Defiance Capital创始人：60枚NFT被盗之后 我是如何防的？

本文梳理自 Defiance Capital 创始人 Arthur 在个人社交媒体平台上的观点，律动 BlockBeats 对其整理翻译如下：

起初，以下内容仅写给我们的投资组合公司和合作伙伴。一番思考过后，我认为应该将它们开源。

经过研究和与顶尖网络安全专家的沟通，我们相信黑客组织 BlueNorOff 正在进行一个有组织的筹谋，目标是加密领域的所有知名组织。鉴于他们的社会工程攻击十分高明，我相信他们已绘制了整个加密领域的关系图，知道什么样的钓鱼邮件最有可能通过我们的心理防线。

ERC-7265提案者：DeFi熔断机制可将黑客损失减少70%:金色财经报道，去年是加密货币黑客攻击最严重的一年，至少有31亿美元从DeFi协议中被盗，其中65%来自跨链桥。发布DeFi熔断机制（ERC-7265）提案的Hydrogen Labs智能合约开发人员Diyahir Campos表示，DeFi熔断机制可将黑客损失减少70%，但熔断机制并不适合所有DeFi协议，也不能保证协议本身的安全，熔断机制将由DeFi项目选择加入。拟议的标准并非没有争议，DeFi研究员Chris Blec是怀疑者之一，担心熔断机制可能被用于潜在的邪恶目的。[2023/7/7 22:23:51]

关键我们要高度意识到，加密行业正在成为一个受国家支助的网络犯罪组织的积极目标。这个组织非常机智和老练，他们甚至可能在未来变换工具和攻击模式。一旦目前的攻击方法变得不那么有效，例如最近出现的木马化 DeFi App 和钱包攻击。为了成功，朝鲜很可能会为该组织投入更多资源，从而扩大攻击的强度。

SEC专员：SEC提议的证券交易平台改革可能会威胁到DeFi:金色财经报道，“加密妈妈”、美国证券交易委员会 (SEC) 专员 Hester Peirce 在一封电子邮件声明中表示，SEC改革政府证券交易的计划可能会威胁到去中心化金融 (DeFi)。美SEC提出的新规则旨在强制未注册为交易所但仍从事各类证券交易的平台注册为“通信协议系统”，Peirce 对此表示：“该提案包括非常宽泛的定义，再加上主席对监管所有加密货币的明显兴趣，表明它可以用来监管加密平台。提案还可能涉及更多类型的交易机制，包括潜在的 DeFi 协议”。（彭博社）[2022/2/2 9:26:45]

抛开所有标标准准的网络安全建议不谈，在网络安全意识强的朋友的协助下，我提出了以下这些不完全的加密相关安全建议。希望这将防止类似事件发生在我们任何人身上。

Circle将为企业推出DeFi API服务:6月24日，稳定币USDC发行机构Circle宣布将为企业提供DeFiAPI服务，通过使用CircleAPI，企业将可以轻松快速地访问DeFi协议，获得利息、治理代币并提供对其客户平台的相同访问权限。据悉，CompoundFinance将作为CircleAPI为企业开放的首个DeFi协议。[2021/6/24 0:04:24]

将链上加密资产存储在企业级托管解决方案上

一个硬件钱包不足以保障 EOA（Externally owned account），因为他们可以插入一个虚假的 Metamask 浏览器扩展，从而批准非预期的交易。至少它应该是一个 Gnosis Safe 这样由几个硬件钱包保障的多签钱包。我强烈推荐使用 Fireblocks、Copper、Qredo 等更高级别的托管解决方案，因为它们自带用于交易审批的原生多签 2FA 钱包。

币赢CoinW于9月18日14:00上线DeFi挖矿第五期：锁仓USDT挖SUP:据官方消息，币赢CoinW于9月18日14:00上线DeFi挖矿第五期“锁仓USDT挖SUP“。锁仓时间：15天，总额度：400,000 USDT，每份：200 USDT。人均购买额度：1-2000份。

据悉，CoinW将拿出锁仓的USDT用于DeFi流动性挖矿，并且将挖矿收益100%空投给参与此次USDT锁仓活动的用户。此次选择的DeFi流动性挖矿项目是CoinW研究院将通过严格的审核标准为投资者筛选出相对安全、被市场广泛认可和收益较高的DeFi流动性挖矿项目。[2020/9/18]

招聘远程团队要进行额外的尽职调查

招聘远程团队要进行额外的尽职调查，尤其是雇佣软件工程师或开发人员。「Lazarus APT 集团甚至参与创建开发加密货币软件的虚假公司。」我们从我们的一个投资组合公司那听说，他们软件工程师职位的申请人面试时很可疑，也与他们简历中的样貌不相符。

配置专用于加密交易的计算机

应该要有专门的计算机，只用于从事加密交易，不与任何电子邮件、互联网链接、消息应用程序、MS word 文档、PDF 等交互。

为所有登录实施 2FA

虽然不是针对加密，但也重要到要提个醒。云存储、电子邮件、Telegram 等消息应用程序都应该开启 2FA 登录。请用 Google 身份验证代替短信 2FA。

应尽可能使用 YubiKey 这样的硬件 2FA 钱包，公司和个人账户都是。

将常用加密 DApp 网站加入书签

有时候搜索引擎会搜出钓鱼网站，要是搜索过程中一个不小心，你可能就会上了一个钓鱼网站。最好通过书签列表访问加密 DApp 网站。

撤销不需要的 Token 授权

Token 授权允许另一方移动你的资产，是与大多数智能合约交互的必要条件。避免无限制的 Token 授权，并定期撤销不必要的授权，这可以用 Revoke 做到。

建立一个地址监控系统

内部的加密货币钱包地址应该被密切监控，以便在未经授权的交易发生时，团队可以立即察觉并尽快采取行动。Etherscan 和 Nansen 都提供这样的解决方案。

为团队成员定期举行网络安全培训

所有团队成员在入职时都应接受网络安全培训，但这往往随着组织发展会被忽略掉。

通过正确配置电子邮件的 DNS 设置，防范钓鱼和垃圾邮件

尽可能对 SPF（发件人策略框架）、DKIM（域密钥识别邮件）和 DMARC 使用 hard-fail 模式或严格模式。

信任浏览器而非网站

任何浏览器栏下方的内容都可能是不安全的，是潜在的攻击媒介。如果你没有登录，一些 DApp 可能会弹出一个窗口，要求你登录到你的加密钱包。切勿输入密码。

原文作者：Arthur，Defiance Capital

原文编译：0x9F、0x22，律动 BlockBeats

标签：DEFIEFIDEFUSDkingdefi币归零truefi币暴跌DefiBayStableFund USD

XMR热门资讯