比特币钱包、交易所又出事了？千万级资金被盗，大佬也翻车

币链星球 · 2024-06-15T09:17:02.000Z

最近OK 的用户出现资产被盗问题，资产安全相关的问题，再次引起大家热议，一些用户在消息出来的第一时间，就将 Token 提出交易平台，毕竟，君子不立危墙之下。这波行情的发展，可以明显感觉到，行业大的机会，主要集中在链上，交易平台内卷严重，随着价值投资体系的崩塌，散户想要在交易平台赚钱可以说是千难万难，转向链上的用户也在逐渐变多，而在链上，最重要的问题就是自己钱包的安全问题。接下来，我们将从钱包相关知识、被盗案例以及保护私钥等知识等几个方面来全面了解如何保护区块链资产安全。 01 钱包相关知识在保证自己资产安全之前，需要先对业内一些关于钱包等基础知识有一定了解，才能更好的理解如何保护自己的资产。接下来简单介绍下几个相关概念。 1.对称加密与非对称加密在了解公（私）钥之前，我们先简单了解下密码学中的对称加密与非对称加密。对称加密，是指 A 通过某种算法，可以得到 B，而反过来，B 通过相同的算法也可以逆向解密出 A，这里加密解密用的是同一种算法；而非对称加密，则是 A 通过某种算法，可以得到 B，但 B 无法通过相同的算法逆向解密出 B，这里的加密解密需要用到不同的算法。如图，对称加密与非对称加密的区别在于图中消息接收方公钥与消息接收方私钥是否为同一把钥匙。 2.公（私）钥，助记词，地址了解了对称加密与非对称加密，可以更好的理解一些钱包相关的基本概念。密钥对：在非对称加密中，有一对密钥对，分别为公钥与私钥，公钥是公开的，私钥是不公开的。公钥：用来给数据加密，用公钥加密的数据只能使用私钥解密。私钥：私钥可以生成公钥，用来解密公钥加密的数据。地址：与「公钥」相对应，由于公钥过长，于是有了「地址」，地址由公钥生成。助记词：与「私钥」相对应，因为私钥是随机生成的字符串，过长且难记，于是催生了一组人类可读的单词代替私钥，用来帮助用户记住私钥，一般是 12 个无规律的短语。（私钥=助记词）图源网络：链上交易过程电子签名：某条信息（你给某人转账 100 个以太坊），这条信息需要你的私钥签名后，广播到区块链上。签名验证：接收端可以通过你的公钥验证这个消息确实是通过你的私钥签名，那就是你发布的，交易记录上链，因此，谁掌握了私钥，谁就掌握了该钱包。简单理解，公钥（地址）相当于你的账号，而私钥（助记词），则相当于你的账号 + 密码（私钥可以生成公钥）。用银行卡来类比，公钥=银行账户，地址=银行卡号，密码=银行卡密码，私钥=银行卡号 + 银行卡密码，助记词=私钥=银行卡号 + 银行卡密码，Keystore+ 密码=私钥 3.私钥（助记词）的保存你的 Token 并不是存在你的钱包 APP 中，而是存在区块链网络中私钥对应的地址之中，只要你拥有私钥，就可以通过私钥来登录所有的钱包（该钱包支持你有 Token 的这条链），钱包仅仅是作为账户资金显示的前端，并不保存你的私钥。如果私钥丢了，意味着你的资产也将丢失，无法通过钱包找回，首次注册钱包时，钱包页面一般也会提醒用户注意这点。这点和我们之前用到的 QQ，微信完全不同，如果密码丢失，还可以通过手机验证，问题以及好友验证可以找回，当然，这也是区块链去中心化的魅力所在，你的资产完全属于你自己。 4.钱包种类根据私钥是否触网，可以将钱包分为热钱包与冷钱包，如上图。热钱包：客户端钱包、插件钱包、手机端 APP。使用方便，新手易操作，交易转账的效率比较高，安全性较差，容易被盗。冷钱包：硬件钱包。安全性高，适合存放大额资产，创建复杂，转账麻烦，硬件损坏或私钥丢失都可能造成数字资产的丢失。通过以上，我们可以知道，私钥即一切，而我们所有保护资产的措施，其实都是保护私钥，保护私钥，保护私钥。（防止私钥的丢失，被他人获取） 02 被盗案例了解了相关的概念，我们再来看下，目前主要存在哪些丢失的案例，通过案例，我们可以更好的保护我们自己的钱包。 1.私钥（助记词）泄漏 2021 年初，生财有术创始人亦仁，将比特币私钥保存在云笔记中，导致八位数资产的 BTC 丢失。 22 年 11 月，分布式资本创始人沈波价值 4200 万美元的数字资产被盗，被盗资产包括：38,233,180 枚 USDC、1607 枚 ETH、719,760 枚 USDT 以及 4.13 枚 BTC。据安全机构慢雾后续分析称，被盗是因为助记词泄漏所导致。 2.