社会工程学
无论计算机网络的安全性如何,计算机前仍然有人,而且人也会犯错误。社会工程已经存在了很长时间,与Web3空间没有什么特别相关的。
大多数攻击很容易被发现,但也有极少数情况下会发生极其复杂的攻击。请注意,“容易发现”是指熟悉加密空间的人。
去年,我在奥地利最大的主流报纸之一发现了一个ElonMusk假赠品局,它在网上持续了好几个小时,直到被警惕的读者要求删除
那么如何发现加密局呢?这些是最重要的规则:
a)如果某件事听起来好得令人难以置信,它通常是真的。
消息人士:SBF父母面临对FTX业务参与程度的审查:金色财经报道,据消息人士透露,SBF的父母Joseph Bankman和Barbara Fried在巴哈马参与了SBF的业务运营,正在面临对FTX业务参与程度的审查。此外FTX首席执行官John J.Ray III在国会听证会期间曾被问及SBF的父母是否为FTX雇员,他表示,“这家人肯定收到了付款”。(澳大利亚天空电视台)[2022/12/19 21:53:19]
名人不会在推特上大量赠送加密货币,投资产品也没有保证回报。如果您被要求在某处快速行动,请特别小心。不要害怕错过。
b)如果您将加密货币发送到随机钱包,不要指望取回任何东西。没有人会“复制”您的BTC,互联网上充斥着虚假的交易所和投资服务提供商。
仅使用信誉良好的加密货币交易所。从CoinMarketCap的列表顶部选择一个或多个从来都不是一个糟糕的决定。
彭博社:FTX客户收回大部分存款的机会渺茫:11月14日消息,据知情人士透露,按照SBF申请破产保护前一天的资产负债表数据,FTX有近90亿美元的负债和9亿美元的流动资产55亿美元的“流动性较差”资产和32亿美元的“非流动性”资产,自那以后,大多数资产(包括Serum、Solana和FTT)都已经贬值。在查看了“有限版本信息”(limited version of information)之后发现,FTX的客户想要收回大部分存款的机会渺茫。(彭博社)[2022/11/14 13:00:47]
c)切勿与任何人分享您的助记词。种子短语是在您设置钱包时生成的,理想情况下,您将永远不需要它。
没有什么比“Metamask支持”更需要您的助记词来“重新连接”您的钱包了。
Band Protocol :已从数据源中删除了FTX:11月10日消息,Band Protocol发推表示,自情况开始发展以来,Band Protocol已从数据源中删除了FTX。我们将继续密切关注情况,并确保有足够的来源来汇总和报告价格数据。[2022/11/10 12:42:24]
d)只在与信誉良好的公司打交道时使用加密货币作为支付方式,在工作完成后付款,或者当金额足够小以至于丢失时你真的不会打扰。
请注意,执法的国际合作——尤其是在网络犯罪方面——在所有国家仍然不够好,即使你知道小偷的身份和地址,你也可以合理地期望在发生时取回你的钱。
e)当您不认识的人通过电报或Discord向您发送DM时,这很可能是局。请注意,用户名可能看起来完全相同,但实际上并非如此。
FTX将于11月2日21:30上线苹果、亚马逊、奈飞等股权通证:据FTX官方消息,将于2020年11月2日21:30上线苹果(AAPL)、亚马逊(AMZN)、Facebook(FB)、奈飞(NFLX)、Alphabet(GOOGL)、SPDR标准普尔500指数ETF(SP)股权通证。
据悉,FTX已于2020年10月30日上线了特斯拉(TSLA)股权通证。[2020/11/2 11:26:33]
另一种常见的方案是在公共群组中发布建议,并写上“我真的建议你关注交易员XY,他在很短的时间内让我赚了很多钱”。
还要在Telegram中将可以邀请您加入群组的权限从“所有人”更改为“我的联系人”,以防止在没有您互动的情况下被邀请加入或垃圾邮件群组。
总而言之,您的加密货币不会从自身开始移动。如果您不确定是否可以信任收件人,请不要执行交易。永远,永远不要与任何人分享您的助记词。
Dapp漏洞
Dapps在很多方面都容易受到攻击。在本文中,我将简要概述最重要的漏洞类别。
a)智能合约漏洞:Web3中的漏洞将对大部分损失负责。在这种情况下,可能会以一种意想不到的方式与智能合约进行交互以取回资金。
b)客户端漏洞:一类不影响智能合约本身的漏洞,但会影响用于连接它们的前端,例如跨站点脚本。
“客户端”意味着该漏洞不允许攻击者劫持服务器,而是让服务器向客户端发送恶意数据,例如通过特制链接。Metamask使用客户端javascript嵌入到网站中,如果攻击者可以控制在受害者浏览器中执行的javascript代码,就有可能诱使用户接受恶意交易。
c)服务器端漏洞:与Web3Dapps相比,这与Web2应用程序更相关。但是,前端仍然部署在Web2服务器上。
服务器上执行的代码中的漏洞可能足以劫持前端并诱用户接受恶意交易。
如何防范这些漏洞?
a)仅用信誉良好的平台。在中心化交易所的情况下,这意味着你应该使用顶级交易所之一。
在Dapps的情况下,只将钱存入经过审计的应用程序。公司没有理由不进行审计。一个常用的是“我们的开发人员有XX年的经验,我们不需要审计”。
这已被多次证明是错误的。开发人员和网络安全研究人员/黑客有不同的思维方式,成为一名优秀的开发人员并不一定意味着你是网络安全专家,反之亦然。
b)分配你的钱来分配你的风险。使用多个中心化交易所和钱包来存储您的加密货币。
如果你想质押你的加密货币,请不要将所有内容都质押在同一个Dapp中,以防它遭到黑客攻击。
病
下载软件总是有风险的。如果托管您的加密钱包的设备被感染,该病可能会转移您的加密货币。您可以采取哪些措施来保护自己:
a)使用像Ledger这样的硬件钱包。无疑是最好的建议。
即使您的计算机被黑客入侵,黑客也无法窃取您的加密货币,因为硬件钱包从不与计算机共享种子短语。交易需要通过按下硬件钱包上的按钮来确认。
b)不要在您拥有加密钱包的计算机上安装有风险和不必要的软件,如破解/修改游戏或其他应用程序。
c)如果您出于某种原因迫切需要从信誉不佳的来源安装某些软件,请使用像Virustotal这样的服务来检查它是否有病(请注意,没有任何防病软件是100%安全的。
有一些高级工具可以自动生成有效负载绕过杀软件)。为了更加安全,请将软件安装在虚拟机中,例如使用VirtualBox。
即使应用程序是恶意的,它也无法突破虚拟机并损坏计算机的其余部分。。
d)如果你在加密钱包中存有大量资金,请考虑购买一台单独的计算机,只安装你的加密钱包软件而不安装其他任何东西。
希望这篇文章对大家有一定的帮助,有想跟作者聊聊的欢迎私信!
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。