icon_install_ios_web icon_install_ios_web значок_установки_android_web
bee.com
bee.com
Поиск
изменить язык
Английский
вниз приложение
bee.com bee.com bee.com
изменить язык
Пополнить монеты

Инциденты с кражей монет происходят часто. Что нам нужно знать о защите криптоактивов?

Анализ6 месяцев назадUpdate 6086см...
124 0

 

Инциденты с кражей монет происходят часто. Что нам нужно знать о защите криптоактивов?

Как определить поддельные адреса кошельков? Почему холодные кошельки все еще подвержены риску взлома? Как происходят эти атаки? Какие люди становятся целями хакеров? Как избежать подобных проблем?

В последнее время Web3 часто сталкивался с кражей монет, особенно нашумевший инцидент с кражей 1155 WBTC, который привлек широкое внимание общественности. Защита зашифрованных активов также оказалась в центре внимания всех. В ответ на этот инцидент PoPP и OneKey совместно провели Space, чтобы поделиться с сообществом проблемами безопасности в цепочке, которая была полна практической информации и предоставила научно-популярный урок для новичков, которые не знают о профилактике.

Гости:

  • PoPP технический директор: Neo
  • Руководитель OneKey Eco: Кэвин

Ведущий: JY

В этом пространстве в основном обсуждаются следующие вопросы:

1. Как определить поддельные адреса кошельков?

2. Что безопаснее — хранить криптовалюту на бирже или в кошельке?

3. Почему холодные кошельки все еще подвержены риску взлома? Как происходят эти атаки?

4. Какие люди станут целью хакеров? Как избежать ловушек в трейдинге/поделитесь опытом?

5. В настоящее время PoPP привлек множество пользователей. Как он обеспечивает безопасность активов?

1. Как определить поддельные адреса кошельков?

Касательно того, как определить поддельные адреса кошельков, Кавин упомянул два метода. Первый — тщательно проверять каждую цифру и букву при переводе денег, чтобы избежать подделки. Во-вторых, в современных основных программных кошельках есть эта функция библиотеки адресов, включая OKX и OneKey Classic. Вы можете поместить свои часто используемые адреса в эту библиотеку адресов, чтобы быстро выбрать правильный адрес. Напомните всем, чтобы они убедились, что среда безопасна, прежде чем переводить деньги, и избегайте копирования адресов из записей транзакций.

Neo сделал некоторые другие дополнения в своем обмене. Neo поделился разработчиком в своей команде, который никогда не верил ни в какие горячие кошельки. Он использовал только свой собственный узел кошелька для перевода всех средств и контролировал его с помощью мини-банка. Конечно, обычные люди, такие как мы, не могут этого сделать. Обычные люди могут принять меры предосторожности из следующих 4 аспектов:

  • а. Во-первых, обеспечьте безопасную среду, включая сеть, VPN, мобильный телефон и компьютерную среду.
  • б. Во-вторых, выберите защищенное устройство, например устройство Apple или аппаратный кошелек.
  • Нет сомнений, что устройства Apple относительно безопасны, и есть некоторые аппаратные кошельки. Когда нам нужно установить другое программное обеспечение на Android, рекомендуется использовать один или два основных кошелька. Если вам нужно часто импортировать мнемоники, избегайте использования буфера обмена. Напомните всем не загружать слишком много кошельков и обновлять их только в приложении.
  • c. Кроме того, выработайте хорошую привычку проводить небольшой тестовый перевод перед подтверждением транзакции. Рекомендуется переводить деньги другой стороне, сканируя код, и подтверждать друг друга до и после перевода.
  • г. Наконец, проверяйте блокчейн-браузер, чтобы подтвердить детали перевода после каждого перевода.
  • Если вы обнаружили, что сумма неверна или целевой адрес неверен, вы все равно можете немедленно принять меры по исправлению положения. Вы также можете немедленно инициировать новую транзакцию с более высокой комиссией за газ, чтобы компенсировать предыдущую транзакцию. Восстановление все еще возможно, но если вы успешно переведете деньги или нажмете на фишинговое ПО, вы, возможно, ничего не сможете сделать.

2. Где безопаснее хранить криптовалюту: на бирже или в кошельке?

Ведущий JY:

Спасибо Neo и Cavin за то, что поделились. Хочу задать вопрос, что безопаснее, биржа или кошелек?

