บทนำ: OKX Web3 Wallet วางแผนคอลัมน์ "ปัญหาพิเศษด้านความปลอดภัย" เป็นพิเศษเพื่อให้คำตอบพิเศษสำหรับปัญหาด้านความปลอดภัยออนไลน์ประเภทต่างๆ ผ่านกรณีจริงที่สุดที่เกิดขึ้นกับผู้ใช้ เราทำงานร่วมกับผู้เชี่ยวชาญหรือสถาบันในด้านการรักษาความปลอดภัยเพื่อแบ่งปันและตอบคำถามจากมุมมองที่แตกต่างกัน จึงแยกแยะและสรุปกฎการทำธุรกรรมที่ปลอดภัยจากตื้นไปยังลึก โดยมีจุดมุ่งหมายเพื่อเสริมสร้างความปลอดภัยของผู้ใช้ การศึกษาและช่วยให้ผู้ใช้เรียนรู้ที่จะปกป้องความปลอดภัยของคีย์ส่วนตัวและทรัพย์สินกระเป๋าเงินจากตนเอง

ท่องโลก Web3 ประหยัดเงินไป 2 เหรียญไม่ได้

จำนวนหนึ่งใช้สำหรับส่งแก๊สบนโซ่ จำนวนหนึ่งสำหรับการซื้ออุปกรณ์นอกเครือข่าย

แต่ไม่ว่าจะเป็นแบบ on-chain หรือ off-chain การรักษาความปลอดภัยก็มีความสำคัญไม่แพ้กัน ~

ฉบับนี้เป็นฉบับที่ 04 ของปัญหาพิเศษด้านความปลอดภัย ทีมรักษาความปลอดภัย OneKey ผู้ให้บริการฮาร์ดแวร์กระเป๋าสตางค์เข้ารหัสและทีมรักษาความปลอดภัยกระเป๋าเงิน OKX Web3 ได้รับเชิญเป็นพิเศษเพื่อสอนให้คุณเพิ่ม "Buff" ให้กับความปลอดภัยของอุปกรณ์ของคุณจากมุมมองของคู่มือปฏิบัติ .

ทีมรักษาความปลอดภัย OneKey: OneKey ก่อตั้งขึ้นในปี 2562 เป็นบริษัทกระเป๋าเงินฮาร์ดแวร์โอเพ่นซอร์สและกระเป๋าเงินซอฟต์แวร์ที่มุ่งเน้นด้านความปลอดภัย นอกจากนี้ ยังมีห้องปฏิบัติการโจมตีและป้องกันความปลอดภัย และได้รับการสนับสนุนจากสถาบันแนวหน้าเช่น Coinbase, Ribbit Capital และ แมลงปอ. ปัจจุบัน กระเป๋าฮาร์ดแวร์ OneKey กำลังกลายเป็นหนึ่งในแบรนด์กระเป๋าเงินฮาร์ดแวร์ที่ขายดีที่สุดในเอเชีย

ทีมรักษาความปลอดภัย OKX Web3 Wallet: สวัสดีทุกคน ฉันมีความสุขมากที่จะแบ่งปันสิ่งนี้ ทีมรักษาความปลอดภัยกระเป๋าสตางค์ OKX Web3 มีหน้าที่หลักในการสร้างความสามารถด้านความปลอดภัยต่างๆ ของ OKX ในด้าน Web3 เช่น การสร้างความสามารถด้านความปลอดภัยกระเป๋าสตางค์ การตรวจสอบความปลอดภัยของสัญญาอัจฉริยะ การตรวจสอบความปลอดภัยของโครงการแบบออนไลน์ ฯลฯ เพื่อมอบผลิตภัณฑ์ให้กับผู้ใช้ ความปลอดภัย ความปลอดภัยของกองทุน ความปลอดภัยของธุรกรรม ฯลฯ บริการการป้องกันที่หลากหลายมีส่วนช่วยในการรักษาระบบนิเวศความปลอดภัยของบล็อคเชนทั้งหมด

คำถามที่ 1: คุณสามารถแบ่งปันกรณีความเสี่ยงด้านอุปกรณ์จริงของผู้ใช้ได้หรือไม่

ทีมรักษาความปลอดภัย OneKey: กรณีความเสี่ยงของอุปกรณ์ที่เกี่ยวข้องกับผู้ใช้ Web3 มีความหลากหลาย มาดูตัวอย่างกรณีทั่วไปกันบ้าง

กรณีที่ 1: หลังจากที่ผู้ใช้ Alice ออกจากอุปกรณ์ อุปกรณ์ของเธอถูกคนรอบข้างบุกรุกร่างกายโดยที่เธอไม่รู้ และทรัพย์สินของเธอถูกขโมย ซึ่งมักเรียกกันว่า "การโจมตีของสาวใช้ที่ชั่วร้าย" ในด้านความปลอดภัยของคอมพิวเตอร์ และเป็นหนึ่งในประเภทความเสี่ยงของอุปกรณ์ที่พบบ่อยที่สุดที่ผู้ใช้พบ

จากเพื่อนร่วมงานของ "สตูดิโอทำผม" ป้าที่ทำความสะอาดห้อง หรือแม้แต่คนที่หมอนใกล้คุณ พวกเขาทั้งหมดอาจเป็นผู้โจมตีที่มีแรงจูงใจมาจากเงิน ก่อนหน้านี้เราได้ช่วยเหลือผู้ใช้ในการติดตามการโจรกรรมทรัพย์สินในกระเป๋าเงินฮาร์ดแวร์ หลังจากที่ผู้ใช้รายงานอาชญากรรม การแลกเปลี่ยนการรายงานได้รับ KYC ของบัญชีการแลกเปลี่ยนที่ใช้โดยผู้โจมตี ในท้ายที่สุดพบว่ามันเกิดขึ้นจริง คนรอบข้างเขาว่า "จงระวังทุกสิ่ง ป้องกันโจรในบ้านนั้นยาก"

ในกรณีที่ 2 ผู้ใช้ Bob ถูกบังคับทางกายภาพและต้องมอบอุปกรณ์ของเขาที่มีสิทธิ์ควบคุมทรัพย์สิน นี่เป็นชื่อที่ไร้สาระในแวดวงการเข้ารหัส - "$ 5ประแจโจมตี"

ในช่วงไม่กี่ปีที่ผ่านมา จากการเกิดขึ้นของผลกระทบด้านความมั่งคั่งของ Crypto การลักพาตัวและการขู่กรรโชกที่มุ่งเป้าไปที่บุคคลที่มีรายได้สูงดูเหมือนจะรุนแรงมากขึ้นเรื่อยๆ โดยเฉพาะอย่างยิ่งในประเทศที่มีอัตราการเกิดอาชญากรรมสูง เมื่อต้นปี 2023 สื่อรายงานว่าสกุลเงินเสมือนสำหรับการซื้อขายออฟไลน์ถูกปล้น เหยื่อเข้าร่วมการรวมตัวของนักลงทุนสกุลเงินดิจิทัลแบบออฟไลน์และถูกควบคุมในรถหลังรับประทานอาหาร คนร้ายใช้กำลังบังคับการจดจำใบหน้าของเหยื่อเพื่อปลดล็อคซอฟต์แวร์โทรศัพท์และกระเป๋าเงิน แลกเปลี่ยนสกุลเงินดิจิทัลในกระเป๋าเงินเป็นเงิน 4.1 ล้านเหรียญสหรัฐ จากนั้นจึงโอนทันที เงินทุนและออกไป เมื่อเร็ว ๆ นี้ ยังได้รับความนิยมบน Twitter ที่ OG การขุด crypto กล่าวว่าเขาถูกปล้นโดยกลุ่มอาชญากรระหว่างประเทศ และถูกรีดไถจากทรัพย์สิน crypto ส่วนใหญ่ที่เขาสะสมมาตลอดชีวิต

ทีมรักษาความปลอดภัยกระเป๋าสตางค์ OKX Web3: ก่อนหน้านี้เราได้พูดถึงความปลอดภัยของคีย์ส่วนตัว ความปลอดภัยของธุรกรรม MEME และความปลอดภัยที่ชวนขนลุก และหัวข้อความปลอดภัยออนไลน์อื่น ๆ อีกมากมาย มาแบ่งปันกัน กรณีคลาสสิกบางอย่าง