私钥（助记词）丢失英国 IT 工程师 James Howells 在 2013 年弄丢电脑硬盘，里面存有 8000 枚比特币，9 年后，计划花 7430 万美金翻遍垃圾场来找回电脑硬盘。 3.点击病毒链接一用户胡乱点击别人发送的链接，导致黑客读取 metamask 本地加密备份，所有资产被盗。推特 KOL 点击别人私发链接，导致推特账户被盗，然后发布带毒空投信息，利用粉丝对 KOL 的信任点击链接盗走粉丝资产。 4.随意授权，应用出现漏洞 10 月 2 日，Token Pocket 旗下闪兑 DEX Transit Swap 官方表示遭遇黑客攻击，资产损失超 1500 万美元，提醒用户取消授权。 10 月 11 日，DeBank 团队开发的插件钱包 Rabby 称其 Swap 合约存在漏洞，建议用户取消 Rabby Swap 授权，最终黑客获利超 19 万美元。 5.下载假的 APP（带病毒软件）一些黑客获取平台用户信息后，通过短信给用户散布恐慌信息，平台已经不安全，需要点击链接重新安装应用或登录账户，登录后，账户资金被盗。一用户下载假的 Binance app，转账时，转入其他人地址，5 个 ETH 的资产彻底丢失。我们从上述案例可以看出，用户资产被盗，主要集中在这几种情况：私钥（助记词）泄漏，私钥（助记词）丢失，点击病毒链接，随意授权，应用出现漏洞,下载假的 APP（带病毒软件）等几种情况。接下来，我们来整理下有哪些方法可以避免上述情况的发生。 03 如何避免财产损失 1.私钥的保存（核心：不易丢失，不易损坏，其他人无法接触或接触也无法使用）钱包生成后及时备份，双重备份，因为一旦丢失，将无法找回助记词保存在不联网且不易丢失和损坏的介质上，比如抄在纸上，自己进行加密（增加或减少特定字符，方便记忆）；找一台永不联网手机的拍照存储；有一些钱包提供商会出售助记词相关的铁板。使用冷钱包（硬件钱包），选择知名的冷钱包；应从官方渠道购买，不要通过第三方渠道购买（第三方渠道可能存在病毒）；设置较强的密码，同时备份私钥，防止硬件钱包丢失或损坏。 2.防止私钥（助记词）泄漏不要复制粘贴私钥，有些软件可以读取用户的剪切板不要将私钥保存在微信收藏，传输文件，百度云，印象笔记等网络平台绝不告诉任何人私钥，记住，是任何人，一些骗子假冒钱包官方人骗取你的私钥，不要相信，钱包方也没有权力获取用户私钥使用公共 Wi-Fi 时，不要复制粘贴私钥下载各种应用，应去官方渠道，所有应用商店有时也不可信（记住，是所有），存在虚假应用钱包签名时要谨慎，DeFi 协议和 NFT 交互重度用户，记得及时撤销授权，防止应用出现漏洞后导致资产被盗不要随意点击别人发送的链接（短信），下载别人分享的文件，甚至一些 kol 的链接也不要随意点击，有可能含有病毒一旦发现钱包有一点资产泄漏，应第一时间舍弃钱包，不要抱任何侥幸心理不使用免费的 VPN紧跟新闻，实时了解新的被盗信息如果链上玩的比较多的用户，建议安装 ScamSniffer 浏览器插件，它可以在你访问钓鱼网站的时候拦截并提示，当浏览假的官推回复时，也会出现提醒。以上所有的措施，其实都是为了保护你的私钥不泄密，Not your key, not your money！ 3.资产分散放置可以将自身资金分散放置在钱包与交易平台中，虽然 FTX 出事，导致中心化交易平台信任缺失，但对于绝大多数人来说，资产放在几个中心化头部交易平台比拿在自己手中相对要安全很多，便利性也会比钱包好一些，只要不是特别大的损失，几个头部平台一般都能赔的起。使用中心化交易平台需要注意几点：开启三重验证（手机，邮箱，谷歌二次验证）开启提 Token 白名单从官方渠道下载 App转账时，确认地址是否正确

Récemment, il y a eu un problème de vol d'actifs parmi les utilisateurs d'OK, et les questions liées à la sécurité des actifs ont de nouveau suscité des discussions animées. Certains utilisateurs ont proposé Token à la plateforme de trading dès l'annonce de la nouvelle. Après tout, ce n'est pas un gentleman. Tenez-vous derrière un mur dangereux.
