本期是安全特刊第03期,特邀行业知名安全专家0xAA与OKX Web3钱包安全团队,从实操指南的角度出发,来讲解「撸毛人」常见的安全风险和防范措施。上篇链接:https://followin.io/feed/10718303
Q4:专业性较高的撸毛人,使用各类工具时需要注意的安全事项
WTF Academy:由于撸毛用户涉及到的工具种类繁多,所以在使用各类工具时应该加强安全防范,比如
1、钱包安全:确保私钥或助记词不被泄露,不要在不安全的地方保存私钥,以及避免在未知或不信任的网站输入私钥等等。用户应该将私钥或助记词备份存储在安全的地方,如离线存储设备或加密的云存储。此外,对于存有高价值资产的钱包用户,使用多重签名钱包可以增加安全性。
2、防范钓鱼攻击:用户访问任何相关的网站时,务必请仔细核对网址,避免点击不明来源的链接。尽量从项目的官方网站或官方社交媒体获取下载链接和信息,避免使用第三方来源。
3、软件安全:用户应该确保设备上安装并更新防病毒软件,防止恶意软件和病毒攻击。此外,还应该定期更新钱包和其他区块链相关工具,确保使用最新的安全补丁。由于之前很多指纹浏览器和远程桌面都出现安全漏洞,不建议使用。
通过以上措施,用户可以进一步降低在使用各类工具时的安全风险。
OKX Web3钱包安全团队:我们先举个行业公开的案例。
比如,比特指纹浏览器提供了多账号登录、防止窗口关联和模拟独立电脑信息等功能,受到一些用户的青睐,但2023年8月的一系列安全事件暴露了其潜在风险。具体来说,比特浏览器的"插件数据同步"功能允许用户将插件数据上传到云端服务器,并在新设备上通过输入密码快速迁移。虽然这一功能设计初衷是为了方便用户,但它也存在安全隐患。黑客通过入侵服务器,获取了用户的钱包数据。通过暴力破解手段,黑客从数据中破解了用户的钱包密码,获取了钱包权限。据服务器记录显示,存储着扩展缓存的服务器在8月初(日志记录最晚至8月2日)被非法下载。这起事件提醒我们,在享受便利的同时,也要警惕潜在的安全风险。
所以,用户确保使用的工具安全可靠至关重要,以避免黑客攻击和数据泄露的风险。通常而言,用户可以从以下维度,提高一定的安全性。
一、硬件钱包使用:1)定期更新固件,通过官方渠道购买。2)在安全的计算机上使用,避免在公共场所连接。
二、浏览器插件使用:)谨慎使用第三方插件和工具,尽量选择信誉良好的产品,如OKX Web3钱包等。2)避免在不受信任的网站上使用钱包插件。
三、交易分析工具使用:1)使用可信平台进行交易和合约交互。2)仔细检查合约地址和调用方法,避免误操作。
四、计算机设备使用:1)定期更新计算机设备系统,更新软件,修补安全漏洞。2)安全防病毒软件,定期查杀计算机系统病毒。
Q5:与单一钱包相比,撸毛人如何更安全的管理多个钱包和账户?