กรณีที่ 1: กระเป๋าเงินฮาร์ดแวร์ที่ถูกงัดแงะ

ผู้ใช้ A ซื้อกระเป๋าเงินฮาร์ดแวร์จากแพลตฟอร์มที่ไม่ได้รับอนุญาตและเริ่มใช้งานโดยไม่มีการตรวจสอบ ในความเป็นจริง เฟิร์มแวร์กระเป๋าเงินถูกดัดแปลงและสร้างวลีช่วยจำไว้ล่วงหน้าหลายชุด สินทรัพย์ crypto ที่เก็บไว้ในกระเป๋าสตางค์ของฮาร์ดแวร์โดยผู้ใช้ถูกควบคุมโดยแฮกเกอร์อย่างสมบูรณ์ ส่งผลให้เกิดการสูญเสียอย่างหนัก

มาตรการป้องกัน: 1) ผู้ใช้ควรพยายามซื้อฮาร์ดแวร์วอลเล็ตจากช่องทางที่เป็นทางการหรือเชื่อถือได้ 2) ก่อนที่จะใช้กระเป๋าเงิน ให้ดำเนินการกระบวนการตรวจสอบอย่างเป็นทางการอย่างสมบูรณ์เพื่อให้มั่นใจถึงความปลอดภัยของเฟิร์มแวร์

กรณีที่ 2: การโจมตีแบบฟิชชิ่ง

ผู้ใช้ B ได้รับอีเมลจาก "ศูนย์รักษาความปลอดภัยกระเป๋าเงิน" โดยระบุว่ามีปัญหาด้านความปลอดภัยกับกระเป๋าเงินของผู้ใช้ และขอให้ผู้ใช้ป้อนวลีการกู้คืนกระเป๋าเงินสำหรับการอัปเดตความปลอดภัย นี่เป็นการโจมตีแบบฟิชชิ่งที่ออกแบบมาอย่างดี และในที่สุดผู้ใช้ก็สูญเสียทรัพย์สินทั้งหมดไป

ข้อควรระวัง: 1) ผู้ใช้ไม่ควรป้อนคีย์ส่วนตัวหรือวลีกู้คืนบนเว็บไซต์ที่ไม่ได้รับการยืนยัน 2) ใช้หน้าจอกระเป๋าเงินฮาร์ดแวร์เพื่อตรวจสอบข้อมูลธุรกรรมและการดำเนินการทั้งหมด

กรณีที่สาม: ความปลอดภัยของซอฟต์แวร์

ผู้ใช้ C ดาวน์โหลดมัลแวร์จากช่องทางที่ไม่ได้รับการยืนยัน เมื่อผู้ใช้ดำเนินการกระเป๋าสตางค์ ซอฟต์แวร์จะมีตรรกะที่เป็นอันตราย ส่งผลให้เกิดการสูญเสียทรัพย์สิน

มาตรการป้องกัน: 1) ผู้ใช้ดาวน์โหลดซอฟต์แวร์จากช่องทางอย่างเป็นทางการและอัพเดตซอฟต์แวร์และเฟิร์มแวร์ที่เกี่ยวข้องอย่างสม่ำเสมอ 2) ปกป้องอุปกรณ์ของคุณด้วยซอฟต์แวร์ป้องกันไวรัสและไฟร์วอลล์

คำถามที่ 2: อุปกรณ์และสิ่งอำนวยความสะดวกทางกายภาพที่ผู้ใช้ทั่วไปใช้และประเภทความเสี่ยง

ทีมรักษาความปลอดภัย OneKey: อุปกรณ์ที่เกี่ยวข้องกับการรักษาความปลอดภัยของทรัพย์สินของผู้ใช้มักจะรวมถึงโทรศัพท์มือถือของผู้ใช้ คอมพิวเตอร์ กระเป๋าฮาร์ดแวร์ อุปกรณ์จัดเก็บข้อมูล USB และอุปกรณ์สื่อสารเครือข่าย (เช่น WIFI)

นอกเหนือจาก "Evil Maid Attack" และอาชญากรรมรุนแรง "การโจมตีด้วยประแจ $5" ที่เรากล่าวถึงก่อนหน้านี้เมื่อออกจากอุปกรณ์ เราจะเพิ่มบางสิ่งที่ต้องให้ความสนใจเป็นพิเศษด้านล่าง

1. วิศวกรรมสังคมและการโจมตีแบบฟิชชิ่ง

การโจมตีแบบวิศวกรรมสังคมและฟิชชิ่งในปัจจุบันเป็นวิธีการโจมตีที่ใช้กันทั่วไปและมีประสิทธิภาพ ผู้โจมตีใช้ประโยชน์จากจุดอ่อนของมนุษย์เพื่อหลอกให้ผู้ใช้ดำเนินการที่เป็นอันตราย ตัวอย่างเช่น ด้วยลิงก์ฟิชชิ่งและไฟล์แนบที่เป็นอันตราย ผู้โจมตีอาจส่งอีเมล ข้อความ หรือข้อความโซเชียลมีเดียที่มีลิงก์ที่เป็นอันตราย ซึ่งปลอมตัวเป็นแหล่งที่เชื่อถือได้ เช่น การแจ้งเตือนทางธนาคาร หรือการแจ้งเตือนจากแพลตฟอร์มโซเชียลมีเดีย เมื่อผู้ใช้คลิกลิงก์เหล่านี้หรือดาวน์โหลดไฟล์แนบ มัลแวร์จะถูกฝังลงในอุปกรณ์ ทำให้อุปกรณ์ถูกโจมตีจากระยะไกล

อีกตัวอย่างหนึ่ง การปลอมตัวเป็นเจ้าหน้าที่สนับสนุนทางเทคนิค ผู้โจมตีอาจปลอมตัวเป็นเจ้าหน้าที่สนับสนุนทางเทคนิคและติดต่อผู้ใช้ทางโทรศัพท์หรืออีเมล โดยอ้างว่ามีปัญหากับอุปกรณ์และจำเป็นต้องดำเนินการทันที พวกเขาอาจชักจูงให้ผู้ใช้ให้การเข้าถึงอุปกรณ์ของตนจากระยะไกลหรือเปิดเผยข้อมูลที่ละเอียดอ่อน ในปัจจุบัน ตราบใดที่คุณพูดถึงคำศัพท์ที่เกี่ยวข้องกับสกุลเงินดิจิทัลบน Twitter กองทัพบอทก็จะมาแสร้งทำเป็นว่าเป็นฝ่ายสนับสนุนด้านเทคนิคและ "ให้บริการ" คุณ

2. การโจมตีห่วงโซ่อุปทาน

การโจมตีห่วงโซ่อุปทานเกิดขึ้นเมื่อผู้โจมตีแทรกเนื้อหาที่เป็นอันตรายลงในอุปกรณ์ระหว่างการผลิตหรือการขนส่ง อาการเฉพาะคือสามจุดต่อไปนี้

หมายเลข 1 คือการดัดแปลงฮาร์ดแวร์ ผู้โจมตีสามารถแทรกมัลแวร์เข้าไปในกระบวนการผลิตของกระเป๋าสตางค์ฮาร์ดแวร์หรืออุปกรณ์จัดเก็บข้อมูล USB ตัวอย่างเช่น ผู้ใช้ที่ซื้ออุปกรณ์ฮาร์ดแวร์จากแหล่งที่ไม่น่าเชื่อถืออาจได้รับอุปกรณ์ที่ถูกดัดแปลงซึ่งอาจติดตั้งมัลแวร์ไว้ล่วงหน้าซึ่งสามารถขโมยข้อมูลหรืออนุญาตให้เข้าถึงจากระยะไกลได้

หมายเลข 2 คือการดัดแปลงซอฟต์แวร์ ผู้โจมตีอาจทำงานภายในห่วงโซ่อุปทานซอฟต์แวร์ของอุปกรณ์ โดยเข้าไปยุ่งเกี่ยวกับซอฟต์แวร์หรือแพ็คเกจอัพเดตเฟิร์มแวร์ เมื่อผู้ใช้ดาวน์โหลดและติดตั้งการอัปเดตเหล่านี้ อุปกรณ์อาจติดแบ็คดอร์หรือโค้ดที่เป็นอันตรายประเภทอื่น

ประการที่สามคือการโจมตีด้านลอจิสติกส์ ผู้โจมตีอาจสกัดกั้นและยุ่งเกี่ยวกับอุปกรณ์ระหว่างการขนส่ง ตัวอย่างเช่น อุปกรณ์ฮาร์ดแวร์อาจถูกเปลี่ยนหรือแก้ไขในระหว่างการจัดส่ง ทำให้ผู้โจมตีทำการโจมตีในภายหลังได้ง่ายขึ้น

3. การโจมตีแบบคนกลาง

Man-in-the-Middle Attack (MITM) หมายถึงผู้โจมตีที่สกัดกั้นและยุ่งเกี่ยวกับการส่งข้อมูลระหว่างการสื่อสารระหว่างสองฝ่าย

