี่ยวข้องได้อย่างสมบูรณ์ เมื่อคีย์ส่วนตัวรั่วไหล ผู้โจมตีจะสามารถเข้าถึง ถ่ายโอน และจัดการทรัพย์สินของผู้ใช้โดยไม่ได้รับอนุญาต ส่งผลให้ผู้ใช้ได้รับความสูญเสียทางการเงิน ดังนั้น ฉันจะเน้นไปที่การแบ่งปันบางกรณีที่คีย์ส่วนตัวถูกขโมย

อลิซ (นามแฝง) ถูกแฮกเกอร์ชักจูงให้ดาวน์โหลดมัลแวร์ และหลังจากเรียกใช้มัลแวร์ รหัสส่วนตัวของเธอก็ถูกขโมย ปัจจุบันมัลแวร์มาในรูปแบบต่าง ๆ รวมถึงแต่ไม่จำกัดเพียง สคริปต์การขุด เกม ผู้ใช้จำเป็นต้องปรับปรุง ความตระหนักด้านความปลอดภัยเกี่ยวกับซอฟต์แวร์การประชุม สคริปต์ Chongtugou โรบอตคลิป ฯลฯ

หลังจากที่ Bob (นามแฝง) อัปโหลดคีย์ส่วนตัวไปยัง GitHub โดยไม่ได้ตั้งใจ ผู้อื่นได้รับคีย์นั้น ทำให้ทรัพย์สินถูกขโมย

เมื่อ Carl (นามแฝง) ปรึกษากับกลุ่ม Tegegram อย่างเป็นทางการของโปรเจ็กต์ เขาเชื่อใจฝ่ายบริการลูกค้าปลอมที่ติดต่อเขาในเชิงรุก และทำให้ข้อมูลช่วยจำรั่วไหลออกมา และต่อมาทรัพย์สินในกระเป๋าเงินของเขาถูกขโมยไป

ทีมรักษาความปลอดภัย OKX Web3 Wallet: มีกรณีความเสี่ยงดังกล่าวมากมาย เราได้เลือกกรณีคลาสสิกบางกรณีที่ผู้ใช้พบเมื่อช่วยตัวเอง

หมวดหมู่แรกคือแอร์ดรอปปลอมที่ออกโดยบัญชีเลียนแบบระดับสูง เมื่อผู้ใช้ A ค้นหาโปรเจ็กต์ยอดนิยมบน Twitter เขาพบประกาศเกี่ยวกับกิจกรรม Airdrop ที่ด้านล่างของ Twitter ล่าสุด จากนั้นคลิกที่ลิงก์ประกาศเพื่อเข้าร่วม AirDrop ซึ่งท้ายที่สุดก็ทำให้เขาถูกฟิชชิ่ง ปัจจุบัน ฟิชชิ่งจำนวนมากเลียนแบบบัญชีอย่างเป็นทางการและโพสต์ประกาศเท็จบน Twitter อย่างเป็นทางการ เพื่อชักจูงให้ผู้ใช้ตกเป็นเหยื่อ

ในประเภทที่สอง บัญชีอย่างเป็นทางการจะถูกแย่งชิง บัญชี Twitter และ Discord อย่างเป็นทางการของโครงการหนึ่งถูกแฮ็ก จากนั้นแฮ็กเกอร์ก็โพสต์ลิงก์ปลอมไปยังกิจกรรม Airdrop ในบัญชีอย่างเป็นทางการของโครงการ เนื่องจากลิงก์ดังกล่าวถูกโพสต์จากช่องทางอย่างเป็นทางการ ผู้ใช้ B จึงไม่สงสัยในความถูกต้อง ลิงค์นี้เพื่อเข้าร่วม airdrop ฉันโดนฟิชชิ่ง

ประเภทที่สามคือการเผชิญหน้ากับฝ่ายโครงการที่เป็นอันตราย เมื่อผู้ใช้ C เข้าร่วมในกิจกรรมการขุดของโครงการใดโครงการหนึ่ง เพื่อรับรายได้รางวัลที่สูงขึ้น เขาลงทุนสินทรัพย์ USDT ทั้งหมดลงในสัญญาการวางเดิมพันของโครงการ อย่างไรก็ตาม สัญญาอัจฉริยะไม่ได้รับการตรวจสอบอย่างเข้มงวดและไม่ใช่โอเพ่นซอร์ส ด้วยเหตุนี้ ทีมงานโครงการจึงขโมยทรัพย์สินทั้งหมดที่ผู้ใช้ C ฝากไว้ในสัญญาผ่านประตูหลังที่สงวนไว้ในสัญญา

สำหรับผู้ใช้ Lumao ซึ่งมักจะมีกระเป๋าเงินหลายสิบหรือหลายร้อยใบ วิธีการปกป้องความปลอดภัยของกระเป๋าเงินและทรัพย์สินถือเป็นหัวข้อที่สำคัญมาก พวกเขาจำเป็นต้องระมัดระวังตลอดเวลาและสร้างความตระหนักรู้ด้านความปลอดภัย

คำถามที่ 2: ในฐานะผู้ใช้ความถี่สูง ประเภททั่วไปของความเสี่ยงด้านความปลอดภัยและมาตรการป้องกันที่ผู้คนขนดกต้องเผชิญในการโต้ตอบออนไลน์

WTF Academy: สำหรับคน lumao และแม้แต่ผู้ใช้ Web3 ทั้งหมด ความเสี่ยงด้านความปลอดภัยทั่วไปสองประเภทในปัจจุบันคือ: การโจมตีแบบฟิชชิ่งและการรั่วไหลของคีย์ส่วนตัว

ประเภทแรกคือการโจมตีแบบฟิชชิ่ง: แฮ็กเกอร์มักจะปลอมเว็บไซต์หรือแอปพลิเคชันอย่างเป็นทางการ หลอกให้ผู้ใช้คลิกบนโซเชียลมีเดียและเครื่องมือค้นหา จากนั้นชักจูงให้ผู้ใช้ซื้อขายหรือลงชื่อเข้าใช้เว็บไซต์ฟิชชิ่ง เพื่อขออนุญาตโทเค็นและขโมยทรัพย์สินของผู้ใช้

มาตรการป้องกัน: ขั้นแรก แนะนำให้ผู้ใช้เข้าสู่เว็บไซต์และแอปพลิเคชันอย่างเป็นทางการจากช่องทางอย่างเป็นทางการเท่านั้น (เช่น ลิงก์ในโปรไฟล์ Twitter อย่างเป็นทางการ) ประการที่สอง ผู้ใช้สามารถใช้ปลั๊กอินความปลอดภัยเพื่อบล็อกเว็บไซต์ฟิชชิ่งบางแห่งโดยอัตโนมัติ ประการที่สาม เมื่อผู้ใช้เข้าสู่เว็บไซต์ที่น่าสงสัย พวกเขาสามารถปรึกษาเจ้าหน้าที่รักษาความปลอดภัยมืออาชีพเพื่อช่วยตรวจสอบว่าเป็นเว็บไซต์ฟิชชิ่งหรือไม่

หมวดหมู่ที่สองคือการรั่วไหลของคีย์ส่วนตัว: ได้รับการแนะนำในคำถามก่อนหน้าและจะไม่ขยายในที่นี้

มาตรการป้องกัน: ขั้นแรก หากผู้ใช้ติดตั้งกระเป๋าเงินบนคอมพิวเตอร์หรือโทรศัพท์มือถือ พยายามอย่าดาวน์โหลดซอฟต์แวร์ที่น่าสงสัยจากช่องทางที่ไม่เป็นทางการ ประการที่สอง ผู้ใช้จำเป็นต้องทราบว่าฝ่ายบริการลูกค้าอย่างเป็นทางการมักจะไม่ส่งข้อความส่วนตัวถึงคุณ ไม่ต้องพูดถึงการขอให้คุณส่งหรือป้อนคีย์ส่วนตัวและวลีช่วยในการจำในเว็บไซต์ปลอม ประการที่สาม หากโปรเจ็กต์โอเพ่นซอร์สของผู้ใช้จำเป็นต้องใช้คีย์ส่วนตัว โปรดกำหนดค่าไฟล์ .gitignore ก่อนเพื่อให้แน่ใจว่าคีย์ส่วนตัวจะไม่ถูกอัพโหลดไปยัง GitHub

