Today, there are 3 cases in the OK X "Crypto Asset Security Sharing Series"

土豆谈币 · 2024-06-09T16:44:17.000Z

"Crypto Asset Security Sharing Series" Today, there are 3 OK X cases in the target and scope @okxchinese account asset theft cases, and the amount is huge (around 1 million yuan). Combined with the 1 million USD theft caused by Binance @binancezh’s Chrome extension two days ago (which was finally properly resolved), we have to sigh that crypto hackers have been enjoying a great time in recent times. PS: The first article "Frequently Asked Questions about Crypto Wallet Asset Security" If you install and use the malicious plugin Aggr, hackers can collect your cookies and use the collected cookies to access logged-in user accounts, conduct transactions, withdraw funds, and even impersonate users to conduct social engineering attacks. In this way, hackers do not need passwords or 2FA and can control your account. In the case of the victim, since the information is stored in 1password, the hacker has no way to bypass 2FA and take his assets. But he can use his cookies to hold his account and make profits through counter-trading.

La "Série de partage de sécurité des crypto-actifs" compte aujourd'hui 3 cas dans sa cible et sa portée OK X
Les actifs du compte @okxchinese ont été volés et les montants étaient tous énormes (environ 1 million).
Combiné avec l'extension Chrome de Binance @binancezh il y a deux jours, le cas du vol d'un million de dollars américains (qui a finalement été correctement résolu), je dois déplorer que la période récente ait également été une période où les pirates cryptographiques sont très fiers.

PS : La première « FAQ sur la sécurité des actifs du portefeuille cryptographique » Si vous installez et utilisez le plug-in malveillant Aggr, les pirates peuvent collecter vos cookies et utiliser les cookies collectés pour accéder et se connecter aux comptes d'utilisateurs, effectuer des transactions et retirer des fonds. , et même usurper l'identité d'utilisateurs pour effectuer des attaques d'ingénierie sociale afin que les pirates n'aient pas besoin de mots de passe ou de 2FA pour prendre le contrôle de vos comptes. Dans le cas de la victime, puisque les informations étaient stockées dans 1password, le pirate informatique n'avait aucun moyen de contourner 2FA et de lui confisquer ses actifs. Mais vous pouvez utiliser ses cookies pour réaliser des bénéfices en détenant son compte.

Dans les cas de vol d'OKX actuels, les pirates semblent avoir pris le contrôle des comptes d'utilisateurs et ont pu forcer des transactions et des retraits d'actifs, au lieu d'obtenir des bénéfices en frappant. La raison derrière cela fait toujours l'objet d'une enquête, et la victime n'a pas activé 2FA deux. vérification par étapes.

En plus des attaques de phishing dans le cercle de chiffrement (clic intentionnel ou non sur des liens de phishing), les partenaires de la conférence ont résumé quelques conseils :
Utilisez des applications mobiles et essayez de ne pas utiliser d'applications Web. Cela peut éviter les plug-ins de navigateur ou réduire les clics sur les liens de phishing et une série d'autres problèmes.
Ne téléchargez pas de plug-ins au hasard, ne cliquez pas sur des liens inconnus et ne téléchargez pas de logiciels de sécurité, tels que Scam Sniffer.

Assurez-vous d'activer la vérification 2FA en deux étapes, telle que SMS, e-mail, Google Authenticator, etc. Une vérification secondaire est requise chaque fois que vous vous connectez et effectuez des opérations importantes (telles que le retrait de fonds), garantissant que même si les cookies d'un utilisateur sont volés, le compte est facilement accessible. 
N'oubliez pas d'annuler la signature à temps après avoir terminé l'interaction (par exemple, lorsque vous êtes déprimé). Il est préférable d'autoriser uniquement le dapp à utiliser le montant minimum de fonds pendant l'interaction et de ne pas autoriser l'autre partie à le faire. utiliser tout le quota. 
Il est préférable d’utiliser des appareils Apple, qui sont plus sécurisés.
Ne faites pas confiance aux messages privés de Telegram Discord sur Twitter. Par exemple, Telegram peut être intégré dans un groupe qui ressemble inexplicablement au groupe officiel (j'ai personnellement fait l'expérience d'être intégré au groupe officiel RNDR avec de nombreuses imitations).
Prévenir la fraude par ingénierie sociale, telle que les liens envoyés par les amis du groupe (peut-être des actions involontaires des amis du groupe)
Pour déterminer si une publication Twitter est un tweet officiel, examinez le nombre et la qualité des amis que vous suivez, vérifiez le nom du compte Twitter unique après @ et voyez clairement où se termine le tweet. Il existe souvent de nombreux comptes d'imitation. le tweet officiel. À la fin du tweet, ajoutez un faux tweet et joignez un lien de phishing.

