社会工程学
无论计算机网络的安全性如何,计算机前仍然有人,而且人也会犯错误。社会工程已经存在了很长时间,与Web3空间没有什么特别相关的。
大多数攻击很容易被发现,但也有极少数情况下会发生极其复杂的攻击。请注意,“容易发现”是指熟悉加密空间的人。
去年,我在奥地利最大的主流报纸之一发现了一个ElonMusk假赠品局,它在网上持续了好几个小时,直到被警惕的读者要求删除
那么如何发现加密局呢?这些是最重要的规则:
a)如果某件事听起来好得令人难以置信,它通常是真的。
证券日报:监管整顿潮起 币圈矿圈强监管时代来临:6月8日,证券日报刊文“监管整顿潮起 币圈矿圈强监管时代来临”。文章表示,5月中旬以来,为防范金融风险,监管部门的政策文件接连发布,直指加密数字币市场乱象,进一步加强对加密数字币的监管和规范。在强监管下,加密数字币交易、挖矿行为被进一步的规范和整顿。业内有不少专家认为,5月份接踵而来的重磅监管手段,不仅能让投资者充分认识到比特币等加密数字币的本质和风险,也让投资者不再盲目参与任何形式的交易、炒作活动,从而更好地维护了金融秩序的稳定。[2021/6/8 23:19:30]
名人不会在推特上大量赠送加密货币,投资产品也没有保证回报。如果您被要求在某处快速行动,请特别小心。不要害怕错过。
b)如果您将加密货币发送到随机钱包,不要指望取回任何东西。没有人会“复制”您的BTC,互联网上充斥着虚假的交易所和投资服务提供商。
动态 | IOTA 联合创始人 Sergey Ivancheglo 退出币圈 将进军 VR 领域:IOTA 联合创始人 Sergey Ivancheglo 发布推文表示已经出售掉所有代币,并宣布退出币圈,将进军 VR,此前,在 Discord 的 AMA 中,Ivancheglo 也明确表示自己已经卖掉了剩余代币,以避免利益相关的冲突。今年 6 月,Ivancheglo 在加入 IOTA 不到一年的时间里,退出了 IOTA 董事会,此后一直担任该项目的非正式顾问。[2019/11/11]
仅使用信誉良好的加密货币交易所。从CoinMarketCap的列表顶部选择一个或多个从来都不是一个糟糕的决定。
c)切勿与任何人分享您的助记词。种子短语是在您设置钱包时生成的,理想情况下,您将永远不需要它。
花39个比特币祝福新婚前任系炒作,“金主”或是币圈人士:据广东美至简网络科技有限公司负责营销的工作人员表示,今日刷屏的砸39枚比特币买头条的“梁诗雅事件”是他们策划的事件营销,“后续还会有新内容爆出”,至于金主是谁,这位工作人员不愿透露,但据文章内容推测,或是来自币圈内人士所为。[2018/3/21]
没有什么比“Metamask支持”更需要您的助记词来“重新连接”您的钱包了。
d)只在与信誉良好的公司打交道时使用加密货币作为支付方式,在工作完成后付款,或者当金额足够小以至于丢失时你真的不会打扰。
请注意,执法的国际合作——尤其是在网络犯罪方面——在所有国家仍然不够好,即使你知道小偷的身份和地址,你也可以合理地期望在发生时取回你的钱。
e)当您不认识的人通过电报或Discord向您发送DM时,这很可能是局。请注意,用户名可能看起来完全相同,但实际上并非如此。
另一种常见的方案是在公共群组中发布建议,并写上“我真的建议你关注交易员XY,他在很短的时间内让我赚了很多钱”。
还要在Telegram中将可以邀请您加入群组的权限从“所有人”更改为“我的联系人”,以防止在没有您互动的情况下被邀请加入或垃圾邮件群组。
总而言之,您的加密货币不会从自身开始移动。如果您不确定是否可以信任收件人,请不要执行交易。永远,永远不要与任何人分享您的助记词。
Dapp漏洞
Dapps在很多方面都容易受到攻击。在本文中,我将简要概述最重要的漏洞类别。
a)智能合约漏洞:Web3中的漏洞将对大部分损失负责。在这种情况下,可能会以一种意想不到的方式与智能合约进行交互以取回资金。
b)客户端漏洞:一类不影响智能合约本身的漏洞,但会影响用于连接它们的前端,例如跨站点脚本。
“客户端”意味着该漏洞不允许攻击者劫持服务器,而是让服务器向客户端发送恶意数据,例如通过特制链接。Metamask使用客户端javascript嵌入到网站中,如果攻击者可以控制在受害者浏览器中执行的javascript代码,就有可能诱使用户接受恶意交易。
c)服务器端漏洞:与Web3Dapps相比,这与Web2应用程序更相关。但是,前端仍然部署在Web2服务器上。
服务器上执行的代码中的漏洞可能足以劫持前端并诱用户接受恶意交易。
如何防范这些漏洞?
a)仅用信誉良好的平台。在中心化交易所的情况下,这意味着你应该使用顶级交易所之一。
在Dapps的情况下,只将钱存入经过审计的应用程序。公司没有理由不进行审计。一个常用的是“我们的开发人员有XX年的经验,我们不需要审计”。
这已被多次证明是错误的。开发人员和网络安全研究人员/黑客有不同的思维方式,成为一名优秀的开发人员并不一定意味着你是网络安全专家,反之亦然。
b)分配你的钱来分配你的风险。使用多个中心化交易所和钱包来存储您的加密货币。
如果你想质押你的加密货币,请不要将所有内容都质押在同一个Dapp中,以防它遭到黑客攻击。
病
下载软件总是有风险的。如果托管您的加密钱包的设备被感染,该病可能会转移您的加密货币。您可以采取哪些措施来保护自己:
a)使用像Ledger这样的硬件钱包。无疑是最好的建议。
即使您的计算机被黑客入侵,黑客也无法窃取您的加密货币,因为硬件钱包从不与计算机共享种子短语。交易需要通过按下硬件钱包上的按钮来确认。
b)不要在您拥有加密钱包的计算机上安装有风险和不必要的软件,如破解/修改游戏或其他应用程序。
c)如果您出于某种原因迫切需要从信誉不佳的来源安装某些软件,请使用像Virustotal这样的服务来检查它是否有病(请注意,没有任何防病软件是100%安全的。
有一些高级工具可以自动生成有效负载绕过杀软件)。为了更加安全,请将软件安装在虚拟机中,例如使用VirtualBox。
即使应用程序是恶意的,它也无法突破虚拟机并损坏计算机的其余部分。。
d)如果你在加密钱包中存有大量资金,请考虑购买一台单独的计算机,只安装你的加密钱包软件而不安装其他任何东西。
希望这篇文章对大家有一定的帮助,有想跟作者聊聊的欢迎私信!
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。