別等被盜了才看:Web3安全防範指南

GuShiio.com鼔獅智能 資訊

我吃過的虧,你不必再吃。

作者: Ye Su

Bybit被盜15億美金後,信用良好的infini又被駭客攻擊。

我在幾年前也曾因駭客遭受重大損失。 今早公司正在做內部安全培訓,分享一下親身教訓和防範指南:

近兩年的新興作案管道

1.好友冒充(Social Engineering)

駭客常通過偽裝客服、知名人士、朋友、投資機會等管道獲取你的私密金鑰或助記詞,保持警惕,不點擊陌生連結。

這是最難防範的攻擊,我們公司被駭客仿冒Twitter/Tg進行私信詐騙,駭客通常冒充,以約電話會,聊投資機會為由,發送假冒的deck,zoom連結和網址向你植入病毒。

2.內部滲透

朝鮮駭客的終極殺招,由某頭部cex的創始人的親身分享。 駭客通過投簡歷,進入公司潜伏工作,通常在資產管理,安全架構或者財務部門。 在半年之後,實施內部作案。

3.相似地址

駭客可以在幾秒鐘內生成前5比特和後5比特完全相同的地址,比如10個以0x1234開頭,56abc結尾的地址。

駭客通常模仿大額錢包的交易,用相似地址釣魚,務必轉帳核對Txid和地址中間至少5-6比特,最好每一步核對。

4.公共WiFi

避免使用公共Wi-Fi,防止因惡意軟件、木馬導致資產被盜。 Wi-Fi可以直接黑進設備,飯店,派對甚至別人家的wifi都要謹慎。 儘量多用自己的熱點。

原則建立

1.零信任原則

在區塊鏈世界中,不要輕易相信任何人或工具,所有交易和簽名操作都應經過獨立驗證,確保來源可信。

即使你homie私信找你墊付一筆錢,也要跟他電話/視頻/線下確認。

2.君子不立危牆之下

有傳言(被盜/虧空),第一時間遠離風險發生的位置,保證安全的情况下,再考慮其他問題。

永遠不要相信“ 大而不倒”。 FTX倒閉,ArkStream和我都因為第一天提款躲過一劫。

剩下的基本防範操作,大家可以參考慢霧的區塊鏈黑暗森林自救手册。

歡迎加入深潮TechFlow官方社群

Telegram訂閱群: https://www.gushiio.com/TechFlowDaily

Twitter官方帳號: https://www.gushiio.com/TechFlowPost

Twitter英文账号:https://www.gushiio.com/DeFlow_Intern

原文網址:https://zh.gushiio.com/zixun/2759.html

讚! (0)
GuShiio.com鼔獅智能GuShiio.com鼔獅智能
0
Previous 13小时前
Next 13小时前

相关推荐

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

Save my name, email, and website in this browser for the next time I comment.