Кэвин:

С точки зрения уровня безопасности, аппаратные кошельки имеют самый высокий уровень безопасности. Хотя порог использования аппаратных кошельков и сложность эксплуатации выше, чем у горячих кошельков, они не так удобны, как горячие кошельки.

Биржи и горячие кошельки менее безопасны, но они очень практичны. Рекомендуется положить часть своих средств на надежную биржу, такую как Binance или OKX. В краткосрочной перспективе серьезных проблем не возникнет, но полностью доверять им нельзя.

Рекомендуется разместить часть средств на надежной бирже, но не слишком много. Для необычных протоколов можно использовать новые горячие кошельки для изолированного управления.

Нео:

На техническом уровне безопасность всегда относительна. Абсолютной безопасности не существует, это всего лишь вопрос стоимости.

кошелек:

Если вы храните его в своем кошельке и не выходите в Интернет, он относительно безопасен. Однако после того, как вы взаимодействуете с другими dApps и часто подключаетесь, ваш индекс безопасности будет продолжать снижаться в процессе.

Обмен:

Криптовалюта относительно безопаснее на биржах, чем горячие кошельки. На биржах нет единой точки отказа. Вы не потеряете свои активы, когда торгуете, покупаете, продаете или переводите. И преимущество, которое могут предоставить биржи, — это возможность компенсации. Даже если вы потеряете свои деньги на бирже, биржа может компенсировать вам.

Модератор JY: Например, мой кошелек имеет много взаимодействий и авторизаций. Когда я завершу продажу NFT, могу ли я отменить предыдущую авторизацию?

Кэвин: Да. Если у вас нет привычки регулярно проверять, не отменено ли разрешение на контракт, риск будет постепенно увеличиваться.

3. Почему холодные кошельки все еще подвержены риску взлома? Как происходят эти атаки?

Ведущий JY:

Понятно. У меня был друг, который потерял 1,26 млн USDT, когда он перевел средства с OKX на кошелек OKX. Персонал сказал, что их можно заморозить на два часа, но потом он упомянул, что его деньги ранее были на холодном кошельке. Почему все еще существует риск взлома холодных кошельков? Как происходят эти атаки?

Кэвин:

Я думаю, что это не имеет никакого отношения к холодным кошелькам, и может возникнуть проблема при переводе средств. Аппаратные кошельки обычно обеспечивают безопасность, храня приватные ключи или мнемоники в чипе. Однако при использовании аппаратных кошельков необходимо подключение к Интернету, а приватные ключи хранятся в кэше браузера или файлах данных, поэтому они уязвимы для хакерских атак.

Аппаратные кошельки должны использоваться вместе с программными кошельками. Процесс подписания завершается на аппаратном кошельке, и ваш закрытый ключ никогда не попадет в Интернет.

Фактически, этот процесс переносится на физическое устройство. На самом деле, у него есть защищенный чип (Secure). Подпись завершается с использованием закрытого ключа в чипе. После подписания он передаст подпись программному кошельку. После того, как программный кошелек получит кошелек, он отправит транзакцию в цепочку. Таким образом, процесс подписания завершается на аппаратном кошельке без вашего подключения к Интернету.

Если аппаратный кошелек утерян, вам нужно только импортировать мнемоническую фразу в новый аппаратный кошелек. Однако существует риск атак социальной инженерии, и хакеры могут получить код разблокировки кошелька, чтобы украсть активы.

Принцип разработки аппаратных кошельков заключается в добавлении второго подтверждения в процессе подписания транзакции для повышения безопасности. Атаки на цепочки поставок и внутренние атаки также представляют собой риски, поэтому рекомендуется приобретать аппаратные кошельки с открытым исходным кодом. При условии обеспечения того, что аппаратный кошелек не был взломан, даже если аппаратный кошелек будет утерян, активы по-прежнему будут в безопасности.

Ведущий JY:

Хотя аппаратные кошельки требуют онлайн-подписей, они не являются 100% безопасными. Как можно максимально избегать таких ситуаций? Существуют ли другие методы идентификации?

Кэвин:

Продукты OneKey получили сертификацию EAL 6+ и обладают высокой степенью безопасности. Хакерам сложно экспортировать закрытые ключи из аппаратных кошельков, а взлом методом грубой силы крайне затруднен. Программные кошельки уязвимы для сетевых атак, а аппаратные кошельки могут изолировать этот процесс.