Avec le développement de ce marché, on sent clairement que les plus grandes opportunités de l'industrie sont principalement concentrées dans la chaîne et que les plateformes de négociation sont sérieusement impliquées. Avec l'effondrement du système d'investissement de valeur, on peut dire que c'est extrêmement difficile. les investisseurs particuliers veulent gagner de l'argent sur la plateforme de trading. De plus en plus d'utilisateurs se tournent vers la chaîne, et sur la chaîne, le problème le plus important est la sécurité de leur propre portefeuille.
Ensuite, nous comprendrons de manière globale comment protéger la sécurité des actifs de la blockchain sous plusieurs aspects tels que les connaissances liées au portefeuille, les cas de vol et la connaissance de la protection des clés privées.
01 Connaissances liées au portefeuilleAvant d'assurer la sécurité de vos actifs, vous devez avoir une certaine compréhension de certaines connaissances de base sur les portefeuilles dans le secteur afin de mieux comprendre comment protéger vos actifs. Ensuite, nous introduisons brièvement quelques concepts connexes.
1. Cryptage symétrique et cryptage asymétriqueAvant de comprendre la clé publique (privée), nous comprenons d'abord brièvement le cryptage symétrique et le cryptage asymétrique en cryptographie. Le cryptage symétrique signifie que A peut obtenir B via un certain algorithme, et inversement, B peut décrypter inversement A via le même algorithme. Ici, le même algorithme est utilisé pour le cryptage et le cryptage asymétrique signifie que A via A certain algorithme peut obtenir B ; , mais B ne peut pas être déchiffré de manière inverse via le même algorithme. Différents algorithmes sont ici nécessaires pour le cryptage et le déchiffrement.
Comme le montre la figure, la différence entre le chiffrement symétrique et le chiffrement asymétrique réside dans le fait que la clé publique du destinataire du message et la clé privée du destinataire du message dans la figure sont la même clé.
2. Clé publique (privée), phrase mnémonique, adresseAprès avoir compris le chiffrement symétrique et le chiffrement asymétrique, vous pourrez mieux comprendre certains concepts de base liés aux portefeuilles.
Paire de clés : Dans le chiffrement asymétrique, il existe une paire de paires de clés, à savoir la clé publique et la clé privée. La clé publique est publique et la clé privée n'est pas publique.
Clé publique : utilisée pour chiffrer les données. Les données chiffrées avec la clé publique ne peuvent être déchiffrées qu'à l'aide de la clé privée.
Clé privée : la clé privée peut générer une clé publique, qui est utilisée pour déchiffrer les données cryptées par la clé publique.
Adresse : Correspondant à la « clé publique », car la clé publique est trop longue, il y a une « adresse », et l'adresse est générée par la clé publique.
Phrase mnémonique: Correspondant à "clé privée", car la clé privée est une chaîne générée aléatoirement, trop longue et difficile à mémoriser, un ensemble de mots lisibles par l'homme a été créé pour remplacer la clé privée afin d'aider les utilisateurs à se souvenir de la clé privée, généralement 12 phrases aléatoires. (clé privée = phrase mnémonique)
Réseau source d'images : processus de transaction en chaîne
Signature électronique : Une information (vous transférez 100 Ethereum à quelqu'un) doit être signée par votre clé privée puis diffusée sur la blockchain.
Vérification de la signature : le destinataire peut vérifier via votre clé publique que le message est bien signé par votre clé privée, c'est ce que vous avez publié, et l'enregistrement de la transaction est sur la chaîne. Par conséquent, celui qui contrôle la clé privée contrôle le portefeuille.
Pour comprendre simplement, la clé publique (adresse) est équivalente à votre numéro de compte, et la clé privée (phrase mnémonique) est équivalente à votre numéro de compte + mot de passe (la clé privée peut générer une clé publique).
Par analogie avec une carte bancaire, clé publique = compte bancaire, adresse = numéro de carte bancaire, mot de passe = mot de passe de carte bancaire, clé privée = numéro de carte bancaire + mot de passe de carte bancaire, mnémonique = clé privée = numéro de carte bancaire + mot de passe de carte bancaire, Keystore + mot de passe = clé privée
3. Sauvegarde de la clé privée (phrase mnémonique)Votre Token n'est pas stocké dans votre application wallet, mais dans l'adresse correspondant à la clé privée dans le réseau blockchain. Tant que vous disposez de la clé privée, vous pouvez vous connecter à tous les portefeuilles via la clé privée (ce portefeuille vous prend en charge avec). Token Chain), le portefeuille n'est qu'un frontal pour afficher les fonds du compte et ne stocke pas votre clé privée.