ทีมรักษาความปลอดภัย OKX Web3 Wallet: เราได้สรุปความเสี่ยงด้านความปลอดภัยทั่วไป 5 ประเภทที่ผู้ใช้เผชิญในการโต้ตอบออนไลน์ และระบุมาตรการป้องกันสำหรับความเสี่ยงแต่ละประเภท

1. การหลอกลวงทางอากาศ

โปรไฟล์ความเสี่ยง: ผู้ใช้บางรายมักพบว่ามีโทเค็นที่ไม่รู้จักจำนวนมากปรากฏในที่อยู่กระเป๋าเงินของตน โทเค็นเหล่านี้มักจะล้มเหลวในธุรกรรม DEX ที่ใช้กันทั่วไป หน้านี้จะแจ้งให้ผู้ใช้ไปที่เว็บไซต์อย่างเป็นทางการเพื่อแลกเปลี่ยน จากนั้นเมื่อผู้ใช้ ทำธุรกรรมที่ได้รับอนุญาต Smart Contract มักจะได้รับอนุญาตให้โอนทรัพย์สินของบัญชี ซึ่งท้ายที่สุดจะนำไปสู่การขโมยทรัพย์สิน ตัวอย่างเช่น การหลอกลวงทางอากาศของ Zape ซึ่งผู้ใช้จำนวนมากได้รับเหรียญ Zape จำนวนมากในกระเป๋าเงินของพวกเขาโดยฉับพลัน ซึ่งมีมูลค่านับแสนดอลลาร์ ทำให้หลายๆ คนเข้าใจผิดว่าตนมีโชคลาภโดยไม่คาดคิด อย่างไรก็ตาม นี่เป็นกับดักที่ซับซ้อนจริงๆ เนื่องจากไม่พบโทเค็นเหล่านี้บนแพลตฟอร์มที่เป็นทางการ ผู้ใช้จำนวนมากที่กระตือรือร้นที่จะถอนเงินจะพบสิ่งที่เรียกว่า "เว็บไซต์อย่างเป็นทางการ" ตามชื่อของโทเค็น หลังจากปฏิบัติตามคำแนะนำในการเชื่อมต่อกระเป๋าเงิน ฉันคิดว่าฉันสามารถขายโทเค็นได้ แต่เมื่อได้รับอนุญาตแล้ว ทรัพย์สินทั้งหมดในกระเป๋าเงินจะถูกขโมยทันที

มาตรการป้องกัน: การหลีกเลี่ยงการหลอกลวง Airdrop กำหนดให้ผู้ใช้ระมัดระวังอย่างมาก ตรวจสอบแหล่งที่มาของข้อมูล และรับข้อมูล Airdrop จากช่องทางอย่างเป็นทางการเสมอ (เช่น เว็บไซต์อย่างเป็นทางการของโครงการ บัญชีโซเชียลมีเดียอย่างเป็นทางการ และประกาศอย่างเป็นทางการ) ปกป้องคีย์ส่วนตัวและวลีช่วยจำของคุณ ไม่ต้องจ่ายค่าธรรมเนียมใดๆ และใช้ชุมชนและเครื่องมือเพื่อตรวจสอบและระบุกลโกงที่อาจเกิดขึ้น

2. สัญญาอัจฉริยะที่เป็นอันตราย

โปรไฟล์ความเสี่ยง: สัญญาอัจฉริยะที่ไม่ได้รับการตรวจสอบหรือไม่ได้เปิดจำนวนมากอาจมีช่องโหว่หรือประตูหลังที่ไม่สามารถรับประกันความปลอดภัยของเงินทุนของผู้ใช้ได้

มาตรการป้องกัน: ผู้ใช้ควรพยายามโต้ตอบกับสัญญาอัจฉริยะที่ได้รับการตรวจสอบอย่างเข้มงวดโดยบริษัทตรวจสอบอย่างเป็นทางการ หรือให้ความสนใจกับการตรวจสอบรายงานการตรวจสอบความปลอดภัยของโครงการ นอกจากนี้ โปรเจ็กต์ที่มี Bug Bounty มักจะมีความปลอดภัยมากกว่า

3. การจัดการการอนุญาต:

โปรไฟล์ความเสี่ยง: การอนุญาตสัญญาแบบโต้ตอบที่มากเกินไปอาจนำไปสู่การขโมยเงิน ที่นี่เรายกตัวอย่าง: 1) สัญญาเป็นสัญญาที่สามารถอัปเกรดได้ หากคีย์ส่วนตัวของบัญชีที่ได้รับสิทธิพิเศษรั่วไหล ผู้โจมตีสามารถใช้คีย์ส่วนตัวเพื่ออัปเกรดได้ ทำสัญญากับเวอร์ชันที่เป็นอันตรายซึ่งจะเป็นการขโมยทรัพย์สินของผู้ใช้ที่ได้รับอนุญาต 2) หากสัญญามีช่องโหว่ที่ไม่สามารถระบุได้ การอนุญาตมากเกินไปอาจทำให้ผู้โจมตีใช้ประโยชน์จากช่องโหว่เหล่านี้เพื่อขโมยเงินในอนาคต

มาตรการป้องกัน: โดยหลักการแล้ว จะมีการมอบสิทธิ์ตามจำนวนที่จำเป็นให้กับสัญญาเชิงโต้ตอบเท่านั้น และต้องมีการตรวจสอบและเพิกถอนการอนุญาตที่ไม่จำเป็นเป็นประจำ เมื่อลงนามสำหรับการอนุญาตใบอนุญาตนอกเครือข่าย คุณต้องมีความชัดเจนเกี่ยวกับสัญญาเป้าหมาย/ประเภทสินทรัพย์/จำนวนการอนุญาต และคิดให้รอบคอบก่อนตัดสินใจ

4. การอนุญาตฟิชชิ่ง

โปรไฟล์ความเสี่ยง: การคลิกลิงก์ที่เป็นอันตรายและถูกชักจูงให้อนุญาตสัญญาหรือผู้ใช้ที่เป็นอันตราย

มาตรการป้องกัน: 1) หลีกเลี่ยงการลงนามโดยไม่เปิดเผย: ก่อนที่จะลงนามในธุรกรรมใด ๆ ต้องแน่ใจว่าได้เข้าใจเนื้อหาของธุรกรรมที่คุณกำลังจะลงนาม และตรวจสอบให้แน่ใจว่าทุกขั้นตอนของการดำเนินการมีความชัดเจนและจำเป็น 2) ปฏิบัติต่อเป้าหมายการอนุญาตด้วยความระมัดระวัง: หากเป้าหมายการอนุญาตคือที่อยู่ EOA (บัญชีที่เป็นเจ้าของภายนอก) หรือสัญญาที่ไม่ได้รับการยืนยัน คุณจะต้องระมัดระวัง สัญญาที่ไม่ได้รับการยืนยันอาจมีโค้ดที่เป็นอันตราย 3) ใช้กระเป๋าสตางค์ปลั๊กอินป้องกันฟิชชิ่ง: ใช้กระเป๋าสตางค์ปลั๊กอินที่มีการป้องกันฟิชชิ่ง เช่น กระเป๋าเงิน OKX Web3 เป็นต้น กระเป๋าเงินเหล่านี้สามารถช่วยระบุและบล็อกลิงก์ที่เป็นอันตรายได้ 4) ปกป้องวลีช่วยจำและคีย์ส่วนตัว: เว็บไซต์ทั้งหมดที่ขอวลีช่วยจำหรือคีย์ส่วนตัวนั้นเป็นลิงก์ฟิชชิ่ง

5. สคริปต์ที่เป็นอันตรายทำให้ขนลุก

โปรไฟล์ความเสี่ยง: การเรียกใช้สคริปต์ที่เป็นอันตรายจะทำให้ม้าโทรจันฝังอยู่ในคอมพิวเตอร์ ส่งผลให้คีย์ส่วนตัวถูกขโมย

มาตรการป้องกัน: ระมัดระวังเมื่อใช้สคริปต์ที่ทำให้เกิดขนที่ไม่รู้จักหรือซอฟต์แวร์ที่ทำให้เกิดขนที่ไม่รู้จัก

กล่าวโดยย่อ เราหวังว่าผู้ใช้จะระมัดระวังและระมัดระวังเมื่อโต้ตอบกับห่วงโซ่และปกป้องความปลอดภัยของกระเป๋าเงินและทรัพย์สินของพวกเขา