Нео:

Безопасность относительна, и есть проблемы с системой закрытых ключей. Будьте осторожны при управлении активами и не полагайтесь на одно устройство для хранения всех ваших активов. Делайте резервные копии и не доверяйте никакому, казалось бы, безопасному устройству. Мы предложим решения, как лучше управлять активами.

4. Какие люди становятся мишенью хакеров? Какие условия должны быть соблюдены?

Ведущий JY: Какие люди становятся мишенью хакеров? Какие условия должны быть соблюдены?

Кэвин:

Из случаев 1155 WBTC мы предполагаем, что хакер выполнил хэш-коллизии и смоделировал адреса перед началом атаки, запустив широкую сеть, вероятно, охватывающую десятки тысяч адресов. Обычные действия хакеров можно найти в записях встреч транзакций. Пользователям необходимо принять защитные меры, включая управление фондами, изоляцию кошельков в различных сценариях, регулярную проверку авторизации адресов и выработку хороших привычек транзакций переводов.

Нео:

Хакеры могут беспорядочно красть активы, размещая фишинговые ссылки, включая методы авторизации, методы имитации переводов и кражу закрытых ключей.

Хакеры также могут нападать на отдельных лиц. Когда они обнаруживают, что в цепочке много средств, они начинают атаки и отправляют вам ссылки через социальные сообщения. Или они могут попросить вас купить USDT, отправлять вам электронные письма, выдавать себя за коллег и воровать многими другими способами. Поэтому будьте осторожны, не доверяйте никому и не переходите по незнакомым ссылкам.

Для стороны проекта хакеры могут нацеливаться на адрес контракта для уязвимостей и атаковать. Сторона проекта должна хорошо поработать над аудитом и проверкой пользовательских активов. Кроме того, хакеры, скорее всего, будут атаковать персонал службы поддержки клиентов стороны проекта, вторгаться в компьютер, добавляя друзей, отправляя сообщения и т. д., получать информацию из интрасети и воровать активы. Хакеры, скорее всего, будут организовывать и преднамеренно вторгаться в предприятия и пользователей с большими активами. Команду необходимо обучить и разработать эффективные профилактические меры.

Пользователь А задал вопрос

Как распознать и предотвратить фишинговые и ссылочные атаки?

Нео:

Во-первых, если вы не уверены в корректности ссылки, будь то на мобильном телефоне или ПК, вы можете воспользоваться режимом конфиденциальности Google Chrome или режимом инкогнито, чтобы открыть ссылку.

Во-вторых, когда вам нужно установить программное обеспечение на свой компьютер, я бы рекомендовал использовать коллекцию, например CMC. Вы можете использовать режим конфиденциальности для доступа к проектам Twitter или публичному веб-сайту платформы агрегации. Во-вторых, используйте ссылку на пустой кошелек. Используйте свои невооруженные глаза, чтобы определить официальный адрес. Обычно официальное доменное имя не очень сложное.

Кэвин:

Добавлено: Вы также можете установить некоторые плагины безопасности. Во-вторых, не рекомендуется искать сайты проектов в Google.

Пользователь B задает вопрос

Безопасно ли хранить криптоактивы или спотовые продукты на биржах?

Нео:

Любая биржа относительно безопасна. Это зависит от того, на какую биржу вы ее поместите. Некоторые биржи имеют определенную возможность выплачивать компенсацию. Даже если вы потеряете небольшое количество активов, они могут компенсировать вам это, например, Binance. Однако активы в контракте могут исчезнуть; место может быть в порядке. Следует отметить, что это нормально, когда небольшие биржи убегают, и небольшие биржи могут не выдержать хакерских атак и могут быть украдены. Рекомендуется помещать его на основную биржу с возможностями компенсации.

5. В настоящее время PoPP привлек множество пользователей. Как он обеспечивает безопасность активов?

Ведущий JY: В настоящее время PoPP привлек множество пользователей. Как он обеспечивает безопасность активов?

Нео:

Мы ставим безопасность активов на первое место. Вот некоторые ключевые меры, которые мы приняли:

Первое — это управление безопасностью всей системы учетных записей:

В настоящее время мы используем метод MPC для управления системой счетов, и в версии 2.0, то есть Q2 и Q3, мы снова обновим его. Я лично считаю, что существуют определенные проблемы с использованием счетов EOA в качестве метода управления активами, поэтому более безопасным способом является полное использование счетов EUA и счетов смарт-контрактов и использование закрытых ключей только для целей подписания. Кроме того, это более разумный способ разделения активов и операций. Аппаратные кошельки и программные кошельки могут повысить безопасность закрытых ключей. Это более безопасный способ обеспечить безопасность средств в смарт-контрактах. В системе счетов мы будем использовать решение MPC для разделения закрытого ключа на три части для повышения безопасности. (Например, если ваш собственный закрытый ключ будет украден или будет украден закрытый ключ платформы, вы не сможете завершить процесс подписания. Потому что другая часть будет передана агентству безопасности.)

