La récente vague d'incidents de vol de pièces est inquiétante. Non seulement les victimes perdent généralement plus d'un million de dollars en pièces, mais la quasi-totalité de leur valeur nette est perdue, mais les plateformes impliquées ne sont pas de petites plateformes de deuxième ou de troisième niveau. est vraiment choquant de voir une grande entreprise (bourse) de premier rang à laquelle la majorité des utilisateurs font confiance depuis de nombreuses années, ou une marque bien connue qui a toujours affiché sa force technique.
Tout le monde aurait dû en entendre parler.
Les actifs d'un type ont été volés pour une valeur de 5 millions de dollars en 15 minutes, et les montants volés sur d'autres bourses s'élevaient à près de dizaines de millions de dollars. Même des milliers de portefeuilles appartenant au studio ont été volés. Les hackers sont extrêmement endémiques. Après avoir travaillé dur pendant dix ans, ils sont tous devenus une dot pour les hackers.
Aujourd’hui, je voudrais résumer pour vous quelques directives antivol. Quel que soit le montant d’argent dont vous disposez, la sécurité est la priorité absolue.
Les utilisateurs des deux incidents ci-dessus ont une chose en commun : aucun de leurs comptes Exchange n'a activé l'authentification à deux facteurs 2FA de Google.
Il est recommandé d'activer l'authentification à deux facteurs 2FA pour les comptes d'échange. Peu importe que vous utilisiez OKX, Binance, Bitget, Gate... n'importe quel échange, il est préférable d'activer cette vérification.
Quels sont les comportements à risque sur la chaîne ?
1. Enregistrez en texte clair, capture d'écran ou clé privée du portefeuille ;
2. Enregistrez la clé privée dans un fichier, envoyez-la via un logiciel social, par courrier électronique, etc., et informez les autres de la clé privée ;
3. Stockez de grandes quantités d'actifs dans des portefeuilles chauds pendant une longue période - (Gestion régulière de la liste blanche de retrait de devises de la bourse. Si vous êtes un utilisateur Apple, vous n'avez pas besoin de la définir. La liste blanche de retrait de devises de la bourse définit une « clé d'accès » " pour chaque retrait lors du transfert de pièces vers le portefeuille Web3, elles sont vérifiées par reconnaissance faciale);
4. Autorisez directement divers sites Web, applications tierces, Discord, jetons, etc.
5. Utilisez fréquemment le WiFi non sécurisé pour vous connecter au portefeuille et effectuer des opérations ;
6. Vérifiez régulièrement « Gestion des équipements d'échange » pour voir s'il y a des activités anormales ;
7. Exécutez divers scripts d'application tiers obtenus par des moyens non officiels et visitez des sites Web provenant de sources inconnues ;
8. Utilisez l'identifiant Apple, l'identifiant Google, etc. fournis par d'autres ;
9. Enregistrez fréquemment des portefeuilles à divers endroits et déposez des portefeuilles d'actifs par voie aérienne.
Les opérations ci-dessus sont toutes des comportements risqués de notre part. Nous devons d'abord y prêter attention et elles peuvent être évitées. Si malheureusement vous disposez de plusieurs numéros de contrôle, vous pourriez bientôt rejoindre la liste des comportements volés.
Quelles sont les astuces courantes utilisées par les fraudeurs ?
Il y aura souvent de faux comptes répondant à du contenu de phishing sous des messages officiels ; il est facile de tomber dans ce piège et difficile de s'en prémunir. Prenons l'exemple du ZKS d'hier. L'enquête sur le largage a été ouverte hier après-midi, ce qui a amené un grand nombre d'investisseurs particuliers à la critiquer. Bien sûr, je n'ai pas reçu le largage et j'ai également réprimandé l'équipe du projet. À ce moment-là, un avatar identique et le même nom sont apparus sous le commentaire officiel sur Twitter. J'ai oublié de prendre une capture d'écran et je ne la trouve pas maintenant. La signification générale du commentaire sous le Twitter officiel est. , la première fois que j'ai vérifié, il n'y avait pas de Si vous êtes éligible, vous pouvez tenter la deuxième inspection. Pour nous, c'est faux à première vue, mais pour certains novices et nouveaux poireaux, c'est vraiment difficile à dire sans y regarder attentivement.
Comment identifier :
1. Faites attention au nombre de fans et de co-abonnés du compte (faites d'abord plus attention au grand v), faites attention à l'interaction et au trafic des tweets, et les données brossées peuvent être facilement vues.
