本期是安全特刊第03期,特邀行業知名安全專家0xAA與OKX Web3錢包安全團隊,從實操指南的角度出發,來講解「擼毛人」常見的安全風險和防範措施。上篇鏈接:https://followin.io/feed/10718303
Q4:專業性較高的擼毛人,使用各類工具時需要注意的安全事項
WTF Academy:由於擼毛用戶涉及到的工具種類繁多,所以在使用各類工具時應該加強安全防範,比如
1、錢包安全:確保私鑰或助記詞不被洩露,不要在不安全的地方保存私鑰,以及避免在未知或不信任的網站輸入私鑰等等。用戶應該將私鑰或助記詞備份存儲在安全的地方,如離線存儲設備或加密的雲存儲。此外,對於存有高價值資產的錢包用戶,使用多重簽名錢包可以增加安全性。
2、防範釣魚攻擊:用戶訪問任何相關的網站時,務必請仔細核對網址,避免點擊不明來源的鏈接。儘量從項目的官方網站或官方社交媒體獲取下載鏈接和信息,避免使用第三方來源。
3、軟件安全:用戶應該確保設備上安裝並更新防病毒軟件,防止惡意軟件和病毒攻擊。此外,還應該定期更新錢包和其他區塊鏈相關工具,確保使用最新的安全補丁。由於之前很多指紋瀏覽器和遠程桌面都出現安全漏洞,不建議使用。
通過以上措施,用戶可以進一步降低在使用各類工具時的安全風險。
OKX Web3錢包安全團隊:我們先舉個行業公開的案例。
比如,比特指紋瀏覽器提供了多賬號登錄、防止窗口關聯和模擬獨立電腦信息等功能,受到一些用戶的青睞,但2023年8月的一系列安全事件暴露了其潛在風險。具體來說,比特瀏覽器的"插件數據同步"功能允許用戶將插件數據上傳到雲端服務器,並在新設備上通過輸入密碼快速遷移。雖然這一功能設計初衷是為了方便用戶,但它也存在安全隱患。黑客通過入侵服務器,獲取了用戶的錢包數據。通過暴力破解手段,黑客從數據中破解了用戶的錢包密碼,獲取了錢包權限。據服務器記錄顯示,存儲著擴展緩存的服務器在8月初(日誌記錄最晚至8月2日)被非法下載。這起事件提醒我們,在享受便利的同時,也要警惕潛在的安全風險。
所以,用戶確保使用的工具安全可靠至關重要,以避免黑客攻擊和數據洩露的風險。通常而言,用戶可以從以下維度,提高一定的安全性。
一、硬件錢包使用:1)定期更新固件,通過官方渠道購買。2)在安全的計算機上使用,避免在公共場所連接。
二、瀏覽器插件使用:)謹慎使用第三方插件和工具,儘量選擇信譽良好的產品,如OKX Web3錢包等。2)避免在不受信任的網站上使用錢包插件。
三、交易分析工具使用:1)使用可信平臺進行交易和合約交互。2)仔細檢查合約地址和調用方法,避免誤操作。
四、計算機設備使用:1)定期更新計算機設備系統,更新軟件,修補安全漏洞。2)安全防病毒軟件,定期查殺計算機系統病毒。
Q5:與單一錢包相比,擼毛人如何更安全的管理多個錢包和賬戶?
