WEEX 唯客博客, 作者:OKX Web3 引言 OKX Web3錢包特別策劃了《安全特刊》欄目,針對不同類型的鏈上安全問題進行專期解答。通過最發生在用戶身邊最真實案例,與安全領域專家人士或者機構共同聯合,由不同視角進行雙重分享與解答,從而由淺入深梳理並歸納安全交易規則,旨在加強用戶安全教育的同時,幫助用戶從自身開始學會保護私鑰以及錢包資產安全。 擼毛操作猛如虎,安全係數為負5? 作為鏈上交互的高頻用戶,對於擼毛人來說,安全永遠是第一位的 今天,兩大鏈上「避坑王」教你如何進行安全防護攻略 本期是安全特刊第03期,特邀行業知名安全專家0xAA與OKX Web3錢包安全團隊,從實操指南的角度出發,來講解「擼毛人」常見的安全風險和防範措施。 WTF Academy: 非常感謝OKX Web3的邀請,我是來自 WTF Academy 的 0xAA。WTF Academy是一所Web3開源大學,幫助開發者入門Web3開發。今年我們孵化了一個Web3救援項目 RescuETH(鏈上救援隊),專註救援用戶被盜錢包中的剩餘資產,目前已成功在Ethereum、Solana、Cosmos上救援了超過300 萬人民幣的被盜資產。 OKX Web3錢包安全團隊:大家好,非常開心可以進行本次分享。OKX Web3錢包安全團隊主要負責OKX在Web3領域內各類安全能力的建設,比如錢包的安全能力建設,智能合約安全審計,鏈上項目安全監控等,為用戶提供產品安全、資金安全、交易安全等多重防護服務,為維護整個區塊鏈安全生態貢獻力量。 Q1:請分享幾個真實的擼毛人遭遇的風險案例 WTF Academy:私鑰泄漏是擼毛用戶面臨的重大安全風險之一。本質上,私鑰是一串用於控制加密資產的字元,任何擁有私鑰的人都能完全控制相應的加密資產。一旦私鑰泄漏,攻擊者便可以未經授權地訪問、轉移和管理用戶的資產,導致用戶遭受經濟損失。所以,我重點分享幾個私鑰被盜的案例。 Alice(化名)在社交媒體上被黑客誘導下載了惡意軟體,並在運行該惡意軟體后導致私鑰被盜取,當前惡意軟體的形式多樣多種,包含但不限於:挖礦腳本、遊戲、會議軟體、沖土狗腳本、夾子機器人等等,用戶需要提高安全意識。 Bob(化名)不小心把私鑰上傳到GitHub后,被他人獲取,隨手導致了資產被盜。 Carl(化名)在項目方官方的Tegegram群諮詢問題時,信任了主動聯繫他的假冒客服,並泄露了自己的助記詞,隨後錢包資產被盜取。 OKX Web3錢包安全團隊:這類風險案例比較多,我們挑選了幾個用戶在擼毛時,遭遇的比較經典的案例。 第一類,高仿賬號發布假空投。用戶A在瀏覽某熱門項目Twitter時,發現最新Twitter下方有空投活動的公告,隨即點擊了該公告鏈接來參與空投,最終導致被釣魚。當前很多釣魚者,通過高仿官方賬號,並在官方推特下追發虛假公告,從而誘導用戶上鉤,用戶應該要注意辨別,不能掉以輕心。 第二類,官方賬號被劫持。某項目的官方Twitter和Discord賬號遭到黑客攻擊,隨後黑客在項目的官方賬號上發布了一個虛假的空投活動鏈接,由於該鏈接是從官方渠道發布的,因此用戶B並沒有懷疑其真實性,點擊了該鏈接參與空投后反被釣魚。 第三類,遭遇惡意項目方。用戶C參加某項目的挖礦活動時,為獲得更高的獎勵收益,將所有USDT資產全部投到該項目的staking合約。然而,該智能合約並沒有經過嚴格審計而且沒有開源,結果項目方通過該合約預留的後門將合約中用戶C存入的資產全部盜走。 對於擼毛用戶來說,動輒擁有幾十或者幾百個錢包,如何保護錢包和資產安全是一個非常重要的話題,需要時刻保持警惕,提高安全防範意識。 Q2:作為高頻用戶,擼毛人在鏈上交互中的常見安全風險類型以及防護措施 WTF Academy:對於擼毛人乃至所有的Web3用戶而言,當前常見的兩類安全風險就是:釣魚攻擊和私鑰泄漏。 