Учетные записи смарт-контрактов делятся на социальные учетные записи и виртуальные учетные записи. Социальные учетные записи используют протокол ERC-6551 для хранения социальных активов и могут выполнять мультиподпись и верификацию в процессе взаимодействия. (Когда вы торгуете, если происходит утечка закрытого ключа, вы можете изменить свой закрытый ключ, не теряя при этом всех своих активов.) Еще одна популярная виртуальная учетная запись ERC-4337. Хотя в настоящее время существует не так много сценариев использования, виртуальные учетные записи являются потенциальной тенденцией развития, которая постепенно сделает систему учетных записей интеллектуальной. В настоящее время мы в основном используем ERC-6551 для поддержки смарт-контрактизации ваших социальных учетных записей.

Второе — безопасность процесса взаимодействия:

Мы заметили, что больше потерь активов произошло на уровне взаимодействия, поэтому в PoPP 2.0 мы выпустим социальный плагин, который может получить доступ к информации о сторонах проекта. При взаимодействии наш социальный плагин будет определять проекты, которые необходимо внести в белый список для авторизационных сборов, и выдавать ранние предупреждающие подсказки. Кроме того, с помощью встроенного DEID и плагинов мы предоставляем слой изоляции в процессе взаимодействия для защиты активов пользователей и безопасности социальной идентичности.

Наконец, наш источник информации об ИИ: PoPP будет сотрудничать со сторонами проекта безопасности и сторонами данных для раскрытия информации о белых и черных списках, чтобы помочь пользователям получить информацию о безопасности. С помощью этих трех уровней мы стремимся обеспечить безопасность активов и социального опыта пользователей. Спасибо за внимание.

Эта статья взята из интернета: Инциденты с кражей монет происходят часто. Что нам нужно знать о защите криптоактивов?

Связанный: Руководство по PVP Pump: Коса и Лук-порей способствуют взаимной эволюции

Оригинал | Odaily Planet Daily Автор | Nanzhi До того, как Pump.fun стал популярным, инвесторами Solana Meme были в основном 10u War Gods из соображений безопасности, чтобы предотвратить операции Rug, такие как DEV, изымающие ликвидность. В марте под влиянием BOME и SLERF сверхбольшие пулы токенов Meme начали становиться популярными на Solana, но они также снова достигли точки замерзания из-за таких факторов, как общий спад рынка и растущее количество инцидентов с выходом из-под контроля. С тех пор Pump взял верх — удобные методы открытия и безопасное одобрение токенов снова сделали токены Meme популярными на Solana. Под влиянием атаки Pump.fun запустил 7-дневное мероприятие с нулевой комиссией. Количество новых токенов на Solana продолжало устанавливать новые исторические максимумы, ежедневно добавлялось более 20 000 новых токенов. Однако…

 

© Copyright Notice
Авторские права на статью принадлежат автору, просьба не перепечатывать без разрешения.

Related articles

Вот почему Toncoin (TON) может упасть ниже $5 на фоне продолжающегося пессимизма инвесторов
Аватар 6086cf14eb90bc67ca4fc62b
336 0
Одобрены варианты биткоин-ETF. Ожидает ли биткоин взрывного роста?
Аватар 6086cf14eb90bc67ca4fc62b
15 0
Two Reasons Why Bitcoin’s Path to $90,000 Faces Roadblocks
админ админ
878 37
Разблокировка токенов на одну неделю: OP разблокирует токенов на сумму $50 миллионов
Аватар 6086cf14eb90bc67ca4fc62b
42 0
Соучредитель Delphi Digital: Дилемму разблокировки токенов трудно изменить, а эпоха ICO лучше подходит для розничных инвестиций
Аватар 6086cf14eb90bc67ca4fc62b
56 0
Ethereum воссоздает «лающую сотню собак»: мем с прототипом собаки SHIBA вырос в 50 раз за один день
Аватар 6086cf14eb90bc67ca4fc62b
28 0