原文:《HowToSecureYourCryptoWalletandNFTs》
编者按:今天知名公链Solana被爆出漏洞事件,导致超过8000个钱包地址被盗取资产,此时大家应该重视如何保护自己的钱包和里面的资产。
正文
近日,DeFi风险投资基金DeFianceCapital的联合创始人,在他的个人钱包中被盗了价值170万美元的NFT。他声称,在打开一封看起来可疑的电子邮件附件后,他成为了网络钓鱼攻击的受害者,邮件附件显然来自DeFiance的一家投资组合公司。
这种攻击甚至影响了一些经验丰富的人,他们拥有5年的加密经验,使用密码管理器和硬件钱包与DeFi协议进行交互。
安全团队:针对Wintermute损失1.6亿美元黑客事件,建议项目方移除相关地址管理权限:金色财经报道,2022年9月20日,据Beosin EagleEye监测显示,Wintermute在DeFi黑客攻击中损失1.6亿美元,Beosin 安全团队发现,攻击者频繁的利用0x0000000fe6a...地址调用0x00000000ae34...合约的0x178979ae函数向0x0248地址(攻击者合约)转账,通过反编译合约,发现调用0x178979ae函数需要权限校验,通过函数查询,确认0x0000000fe6a地址拥有setCommonAdmin权限,并且该地址在攻击之前和该合约有正常的交互,那么可以确认0x0000000fe6a的私钥被泄露。结合地址特征(0x0000000),疑似项目方使用Profanity工具生成地址。该工具在之前发的文章中,已有安全研究者确认其随机性存在安全缺陷(有暴力破解私钥的风险),导致私钥可能泄漏。
Beosin 安全团队建议:1.项目方移除0x0000000fe6a地址以及其他靓号地址的setCommonAdmin/owner等管理权限,并使用安全的钱包地址替换。2.其他使用Profanity工具生成钱包地址的项目方或者用户,请尽快转移资产。Beosin Trace正在对被盗资金进行分析追踪。[2022/9/20 7:08:40]
尽管遭到了黑客攻击,但这对我们所有人来说都是一个及时的提醒,热钱包仍然很容易受到加密货币黑客的攻击,尤其是当我们是活跃的DeFi用户时。
Harmony:将在两周内与社区讨论Horizo??n黑客事件的恢复计划:7月15日消息,Harmony官方推特表示,将在两周内与社区讨论恢复计划的细节,该计划涉及14种资产中大约5万个钱包,总计9760万美元,由社区投票决定最终结果。据此前报道,公链项目Harmony跨链桥Horizo??n宣布遭受黑客攻击,损失约1亿美元。[2022/7/15 2:15:19]
在本文中,我们将探索几种方法来保护我们的加密钱包和NFT。
创建多个钱包
从技术上讲,创建无限数量的加密钱包来持有和保管我们的数字资产是可行的,尽管管理大量的数字资产将变得相当繁琐。冷钱包是一个伟大的、安全的方式来存储我们的数字资产,因为它们保护我们的资产脱机,远离互联网上的坏人或恶意计算机,这意味着在安全方面不会受到影响。另一方面,像MetaMask和CoinbaseWallet这样的热钱包以牺牲安全为代价,提供了更多的便利,因为当我们复制和粘贴这些钱包时,这些钱包通常会为黑客窃取我们的私钥和掏空我们的钱包创造一个攻击载体。
推特黑客事件策划者Graham Clark拥有价值300万美元比特币:推特黑客事件幕后黑手之一17岁少年Graham Clark目前拥有价值约300万美元的比特币,这笔财富与本次推特攻击名人账号无关,是在2019年的另一次刑事调查过程中被发现的,足够支付新案件涉及的725000美元的保释金。(u.today)[2020/8/2]
一旦我们购买了一个冷钱包,不要将我们所有的资产存储在一个与我们的在线身份绑定的钱包中。这也创造了一个攻击向量,一个安全漏洞就可以耗尽我们的全部净资产。
相反,一个好的做法是创建2个级别的钱包:
热钱包(如Metamask)进行日常交易
用于存储的冷硬件钱包
也可以使用相同的助记词将冷硬件钱包进一步分解为2个子钱包。
交易所BitGrail否认对黑客事件负责 但将“自愿”退还硬币:BitGrail黑客事件受害者电报小组近日透露,BitGrai并不认为自己对被盗加密货币负有责任,但还是“自愿”偿还客户被盗硬币。据悉,BitGrail是由Firano运营的意大利加密货币交易所,今年2月被盗1700万NANO硬币,价值1.95亿美元。[2018/3/15]
冷钱包地址1用于金库存储
冷钱包地址2用于可信站点上的不频繁交易
使用多重钱包,我们可以确保自己有针对不良参与者的多重防御。即使我们的热钱包被泄露了,我们的资产仍然安全的存储在冷钱包里。
仔细签订合约
我们只会使用热钱包地址或冷钱包地址2来签订合约。冷钱包地址1是纯粹的存储,和发送/接收交易到我们的其他钱包。在签署交易时,确保只在我们信任的网站上签署交易。一份恶意的合约,如果签署不当,就会允许它将我们钱包里的所有资产转移到另一个钱包里——实际上是耗尽我们的资金。有许多钓鱼网站、电子邮件和信息假装是合法的来源,然后操纵我们签署看似真实的合约,但在背后,它掩盖了一个事实,即我们给了合约许可,从我们的钱包中取出所有资金。
网络钓鱼是黑客试图我们的最流行的方式之一。例如,我们可能是一个有针对性的欺诈、电子邮件或网站的受害者,他们我们签署一些东西,以换取有限的NFT或其他东西。始终保持清醒的头脑。如果某件事好得令人难以置信,甚至有点可疑,那就避免它。不要冒这个险。如果我们曾经无意中签署了恶意文件,或者认为我们可能成为了恶意文件的受害者,请立即撤销我们对合约的许可。
保护助记词和私钥
需要不惜一切代价保护助记词和私钥。这些是通向我们的全部资产集合的门户。不要将我们的助记词存储在互联网、云、任何可能被泄露的电脑文件中,无论是输入的还是照片。有许多程序和恶意软件可以找出助记词,一旦被检测到,就可以用来获得访问我们的整个投资组合的权限。同样,即使我们用的是一个冷钱包,也不要在电脑上输入助记词。因为大多数现代钱包都能够从我们的Ledger导入帐户,而无需透露我们的助记词。
使用像MetaMaskmobile或CoinbaseWallet这样的移动钱包会带来更高的折中风险。我们永远不会知道我们的手机什么时候会被黑,特别是当我们在旅行时连接到公共WiFi或其他不可信的热点时。重要的是,我们不应该在导入手机的热钱包中存储太多,因为这些设备具有巨大的安全风险,往往会导致我们钱包的全部流失。
将我们的资产分散到多个钱包中
最后一个建议是让钱包多样化。例如,我们可以为不同的链创建两套热/冷钱包,以进一步分散被黑客攻击的风险。显然,这是以带来不便为代价的,但如果我们持有大量的投资组合,考虑到损失一切的代价远远大于带来不便的代价,这是值得考虑的。
如果我们认为自己已经受到了损害应该怎么办?
如果我们认为自己的钱包曾经被泄露过,请采取以下步骤:
立即断开网络连接
在一个全新的设备上,创建一个新的钱包
导入被破坏的钱包种子,并立即将所有资产发送到我们新创建的钱包中
要确定我们拥有哪些资产,可以使用区块链浏览器或Zapper等聚合器来帮助确定
当我们认为自己可能成为受害者时,关键是要保持冷静。然而,这可能已经太迟了。为了先发制人地检测未经授权的交易,可以使用或构建服务来监控来自地址的交易并将通知发送到自己的帐户。希望这些技巧有助于保护我们的加密钱包,并防止自己被黑客攻击。
虽然今天我们的加密钱包可以用于访问和管理我们的加密货币,NFT,并进行质押,但我认为从账户的角度来看,还有很多事情是可以做的。StarkNet和zkSync遵循Vitalik的愿景推出了一项长期功能:帐户抽象.
1900/1/1 0:00:00作者:ChenglinPua亚马逊,国际电商与云计算服务一哥。在众多国际知名科技公司例如Meta、苹果、微软和谷歌都纷纷宣布布局元宇宙相关业务时,貌似亚马逊没有什么动作.
1900/1/1 0:00:00Fuel是一个很有趣的以太坊拓展层项目,其项目主要目的是提高以太坊的可扩展性,与其他L2链相同的是,都为了更高的吞吐量在努力,而不同的是,Fuel聚焦于在执行部分解决问题.
1900/1/1 0:00:00July.2022,VincyDataSource:FootprintAnalytics-NFTQ2Report报告PDF版本:https://footprint.cool/Jvz3在过去一年里,NFT经历疯狂NFT的牛市之后.
1900/1/1 0:00:00金色财经区块链8月4日讯?不出意外的话,本周五,全球珠宝巨头蒂芙尼将推出“NFTiff”,这套专属NFT系列限量250枚,每个定价为30ETH,约合5.1万美元.
1900/1/1 0:00:002022年,人们对元宇宙的兴趣猛增,几乎每周都有新报告称另一个组织投资Web3或创建新的NFT产品线。麦肯锡报告《虚拟世界中的价值创造》强调,到2022年,已经有超过1200亿美元注入虚拟世界,是2021年总额570亿美元的两倍多.
1900/1/1 0:00:00