投稿
  1. 首頁
  2. 快訊
  3. OKX Web3 & OneKey:給設備安全加點「Buff」

OKX Web3 & OneKey:給設備安全加點「Buff」

WEEX 唯客博客, 作者:OKX Web3   引言  OKX Web3錢包特別策劃了《安全特刊》欄目,針對不同類型的鏈上安全問題進行專期解答。通過最發生在用戶身邊最真實案例,與安全領域專家人士或者機構共同聯合,由不同視角進行雙重分享與解答,從而由淺入深梳理並歸納安全交易規則,旨在加強用戶安全教育的同時,幫助用戶從自身開始學會保護私鑰以及錢包資產安全。 在Web3世界衝浪,2筆錢不能省 一筆是鏈上交Gas;一筆是鏈下買裝備 但無論鏈上還是鏈下,安全同樣重要~ 本期是安全特刊第04期,特邀加密硬體錢包商OneKey安全團隊與OKX Web3錢包安全團隊,從實操指南的角度出發,教你給設備安全加點「Buff」。 OneKey安全團隊:OneKey成立於 19 年,是一家專註安全的開源的硬體錢包與軟體錢包公司,並設有安全攻防實驗室,已獲得Coinbase、Ribbit Capital、Dragonfly等一線機構支持。當前,OneKey硬體錢包,正成為亞洲最暢銷的硬體錢包品牌之一。 OKX Web3錢包安全團隊:大家好,非常開心可以進行本次分享。OKX Web3錢包安全團隊主要負責OKX在Web3領域內各類安全能力的建設,比如錢包的安全能力建設,智能合約安全審計,鏈上項目安全監控等,為用戶提供產品安全、資金安全、交易安全等多重防護服務,為維護整個區塊鏈安全生態貢獻力量。   Q1:能否分享幾個用戶真實的設備風險案例 OneKey安全團隊:Web3用戶涉及的設備風險案例具有多樣性特徵,我們舉例幾個比較常見的案例。 案例一,用戶Alice離開自己的設備后,在不知情的情況下被身邊人物理入侵了設備,並盜走了資產。這在計算機安全領域常常被稱為「邪惡女僕攻擊(Evil maid attack)」,也是用戶遭遇的最常見設備風險類型之一。 從「擼毛工作室」的同事、打掃房間的阿姨甚至是到親密無間的枕邊人,都有可能是見財起意的攻擊者。此前我們曾經有協助用戶追查硬體錢包內資產被盜情況,用戶報案后,申報交易所獲取了攻擊者所使用的交易所賬戶 KYC,最終發現竟是身邊人所為,所謂「千防萬防,家賊難防」。 案例二,用戶Bob被物理脅迫,不得已交出自己的有資產控制許可權的設備,這在加密圈內有個哭笑不得的名字——「五美元扳手攻擊($5 Wrench Attack)」。 近年來隨著 Crypto 財富效應的出圈,針對高凈值人群的綁架勒索情況似乎愈演愈烈,尤其是在犯罪率偏高的國家。在 2023 年初,就有媒體報道一則線下交易虛擬貨幣遭搶劫的消息。受害者系參與線下數字貨幣投資者聚會,飯後在車內被控制,不法分子強行利用受害人面部識別解鎖手機與錢包軟體,將錢包內加密貨幣兌換為410萬枚 USDT 后,旋即轉移資金並離開。近期在推特上,也熱傳一位加密礦業 OG 表示自己在遭遇了國際犯罪集團的搶劫,被勒索了畢生積累的大部分加密資產。 OKX Web3錢包安全團隊:今天這個主題很好,此前我們聊了私鑰安全、MEME交易安全、以及擼毛安全等很多鏈上安全的主題,實際上設備安全也非常重要,我們分享一些比較經典的案例。 案例一:被篡改過的硬體錢包 用戶A從未經授權的平台購買了一個硬體錢包,未經驗證便開始使用。實際上該錢包固件遭受篡改,已經預先生成過多套助記詞。最終用戶存放於該硬體錢包的加密資產被黑客完全控制,損失慘重。 預防措施:1)用戶盡量從官方或可信渠道購買硬體錢包。2)使用錢包前,進行官方的完整驗證流程以確保固件安全。 案例二:釣魚攻擊 用戶B收到來自「錢包安全中心」的郵件說明用戶錢包存在安全問題並要求用戶輸入錢包的恢復短語以進行安全更新。