黑客事件频发 如何保护好自己的钱包和NFT资产？

原文：《How To Secure Your Crypto Wallet and NFTs》

编者按：今天知名公链Solana被爆出漏洞事件，导致超过8000个钱包地址被盗取资产，此时大家应该重视如何保护自己的钱包和里面的资产。

近日，DeFi风险投资基金DeFiance Capital的联合创始人，在他的个人钱包中被盗了价值170万美元的NFT。他声称，在打开一封看起来可疑的电子邮件附件后，他成为了网络钓鱼攻击的受害者，邮件附件显然来自DeFiance的一家投资组合公司。

这种攻击甚至影响了一些经验丰富的人，他们拥有5年的加密经验，使用密码管理器和硬件钱包与DeFi协议进行交互。

Euler Finance黑客事件的幕后黑手：自己现在被关在巴黎监狱里:金色财经报道，一名自称是2亿美元Euler Finance黑客事件幕后黑手的男子表示，他现在被关在巴黎监狱里。这名自称名叫Federico Jaime的男子表示，他在一名西班牙学生的帮助下攻击了Euler，但后来爆发了内讧。[2023/7/13 10:53:08]

尽管遭到了黑客攻击，但这对我们所有人来说都是一个及时的提醒，热钱包仍然很容易受到加密货币黑客的攻击，尤其是当我们是活跃的DeFi用户时。

在本文中，我们将探索几种方法来保护我们的加密钱包和NFT。

从技术上讲，创建无限数量的加密钱包来持有和保管我们的数字资产是可行的，尽管管理大量的数字资产将变得相当繁琐。冷钱包是一个伟大的、安全的方式来存储我们的数字资产，因为它们保护我们的资产脱机，远离互联网上的坏人或恶意计算机，这意味着在安全方面不会受到影响。另一方面，像MetaMask和Coinbase Wallet这样的热钱包以牺牲安全为代价，提供了更多的便利，因为当我们复制和粘贴这些钱包时，这些钱包通常会为黑客窃取我们的私钥和掏空我们的钱包创造一个攻击载体。

安全团队：针对Wintermute损失1.6亿美元黑客事件，建议项目方移除相关地址管理权限:金色财经报道，2022年9月20日，据Beosin EagleEye监测显示，Wintermute在DeFi黑客攻击中损失1.6亿美元，Beosin 安全团队发现，攻击者频繁的利用0x0000000fe6a...地址调用0x00000000ae34...合约的0x178979ae函数向0x0248地址（攻击者合约）转账，通过反编译合约，发现调用0x178979ae函数需要权限校验，通过函数查询，确认0x0000000fe6a地址拥有setCommonAdmin权限，并且该地址在攻击之前和该合约有正常的交互，那么可以确认0x0000000fe6a的私钥被泄露。结合地址特征（0x0000000），疑似项目方使用Profanity工具生成地址。该工具在之前发的文章中，已有安全研究者确认其随机性存在安全缺陷（有暴力破解私钥的风险），导致私钥可能泄漏。

Beosin 安全团队建议：1.项目方移除0x0000000fe6a地址以及其他靓号地址的setCommonAdmin/owner等管理权限，并使用安全的钱包地址替换。2.其他使用Profanity工具生成钱包地址的项目方或者用户，请尽快转移资产。Beosin Trace正在对被盗资金进行分析追踪。[2022/9/20 7:08:40]

一旦我们购买了一个冷钱包，不要将我们所有的资产存储在一个与我们的在线身份绑定的钱包中。这也创造了一个攻击向量，一个安全漏洞就可以耗尽我们的全部净资产。

BONDLY官方：Bondly将向在昨晚黑客事故期间失去流动性的持有者重新发行Bondly代币:Bondly官方表示，Bondly代币重新部署的更新，Bondly 将向在昨晚黑客事故期间失去流动性的持有者重新发行Bondly代币，Bondly将很快提供有关重新发行的更多详细信息并继续建议用户在重新部署之前不要再购买Bondly代币，所有代币持有者都将发行新代币作为此次重新部署的一部分。具体snapshot时间需等待后续通知。[2021/7/16 0:56:33]

相反，一个好的做法是创建2个级别的钱包：

热钱包(如Metamask)进行日常交易

用于存储的冷硬件钱包（例如Ledger X ）

也可以使用相同的助记词将冷硬件钱包进一步分解为2个子钱包。

法官驳回Bithumb用户的两项索赔请求，涉及2017年黑客事件:首尔中央地方法院一名法官驳回用户针对交易所Bithumb的两项索赔请求。这些人分别要求12.6万美元和3.8万美元的损失赔偿，涉及2017年发生的一次数据泄露事件。

据Fn News报道，原告Hong和Seo（均以姓氏命名）表示，他们因网络钓鱼攻击（该攻击使用在Bithumb黑客攻击中提取的私人数据）而蒙受损失。第三名索赔人Jang获得5000美元，以弥补全部损失。这一数额比他最初索赔的27200美元低得多。在这三起案件中，法院都表示，交易所存在过失，因为它们本可以在安全方面分配更多资源，以防止大规模数据泄露事件。

然而，法官认为Bithumb和Jang都负有部分责任，并指出受害者提供的细节并未包含在最初从交易所流出的数据中。为了实施攻击，网络罪犯冒充Bithumb客户中心的代理人，向Jang提供了他认为只有Bithumb员工才能有的信息。黑客随后告诉Jang，其账户上有一次可疑的登录尝试，需要向其电话号码发送一个验证码，以帮助阻止可疑的访问。一旦获得许可，这位黑客就着手将Jang持有的XRP和ETH转化为法币。（Cointelegraph）[2020/9/4]

冷钱包地址 1 用于金库存储（仅发送/接收）

冷钱包地址 2 用于可信站点（例如 Aave）上的不频繁交易

使用多重钱包，我们可以确保自己有针对不良参与者的多重防御。即使我们的热钱包被泄露了，我们的资产仍然安全的存储在冷钱包里。

我们只会使用热钱包地址或冷钱包地址2来签订合约。冷钱包地址1是纯粹的存储，和发送/接收交易到我们的其他钱包。在签署交易时，确保只在我们信任的网站上签署交易。一份恶意的合约，如果签署不当，就会允许它将我们钱包里的所有资产转移到另一个钱包里——实际上是耗尽我们的资金。有许多钓鱼网站、电子邮件和信息假装是合法的来源，然后操纵我们签署看似真实的合约，但在背后，它掩盖了一个事实，即我们给了合约许可，从我们的钱包中取出所有资金。

网络钓鱼是黑客试图我们的最流行的方式之一。例如，我们可能是一个有针对性的欺诈、电子邮件或网站的受害者，他们我们签署一些东西，以换取有限的NFT或其他东西。始终保持清醒的头脑。如果某件事好得令人难以置信，甚至有点可疑，那就避免它。不要冒这个险。如果我们曾经无意中签署了恶意文件，或者认为我们可能成为了恶意文件的受害者，请立即撤销我们对合约的许可。

需要不惜一切代价保护助记词和私钥。这些是通向我们的全部资产集合的门户。不要将我们的助记词存储在互联网、云、任何可能被泄露的电脑文件中，无论是输入的还是照片。有许多程序和恶意软件可以找出助记词，一旦被检测到，就可以用来获得访问我们的整个投资组合的权限。同样，即使我们用的是一个冷钱包，也不要在电脑上输入助记词。因为大多数现代钱包（例如 MetaMask）都能够从我们的 Ledger 导入帐户，而无需透露我们的助记词。

使用像MetaMask mobile或Coinbase Wallet这样的移动钱包会带来更高的折中风险。我们永远不会知道我们的手机什么时候会被黑，特别是当我们在旅行时连接到公共WiFi或其他不可信的热点时。重要的是，我们不应该在导入手机的热钱包中存储太多，因为这些设备具有巨大的安全风险，往往会导致我们钱包的全部流失。

最后一个建议是让钱包多样化。例如，我们可以为不同的链创建两套热/冷钱包，以进一步分散被黑客攻击的风险。显然，这是以带来不便为代价的，但如果我们持有大量的投资组合，考虑到损失一切的代价远远大于带来不便的代价，这是值得考虑的。

如果我们认为自己的钱包曾经被泄露过，请采取以下步骤：

立即断开网络连接

在一个全新的设备上，创建一个新的钱包

导入被破坏的钱包种子，并立即将所有资产发送到我们新创建的钱包中

要确定我们拥有哪些资产，可以使用区块链浏览器或Zapper等聚合器来帮助确定

当我们认为自己可能成为受害者时，关键是要保持冷静。然而，这可能已经太迟了。为了先发制人地检测未经授权的交易，可以使用或构建服务来监控来自地址的交易并将通知发送到自己的帐户。希望这些技巧有助于保护我们的加密钱包，并防止自己被黑客攻击。

标签：NDLBONDLYBONBONDCANDLEbondly币什么时候恢复交易BonorumSuperBonds

中币下载热门资讯