风险提示:央行等十部委发布《关于进一步防范和处置虚拟货币交易炒作风险的通知》, 请读者提高风险意识。

Bankless:安全指南——保护链上资产的10个关键步骤

如果你找不到好的文档和类似的教育资源,这本身就是一个很大的危险信号。

MarsBit
MarsBit
热度 ...

原文来源:bankless

原文作者:WilliamM.Peaster

原文标题:10StepsforCryptoSecurity

编译:Yvonne,MarsBit

注:原文来自William M. Peaster发布长文,MatsBit整理编译。

仿冒Bankless的网络钓鱼诈骗呈上升趋势。

成功的网络钓鱼攻击取决于三个主要因素:

1.看起来足够真实的虚假机会(通常是一个声称空投申领的网站或NFT铸造页面)

2.受害者轻信虚假机会,并签署恶意交易;

3.受害者在其被攻击的钱包中拥有有价值的代币批准,攻击者可以通过恶意交易加以利用。

凭借一个像样的宣传和网站,我们中的任何一个人都可能被钓鱼者欺骗。

幸运的是,我们可以将一系列实践和资源整合在一起,以消除签署错误交易的可能性,或有效地将影响最小化。

以下是2023年防御加密骗局的10个重要步骤👇

1. 创建保险库

安全

策略:为加密资产创建一个多签钱包

推荐工具:Safe wallet

多签钱包,通常被称为“保险库”,类似于加密版本的安全银行存储。它通过要求多个私钥(即钱包)来授权交易,从而为加密交易提供更高的安全性。

因此,多签就像一个数字堡垒,可以确保即使你的一个密钥被泄露,资产安全仍将受到保护。

如今,创建多重签名最简单的方法之一就是创建一个安全账户。你可以添加任何你想要的地址作为签名者,但从2-of-3多重签名开始很简单。此外,可以考虑使用硬件钱包(如Ledger设备)作为你的签名者,以增加一层安全性。

2. 启用风险钱包

安全

策略:创建一个专门为日常活动设置的风险钱包

推荐工具:Delegate

永远不要使用你的保险库进行日常的加密活动,如空投申领或NFT铸造。对于这些事情,设置一个单独的专用钱包,只需根据需要充值ETH。

你不应该将所有的链上资产存储于一个经常使用的钱包。你可以考虑像Delegate这样的服务,将你的保险库钱包的权限委托给风险钱包,而无需移动或危及任何资产。例如,你可以参与一个你的保险库 NFT 符合资格的白名单铸币活动。

这样,即使你不小心用风险钱包签了一笔糟糕的交易,你长期储蓄的资产也不会受到影响。

3. 使用交易预览工具

安全

策略:下载一个交易预览器工具,提醒自己注意恶意的交易尝试。

推荐工具:FirePocket UniverseStelo

等一下,如果我并不将6万美元和所有的NFT转移到这个随机地址,怎么办?这正是预览器工具帮助你在批准任何内容之前可视化的信息。

这些工具是免费的浏览器扩展程序,你可以下载,它将为你提供弹出窗口,解释所有拟议的交易。这些扩展是防止网络钓鱼事件的神奇屏障,所以请确保在所有交易中都使用其中之一。

4. 审核代币批准

安全

策略:删除无限制的代币支出批准

推荐工具: Revoke.cash

许多基于以太坊的应用程序,例如DeFi协议,会要求你批准“无限制”的代币支出,以便无需不断重新批准在这些应用程序上使用资金。

问题何在?如果你的钱包被攻击,并且你有一堆正在进行的无限代币批准,攻击者可以清空所有内容。

因此,你需要定期监控未决批准,并在可能的情况下撤销或最小化无限批准。revoke.cash平台使编辑你的批准变得轻而易举,所以不要忽视它。

5. 前期研究

安全

策略:在尝试之前先研究一下你感兴趣的项目。

关于【Bankless:安全指南——保护链上资产的10个关键步骤】的延伸阅读

  • 慢雾:Chrome 恶意扩展盗取百万美金解惑

    推特用户@CryptoNakamao分享了自己因下载恶意Chrome扩展而被盗100万美金的经历,引发加密社区对扩展风险的关注。慢雾安全团队发布了虚假Chrome扩展盗窃分析,并提供了防范风险的建议。Chrome扩展具有灵活性和多样性,但也存在安全风险,用户需谨慎选择并仔细阅读权限声明。恶意扩展可以通过多种方式窃取用户的敏感信息和资金,个人用户和交易平台可以采取措施防范风险。慢雾安全团队建议用户谨慎安装软件和插件,并提供了《区块链黑暗森林自救手册》来帮助用户提高安全意识。

  • 慢雾:Chrome 恶意扩展盗取百万美金解惑

    推特用户@CryptoNakamao分享了自己因下载恶意Chrome扩展而被盗100万美金的经历,引发加密社区对扩展风险的关注。慢雾安全团队发布了虚假Chrome扩展盗窃分析,并提供了防范风险的建议。Chrome扩展具有灵活性和多样性,但也存在安全风险,用户需谨慎选择并仔细阅读权限声明。恶意扩展可以通过多种方式窃取用户的敏感信息和资金,个人用户和交易平台可以采取措施防范风险。慢雾安全团队建议用户谨慎安装软件和插件,并提供了《区块链黑暗森林自救手册》来帮助用户提高安全意识。

推荐网站:DeFiLlama(当前资源),CryptoWiki(历史信息)