ตัวอย่างเช่น เมื่อผู้ใช้ใช้การสื่อสารเครือข่ายที่ไม่ได้เข้ารหัส ผู้โจมตีสามารถสกัดกั้นและยุ่งเกี่ยวกับข้อมูลที่ส่งได้อย่างง่ายดาย นั่นคือเมื่อใช้เว็บไซต์ HTTP ที่ไม่ได้เข้ารหัส ผู้โจมตีสามารถสกัดกั้นและแก้ไขข้อมูลที่ส่งและรับโดยผู้ใช้

อีกตัวอย่างหนึ่งคือ Wi-Fi สาธารณะ เมื่อใช้ Wi-Fi สาธารณะ การส่งข้อมูลของผู้ใช้มีแนวโน้มที่จะถูกดักฟังโดยผู้โจมตี ผู้โจมตียังสามารถตั้งค่าฮอตสปอต WiFi สาธารณะที่เป็นอันตรายได้ และเมื่อผู้ใช้เชื่อมต่อ ผู้โจมตีสามารถตรวจสอบและขโมยข้อมูลที่ละเอียดอ่อนของผู้ใช้ เช่น ข้อมูลการเข้าสู่ระบบและบันทึกธุรกรรมทางธนาคาร ในกรณีร้ายแรง WIFI ของคุณอาจถูกแฮ็กและติดตั้งมัลแวร์

4. การโจมตีภายในของบุคคลที่สามและช่องโหว่ของซอฟต์แวร์

การโจมตีภายในของบุคคลที่สามและช่องโหว่ของซอฟต์แวร์เป็นความเสี่ยงที่ควบคุมได้ยากสำหรับผู้ใช้ แต่เป็นปัจจัยที่ส่งผลกระทบอย่างมีนัยสำคัญต่อความปลอดภัยของอุปกรณ์ทางกายภาพ

ช่องโหว่ที่พบบ่อยที่สุดคือช่องโหว่ด้านความปลอดภัยของซอฟต์แวร์และฮาร์ดแวร์ ผู้โจมตีอาจใช้ประโยชน์จากช่องโหว่เหล่านี้เพื่อทำการโจมตีระยะไกลหรือการโจมตีบายพาสทางกายภาพ ตัวอย่างเช่น ปลั๊กอินหรือแอปพลิเคชันบางตัวอาจมีช่องโหว่ที่ยังไม่ถูกค้นพบ ซึ่งอาจทำให้ผู้โจมตีเข้าควบคุมอุปกรณ์ได้ โดยปกติสามารถแก้ไขได้โดยการติดตามการอัปเดตความปลอดภัย ในขณะเดียวกัน ฮาร์ดแวร์ควรพิจารณาใช้ชิปเข้ารหัสล่าสุด

และกิจกรรมภายในด้านซอฟต์แวร์: คนวงในของนักพัฒนาซอฟต์แวร์หรือผู้ให้บริการอาจใช้สิทธิ์การเข้าถึงของตนในทางที่ผิดเพื่อดำเนินกิจกรรมที่เป็นอันตราย ขโมยข้อมูลผู้ใช้ หรือปลูกโค้ดที่เป็นอันตรายในซอฟต์แวร์ หรืออาจเกิดจากปัจจัยภายนอกที่นำไปสู่กิจกรรมที่เป็นอันตราย

ตัวอย่างเช่น มีกรณีที่ทรัพย์สินถูกขโมยจาก "Lumao Studio" เนื่องจากการใช้เบราว์เซอร์ที่มีหลายลายนิ้วมือ ซึ่งอาจเกิดจากความชั่วร้ายภายในซอฟต์แวร์หรือปลั๊กอิน นี่แสดงให้เห็นว่าแม้แต่ซอฟต์แวร์ที่ถูกกฎหมายก็อาจเป็นภัยคุกคามต่อความปลอดภัยของทรัพย์สินของผู้ใช้หากการควบคุมภายในไม่เข้มงวด

อีกตัวอย่างหนึ่ง Ledger เคยมีอาการตื่นตระหนกมาก่อน - มีปัญหากับ Connect Kit ที่ dapps จำนวนมากใช้ การโจมตีเกิดขึ้นหลังจากอดีตพนักงานตกเป็นเหยื่อของการโจมตีแบบฟิชชิ่ง และผู้โจมตีได้แทรกโค้ดที่เป็นอันตรายลงในที่เก็บ GitHub ของ Connect Kit โชคดีที่ทีมรักษาความปลอดภัยของ Ledger ดำเนินการแก้ไขภายใน 40 นาทีหลังจากได้รับแจ้งปัญหา และ Tether ก็ระงับเงิน USDT ของผู้โจมตีได้ทันเวลา

ทีมรักษาความปลอดภัย OKX Web3 Wallet : เราสรุปอุปกรณ์ทางกายภาพบางอย่างที่ผู้ใช้ใช้กันทั่วไป และขยายขอบเขตความเสี่ยงที่อาจเกิดขึ้น

อุปกรณ์ทางกายภาพที่ผู้ใช้ปัจจุบันใช้กันทั่วไปส่วนใหญ่ ได้แก่: 1) คอมพิวเตอร์ (เดสก์ท็อปและแล็ปท็อป) ใช้เพื่อเข้าถึงแอปพลิเคชันกระจายอำนาจ (dApps) จัดการกระเป๋าเงินดิจิทัล มีส่วนร่วมในเครือข่ายบล็อกเชน ฯลฯ 2) สมาร์ทโฟนและแท็บเล็ตสำหรับการเข้าถึง dApps บนมือถือ การจัดการกระเป๋าเงินดิจิตอล และการทำธุรกรรม 3) กระเป๋าเงินฮาร์ดแวร์ อุปกรณ์พิเศษ (เช่น Ledger, Trezor) ใช้เพื่อจัดเก็บคีย์ส่วนตัวของ cryptocurrency อย่างปลอดภัยเพื่อป้องกันการโจมตีของแฮ็กเกอร์ 4) โครงสร้างพื้นฐานเครือข่าย เราเตอร์ สวิตช์ ไฟร์วอลล์ และอุปกรณ์อื่นๆ เพื่อให้มั่นใจถึงความเสถียรและความปลอดภัยของการเชื่อมต่อเครือข่าย 5) อุปกรณ์โหนด ซึ่งเป็นอุปกรณ์ซอฟต์แวร์ที่รันโหนดบล็อกเชน (อาจเป็นคอมพิวเตอร์ส่วนบุคคลหรือเซิร์ฟเวอร์เฉพาะ) มีส่วนร่วมในฉันทามติเครือข่ายและการตรวจสอบข้อมูล 6) อุปกรณ์จัดเก็บข้อมูลแบบเย็น อุปกรณ์ที่ใช้จัดเก็บคีย์ส่วนตัวแบบออฟไลน์ เช่น ไดรฟ์ USB กระเป๋ากระดาษ ฯลฯ เพื่อป้องกันการโจมตีทางออนไลน์

ความเสี่ยงที่อาจเกิดขึ้นจากอุปกรณ์ทางกายภาพในปัจจุบัน ได้แก่ :

1) ความเสี่ยงด้านอุปกรณ์ทางกายภาพ

• อุปกรณ์ที่สูญหายหรือเสียหาย: อุปกรณ์ที่สูญหายหรือเสียหาย เช่น กระเป๋าเงินฮาร์ดแวร์หรือคอมพิวเตอร์ อาจส่งผลให้คีย์ส่วนตัวสูญหายและทำให้ไม่สามารถเข้าถึงสินทรัพย์ crypto ได้

• การบุกรุกทางกายภาพ: อาชญากรบุกรุกอุปกรณ์ด้วยวิธีการทางกายภาพและรับคีย์ส่วนตัวหรือข้อมูลที่ละเอียดอ่อนโดยตรง

2) ความเสี่ยงด้านความปลอดภัยทางไซเบอร์

• มัลแวร์และไวรัส: มัลแวร์โจมตีอุปกรณ์ของผู้ใช้เพื่อขโมยคีย์ส่วนตัวหรือข้อมูลที่ละเอียดอ่อน

• การโจมตีแบบฟิชชิ่ง: การแสร้งทำเป็นบริการที่ถูกต้องตามกฎหมายเพื่อหลอกผู้ใช้ให้มอบคีย์ส่วนตัวหรือข้อมูลรับรองการเข้าสู่ระบบ

• การโจมตีแบบ Man-in-the-middle (MITM): ผู้โจมตีสกัดกั้นและยุ่งเกี่ยวกับการสื่อสารระหว่างผู้ใช้และเครือข่ายบล็อกเชน