Ne cliquez pas sur les liens vers des petits projets comme le jalonnement et la loterie (pêche pour de petits profits)
Pour créer une plate-forme interactive, ne recherchez pas l'URL sur Google. Marquez le site Web à partir de Twitter officiel ou de Coingecko et effectuez une certification croisée via plusieurs canaux (les comptes Twitter officiels peuvent également être piratés et associés à des liens de phishing par des pirates).
Ne placez pas tous vos actifs au même endroit, qu'il s'agisse d'un échange centralisé (pas de votre clé, pas de votre pièce, ou d'un portefeuille chaud sans création de clé privée hors réseau tel que MetaMask, portefeuille OKX Web3)
Utilisez des clés privées, en particulier pour de grandes quantités d'actifs, et ne vous connectez jamais au réseau ni n'effectuez d'interactions. Une petite quantité de fonds est stockée dans le portefeuille chaud pour l'interaction et la séparation à chaud.
Comprenez la phrase mnémonique. Avec la phrase mnémonique, vous pouvez restaurer le portefeuille et les actifs qu'il contient dans la liquidité.
Dans la continuité du précédent, authentifiez et conservez la phrase mnémonique. Ne copiez pas et ne collez pas, ne prenez pas de photos et ne les téléchargez pas sur la sauvegarde cloud lorsque vous êtes seul dessus (ne pas être vu, caméras, ingénierie sociale), écrivez à la main la phrase mnémonique et enregistrez-la, ou même gravée sur une plaque d'acier (étanche et ignifuge). Prenons l'exemple du portefeuille OKX Web3. Si vous désinstallez et supprimez l'application/changez de téléphone, vous avez besoin d'un mnémonique pour restaurer le portefeuille. Oublier le mnémonique signifie perdre tous vos actifs.
Lors de la création d'un portefeuille, il est plus sûr de ne pas toucher à Internet. Les portefeuilles chauds tels que MetaMask OKX sont tous connectés à Internet et peuvent être utilisés avec le portefeuille.
S'il s'agit d'une grande entreprise baleine, il est préférable d'avoir plusieurs portefeuilles différents de différentes sociétés, ainsi que des portefeuilles interactifs et des portefeuilles de devises séparés. Il est préférable d'utiliser des portefeuilles interactifs en combinaison avec des portefeuilles chauds.
Dans la continuité du précédent, comment choisir une entreprise de portefeuille : mettre en place une phrase mnémonique hors réseau, avoir un bon historique, être soutenu par des investisseurs connus, rendre l'équipe publique, avoir des fondateurs actifs, code source ouvert , etc.
Développez l'habitude d'effectuer des transactions. Transférez de petites sommes d'argent dans un portefeuille pour voir si elles peuvent être transférées. Si la signature ne peut pas être transférée en raison de paramètres insuffisants, les actifs seront remis à zéro et seule la richesse papier restera.
Lors du transfert d'argent, veillez à vérifier les chiffres et les lettres de chaque adresse. Ne vous contentez pas de regarder le premier et le dernier chiffre, ni de copier et coller l'adresse de l'historique/de la liste blanche. Il est facile pour les pirates d'écraser l'adresse. enregistrements précédents avec 0 enregistrement de transfert de gaz, puis vous incitez à transférer de l'argent. Donnez l'adresse au pirate informatique.

Logique de base : ne cliquez pas sur des liens aléatoires et ne croyez pas simplement qu'ils peuvent vous aider à fournir plus d'informations. Que faire si vous cliquez sur un lien vers un phishing, voir si un renifleur de fraude peut l'empêcher, voir si le montant d'interaction personnalisé uniquement pour la dapp peut être contrôlé et maintenu, et voir s'il est généralement annulé : Donc, si vous vraiment Si vous voulez acheter quelque chose à bas prix, vous pouvez l'envisager. Obtenez-en un. Après tout, vous ne pouvez pas vous le permettre à moindre coût. Par conséquent, la véritable essence n'est pas de savoir comment empêcher le piratage ou le phishing, car il est impossible d'en garantir 100 % pour toujours. La véritable essence est que si malheureusement vous êtes piraté, pouvez-vous utiliser vos bonnes habitudes habituelles pour contrôler et réduire les pertes autant que possible, et pouvez-vous vous assurer de toujours rester sur la table de poker ?#诈骗 #BTC走势预测 #ETH🔥🔥🔥🔥 #热门事件 Frères, aimez + suivez, je continuerai à mettre à jour les analyses de marché, les devises potentielles de haute qualité, les informations de première main et à partager les histoires des internautes pour vous éviter de tomber dans le piège.

Découvrez-en plus sur le créateur

Dernières actualités