WTF Academy:由於擼毛用戶在鏈上交互頻率較高、且同時管理多個錢包和賬戶,所以需要特別注意資產安全。
一、使用硬件錢包:硬件錢包允許用戶在同一設備上管理多個錢包賬戶,每個賬戶的私鑰存儲在硬件設備中,相對來說,更能確保安全性。
二、分離安全策略&分離操作環境:首先是分離安全策略,用戶可以通過分離不同用途的錢包,從而達到分散風險的目的。比如,空投錢包、交易錢包、存儲錢包等等。再比如,熱錢包用於日常交易和擼毛操作,冷錢包用於長期存儲重要資產,這樣即使某個錢包受損,其他錢包也不會受影響。
其次就是分離操作環境,用戶可以使用不同設備(例如手機、平板、電腦等)管理不同錢包,防止一個設備的安全問題影響所有錢包。
三、密碼管理:用戶應該為每個錢包賬戶設置強密碼,避免使用相同或類似的密碼。或者使用密碼管理器來管理不同賬戶的密碼,確保每個密碼獨立且安全。
OKX Web3錢包安全團隊:對於擼毛用戶來說,更安全的管理多個錢包和賬戶並非易事,比如,可以從以下的維度來提高錢包安全係數:
1、分散風險:1)不要將所有資產放在一個錢包中,分散存儲以降低風險。根據資產類型和用途,選擇不同類型的錢包,如硬件錢包、軟件錢包、冷錢包和熱錢包等。2)使用多簽名錢包管理大額資產,提高安全性。
2、備份和恢復:1)定期備份助記詞和私鑰,保存在多個安全地點。2)使用硬件錢包進行冷存儲,避免私鑰洩露。
3、避免重複密碼:為每個錢包和賬戶分別設置強密碼,避免使用相同的密碼,以減少一個賬戶被破解導致其他賬戶同時受到威脅的風險。
4、啟用兩步驗證:在可能的情況下,為所有賬戶啟用兩步驗證(2FA),增加賬戶安全性。
5、自動化工具:減少使用自動化工具,特別是那些可能將你的信息存儲在雲端或第三方服務器上的服務,以減少數據洩露的風險。
6、限制訪問權限:只授權信任的人訪問你的錢包和賬戶,並且限制他們的操作權限。
7、定期檢查錢包安全狀態:使用工具監控錢包交易,確保沒有異常交易發生,如果發現其中有錢包私鑰洩漏,立即更換所有錢包等等。
除了以上列舉的幾個維度外,還有很多,無論如何,用戶儘可能通過多個維度來確保錢包和資產安全,不要僅僅依賴單一的維度。
Q6:與擼毛人切實相關的交易滑點、MEV攻擊等,有哪些防護建議?
WTF Academy:瞭解和防範交易滑點和MEV攻擊至關重要,這些風險直接影響交易成本和資產安全。
拿MEV攻擊來說,常見的類型有:1)搶跑,即礦工或交易機器人在用戶交易前搶先執行相同的交易,以獲取利潤。2)三明治攻擊,礦工在用戶交易前後分別插入買單和賣單,從而從價格波動中獲利。3)套利:利用區塊鏈上不同市場的價格差異進行套利。
用戶可以通過通過MEV保護工具,將交易提交給礦工的專用通道,避免公開在區塊鏈上廣播。或者降低交易公開時間,即減少交易在內存池中停留的時間,並使用較高的Gas費加快交易確認速度、以及避免集中在一個DEX平臺進行大額交易等措施,來降低被攻擊的風險。
OKX Web3錢包安全團隊:交易滑點是指預期交易價格與實際執行價格之間的差異,通常在市場波動較大或流動性較低時發生。MEV攻擊是指攻擊者利用信息不對稱和交易特權獲取超額利潤。以下是針對這兩種場景的一些常用的防護措施:
1、設置滑點容差:由於交易上鍊存在一定延時,以及可能存在的MEV攻擊等,用戶在交易時需要提前設置好合理滑點容差,避免因市場波動或MEV攻擊導致交易失敗或資金損失。
2、分批交易:避免一次性大額交易,分批次進行交易,可以減少對市場價格的影響,降低滑點風險。
3、使用流動性較高的交易對:在進行交易時,選擇流動性充足的交易對,以減少滑點的發生。
4、使用防搶跑工具:重要的交易儘量不要走Memepool,可以通過專業的防搶跑工具,從而保護交易不被MEV機器人捕獲。
Q7:用戶是否可以使用監控工具或者專業方法,定期監控和檢測到錢包賬戶異常?
