最近,錢包被盜事件頻繁,許多知名人士、KOL都遭殃,加上許多錢包應用被爆出有漏洞,使得用戶人心惶惶,本文將解密錢包的攻擊例子與如何防範。
(前情提要:安全警告》我的錢包地址莫名出現一筆USDT交易記錄?小心ETH新型 Defi 釣魚騙局 )
(背景補充:零U投毒駭客上月獲利「203萬鎂USDC」,累計受害達 2237 萬美元 )
近期業內各種錢包安全事件層出不窮;4 月 18 日,MetaMask 錢包開發人員 @tayvano_ 的一條 5000 枚 ETH 盜幣推文在加密社群廣泛傳播,認為 MetaMask 存在漏洞,引起社群恐慌 。4 月 19 日,MetaMask 回覆因其漏洞被盜不實,但正研究此漏洞來源。
延伸閱讀:Metamask驚傳「大量錢包超 5000 ETH」遭駭!官方急駁不安全謠言
4 月 20 日 imToken 官方提醒近期有詐騙分子假冒 imToken 官方人員,通過傳送簡訊等方式聯絡使用者, 誘導使用者訪問假網站並輸入助記詞,導致使用者遭受資產損失,而 4 月 21 日慢霧研究員稱Google搜尋 「imToken」 後的置頂廣告為新型釣魚網站,請使用者切勿點選連結,注意規避風險。
4 月 22 日,Trust Wallet 釋出公告,去年 11 月 14 日至 23 日建立新錢包的地址存在漏洞,為受影響使用者建立補償流程。
延伸閱讀:Trust Wallet遭爆「私鑰漏洞」已被駭17萬鎂!官方 : 將賠償受害者
隨著 DeFi、NFT 等鏈上互動需求的爆發,行業早已不像早期那會兒,只要在 CEX 買 coin 並放在 CEX 就可以滿足大多數投資者的需求,大多數投資者會將部分甚至全部 Token 放在自己的錢包裡,這也導致了這個行業變成了駭客的天堂、時不時會傳出一些投資者因為授權,下載假的 APP 洩漏私鑰或者錢包自身漏洞等問題,導致自己資產被盜,到頭來變成一場空,保證自有資產安全已經成為行業內一項必不可少的技能。
接下來,我們將從錢包相關知識、被盜案例以及保護私鑰等知識等幾個方面來全面瞭解如何保護區塊鏈資產安全。
一、 錢包相關知識
在保證自己資產安全之前,需要先對業內一些關於錢包等基礎知識有一定了解,才能更好的理解如何保護自己的資產。接下來簡單介紹下幾個相關概念。
1. 對稱加密與非對稱加密
在瞭解公(私)鑰之前,我們先簡單瞭解下密碼學中的對稱加密與非對稱加密。對稱加密,是指 A 通過某種演算法,可以得到 B,而反過來,B 通過相同的演算法也可以逆向解密出 A,這裡加密解密用的是同一種演算法;而非對稱加密,則是 A 通過某種演算法,可以得到 B,但 B 無法通過相同的演算法逆向解密出 B,這裡的加密解密需要用到不同的演算法。
如圖,對稱加密與非對稱加密的區別在於圖中訊息接收方公鑰與訊息接收方私鑰是否為同一把鑰匙。
2. 公(私)鑰,助記詞,地址
瞭解了對稱加密與非對稱加密,可以更好的理解一些錢包相關的基本概念。
金鑰對:在非對稱加密中,有一對金鑰對,分別為公鑰與私鑰,公鑰是公開的,私鑰是不公開的。
公鑰:用來給資料加密,用公鑰加密的資料只能使用私鑰解密。
私鑰:私鑰可以生成公鑰,用來解密公鑰加密的資料。
地址:與 「公鑰」 相對應,由於公鑰過長,於是有了 「地址」 ,地址由公鑰生成。
助記詞:與 「私鑰」 相對應,因為私鑰是隨機生成的字串,過長且難記,於是催生了一組人類可讀的單詞代替私鑰,用來幫助使用者記住私鑰,一般是 12 個無規律的短語。(私鑰 = 助記詞)
電子簽名:某條資訊(你給某人轉帳 100 個以太坊),這條資訊需要你的私鑰簽名後,廣播到區塊鏈上。
簽名驗證:接收端可以通過你的公鑰驗證這個訊息確實是通過你的私鑰簽名,那就是你釋出的,交易記錄上鏈,因此,誰掌握了私鑰,誰就掌握了該錢包。
簡單理解,公鑰(地址)相當於你的帳號,而私鑰(助記詞),則相當於你的帳號 + 密碼(私鑰可以生成公鑰)。
用銀行卡來比喻,公鑰 = 銀行帳戶,地址 = 銀行卡號,密碼 = 銀行卡密碼,私鑰 = 銀行卡號 + 銀行卡密碼,助記詞 = 私鑰 = 銀行卡號 + 銀行卡密碼,Keystore + 密碼 = 私鑰,關於錢包基礎知識,可以檢視白話之前的科普文章 《想要安全的保管資產,先要知道錢包的這些知識》。
3. 私鑰(助記詞)的儲存
你的 coin 並不是存在你的錢包 APP 中,而是存在區塊鏈網路中私鑰對應的地址之中,只要你擁有私鑰,就可以通過私鑰來登入所有的錢包(該錢包支援你有 coin 的這條鏈),錢包僅僅是作為帳戶資金顯示的前端,並不儲存你的私鑰。
如果私鑰丟了,意味著你的資產也將丟失,無法通過錢包找回,首次註冊錢包時,錢包頁面一般也會提醒使用者注意這點。這點和我們之前用到的 QQ,微信完全不同,如果密碼丟失,還可以通過手機驗證,問題以及好友驗證可以找回,當然,這也是區塊鏈去中心化的魅力所在,你的資產完全屬於你自己。
4. 錢包種類
根據私鑰是否觸網,可以將錢包分為熱錢包與冷錢包,如上圖。
熱錢包:客戶端錢包、外掛錢包、手機端 APP。
使用方便,新手易操作,交易轉帳的效率比較高,安全性較差,容易被盜。
冷錢包:硬體錢包。
安全性高,適合存放大額資產,建立複雜,轉帳麻煩,硬體損壞或私鑰丟失都可能造成數位資產的丟失。
關於錢包更詳細的分類可以檢視白話區塊鏈之前的科普文章《科普 | 數位錢包有哪些種類?》
通過以上,我們可以知道,私鑰即一切,而我們所有保護資產的措施,其實都是保護私鑰,保護私鑰,保護私鑰。(防止私鑰的丟失,被他人獲取)
二、被盜案例
瞭解了相關的概念,我們再來看下,目前主要存在哪些丟失的案例,通過案例,我們可以更好的保護我們自己的錢包。
1. 私鑰(助記詞)洩漏
2021 年初,生財有術創辦人亦仁,將比特幣私鑰儲存在雲端中,導致八位數資產的 BTC 丟失。
22 年 11 月,分散式資本創辦人沈波價值 4200 萬美元的數位資產被盜,被盜資產包括:38,233,180 枚 USDC、1607 枚 ETH、719,760 枚 USDT 以及 4.13 枚 BTC。據安全機構慢霧後續分析稱,被盜是因為助記詞洩漏所導致。
延伸閱讀:快訊》分布式資本沈波:4,200萬鎂的Trust Wallet錢包被盜;疑私鑰外洩
2. 私鑰(助記詞)丟失
英國 IT 工程師 James Howells 在 2013 年弄丟電腦硬碟,裡面存有 8000 枚比特幣,9 年後,計劃花 7430 萬美金翻遍垃圾場來找回電腦硬碟。
3. 點選病毒連結
一使用者胡亂點選別人傳送的連結,導致駭客讀取 metamask 本地加密備份,所有資產被盜。
推特 KOL 點選別人私發連結,導致推特帳戶被盜,然後釋出帶毒空投資訊,利用粉絲對 KOL 的信任點選連結盜走粉絲資產。
4. 隨意授權,應用出現漏洞
10 月 2 日,Token Pocket 旗下閃兌 DEX Transit Swap 官方表示遭遇駭客攻擊,資產損失超 1500 萬美元,提醒使用者取消授權。
10 月 11 日,DeBank 團隊開發的外掛錢包 Rabby 稱其 Swap 合約存在漏洞,建議使用者取消 Rabby Swap 授權,最終駭客獲利超 19 萬美元。
5. 下載假的 APP(帶病毒軟體)
一些駭客獲取平臺使用者資訊後,通過簡訊給使用者散佈恐慌資訊,平臺已經不安全,需要點選連結重新安裝應用或登入帳戶,登入後,帳戶資金被盜。
一使用者下載假的 Binance app,轉帳時,轉入其他人地址,5 個 ETH 的資產徹底丟失。
我們從上述案例可以看出,使用者資產被盜,主要集中在這幾種情況:私鑰(助記詞)洩漏,私鑰(助記詞)丟失,點選病毒連結,隨意授權,應用出現漏洞,下載假的 APP(帶病毒軟體)等幾種情況。
接下來,我們來整理下有哪些方法可以避免上述情況的發生。
三、如何避免財產損失
1. 私鑰的儲存(核心:不易丟失,不易損壞,其他人無法接觸或接觸也無法使用)
錢包生成後及時備份,雙重備份,因為一旦丟失,將無法找回
助記詞儲存在不連網且不易丟失和損壞的介質上,比如抄在紙上,自己進行加密(增加或減少特定字元,方便記憶);找一台永不連網手機的拍照儲存;有一些錢包提供商會出售助記詞相關的鐵板。
使用冷錢包(硬體錢包),選擇知名的冷錢包;應從官方渠道購買,不要通過第三方渠道購買(第三方渠道可能存在病毒);設定較強的密碼,同時備份私鑰,防止硬體錢包丟失或損壞。
2. 防止私鑰(助記詞)洩漏
- 不要複製貼上私鑰,有些軟體可以讀取使用者的剪貼簿
- 不要將私鑰儲存在微信收藏,傳輸檔案,百度雲,印象筆記等網路平台
- 絕不告訴任何人私鑰,記住,是任何人,一些騙子假冒錢包官方人騙取你的私鑰,不要相信,錢包方也沒有權力獲取使用者私鑰
- 使用公共 Wi-Fi 時,不要複製貼上私鑰
- 下載各種應用,應去官方渠道,所有應用商店有時也不可信(記住,是所有),存在虛假應用
- 錢包簽名時要謹慎,DeFi 協議和 NFT 互動重度使用者,記得及時撤銷授權,防止應用出現漏洞後導致資產被盜
- 不要隨意點選別人傳送的連結(簡訊),下載別人分享的檔案,甚至一些 KOL 的連結也不要隨意點選,有可能含有病毒
- 一旦發現錢包有一點資產洩漏,應第一時間捨棄錢包,不要抱任何僥倖心理
- 不使用免費的 VPN
- 緊跟新聞,即時瞭解新的被盜資訊
以上所有的措施,其實都是為了保護你的私鑰不洩密,Not your key, not your coin!
3. 資產分散放置
可以將自身資金分散放置在錢包與交易平臺中,雖然 FTX 出事,導致中心化交易平臺信任缺失,但對於絕大多數人來說,資產放在幾個中心化頂級交易平臺比拿在自己手中相對要安全很多,便利性也會比錢包好一些,只要不是特別大的損失,幾個頂級平臺一般都能賠的起。
使用中心化交易平臺需要注意幾點:
- 開啟三重驗證(手機,信箱,Google二次驗證)
- 開啟提 coin 白名單
- 從官方渠道下載 App
- 轉帳時,確認地址是否正確
四、結語
通過上述相關知識,可以使新手使用者對區塊鏈資產安全的相關的知識有個全面的認識,隨著區塊鏈的發展,鏈上互動的增加,使得錢包的使用也將逐漸變成一項重要基礎技能,各種措施,其實都沒有絕對的安全,只是相對來說,可以讓我們避掉大多數坑,而隨著區塊鏈的發展,也會不斷出現新的問題,需要我們不斷提升自己的知識儲備。
小額資金,可以不完全遵照上面的方式來儲存,但自己大倉位資金的儲存,一定要慎重慎重再慎重,因為你的一次失誤,可能導致你永遠被區塊鏈這條列車甩開,永遠無法追上。
📍相關報導📍
Telegram「截圖釣魚」詐騙肆虐!如何設定2FA雙重驗證、被盜怎麼辦?