3) ความเสี่ยงจากพฤติกรรมผู้ใช้

• การโจมตีทางวิศวกรรมสังคม: ผู้โจมตีใช้วิธีการทางวิศวกรรมสังคมเพื่อหลอกให้ผู้ใช้เปิดเผยคีย์ส่วนตัวหรือข้อมูลที่ละเอียดอ่อนอื่นๆ

• ข้อผิดพลาดในการดำเนินงาน: ผู้ใช้เกิดข้อผิดพลาดในการดำเนินงานเมื่อซื้อขายหรือจัดการสินทรัพย์ ซึ่งอาจส่งผลให้สูญเสียสินทรัพย์

4) ความเสี่ยงทางเทคนิค

• ช่องโหว่ของซอฟต์แวร์: แฮกเกอร์สามารถใช้ประโยชน์จากช่องโหว่ใน dApps, กระเป๋าเงินดิจิทัล หรือโปรโตคอลบล็อกเชนได้

• ช่องโหว่ของสัญญาอัจฉริยะ: ช่องโหว่ในรหัสสัญญาอัจฉริยะสามารถนำไปสู่การขโมยเงินทุนได้

5) ความเสี่ยงด้านกฎระเบียบและกฎหมาย

• การปฏิบัติตามกฎหมาย: ประเทศและภูมิภาคต่างๆ มีนโยบายการกำกับดูแลที่แตกต่างกันสำหรับเทคโนโลยีสกุลเงินดิจิทัลและบล็อกเชน ซึ่งอาจส่งผลต่อความปลอดภัยของทรัพย์สินของผู้ใช้และเสรีภาพในการทำธุรกรรม

• การเปลี่ยนแปลงด้านกฎระเบียบ: การเปลี่ยนแปลงนโยบายอย่างกะทันหันอาจส่งผลให้สินทรัพย์ถูกระงับหรือข้อจำกัดในการซื้อขาย

คำถามที่ 3: กระเป๋าเงินฮาร์ดแวร์จำเป็นสำหรับการรักษาความปลอดภัยคีย์ส่วนตัวหรือไม่ มาตรการป้องกันความปลอดภัยคีย์ส่วนตัวมีกี่ประเภท?

ทีมรักษาความปลอดภัย OneKey: แน่นอนว่า แม้ว่ากระเป๋าเงินฮาร์ดแวร์จะไม่ใช่ตัวเลือกเดียวสำหรับการรักษาความปลอดภัยคีย์ส่วนตัว แต่ก็เป็นวิธีที่มีประสิทธิภาพมากในการปรับปรุงความปลอดภัยของคีย์ส่วนตัว ข้อได้เปรียบที่ใหญ่ที่สุดคือแยกคีย์ส่วนตัวออกจากอินเทอร์เน็ตจากรุ่น บันทึกไปยังที่จัดเก็บข้อมูลรายวัน และกำหนดให้ผู้ใช้ตรวจสอบและยืนยันรายละเอียดธุรกรรมบนอุปกรณ์จริงโดยตรงเมื่อทำธุรกรรมใดๆ คุณสมบัตินี้ป้องกันความเสี่ยงที่คีย์ส่วนตัวจะถูกขโมยโดยมัลแวร์หรือการโจมตีของแฮ็กเกอร์ได้อย่างมีประสิทธิภาพ

ก่อนอื่นเรามาพูดถึงข้อดีของกระเป๋าสตางค์แบบฮาร์ดแวร์กันก่อน:

1) การแยกทางกายภาพ: กระเป๋าเงินฮาร์ดแวร์จะจัดเก็บคีย์ส่วนตัวไว้ในอุปกรณ์เฉพาะ ซึ่งแยกออกจากคอมพิวเตอร์ในเครือข่ายและอุปกรณ์มือถือโดยสิ้นเชิง ซึ่งหมายความว่าแม้ว่าคอมพิวเตอร์หรือโทรศัพท์ของผู้ใช้จะติดมัลแวร์ แต่คีย์ส่วนตัวก็ยังคงปลอดภัยเนื่องจากไม่เคยติดต่อกับอินเทอร์เน็ตเลย

2) การตรวจสอบธุรกรรม: เมื่อทำธุรกรรมโดยใช้กระเป๋าเงินฮาร์ดแวร์ ผู้ใช้จะต้องยืนยันและตรวจสอบรายละเอียดธุรกรรมบนอุปกรณ์โดยตรง กระบวนการนี้ทำให้ผู้โจมตีไม่สามารถโอนทรัพย์สินโดยไม่ได้รับอนุญาตได้ แม้ว่าพวกเขาจะได้รับข้อมูลบัญชีออนไลน์ของผู้ใช้ก็ตาม

3) ชิปรักษาความปลอดภัย: กระเป๋าเงินฮาร์ดแวร์จำนวนมากใช้ชิปรักษาความปลอดภัยเฉพาะเพื่อจัดเก็บคีย์ส่วนตัว ชิปเหล่านี้ผ่านการรับรองความปลอดภัยที่เข้มงวด เช่น CC EAL 6+ (มาตรฐานที่ใช้โดยกระเป๋าสตางค์ฮาร์ดแวร์ใหม่ เช่น OneKey Pro และ Ledger Stax) เพื่อป้องกันการโจมตีทางกายภาพจากช่องทางด้านข้างได้อย่างมีประสิทธิภาพ ชิปรักษาความปลอดภัยไม่เพียงแต่ป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต แต่ยังต้านทานวิธีการโจมตีขั้นสูงที่หลากหลาย เช่น การวิเคราะห์ทางแม่เหล็กไฟฟ้าและการโจมตีด้วยการวิเคราะห์พลังงาน

นอกจากกระเป๋าเงินฮาร์ดแวร์แล้ว ยังมีอีกหลายวิธีในการเพิ่มความปลอดภัยของคีย์ส่วนตัว ผู้ใช้สามารถเลือกโซลูชันที่เหมาะสมได้ตามความต้องการของตนเอง:

1) กระเป๋ากระดาษ: กระเป๋าเงินกระดาษเป็นวิธีการจัดเก็บแบบออฟไลน์ที่พิมพ์คีย์ส่วนตัวและกุญแจสาธารณะบนกระดาษ แม้ว่าวิธีนี้จะง่ายและออฟไลน์โดยสมบูรณ์ แต่คุณต้องใส่ใจกับปัญหาด้านความปลอดภัยทางกายภาพ เช่น การป้องกันอัคคีภัย การป้องกันความชื้น และการป้องกันการสูญเสีย หากเป็นไปได้ วิธีที่ดีที่สุดคือซื้อเทมเพลตโลหะสำหรับการบันทึกทางกายภาพ (มีตัวเลือกมากมายในตลาด เช่น KeyTag ของ OneKey)

2) กระเป๋าเงินเย็นสำหรับโทรศัพท์มือถือ: กระเป๋าเงินเย็นหมายถึงคีย์ส่วนตัวหรือสินทรัพย์ที่เข้ารหัสซึ่งจัดเก็บแบบออฟไลน์โดยสมบูรณ์ เช่น โทรศัพท์มือถือหรือคอมพิวเตอร์ออฟไลน์ เช่นเดียวกับกระเป๋าฮาร์ดแวร์ กระเป๋าเงินเย็นสามารถป้องกันการโจมตีทางไซเบอร์ได้อย่างมีประสิทธิภาพ แต่ผู้ใช้จำเป็นต้องกำหนดค่าและจัดการอุปกรณ์เหล่านี้ด้วยตนเอง

3) ที่เก็บข้อมูลที่เข้ารหัสแบบแบ่งส่วน: ที่เก็บข้อมูลที่เข้ารหัสแบบแบ่งส่วนเป็นวิธีการแบ่งคีย์ส่วนตัวออกเป็นหลายส่วนและจัดเก็บไว้ในตำแหน่งที่แตกต่างกัน แม้ว่าผู้โจมตีจะได้รับส่วนหนึ่งของคีย์ส่วนตัว การกู้คืนทั้งหมดก็ไม่สามารถทำได้ วิธีการนี้ปรับปรุงความปลอดภัยโดยเพิ่มความยากในการโจมตี แต่ผู้ใช้จำเป็นต้องจัดการแต่ละส่วนของคีย์ส่วนตัวเพื่อหลีกเลี่ยงไม่สามารถกู้คืนคีย์ส่วนตัวได้เนื่องจากการสูญเสียบางส่วน