實際上這是一場精心設計的釣魚攻擊,用戶最終損失全部資產。 預防措施:1)用戶永遠不要在任何未經驗證的網站上輸入私鑰或恢復短語。2)使用硬體錢包的屏幕來驗證所有交易和操作信息。 案例三:軟體安全 用戶C從未經驗證的渠道下載了惡意軟體,當用戶進行錢包操作時,因軟體存在惡意邏輯導致資產損失。 預防措施:1)用戶從官方渠道下載軟體並定期更新相關軟體和固件。2)使用殺毒軟體和防火牆保護你的設備。   Q2:用戶常用的物理設備和設施以及風險類型 OneKey安全團隊:涉及用戶資產安全的設備的話,通常包括用戶的手機、電腦、硬體錢包、USB 儲存設備以及網路通訊設備(如 WIFI)。 除了我們前面提到了離開設備時會遇到的「邪惡女僕攻擊(Evil Maid Attack)」和,以及暴力犯罪「 5 美元扳手攻擊($5 Wrench Attack)」,以下我們再補充還需特別注意的幾個方面。 一、社會工程學與釣魚攻擊 社會工程學與釣魚攻擊是目前非常普遍且有效的攻擊手段,攻擊者利用人性的弱點來誘騙用戶執行危險操作。例如,惡意釣魚鏈接和附件,攻擊者可能會發送含有惡意鏈接的電子郵件、簡訊或社交媒體消息,偽裝成可信來源,如銀行通知或社交媒體平台的提醒。一旦用戶點擊這些鏈接或下載附件,惡意軟體就會植入設備中,導致設備被遠程入侵。 又例如,冒充技術支持人員,攻擊者可能假裝成技術支持人員,通過電話或電子郵件聯繫用戶,聲稱他們的設備存在問題,需要立即採取行動。他們可能會誘導用戶提供設備遠程訪問許可權或泄露敏感信息。目前推特上只要你提到了加密貨幣相關的術語,很快就會有機器人大軍過來冒充技術支持「服務」你。 二、供應鏈攻擊 供應鏈攻擊是指攻擊者在設備的生產或運輸過程中進行惡意植入。具體表現為以下三點。 第1個是硬體篡改。攻擊者可能在硬體錢包或 USB 儲存設備的製造過程中植入惡意軟體。例如,如果用戶從不可靠的來源購買硬體設備,可能會收到已被篡改的設備,這些設備可能被預裝了能夠竊取信息或允許遠程訪問的惡意軟體。 第2個是軟體篡改。攻擊者可能在設備的軟體供應鏈中進行攻擊,篡改軟體或固件更新包。當用戶下載和安裝這些更新時,設備可能被植入後門程序或其他類型的惡意代碼。 第3個是物流攻擊:在設備運輸過程中,攻擊者可能會攔截並篡改設備。例如,在快遞途中,硬體設備可能被替換或篡改,以便於攻擊者實施後續攻擊。 三、中間人攻擊 中間人攻擊(Man-in-the-Middle Attack, MITM)是指攻擊者在兩方通信中進行攔截和篡改的數據傳輸。 比如,當用戶使用未加密的網路通訊時,攻擊者可以輕鬆截取並篡改傳輸中的數據。也就是在使用未加密的 HTTP 網站時,攻擊者可以截取並修改用戶發送和接收的數據。 再比如公共 WIF,在使用公共 WIFI 時,用戶的數據傳輸更容易被攻擊者攔截。甚至攻擊者可以設置惡意的公共 WIFI 熱點,一旦用戶連接,攻擊者就可以監視並竊取用戶的敏感信息,如登錄憑證和銀行交易記錄。自家的 WIFI 在極端情況下也有可能會被入侵安裝惡意軟體。 四、第三方內部攻擊和軟體漏洞 第三方內部攻擊和軟體漏洞,對於用戶來說是難以控制的風險,但對物理設備安全有重大影響的因素。 最常見的就是軟硬體安全漏洞。這些漏洞可能被攻擊者利用,進行遠程攻擊或者物理旁路攻擊。例如,某些插件或應用程序可能存在未被發現的漏洞,攻擊者可以通過這些漏洞獲取設備的控制權。這個通常保持安全更新就能解決。同時硬體要考慮使用最新的加密晶元。 而軟體方的內部人員活動:軟體開發者或服務提供者的內部人員可能濫用其訪問許可權,進行惡意活動,竊取用戶數據或在軟體中植入惡意代碼。或者是由於外部因素導致了惡意活動。 例如,此前曾有「擼毛工作室」因為使用某款多開指紋瀏覽器導致資產被盜的案例,可能就是軟體或插件的內部作惡導致的。這表明即便是合法軟體,如果其內部控制不嚴,也可能對用戶的資產安全構成威脅。 