2. Utilisez le plug-in de détection
De plus, il s'agit d'un site de phishing « officiel » : Situations dans lesquelles des messages officiels ont été volés : Par exemple, le précédent Meson Bridge
3. Solution fondamentale : isolation des actifs du hot wallet
Préparez un portefeuille d'essais et d'erreurs : Le compte d'actif est isolé dans le compte mobile et non dans l'ordinateur il y aura beaucoup moins d'opérations ; Normalement, seule une petite quantité d'actifs est placée dans le portefeuille d'essais et d'erreurs. Ce portefeuille est utilisé lors de la première interaction avec des sites Web et des contrats. Même si vous rencontrez un site Web de phishing ou l'autorisez accidentellement de manière incorrecte, vous n'en perdrez pas beaucoup. L’environnement est également isolé.
Phishing sur les moteurs de recherche
Semblable à l'arnaque précédente sur Twitter, lorsque vous utilisez un moteur de recherche pour télécharger Web3 et des applications telles que des portefeuilles, vous rencontrerez très probablement de faux sites Web et de fausses applications. Ne téléchargez aucun contenu via des canaux indirects ; Par exemple, si vous souhaitez télécharger un plug-in, assurez-vous d'aller sur le Google Play Store et de trouver le plug-in officiel. Celui qui a le plus de téléchargements est le vrai. Ne téléchargez pas de plug-ins inconnus avec désinvolture
Contre-mesures : arrêtez d'utiliser les moteurs de recherche pour effectuer des recherches ; utilisez plutôt Twitter ; le site Web officiel doit se trouver sous le tweet officiel et des plug-ins de détection d'autorisation et de surveillance du site Web sont nécessaires.
Airdrop NFT et arnaque aux licences de jetons
BSC, ETH, SOL, il y a beaucoup de phishing d'autorisation sur chaque chaîne. Les attaquants lancent des NFT aux utilisateurs par lots. Les utilisateurs accèdent au site Web cible via le lien dans la description du parachutage NFT, se connectent au portefeuille, cliquez sur « Mint » sur le site Web cible. page et la boîte de dialogue d'approbation apparaît. Notez qu'il n'y a pas d'invite spéciale dans la zone d'invite d'approbation pour le moment. Une fois approuvés, tous les SOL du portefeuille seront transférés.
Récapitulatif des mesures antivol adaptées aux novices
1. N'enregistrez pas la clé privée et la phrase mnémonique en texte brut, ne prenez pas de captures d'écran ni de photos et ne téléchargez pas la clé privée sur Internet. Vous pouvez stocker la phrase mnémonique dans un stockage hors ligne (tel qu'un disque U, un disque dur mobile). disque, pad non connecté à Internet, etc.), puis veillez à effectuer une sauvegarde manuscrite ;
2. Placez les actifs importants dans un portefeuille froid et chiffrez le mnémonique ;
3. Ne fournissez pas de clés privées à des outils, applications ou sites Web de portefeuille tiers ;
4. N'effectuez pas d'autorisation sans cervelle. Lorsqu'une autorisation est requise, vous devez lire les informations d'autorisation, annuler l'autorisation à temps et la vérifier régulièrement ;
5. Pour les comptes Exchange, il est recommandé d'activer l'authentification à deux facteurs 2FA. Peu importe que vous utilisiez OKX, Binance, Bitget, Gate... n'importe quel échange, il est préférable d'activer cette vérification. Si vous utilisez Google Authenticator, vérifiez si votre code de vérification a été synchronisé avec votre compte Google. S'il a été synchronisé avec le cloud, il est recommandé d'annuler la vérification et de la réinitialiser.
6. Assurez-vous de copier votre adresse de transfert et de vérifier l'adresse à chaque fois ; le presse-papiers sera également attaqué.
sécurité humaine
Ne sois pas gourmand, la tarte ne tombera pas du ciel
Ne soyez pas négligent, le presse-papiers peut être modifié ; l'adresse de transfert peut être fausse ; l'autre partie peut être un escroc ; les fichiers et les applications peuvent contenir des virus ;
Ne soyez pas impulsif ; vérifiez d’abord si le contrat est correct ; ne facturez pas la mauvaise adresse ;
Le cercle monétaire est une forêt sombre ; une fois les actifs perdus, il est presque impossible de les récupérer ;
Par conséquent, ce que nous pouvons faire, c’est améliorer continuellement notre capacité à prévenir le vol et la fraude ;
Sinon, l’argent durement gagné pourrait être perdu accidentellement. Cela rend vraiment les gens désespérés et douloureux.
J'espère que tout le monde pourra gagner plus d'argent sur le web3 ; après avoir lu cet article, vous ne serez pas volé ou trompé ;
Plus tard, nous vous apporterons une analyse des projets phares sur d’autres pistes. Si vous êtes intéressé, veuillez cliquer sur suivre. Je compilerai également de temps en temps des demandes d'informations de pointe et des examens de projets, et j'inviterai des personnes partageant les mêmes idées dans le cercle des devises à explorer ensemble.