WTF Academy:由于撸毛用户在链上交互频率较高、且同时管理多个钱包和账户,所以需要特别注意资产安全。
一、使用硬件钱包:硬件钱包允许用户在同一设备上管理多个钱包账户,每个账户的私钥存储在硬件设备中,相对来说,更能确保安全性。
二、分离安全策略&分离操作环境:首先是分离安全策略,用户可以通过分离不同用途的钱包,从而达到分散风险的目的。比如,空投钱包、交易钱包、存储钱包等等。再比如,热钱包用于日常交易和撸毛操作,冷钱包用于长期存储重要资产,这样即使某个钱包受损,其他钱包也不会受影响。
其次就是分离操作环境,用户可以使用不同设备(例如手机、平板、电脑等)管理不同钱包,防止一个设备的安全问题影响所有钱包。
三、密码管理:用户应该为每个钱包账户设置强密码,避免使用相同或类似的密码。或者使用密码管理器来管理不同账户的密码,确保每个密码独立且安全。
OKX Web3钱包安全团队:对于撸毛用户来说,更安全的管理多个钱包和账户并非易事,比如,可以从以下的维度来提高钱包安全系数:
1、分散风险:1)不要将所有资产放在一个钱包中,分散存储以降低风险。根据资产类型和用途,选择不同类型的钱包,如硬件钱包、软件钱包、冷钱包和热钱包等。2)使用多签名钱包管理大额资产,提高安全性。
2、备份和恢复:1)定期备份助记词和私钥,保存在多个安全地点。2)使用硬件钱包进行冷存储,避免私钥泄露。
3、避免重复密码:为每个钱包和账户分别设置强密码,避免使用相同的密码,以减少一个账户被破解导致其他账户同时受到威胁的风险。
4、启用两步验证:在可能的情况下,为所有账户启用两步验证(2FA),增加账户安全性。
5、自动化工具:减少使用自动化工具,特别是那些可能将你的信息存储在云端或第三方服务器上的服务,以减少数据泄露的风险。
6、限制访问权限:只授权信任的人访问你的钱包和账户,并且限制他们的操作权限。
7、定期检查钱包安全状态:使用工具监控钱包交易,确保没有异常交易发生,如果发现其中有钱包私钥泄漏,立即更换所有钱包等等。
除了以上列举的几个维度外,还有很多,无论如何,用户尽可能通过多个维度来确保钱包和资产安全,不要仅仅依赖单一的维度。
Q6:与撸毛人切实相关的交易滑点、MEV攻击等,有哪些防护建议?
WTF Academy:了解和防范交易滑点和MEV攻击至关重要,这些风险直接影响交易成本和资产安全。
拿MEV攻击来说,常见的类型有:1)抢跑,即矿工或交易机器人在用户交易前抢先执行相同的交易,以获取利润。2)三明治攻击,矿工在用户交易前后分别插入买单和卖单,从而从价格波动中获利。3)套利:利用区块链上不同市场的价格差异进行套利。
用户可以通过通过MEV保护工具,将交易提交给矿工的专用通道,避免公开在区块链上广播。或者降低交易公开时间,即减少交易在内存池中停留的时间,并使用较高的Gas费加快交易确认速度、以及避免集中在一个DEX平台进行大额交易等措施,来降低被攻击的风险。
OKX Web3钱包安全团队:交易滑点是指预期交易价格与实际执行价格之间的差异,通常在市场波动较大或流动性较低时发生。MEV攻击是指攻击者利用信息不对称和交易特权获取超额利润。以下是针对这两种场景的一些常用的防护措施:
1、设置滑点容差:由于交易上链存在一定延时,以及可能存在的MEV攻击等,用户在交易时需要提前设置好合理滑点容差,避免因市场波动或MEV攻击导致交易失败或资金损失。
2、分批交易:避免一次性大额交易,分批次进行交易,可以减少对市场价格的影响,降低滑点风险。
3、使用流动性较高的交易对:在进行交易时,选择流动性充足的交易对,以减少滑点的发生。
4、使用防抢跑工具:重要的交易尽量不要走Memepool,可以通过专业的防抢跑工具,从而保护交易不被MEV机器人捕获。
Q7:用户是否可以使用监控工具或者专业方法,定期监控和检测到钱包账户异常?
