如何识别假钱包地址?为什么冷钱包仍然存在被黑客攻击的风险?这些攻击是如何发生的?什么样的人会成为黑客的目标?如何避免此类问题发生?
最近Web3频繁发生盗币事件,特别是备受关注的“ 1155 枚 WBTC 被盗事件”,引起了公众的广泛关注。加密资产的保护问题也成为了大家关注的焦点。针对这一事件,PoPP 和 OneKey 共同举办了一场场 Space 旨在向社区分享关于链上安全的问题,干货满满,给缺乏防范意识的新人们做了一场科普。
嘉宾:
PoPP CTO :Neo
OneKey Eco head:Cavin
主持:JY
本场 Space 主要围绕以下几个问题开展讨论:
1、如何识别假钱包地址?
2、Crypto 放在交易所和钱包,哪个更安全?
3、为什么冷钱包仍然存在被黑客攻击的风险?这些攻击是如何发生的?
4、什么样的人会成为黑客的目标?交易避坑/踩坑分享?
5、目前 PoPP 也聚集了很多用户,关于资产安全这块是怎么做的呢?
1. 如何识别假钱包地址?
关于如何识别假钱包地址的问题,Cavin 提到了两种方法。首先是在转账时仔细校对每一位数字和字母,避免被仿冒。其次,现在的主流的软件钱包它都有这个地址库的功能,包括 OKX、OneKey,你可以把你常用的地址可以去放到这个地址库里,以便快速选择正确地址。提醒大家在转账前务必确保环境安全,避免从交易记录上面去复制地址。
Neo 在分享中进行了一些其他补充。Neo 分享了他们团队的一个开发人员,他从来不信任何的热钱包,他只用他自己节点钱包来进行所有转账,用 mini 行来控制,当然这种我们普通人是做不到的。普通人可以从以下 4 个方面进行防范:
a、首先,确保安全环境,包括网络、VPN、手机和电脑环境。
b、其次,选择安全设备,如苹果设备或硬件钱包。
毋庸置疑的一个点是可能苹果的设备它会相对安全点,然后就是一些硬件钱包。当我们必须要 Android 安装其他一些软件的时候,建议使用一至两个主流的钱包即可。如果需要频繁的导入助记词的时候避免使用粘贴板。提醒大家不要下载太多钱包,仅在 APP 内进行更新。
c、再者,养成良好习惯,确认交易前进行小额测试转账。建议最好用扫码的形式向对方转账,转账前后彼此进行确认。
d、最后,每次转账后查看区块链浏览器确认转账细节。
如果你发现数额不对,或者是目标地址不对,那这个时候是还可以马上进行补救措施。你还可以马上去发起一笔新的交易,以更高的 gas 费去把你之前那笔交易给冲掉。还有可能挽回,但是如果一旦你转出成功了,或者你点了钓鱼软件,就可能真的没办法了。
2. Crypto 放在交易所和钱包,哪个更安全?
主持人 JY:
感谢 Neo 和 Cavin 的分享。想问一个问题,交易所和钱包哪个更安全?
Cavin:
从安全等级的角度来看,硬件钱包的安全等级是最高的。虽然硬件钱包的使用门槛和操作难度比热钱包高一些,但它不像热钱包那样方便。
交易所和热钱包安全性稍差,但应用性很好。建议将一部分资金放在可靠的交易所,如币安或 OKX,短期内不会出现大问题,但也不能完全信任。
建议在靠谱的交易所放置部分资金,不要放太多。对不常见协议,可以使用新的热钱包隔离管理。
Neo:
在研技术层面,安全永远是相对的,没有绝对安全,只是一个成本问题。
钱包:
如果放在钱包里,在你不触网的情况下,它是相对安全的。但是,在你涉及到和其他 dApp 的交互、链接的交互比较频繁之后,在这个过程中你的安全指数就会持续的下降。
交易所:
Crypto 在交易所里面较比热钱包而言安全是相对的,交易所没有单点故障。你去交易、买卖、划转都不会造成资产丢失。并且交易所能提供的优势——赔付的能力。就即便是你在交易所里面的钱丢了,那交易所是可以进行赔付的。
主持人 JY:例如,我的钱包互动和授权次数多,当我完成 NFT 销售后,我可以取消之前的授权吗?
Cavin:是的。如果没有定期检查合约授权是否取消的习惯,风险会逐渐增加。
3. 为什么冷钱包仍然存在被黑客攻击的风险?这些攻击是如何发生的?
主持人 JY:
明白了。我之前有一个朋友在将资金从 OKX 交易到 OKX 钱包时丢失了 126 万 USDT,工作人员表示可以冻结两小时,但后来他提到他的钱之前是存在冷钱包里的。请问为什么冷钱包仍然存在被黑客攻击的风险?这些攻击是如何发生的?
Cavin:
我认为这与冷钱包无关,可能是在资金转移过程中发生了问题。硬件钱包通常通过在芯片内存储私钥或助记词来保障安全。但当使用硬件钱包时需要联网,私钥存储在浏览器缓存或数据文件中,因此容易受到黑客攻击。
硬件钱包必须与软件钱包一起使用,签名过程在硬件钱包完成,您的私钥自始至终都不会接触互联网。
实际上是把这个过程转移到了物理设备上,它实际上有一个安全芯片(Secure ),通过使用芯片里面的私钥完成签名,签完名之后它会把这个签名传入到软件钱包,软件钱包获得钱包之后会把交易发到链上。所以签名过程是在您不联网的情况下在硬件钱包上完成的。
若硬件钱包丢失,只需将助记词导入新硬件钱包即可。然而,存在社会工程学攻击风险,黑客可能获取钱包解锁码来窃取资产。
硬件钱包设计原则在交易签名过程中加入二次确认,增加安全性。供应链攻击和内部攻击也是存在的风险,因此建议购买开源硬件钱包。在保证硬件钱包未被篡改的前提下,即使硬件钱包丢失,资产仍安全。
主持人 JY:
硬件钱包虽需联网签名,但并非百分之百安全。如何尽量避免此类情况?是否有其他识别方法?
