《加密资产安全分享系列》今日目标及范围内就出现了3起 OK X
@okxchinese账户资产被盗案件,而且都是金额巨大(100w左右)。
结合前两天币安@binancezh的Chrome扩展程序对敲响了100w美金被盗案(最后得到妥善解决),不得不感叹最近一段时间,也是加密黑客春风得意之时。
PS:第一篇《加密钱包资产安全常见问题解答》如果你安装使用了 Aggr 这款恶意插件,那么黑客就可以收集你的 Cookies,并利用收集的 Cookies,访问登录用户账户,进行交易,提取资金,甚至冒充用户进行社会工程攻击,这样黑客就不需要密码或 2FA,能够控制你的帐户。在受害人的现象中,由于资料保存在 1password 之中,黑客没有办法绕过 2FA 走他的资产。但可以利用他的 Cookies,通过持他的账户,对敲获取收益。
在今天 OKX 这几起被盗案件中,黑客貌似控制了用户账户并能强行进行交易和资产提取,而不是通过敲获取收益,目前背后原因仍在调查中,受害者没有开启 2FA 二次验证。
再加上加密圈钓鱼攻击(有意或无意点击钓鱼链接),会议小伙伴们总结了一些注意事项小tips:
1. 使用手机端app ,尽量不要使用网页版应用程序,可以规避浏览器插件或者减少点击钓鱼链接等等一系列问题
2. 不乱下载插件,不乱点击不认识的链接,以及下载安全软件,比如 Scam Sniffer
3. 一定要开启2FA 二次验证,短信、电子邮件、Google Authenticator 等方式。每次登录和进行重要操作(如提取资金)都要二次验证,确保即使用户 cookies 被盗,都可以轻易访问账户。
4. 完成交互后记得及时取消签名(比如低气的时候),最好在交互的时候只允许dapp动用最低限度的资金,不要批准对方动用所有额度。
5.最好用苹果设备,安全性更高。
6.Telegram Discord Twitter私信一律不要信,比如Telegram可能莫名其妙被拉进一个跟官方很像的群(亲身经历被拉进过高仿的RNDR官方群)
7.防范社会工程式诈骗,比如群友发的链接(可能群友无心之举)
8.推特帖子要辨认是否是官方推文,看共同关注好友的数量和质量,查处理@之后的唯一推特账号名字,以及看清楚推文最后写到哪里,经常有高仿号在官推最后补上一条假推文并附上钓鱼链接
9.不要点击质押、抽奖类小项目链接(蝇头小利钓鱼)
10.要做交互平台,不要谷歌搜索网址,从官方推特或者Coingecko标注网站,多渠道交叉认证(官推账号也有可能被黑,并被黑客附上钓鱼链接)
11.不要把所有资产放在一个地方,不管是中心化交易所not your key not your coin,或者没有离网创建私钥的热钱包如MetaMask,OKX Web3钱包)
12.使用私钥,尤其大额资产,绝对不连接网络,不做任何交互,热钱包里面存放少量资金做交互,热分离。
13.理解助记词,有助记词就能在流动性恢复钱包以及里面的资产,坚决不在流动性输入助记词。
14.接上一条,认证保管助记词,不要复制粘贴,不要拍照上传云端备份,在独自一人躺在上面(不要被人看到,摄像机,社会工程学),手写助记词保存起来,甚至刻在钢板上(防水防火)。 拿OKX Web3钱包举例,卸载删除app/换手机的话,需要助记词恢复钱包,忘了助记词等于丢失所有资产。
15.创建钱包时,不接触网络最安全,像热钱包比如MetaMask OKX都是触网的,可以配合钱包使用
16.如果是鲸鱼大公司,最好不同公司的多个不同钱包,并分开交互钱包和币钱包,交互钱包最好也是热钱包结合使用的方式。
17.接上一条,如何挑选钱包公司:离网设置助记词,好的跟踪记录,知名投资人背书,团队公开,创始人活跃,代码开源,等等。
18.养成做交易的习惯,小额资金转进一个钱包看看能不能转,如果因设置不到位导致无法签名转出,则资产归零,仅剩纸面财富。
19.转账小心核对每一位地址数字字母,不要只看前几位后几位,或从历史记录/白名单中复制粘贴地址,容易被黑客0 gas转账记录覆盖之前记录,接而引诱你转账给黑客地址。
核心逻辑:不要乱点链接,不要随便相信能帮你提供更多信息质。如果点链接钓鱼怎么办,看看诈骗嗅探器能不能防范,看看只给dapp自定义的交互额能不能控制维护,看看平时撤销: 所以,如果你真的想买点便宜的,可以考虑入手一个,毕竟便宜的便宜是买不起的,所以,真正的精髓不是在于如何防止被黑被钓鱼,因为不可能永远完全保证100%做到的,真正的精髓在于如果不幸被黑之后,通过平时的良好习惯能不能尽量控制和减小损失,能不能保证始终留在牌桌上 #诈骗 #BTC走势预测 #ETH🔥🔥🔥🔥 #热门事件 兄弟们,点赞+关注,我会持续更新行情分析,优质潜力币种,一手前沿资讯 ,分享各位网友的故事,以避免你踩坑