又例如,Ledger 之前有一次引起恐慌的攻擊——很多 dapp 在用的 Connect Kit 出問題了。攻擊的原因是一名前員工成為網路釣魚攻擊的受害者,攻擊者在 Connect Kit 的 GitHub 庫中插入了惡意代碼。還好 Ledger 的安全團隊在被告知問題后的40分鐘內部署了修復措施,Tether 也及時凍結了襲擊者的 USDT 資金。 OKX Web3錢包安全團隊:我們歸納一些用戶常用的物理設備,並對其可能產生的潛在風險進行展開。 當前用戶常用的物理設備主要包括:1)計算機(台式機和筆記本),用於訪問去中心化應用(dApps)、管理加密貨幣錢包、參與區塊鏈網路等。2)智能手機和平板電腦,用於移動訪問dApps、管理加密錢包和進行交易。3)硬體錢包,專用設備(如Ledger、Trezor),用於安全存儲加密貨幣私鑰,防止被黑客攻擊。4)網路基礎設施,路由器、交換機、防火牆等設備,確保網路連接的穩定和安全。5)節點設備,運行區塊鏈節點的軟體設備(可以是個人計算機或專用伺服器),參與網路共識和數據驗證。6)冷存儲設備,用於離線存儲私鑰的設備,例如USB驅動器、紙錢包等,防止在線攻擊。 當前物理設備,可能產生的潛在風險主要有以下幾種 1)物理設備風險 設備丟失或損壞:硬體錢包或計算機等設備如果丟失或損壞,可能導致私鑰丟失,從而無法訪問加密資產。 物理入侵:不法分子通過物理手段入侵設備,直接獲取私鑰或敏感信息。 2)網路安全風險 惡意軟體和病毒:通過惡意軟體攻擊用戶設備,竊取私鑰或敏感信息。 釣魚攻擊:偽裝成合法服務誘騙用戶提供私鑰或登錄憑證。 中間人攻擊(MITM):攻擊者攔截和篡改用戶與區塊鏈網路之間的通信。 3)用戶行為風險 社工攻擊:攻擊者通過社會工程手段誘騙用戶泄露私鑰或其他敏感信息。 操作失誤:用戶在交易或管理資產時操作失誤,可能導致資產丟失。 4)技術風險 軟體漏洞:dApps、加密錢包或區塊鏈協議中的漏洞可能被黑客利用。 智能合約漏洞:智能合約代碼中的漏洞可能導致資金被盜。 5)監管和法律風險 法律合規性:不同國家和地區對加密貨幣和區塊鏈技術的監管政策不同,可能影響用戶的資產安全和交易自由。 監管變化:政策的突然變化可能導致資產凍結或交易受限。   Q3:硬體錢包是私鑰安全的必選項嗎?私鑰安全防護措施類型有哪些 OneKey安全團隊:當然,硬體錢包雖然不是私鑰安全的唯一選擇,但它確實是增強私鑰安全的一種非常有效的方法。其最大的優勢在於,它能將私鑰從生成、記錄到日常存儲都與互聯網隔離開來,並在執行任何交易時要求用戶在物理設備上直接驗證和確認交易細節。這一特性有效地阻斷了私鑰被惡意軟體或黑客攻擊所竊取的風險。 我們先來說說硬體錢包的優勢: 1)物理隔離:硬體錢包將私鑰存儲在專用設備中,與聯網的計算機和移動設備完全隔離。這意味著,即使用戶的計算機或手機被惡意軟體感染,私鑰依然是安全的,因為它們從未接觸到互聯網。 2)交易驗證:在使用硬體錢包進行交易時,用戶必須在設備上直接確認和驗證交易細節。這一過程使得攻擊者即使獲得了用戶的在線賬戶信息,也無法未經授權地轉移資產。 3)安全晶元:許多硬體錢包使用專用的安全晶元來存儲私鑰。這些晶元經過嚴格的安全認證,如 CC EAL6+(例如 OneKey Pro 和 Ledger Stax 等新款硬體錢包採用的標準),能夠有效防護物理旁路攻擊。安全晶元不僅防止了未經授權的訪問,還能抵禦多種高級攻擊手段,如電磁分析和電力分析攻擊。 除了硬體錢包外,還有多種方法可以增強私鑰的安全性,用戶可以根據自身需求選擇適合的方案: 1)紙錢包:紙錢包是將私鑰和公鑰列印在紙上的一種離線儲存方式。雖然這種方法簡單且完全離線,但需要注意防火、防潮、防丟失等物理安全問題。有條件最好買一個金屬刻板進行物理記錄(市面上選擇很多,例如 OneKey 的 KeyTag)。 