如何辨識假錢包位址?為什麼冷錢包仍然存在被駭客攻擊的風險?這些攻擊是如何發生的?什麼樣的人會成為駭客的目標?如何避免此類問題發生?
最近Web3頻繁發生盜幣事件,特別是備受關注的“ 1155 枚WBTC 被盜事件”,引起了公眾的廣泛關注。加密資產的保護問題也成為了大家關注的焦點。針對這一事件,PoPP 和 OneKey 共同舉辦了一場場 Space 旨在向社區分享關於鏈上安全的問題,乾貨滿滿,給缺乏防範意識的新人們做了一場科普。
嘉賓:
PoPP CTO :Neo
OneKey Eco head:Cavin
主持:JY
本場 Space 主要圍繞著以下幾個問題進行討論:
1.如何辨識假錢包位址?
2、Crypto 放在交易所和錢包,哪個比較安全?
3.為什麼冷錢包仍然有被駭客攻擊的風險?這些攻擊是如何發生的?
4.什麼樣的人會成為駭客的目標?交易避坑/踩坑分享?
5.目前 PoPP 也聚集了許多用戶,關於資產安全這塊是怎麼做的呢?
1. 如何辨識假錢包位址?
關於如何辨識假錢包位址的問題,Cavin 提到了兩種方法。首先是在轉帳時仔細校對每一位數字和字母,避免被仿冒。其次,現在的主流的軟體錢包它都有這個地址庫的功能,包括 OKX、OneKey Classic,你可以把你常用的地址可以去放到這個地址庫裡,以便快速選擇正確地址。提醒大家在轉帳前務必確保環境安全,避免從交易記錄上方去複製地址。
Neo 在分享中進行了一些其他補充。 Neo 分享了他們團隊的一個開發人員,他從來不信任何的熱錢包,他只用他自己節點錢包來進行所有轉賬,用mini 行來控制,當然這種我們普通人是做不到的。一般人可以從以下 4 個面向進行防範:
a、首先,確保安全環境,包括網路、VPN、手機和電腦環境。
b、其次,選擇安全設備,如蘋果設備或硬體錢包。
毋庸置疑的一個點是可能蘋果的設備它會相對安全點,然後就是一些硬體錢包。當我們必須要 Android 安裝其他一些軟體的時候,建議使用一到兩個主流的錢包即可。如果需要頻繁的導入助記詞的時候避免使用貼上。提醒大家不要下載太多錢包,只在 APP 內更新。
c、再者,養成良好習慣,確認交易前進行小額測試轉帳。建議最好用掃碼的形式向對方轉賬,轉帳前後彼此確認。
d、最後,每次轉帳後查看區塊鏈瀏覽器確認轉帳細節。
如果你發現金額不對,或是目標地址不對,那這個時候是還可以馬上補救措施。你也可以馬上去發起一筆新的交易,以更高的gas 費去把你之前那筆交易給沖掉。還有可能挽回,但是如果一旦你轉出成功了,或者你點了釣魚軟體,就可能真的沒辦法了。
2. Crypto 放在交易所和錢包,哪個比較安全?
主持人 JY:
感謝 Neo 和 Cavin 的分享。想問一個問題,交易所和錢包哪個比較安全?
Cavin:
從安全等級的角度來看,硬體錢包的安全等級是最高的。雖然硬體錢包的使用門檻和操作難度都比熱錢包高一些,但它不像熱錢包那麼方便。
交易所和熱錢包安全性稍差,但應用性很好。建議將部分資金放在可靠的交易所,如幣安或 OKX,短期內不會出現大問題,但也不能完全信任。
建議在可靠的交易所放置部分資金,不要放太多。對不常見協議,可以使用新的熱錢包隔離管理。
Neo:
在研技術層面,安全永遠是相對的,沒有絕對安全,只是一個成本問題。
錢包:
如果放在錢包裡,在你不觸網的情況下,它是相對安全的。但是,在你涉及和其他dApp 的互動、連結的互動比較頻繁之後,在這個過程中你的安全指數就會持續的下降。
交易所:
Crypto 在交易所裡面較比熱錢包而言安全是相對的,交易所沒有單點故障。你去交易、買賣、劃轉都不會造成資產損失。並且交易所能提供的優勢——賠付的能力。就即便是你在交易所裡面的錢丟了,那交易所是可以進行賠付的。
主持人 JY:例如,我的錢包互動和授權次數多,當我完成 NFT 銷售後,我可以取消之前的授權嗎?
Cavin:是的。如果沒有定期檢查合約授權是否取消的習慣,風險會逐漸增加。
3. 為什麼冷錢包仍然有被駭客攻擊的風險?這些攻擊是如何發生的?
主持人 JY:
明白了。我之前有一個朋友在將資金從 OKX 交易到 OKX 錢包時丟失了 126 萬 USDT,工作人員表示可以凍結兩小時,但後來他提到他的錢之前是存在冷錢包裡的。請問為什麼冷錢包仍然有被駭客攻擊的風險?這些攻擊是如何發生的?
Cavin:
我認為這與冷錢包無關,可能是在資金轉移過程中發生了問題。硬體錢包通常透過在晶片內儲存私鑰或助記詞來保障安全。但當使用硬體錢包時需要連網,私鑰儲存在瀏覽器快取或資料檔案中,因此容易受到駭客攻擊。
硬體錢包必須與軟體錢包一起使用,簽名過程在硬體錢包完成,您的私鑰自始至終都不會接觸互聯網。
實際上是把這個過程轉移到了實體設備上,它實際上有一個安全晶片(Secure ),透過使用晶片裡面的私鑰完成簽名,簽完名之後它會把這個簽名傳入到軟體錢包,軟體錢包獲得錢包之後會把交易發到鏈上。所以簽名過程是在您不連網的情況下在硬體錢包上完成的。
若硬體錢包遺失,只需將助記詞導入新硬體錢包即可。然而,存在社會工程攻擊風險,駭客可能會取得錢包解鎖碼來竊取資產。
硬體錢包設計原則在交易簽名過程中加入二次確認,增加安全性。供應鏈攻擊和內部攻擊也是存在的風險,因此建議購買開源硬體錢包。在保證硬體錢包未被竄改的前提下,即使硬體錢包遺失,資產仍安全。
主持人 JY:
硬體錢包雖需連網簽名,但並非百分之百安全。如何盡量避免此類情況?是否有其他識別方法?
Cavin:
OneKey 產品已獲得 EAL 6+認證,安全性較高。駭客難以從硬體錢包匯出私鑰,暴力破解難度極高。軟體錢包易受網路攻擊,硬體錢包可隔離此過程。
Neo:
安全是相對的,私鑰體係有問題。資產管理需謹慎,不要依賴單一設備儲存所有資產。做好備份,不要輕信任何看似安全的設備。我們將提出解決方案,如何更好地管理資產。
4. 什麼樣的人會成為駭客的目標?是滿足了什麼條件嗎?
主持人 JY:什麼樣的人會成為駭客的目標?是滿足了什麼條件嗎?
Cavin:
從 1155 個 WBTC 的案例中,我們推測駭客在實施攻擊之前進行了哈希碰撞和模擬位址,採取了廣撒網的方式,大概撒了幾萬個位址。透過交易會議記錄可以發現駭客的習慣動作。用戶需要做好防護措施,包括資金分管、在不同場景中隔離錢包、定期檢查地址授權情況、養成良好的轉帳交易習慣。
Neo:
駭客可能透過放置釣魚連結等方式無差別盜取資產,包括授權方式、類比轉帳方式、盜取私鑰方式。
駭客也可能針對個人,當發現鏈上資金較多時會發動攻擊,透過社群資訊給你發一些連結。或者說找你購買 USDT、寄給你郵件、模擬同事等等很多形式來盜取。所以要注意不親信任何人,點擊陌生連結。
對於專案方,駭客可能會針對合約位址尋找漏洞進行攻擊,專案方需要做好稽核和使用者資產校驗。此外,駭客很可能攻擊項目方的客服人員,透過加好友、發送訊息等方式入侵電腦,取得內網資訊進行資產竊取。針對企業和持有大額資產的用戶,駭客更可能有組織、有預謀的入侵。團隊需要進行培訓,建立有效的防範措施。
用戶 A 提問
如何辨識和防範網路釣魚和連結這種攻擊呢?