Si la clé privée est perdue, cela signifie que vos actifs seront également perdus et ne pourront pas être récupérés via le portefeuille. Lors de l'enregistrement d'un portefeuille pour la première fois, la page du portefeuille le rappellera généralement aux utilisateurs. C'est complètement différent de QQ et WeChat que nous utilisions auparavant. Si le mot de passe est perdu, il peut être vérifié via la vérification du téléphone mobile, des questions et la vérification des amis. Bien sûr, c'est aussi le charme de la décentralisation de la blockchain. le tien.
4.Types de portefeuilleSelon que la clé privée est connectée à Internet ou non, les portefeuilles peuvent être divisés en portefeuilles chauds et portefeuilles froids, comme le montre la figure ci-dessus.
Portefeuille chaud : portefeuille client, portefeuille plug-in, application mobile.
Il est facile à utiliser, facile à utiliser pour les novices, a une efficacité relativement élevée dans les transferts de transactions, mais a une sécurité médiocre et est facile à voler.
Portefeuille froid : portefeuille matériel.
Il dispose d'une haute sécurité et convient au stockage de grandes quantités d'actifs. Une création complexe, des transferts gênants, des dommages matériels ou une perte de clés privées peuvent entraîner la perte d'actifs numériques.
D'après ce qui précède, nous pouvons savoir que la clé privée est tout, et toutes nos mesures pour protéger les actifs visent en fait à protéger la clé privée, à protéger la clé privée et à protéger la clé privée. (Empêcher la perte et l'obtention de la clé privée par d'autres)
02 Étuis volésAprès avoir compris les concepts pertinents, examinons les principaux cas de pertes actuels. Grâce aux cas, nous pouvons mieux protéger nos propres portefeuilles.
1.Fuite de clé privée (phrase mnémotechnique)Début 2021, Yiren, le fondateur de Make Money Youshu, a enregistré la clé privée Bitcoin dans des notes cloud, entraînant la perte d'actifs à huit chiffres en BTC.
En novembre 2022, les actifs numériques du fondateur de Fenbushi Capital, Shen Bo, d'une valeur de 42 millions de dollars, ont été volés : 38 233 180 USDC, 1 607 ETH, 719 760 USDT et 4,13 BTC. Selon une analyse ultérieure de l'agence de sécurité Slow Mist, le vol a été causé par la fuite de la phrase mnémonique.
2. La clé privée (phrase mnémonique) est perdue
L'ingénieur informatique britannique James Howells a perdu le disque dur de son ordinateur en 2013, qui contenait 8 000 Bitcoins. Neuf ans plus tard, il prévoyait de dépenser 74,3 millions de dollars en fouillant dans les dépotoirs pour récupérer le disque dur de son ordinateur.
3. Cliquez sur le lien du virusUn utilisateur a cliqué au hasard sur un lien envoyé par d'autres, ce qui a amené le pirate informatique à lire la sauvegarde cryptée locale du métamasque, et tous les actifs ont été volés.
Twitter KOL clique sur le lien privé envoyé par d'autres, provoquant le vol du compte Twitter, puis publie des informations de parachutage toxiques, utilisant la confiance des fans en KOL pour cliquer sur le lien afin de voler les actifs des fans.
4. L'autorisation à volonté peut entraîner des vulnérabilités dans l'application.Le 2 octobre, DEX Transit Swap de Token Pocket a officiellement déclaré avoir subi une attaque de pirate informatique, avec des pertes d'actifs dépassant 15 millions de dollars, et a rappelé aux utilisateurs d'annuler l'autorisation.
Le 11 octobre, le portefeuille plug-in Rabby développé par l'équipe DeBank a signalé que son contrat Swap présentait une vulnérabilité et a recommandé aux utilisateurs d'annuler l'autorisation Rabby Swap. Au final, le pirate a réalisé un bénéfice de plus de 190 000 $.
5. Téléchargez une fausse application (avec un logiciel antivirus)
Une fois que certains pirates ont obtenu des informations sur les utilisateurs de la plateforme, ils diffusent des messages de panique aux utilisateurs par SMS. La plateforme n'est plus sécurisée. Ils doivent cliquer sur le lien pour réinstaller l'application ou se connecter au compte. sont volés.
Un utilisateur a téléchargé une fausse application Binance et, lors du transfert d'argent, l'a transféré à l'adresse de quelqu'un d'autre, et 5 actifs ETH ont été complètement perdus.