คำถามที่ 3: แยกแยะประเภทและเทคนิคการตกปลาแบบคลาสสิก และวิธีการระบุและหลีกเลี่ยง

WTF Academy: ฉันอยากจะตอบคำถามนี้อีกครั้งจากมุมมองอื่น: เมื่อผู้ใช้ค้นพบว่าทรัพย์สินของตนถูกขโมย พวกเขาจะระบุได้อย่างไรว่าเป็นการโจมตีแบบฟิชชิ่งหรือคีย์ส่วนตัวรั่วไหล โดยปกติผู้ใช้สามารถระบุลักษณะการโจมตีสองประเภทนี้ได้:

1. ลักษณะของการโจมตีแบบฟิชชิ่ง: แฮกเกอร์มักจะใช้เว็บไซต์ฟิชชิ่งเพื่อขอรับการอนุญาตสำหรับเนื้อหาเดียวหรือหลายรายการภายใต้กระเป๋าเงินเดียวของผู้ใช้ ซึ่งจะเป็นขโมยทรัพย์สิน โดยทั่วไป ประเภทของทรัพย์สินที่ถูกขโมยจะเท่ากับจำนวนครั้งที่ผู้ใช้อนุญาตเว็บไซต์ฟิชชิ่ง

2. ลักษณะเฉพาะของการรั่วไหลของคีย์ส่วนตัว/วลีช่วยจำ: แฮกเกอร์เข้าควบคุมทรัพย์สินทั้งหมดในเครือข่ายทั้งหมดภายใต้กระเป๋าเงินเดียวหรือหลายกระเป๋าของผู้ใช้ ดังนั้น หากมีลักษณะใดลักษณะหนึ่งต่อไปนี้ปรากฏขึ้น มีความเป็นไปได้สูงที่คีย์ส่วนตัวจะรั่วไหล:

1) โทเค็นดั้งเดิมถูกขโมย (เช่น ETH จากเชน ETH) เนื่องจากโทเค็นดั้งเดิมไม่ได้รับการอนุมัติ

2) ทรัพย์สินหลายห่วงโซ่ถูกขโมย

3) ทรัพย์สินกระเป๋าสตางค์หลายรายการถูกขโมย

4) ทรัพย์สินหลายรายการถูกขโมยจากกระเป๋าเงินใบเดียว และเป็นที่จดจำได้อย่างชัดเจนว่าทรัพย์สินเหล่านี้ไม่ได้รับอนุญาต

5) ไม่มีการอนุญาตก่อนที่โทเค็นจะถูกขโมยหรืออยู่ในธุรกรรมเดียวกัน (เหตุการณ์การอนุมัติ)

6) แฮกเกอร์จะถ่ายโอนก๊าซที่ถูกถ่ายโอนออกไปทันที

หากไม่ตรงตามลักษณะข้างต้น ก็มีแนวโน้มที่จะเป็นการโจมตีแบบฟิชชิ่ง

ทีมรักษาความปลอดภัย OKX Web3 Wallet: พยายามหลีกเลี่ยงการถูกฟิชชิง ก่อนอื่นคุณต้องใส่ใจกับ 2 ประเด็น: 1) อย่าลืมกรอกวลีช่วยจำ/คีย์ส่วนตัวบนหน้าเว็บใดๆ 2)

ตรวจสอบให้แน่ใจว่าลิงก์ที่คุณเยี่ยมชมเป็นลิงก์อย่างเป็นทางการ และคลิกปุ่มยืนยันบนอินเทอร์เฟซกระเป๋าเงินด้วยความระมัดระวัง

ต่อไป เราจะแชร์กิจวัตรบางอย่างของฉากตกปลาแบบคลาสสิกเพื่อช่วยให้ผู้ใช้เข้าใจฉากตกปลาเหล่านี้ได้ง่ายขึ้น

1. ฟิชชิ่งเว็บไซต์ปลอม: ปลอมเว็บไซต์ DApp อย่างเป็นทางการและชักจูงให้ผู้ใช้ป้อนคีย์ส่วนตัวหรือวลีช่วยจำ ดังนั้นหลักการแรกสำหรับผู้ใช้คือไม่ต้องให้คีย์ส่วนตัวหรือวลีช่วยในการจำกระเป๋าสตางค์แก่ใครก็ตามหรือเว็บไซต์ใดๆ ประการที่สอง ตรวจสอบว่า URL ถูกต้องหรือไม่ ลองใช้บุ๊กมาร์กอย่างเป็นทางการเพื่อเข้าถึง DApps ที่ใช้กันทั่วไป และใช้กระเป๋าเงินกระแสหลักปกติ ตัวอย่างเช่น กระเป๋าเงิน OKX Web3 จะแจ้งเตือนเว็บไซต์ฟิชชิ่งที่ตรวจพบ

2. การขโมยโทเค็นลูกโซ่หลัก: ฟังก์ชันสัญญาที่เป็นอันตรายมีชื่อว่า Claim, SeurityUpdate, AirDrop ฯลฯ โดยมีชื่อที่ทำให้เข้าใจผิด ตรรกะของฟังก์ชันจริงว่างเปล่าและจะถ่ายโอนเฉพาะโทเค็นลูกโซ่หลักของผู้ใช้เท่านั้น

3. การโอนจากที่อยู่ที่คล้ายกัน: ผู้ฉ้อโกงจะใช้การชนกันของที่อยู่เพื่อสร้างที่อยู่ที่มีตัวเลขตัวแรกและตัวสุดท้ายเหมือนกันกับที่อยู่ที่เกี่ยวข้องของผู้ใช้ ใช้ TransferFrom เพื่อดำเนินการโอนเงินจำนวน 0 สำหรับการวางยาพิษ หรือใช้ USDT ปลอมเพื่อโอน จำนวนเงินที่แน่นอน ฯลฯ เพื่อทำให้ประวัติการทำธุรกรรมของผู้ใช้เสียหาย โดยคาดหวังว่าผู้ใช้จะคัดลอกที่อยู่ที่ไม่ถูกต้องจากประวัติการทำธุรกรรมสำหรับการโอนครั้งต่อไป

4. การบริการลูกค้าปลอม: แฮกเกอร์แกล้งทำเป็นฝ่ายบริการลูกค้า ติดต่อผู้ใช้ผ่านโซเชียลมีเดียหรืออีเมล และขอคีย์ส่วนตัวหรือวลีช่วยในการจำ ฝ่ายบริการลูกค้าอย่างเป็นทางการจะไม่ขอคีย์ส่วนตัวและจะเพิกเฉยต่อคำขอดังกล่าว

Q4: ประเด็นด้านความปลอดภัยที่ช่างทำผมมืออาชีพต้องคำนึงถึงเมื่อใช้เครื่องมือต่างๆ มีอะไรบ้าง?

WTF Academy: เนื่องจากมีเครื่องมือหลายประเภทที่ผู้ใช้ทำผมใช้ ข้อควรระวังด้านความปลอดภัยจึงควรมีความเข้มแข็งเมื่อใช้เครื่องมือต่างๆ เช่น

1. ความปลอดภัยของกระเป๋าสตางค์: ตรวจสอบให้แน่ใจว่าคีย์ส่วนตัวหรือวลีช่วยจำไม่รั่วไหล อย่าบันทึกคีย์ส่วนตัวไว้ในที่ที่ไม่ปลอดภัย และหลีกเลี่ยงการป้อนคีย์ส่วนตัวบนเว็บไซต์ที่ไม่รู้จักหรือไม่น่าเชื่อถือ ฯลฯ ผู้ใช้ควรจัดเก็บข้อมูลสำรองของคีย์ส่วนตัวหรือวลีช่วยจำไว้ในที่ปลอดภัย เช่น อุปกรณ์จัดเก็บข้อมูลออฟไลน์หรือที่เก็บข้อมูลบนคลาวด์ที่เข้ารหัส นอกจากนี้ สำหรับผู้ใช้กระเป๋าเงินที่เก็บทรัพย์สินที่มีมูลค่าสูง การใช้กระเป๋าเงินหลายลายเซ็นจะช่วยเพิ่มความปลอดภัยได้

