社会工程学
无论计算机网络的安全性如何,计算机前仍然有人,而且人也会犯错误。社会工程已经存在了很长时间,与Web3空间没有什么特别相关的。
大多数攻击很容易被发现,但也有极少数情况下会发生极其复杂的攻击。请注意,“容易发现”是指熟悉加密空间的人。
去年,我在奥地利最大的主流报纸之一发现了一个ElonMusk假赠品局,它在网上持续了好几个小时,直到被警惕的读者要求删除
那么如何发现加密局呢?这些是最重要的规则:
a)如果某件事听起来好得令人难以置信,它通常是真的。
Bittrex Global CEO:公司将对美SEC的指控进行抗辩:金色财经报道,Bittrex Global首席执行官Oliver lynch在接受采访时表示,美国证券交易委员会(SEC)指控加密货币交易所Bittrex Global GmbH违反了当地证券法是“错误的”。Linch表示,Bittrex Global在收到SEC已“得出初步结论”的通知之前,并不知道自己是SEC调查的对象。他补充说,监管机构没有给Bittrex Global“解释事实”的机会。此外,Linch声称,该公司“从未声称在美国提供服务”,并将“大力”捍卫其在美国没有任何客户的立场。此外,他还表示,Bittrex的关闭并不影响Bittrex Global的全球运营,“Bittrex 是一个完全独立的法人实体,只在美国提供服务,并且只为美国客户提供服务。Global继续像以往一样向世界其他地区的客户提供服务,”
此前报道,美SEC在今年3月向Bittrex发出韦尔斯通知,指控Bittrex在未向监管机构注册的情况下作为交易所、经纪自营商和票据交易所开展业务,违反了法律,后者将于4月30日关闭美国业务。[2023/4/27 14:29:04]
名人不会在推特上大量赠送加密货币,投资产品也没有保证回报。如果您被要求在某处快速行动,请特别小心。不要害怕错过。
安全团队:@HameerHideout Discord服务器再次遭到黑客入侵:金色财经消息,据CertiK Alert数据监测,@HameerHideout官方Discord服务器再次遭到黑客入侵,警告用户不要点击任何链接,或批准任何交易。[2022/8/24 12:44:32]
b)如果您将加密货币发送到随机钱包,不要指望取回任何东西。没有人会“复制”您的BTC,互联网上充斥着虚假的交易所和投资服务提供商。
仅使用信誉良好的加密货币交易所。从CoinMarketCap的列表顶部选择一个或多个从来都不是一个糟糕的决定。
c)切勿与任何人分享您的助记词。种子短语是在您设置钱包时生成的,理想情况下,您将永远不需要它。
没有什么比“Metamask支持”更需要您的助记词来“重新连接”您的钱包了。
泰国央行将在加密货币法律改革中获得更多权力:金色财经报道,据彭博社援引Termpittayapaisith的报道,泰国计划加强对提供加密货币和其他数字资产交易的平台和交易所的监管。报告称,目前,该国的资本市场监管机构证券交易委员会(SEC)拥有根据该国2018年通过的规则对数字资产行业进行监管的唯一授权。Termpittayapaisith表示,SEC已被要求在修正案中发挥带头作用。此举是在泰国监管机构因没有及时采取行动保护Zipmex(泰国)的投资者而受到批评之后,该交易所是一家获得许可的加密货币交易所,上个月暂时暂停了提款。(彭博社)[2022/8/9 12:11:43]
d)只在与信誉良好的公司打交道时使用加密货币作为支付方式,在工作完成后付款,或者当金额足够小以至于丢失时你真的不会打扰。
加密借贷平台Vauld暂停平台提款,或将进行重组:金色财经报道,加密货币交易所Vauld首席执行官Darshan Bathija周一在一篇博客文章中表示,该公司“做出了艰难的决定,立即暂停Vauld平台上的所有提款、交易和存款。”