Nous pouvons voir dans les cas ci-dessus que les actifs des utilisateurs sont volés principalement dans les situations suivantes : fuite de clés privées (phrases mnémotechniques), perte de clés privées (phrases mnémoniques), clic sur des liens de virus, autorisation arbitraire et vulnérabilités des applications. plusieurs situations telles que le téléchargement de fausses applications (avec un logiciel antivirus).
Voyons ensuite quelles méthodes peuvent être utilisées pour éviter la situation ci-dessus.
03 Comment éviter les dommages matériels1. Stockage des clés privées (noyau : pas facile à perdre, pas facile à endommager et impossible à accéder ou à utiliser par d'autres)
Sauvegardez le portefeuille immédiatement après sa génération, double sauvegarde, car une fois perdu, il ne peut plus être récupéré.
La phrase mnémonique est stockée sur un support qui n'est pas connecté à Internet et ne se perd pas ou ne s'abîme pas facilement, comme en la copiant sur papier et en la cryptant vous-même (en ajoutant ou en soustrayant des caractères spécifiques pour faciliter la mémoire) ; jamais connecté à Internet ; certains fournisseurs de portefeuilles vendent des plaques de fer liées à des phrases mnémoniques.
Utilisez un portefeuille froid (portefeuille matériel) et choisissez un portefeuille froid bien connu ; achetez sur les canaux officiels et non via des canaux tiers (les canaux tiers peuvent contenir des virus et sauvegardez la clé privée pour éviter) ; le portefeuille matériel ne soit pas perdu ou endommagé.
2. Empêcher les fuites de clé privée (expression mnémonique)Ne copiez pas et collez la clé privée, certains logiciels peuvent lire le presse-papier de l'utilisateur
N'enregistrez pas la clé privée dans la collection WeChat, transférez des fichiers, Baidu Cloud, Evernote et d'autres plateformes en ligne
Ne divulguez jamais votre clé privée à personne. N’oubliez pas que c’est n’importe qui. Certains escrocs se font passer pour des responsables du portefeuille pour frauder votre clé privée. Ne le croyez pas.
Ne copiez pas et ne collez pas votre clé privée lorsque vous utilisez le Wi-Fi public
Pour télécharger diverses applications, vous devez vous rendre sur les chaînes officielles. Parfois, tous les magasins d'applications ne sont pas fiables (rappelez-vous, tous) et il existe de fausses applications.
Soyez prudent lors de la signature de votre portefeuille. Pour les gros utilisateurs des protocoles DeFi et des interactions NFT, pensez à révoquer l'autorisation à temps pour éviter le vol d'actifs en raison des vulnérabilités de l'application.
Ne cliquez pas à volonté sur des liens (messages texte) envoyés par d'autres, ne téléchargez pas de fichiers partagés par d'autres, ni même cliquez à volonté sur certains liens kol, car ils peuvent contenir des virus.
Une fois que vous constatez qu'il y a une fuite d'actifs dans votre portefeuille, vous devez abandonner le portefeuille dès que possible et ne prendre aucun risque.
N'utilisez pas de VPN gratuit
Tenez-vous au courant de l'actualité et découvrez les nouvelles informations volées en temps réel
Si vous êtes un utilisateur qui joue beaucoup sur la chaîne, il est recommandé d'installer le plug-in de navigateur ScamSniffer. Il peut vous intercepter et vous avertir lorsque vous visitez un site Web de phishing. Lorsque vous parcourez de fausses réponses aux tweets officiels, un rappel vous sera également envoyé. apparaître.
Toutes les mesures ci-dessus visent en fait à protéger votre clé privée contre les fuites. Pas votre clé, pas votre argent !
3. Les actifs sont dispersésVous pouvez disperser vos propres fonds dans des portefeuilles et des plateformes de trading. Bien que l'incident FTX ait entraîné un manque de confiance dans les plateformes de trading centralisées, pour la plupart des gens, il est préférable de placer leurs actifs sur quelques plateformes de trading centralisées plutôt que de les conserver. de leurs propres mains. C'est relativement plus sûr et plus pratique qu'un portefeuille. Tant que la perte n'est pas particulièrement importante, plusieurs grandes plateformes peuvent généralement se permettre une compensation.
Il y a plusieurs points à noter lors de l’utilisation d’une plateforme de trading centralisée :
Activez la triple vérification (téléphone mobile, e-mail, vérification en deux étapes Google)
Activer la liste blanche de retrait de jetons
Téléchargez l'application depuis les chaînes officielles
Lors du transfert d'argent, confirmez si l'adresse est correcte