2. ป้องกันการโจมตีแบบฟิชชิ่ง: เมื่อผู้ใช้เยี่ยมชมเว็บไซต์ที่เกี่ยวข้อง พวกเขาจะต้องตรวจสอบ URL อย่างระมัดระวัง และหลีกเลี่ยงการคลิกลิงก์จากแหล่งที่ไม่รู้จัก พยายามรับลิงค์ดาวน์โหลดและข้อมูลจากเว็บไซต์อย่างเป็นทางการของโครงการหรือโซเชียลมีเดียอย่างเป็นทางการ และหลีกเลี่ยงการใช้แหล่งข้อมูลบุคคลที่สาม

3. ความปลอดภัยของซอฟต์แวร์: ผู้ใช้ควรตรวจสอบให้แน่ใจว่ามีการติดตั้งและอัปเดตซอฟต์แวร์ป้องกันไวรัสบนอุปกรณ์ของตนเพื่อป้องกันมัลแวร์และการโจมตีของไวรัส นอกจากนี้ กระเป๋าเงินและเครื่องมือที่เกี่ยวข้องกับบล็อกเชนอื่น ๆ ควรได้รับการอัปเดตเป็นประจำเพื่อให้แน่ใจว่าพวกเขากำลังใช้แพตช์รักษาความปลอดภัยล่าสุด เนื่องจากเบราว์เซอร์ลายนิ้วมือและเดสก์ท็อประยะไกลก่อนหน้านี้จำนวนมากมีช่องโหว่ด้านความปลอดภัย จึงไม่แนะนำให้ใช้

ด้วยมาตรการข้างต้น ผู้ใช้สามารถลดความเสี่ยงด้านความปลอดภัยเพิ่มเติมได้เมื่อใช้เครื่องมือต่างๆ

ทีมรักษาความปลอดภัย OKX Web3 Wallet: ก่อนอื่นเรามาพูดถึงกรณีสาธารณะจากอุตสาหกรรมกันก่อน

ตัวอย่างเช่น BitFingerprint Browser มีฟังก์ชันต่างๆ เช่น การเข้าสู่ระบบหลายบัญชี การป้องกันการเชื่อมโยงหน้าต่าง และการจำลองข้อมูลคอมพิวเตอร์ที่เป็นอิสระ เป็นที่ชื่นชอบของผู้ใช้บางราย แต่เหตุการณ์ด้านความปลอดภัยหลายครั้งในเดือนสิงหาคม 2023 ได้เผยให้เห็นถึงความเสี่ยงที่อาจเกิดขึ้น โดยเฉพาะฟังก์ชัน "การซิงโครไนซ์ข้อมูลปลั๊กอิน" ของ Bit Browser ช่วยให้ผู้ใช้สามารถอัปโหลดข้อมูลปลั๊กอินไปยังเซิร์ฟเวอร์คลาวด์และย้ายข้อมูลบนอุปกรณ์ใหม่ได้อย่างรวดเร็วด้วยการป้อนรหัสผ่าน แม้ว่าคุณสมบัตินี้ได้รับการออกแบบเพื่อความสะดวกของผู้ใช้ แต่ก็ยังมีความเสี่ยงด้านความปลอดภัยด้วย แฮกเกอร์ได้รับข้อมูลกระเป๋าเงินของผู้ใช้โดยการบุกรุกเซิร์ฟเวอร์ ด้วยวิธีการถอดรหัสแบบเดรัจฉาน แฮกเกอร์สามารถถอดรหัสรหัสผ่านกระเป๋าเงินของผู้ใช้จากข้อมูล และได้รับการอนุญาตจากกระเป๋าเงิน ตามบันทึกของเซิร์ฟเวอร์ เซิร์ฟเวอร์ที่เก็บแคชเพิ่มเติมถูกดาวน์โหลดอย่างผิดกฎหมายเมื่อต้นเดือนสิงหาคม (โดยมีบันทึกบันทึกสิ้นสุดวันที่ 2 สิงหาคม) เหตุการณ์นี้เตือนเราว่าในขณะที่เพลิดเพลินกับความสะดวกสบาย เราต้องตื่นตัวต่อความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้นด้วย

ดังนั้นจึงเป็นสิ่งสำคัญสำหรับผู้ใช้ที่จะต้องแน่ใจว่าเครื่องมือที่พวกเขาใช้นั้นปลอดภัยและเชื่อถือได้ เพื่อหลีกเลี่ยงความเสี่ยงที่แฮกเกอร์และข้อมูลจะรั่วไหล โดยทั่วไป ผู้ใช้สามารถปรับปรุงความปลอดภัยบางอย่างได้จากมิติต่อไปนี้

1. การใช้งานกระเป๋าเงินฮาร์ดแวร์: 1) อัพเดตเฟิร์มแวร์อย่างสม่ำเสมอและซื้อผ่านช่องทางการ 2) ใช้บนคอมพิวเตอร์ที่ปลอดภัยและหลีกเลี่ยงการเชื่อมต่อในที่สาธารณะ

2. การใช้ปลั๊กอินของเบราว์เซอร์ :) ใช้ปลั๊กอินและเครื่องมือของบุคคลที่สามด้วยความระมัดระวัง และพยายามเลือกผลิตภัณฑ์ที่มีชื่อเสียง เช่น กระเป๋าเงิน OKX Web3 เป็นต้น 2) หลีกเลี่ยงการใช้ปลั๊กอินกระเป๋าสตางค์บนเว็บไซต์ที่ไม่น่าเชื่อถือ

3. การใช้เครื่องมือวิเคราะห์ธุรกรรม: 1) ใช้แพลตฟอร์มที่เชื่อถือได้สำหรับธุรกรรมและการโต้ตอบตามสัญญา 2) ตรวจสอบที่อยู่สัญญาและวิธีการโทรอย่างระมัดระวังเพื่อหลีกเลี่ยงการทำงานผิดพลาด

4. การใช้อุปกรณ์คอมพิวเตอร์: 1) อัปเดตระบบอุปกรณ์คอมพิวเตอร์ อัปเดตซอฟต์แวร์ และแก้ไขช่องโหว่ด้านความปลอดภัยเป็นประจำ 2) ซอฟต์แวร์ป้องกันไวรัสเพื่อตรวจสอบและกำจัดไวรัสระบบคอมพิวเตอร์อย่างสม่ำเสมอ

คำถามที่ 5: เมื่อเปรียบเทียบกับกระเป๋าเงินใบเดียว Lumaor จะจัดการกระเป๋าเงินและบัญชีหลายใบได้อย่างปลอดภัยยิ่งขึ้นได้อย่างไร

WTF Academy: เนื่องจากผู้ใช้ Lumao โต้ตอบบ่อยครั้งบนเครือข่ายและจัดการกระเป๋าเงินและบัญชีหลายรายการพร้อมกัน พวกเขาจึงต้องให้ความสนใจเป็นพิเศษกับความปลอดภัยของสินทรัพย์

1. ใช้กระเป๋าเงินฮาร์ดแวร์: กระเป๋าเงินฮาร์ดแวร์อนุญาตให้ผู้ใช้จัดการบัญชีกระเป๋าเงินหลายบัญชีบนอุปกรณ์เดียวกัน รหัสส่วนตัวของแต่ละบัญชีจะถูกเก็บไว้ในอุปกรณ์ฮาร์ดแวร์ซึ่งค่อนข้างปลอดภัยกว่า

2. กลยุทธ์การรักษาความปลอดภัยแบบแยกส่วนและสภาพแวดล้อมการทำงานแบบแยกส่วน: ประการแรกคือกลยุทธ์การรักษาความปลอดภัยแบบแยกส่วน ผู้ใช้สามารถบรรลุวัตถุประสงค์ในการกระจายความเสี่ยงโดยการแยกกระเป๋าเงินเพื่อวัตถุประสงค์ที่แตกต่างกัน ตัวอย่างเช่น กระเป๋าเงินแอร์ดรอป กระเป๋าซื้อขาย กระเป๋าเก็บของ ฯลฯ อีกตัวอย่างหนึ่งคือ Hot Wallet ใช้สำหรับการทำธุรกรรมรายวันและการดำเนินการที่ทำให้ขนลุก ในขณะที่ Cold Wallet ใช้สำหรับการจัดเก็บทรัพย์สินที่สำคัญในระยะยาว ดังนั้นแม้ว่ากระเป๋าเงินใบหนึ่งจะเสียหาย กระเป๋าเงินอื่นๆ จะไม่ได้รับผลกระทบ