WTF Academy:用戶可以使用多種監控工具和專業方法來定期監控和檢測錢包賬戶的異常活動。這些方法有助於提高賬戶的安全性,防止未授權的訪問和潛在的欺詐行為。以下是一些有效的監控和檢測方法:
1)第三方監控服務:當前很多平臺可以為用戶提供錢包活動的詳細報告和實時警報。
2)使用安全插件:部分安全工具可以自動屏蔽掉部分釣魚網站。
3)錢包內置功能:OKX Web3等錢包可以自動檢測並識別部分釣魚網站和可疑合約,為用戶提供警告。
OKX Web3錢包安全團隊:目前很多公司或組織都提供了大量工具可用於錢包地址的監控檢測,我們根據行業公開信息整理了部分,比如:
1、區塊鏈監控工具:使用區塊鏈分析工具,監控錢包地址的異常交易,資金變化情況,設置地址交易通知等。
2、安全錢包:使用如OKX Web3錢包等專業錢包,可支持交易預執行,及時發現可疑交易;也可以及時檢測和阻止與惡意網站和合約交互。
3、報警系統(Alert Systems):可以根據用戶設置的條件發送交易或餘額變動的提醒,包括短信、郵件或App通知等
4、OKLink代幣授權查詢:檢查錢包對DApps的授權,及時撤銷不需要的授權,防止授權被惡意合約濫用。
Q8:如何保護鏈上隱私安全?
WTF Academy:區塊鏈公開透明的特性雖然帶來了很多好處,但也意味著用戶的交易活動和資產信息可能被濫用,鏈上隱私保護也變得愈發重要。但是,用戶可以通過創建並使用多個地址來保護個人身份隱私。不建議使用指紋瀏覽器,因為之前出現過很多安全漏洞。
OKX Web3錢包安全團隊:當前越來越多用戶,開始注意隱私安全保護,常見的方式有
1、多錢包管理:分散用戶資產,降低單一錢包被追蹤或攻擊的風險。
2、使用多籤錢包:需要多方簽名才能執行交易,增加了安全性和隱私保護。
3、冷錢包:將長期持有的資產存儲在硬件錢包或離線存儲中,防止在線攻擊。
4、不要公開地址:避免在社交媒體或公開平臺上分享你的錢包地址,以防被他人跟蹤。
5、使用臨時電子郵件:參與空投或其他活動時,使用臨時電子郵件地址來保護個人信息不被暴露。
Q9:如果發生錢包賬戶被盜,用戶該如何應對?在幫助被盜用戶追回資產以及保護用戶資產方面,是否有做出努力或者建立機制
WTF Academy:我們針對釣魚攻擊和私鑰/助記詞洩漏分別展開。
首先,釣魚攻擊發生時,用戶授權給黑客的資產會被轉移到黑客錢包,這部分幾乎無法救援/追回;但用戶錢包的剩餘資產是相對安全的。RescuETH團隊建議用戶採取以下措施:
1)撤回給黑客的資產授權
2)聯繫安全公司,對被盜資產和黑客地址進行追蹤。
其次,私鑰/助記詞洩漏發生時,用戶錢包中所有有價值的資產會被轉移到黑客錢包,這部分幾乎無法救援/追回,但用戶錢包當前無法被轉移走的資產是可以被救援的,比如未解鎖的質押資產和未發放的空投,這也是我們的主要救援目標。RescuETH團隊建議用戶採取以下措施:
1)第一時間檢查錢包中是否有未被黑客轉移的資產,如果有,馬上轉移到安全錢包。有時黑客會漏掉一些冷門鏈的資產。
2)如果錢包有未解鎖的質押資產和未發放的空投,可以聯繫專業團隊進行救援。
3)如果懷疑安裝過惡意軟件,儘快對電腦進行殺毒,刪除惡意軟件。如果有必要,可以重裝系統。
當前,我們在救援被盜用戶的資產方面做過很多嘗試。
第一,我們是第一個針對被盜錢包的資產進行大規模救援的團隊。在2023年3月Arbitrum的空投活動中,我從近20位粉絲那裡收集了40多個洩漏錢包的私鑰,與黑客搶跑 $ARB 空投。最終成功救援了價值 40,000+ 美元的 ARB 代幣,成功率 80%。