WTF Academy:用户可以使用多种监控工具和专业方法来定期监控和检测钱包账户的异常活动。这些方法有助于提高账户的安全性,防止未授权的访问和潜在的欺诈行为。以下是一些有效的监控和检测方法:
1)第三方监控服务:当前很多平台可以为用户提供钱包活动的详细报告和实时警报。
2)使用安全插件:部分安全工具可以自动屏蔽掉部分钓鱼网站。
3)钱包内置功能:OKX Web3等钱包可以自动检测并识别部分钓鱼网站和可疑合约,为用户提供警告。
OKX Web3钱包安全团队:目前很多公司或组织都提供了大量工具可用于钱包地址的监控检测,我们根据行业公开信息整理了部分,比如:
1、区块链监控工具:使用区块链分析工具,监控钱包地址的异常交易,资金变化情况,设置地址交易通知等。
2、安全钱包:使用如OKX Web3钱包等专业钱包,可支持交易预执行,及时发现可疑交易;也可以及时检测和阻止与恶意网站和合约交互。
3、报警系统(Alert Systems):可以根据用户设置的条件发送交易或余额变动的提醒,包括短信、邮件或App通知等
4、OKLink代币授权查询:检查钱包对DApps的授权,及时撤销不需要的授权,防止授权被恶意合约滥用。
Q8:如何保护链上隐私安全?
WTF Academy:区块链公开透明的特性虽然带来了很多好处,但也意味着用户的交易活动和资产信息可能被滥用,链上隐私保护也变得愈发重要。但是,用户可以通过创建并使用多个地址来保护个人身份隐私。不建议使用指纹浏览器,因为之前出现过很多安全漏洞。
OKX Web3钱包安全团队:当前越来越多用户,开始注意隐私安全保护,常见的方式有
1、多钱包管理:分散用户资产,降低单一钱包被追踪或攻击的风险。
2、使用多签钱包:需要多方签名才能执行交易,增加了安全性和隐私保护。
3、冷钱包:将长期持有的资产存储在硬件钱包或离线存储中,防止在线攻击。
4、不要公开地址:避免在社交媒体或公开平台上分享你的钱包地址,以防被他人跟踪。
5、使用临时电子邮件:参与空投或其他活动时,使用临时电子邮件地址来保护个人信息不被暴露。
Q9:如果发生钱包账户被盗,用户该如何应对?在帮助被盗用户追回资产以及保护用户资产方面,是否有做出努力或者建立机制
WTF Academy:我们针对钓鱼攻击和私钥/助记词泄漏分别展开。
首先,钓鱼攻击发生时,用户授权给黑客的资产会被转移到黑客钱包,这部分几乎无法救援/追回;但用户钱包的剩余资产是相对安全的。RescuETH团队建议用户采取以下措施:
1)撤回给黑客的资产授权
2)联系安全公司,对被盗资产和黑客地址进行追踪。
其次,私钥/助记词泄漏发生时,用户钱包中所有有价值的资产会被转移到黑客钱包,这部分几乎无法救援/追回,但用户钱包当前无法被转移走的资产是可以被救援的,比如未解锁的质押资产和未发放的空投,这也是我们的主要救援目标。RescuETH团队建议用户采取以下措施:
1)第一时间检查钱包中是否有未被黑客转移的资产,如果有,马上转移到安全钱包。有时黑客会漏掉一些冷门链的资产。
2)如果钱包有未解锁的质押资产和未发放的空投,可以联系专业团队进行救援。
3)如果怀疑安装过恶意软件,尽快对电脑进行杀毒,删除恶意软件。如果有必要,可以重装系统。
当前,我们在救援被盗用户的资产方面做过很多尝试。
第一,我们是第一个针对被盗钱包的资产进行大规模救援的团队。在2023年3月Arbitrum的空投活动中,我从近20位粉丝那里收集了40多个泄漏钱包的私钥,与黑客抢跑 $ARB 空投。最终成功救援了价值 40,000+ 美元的 ARB 代币,成功率 80%。