4) Multi-signature (Multisig): เทคโนโลยี Multi-signature ต้องใช้คีย์ส่วนตัวหลายอันเพื่อลงนามในธุรกรรมร่วมกันเพื่อให้การดำเนินการถ่ายโอนเสร็จสมบูรณ์ วิธีการนี้ปรับปรุงความปลอดภัยโดยการเพิ่มจำนวนผู้ลงนาม ป้องกันการโจรกรรมคีย์ส่วนตัวเดียว และทำให้เกิดการโอนสินทรัพย์ ตัวอย่างเช่น สามารถตั้งค่าบัญชีที่มีลายเซ็นหลายลายเซ็นพร้อมลายเซ็นจากบุคคลที่สามได้ เพื่อให้สามารถดำเนินการธุรกรรมได้เมื่อมีคีย์ส่วนตัวอย่างน้อยสองคีย์เห็นด้วยเท่านั้น สิ่งนี้ไม่เพียงปรับปรุงความปลอดภัย แต่ยังช่วยให้การจัดการและการควบคุมมีความยืดหยุ่นมากขึ้น

5) เทคโนโลยีการเข้ารหัสที่เป็นนวัตกรรม: ด้วยการพัฒนาเทคโนโลยี เทคโนโลยีการเข้ารหัสที่เกิดขึ้นใหม่บางส่วนยังถูกนำมาใช้อย่างต่อเนื่องในการปกป้องคีย์ส่วนตัว ตัวอย่างเช่น เทคโนโลยี เช่น Threshold Signature Scheme (TSS) และ Multi-Party Computation (MPC) ปรับปรุงความปลอดภัยและความน่าเชื่อถือของการจัดการคีย์ส่วนตัวผ่านการประมวลผลแบบกระจายและการทำงานร่วมกัน โดยทั่วไปจะใช้โดยธุรกิจมากกว่าและไม่ค่อยใช้โดยบุคคลทั่วไป

ทีมรักษาความปลอดภัย OKX Web3 Wallet: กระเป๋าฮาร์ดแวร์ป้องกันคีย์ส่วนตัวจากการถูกขโมยโดยการโจมตีทางไซเบอร์ มัลแวร์ หรือภัยคุกคามออนไลน์อื่น ๆ โดยการจัดเก็บคีย์ส่วนตัวไว้ในอุปกรณ์ออฟไลน์แยกต่างหาก เมื่อเปรียบเทียบกับกระเป๋าสตางค์ซอฟต์แวร์และพื้นที่เก็บข้อมูลรูปแบบอื่น กระเป๋าเงินฮาร์ดแวร์ให้ความปลอดภัยที่สูงกว่าและเหมาะอย่างยิ่งสำหรับผู้ใช้ที่ต้องการปกป้องสินทรัพย์ crypto จำนวนมาก สำหรับมาตรการป้องกันความปลอดภัยของคีย์ส่วนตัว เราอาจเริ่มต้นจากมุมมองต่อไปนี้:

1) ใช้อุปกรณ์จัดเก็บข้อมูลที่ปลอดภัย: เลือกกระเป๋าสตางค์ฮาร์ดแวร์ที่เชื่อถือได้หรืออุปกรณ์จัดเก็บข้อมูลเย็นอื่น ๆ เพื่อลดความเสี่ยงที่คีย์ส่วนตัวจะถูกขโมยจากการโจมตีเครือข่าย

2) สร้างการศึกษาเรื่องความตระหนักรู้ด้านความปลอดภัยโดยสมบูรณ์: เสริมสร้างความตระหนักรู้ถึงความสำคัญและการปกป้องความปลอดภัยของคีย์ส่วนตัว และตื่นตัวต่อหน้าเว็บหรือโปรแกรมใด ๆ ที่จำเป็นต้องป้อนคีย์ส่วนตัว เมื่อคุณต้องคัดลอกและวางคีย์ส่วนตัว สามารถคัดลอกได้เพียงบางส่วนและเว้นอักขระไว้สองสามตัวเพื่อป้องกันการโจมตีจากคลิปบอร์ด

3) การจัดเก็บวลีช่วยจำและคีย์ส่วนตัวอย่างปลอดภัย: หลีกเลี่ยงการถ่ายรูป ภาพหน้าจอ หรือบันทึกวลีช่วยจำทางออนไลน์

4) การจัดเก็บคีย์ส่วนตัวแยกกัน: แบ่งคีย์ส่วนตัวออกเป็นหลายส่วนและจัดเก็บไว้ในที่ต่างๆ เพื่อลดความเสี่ยงที่จะเกิดความล้มเหลวเพียงจุดเดียว

คำถามที่ 4: ช่องโหว่ในปัจจุบันในการตรวจสอบสิทธิ์และการควบคุมการเข้าถึง

ทีมรักษาความปลอดภัย OneKey: Blockchain ไม่จำเป็นต้องระบุและจัดเก็บข้อมูลประจำตัวของเราเช่น Web2 โดยจะใช้การเข้ารหัสเพื่อให้เกิดการดูแลตนเองและการเข้าถึงทรัพย์สิน ซึ่งหมายความว่ารหัสส่วนตัวคือทุกสิ่ง ความเสี่ยงที่ใหญ่ที่สุดในการควบคุมการเข้าถึงสินทรัพย์ crypto ของผู้ใช้โดยทั่วไปมาจากการจัดเก็บคีย์ส่วนตัวที่ไม่เหมาะสม ท้ายที่สุดแล้ว คีย์ส่วนตัวของผู้ใช้เป็นเพียงข้อมูลรับรองเดียวสำหรับการเข้าถึงสินทรัพย์ crypto หากคีย์ส่วนตัวสูญหาย ถูกขโมย หรือถูกเปิดเผย หรือแม้แต่ประสบภัยธรรมชาติ ทรัพย์สินอาจสูญหายอย่างถาวร

นี่ยังเป็นความหมายของการมีอยู่ของแบรนด์ต่างๆ เช่น OneKey ของเรา เพื่อมอบโซลูชันการโฮสต์คีย์ส่วนตัวที่ปลอดภัยให้กับผู้ใช้ ผู้ใช้จำนวนมากมักขาดความตระหนักด้านความปลอดภัยเมื่อจัดการคีย์ส่วนตัวและใช้วิธีการจัดเก็บข้อมูลที่ไม่ปลอดภัย (เช่น การบันทึกคีย์ส่วนตัวในเอกสารออนไลน์และภาพหน้าจอ) วิธีที่ดีที่สุดคือการใช้การสร้างและการจัดเก็บแบบออฟไลน์ นอกเหนือจากการทอยลูกเต๋าและการเขียนด้วยลายมือแล้ว คุณยังสามารถพิจารณาใช้กระเป๋าเงินฮาร์ดแวร์ที่กล่าวถึงก่อนหน้านี้พร้อมคำช่วยจำที่สลักไว้บนแผ่นโลหะ

แน่นอนว่ายังมีผู้ใช้จำนวนมากที่ใช้บัญชี Exchange เพื่อจัดเก็บสินทรัพย์โดยตรง ในขณะนี้ การตรวจสอบสิทธิ์และการควบคุมการเข้าถึงจะคล้ายกับ Web2 มากกว่า

นี่จะเกี่ยวกับการรับรู้ความปลอดภัยของรหัสผ่านของผู้ใช้ การใช้รหัสผ่านที่ไม่รัดกุมและซ้ำกันเป็นปัญหาที่พบบ่อย ผู้ใช้มักจะใช้รหัสผ่านที่เรียบง่ายและเดาง่าย หรือใช้รหัสผ่านเดิมซ้ำบนหลายแพลตฟอร์ม (เช่น อีเมลยืนยัน) เพิ่มความเสี่ยงของการถอดรหัสแบบดุร้ายหรือการโจมตีหลังจากการละเมิดข้อมูล

แม้ว่าการตรวจสอบสิทธิ์แบบหลายปัจจัย (เช่น รหัสยืนยัน SMS, Google Authenticator) สามารถเพิ่มความปลอดภัยได้ แต่ก็อาจกลายเป็นเป้าหมายของการโจมตีได้หากไม่ได้ใช้งานอย่างเหมาะสมหรือมีช่องโหว่ (เช่น การไฮแจ็ก SMS) ตัวอย่างเช่น การโจมตีด้วยการแย่งชิง SIM ผ่านทาง SMS ผู้โจมตีหลอกลวงหรือติดสินบนพนักงานของผู้ให้บริการโทรศัพท์มือถือเพื่อโอนหมายเลขโทรศัพท์ของเหยื่อไปยังซิมการ์ดที่ควบคุมโดยผู้โจมตี ดังนั้นจึงได้รับรหัสยืนยัน SMS ทั้งหมดที่ส่งไปยังโทรศัพท์มือถือของเหยื่อ Vitalik เคยประสบกับการโจมตี "SIM SWAP" มาก่อน ผู้โจมตีใช้ Twitter ของเขาเพื่อส่งข้อความฟิชชิ่ง ทำให้ทรัพย์สินของผู้คนจำนวนมากได้รับความเสียหาย นอกจากนี้ ผู้โจมตีอาจได้รับรหัสสำรองที่เก็บไว้อย่างไม่ถูกต้องของอุปกรณ์การตรวจสอบสิทธิ์แบบหลายปัจจัย เช่น "Google Authenticator" และนำไปใช้ในการโจมตีบัญชี