第二,當用戶錢包被盜時,有經濟價值的資產會被黑客轉走,而沒有經濟價值但對用戶有紀念價值的NFT或ENS還留在錢包中。但由於錢包被黑客監控,轉入的Gas都會被馬上轉走,用戶無法轉移這部分資產。針對這點,我們做了一個自助救援應用: RescuETH App,它基於Flashbots bundle的MEV技術,可以將轉入Gas和轉出NFT/ENS的交易打包,防止黑客監聽腳本轉出Gas,從而成功救援資產。目前RescuETH App正在內測中,預計6月開始公測。
第三,針對用戶被盜錢包中可以救援的部分資產(未解鎖的質押和未發放的空投),我們提供有償的可定製的白帽救援服務。目前,我們的白帽團隊由近20位安全/MEV專家組成,已經在ETH,Solana,Cosmos等鏈的被盜錢包中救出超過 300 萬人民幣的資產。
OKX Web3錢包安全團隊:我們從2個視角來展開:用戶措施和OKX Web3錢包安全機制
一、用戶措施
用戶一旦發現自己的錢包被盜,建議緊急採取以下措施:
1、緊急應對措施
1)立即轉移資金:如果錢包中還有資金,需立即將其轉移至安全的新地址。
2)撤銷授權:立刻通過管理工具撤銷所有授權,防止進一步損失。
3)追蹤資金流向:及時追蹤被盜資金的流向,整理被盜過程的詳細信息,以便尋求外部幫助。
2、社區和項目方支持
1)尋求項目方和社區幫助:向項目方和社區報告事件,有時項目方可以凍結或追回被盜資產。例如,USDC具有黑名單機制,可以阻斷資金轉移。
2)加入區塊鏈安全組織:加入相關的區塊鏈安全組織或群體,利用集體力量解決問題。
3)聯繫錢包客服支持:及時聯繫錢包的客戶支持團隊,尋求專業幫助和指導。
二、OKX Web3錢包安全機制
OKX Web3錢包高度重視用戶資產安全,並在保護用戶資產方面持續投入,提供多重安全機制以確保用戶的數字資產安全。
1)黑地址標籤庫:OKX Web3錢包建立了豐富的黑地址標籤庫,防止用戶與已知的惡意地址進行交互。該標籤庫持續更新,以應對不斷變化的安全威脅,確保用戶資產的安全。
2)安全插件:OKX Web3錢包提供內置的防釣魚保護功能,幫助用戶識別和阻止潛在的惡意鏈接和交易請求,增強用戶賬戶的安全性。
3)24小時在線支持:OKX Web3錢包為客戶提供24小時在線支持,及時跟進客戶資產被盜被騙事件,確保用戶能夠迅速獲得幫助和指導。
4)用戶教育:OKX Web3錢包 定期發佈安全提示和教育材料,幫助用戶提高安全意識,瞭解如何防範常見的安全風險,保護其資產。
Q10:能否分享一下前沿的安全技術,比如是否可以利用AI增強安全防護?
WTF Academy:區塊鏈和Web3領域的安全性是一個不斷發展的領域,各類前沿安全技術和方法不斷湧現,當前比較熱門的有:
1)智能合約審計:利用AI和機器學習自動化智能合約的安全審計,可以檢測智能合約中的漏洞和潛在風險,提供比傳統手動審計更快、更全面的分析。
2)異常行為檢測:使用機器學習算法分析鏈上交易和行為模式,檢測異常活動和潛在的安全威脅。AI可以識別常見攻擊模式(如MEV攻擊、釣魚攻擊)和異常交易行為,提供實時預警。
3)欺詐檢測:AI可以分析交易歷史和用戶行為,識別和標記可能的欺詐活動。
OKX Web3錢包安全團隊:目前AI在Web3領域已經有了很多落地的應用,以下是一些使用AI來增加Web3安全防護的場景:
第一,異常檢測與入侵檢測:利用AI和機器學習模型,分析用戶的行為模式,檢測異常活動。例如,可以使用深度學習模型來分析交易行為和錢包活動,識別潛在的惡意行為或異常活動。
第二,釣魚網站識別:AI可以通過分析網頁內容和鏈接特徵,檢測並阻止釣魚網站,保護用戶不受網絡釣魚攻擊的威脅。
第三,惡意軟件檢測:AI可以通過分析文件的行為和特徵來檢測新型和未知的惡意軟件,防止用戶下載和執行惡意程序。
第四,自動化威脅響應:AI可以自動化響應措施,例如在檢測到異常活動後,自動凍結賬戶或進行其他防護操作。
最後,感謝大家看完OKX Web3錢包《安全特刊》欄目的第03期,當前我們正在緊鑼密鼓地準備第04期內容,不僅有真實的案例、風險識別、還有安全操作乾貨,敬請期待!