永远不要在加密货币领域盲目行事,一定要做好功课。

例如,最近我正在研究Ajna协议,这是一种新的无治理的DeFi借贷协议。我直接去看了它的文档、常见问题解答、白皮书等,这样我就可以开始理解它,并衡量它的细微差别和风险状况。

在深入任何事情之前,花时间了解基本知识。不要因为盲目模仿而将自己置于不必要的危险境地。如果你找不到好的文档和类似的教育资源,这本身就是一个很大的危险信号。

6. 监控仓位

安全

策略:使用投资组合跟踪器来密切关注你的加密货币头寸。

推荐工具:DeBankMetaMask PortfolioZapperZerion

在加密货币领域,密切关注你的资产是至关重要的,在这方面,投资组合跟踪器是你最好的朋友。它们提供了你在各种钱包和平台上持有的概况,让你可以简单地实时监控你的加密货币。

记住,了解你的持仓情况不仅仅是为了观察收益;这也是风险管理的关键部分。通过定期监控你的资产,你可以发现可能表明安全漏洞的异常活动,并及时采取行动保护剩余资产。

(注:MetaMask确实是Bankless的赞助商,但MetaMask被列入这个推荐工具列表与它的赞助商没有任何关系,而是由本文作者自行决定的。)

7.及时了解生态系统最新消息

安全

策略:及时了解加密新闻,如最近的黑客攻击。

推荐资源:BanklessDeFiLlama Roundup

有时,对DeFi协议等项目的攻击会间接或直接影响你的加密货币头寸。为了在潜在的后果方面保持领先,保持消息灵通是至关重要的。

不过,没有必要一个人做所有的工作。例如,Bankless在攻击开始后的几个小时内就在Twitter帖子中破解了Curve重入攻击。我们一直努力及时地帮你了解情况,但市场中也有很多很棒的额外资源,例如Telegram 上 DeFiLlama 的新闻聚合聊天。

8. 关注Web2活动

安全

策略:依靠良好的安全措施来保护你的Web2活动。

推荐资源:Officer’s Blog

不要给攻击者任何机会,即使是在Web3世界之外。

不法分子可以破坏你的电子邮件或社交账户,试图欺骗其他信任你的人点击诈骗网站。据安全研究官员@officer_cia称,强大的操作安全基本原则包括:

使用安全的电子邮件提供商,例如Protonmail;
使用不同的强密码,不要在多个地方重复使用;
永远不要把你的电话号码和加密平台联系起来;
使用2FA来备份你的帐户,但不要使用基于短信的2FA;
要求手机运营商锁定你手机的SIM卡;
使用最新的杀毒软件。

9. 创建逃生口

安全

策略:为您的资产制定一个疏散策略,以防出现最坏的情况。

推荐工具:WebacySpotter

即使使用上述所有的工具和策略,仍然要考虑为最坏的情况做准备。

Web3是一个Web3安全提供商,可以让你创建自定义备份钱包+紧急按钮系统;如果你受到攻击,甚至只是受到惊吓,你可以使用平台的“Panic”功能将所有或任何剩余资产转移到预先指定的备份钱包中。

对于更高级的用户,还有其他监控和保护服务,如Spotter,旨在帮助你在几毫秒而不是几分钟内检测和逃脱链上攻击。

10. 拉响警报

安全

策略:如果你遇到网络钓鱼骗局,请迅速发出警报。

推荐资源:CryptoScamDB

如果你看到什么,请说出来。

如果你确实遇到了一个加密网络钓鱼骗局,发出警报,这样其他人可以规避风险。

这可能是你最喜欢的群聊中的快速PSA消息,或社交媒体帖子,或向CryptoScamDB平台等诈骗数据库提交的报告。你只需花 30 秒就可以帮助其他人保护自己的加密货币。

免责声明:本文仅代表作者个人观点,不代表链观CHAINLOOK立场,不承担法律责任。文章及观点也不构成投资意见。请用户理性看待市场风险,以及遵守所在国家和地区的相关法律法规。
图文来源:MarsBit,如有侵权请联系删除。转载或引用请注明文章出处!

标签:

分享至
https://www.chainlook.cn/toutiao/1691574728.html

下一篇:

ERC-6900 和模块化账户抽象:对智能合约钱包意味着什么

随着 ERC-6900 的不断发展,更新函数调用、钩子组和预验证钩子等提案有望增强智能合约钱包中模块化账户抽象的安全性和功能性。最终,通过采用 ERC-6900,开发人员可以开启新的创新领域,并创建更强大、更灵活的智能合约钱包。

免责声明:
链观CHAINLOOK作为区块链技术应用与Web3行业研究的智库媒体,旨在为中国区块链专家、学者们提供最新的行业资讯信息与数据样本,用于区块链技术研究与创新。本站所发布的文章仅代表作者的个人观点,不代表链观CHAINLOOK官方立场,本站所发布的区块链行业研究报告与数据分析成果是通过人工智能算法对数据内容进行分析与归纳生成,不代表任何投资暗示与建议,链观CHAINLOOK不承担法律责任。

风险提示:
虚拟货币不具有法定货币等同的法律地位,参与虚拟货币投资交易存在法律风险,链观CHAINLOOK坚决反对各类代币炒作,请读者提高风险意识,理性看待区块链技术应用及市场风险。

© 链观CHAINLOOK All Rights Reserved. 京ICP备18054193号-5