Neo:
第一個,無論手機還是 PC 端,當你不確定這個連結是不是有效的時候,你可以利用Google瀏覽器的隱私模式或匿名模式來開啟這個連結。
第二,當你需要在電腦端安裝軟體,我會建議使用像CMC 這樣的集合。你可以在專案方推特或聚合平台公開的網站使用隱私模式訪問,其次,使用一個空錢包連結。肉眼去識別官方的地址,一般情況下,官方的網域不很複雜。
Cavin:
補充:你也可以安裝一些安全插件。其次,不建議從谷歌搜尋專案網站。
用戶 B 提問
加密資產或現貨放在交易所是否安全?
Neo:
任何的都是相對的安全交易所,你要看你放到哪個交易所。某些交易所具備一定的賠付能力,即便是你小額資產遺失了,他也可以賠給你,例如幣安。但是合約裡面的資產它有可能確實會消失;現貨有可能沒問題。注意的是小交易所跑路是很正常的,而且小交易所有可能扛不住駭客的攻擊也可能會被偷走。建議放在主流的、具備賠付能力的交易所。
5. 目前 PoPP 也聚集了許多用戶,關於資產安全這塊是怎麼做的呢?
主持人 JY:目前 PoPP 也聚集了許多用戶,關於資產安全這塊是怎麼做的呢?
Neo:
我們將資產安全放在首要位置,以下是我們所採取的幾個重點措施:
首先是整個帳號體系的安全管理:
我們目前採用 MPC 方式管理帳號體系,並且在 2.0 版本中,也就是Q2、Q3時,我們將再次進行更新。個人認為目前使用 EOA 帳號作為資產管理方式存在一定問題,因此更安全的方式是充分利用 EUA 帳號和智慧合約帳號,將私鑰僅用於簽章目的。此外,將資產和操作隔離是比較合理的方式。硬體錢包、軟體錢包都可以提高私鑰安全程度。資金安全放在智能合約中是更安全的方式。在帳號體系中,我們會使用 MPC 的方案,將私鑰分成三個部分以增加安全性。 (例如你自己的私鑰洩漏了,或者平台的私鑰洩漏了,都是無法去完成這個簽名過程的。因為還有一部分是給安全機構的。)
智慧合約帳戶,分為社交帳號及虛擬帳號。社交帳號使用 ERC-6551 協議儲存社交資產,在互動過程中可以進行多簽和校驗。 (當你在交易的時候,如果某一個私鑰洩漏了,你可以更換你的私鑰,而不會導致你總的資產丟失。)另外就是熱門的ERC-4337 的虛擬帳號。雖然目前使用場景不是很多,但虛擬帳號是潛在的發展趨勢,會讓帳號體系逐步智慧化。目前我們主要使用 ERC-6551 來支援你的社群帳號的智慧合約化。
其次是互動流程的安全性:
我們注意到更多的資產損失發生在互動層,因此在 PoPP 2.0 版本中我們將發布社交插件,可以透過該插件存取項目方資訊。當進行互動時,我們的社交外掛程式將識別需要授權費白名單的項目並進行預警提示。此外,透過內建的 DEID 和插件,我們在互動流程中提供隔離層,以保護使用者的資產和社交身分安全。
最後是我們的 AI 資訊來源:PoPP 會與安全專案方和資料方合作,揭露白名單和黑名單信息,幫助使用者取得安全資訊。透過這三個層面,我們致力於保障使用者的資產和社交體驗安全。感謝大家的聆聽。