ประการที่สองคือการแยกสภาพแวดล้อมการทำงาน ผู้ใช้สามารถใช้อุปกรณ์ที่แตกต่างกัน (เช่น โทรศัพท์มือถือ แท็บเล็ต คอมพิวเตอร์ ฯลฯ) เพื่อจัดการกระเป๋าเงินที่แตกต่างกันเพื่อป้องกันปัญหาด้านความปลอดภัยบนอุปกรณ์เครื่องหนึ่งไม่ให้ส่งผลกระทบต่อกระเป๋าเงินทั้งหมด

3. การจัดการรหัสผ่าน: ผู้ใช้ควรตั้งรหัสผ่านที่รัดกุมสำหรับบัญชีกระเป๋าเงินแต่ละบัญชี และหลีกเลี่ยงการใช้รหัสผ่านเดียวกันหรือคล้ายกัน หรือใช้ตัวจัดการรหัสผ่านเพื่อจัดการรหัสผ่านสำหรับบัญชีต่างๆ เพื่อให้แน่ใจว่ารหัสผ่านแต่ละอันมีความเป็นอิสระและปลอดภัย

ทีมรักษาความปลอดภัยกระเป๋าเงิน OKX Web3: สำหรับผู้ใช้ Lumao การจัดการกระเป๋าเงินและบัญชีหลายใบอย่างปลอดภัยยิ่งขึ้นไม่ใช่เรื่องง่าย ตัวอย่างเช่น ความปลอดภัยของกระเป๋าเงินสามารถปรับปรุงได้จากมิติต่อไปนี้:

1. กระจายความเสี่ยง: 1) อย่าใส่ทรัพย์สินทั้งหมดไว้ในกระเป๋าสตางค์ใบเดียว กระจายความเสี่ยงในการจัดเก็บข้อมูลเพื่อลดความเสี่ยง ขึ้นอยู่กับประเภทสินทรัพย์และการใช้งาน ให้เลือกประเภทกระเป๋าสตางค์ที่แตกต่างกัน เช่น กระเป๋าฮาร์ดแวร์ กระเป๋าซอฟต์แวร์ กระเป๋าเงินเย็น กระเป๋าเงินร้อน ฯลฯ 2) ใช้กระเป๋าเงินหลายลายเซ็นเพื่อจัดการสินทรัพย์จำนวนมากและปรับปรุงความปลอดภัย

2. การสำรองและการกู้คืน: 1) สำรองคำช่วยจำและคีย์ส่วนตัวเป็นประจำ และจัดเก็บไว้ในสถานที่ที่ปลอดภัยหลายแห่ง 2) ใช้กระเป๋าสตางค์ฮาร์ดแวร์สำหรับการจัดเก็บแบบเย็นเพื่อหลีกเลี่ยงการรั่วไหลของคีย์ส่วนตัว

3. หลีกเลี่ยงการใช้รหัสผ่านซ้ำ: ตั้งรหัสผ่านที่รัดกุมสำหรับแต่ละกระเป๋าเงินและบัญชี และหลีกเลี่ยงการใช้รหัสผ่านเดียวกันเพื่อลดความเสี่ยงที่บัญชีหนึ่งจะถูกถอดรหัสและบัญชีอื่น ๆ ที่ถูกบุกรุกในเวลาเดียวกัน

4. เปิดใช้งานการยืนยันสองขั้นตอน: หากเป็นไปได้ เปิดใช้งานการยืนยันสองขั้นตอน (2FA) สำหรับทุกบัญชีเพื่อเพิ่มความปลอดภัยของบัญชี

5. เครื่องมืออัตโนมัติ: ลดการใช้เครื่องมืออัตโนมัติ โดยเฉพาะบริการที่อาจจัดเก็บข้อมูลของคุณไว้ในคลาวด์หรือเซิร์ฟเวอร์ของบุคคลที่สาม เพื่อลดความเสี่ยงของการรั่วไหลของข้อมูล

6. จำกัดสิทธิ์การเข้าถึง: อนุญาตเฉพาะผู้ที่เชื่อถือได้ในการเข้าถึงกระเป๋าเงินและบัญชีของคุณ และจำกัดสิทธิ์ในการดำเนินงานของพวกเขา

7. ตรวจสอบสถานะความปลอดภัยของกระเป๋าเงินเป็นประจำ: ใช้เครื่องมือเพื่อตรวจสอบธุรกรรมกระเป๋าเงินเพื่อให้แน่ใจว่าไม่มีธุรกรรมที่ผิดปกติเกิดขึ้น หากพบว่ารหัสส่วนตัวกระเป๋าเงินรั่วไหล ให้เปลี่ยนกระเป๋าเงินทั้งหมดทันที ฯลฯ

นอกเหนือจากมิติข้อมูลที่ระบุไว้ข้างต้น ยังมีมิติอื่นๆ อีกมาก ไม่ว่าในกรณีใด ผู้ใช้ควรมั่นใจในความปลอดภัยของกระเป๋าเงินและทรัพย์สินผ่านหลายมิติให้มากที่สุด และอย่าพึ่งพามิติเดียวเพียงอย่างเดียว

คำถามที่ 6: คำแนะนำในการป้องกันสำหรับการเลื่อนหลุดของธุรกรรม การโจมตี MEV ฯลฯ ที่เกี่ยวข้องกับคนขนดกจริงๆ คืออะไร

WTF Academy: การทำความเข้าใจและป้องกันการคลาดเคลื่อนของการซื้อขายและการโจมตี MEV เป็นสิ่งสำคัญ

ยกตัวอย่างการโจมตี MEV ประเภททั่วไปคือ: 1) Front-running นั่นคือ นักขุดหรือหุ่นยนต์ซื้อขายจะดำเนินการธุรกรรมเดียวกันก่อนที่ผู้ใช้จะซื้อขายเพื่อให้ได้ผลกำไร 2) การโจมตีแบบแซนวิช โดยที่นักขุดแทรกคำสั่งซื้อและขายก่อนและหลังการทำธุรกรรมของผู้ใช้เพื่อหากำไรจากความผันผวนของราคา 3) การเก็งกำไร: ใช้ประโยชน์จากส่วนต่างของราคาในตลาดต่าง ๆ บนบล็อคเชนเพื่อการเก็งกำไร

ผู้ใช้สามารถหลีกเลี่ยงการเผยแพร่สู่สาธารณะบนบล็อกเชนโดยส่งธุรกรรมไปยังช่องทางเฉพาะของนักขุดผ่านเครื่องมือป้องกัน MEV หรือลดเวลาในการเปิดเผยธุรกรรม กล่าวคือ ลดเวลาที่ธุรกรรมอยู่ในพูลหน่วยความจำ ใช้ค่าธรรมเนียมก๊าซที่สูงขึ้นเพื่อเร่งการยืนยันธุรกรรม และหลีกเลี่ยงการมุ่งเน้นไปที่แพลตฟอร์ม DEX เดียวสำหรับธุรกรรมขนาดใหญ่เพื่อลดความเสี่ยงที่จะถูกโจมตี

ทีมรักษาความปลอดภัย OKX Web3 Wallet: ส่วนต่างของการซื้อขายหมายถึงความแตกต่างระหว่างราคาธุรกรรมที่คาดหวังและราคาดำเนินการจริง ซึ่งมักจะเกิดขึ้นเมื่อตลาดมีความผันผวนหรือมีสภาพคล่องต่ำ การโจมตี MEV หมายถึงผู้โจมตีที่ใช้ประโยชน์จากความไม่สมดุลของข้อมูลและสิทธิพิเศษในการซื้อขายเพื่อให้ได้ผลกำไรส่วนเกิน ต่อไปนี้เป็นมาตรการป้องกันทั่วไปสำหรับสองสถานการณ์นี้:

1. ตั้งค่าความทนทานต่อ Slippage: เนื่องจากความล่าช้าในการอัปโหลดธุรกรรมและการโจมตี MEV ที่อาจเกิดขึ้น ผู้ใช้จำเป็นต้องตั้งค่าความทนทานต่อ Slippage ที่เหมาะสมล่วงหน้าเมื่อทำการซื้อขายเพื่อหลีกเลี่ยงความล้มเหลวในการทำธุรกรรมหรือความล้มเหลวเนื่องจากความผันผวนของตลาดหรือการโจมตี MEV

