加密资产,依托于区块链技术,确保了交易安全性和用户匿名性,然而,正如任何技术一样,它也具有双刃剑的特性。近年来,随着越来越多的人了解并接受加密货币,新加入的用户数量不断上升。然而,这也为不法分子提供了机会。他们利用加密资产的的不可逆性和抗篡改的特点,进行盗窃或诱骗,一旦用户资产被盗,几乎无法追回。
加密资产被盗的手段繁多,今天重点讨论两种最为严重的情况:恶意授权和助记词泄漏。不要以为资产被盗只是离我们很远的新闻;我曾经也这么认为,直到自己的资产在一次钓鱼网站攻击中被盗。那时,我才意识到自己在网络安全方面是多么地“裸露无遗”。
恶意授权的风险
- 质疑搜索结果的可靠性
我过去总认为Google的搜索结果最多是推送一些广告,而不会出现钓鱼网站。然而,我的资产正是因为误点了Google推送的广告而被盗,这个网站实际链接到了一个精心设计的钓鱼网站。在那里,我进行的所谓的“授权登陆”操作,实际上赋予了该网站无限额USDT操作的权限。因此,对任何搜索结果都要保存警惕。
- 细读授权内容
很多情况下,如果不慎进入钓鱼网站,你所看到的界面及弹出的Metamask钱包内容都可能被篡改,含有钓鱼代码。在这种情况下,最安全的做法是立即关闭网站。在中心化的网络环境中,我们常常习惯于不阅读条款就直接点击授权,黑客正是利用了这一点来盗取资产。因此,每次点击授权前,务必仔细阅读授权信息,并核查网址,这是保护资产的最后一道防线。
我们该如何防范?
- 使用Brave浏览器:这款浏览器为Web3而设计,比Chrome在拦截钓鱼网站方面更为有效,同时在隐私保护和广告拦截。我之前也测试过Chrome和Brave对钓鱼网站的反应,Chrome会直接放行,而Brave可以有效拦截,此外,这段浏览器在隐私保护和广告拦截上也有优势;
- 通过DefiLlama进入Defi项目:或者保存自己经常使用的Defi项目网址,这是大家保护自身资产的重要一步;
- 细读每一笔授权:从现在开始培养这一习惯;
- 定期检查和撤销不必要的存取权限:如果你经常使用dapp参与智能合约,建议定期检查和撤销不必要的权限。可采用Metamask官方推荐的方法来操作,具体详情可参见这里
助记词泄漏
- 避免主动提供敏感信息
黑客常以各种借口诱导用户泄露自己的助记词或私钥。在任何情况下,我们都不应向他人提供这些极为敏感的信息。
- 谨慎储存私钥和助记词
尽管Metamask等钱包可能存在潜在漏洞,但通过这些漏洞导致私钥或助记词泄漏的几率相对较低。有些用户担心遗忘助记词或私钥,选择将其明文保存在网盘等联网设备上,这种做法极为危险。我们应该尽一切努力避免助记词或私钥暴露于网络环境中。
- 分散管理资产
把所有资产集中在一个钱包地址是风险极大的行为。一旦该地址受到攻击,可能导致全部Token损失。
如何有效防范?
- 绝不泄露助记词或私钥:无论面对何种情况,都不要向他人展示或提供自己的助记词或私钥。
- 离线保存敏感信息:不要在任何联网设备上保存助记词或私钥,采用3拷贝的分布式离线保存方式。
- 资产分散管理:避免将所有资产放置于同一个钱包地址,以减少单一点风险。
- 积极使用硬件钱包:硬件钱包提供更高级别的安全保护,是管理数字资产的理想选择。
如果你有别的见解和看法,欢迎在下方评论或来邮交流([email protected])。