Münzdiebstähle kommen häufig vor. Was müssen wir über den Schutz von Krypto-Assets wissen?

Wie erkennt man gefälschte Wallet-Adressen? Warum besteht bei Cold Wallets immer noch die Gefahr, gehackt zu werden? Wie kommt es zu diesen Angriffen? Welche Menschen werden zum Ziel von Hackern? Wie vermeidet man solche Probleme?

In letzter Zeit kam es bei Web3 häufig zu Münzdiebstählen, insbesondere der viel beachtete Diebstahl von 1.155 WBTC, der große öffentliche Aufmerksamkeit erregte. Auch der Schutz von Kryptowährungsanlagen ist in den Mittelpunkt der Aufmerksamkeit gerückt. Als Reaktion auf diesen Vorfall veranstalteten PoPP und OneKey gemeinsam einen Space, um die Community über Probleme der On-Chain-Sicherheit zu informieren. Dieser Space war voller praktischer Informationen und bot eine populärwissenschaftliche Lektion für Neulinge, denen das Bewusstsein für Prävention fehlt.

Gäste:

• CTO von PoPP: Neo
• OneKey Eco-Leiter: Cavin

Gastgeber: JY

In diesem Bereich werden vor allem die folgenden Themen diskutiert:

1. Wie erkennt man gefälschte Wallet-Adressen?

2. Was ist sicherer: die Speicherung von Kryptowährungen in einer Börse oder in einem Wallet?

3. Warum besteht bei Cold Wallets immer noch die Gefahr, gehackt zu werden? Wie kommt es zu diesen Angriffen?

4. Welche Art von Menschen werden zum Ziel von Hackern? Wie vermeidet man Handelsfallen/wie teilt man seine Erfahrungen?

5. PoPP hat derzeit viele Benutzer angezogen. Wie gewährleistet es die Sicherheit der Vermögenswerte?

1. Wie erkennt man gefälschte Wallet-Adressen?

Cavin nennt zwei Methoden, um gefälschte Wallet-Adressen zu identifizieren. Die erste besteht darin, bei Geldüberweisungen jede Zahl und jeden Buchstaben sorgfältig zu überprüfen, um Fälschungen zu vermeiden. Zweitens verfügen die gängigen Software-Wallets, darunter OKX und OneKey Classic, über diese Adressbibliotheksfunktion. Sie können Ihre häufig verwendeten Adressen in diese Adressbibliothek einfügen, um schnell die richtige Adresse auszuwählen. Erinnern Sie alle daran, vor Geldüberweisungen sicherzustellen, dass die Umgebung sicher ist, und das Kopieren von Adressen aus Transaktionsaufzeichnungen zu vermeiden.

Neo fügte in seinem Beitrag noch einige weitere Dinge hinzu. Neo erzählte von einem Entwickler in seinem Team, der nie an Hot Wallets glaubte. Er verwendete nur sein eigenes Node Wallet, um alle Gelder zu transferieren und kontrollierte es mit einer Minibank. Natürlich können normale Leute wie wir das nicht tun. Normale Leute können aus den folgenden 4 Aspekten Vorsichtsmaßnahmen treffen:

• a. Sorgen Sie zunächst für eine sichere Umgebung, einschließlich Netzwerk, VPN, Mobiltelefon und Computerumgebung.
• b. Wählen Sie zweitens ein sicheres Gerät, beispielsweise ein Apple-Gerät oder eine Hardware-Wallet.

• Es besteht kein Zweifel, dass Apple-Geräte relativ sicher sind, und dann gibt es einige Hardware-Wallets. Wenn wir andere Software auf Android installieren müssen, wird empfohlen, ein oder zwei gängige Wallets zu verwenden. Wenn Sie häufig Mnemonics importieren müssen, vermeiden Sie die Verwendung der Zwischenablage. Erinnern Sie alle daran, nicht zu viele Wallets herunterzuladen und sie nur in der App zu aktualisieren.

• c. Machen Sie es sich außerdem zur guten Gewohnheit, vor der Bestätigung der Transaktion eine kleine Testüberweisung durchzuführen. Es wird empfohlen, dass Sie der anderen Partei Geld überweisen, indem Sie den Code scannen und sich vor und nach der Überweisung gegenseitig bestätigen.
• d. Überprüfen Sie abschließend den Blockchain-Browser, um die Übertragungsdetails nach jeder Übertragung zu bestätigen.