2. การซื้อขายเป็นชุด: การหลีกเลี่ยงการทำธุรกรรมขนาดใหญ่เพียงครั้งเดียวและการทำธุรกรรมเป็นชุดสามารถลดผลกระทบต่อราคาในตลาดและลดความเสี่ยงของการคลาดเคลื่อนได้

3. ใช้คู่ซื้อขายที่มีสภาพคล่องสูงกว่า: เมื่อทำการซื้อขาย ให้เลือกคู่ซื้อขายที่มีสภาพคล่องเพียงพอเพื่อลดการเกิด Slippage

4. ใช้เครื่องมือป้องกันการวิ่งหน้า: พยายามอย่าใช้ Memepool สำหรับธุรกรรมที่สำคัญ คุณสามารถใช้เครื่องมือป้องกันการวิ่งหน้าแบบมืออาชีพเพื่อปกป้องธุรกรรมจากการถูกจับโดยหุ่นยนต์ MEV

คำถามที่ 7: ผู้ใช้สามารถใช้เครื่องมือตรวจสอบหรือวิธีการแบบมืออาชีพเพื่อตรวจสอบและตรวจจับความผิดปกติของบัญชีกระเป๋าเงินเป็นประจำได้หรือไม่?

WTF Academy: ผู้ใช้สามารถใช้เครื่องมือตรวจสอบที่หลากหลายและวิธีการระดับมืออาชีพเพื่อตรวจสอบและตรวจจับกิจกรรมที่ผิดปกติในบัญชีกระเป๋าเงินเป็นประจำ วิธีการเหล่านี้ช่วยเพิ่มความปลอดภัยของบัญชีและป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตและการฉ้อโกงที่อาจเกิดขึ้น ต่อไปนี้เป็นวิธีการติดตามและตรวจจับที่มีประสิทธิภาพ:

1) บริการตรวจสอบบุคคลที่สาม: ปัจจุบัน มีหลายแพลตฟอร์มที่สามารถให้รายงานโดยละเอียดและการแจ้งเตือนแบบเรียลไทม์เกี่ยวกับกิจกรรมกระเป๋าเงินแก่ผู้ใช้

2) ใช้ปลั๊กอินความปลอดภัย: เครื่องมือรักษาความปลอดภัยบางตัวสามารถบล็อกเว็บไซต์ฟิชชิ่งบางแห่งได้โดยอัตโนมัติ

3) ฟังก์ชั่นในตัว Wallet: Wallet เช่น OKX Web3 สามารถตรวจจับและระบุเว็บไซต์ฟิชชิ่งและสัญญาที่น่าสงสัยได้โดยอัตโนมัติ และแจ้งเตือนผู้ใช้

ทีมรักษาความปลอดภัยกระเป๋าสตางค์ OKX Web3: ปัจจุบัน บริษัทหรือองค์กรหลายแห่งมีเครื่องมือจำนวนมากที่สามารถใช้เพื่อตรวจสอบและตรวจจับที่อยู่กระเป๋าสตางค์ เราได้รวบรวมบางส่วนตามข้อมูลสาธารณะของอุตสาหกรรม เช่น:

1. เครื่องมือตรวจสอบบล็อคเชน: ใช้เครื่องมือวิเคราะห์บล็อคเชนเพื่อติดตามธุรกรรมที่ผิดปกติของที่อยู่กระเป๋าสตางค์ การเปลี่ยนแปลงกองทุน และตั้งค่าการแจ้งเตือนธุรกรรมที่อยู่ ฯลฯ

2. กระเป๋าเงินที่ปลอดภัย: การใช้กระเป๋าเงินมืออาชีพ เช่น กระเป๋าเงิน OKX Web3 สามารถรองรับการทำธุรกรรมล่วงหน้าและตรวจจับธุรกรรมที่น่าสงสัยได้ทันเวลา นอกจากนี้ยังสามารถตรวจจับและป้องกันการโต้ตอบกับเว็บไซต์และสัญญาที่เป็นอันตรายได้ทันเวลา

3. ระบบแจ้งเตือน: สามารถส่งการแจ้งเตือนสำหรับธุรกรรมหรือการเปลี่ยนแปลงยอดคงเหลือตามเงื่อนไขที่ผู้ใช้กำหนด รวมถึงข้อความ อีเมล หรือการแจ้งเตือนของแอป

4. แบบสอบถามการอนุญาตโทเค็น OKLink: ตรวจสอบการอนุญาตของกระเป๋าเงินสำหรับ DApps เพิกถอนการอนุญาตที่ไม่จำเป็นในเวลาที่เหมาะสม และป้องกันไม่ให้การอนุญาตถูกละเมิดโดยสัญญาที่เป็นอันตราย

คำถามที่ 8: จะปกป้องความปลอดภัยความเป็นส่วนตัวบนเครือข่ายได้อย่างไร

WTF Academy: แม้ว่าธรรมชาติของบล็อกเชนที่เปิดกว้างและโปร่งใสจะนำมาซึ่งประโยชน์มากมาย แต่ก็หมายความว่ากิจกรรมการทำธุรกรรมและข้อมูลทรัพย์สินของผู้ใช้อาจถูกนำไปใช้ในทางที่ผิด และการปกป้องความเป็นส่วนตัวบนเชนก็มีความสำคัญมากขึ้น อย่างไรก็ตาม ผู้ใช้สามารถปกป้องความเป็นส่วนตัวของข้อมูลประจำตัวของตนได้โดยการสร้างและใช้ที่อยู่หลายแห่ง ไม่แนะนำให้ใช้เบราว์เซอร์ลายนิ้วมือเนื่องจากมีช่องโหว่ด้านความปลอดภัยมากมายที่เคยเกิดขึ้นในอดีต

ทีมรักษาความปลอดภัย OKX Web3 Wallet: ปัจจุบันมีผู้ใช้จำนวนมากขึ้นเรื่อย ๆ เริ่มให้ความสนใจกับการปกป้องความปลอดภัยความเป็นส่วนตัว วิธีการทั่วไป ได้แก่

1. การจัดการหลายกระเป๋าเงิน: กระจายทรัพย์สินของผู้ใช้และลดความเสี่ยงที่กระเป๋าเงินใบเดียวจะถูกติดตามหรือโจมตี

2. ใช้กระเป๋าเงินหลายลายเซ็น: ต้องใช้ลายเซ็นหลายฝ่ายในการทำธุรกรรม ซึ่งจะเพิ่มความปลอดภัยและการปกป้องความเป็นส่วนตัว

3. กระเป๋าเงินเย็น: เก็บทรัพย์สินระยะยาวไว้ในกระเป๋าฮาร์ดแวร์หรือที่เก็บข้อมูลออฟไลน์เพื่อป้องกันการโจมตีออนไลน์

4. อย่าเปิดเผยที่อยู่ของคุณต่อสาธารณะ: หลีกเลี่ยงการเปิดเผยที่อยู่กระเป๋าสตางค์ของคุณบนโซเชียลมีเดียหรือแพลตฟอร์มสาธารณะเพื่อป้องกันไม่ให้ผู้อื่นติดตามได้

5. ใช้อีเมลชั่วคราว: เมื่อเข้าร่วม Airdrops หรือกิจกรรมอื่น ๆ ให้ใช้ที่อยู่อีเมลชั่วคราวเพื่อปกป้องข้อมูลส่วนบุคคลไม่ให้ถูกเปิดเผย

คำถามที่ 9: ผู้ใช้ควรตอบสนองอย่างไรหากบัญชีกระเป๋าเงินของพวกเขาถูกขโมย? มีความพยายามหรือกลไกใดในการช่วยให้ผู้ใช้ที่ถูกขโมยกู้คืนทรัพย์สินของตนและปกป้องทรัพย์สินของตนหรือไม่?