Bathija称,由于各种因素的影响,包括市场波动和商业伙伴的财务困难,Vauld在财务上陷入困境。Bathija说:“我们的管理层仍然完全致力于与我们的财务和法律顾问合作,尽我们最大的努力探索和分析所有可能的选择,包括潜在的重组方案,以最好地保护Vauld的利益相关者的利益。”(The Block)[2022/7/4 1:49:33]
请注意,执法的国际合作——尤其是在网络犯罪方面——在所有国家仍然不够好,即使你知道小偷的身份和地址,你也可以合理地期望在发生时取回你的钱。
e)当您不认识的人通过电报或Discord向您发送DM时,这很可能是局。请注意,用户名可能看起来完全相同,但实际上并非如此。
另一种常见的方案是在公共群组中发布建议,并写上“我真的建议你关注交易员XY,他在很短的时间内让我赚了很多钱”。
还要在Telegram中将可以邀请您加入群组的权限从“所有人”更改为“我的联系人”,以防止在没有您互动的情况下被邀请加入或垃圾邮件群组。
总而言之,您的加密货币不会从自身开始移动。如果您不确定是否可以信任收件人,请不要执行交易。永远,永远不要与任何人分享您的助记词。
Dapp漏洞
Dapps在很多方面都容易受到攻击。在本文中,我将简要概述最重要的漏洞类别。
a)智能合约漏洞:Web3中的漏洞将对大部分损失负责。在这种情况下,可能会以一种意想不到的方式与智能合约进行交互以取回资金。
b)客户端漏洞:一类不影响智能合约本身的漏洞,但会影响用于连接它们的前端,例如跨站点脚本。
“客户端”意味着该漏洞不允许攻击者劫持服务器,而是让服务器向客户端发送恶意数据,例如通过特制链接。Metamask使用客户端javascript嵌入到网站中,如果攻击者可以控制在受害者浏览器中执行的javascript代码,就有可能诱使用户接受恶意交易。
c)服务器端漏洞:与Web3Dapps相比,这与Web2应用程序更相关。但是,前端仍然部署在Web2服务器上。
服务器上执行的代码中的漏洞可能足以劫持前端并诱用户接受恶意交易。
如何防范这些漏洞?
a)仅用信誉良好的平台。在中心化交易所的情况下,这意味着你应该使用顶级交易所之一。
在Dapps的情况下,只将钱存入经过审计的应用程序。公司没有理由不进行审计。一个常用的是“我们的开发人员有XX年的经验,我们不需要审计”。
这已被多次证明是错误的。开发人员和网络安全研究人员/黑客有不同的思维方式,成为一名优秀的开发人员并不一定意味着你是网络安全专家,反之亦然。
b)分配你的钱来分配你的风险。使用多个中心化交易所和钱包来存储您的加密货币。
如果你想质押你的加密货币,请不要将所有内容都质押在同一个Dapp中,以防它遭到黑客攻击。
病
下载软件总是有风险的。如果托管您的加密钱包的设备被感染,该病可能会转移您的加密货币。您可以采取哪些措施来保护自己:
a)使用像Ledger这样的硬件钱包。无疑是最好的建议。
即使您的计算机被黑客入侵,黑客也无法窃取您的加密货币,因为硬件钱包从不与计算机共享种子短语。交易需要通过按下硬件钱包上的按钮来确认。
b)不要在您拥有加密钱包的计算机上安装有风险和不必要的软件,如破解/修改游戏或其他应用程序。
c)如果您出于某种原因迫切需要从信誉不佳的来源安装某些软件,请使用像Virustotal这样的服务来检查它是否有病(请注意,没有任何防病软件是100%安全的。
有一些高级工具可以自动生成有效负载绕过杀软件)。为了更加安全,请将软件安装在虚拟机中,例如使用VirtualBox。
即使应用程序是恶意的,它也无法突破虚拟机并损坏计算机的其余部分。。
d)如果你在加密钱包中存有大量资金,请考虑购买一台单独的计算机,只安装你的加密钱包软件而不安装其他任何东西。
希望这篇文章对大家有一定的帮助,有想跟作者聊聊的欢迎私信!
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。