La recente ondata di furti di monete è preoccupante. Non solo le vittime perdono generalmente più di un milione di dollari in monete, ma quasi tutto il loro patrimonio netto viene perso, ma le piattaforme coinvolte non sono piccole piattaforme di secondo o terzo livello è davvero scioccante vedere un'importante azienda di primo livello (exchange) che gode della fiducia della maggior parte degli utenti da molti anni, o un marchio noto che ha sempre ostentato la sua forza tecnica.
Tutti avrebbero dovuto sentirne parlare.
I beni di un ragazzo sono stati rubati per un valore di 5 milioni in 15 minuti e gli importi rubati da altri scambi ammontavano a quasi decine di milioni di dollari. Sono stati rubati anche migliaia di portafogli appartenenti allo studio. Gli hacker sono estremamente dilaganti. Dopo aver lavorato duramente per dieci anni, sono diventati tutti una dote per gli hacker.
Oggi vorrei riassumere per te alcune linee guida antifurto Non importa quanti soldi hai, la sicurezza è la massima priorità.
Gli utenti coinvolti nei due incidenti precedenti hanno una cosa in comune: nessuno dei loro account di scambio ha abilitato l'autenticazione a due fattori di Google 2FA.
Si consiglia di abilitare l'autenticazione a due fattori 2FA per gli account di scambio, indipendentemente dal fatto che tu stia utilizzando OKX, Binance, Bitget, Gate... qualsiasi scambio, è meglio abilitare questa verifica.
Quali sono i comportamenti rischiosi sulla filiera?
1. Salva in testo non crittografato, screenshot o chiave privata del portafoglio;
2. Salvare la chiave privata in un file, inviarlo tramite social software, e-mail, ecc. e informare altri della chiave privata;
3. Conservare grandi quantità di asset negli hot wallet per lungo tempo - (Gestione regolare della whitelist per il prelievo di valuta dell'exchange. Se sei un utente Apple, non è necessario impostarla. La whitelist per il prelievo di valuta dell'exchange imposta una "chiave di accesso" ” per ogni prelievo Quando si trasferiscono monete sul portafoglio Web3, queste vengono verificate tramite riconoscimento facciale);
4. Autorizzare direttamente vari siti Web, applicazioni di terze parti, discord, token, ecc.;
5. Utilizzare frequentemente il WiFi non protetto per accedere al portafoglio ed eseguire operazioni;
6. Controllare regolarmente la “Gestione Scambio Attrezzature” per vedere se ci sono attività anomale;
7. Eseguire vari script di applicazioni di terze parti ottenuti con mezzi non ufficiali e visitare siti Web da fonti sconosciute;
8. Utilizzare ID Apple, ID Google, ecc. forniti da altri;
9. Registra frequentemente i portafogli in vari luoghi e rilascia portafogli di risorse.
Le operazioni di cui sopra sono tutti comportamenti rischiosi da parte nostra. Dovremmo prima prestarvi attenzione e possono essere evitati. Se sfortunatamente hai più numeri di controllo, potresti presto unirti all'elenco dei comportamenti rubati.
Quali sono i trucchi più comuni utilizzati dai truffatori?
Spesso ci sono account falsi che rispondono ai contenuti di phishing tramite post ufficiali ed è facile cadere in questa trappola ed è difficile difendersi; Prendiamo ad esempio lo ZKS di ieri. L'inchiesta sull'airdrop è stata aperta ieri pomeriggio, cosa che ha causato la critica di un gran numero di investitori al dettaglio. Ovviamente non ho ricevuto l'airdrop e ho anche rimproverato il team di progetto. In questo momento, sotto il commento ufficiale di Twitter è apparso un avatar identico e con lo stesso nome. Ho dimenticato di fare uno screenshot e ora non riesco a trovarlo, credo di essermi disconnesso. Il significato generale del commento sotto il Twitter ufficiale è , la prima volta che ho controllato, non c'era Se sei idoneo, puoi provare la seconda ispezione. Per noi è falso a prima vista, ma per alcuni principianti e nuovi porri è davvero difficile dirlo senza guardare attentamente.
Come identificare:
1. Presta attenzione al numero di fan e co-follower dell'account (presta prima maggiore attenzione alla grande v), presta attenzione all'interazione e al traffico dei tweet e i dati spazzolati possono essere facilmente visibili.