WTF Academy: เราเปิดตัวแคมเปญแยกต่างหากสำหรับการโจมตีแบบฟิชชิ่งและการรั่วไหลของคีย์ส่วนตัว/วลีช่วยจำ

ก่อนอื่น เมื่อเกิดการโจมตีแบบฟิชชิ่ง ทรัพย์สินที่ผู้ใช้อนุญาตให้กับแฮ็กเกอร์จะถูกโอนไปยังกระเป๋าเงินของแฮ็กเกอร์ ซึ่งแทบจะเป็นไปไม่ได้เลยที่จะช่วยเหลือ/กู้คืน แต่ทรัพย์สินที่เหลืออยู่ในกระเป๋าเงินของผู้ใช้นั้นค่อนข้างปลอดภัย ทีม RescuETH แนะนำให้ผู้ใช้ใช้มาตรการต่อไปนี้:

1) ถอนการอนุญาตสินทรัพย์ให้กับแฮกเกอร์

2) ติดต่อบริษัทรักษาความปลอดภัยเพื่อติดตามทรัพย์สินที่ถูกขโมยและที่อยู่ของแฮ็กเกอร์

ประการที่สอง เมื่อคีย์ส่วนตัว/วลีช่วยในการจำรั่วไหล ทรัพย์สินที่มีค่าทั้งหมดในกระเป๋าเงินของผู้ใช้จะถูกโอนไปยังกระเป๋าเงินของแฮ็กเกอร์ ส่วนนี้แทบจะเป็นไปไม่ได้เลยที่จะช่วยเหลือ/กู้คืน แต่ทรัพย์สินในกระเป๋าเงินของผู้ใช้ที่ไม่สามารถโอนได้ในปัจจุบันสามารถทำได้ ได้รับการช่วยเหลือ เช่น ทรัพย์สินที่จำนำและยังไม่ได้ออกจำหน่าย ซึ่งเป็นเป้าหมายการช่วยเหลือหลักของเราด้วย ทีม RescuETH แนะนำให้ผู้ใช้ใช้มาตรการต่อไปนี้:

1) ตรวจสอบโดยเร็วที่สุดว่ามีทรัพย์สินในกระเป๋าเงินที่ยังไม่ได้ถูกโอนโดยแฮกเกอร์หรือไม่ ถ้ามี ให้โอนทรัพย์สินเหล่านั้นไปยังกระเป๋าเงินที่ปลอดภัยทันที บางครั้งแฮกเกอร์อาจพลาดทรัพย์สินจากเครือข่ายที่ไม่เป็นที่นิยมบางแห่ง

2) หากกระเป๋าเงินได้ปลดล็อคทรัพย์สินที่จำนำและ airdrops ที่ยังไม่ได้ออก คุณสามารถติดต่อทีมงานมืออาชีพเพื่อช่วยเหลือได้

3) หากคุณสงสัยว่ามีการติดตั้งมัลแวร์ ให้ฆ่าเชื้อคอมพิวเตอร์ของคุณโดยเร็วที่สุดและลบมัลแวร์นั้น หากจำเป็น คุณสามารถติดตั้งระบบใหม่ได้

ในปัจจุบัน เราได้พยายามหลายครั้งเพื่อช่วยเหลือทรัพย์สินของผู้ใช้ที่ถูกขโมย

อันดับแรก เราเป็นทีมแรกที่ดำเนินการช่วยเหลือทรัพย์สินจำนวนมากจากกระเป๋าสตางค์ที่ถูกขโมย ในระหว่างงาน Airdrop ของ Arbitrum ในเดือนมีนาคม 2023 ฉันรวบรวมคีย์ส่วนตัวของกระเป๋าเงินที่รั่วไหลออกมามากกว่า 40 ใบจากแฟนๆ เกือบ 20 คนเพื่อแข่งขันกับแฮกเกอร์เพื่อแข่งขันชิง $ARB airdrop ในท้ายที่สุด โทเค็น ARB มูลค่า 40,000+ ดอลลาร์สหรัฐได้รับการช่วยเหลือได้สำเร็จ โดยมีอัตราความสำเร็จ 80%

ประการที่สอง เมื่อกระเป๋าเงินของผู้ใช้ถูกขโมย สินทรัพย์ที่มีมูลค่าทางเศรษฐกิจจะถูกโอนโดยแฮกเกอร์ ในขณะที่ NFT หรือ ENS ที่ไม่มีมูลค่าทางเศรษฐกิจ แต่มีมูลค่าที่ระลึกแก่ผู้ใช้จะยังคงอยู่ในกระเป๋าเงิน อย่างไรก็ตาม เนื่องจากแฮกเกอร์ติดตามกระเป๋าเงิน ดังนั้น Gas ที่ถ่ายโอนจะถูกถ่ายโอนทันที และผู้ใช้ไม่สามารถถ่ายโอนเนื้อหาส่วนนี้ได้ เพื่อตอบสนองต่อสิ่งนี้ เราได้จัดทำแอปพลิเคชันช่วยเหลือแบบบริการตนเอง: แอป RescuETH ซึ่งใช้เทคโนโลยี MEV ของชุด Flashbots สามารถรวมธุรกรรมการถ่ายโอนใน Gas และถ่ายโอน NFT/ENS ออก เพื่อป้องกันไม่ให้แฮกเกอร์ฟังสคริปต์ การถ่ายโอนออกจากก๊าซจึงช่วยทรัพย์สินได้สำเร็จ ขณะนี้แอป RescuETH อยู่ระหว่างการทดสอบภายใน และคาดว่าจะเริ่มการทดสอบสาธารณะในเดือนมิถุนายน

ประการที่สาม เราให้บริการช่วยเหลือแบบหมวกขาวแบบชำระเงินและปรับแต่งได้สำหรับทรัพย์สินบางส่วนในกระเป๋าเงินที่ถูกขโมยของผู้ใช้ซึ่งสามารถช่วยเหลือได้ (คำมั่นสัญญาที่ปลดล็อคและ airdrops ที่ยังไม่ได้ออก) ปัจจุบัน ทีมหมวกขาวของเราประกอบด้วยผู้เชี่ยวชาญด้านความปลอดภัย/MEV เกือบ 20 คน และได้ช่วยเหลือทรัพย์สินมากกว่า 3 ล้านหยวนจากกระเป๋าเงินที่ถูกขโมยใน ETH, Solana, Cosmos และเครือข่ายอื่น ๆ

ทีมรักษาความปลอดภัย OKX Web3 Wallet: เราขยายจาก 2 มุมมอง: มาตรการผู้ใช้และกลไกการรักษาความปลอดภัยของ OKX Web3 Wallet

1. มาตรการผู้ใช้

เมื่อผู้ใช้พบว่ากระเป๋าเงินของตนถูกขโมย ขอแนะนำให้ดำเนินการดังต่อไปนี้โดยด่วน:

1. มาตรการตอบสนองฉุกเฉิน

1) โอนเงินทันที: หากยังมีเงินในกระเป๋าเงินอยู่ จะต้องโอนไปยังที่อยู่ใหม่ที่ปลอดภัยทันที

2) เพิกถอนการอนุญาต: เพิกถอนการอนุญาตทั้งหมดทันทีผ่านเครื่องมือการจัดการเพื่อป้องกันการสูญเสียเพิ่มเติม

3) ติดตามการไหลของเงินทุน: ติดตามการไหลของเงินทุนที่ถูกขโมยในเวลาที่เหมาะสม และจัดระเบียบข้อมูลโดยละเอียดเกี่ยวกับกระบวนการขโมยเพื่อขอความช่วยเหลือจากภายนอก

2. การสนับสนุนชุมชนและโครงการ

1) ขอความช่วยเหลือจากฝ่ายโครงการและชุมชน: รายงานเหตุการณ์ต่อฝ่ายโครงการและชุมชน และบางครั้งฝ่ายโครงการอาจอายัดหรือกู้คืนทรัพย์สินที่ถูกขโมยได้ ตัวอย่างเช่น USDC มีกลไกบัญชีดำที่บล็อกการโอนเงิน

2) เข้าร่วมองค์กรรักษาความปลอดภัยบล็อคเชน: เข้าร่วมองค์กรหรือกลุ่มรักษาความปลอดภัยบล็อคเชนที่เกี่ยวข้อง และใช้ความแข็งแกร่งร่วมกันเพื่อแก้ไขปัญหา

3) ติดต่อฝ่ายบริการลูกค้าของ Wallet: ติดต่อทีมสนับสนุนลูกค้าของ Wallet ทันทีเพื่อขอความช่วยเหลือและคำแนะนำจากมืออาชีพ