• Wenn Sie feststellen, dass der Betrag falsch ist oder die Zieladresse falsch ist, können Sie dennoch sofort Abhilfemaßnahmen ergreifen. Sie können auch sofort eine neue Transaktion mit einer höheren Gasgebühr einleiten, um Ihre vorherige Transaktion auszugleichen. Eine Wiederherstellung ist immer noch möglich, aber wenn Sie das Geld erfolgreich überweisen oder auf eine Phishing-Software klicken, können Sie möglicherweise nichts mehr tun.

2. Ist es sicherer, Kryptowährungen in einer Börse oder in einem Wallet aufzubewahren?

Gastgeber JY:

Danke an Neo und Cavin fürs Teilen. Ich möchte eine Frage stellen: Was ist sicherer, eine Börse oder eine Wallet?

Kavin:

Aus Sicht des Sicherheitsniveaus haben Hardware-Wallets das höchste Sicherheitsniveau. Obwohl die Schwelle für die Verwendung von Hardware-Wallets und der Schwierigkeitsgrad der Bedienung höher sind als bei Hot-Wallets, sind sie nicht so praktisch wie Hot-Wallets.

Börsen und Hot Wallets sind weniger sicher, aber sehr praktisch. Es wird empfohlen, einen Teil Ihrer Mittel in eine zuverlässige Börse wie Binance oder OKX zu investieren. Kurzfristig wird es keine größeren Probleme geben, aber Sie können ihnen nicht vollständig vertrauen.

Es wird empfohlen, einen Teil des Geldes in einer zuverlässigen Börse anzulegen, aber nicht zu viel. Für ungewöhnliche Protokolle können neue Hot Wallets zur isolierten Verwaltung verwendet werden.

Neo:

Auf technischer Ebene ist Sicherheit immer relativ. Absolute Sicherheit gibt es nicht, es ist immer nur eine Frage der Kosten.

Geldbörse:

Wenn Sie es in Ihrer Brieftasche aufbewahren und das Internet nicht berühren, ist es relativ sicher. Wenn Sie jedoch häufig mit anderen dApps interagieren und Links herstellen, sinkt Ihr Sicherheitsindex dabei weiter.

Austausch:

Krypto ist an Börsen relativ sicherer als an Hot Wallets. An Börsen gibt es keinen einzelnen Ausfallpunkt. Sie verlieren Ihr Vermögen nicht, wenn Sie handeln, kaufen, verkaufen oder überweisen. Und der Vorteil, den Börsen bieten können, ist die Möglichkeit zur Entschädigung. Selbst wenn Sie Ihr Geld an der Börse verlieren, kann die Börse Sie entschädigen.

Moderator JY: Beispielsweise hat mein Wallet viele Interaktionen und Autorisierungen. Kann ich die vorherige Autorisierung stornieren, wenn ich den NFT-Verkauf abschließe?

Cavin: Ja. Wenn man es sich nicht zur Gewohnheit macht, regelmäßig zu prüfen, ob die Vertragsvollmacht widerrufen wurde, steigt das Risiko mit der Zeit.

3. Warum besteht bei Cold Wallets immer noch die Gefahr, gehackt zu werden? Wie kommt es zu diesen Angriffen?

Gastgeber JY:

Verstanden. Ich hatte einen Freund, der 1,26 Millionen USDT verlor, als er Geld von OKX auf OKX-Wallet transferierte. Der Mitarbeiter sagte, dass es für zwei Stunden eingefroren werden könnte, aber dann erwähnte er, dass sein Geld vorher in einem Cold Wallet war. Warum besteht immer noch die Gefahr, dass Cold Wallets gehackt werden? Wie passieren diese Angriffe?

Kavin:

Ich denke, das hat nichts mit Cold Wallets zu tun und es kann beim Geldtransfer zu Problemen kommen. Hardware-Wallets gewährleisten die Sicherheit normalerweise, indem sie private Schlüssel oder Mnemonics im Chip speichern. Bei der Verwendung von Hardware-Wallets müssen Sie jedoch mit dem Internet verbunden sein und die privaten Schlüssel werden im Browser-Cache oder in Datendateien gespeichert, sodass sie anfällig für Hackerangriffe sind.

Hardware-Wallets müssen zusammen mit Software-Wallets verwendet werden. Der Signaturvorgang wird auf dem Hardware-Wallet abgeschlossen und Ihr privater Schlüssel kommt niemals mit dem Internet in Berührung.

Tatsächlich wird dieser Vorgang auf das physische Gerät übertragen. Es verfügt tatsächlich über einen sicheren Chip (Secure). Die Signatur wird mithilfe des privaten Schlüssels im Chip vervollständigt. Nach der Signatur wird die Signatur an die Software-Wallet weitergeleitet. Nachdem die Software-Wallet die Wallet erhalten hat, sendet sie die Transaktion an die Kette. Der Signaturvorgang wird also auf der Hardware-Wallet abgeschlossen, ohne dass Sie mit dem Internet verbunden sind.

Wenn das Hardware-Wallet verloren geht, müssen Sie die mnemonische Phrase nur in ein neues Hardware-Wallet importieren. Allerdings besteht das Risiko von Social-Engineering-Angriffen, und Hacker könnten den Entsperrcode des Wallets in die Hände bekommen, um Vermögenswerte zu stehlen.

Das Designprinzip von Hardware-Wallets besteht darin, während des Transaktionssignaturprozesses eine zweite Bestätigung hinzuzufügen, um die Sicherheit zu erhöhen. Angriffe auf die Lieferkette und interne Angriffe stellen ebenfalls Risiken dar, daher wird empfohlen, Open-Source-Hardware-Wallets zu erwerben. Unter der Prämisse, sicherzustellen, dass das Hardware-Wallet nicht manipuliert wurde, sind die Vermögenswerte auch bei Verlust des Hardware-Wallets weiterhin sicher.

Gastgeber JY:

Obwohl Hardware-Wallets eine Online-Signatur erfordern, sind sie nicht 100%-sicher. Wie können wir solche Situationen möglichst vermeiden? Gibt es andere Identifizierungsmethoden?

Kavin:

OneKey-Produkte haben die EAL 6+-Zertifizierung erhalten und sind hochsicher. Für Hacker ist es schwierig, private Schlüssel aus Hardware-Wallets zu exportieren, und das Knacken mit Brute-Force-Angriffen ist äußerst schwierig. Software-Wallets sind anfällig für Netzwerkangriffe und Hardware-Wallets können diesen Prozess isolieren.

Neo:

Sicherheit ist relativ und es gibt Probleme mit dem privaten Schlüsselsystem. Seien Sie bei der Verwaltung von Vermögenswerten vorsichtig und verlassen Sie sich nicht auf ein einziges Gerät, um alle Ihre Vermögenswerte zu speichern. Erstellen Sie Backups und vertrauen Sie keinem scheinbar sicheren Gerät. Wir schlagen Lösungen vor, wie Sie Vermögenswerte besser verwalten können.

4. Welche Menschen werden zum Ziel von Hackern? Welche Voraussetzungen müssen erfüllt sein?

Moderator JY: Welche Menschen werden zum Ziel von Hackern? Welche Voraussetzungen müssen erfüllt sein?

Kavin:

Aus den Fällen von 1.155 WBTC schlussfolgern wir, dass der Hacker vor dem Angriff Hash-Kollisionen durchgeführt und Adressen simuliert hat und dabei ein weites Netz ausgeworfen hat, das wahrscheinlich Zehntausende von Adressen umfasst. Die üblichen Aktionen des Hackers können durch Transaktionsprotokolle ermittelt werden. Benutzer müssen Schutzmaßnahmen ergreifen, darunter Fondsverwaltung, Isolierung von Wallets in verschiedenen Szenarien, regelmäßige Überprüfung der Adressautorisierung und Entwicklung guter Transfertransaktionsgewohnheiten.

Neo:

Hacker können wahllos Vermögenswerte stehlen, indem sie Phishing-Links platzieren, Autorisierungsmethoden und simulierte Übertragungsmethoden verwenden oder private Schlüssel stehlen.

Hacker können auch Einzelpersonen ins Visier nehmen. Wenn sie feststellen, dass sich eine große Menge an Geld auf der Kette befindet, starten sie Angriffe und senden Ihnen einige Links über soziale Nachrichten. Oder sie fordern Sie auf, USDT zu kaufen, senden Ihnen E-Mails, geben sich als Kollegen aus und stehlen auf viele andere Arten. Seien Sie also vorsichtig und vertrauen Sie niemandem und klicken Sie auf unbekannte Links.

Auf der Projektseite können Hacker die Vertragsadresse gezielt auf Schwachstellen ausrichten und angreifen. Die Projektseite muss die Benutzerressourcen sorgfältig prüfen und verifizieren. Darüber hinaus greifen Hacker wahrscheinlich das Kundendienstpersonal der Projektseite an, dringen in den Computer ein, indem sie Freunde hinzufügen, Nachrichten senden usw., erhalten Intranet-Informationen und stehlen Ressourcen. Hacker haben eher organisierte und vorsätzliche Eindringversuche gegen Unternehmen und Benutzer mit großen Ressourcen unternommen. Das Team muss geschult werden und wirksame Präventionsmaßnahmen einführen.

Benutzer A hat eine Frage gestellt

Wie lassen sich Phishing- und Link-Angriffe erkennen und verhindern?

Neo:

Erstens: Wenn Sie sich nicht sicher sind, ob der Link gültig ist, können Sie – egal ob auf einem Mobiltelefon oder einem PC – den Datenschutzmodus oder den Inkognito-Modus von Google Chrome verwenden, um den Link zu öffnen.

Zweitens, wenn Sie Software auf Ihrem Computer installieren müssen, würde ich die Verwendung einer Sammlung wie CMC empfehlen. Sie können den Datenschutzmodus verwenden, um auf die Twitter-Projekte oder die öffentliche Website der Aggregationsplattform zuzugreifen. Zweitens, verwenden Sie einen leeren Wallet-Link. Verwenden Sie Ihr bloßes Auge, um die offizielle Adresse zu identifizieren. Im Allgemeinen ist der offizielle Domänenname nicht sehr kompliziert.

Kavin:

Hinzugefügt: Sie können auch einige Sicherheits-Plugins installieren. Zweitens wird nicht empfohlen, bei Google nach Projektwebsites zu suchen.

Benutzer B stellt eine Frage

Ist es sicher, Krypto-Assets oder Spotprodukte an Börsen aufzubewahren?

Neo:

Jeder Austausch ist relativ sicher. Es hängt davon ab, an welchem Austausch Sie ihn platzieren. Einige Börsen haben eine gewisse Fähigkeit, Entschädigungen zu zahlen. Selbst wenn Sie eine kleine Menge an Vermögenswerten verlieren, können sie Sie entschädigen, wie z. B. Binance. Die Vermögenswerte im Vertrag können jedoch verschwinden; der Spot kann in Ordnung sein. Es ist zu beachten, dass es normal ist, dass kleine Börsen weglaufen, und kleine Börsen können Hackerangriffen möglicherweise nicht standhalten und können gestohlen werden. Es wird empfohlen, ihn an einem Mainstream-Austausch mit Entschädigungsmöglichkeiten zu platzieren.

5. PoPP hat derzeit viele Benutzer angezogen. Wie gewährleistet es die Sicherheit der Vermögenswerte?

Moderator JY: PoPP hat derzeit viele Benutzer angezogen. Wie gewährleistet es die Sicherheit der Vermögenswerte?

Neo:

Die Sicherheit unserer Vermögenswerte steht bei uns an erster Stelle. Hier sind einige wichtige Maßnahmen, die wir ergriffen haben:

Das erste ist das Sicherheitsmanagement des gesamten Kontosystems:

Wir verwenden derzeit die MPC-Methode zur Verwaltung des Kontosystems und werden sie in Version 2.0, also Q2 und Q3, erneut aktualisieren. Ich persönlich denke, dass die Verwendung von EOA-Konten als Vermögensverwaltungsmethode gewisse Probleme mit sich bringt. Daher ist es sicherer, EUA-Konten und Smart-Contract-Konten voll auszunutzen und private Schlüssel nur zum Signieren zu verwenden. Darüber hinaus ist dies eine vernünftigere Methode, um Vermögenswerte und Operationen zu trennen. Hardware-Wallets und Software-Wallets können die Sicherheit privater Schlüssel verbessern. Dies ist eine sicherere Methode, um die Sicherheit von Geldern in Smart Contracts sicherzustellen. Im Kontosystem werden wir die MPC-Lösung verwenden, um den privaten Schlüssel in drei Teile aufzuteilen und so die Sicherheit zu erhöhen. (Wenn beispielsweise Ihr eigener privater Schlüssel oder der private Schlüssel der Plattform durchsickert, können Sie den Signiervorgang nicht abschließen. Da ein anderer Teil an die Sicherheitsagentur weitergegeben wird.)

Smart-Contract-Konten werden in soziale Konten und virtuelle Konten unterteilt. Soziale Konten verwenden das ERC-6551-Protokoll zum Speichern sozialer Assets und können während des Interaktionsprozesses mehrere Signaturen und Überprüfungen durchführen. (Wenn beim Handel ein privater Schlüssel durchsickert, können Sie Ihren privaten Schlüssel ändern, ohne Ihr gesamtes Vermögen zu verlieren.) Ein weiteres beliebtes virtuelles ERC-4337-Konto. Obwohl es derzeit nicht viele Nutzungsszenarien gibt, sind virtuelle Konten ein potenzieller Entwicklungstrend, der das Kontosystem schrittweise intelligenter machen wird. Derzeit verwenden wir hauptsächlich ERC-6551, um die intelligente Vertragsgestaltung Ihrer sozialen Konten zu unterstützen.

Der zweite Punkt ist die Sicherheit des Interaktionsprozesses:

Wir haben festgestellt, dass auf der Interaktionsebene mehr Vermögensverluste auftraten. Daher werden wir in PoPP 2.0 ein soziales Plug-in veröffentlichen, das auf Informationen zu Projektbeteiligten zugreifen kann. Bei der Interaktion identifiziert unser soziales Plug-in Projekte, die für Autorisierungsgebühren auf die Whitelist gesetzt werden müssen, und gibt frühzeitig Warnmeldungen aus. Darüber hinaus bieten wir durch integrierte DEID und Plug-ins eine Isolationsebene im Interaktionsprozess, um die Vermögenswerte und die Sicherheit der sozialen Identität der Benutzer zu schützen.

Und schließlich unsere KI-Informationsquelle: PoPP wird mit Sicherheitsprojektparteien und Datenparteien zusammenarbeiten, um Whitelist- und Blacklist-Informationen offenzulegen, damit Benutzer Sicherheitsinformationen erhalten. Auf diesen drei Ebenen setzen wir uns dafür ein, die Sicherheit der Benutzerressourcen und des sozialen Erlebnisses zu gewährleisten. Vielen Dank fürs Zuhören.

Dieser Artikel stammt aus dem Internet: Münzdiebstahl kommt häufig vor. Was müssen wir über den Schutz von Krypto-Assets wissen?

Verwandte Themen: Pump PVP-Handbuch: Scythe und Leek fördern die gegenseitige Evolution

Original | Odaily Planet Daily Autor | Nanzhi Bevor Pump.fun populär wurde, waren Solana-Meme-Investoren aus Sicherheitsgründen hauptsächlich 10u War Gods, um zu verhindern, dass Rug-Operationen wie DEV Liquidität abziehen. Im März begannen unter dem Einfluss von BOME und SLERF supergroße Pools von Meme-Token auf Solana populär zu werden, aber es erreichte auch wieder einen Gefrierpunkt aufgrund von Faktoren wie dem allgemeinen Marktrückgang und der zunehmenden Zahl von Ausreißervorfällen. Seitdem hat Pump die Oberhand gewonnen – bequeme Eröffnungsmethoden und sichere Token-Bestätigung haben Meme-Token auf Solana wieder populär gemacht. Unter dem Einfluss des Angriffs startete Pump.fun ein 7-tägiges Null-Gebühren-Event. Die Anzahl der neuen Token auf Solana hat weiterhin neue historische Höchststände erreicht, wobei täglich mehr als 20.000 neue Token hinzugefügt wurden. Allerdings…