Cavin:
OneKey 产品已获得 EAL 6+认证,安全性较高。黑客难以从硬件钱包导出私钥,暴力破解难度极高。软件钱包易受网络攻击,硬件钱包可隔离此过程。
Neo:
安全是相对的,私钥体系存在问题。资产管理需谨慎,不要依赖单一设备存储所有资产。做好备份,不要轻信任何看似安全的设备。我们将提出解决方案,如何更好地管理资产。
4. 什么样的人会成为黑客的目标?是满足了什么条件吗?
主持人 JY:什么样的人会成为黑客的目标?是满足了什么条件吗?
Cavin:
从 1155 个 WBTC 的案例中,我们推测黑客在实施攻击之前进行了哈希碰撞和模拟地址,采取了广撒网的方式,大概撒了几万个地址。通过交易会议记录可以发现黑客的习惯动作。用户需要做好防护措施,包括资金分管、在不同场景中隔离钱包、定期检查地址授权情况、养成良好的转账交易习惯。
Neo:
黑客可能通过放置钓鱼链接等方式无差别盗取资产,包括授权方式、模拟转账方式、盗取私钥方式。
黑客也可能针对个人,当发现链上资金较多时会发动攻击,通过社交信息给你发一些链接。或者说找你购买 USDT、给你发送邮件、模拟同事等等很多形式进行盗取。所以要注意不亲信任何人,点击陌生链接。
对于项目方,黑客可能会针对合约地址寻找漏洞进行攻击,项目方需要做好审计和用户资产校验。此外,黑客很可能攻击项目方的客服人员,通过加好友、发送消息等方式入侵电脑,获取内网信息进行资产盗取。针对企业和持有大额资产的用户,黑客更可能有组织、有预谋的入侵。团队需要进行培训,建立有效的防范措施。
用户 A 提问
如何识别和防范网络钓鱼和链接这种攻击呢?
Neo:
第一个,无论手机还是 PC 端,当你不确定这个链接是不是有效的时候,你可以利用谷歌浏览器的隐私模式或者匿名模式打开这个链接。
第二,当你需要在电脑端安装软件,我会建议使用像 CMC 这样的集合。你可以在项目方推特或者聚合平台公开的网站使用隐私模式访问,其次,使用一个空钱包链接。肉眼去识别官方的地址,一般情况下,官方的域名不很复杂。
Cavin:
补充:你还可以安装一些安全插件。其次,不建议从谷歌搜索项目网站。
用户 B 提问
加密资产或者现货放在交易所是否安全?
Neo:
任何的都是相对的安全交易所,你要看你放到哪个交易所。某些交易所具备一定的赔付能力,即便是你小额资产丢失了,他也可以赔给你,比如币安。但是合约里面的资产它有可能确实会消失;现货有可能没问题。注意的是小交易所跑路是很正常的,而且小交易所有可能扛不住黑客的攻击也可能会被盗。建议放在主流的、具备赔付能力的交易所。
5. 目前 PoPP 也聚集了很多用户,关于资产安全这块是怎么做的呢?
主持人 JY:目前 PoPP 也聚集了很多用户,关于资产安全这块是怎么做的呢?
Neo:
我们将资产安全放在首要位置,以下是我们所采取的几个重点措施:
首先是整个账号体系的安全管理:
我们目前采用 MPC 方式管理账号体系,并且在 2.0 版本中,即Q2、Q3时,我们将再次进行更新。个人认为目前使用 EOA 账号作为资产管理方式存在一定问题,因此更安全的方式是充分利用 EUA 账号和智能合约账号,将私钥仅用于签名目的。此外,将资产和操作隔离开是比较合理的方式。硬件钱包、软件钱包都可以提高私钥安全程度。资金安全放在智能合约中是更安全的方式。在账号体系中,我们会使用 MPC 的方案,将私钥分成三部分以增加安全性。(例如你自己的私钥泄漏了,或者平台的私钥泄露了,都是无法去完成这个签名过程的。因为还有一部分是给到安全机构的。)
智能合约账户,分为社交账号和虚拟账号。社交账号使用 ERC-6551 协议储存社交资产,在交互过程中可以进行多签和校验。(当你在交易的时候,如果某一个私钥泄露了,你可以更换你的私钥,而不会导致你总的资产丢失。)另外就是热门的 ERC-4337 的虚拟账号。虽然目前使用场景不是很多,但虚拟账号是一个潜在的发展趋势,会让账号体系逐步智能化。目前我们主要使用 ERC-6551 来支持你的社交账号的智能合约化。
其次是交互流程的安全性:
我们注意到更多的资产丢失发生在交互层,因此在 PoPP 2.0 版本中我们将发布社交插件,可以通过该插件访问项目方信息。当进行交互时,我们的社交插件将识别需要授权费白名单的项目并进行预警提示。此外,通过内置的 DEID 和插件,我们在交互流程中提供隔离层,以保护用户的资产和社交身份安全。
最后是我们的 AI 信息源:PoPP 会与安全项目方和数据方合作,披露白名单和黑名单信息,帮助用户获取安全信息。通过这三个层面,我们致力于保障用户的资产和社交体验安全。感谢大家的聆听。