2)手機冷錢包:冷錢包是指完全離線存儲的私鑰或加密資產,比如離線的手機或者電腦。與硬體錢包類似,冷錢包也能有效避免網路攻擊,但用戶需要自己配置和管理這些設備。 3)分片加密存儲:分片加密存儲是一種將私鑰分割成多個部分,並分別存儲在不同位置的方法。即使攻擊者獲取了一部分私鑰,也無法進行完整的恢復。這種方法通過增加攻擊難度來提高安全性,但用戶需要管理好各個私鑰分片,避免因部分分片丟失而無法恢復私鑰。 4)多重簽名(Multisig):多重簽名技術要求多個私鑰共同簽署交易,才能完成轉賬操作。這種方法通過增加簽名者數量來提高安全性,防止單個私鑰被盜而導致資產被轉移。例如,可以設置一個三方簽名的多簽賬戶,只有當至少兩個私鑰同意時,交易才能被執行。這不僅提高了安全性,還可以實現更靈活的管理和控制。 5)密碼學創新技術:現在隨著技術的發展,一些新興的密碼學技術也在不斷應用於私鑰保護中。例如,門限簽名(Threshold Signature Scheme, TSS)和多方計算(Multi-Party Computation, MPC)等技術,通過分散式計算和協作方式,進一步提高了私鑰管理的安全性和可靠性。這裡一般是企業會用得比較多,個人使用極少。 OKX Web3錢包安全團隊:硬體錢包通過將私鑰存儲在一個獨立的、離線的設備上,防止私鑰被網路攻擊、惡意軟體或其他在線威脅所竊取。相比於軟體錢包和其他形式的存儲,硬體錢包提供了更高的安全保障,特別適用於需要保護大量加密資產的用戶。對於私鑰安全防護措施大概可以從以下角度出發: 1)使用安全的存儲設備:選擇可信賴的硬體錢包或者其他冷存儲設備,降低私鑰被網路攻擊盜取的風險。 2)建立完善的安全意識教育:加強對私鑰安全的重視和保護意識,對任何需要輸入私鑰的網頁或程序保持警惕,在必須複製粘貼私鑰時,可以只複製部分,留幾位字元手動輸入,防止剪貼板攻擊。 3)助記詞和私鑰的安全存儲:避免拍照、截圖或在線記錄助記詞,應盡量寫在紙上並存放在安全的地方。 4)私鑰分離存儲:將私鑰分成多個部分,分別存儲在不同的地方, 減少單點故障的風險。   Q4:當前身份驗證和訪問控制方面存在的漏洞 OneKey安全團隊:區塊鏈並不像 Web2 需要去識別儲存我們的身份信息,它是通過密碼學來實現資產的自託管和訪問。這意味著,私鑰就是一切。用戶訪問控制加密資產的最大風險,一般都來自私鑰的存儲不當——畢竟用戶私鑰是訪問加密貨幣資產的唯一憑證。如果私鑰丟失、被盜暴露甚至是遭遇自然災害,就很可能永久丟失資產。 這也是我們 OneKey等品牌存在的意義,為用戶提供安全的私鑰自託管方案。不少用戶往往在管理私鑰時缺乏安全意識,使用不安全的存儲方式(如將私鑰保存在在線文檔、截圖中)。最好的方式是採用離線生成和儲存的方式,除了手動擲骰子和手抄之外,也可以考慮使用此前提到的硬體錢包配合助記詞金屬板銘刻。 當然,也有不少用戶使用交易所賬戶直接存儲資產,這時候身份驗證和訪問控制就比較類似 Web2 了。 這將關乎用戶的密碼安全意識。弱密碼和重複密碼的使用是一個常見的問題。用戶傾向於使用簡單、易猜的密碼或在多個平台(比如驗證用郵箱)上重複使用相同的密碼,增加了被暴力破解或數據泄露后受攻擊的風險。 儘管在這其中多重身份驗證(如簡訊驗證碼、Google Authenticator)可以增加安全性,但如果實施不當或存在漏洞(如簡訊劫持),也會成為攻擊目標。比如簡訊劫持SIM 交換攻擊——攻擊者通過欺騙或賄賂移動運營商的員工,將受害者的電話號碼轉移到攻擊者控制的SIM卡上,從而接收所有發往受害者手機的簡訊驗證碼。此前 Vitalik 就曾經遭遇「SIM SWAP」攻擊,攻擊者使用其推特發出釣魚信息導致多人資產受損。此外,多重身份驗證器如「Google Authenticator」的備份碼儲存不當也有可能會被攻擊者獲取並用於攻擊賬戶。 