ทีมรักษาความปลอดภัย OKX Web3 Wallet: นี่คือภาคส่วนที่ควรค่าแก่การเอาใจใส่ สิ่งที่ต้องให้ความสนใจในขณะนี้คือ

1) รหัสผ่านที่ไม่รัดกุมและการใช้รหัสผ่านซ้ำ: ผู้ใช้มักจะใช้รหัสผ่านที่เข้าใจง่าย หรือใช้รหัสผ่านเดิมซ้ำกับบริการต่างๆ เพิ่มความเสี่ยงที่รหัสผ่านจะถูกถอดรหัสอย่างดุร้ายหรือได้รับผ่านช่องทางการรั่วไหลอื่นๆ

2) การตรวจสอบสิทธิ์แบบหลายปัจจัยไม่เพียงพอ (MFA): การตรวจสอบสิทธิ์แบบหลายปัจจัยใน Web2 สามารถปรับปรุงความปลอดภัยได้อย่างมาก แต่เมื่อคีย์ส่วนตัวรั่วไหลในกระเป๋าเงินของ web3 นั่นหมายความว่าผู้โจมตีมีสิทธิ์ปฏิบัติการทั้งหมดของบัญชี ทำให้ ยากที่จะสร้างกลไก MFA ที่มีประสิทธิผล

3) การโจมตีแบบฟิชชิ่งและวิศวกรรมสังคม: ผู้โจมตีหลอกผู้ใช้ให้ปล่อยข้อมูลที่ละเอียดอ่อนผ่านอีเมลฟิชชิ่ง เว็บไซต์ปลอม ฯลฯ เว็บไซต์ฟิชชิ่งในปัจจุบันที่กำหนดเป้าหมายเป็น web3 มีลักษณะเฉพาะคือการจัดกลุ่มและมุ่งเน้นการบริการ และเป็นเรื่องง่ายที่จะถูกหลอกหากไม่มีการตระหนักรู้ด้านความปลอดภัยที่เพียงพอ

4) การจัดการคีย์ API ที่ไม่เหมาะสม: นักพัฒนาอาจฮาร์ดโค้ดคีย์ API ในแอปพลิเคชันไคลเอนต์ หรือไม่สามารถดำเนินการควบคุมสิทธิ์และการจัดการการหมดอายุที่เหมาะสมได้ ส่งผลให้คีย์รั่วไหลและใช้ในทางที่ผิด

คำถามที่ 5: ผู้ใช้ควรป้องกันความเสี่ยงที่เกิดจากเทคโนโลยีเสมือนจริงที่เกิดขึ้นใหม่ เช่น การเปลี่ยนใบหน้าของ AI อย่างไร

ทีมรักษาความปลอดภัย OneKey: ในการประชุม BlackHat ประจำปี 2558 แฮกเกอร์ทั่วโลกเชื่ออย่างเป็นเอกฉันท์ว่าเทคโนโลยีการจดจำใบหน้าเป็นวิธีการตรวจสอบตัวตนที่ไม่น่าเชื่อถือที่สุด เกือบ 10 ปีต่อมา ด้วยความก้าวหน้าของเทคโนโลยี AI เราจึงมี "ความมหัศจรรย์" ที่เกือบจะสมบูรณ์แบบสำหรับการเปลี่ยนใบหน้า ตามที่คาดไว้ การจดจำใบหน้าแบบปกติไม่สามารถรับประกันความปลอดภัยได้อีกต่อไป ณ จุดนี้ ที่สำคัญกว่านั้น ฝ่ายระบุตัวตนจำเป็นต้องอัปเกรดเทคโนโลยีอัลกอริทึมเพื่อระบุและป้องกันเนื้อหาปลอมที่เจาะลึก

เกี่ยวกับความเสี่ยงของการเปลี่ยนใบหน้าของ AI นั้น ผู้ใช้ทำอะไรได้ไม่มากนักนอกจากการปกป้องข้อมูลไบโอเมตริกซ์ส่วนตัวของตนเอง ต่อไปนี้เป็นคำแนะนำเล็กๆ น้อยๆ:

1) ใช้แอปพลิเคชันจดจำใบหน้าด้วยความระมัดระวัง

เมื่อผู้ใช้เลือกใช้แอปจดจำใบหน้า พวกเขาควรเลือกแอปที่มีบันทึกความปลอดภัยและนโยบายความเป็นส่วนตัวที่ดี หลีกเลี่ยงการใช้แอปจากแหล่งที่ไม่รู้จักหรือความปลอดภัยที่น่าสงสัย และอัปเดตซอฟต์แวร์ของคุณเป็นประจำเพื่อให้แน่ใจว่าคุณมีแพตช์รักษาความปลอดภัยล่าสุด ก่อนหน้านี้ แอปของบริษัทสินเชื่อรายย่อยหลายแห่งในจีนใช้ข้อมูลใบหน้าของผู้ใช้อย่างผิดกฎหมายเพื่อขายต่อและเผยแพร่ข้อมูลใบหน้าของผู้ใช้อย่างผิดกฎหมาย

2) ทำความเข้าใจการรับรองความถูกต้องด้วยหลายปัจจัย (MFA)

การรับรองความถูกต้องด้วยไบโอเมตริกเดี่ยวมีความเสี่ยง ดังนั้นการรวมวิธีการตรวจสอบความถูกต้องหลายวิธีเข้าด้วยกันสามารถปรับปรุงความปลอดภัยได้อย่างมาก การรับรองความถูกต้องแบบหลายปัจจัย (MFA) รวมวิธีการยืนยันหลายวิธี เช่น ลายนิ้วมือ การสแกนม่านตา การจดจำการพิมพ์เสียง และแม้แต่ข้อมูล DNA สำหรับฝ่ายที่ระบุ วิธีการรับรองความถูกต้องแบบรวมนี้สามารถให้การรักษาความปลอดภัยเพิ่มเติมอีกชั้นหนึ่งได้ หากวิธีการรับรองความถูกต้องวิธีใดวิธีหนึ่งถูกบุกรุก สิ่งสำคัญสำหรับผู้ใช้ในการปกป้องข้อมูลส่วนตัวของพวกเขา

3) จงสงสัยและระวังการหลอกลวง

แน่นอนว่าเมื่อ AI สามารถเลียนแบบใบหน้าและเสียงของมนุษย์ได้ การปลอมตัวเป็นบุคคลผ่านทางอินเทอร์เน็ตก็จะกลายเป็นเรื่องง่ายมากขึ้น ผู้ใช้ควรระวังคำขอที่เกี่ยวข้องกับข้อมูลที่ละเอียดอ่อนหรือการโอนเงินเป็นพิเศษ และใช้การตรวจสอบสิทธิ์แบบสองปัจจัยเพื่อยืนยันตัวตนของอีกฝ่ายทางโทรศัพท์หรือด้วยตนเอง ระมัดระวัง อย่าเชื่อถือคำขอฉุกเฉิน และระบุกลยุทธ์การฉ้อโกงทั่วไป เช่น การแอบอ้างเป็นผู้บริหาร คนรู้จัก และเจ้าหน้าที่บริการลูกค้า สมัยนี้ดาราปลอมมีเยอะมาก เมื่อเข้าร่วมบางโปรเจ็กต์ต้องระวัง "แพลตฟอร์มปลอม"

ทีมรักษาความปลอดภัย OKX Web3 Wallet: โดยทั่วไปแล้ว เทคโนโลยีเสมือนจริงที่เกิดขึ้นใหม่นำมาซึ่งความเสี่ยงใหม่ ๆ และความเสี่ยงใหม่ ๆ จะนำมาซึ่งการวิจัยวิธีการป้องกันแบบใหม่ และการวิจัยวิธีการป้องกันใหม่ ๆ จะนำมาซึ่งผลิตภัณฑ์ควบคุมความเสี่ยงใหม่ ๆ

1. ความเสี่ยงจากการปลอมแปลง AI

ในด้านการเปลี่ยนใบหน้าของ AI นั้น มีผลิตภัณฑ์การตรวจจับการเปลี่ยนใบหน้าของ AI จำนวนมากเกิดขึ้น ในปัจจุบัน อุตสาหกรรมได้เสนอวิธีการหลายวิธีในการตรวจจับวิดีโอบุคคลปลอมโดยอัตโนมัติ โดยมุ่งเน้นไปที่การตรวจจับองค์ประกอบที่เป็นเอกลักษณ์ (ลายนิ้วมือ) ที่สร้างขึ้นโดยการใช้ Deepfake ในระบบดิจิทัล ผู้ใช้ยังสามารถระบุการสลับใบหน้าของ AI ได้โดยการสังเกตใบหน้า การประมวลผลที่ขอบ การไม่ซิงโครไนซ์เสียงและวิดีโอ ฯลฯ นอกจากนี้ ไมโครซอฟต์ยังได้เปิดตัวชุดเครื่องมือเพื่อให้ความรู้แก่ผู้ใช้เกี่ยวกับความสามารถในการจดจำแบบ Deepfack ผู้ใช้สามารถเรียนรู้และเสริมสร้างทักษะการระบุตัวตนส่วนบุคคล

2. ความเสี่ยงด้านข้อมูลและความเป็นส่วนตัว

การใช้โมเดลขนาดใหญ่ในด้านต่างๆ ยังนำความเสี่ยงมาสู่ข้อมูลและความเป็นส่วนตัวของผู้ใช้ เมื่อใช้โรบ็อตสนทนา ผู้ใช้ควรพยายามอย่างเต็มที่เพื่อปกป้องข้อมูลส่วนบุคคลของตน และพยายามหลีกเลี่ยงการรั่วไหลของข้อมูลสำคัญ เช่น คีย์ส่วนตัว คีย์ และรหัสผ่าน ป้อนโดยตรงและพยายามซ่อนข้อมูลสำคัญของคุณผ่านการทดแทน การสร้างความสับสน และวิธีการอื่น ๆ สำหรับนักพัฒนา Github มีชุดการตรวจจับที่เป็นมิตร ถ้ามี API ของ OpenAI หรือการรั่วไหลของความเป็นส่วนตัวที่มีความเสี่ยงอื่น ๆ ในโค้ดที่ส่งมา ข้อผิดพลาดจะถูกรายงาน

3. ความเสี่ยงในการสร้างเนื้อหาและการละเมิด

ในการทำงานประจำวันของผู้ใช้ พวกเขาอาจพบกับผลลัพธ์ของเนื้อหาที่สร้างโดยโมเดลขนาดใหญ่จำนวนมาก แม้ว่าเนื้อหาเหล่านี้จะมีประสิทธิภาพ แต่การสร้างเนื้อหาในทางที่ผิดยังนำมาซึ่งข้อมูลเท็จและปัญหาลิขสิทธิ์ทางปัญญาอีกด้วย เนื้อหาข้อความถูกสร้างขึ้นโดยแบบจำลองขนาดใหญ่สามารถลดความเสี่ยงที่เกี่ยวข้องบางประการได้ นอกจากนี้ เมื่อใช้การสร้างโค้ดสำหรับโมเดลขนาดใหญ่ นักพัฒนาควรคำนึงถึงความถูกต้องและความปลอดภัยของฟังก์ชันโค้ดที่สร้างขึ้นด้วย สำหรับโค้ดที่ละเอียดอ่อนหรือแบบโอเพ่นซอร์ส จะต้องดำเนินการตรวจสอบและตรวจสอบอย่างเพียงพอ

4. ความสนใจและการเรียนรู้ทุกวัน

เมื่อผู้ใช้เรียกดูวิดีโอสั้น วิดีโอขนาดยาว และบทความต่างๆ ในแต่ละวัน พวกเขาจะต้องตัดสินและระบุอย่างมีสติ และจดจำการปลอมแปลง AI ที่เป็นไปได้หรือเนื้อหาที่สร้างโดย AI เช่น คำอธิบายทั่วไปเกี่ยวกับเสียงผู้ชาย เสียงผู้หญิง ข้อผิดพลาดในการออกเสียง และ วิดีโอที่เปลี่ยนใบหน้าทั่วไป และตัดสินและระบุความเสี่ยงเหล่านี้อย่างมีสติเมื่อเผชิญกับสถานการณ์สำคัญ

คำถามที่ 6: จากมุมมองของมืออาชีพ แบ่งปันคำแนะนำด้านความปลอดภัยของอุปกรณ์ทางกายภาพ

ทีมรักษาความปลอดภัย OneKey: จากความเสี่ยงต่างๆ ที่กล่าวถึงข้างต้น เราจะสรุปมาตรการป้องกันโดยย่อ

1. ระวังความเสี่ยงจากการบุกรุกจากอุปกรณ์ในเครือข่าย

อุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ตแพร่หลายในชีวิตประจำวันของเรา แต่ก็นำมาซึ่งความเสี่ยงที่อาจเกิดการบุกรุกได้เช่นกัน เพื่อปกป้องข้อมูลที่มีความเสี่ยงสูงของเรา (เช่น คีย์ส่วนตัว รหัสผ่าน รหัสสำรอง MFA) เราควรใช้วิธีการเข้ารหัสที่รัดกุมและพยายามเลือกวิธีการจัดเก็บข้อมูลที่แยกออกจากเครือข่ายเพื่อหลีกเลี่ยงการจัดเก็บข้อมูลที่ละเอียดอ่อนนี้โดยตรงใน อุปกรณ์ในรูปแบบข้อความธรรมดา นอกจากนี้ เราจำเป็นต้องระมัดระวังการโจมตีแบบฟิชชิ่งและโทรจันอยู่เสมอ พิจารณาแยกอุปกรณ์พิเศษสำหรับการดำเนินงานสินทรัพย์ crypto ออกจากอุปกรณ์ใช้งานทั่วไปอื่น ๆ เพื่อลดความเสี่ยงที่จะถูกโจมตี ตัวอย่างเช่น เราสามารถแยกแล็ปท็อปที่เราใช้ทุกวันและกระเป๋าฮาร์ดแวร์ที่เราใช้ในการจัดการสินทรัพย์เข้ารหัสลับได้ เพื่อที่ว่าแม้ว่าอุปกรณ์เครื่องหนึ่งจะถูกบุกรุก แต่อีกเครื่องหนึ่งก็ยังคงปลอดภัย

2. ดูแลรักษาการตรวจติดตามและการป้องกันทางกายภาพ

เพื่อรักษาความปลอดภัยให้กับอุปกรณ์ที่มีความเสี่ยงสูงของเรา เช่น กระเป๋าฮาร์ดแวร์ เราจำเป็นต้องใช้มาตรการตรวจสอบและป้องกันทางกายภาพที่เข้มงวด อุปกรณ์เหล่านี้ในบ้านควรเก็บไว้ในตู้เซฟกันขโมยมาตรฐานสูง และติดตั้งระบบรักษาความปลอดภัยอัจฉริยะที่ครอบคลุม รวมถึงกล้องวงจรปิดและฟังก์ชันปลุกอัตโนมัติ หากเราต้องเดินทาง สิ่งสำคัญอย่างยิ่งคือต้องเลือกโรงแรมที่มีห้องเก็บของที่ปลอดภัย โรงแรมระดับไฮเอนด์หลายแห่งเสนอบริการพื้นที่จัดเก็บที่ปลอดภัยเป็นพิเศษ ซึ่งสามารถให้การปกป้องเพิ่มเติมอีกชั้นสำหรับอุปกรณ์ของเรา นอกจากนี้เรายังสามารถพิจารณาพกพาตู้นิรภัยแบบพกพาติดตัวไปด้วยเพื่อให้แน่ใจว่าอุปกรณ์สำคัญของเราได้รับการปกป้องในทุกสถานการณ์

3. ลดความเสี่ยงและป้องกันความล้มเหลวเพียงจุดเดียว

การกระจายอุปกรณ์และทรัพย์สินเป็นหนึ่งในกลยุทธ์สำคัญในการลดความเสี่ยง แทนที่จะจัดเก็บอุปกรณ์สิทธิพิเศษสูงและสินทรัพย์เข้ารหัสลับทั้งหมดไว้ในที่เดียวหรือในกระเป๋าเงินเดียว เราควรพิจารณาการกระจายอำนาจการจัดเก็บข้อมูลในสถานที่ที่ปลอดภัยตามสถานที่ตั้งทางภูมิศาสตร์ที่แตกต่างกัน ตัวอย่างเช่น เราสามารถจัดเก็บอุปกรณ์และทรัพย์สินบางอย่างที่บ้าน ในสำนักงาน และกับเพื่อนและครอบครัวที่เชื่อถือได้ นอกจากนี้ การใช้ Hot Wallet และ Cold Wallet ของฮาร์ดแวร์หลายรายการยังเป็นวิธีการที่มีประสิทธิภาพอีกด้วย เพื่อความปลอดภัยเพิ่มเติม เรายังสามารถใช้กระเป๋าเงินที่มีลายเซ็นหลายลายเซ็น ซึ่งต้องใช้ลายเซ็นที่ได้รับอนุญาตหลายลายเซ็นในการทำธุรกรรม ซึ่งจะเป็นการเพิ่มระดับความปลอดภัยของทรัพย์สินของเราอย่างมาก

4. มาตรการฉุกเฉินกรณีสถานการณ์เลวร้ายที่สุด

เมื่อเผชิญกับภัยคุกคามด้านความปลอดภัยที่อาจเกิดขึ้น การพัฒนาแผนฉุกเฉินกรณีที่เลวร้ายที่สุดถือเป็นสิ่งสำคัญ สำหรับบุคคลที่มีรายได้สูง การรักษาสถานะให้ต่ำเป็นกลยุทธ์ที่มีประสิทธิภาพในการหลีกเลี่ยงการตกเป็นเป้าหมาย เราควรหลีกเลี่ยงการแสดงสินทรัพย์ crypto ของเราในที่สาธารณะ และพยายามเก็บข้อมูลทรัพย์สินของเราให้เป็นความลับน้อยที่สุด นอกจากนี้การมีแผนฉุกเฉินในกรณีที่อุปกรณ์สูญหายหรือถูกขโมยเป็นสิ่งที่จำเป็น เราสามารถตั้งค่ากระเป๋าสตางค์ที่เข้ารหัสเพื่อหลอกล่อเพื่อจัดการกับผู้ที่อาจเป็นโจรได้ชั่วคราว ขณะเดียวกันก็ทำให้มั่นใจได้ว่าข้อมูลในอุปกรณ์สำคัญสามารถล็อคหรือล้างข้อมูลจากระยะไกลได้ (หากสำรองข้อมูลไว้) การจ้างทีมรักษาความปลอดภัยส่วนตัวสามารถให้การรักษาความปลอดภัยเพิ่มเติมอีกชั้นหนึ่งเมื่อเดินทางในที่สาธารณะในพื้นที่ที่มีความเสี่ยงสูง เช่นเดียวกับการใช้ช่องทางรักษาความปลอดภัยวีไอพีพิเศษและโรงแรมที่มีการรักษาความปลอดภัยสูงเพื่อให้มั่นใจในความปลอดภัยและความเป็นส่วนตัวของเรา

ทีมรักษาความปลอดภัยกระเป๋าเงิน OKX Web3: เราจะเปิดตัวในระดับสองระดับ ระดับหนึ่งคือระดับแอป OKX Web3 และอีกระดับคือระดับผู้ใช้

1. ระดับแอป OKX Web3

OKX Web3 Wallet ใช้วิธีการที่หลากหลายเพื่อเสริมความแข็งแกร่งให้กับแอป ซึ่งรวมถึงแต่ไม่จำกัดเพียงการทำให้สับสนของอัลกอริทึม การทำให้งงงันของตรรกะ การตรวจจับความสมบูรณ์ของโค้ด การตรวจจับความสมบูรณ์ของไลบรารีระบบ การป้องกันการงัดแงะของแอปพลิเคชันและการตรวจจับความปลอดภัยด้านสิ่งแวดล้อม และวิธีการเสริมแรงและการตรวจจับอื่น ๆ สิ่งนี้จะช่วยลดโอกาสที่ผู้ใช้จะถูกโจมตีโดยแฮกเกอร์เมื่อใช้แอพอย่างมาก นอกจากนี้ยังลดความเป็นไปได้ที่ผลิตภัณฑ์สีดำจะบรรจุแอพของเราใหม่และลดความน่าจะเป็นในการดาวน์โหลดแอปปลอม

นอกจากนี้ ที่ระดับความปลอดภัยของข้อมูลกระเป๋าสตางค์ Web3 เราใช้เทคโนโลยีการรักษาความปลอดภัยของฮาร์ดแวร์ที่ทันสมัยที่สุด และใช้การเข้ารหัสระดับชิปเพื่อเข้ารหัสข้อมูลที่ละเอียดอ่อนในกระเป๋าสตางค์ ข้อมูลที่เข้ารหัสจะถูกผูกไว้กับชิปอุปกรณ์ หากข้อมูลที่เข้ารหัสถูกขโมย มนุษย์คนใดไม่สามารถถอดรหัสมันได้

2. ระดับผู้ใช้

สำหรับผู้ใช้ที่เกี่ยวข้องกับอุปกรณ์ทางกายภาพ รวมถึงกระเป๋าฮาร์ดแวร์ คอมพิวเตอร์ที่ใช้กันทั่วไป โทรศัพท์มือถือ และอุปกรณ์อื่นๆ เราขอแนะนำให้ผู้ใช้เสริมสร้างความตระหนักรู้ด้านความปลอดภัยของตนก่อนจากประเด็นต่อไปนี้

1) กระเป๋าเงินฮาร์ดแวร์: ใช้กระเป๋าเงินฮาร์ดแวร์แบรนด์ที่มีชื่อเสียง ซื้อจากช่องทางอย่างเป็นทางการ และสร้างและจัดเก็บคีย์ส่วนตัวในสภาพแวดล้อมที่แยกจากกัน สื่อที่ใช้จัดเก็บคีย์ส่วนตัวควรเป็นแบบกันไฟ กันน้ำ และป้องกันการโจรกรรม ขอแนะนำให้ใช้ตู้นิรภัยกันน้ำและกันไฟ ซึ่งสามารถเก็บกุญแจส่วนตัวหรือคำช่วยในการจำไว้ในสถานที่ปลอดภัยต่างๆ เพื่อปรับปรุงความปลอดภัย

2) อุปกรณ์อิเล็กทรอนิกส์: สำหรับโทรศัพท์มือถือและคอมพิวเตอร์ที่ติดตั้งกระเป๋าสตางค์ซอฟต์แวร์ ขอแนะนำให้เลือกแบรนด์ที่มีความปลอดภัยและความเป็นส่วนตัวที่ดีกว่า (เช่น Apple) ในขณะเดียวกันก็ลดการติดตั้งซอฟต์แวร์แอปพลิเคชันอื่น ๆ ที่ไม่จำเป็นและทำให้สภาพแวดล้อมของระบบบริสุทธิ์ ใช้ Apple ID เพื่อจัดการการสำรองข้อมูลอุปกรณ์หลายเครื่องของระบบเพื่อหลีกเลี่ยงความล้มเหลวของเครื่องเดียว

3) การใช้งานรายวัน: หลีกเลี่ยงการดำเนินการที่ละเอียดอ่อนกับอุปกรณ์กระเป๋าสตางค์ในที่สาธารณะเพื่อป้องกันการรั่วไหลของบันทึกกล้อง ใช้ซอฟต์แวร์ป้องกันไวรัสที่เชื่อถือได้เป็นประจำเพื่อสแกนสภาพแวดล้อมของอุปกรณ์ ตรวจสอบความน่าเชื่อถือของตำแหน่งจัดเก็บอุปกรณ์ทางกายภาพเป็นประจำ

สุดท้ายนี้ ขอขอบคุณทุกท่านที่อ่านคอลัมน์ "ปัญหาพิเศษด้านความปลอดภัย" ของ OKX Web3 Wallet ฉบับที่ 4 ขณะนี้เรากำลังยุ่งอยู่กับการเตรียมฉบับที่ 5 ซึ่งไม่เพียงแต่ประกอบด้วยกรณีจริง การระบุความเสี่ยง และเคล็ดลับการดำเนินงานที่ปลอดภัย ดังนั้นโปรดติดตาม!

ข้อสงวนสิทธิ์

บทความนี้มีวัตถุประสงค์เพื่อให้ข้อมูลเท่านั้นและไม่ได้มีวัตถุประสงค์เพื่อให้ (i) คำแนะนำในการลงทุนหรือคำแนะนำในการลงทุน (ii) ข้อเสนอที่หรือการชักชวนให้ซื้อ ขาย หรือถือครองสินทรัพย์ดิจิทัล หรือ (iii) คำแนะนำทางการเงิน การบัญชี กฎหมาย หรือภาษี . การถือครองสินทรัพย์ดิจิทัล รวมถึงเหรียญเสถียรและ NFT มีความเสี่ยงสูง และอาจผันผวนอย่างมีนัยสำคัญหรือไร้ค่าด้วยซ้ำ คุณควรพิจารณาอย่างรอบคอบว่าการซื้อขายหรือการถือครองสินทรัพย์ดิจิทัลนั้นเหมาะสมกับคุณหรือไม่ โดยพิจารณาจากสถานการณ์ทางการเงินของคุณ โปรดรับผิดชอบในการทำความเข้าใจและปฏิบัติตามกฎหมายและข้อบังคับท้องถิ่นที่เกี่ยวข้อง