2. Utilizzare il plug-in di rilevamento
Inoltre proviene da un sito di phishing "ufficiale": Situazioni in cui sono stati rubati post ufficiali: ad esempio il precedente Meson Bridge
3. Soluzione fondamentale: isolamento degli asset dell’hot wallet
Preparare un portafoglio per tentativi ed errori: il conto patrimoniale è isolato nell'account mobile e non nel computer, ci saranno molte meno operazioni; Normalmente, solo una piccola quantità di risorse viene inserita nel portafoglio di prova ed errore. Questo portafoglio viene utilizzato quando si interagisce con siti Web e contratti per la prima volta. Anche se incontri un sito Web di phishing o lo autorizzi accidentalmente in modo errato, non ne perderai molti Anche l'ambiente è isolato.
Phishing di ricerca nei motori di ricerca
Similmente alla precedente truffa di Twitter, quando utilizzi un motore di ricerca per scaricare web3 e app come i portafogli, molto probabilmente incontrerai siti Web falsi e app false. Non scaricare alcun contenuto tramite canali indiretti; Ad esempio, se desideri scaricare un plug-in, assicurati di andare su Google Play Store e trovare il plug-in ufficiale. Quello con il maggior numero di download è quello reale. Non scaricare plug-in sconosciuti casualmente
Contromisure: smettere di utilizzare i motori di ricerca per effettuare ricerche; utilizzare invece Twitter; il sito Web ufficiale deve trovarsi sotto il tweet ufficiale e sono necessari plug-in per il rilevamento delle autorizzazioni e il monitoraggio del sito Web.
Truffa sulle licenze Airdrop NFT e token
BSC, ETH, SOL, ci sono molti phishing di autorizzazione su ciascuna catena. Gli aggressori lanciano NFT agli utenti in batch Gli utenti accedono al sito Web di destinazione tramite il collegamento nella descrizione dell'airdrop NFT, si connettono al portafoglio, fanno clic su "Mint" sul pagina e verrà visualizzata la finestra di richiesta di approvazione. Tieni presente che al momento non è presente alcuna richiesta speciale nella casella di richiesta di approvazione. Una volta approvato, tutti i SOL nel portafoglio verranno trasferiti.
Riepilogo delle misure antifurto adatte ai principianti
1. Non salvare la chiave privata e la frase mnemonica in testo normale, non acquisire schermate e foto e non caricare la chiave privata su Internet. È possibile archiviare la frase mnemonica in un dispositivo di archiviazione offline (come disco U, disco rigido mobile disco, pad non connesso a Internet, ecc.), quindi assicurati di eseguire il backup scritto a mano;
2. Collocare grandi risorse in un portafoglio freddo e crittografare il mnemonico;
3. Non fornire chiavi private a strumenti di portafoglio, applicazioni o siti Web di terze parti;
4. Non eseguire un'autorizzazione insensata Quando è necessario autorizzare, è necessario leggere le informazioni sull'autorizzazione, annullare l'autorizzazione in tempo e controllarla regolarmente;
5. Per gli account di scambio, si consiglia di abilitare l'autenticazione a due fattori 2FA. Non importa se stai utilizzando OKX, Binance, Bitget, Gate... qualsiasi scambio, è meglio attivare questa verifica. Se utilizzi Google Authenticator, controlla se il tuo codice di verifica è stato sincronizzato con il tuo account Google. Se è stato sincronizzato con il cloud, si consiglia di annullare la verifica e reimpostarlo.
6. Assicurati di copiare il tuo indirizzo di trasferimento e di controllare l'indirizzo ogni volta che anche gli appunti verranno attaccati.
sicurezza umana
Non essere avido, la torta non cadrà dal cielo
Non essere negligente, gli appunti potrebbero essere scambiati; l'indirizzo di trasferimento potrebbe essere falso; l'altra parte potrebbe essere un truffatore; i file e le app potrebbero contenere virus;
Non essere impulsivo; controlla prima se il contratto è corretto; non addebitare all’indirizzo sbagliato;
Il circolo valutario è una foresta oscura; una volta persi i beni, è quasi impossibile recuperarli;
Pertanto, ciò che possiamo fare è migliorare continuamente la nostra capacità di prevenire furti e frodi;
Altrimenti, i soldi guadagnati con fatica potrebbero andare persi accidentalmente. Rende davvero le persone disperate e dolorose.
Spero che tutti possano guadagnare di più in web3 dopo aver letto questo articolo, non verrai derubato o ingannato;
Successivamente, ti forniremo l'analisi dei progetti principali su altri percorsi. Se sei interessato, clicca su Segui. Di tanto in tanto compilerò anche alcune richieste di informazioni all'avanguardia e revisioni di progetti e darò il benvenuto a persone che la pensano allo stesso modo nel circolo valutario per esplorare insieme.