OKX Web3錢包安全團隊:這是非常值得關注的板塊,當前來看需要注意的是 1)弱密碼和密碼重用:用戶經常使用簡單、容易猜測的密碼,或在多個服務上重複使用相同的密碼,增加了密碼被暴力破解或通過其他泄露渠道獲取的風險。 2)多因素身份驗證(MFA)不足:Web2中多因素身份驗證可以顯著提高安全性,但web3錢包中一旦私鑰泄漏就意味著攻擊者掌握了賬戶的全部操作許可權,難以建立有效的MFA機制。 3)釣魚攻擊和社會工程學:攻擊者通過釣魚郵件、假冒網站等手段誘騙用戶泄露敏感信息。當前針對web3的釣魚網站呈現集團化、服務化的特點,如果沒有足夠的安全意識很容易上當受騙。 4)API密鑰管理不當:開發者可能將API密鑰硬編碼在客戶端應用中,或者未對其進行適當的許可權控制和過期管理,導緻密鑰被泄露后可以被濫用。   Q5:用戶應該如何預防AI換臉等新興的虛擬技術所帶來的風險? OneKey安全團隊:在 2015 年的 BlackHat 大會上,全球黑客一致認為人臉識別技術是最不可靠的身份認證方法。近十年後,在 AI 技術進步下,我們已經有近乎完美的替換人臉的「魔法」,果然普通的視覺人臉識別已經無法提供安全的保障。於此,更多的是識別方需要升級演算法技術識別和阻止深度偽造內容。 對於 AI 換臉這些風險,用戶端除了保護好自己的隱私生物特徵數據之外,能做的確實不多。以下有一些小的建議: 1)謹慎使用人臉識別應用 用戶在選擇使用人臉識別應用時,應選擇那些有良好安全記錄和隱私政策的應用程序。避免使用未知來源或安全性存疑的應用,並定期更新軟體以確保使用最新的安全補丁。此前國內有很多小貸公司 App 就違規使用用戶的人臉數據倒賣,泄露用戶人臉數據。 2)了解多因素認證(MFA) 單一的生物特徵認證存在較大風險,因此結合多種認證方式能夠顯著提升安全性。多因素認證(MFA)結合了多種驗證方法,例如指紋、虹膜掃描、聲紋識別,甚至是DNA數據。對於識別方而言,這種組合認證方式能夠在一個認證方法被攻破時,提供額外的安全層。對於用戶來說,保護自己這方面的隱私數據同樣很重要。 3)保持懷疑謹防詐騙 很顯然,人臉和聲音都被可以被 AI 模仿的情況下,隔著網路冒充一個人變得簡單了很多。用戶應特別警惕涉及敏感信息或資金轉移的請求,採取雙重驗證,通過電話或面對面確認對方身份。保持警惕,不輕信緊急要求,識別假冒高管、熟人、客服等常見詐騙手段。先如今假冒名人的也很多,參與一些項目也要小心「假站台」。 OKX Web3錢包安全團隊:一般來說,新興的虛擬技術帶來新的風險,而新的風險事實上也會帶來新的防禦手法研究,新的防禦手法研究則會帶來新的風險控制產品。 一、AI偽造風險 在AI換臉範疇,已經有許多AI換臉檢測產品的出現,當前工業界已經提出了幾種方法來自動檢測虛假人物視頻,側重於檢測數字內容中因使用deepfake而產生的獨特元素(指紋),用戶也可以通過仔細觀察面部特徵,邊緣處理,音畫不同步等多種方式識別出AI換臉,此外,微軟也推出了一系列工具以教育用戶對於deepfack的識別能力,用戶可以進行學習並加強個人的識別能力 二、數據與隱私風險 大模型在各種領域的應用也帶來了用戶的數據與隱私風險,在平時在對話機器人的使用中,用戶盡量要關注個人隱私信息的保護,盡量避免私鑰,key,密碼等關鍵信息的直接輸入,盡量通過替代,混淆等方法隱藏自己的關鍵信息,對於開發者而言,Github提供了一系列友好的檢測,如果提交的代碼中存在OpenAI apikey或者其他有風險的隱私泄露,相應的Push則會報錯。 三、內容生成濫用風險 在用戶日常工作中,可能會遇到很多大模型生成內容的結果,這些內容雖然有效,但是內容生成的濫用也帶來了虛假信息,知識版權的問題,現在也出現了一些產品,用於檢測文本內容是否為大模型生成,可以降低一些…

Previous:

Next: