风险提示:央行等十部委发布《关于进一步防范和处置虚拟货币交易炒作风险的通知》, 请读者提高风险意识。

长推:一个加密OG的安全防盗建议

总是有朋友抱怨资产莫名其妙被盗了,前提还是很懂计算机网络技术,安全防护意识还很强的情况下。why?

Haotian
Haotian
热度 ...

原文作者:Haotian

注:本文来自@tmel0211 推特,MarsBit整理如下:

总是有朋友抱怨资产莫名其妙被盗了,前提还是很懂计算机网络技术,安全防护意识还很强的情况下。why?

若是纯小白被盗也就当交认知税了,可一个web3 OG浸淫币圈数载,自认都已经熟稔黑暗森林生存法则,竟也还能被盗?

接下来的Thread,换个角度思考下你的“安全意识”真的到位了吗?

我在过往往参与的被盗案件中,受害者不乏有当CTO的技术大牛,有身经百战的链上交互大师,甚至不乏也有安全行业从业者。大部分技术牛人都难免因一时疏忽遭遇被盗,何况普通人呢?

这些大牛都是安全认知的巨人为何却成了防护行动的矮子,这背后其实涉及复杂的安全攻防心理学博弈过程。

其实“安全意识”不仅仅是一种认知gap,更是一次次践于行的触网自律行为。

比如:一句采取适当防范措施,你能否每次私钥生成时严格执行手抄备份;一句保持警惕心态,你是否每点开一个未知链接,都细心识别并加以防范?

如果做不到绝对的行为自律,那懂得那么多,迟早还是逃不开被盗的命运。

安全攻防本质上是投入成本与产出收益的问题,黑客偏爱的受攻击目标有如下特性:

1)资产越多,越容易被盗;若黑客发现一个邮件和一个对应巨额资产地址,邮件就会成为接踵而至钓鱼、理财诱惑、商务合作等社会工程攻击的切入点。因此,大户请务必隐藏身份,避免成为黑客不计成本攻击的目标。

2)交互越多,越容易被盗;很多web3重度交互用户,不加辨识去交互潜在空投的不可信网站,甚至搞签名、留邮箱等操作,结果为了一顿猪脚饭,为以后被一锅端埋下隐患。

黑客可通过“水坑攻击”等来精准锁定参与网页交互的用户,为其设备植入恶意木马,用户在不知不觉中成了被针对攻击的对象。

3)花活越多,越容易被盗;不少用户为防项目方女巫审查,采用了指纹浏览器、云服务器、代理虚拟IP服务等,纯抗女巫这些技术无可厚非,但其却带来了更复杂的网络环境,若任何一个上游供应链从中作祟或被攻击,对黑客而言可是难得的精准攻击目标群。

因此添加花活可以,但务必要同时加强防护等级。

4)习惯越差,越容易被盗;有的用户习惯用生日关联密码,并作有规律的密码组合拓展。

关于【长推:一个加密OG的安全防盗建议】的延伸阅读

  • 慢雾:Chrome 恶意扩展盗取百万美金解惑

    推特用户@CryptoNakamao分享了自己因下载恶意Chrome扩展而被盗100万美金的经历,引发加密社区对扩展风险的关注。慢雾安全团队发布了虚假Chrome扩展盗窃分析,并提供了防范风险的建议。Chrome扩展具有灵活性和多样性,但也存在安全风险,用户需谨慎选择并仔细阅读权限声明。恶意扩展可以通过多种方式窃取用户的敏感信息和资金,个人用户和交易平台可以采取措施防范风险。慢雾安全团队建议用户谨慎安装软件和插件,并提供了《区块链黑暗森林自救手册》来帮助用户提高安全意识。

  • 慢雾:Chrome 恶意扩展盗取百万美金解惑

    推特用户@CryptoNakamao分享了自己因下载恶意Chrome扩展而被盗100万美金的经历,引发加密社区对扩展风险的关注。慢雾安全团队发布了虚假Chrome扩展盗窃分析,并提供了防范风险的建议。Chrome扩展具有灵活性和多样性,但也存在安全风险,用户需谨慎选择并仔细阅读权限声明。恶意扩展可以通过多种方式窃取用户的敏感信息和资金,个人用户和交易平台可以采取措施防范风险。慢雾安全团队建议用户谨慎安装软件和插件,并提供了《区块链黑暗森林自救手册》来帮助用户提高安全意识。

若黑客获取了你的邮箱地址等隐私信息,就可能通过社工库获取更多隐私信息,进而基于你的惯用密码来撞库破解其他密码,比如有道云,文件夹密码等从而实施私钥窃取。社工库请自行去查,一定大跌眼镜!

5)人越高调,越容易被盗;虽没具体统计过,看似普通的社会工程学攻击肯定是加密资产被盗重灾区,别一盗就想当然以为被朝鲜黑客盯上了,普通人根本无高级APT的攻击待遇,反倒警觉下平时有没有跟身边人漏财,快递外卖地址有没有保护,网络隐私痕迹是否处理干净等。谨小慎微,低调才是硬道理。

综上,你似乎感觉到了,区块链安全科普文几乎等同于生态参与劝退文,因为参与的深度越大,被攻击风险就越高,这似乎无解。

但区块链本来就是丛林探险,我们要博的也是投入风险和产出收益的概率,我给普通用户的建议是,既然难做到高段位防护,不如学会遁形规避,尽可能别进入黑客的攻击视野范围。

以下给几条建议,或许可降低莫名其妙被盗的概率。

1)设定冷热钱包的资产阈值,默许热钱包被盗在承受范围内;

2)只点击主流人群背书后的链接,别相信你会是宠儿;

3)别轻易泄露隐私,尤其是忌招摇漏财;

4)小心身边的人,社工渗透成功率最高;

5)熟读 @SlowMist_Team 区块链黑暗森林自救手册。

我们习惯了安全公司推送的各类安全警示,是否思考过躲在暗处的黑客是如何抓住用户的薄弱点实施攻击的呢?

其实根本没有莫名其妙的攻击,只是恰巧黑客的攻击方式超出你的认知范畴而已,有些是你看不懂的,有些是你意想不到的,更多的是你明白但却疏忽的。

备注:附慢雾黑暗森林安全自救手册,https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md 。

另外借 @Kuigas 丰老师的楼,大家有任何被盗疑问可以留贴,我看到后也会参与并协调必要的资源帮忙。

https://twitter.com/KuiGas/status/1663869932566876163

免责声明:本文仅代表作者个人观点,不代表链观CHAINLOOK立场,不承担法律责任。文章及观点也不构成投资意见。请用户理性看待市场风险,以及遵守所在国家和地区的相关法律法规。
图文来源:Haotian,如有侵权请联系删除。转载或引用请注明文章出处!

标签:

分享至
https://www.chainlook.cn/toutiao/1691981416.html

下一篇:

长推:聊聊 Crypto 的 9 个新赛道

行业变革了很多新东西

免责声明:
链观CHAINLOOK作为区块链技术应用与Web3行业研究的智库媒体,旨在为中国区块链专家、学者们提供最新的行业资讯信息与数据样本,用于区块链技术研究与创新。本站所发布的文章仅代表作者的个人观点,不代表链观CHAINLOOK官方立场,本站所发布的区块链行业研究报告与数据分析成果是通过人工智能算法对数据内容进行分析与归纳生成,不代表任何投资暗示与建议,链观CHAINLOOK不承担法律责任。

风险提示:
虚拟货币不具有法定货币等同的法律地位,参与虚拟货币投资交易存在法律风险,链观CHAINLOOK坚决反对各类代币炒作,请读者提高风险意识,理性看待区块链技术应用及市场风险。

© 链观CHAINLOOK All Rights Reserved. 京ICP备18054193号-5