2. กลไกความปลอดภัยของกระเป๋าเงิน OKX Web3

OKX Web3 Wallet ให้ความสำคัญอย่างยิ่งต่อความปลอดภัยของทรัพย์สินของผู้ใช้และยังคงลงทุนในการปกป้องทรัพย์สินของผู้ใช้ โดยจัดให้มีกลไกการรักษาความปลอดภัยที่หลากหลายเพื่อให้มั่นใจในความปลอดภัยของทรัพย์สินดิจิทัลของผู้ใช้

1) ไลบรารีแท็กที่อยู่สีดำ: กระเป๋าเงิน OKX Web3 ได้สร้างไลบรารีแท็กที่อยู่สีดำที่หลากหลายเพื่อป้องกันไม่ให้ผู้ใช้โต้ตอบกับที่อยู่ที่เป็นอันตรายที่รู้จัก ไลบรารีแท็กได้รับการอัปเดตอย่างต่อเนื่องเพื่อตอบสนองต่อการเปลี่ยนแปลงภัยคุกคามด้านความปลอดภัยและรับประกันความปลอดภัยของทรัพย์สินของผู้ใช้

2) ปลั๊กอินความปลอดภัย: กระเป๋าเงิน OKX Web3 มีฟังก์ชันป้องกันฟิชชิ่งในตัว เพื่อช่วยให้ผู้ใช้ระบุและบล็อกลิงก์ที่อาจเป็นอันตรายและคำขอธุรกรรม ช่วยเพิ่มความปลอดภัยให้กับบัญชีผู้ใช้

3) การสนับสนุนออนไลน์ตลอด 24 ชั่วโมง: OKX Web3 Wallet ให้การสนับสนุนออนไลน์แก่ลูกค้าตลอด 24 ชั่วโมง ติดตามเหตุการณ์การโจรกรรมทรัพย์สินของลูกค้าและการฉ้อโกงโดยทันที และรับประกันว่าผู้ใช้จะได้รับความช่วยเหลือและคำแนะนำอย่างรวดเร็ว

4) การให้ความรู้แก่ผู้ใช้: OKX Web3 Wallet เผยแพร่เคล็ดลับด้านความปลอดภัยและสื่อการเรียนรู้เป็นประจำ เพื่อช่วยให้ผู้ใช้ปรับปรุงการรับรู้ด้านความปลอดภัย และเข้าใจวิธีป้องกันความเสี่ยงด้านความปลอดภัยทั่วไปและปกป้องทรัพย์สินของพวกเขา

คำถามที่ 1 0: คุณสามารถแบ่งปันเทคโนโลยีความปลอดภัยที่ล้ำสมัย เช่น AI สามารถใช้เพื่อเพิ่มการป้องกันความปลอดภัยได้หรือไม่

WTF Academy: การรักษาความปลอดภัยในด้านบล็อคเชนและ Web3 เป็นสาขาที่มีการพัฒนาอย่างต่อเนื่อง และเทคโนโลยีและวิธีการรักษาความปลอดภัยที่ล้ำสมัยต่าง ๆ ก็เกิดขึ้นอย่างต่อเนื่อง สิ่งที่ได้รับความนิยมในปัจจุบัน ได้แก่:

1) การตรวจสอบสัญญาอัจฉริยะ: การใช้ AI และการเรียนรู้ของเครื่องเพื่อทำให้การตรวจสอบความปลอดภัยของสัญญาอัจฉริยะเป็นอัตโนมัติ สามารถตรวจจับช่องโหว่และความเสี่ยงที่อาจเกิดขึ้นในสัญญาอัจฉริยะ ให้การวิเคราะห์ที่รวดเร็วและครอบคลุมมากกว่าการตรวจสอบด้วยตนเองแบบดั้งเดิม

2) การตรวจจับพฤติกรรมที่ผิดปกติ: ใช้อัลกอริธึมการเรียนรู้ของเครื่องเพื่อวิเคราะห์ธุรกรรมออนไลน์และรูปแบบพฤติกรรมเพื่อตรวจจับกิจกรรมที่ผิดปกติและภัยคุกคามความปลอดภัยที่อาจเกิดขึ้น AI สามารถระบุรูปแบบการโจมตีทั่วไป (เช่น การโจมตี MEV การโจมตีแบบฟิชชิ่ง) และพฤติกรรมการทำธุรกรรมที่ผิดปกติ และให้คำเตือนแบบเรียลไทม์

3) การตรวจจับการฉ้อโกง: AI สามารถวิเคราะห์ประวัติการทำธุรกรรมและพฤติกรรมผู้ใช้เพื่อระบุและทำเครื่องหมายกิจกรรมการฉ้อโกงที่อาจเกิดขึ้น

ทีมรักษาความปลอดภัย OKX Web3 Wallet: ปัจจุบัน AI มีแอปพลิเคชันที่เป็นประโยชน์มากมายในสาขา Web3 ต่อไปนี้คือบางสถานการณ์ที่ AI ถูกนำมาใช้เพื่อเพิ่มการป้องกันความปลอดภัยของ Web3:

ประการแรก การตรวจจับความผิดปกติและการตรวจจับการบุกรุก: ใช้โมเดล AI และการเรียนรู้ของเครื่องเพื่อวิเคราะห์รูปแบบพฤติกรรมของผู้ใช้และตรวจจับกิจกรรมที่ผิดปกติ ตัวอย่างเช่น โมเดลการเรียนรู้เชิงลึกสามารถใช้เพื่อวิเคราะห์พฤติกรรมการทำธุรกรรมและกิจกรรมกระเป๋าเงินเพื่อระบุพฤติกรรมที่อาจเป็นอันตรายหรือกิจกรรมที่ผิดปกติ

ประการที่สอง การระบุเว็บไซต์ฟิชชิ่ง: AI สามารถตรวจจับและบล็อกเว็บไซต์ฟิชชิ่งโดยการวิเคราะห์เนื้อหาหน้าเว็บและลักษณะลิงก์ ปกป้องผู้ใช้จากภัยคุกคามจากการโจมตีแบบฟิชชิ่ง

ประการที่สาม การตรวจจับมัลแวร์: AI สามารถตรวจจับมัลแวร์ใหม่และไม่รู้จักโดยการวิเคราะห์พฤติกรรมและลักษณะของไฟล์ เพื่อป้องกันไม่ให้ผู้ใช้ดาวน์โหลดและเรียกใช้โปรแกรมที่เป็นอันตราย

ประการที่สี่ การตอบสนองภัยคุกคามอัตโนมัติ: AI สามารถสร้างมาตรการตอบสนองอัตโนมัติ เช่น การระงับบัญชีโดยอัตโนมัติ หรือการดำเนินการป้องกันอื่น ๆ หลังจากตรวจพบกิจกรรมที่ผิดปกติ

สุดท้ายนี้ ขอขอบคุณทุกท่านที่อ่านคอลัมน์ "ปัญหาพิเศษด้านความปลอดภัย" ของ OKX Web3 Wallet ฉบับที่ 3 ขณะนี้เรากำลังยุ่งอยู่กับการเตรียมฉบับที่ 04 ซึ่งไม่เพียงแต่ประกอบด้วยกรณีจริง การระบุความเสี่ยง และเคล็ดลับการดำเนินงานที่ปลอดภัย ดังนั้นโปรดติดตาม!

ข้อสงวนสิทธิ์

บทความนี้มีวัตถุประสงค์เพื่อให้ข้อมูลเท่านั้นและไม่ได้มีวัตถุประสงค์เพื่อให้ (i) คำแนะนำในการลงทุนหรือคำแนะนำในการลงทุน (ii) ข้อเสนอที่หรือการชักชวนให้ซื้อ ขาย หรือถือครองสินทรัพย์ดิจิทัล หรือ (iii) คำแนะนำทางการเงิน การบัญชี กฎหมาย หรือภาษี . การถือครองสินทรัพย์ดิจิทัล รวมถึงเหรียญเสถียรและ NFT มีความเสี่ยงสูง และอาจผันผวนอย่างมีนัยสำคัญหรือไร้ค่าด้วยซ้ำ คุณควรพิจารณาอย่างรอบคอบว่าการซื้อขายหรือการถือครองสินทรัพย์ดิจิทัลนั้นเหมาะสมกับคุณหรือไม่ โดยพิจารณาจากสถานการณ์ทางการเงินของคุณ โปรดรับผิดชอบในการทำความเข้าใจและปฏิบัติตามกฎหมายและข้อบังคับท้องถิ่นที่เกี่ยวข้อง