第二,当用户钱包被盗时,有经济价值的资产会被黑客转走,而没有经济价值但对用户有纪念价值的NFT或ENS还留在钱包中。但由于钱包被黑客监控,转入的Gas都会被马上转走,用户无法转移这部分资产。针对这点,我们做了一个自助救援应用: RescuETH App,它基于Flashbots bundle的MEV技术,可以将转入Gas和转出NFT/ENS的交易打包,防止黑客监听脚本转出Gas,从而成功救援资产。目前RescuETH App正在内测中,预计6月开始公测。
第三,针对用户被盗钱包中可以救援的部分资产(未解锁的质押和未发放的空投),我们提供有偿的可定制的白帽救援服务。目前,我们的白帽团队由近20位安全/MEV专家组成,已经在ETH,Solana,Cosmos等链的被盗钱包中救出超过 300 万人民币的资产。
OKX Web3钱包安全团队:我们从2个视角来展开:用户措施和OKX Web3钱包安全机制
一、用户措施
用户一旦发现自己的钱包被盗,建议紧急采取以下措施:
1、紧急应对措施
1)立即转移资金:如果钱包中还有资金,需立即将其转移至安全的新地址。
2)撤销授权:立刻通过管理工具撤销所有授权,防止进一步损失。
3)追踪资金流向:及时追踪被盗资金的流向,整理被盗过程的详细信息,以便寻求外部帮助。
2、社区和项目方支持
1)寻求项目方和社区帮助:向项目方和社区报告事件,有时项目方可以冻结或追回被盗资产。例如,USDC具有黑名单机制,可以阻断资金转移。
2)加入区块链安全组织:加入相关的区块链安全组织或群体,利用集体力量解决问题。
3)联系钱包客服支持:及时联系钱包的客户支持团队,寻求专业帮助和指导。
二、OKX Web3钱包安全机制
OKX Web3钱包高度重视用户资产安全,并在保护用户资产方面持续投入,提供多重安全机制以确保用户的数字资产安全。
1)黑地址标签库:OKX Web3钱包建立了丰富的黑地址标签库,防止用户与已知的恶意地址进行交互。该标签库持续更新,以应对不断变化的安全威胁,确保用户资产的安全。
2)安全插件:OKX Web3钱包提供内置的防钓鱼保护功能,帮助用户识别和阻止潜在的恶意链接和交易请求,增强用户账户的安全性。
3)24小时在线支持:OKX Web3钱包为客户提供24小时在线支持,及时跟进客户资产被盗被骗事件,确保用户能够迅速获得帮助和指导。
4)用户教育:OKX Web3钱包 定期发布安全提示和教育材料,帮助用户提高安全意识,了解如何防范常见的安全风险,保护其资产。
Q10:能否分享一下前沿的安全技术,比如是否可以利用AI增强安全防护?
WTF Academy:区块链和Web3领域的安全性是一个不断发展的领域,各类前沿安全技术和方法不断涌现,当前比较热门的有:
1)智能合约审计:利用AI和机器学习自动化智能合约的安全审计,可以检测智能合约中的漏洞和潜在风险,提供比传统手动审计更快、更全面的分析。
2)异常行为检测:使用机器学习算法分析链上交易和行为模式,检测异常活动和潜在的安全威胁。AI可以识别常见攻击模式(如MEV攻击、钓鱼攻击)和异常交易行为,提供实时预警。
3)欺诈检测:AI可以分析交易历史和用户行为,识别和标记可能的欺诈活动。
OKX Web3钱包安全团队:目前AI在Web3领域已经有了很多落地的应用,以下是一些使用AI来增加Web3安全防护的场景:
第一,异常检测与入侵检测:利用AI和机器学习模型,分析用户的行为模式,检测异常活动。例如,可以使用深度学习模型来分析交易行为和钱包活动,识别潜在的恶意行为或异常活动。
第二,钓鱼网站识别:AI可以通过分析网页内容和链接特征,检测并阻止钓鱼网站,保护用户不受网络钓鱼攻击的威胁。
第三,恶意软件检测:AI可以通过分析文件的行为和特征来检测新型和未知的恶意软件,防止用户下载和执行恶意程序。
第四,自动化威胁响应:AI可以自动化响应措施,例如在检测到异常活动后,自动冻结账户或进行其他防护操作。
最后,感谢大家看完OKX Web3钱包《安全特刊》栏目的第03期,当前我们正在紧锣密鼓地准备第04期内容,不仅有真实的案例、风险识别、还有安全操作干货,敬请期待!