第一類是釣魚攻擊:黑客通常會假冒官方網站或應用,在社交媒體和搜索引擎上誘騙用戶點擊,然後在釣魚網站上誘導用戶交易或簽名,從而獲取代幣授權,盜走用戶資產。 防範措施:第一,建議用戶只從官方渠道(例如官方推特簡介中的鏈接)進入官方網站和應用。第二,用戶可以使用安全插件,來自動屏蔽掉一些釣魚網站。第三,用戶在進入可疑網站時,可以諮詢專業的安全人士,幫忙判斷是否為釣魚網站。 第二類是私鑰泄漏:已經在上一個問題介紹過了,此處不再展開。 防範措施:第一,如果用戶的電腦或者手機上裝有錢包,就盡量不要從非官方的渠道下載可疑軟體。第二,用戶需要知道,官方客服通常不會主動私信你,更不會要你發送或在假冒的網站里輸入私鑰和助記詞。第三,如果用戶的開源項目需要使用私鑰,請先配置好 .gitignore 文件,確保私鑰不被上傳到GitHub。 OKX Web3錢包安全團隊:我們歸納了用戶在鏈上交互中的常見的5類安全風險,並針對每類風險列出了一些防護措施。 1.空投騙局 風險簡介:有些用戶經常會發現自己的錢包地址中出現了大量不明代幣,這些代幣在常用的DEX交易通常都會失敗,頁面會提示用戶去它的官網兌換,而後用戶在進行授權交易時,往往會授予智能合約轉走賬戶資產的許可權,最終導致資產被盜。比如,Zape空投騙局,許多用戶在錢包中突然收到大量Zape幣,價值看似有數十萬美元。這讓很多人誤以為自己意外發了大財。然而,這實際上是一個精心設計的陷阱。由於這些代幣在正規平台上無法查詢到,許多急於兌現的用戶會根據代幣名稱找到所謂的「官網」。按照提示連接錢包后,以為可以出售這些代幣,但一旦授權,錢包里的所有資產都會被立即盜走。 防護措施:避免空投騙局需要用戶保持高度警惕,核實信息來源,始終從官方渠道(如項目的官方網站、官方社交媒體賬號和官方公告)獲取空投信息。保護好私鑰和助記詞,不要支付任何費用,並利用社區和工具進行驗證,識別潛在的騙局。 2.惡意智能合約 風險簡介:很多未審計或未開源的智能合約可能包含漏洞或後門,無法保證用戶資金安全。 防護措施:用戶盡量僅與經過正規審計公司嚴格審計的智能合約交互,或者注意檢查項目的安全審計報告。另外,通常那些設有bug bounty的項目,其安全性更有保障。 3.授權管理: 風險簡介:過度授權給交互的合約,可能導致資金被盜,這裡我們舉例說明:1)合約是可升級合約,如果特權賬號私鑰泄露,攻擊者可以利用該私鑰將合約升級為惡意版本,從而盜取已授權用戶的資產。2)如果合約存在尚未被識別的漏洞,過度授權可能使攻擊者在未來利用這些漏洞盜取資金。 防護措施:原則上只對交互的合約進行必要額度的授權,並且需要定期檢查並撤銷不必要的授權。在進行鏈下permit授權簽名時,一定要清楚授權的目標合約/資產類型/授權額度,做到三思而後行。 4.釣魚授權 風險簡介:點擊惡意鏈接並被誘導授權給惡意合約或用戶 防護措施:1)避免盲簽: 在簽署任何交易前,務必確保了解即將簽署的交易內容,確保每一步操作都明確且有必要。2)謹慎對待授權目標:如果授權目標是EOA地址(Externally Owned Account)或者未經驗證的合約,必須提高警惕。未經驗證的合約可能存在惡意代碼。3)使用防釣魚插件錢包:使用具有防釣魚保護的插件錢包,例如OKX Web3錢包等,這些錢包可以幫助識別和阻止惡意鏈接。4)保護助記詞和私鑰:所有要求提供助記詞或私鑰的網站均為釣魚鏈接,切勿在任何網站或應用中輸入這些敏感信息。 5.惡意的擼毛腳本 風險簡介:運行惡意的擼毛腳本,會導致電腦被植入木馬,從而導致私鑰被盜。 防護措施:謹慎運行未知的擼毛腳本或者擼毛軟體。 總之,我們希望用戶在進行鏈上交互時候,可以謹慎再謹慎、保護好自己的錢包和資產安全。 Q3:梳理經典的釣魚類型以及手法,以及如何識別和避免? WTF Academy:我想從另外的視角,重新回答這個問題:即一旦用戶發現資產被盜,如何辨別是釣魚攻擊還是私鑰泄漏?用戶通常可以通過這2類攻擊特點去辨別: 一、釣魚攻擊的特點:黑客通常通過釣魚網站,獲取用戶單一錢包下的單一或多個資產的授權,從而盜取資產。一般來說,盜取資產的種類和用戶在釣魚網站授權的次數相等。 二、私鑰/助記詞泄漏的特點:黑客完全取得用戶單一或多個錢包下的所有鏈的全部資產的控制權。因此,如果出現以下特徵中的一個或多個,大概率判斷為私鑰泄漏: 1)原生代幣被盜(如ETH鏈的ETH),因為原生代幣無法被授權。 2)多鏈資產被盜。 3)多錢包資產被盜。 4)單一錢包多種資產被盜,且清晰記得沒有授權過這些資產。 5)盜取代幣之前或同一個交易中並沒有授權(Approval事件)。 6)轉入的Gas馬上會被黑客轉走。 如果不符合以上特徵,很可能是釣魚攻擊。 OKX Web3錢包安全團隊:盡量避免被釣魚,首先需要注意2點:1)要牢記不要在任何網頁填寫助記詞/私鑰;2) 確保訪問的鏈接為官方鏈接,錢包界面的確認按鈕要謹慎點擊。 接下來,我們分享一些經典釣魚場景的套路,幫助用戶更加直觀的理解。 1、假網站釣魚:仿冒官方DApp網站,誘導用戶輸入私鑰或助記詞。所以,用戶的首要原則是不對任何人,任何網站提供自己的錢包私鑰或助記詞。其次,檢查網址是否正確,盡量使用官方書籤訪問常用DApp和使用正規主流錢包,如OKX Web3錢包會對檢測到的釣魚網站進行告警。 2、竊取主鏈代幣:惡意合約函數起名為Claim,SeurityUpdate,AirDrop等具有誘導性名字,實際函數邏輯為空,只轉移用戶主鏈代幣。 3、相似地址轉賬:詐騙者會通過地址碰撞生成和用戶某關聯地址首尾若干位相同的地址,利用transferFrom進行0金額轉賬進行投毒,或利用假USDT進行一定金額轉賬等手段,污染用戶交易歷史,期望用戶後續轉賬從交易歷史拷貝錯誤地址。 4、假冒客服:黑客假冒客服,通過社交媒體或郵件聯繫用戶,要求提供私鑰或助記詞。官方客服不會要求提供私鑰,直接忽略此類請求。 Q4:專業性較高的擼毛人,使用各類工具時需要注意的安全事項 WTF Academy:由於擼毛用戶涉及到的工具種類繁多,所以在使用各類工具時應該加強安全防範,比如 1、錢包安全:確保私鑰或助記詞不被泄露,不要在不安全的地方保存私鑰,以及避免在未知或不信任的網站輸入私鑰等等。用戶應該將私鑰或助記詞備份存儲在安全的地方,如離線存儲設備或加密的雲存儲。此外,對於存有高價值資產的錢包用戶,使用多重簽名錢包可以增加安全性。 2、防範釣魚攻擊:用戶訪問任何相關的網站時,務必請仔細核對網址,避免點擊不明來源的鏈接。盡量從項目的官方網站或官方社交媒體獲取下載鏈接和信息,避免使用第三方來源。 3、軟體安全:用戶應該確保設備上安裝並更新防病毒軟體,防止惡意軟體和病毒攻擊。此外,還應該定期更新錢包和其他區塊鏈相關工具,確保使用最新的安全補丁。由於之前很多指紋瀏覽器和遠程桌面都出現安全漏洞,不建議使用。 通過以上措施,用戶可以進一步降低在使用各類工具時的安全風險。 OKX Web3錢包安全團隊:我們先舉個行業公開的案例。 比如,比特指紋瀏覽器提供了多賬號登錄、防止窗口關聯和模擬獨立電腦信息等功能,受到一些用戶的青睞,但2023年8月的一系列安全事件暴露了其潛在風險。具體來說,比特瀏覽器的”插件數據同步”功能允許用戶將插件數據上傳到雲端伺服器,並在新設備上通過輸入密碼快速遷移。雖然這一功能設計初衷是為了方便用戶,但它也存在安全隱患。黑客通過入侵伺服器,獲取了用戶的錢包數據。通過暴力破解手段,黑客從數據中破解了用戶的錢包密碼,獲取了錢包許可權。據伺服器記錄顯示,存儲著擴展緩存的伺服器在8月初(日誌記錄最晚至8月2日)被非法下載。這起事件提醒我們,在享受便利的同時,也要警惕潛在的安全風險。 所以,用戶確保使用的工具安全可靠至關重要,以避免黑客攻擊和數據泄露的風險。通常而言,用戶可以從以下維度,提高一定的安全性。 一、硬體錢包使用:1)定期更新固件,通過官方渠道購買。2)在安全的計算機上使用,避免在公共場所連接。 二、瀏覽器插件使用:)謹慎使用第三方插件和工具,盡量選擇信譽良好的產品,如OKX Web3錢包等。2)避免在不受信任的網站上使用錢包插件。 三、交易分析工具使用:1)使用可信平台進行交易和合約交互。2)仔細檢查合約地址和調用方法,避免誤操作。 四、計算機設備使用:1)定期更新計算機設備系統,更新軟體,修補安全漏洞。2)安全防病毒軟體,定期查殺計算機系統病毒。 Q5:與單一錢包相比,擼毛人如何更安全的管理多個錢包和賬戶? WTF Academy:由於擼毛用戶在鏈上交互頻率較高、且同時管理多個錢包和賬戶,所以需要特別注意資產安全。 一、使用硬體錢包:硬體錢包允許用戶在同一設備上管理多個錢包賬戶,每個賬戶的私鑰存儲在硬體設備中,相對來說,更能確保安全性。 二、分離安全策略&分離操作環境:首先是分離安全策略,用戶可以通過分離不同用途的錢包,從而達到分散風險的目的。比如,空投錢包、交易錢包、存儲錢包等等。再比如,熱錢包用於日常交易和擼毛操作,冷錢包用於長期存儲重要資產,這樣即使某個錢包受損,其他錢包也不會受影響。 其次就是分離操作環境,用戶可以使用不同設備(例如手機、平板、電腦等)管理不同錢包,防止一個設備的安全問題影響所有錢包。 三、密碼管理:用戶應該為每個錢包賬戶設置強密碼,避免使用相同或類似的密碼。或者使用密碼管理器來管理不同賬戶的密碼,確保每個密碼獨立且安全。 OKX Web3錢包安全團隊:對於擼毛用戶來說,更安全的管理多個錢包和賬戶並非易事,比如,可以從以下的維度來提高錢包安全係數: 1、分散風險:1)不要將所有資產放在一個錢包中,分散存儲以降低風險。根據資產類型和用途,選擇不同類型的錢包,如硬體錢包、軟體錢包、冷錢包和熱錢包等。2)使用多簽名錢包管理大額資產,提高安全性。 2、備份和恢復:1)定期備份助記詞和私鑰,保存在多個安全地點。2)使用硬體錢包進行冷存儲,避免私鑰泄露。 3、避免重複密碼:為每個錢包和賬戶分別設置強密碼,避免使用相同的密碼,以減少一個賬戶被破解導致其他賬戶同時受到威脅的風險。 4、啟用兩步驗證:在可能的情況下,為所有賬戶啟用兩步驗證(2FA),增加賬戶安全性。 5、自動化工具:減少使用自動化工具,特別是那些可能將你的信息存儲在雲端或第三方伺服器上的服務,以減少數據泄露的風險。 6、限制訪問許可權:只授權信任的人訪問你的錢包和賬戶,並且限制他們的操作許可權。 7、定期檢查錢包安全狀態:使用工具監控錢包交易,確保沒有異常交易發生,如果發現其中有錢包私鑰泄漏,立即更換所有錢包等等。 除了以上列舉的幾個維度外,還有很多,無論如何,用戶儘可能通過多個維度來確保錢包和資產安全,不要僅僅依賴單一的維度。 Q6:與擼毛人切實相關的交易滑點、MEV攻擊等,有哪些防護建議? WTF Academy:了解和防範交易滑點和MEV攻擊至關重要,這些風險直接影響交易成本和資產安全。 拿MEV攻擊來說,常見的類型有:1)搶跑,即礦工或交易機器人在用戶交易前搶先執行相同的交易,以獲取利潤。2)三明治攻擊,礦工在用戶交易前後分別插入買單和賣單,從而從價格波動中獲利。3)套利:利用區塊鏈上不同市場的價格差異進行套利。 用戶可以通過通過MEV保護工具,將交易提交給礦工的專用通道,避免公開在區塊鏈上廣播。或者降低交易公開時間,即減少交易在內存池中停留的時間,並使用較高的Gas費加快交易確認速度、以及避免集中在一個DEX平台進行大額交易等措施,來降低被攻擊的風險。 OKX Web3錢包安全團隊:交易滑點是指預期交易價格與實際執行價格之間的差異,通常在市場波動較大或流動性較低時發生。MEV攻擊是指攻擊者利用信息不對稱和交易特權獲取超額利潤。以下是針對這兩種場景的一些常用的防護措施: 1、設置滑點容差:由於交易上鏈存在一定延時,以及可能存在的MEV攻擊等,用戶在交易時需要提前設置好合理滑點容差,避免因市場波動或MEV攻擊導致交易失敗或資金損失。 2、分批交易:避免一次性大額交易,分批次進行交易,可以減少對市場價格的影響,降低滑點風險。 3、使用流動性較高的交易對:在進行交易時,選擇流動性充足的交易對,以減少滑點的發生。 4、使用防搶跑工具:重要的交易盡量不要走Memepool,可以通過專業的防搶跑工具,從而保護交易不被MEV機器人捕獲。 Q7:用戶是否可以使用監控工具或者專業方法,定期監控和檢測到錢包賬戶異常? WTF Academy:用戶可以使用多種監控工具和專業方法來定期監控和檢測錢包賬戶的異常活動。這些方法有助於提高賬戶的安全性,防止未授權的訪問和潛在的欺詐行為。以下是一些有效的監控和檢測方法: 1)第三方監控服務:當前很多平台可以為用戶提供錢包活動的詳細報告和實時警報。 2)使用安全插件:部分安全工具可以自動屏蔽掉部分釣魚網站。 3)錢包內置功能:OKX Web3等錢包可以自動檢測並識別部分釣魚網站和可疑合約,為用戶提供警告。 OKX Web3錢包安全團隊:目前很多公司或組織都提供了大量工具可用於錢包地址的監控檢測,我們根據行業公開信息整理了部分,比如: 1、區塊鏈監控工具:使用區塊鏈分析工具,監控錢包地址的異常交易,資金變化情況,設置地址交易通知等。 2、安全錢包:使用如OKX Web3錢包等專業錢包,可支持交易預執行,及時發現可疑交易;也可以及時檢測和阻止與惡意網站和合約交互。 3、報警系統(Alert Systems):可以根據用戶設置的條件發送交易或餘額變動的提醒,包括簡訊、郵件或App通知等。 4、OKLink代幣授權查詢:檢查錢包對DApps的授權,及時撤銷不需要的授權,防止授權被惡意合約濫用。 Q8:如何保護鏈上隱私安全? WTF Academy:區塊鏈公開透明的特性雖然帶來了很多好處,但也意味著用戶的交易活動和資產信息可能被濫用,鏈上隱私保護也變得愈發重要。但是,用戶可以通過創建並使用多個地址來保護個人身份隱私。不建議使用指紋瀏覽器,因為之前出現過很多安全漏洞。 OKX Web3錢包安全團隊:當前越來越多用戶,開始注意隱私安全保護,常見的方式有 1、多錢包管理:分散用戶資產,降低單一錢包被追蹤或攻擊的風險。 2、使用多簽錢包:需要多方簽名才能執行交易,增加了安全性和隱私保護。 3、冷錢包:將長期持有的資產存儲在硬體錢包或離線存儲中,防止在線攻擊。 4、不要公開地址:避免在社交媒體或公開平台上分享你的錢包地址,以防被他人跟蹤。 5、使用臨時電子郵件:參與空投或其他活動時,使用臨時電子郵件地址來保護個人信息不被暴露。 Q9:如果發生錢包賬戶被盜,用戶該如何應對?在幫助被盜用戶追回資產以及保護用戶資產方面,是否有做出努力或者建立機制 WTF Academy:我們針對釣魚攻擊和私鑰/助記詞泄漏分別展開。 首先,釣魚攻擊發生時,用戶授權給黑客的資產會被轉移到黑客錢包,這部分幾乎無法救援/追回;但用戶錢包的剩餘資產是相對安全的。RescuETH團隊建議用戶採取以下措施: 1)撤回給黑客的資產授權 2)聯繫安全公司,對被盜資產和黑客地址進行追蹤。 其次,私鑰/助記詞泄漏發生時,用戶錢包中所有有價值的資產會被轉移到黑客錢包,這部分幾乎無法救援/追回,但用戶錢包當前無法被轉移走的資產是可以被救援的,比如未解鎖的質押資產和未發…
安全特刊:OKX Web3 & WTF Academy,上一秒努力擼毛,下一秒被黑客「偷家」?
Previous: 貝萊德規模近200億美元的ETF成目前全球最大比特幣基金