有问题可以在评论区留言,感谢各位家人的点赞关注支持持续更新中,喜欢+关注(公众号:开飞船的汤姆)观看更多内容~
社会工程学(被骗)
无论计算机网络的安全性如何,计算机前仍然有人,而且人也会犯错误。社会工程已经存在了很长时间,与 Web3 空间没有什么特别相关的。
大多数攻击很容易被发现,但也有极少数情况下会发生极其复杂的攻击。请注意,“容易发现”是指熟悉加密空间的人。
去年,我在奥地利最大的主流报纸之一发现了一个 Elon Musk 假赠品骗局(这些真的很常见,而且每天都会出现新的骗局),它在网上持续了好几个小时,直到被警惕的读者要求删除
那么如何发现加密骗局呢?这些是最重要的规则:
a) 如果某件事听起来好得令人难以置信,它通常是真的。
名人不会在推特上大量赠送加密货币,投资产品也没有保证回报。如果您被要求在某处快速行动,请特别小心。不要害怕错过。
b) 如果您将加密货币发送到随机钱包,不要指望取回任何东西。没有人会“复制”您的 BTC,互联网上充斥着虚假的交易所和投资服务提供商。
仅使用信誉良好的加密货币交易所。从 CoinMarketCap 的列表顶部选择一个或多个从来都不是一个糟糕的决定。
c) 切勿与任何人分享您的助记词。种子短语是在您设置钱包时生成的,理想情况下(除非您因为忘记密码或计算机被毁而无法访问您的钱包),您将永远不需要它。
没有什么比“Metamask 支持”更需要您的助记词来“重新连接”您的钱包了。
d) 只在与信誉良好的公司打交道时使用加密货币作为支付方式,在工作完成后付款,或者当金额足够小以至于丢失时你真的不会打扰。
请注意,执法的国际合作——尤其是在网络犯罪方面——在所有国家仍然不够好,即使你知道小偷的身份和地址,你也可以合理地期望在发生诈骗时取回你的钱。
e) 当您不认识的人通过电报或 Discord 向您发送 DM 时,这很可能是骗局。请注意,用户名可能看起来完全相同,但实际上并非如此(几乎不可能区分大写字母 i 和小写字母 L 的外观)。
另一种常见的方案是在公共群组中发布建议,并写上“我真的建议你关注交易员 XY,他在很短的时间内让我赚了很多钱”。
还要在 Telegram 中将可以邀请您加入群组的权限从“所有人”更改为“我的联系人”,以防止在没有您互动的情况下被邀请加入诈骗或垃圾邮件群组。
总而言之,您的加密货币不会从自身开始移动。如果您不确定是否可以信任收件人,请不要执行交易。永远,永远不要与任何人分享您的助记词。
Dapp漏洞
Dapps 在很多方面都容易受到攻击。在本文中,我将简要概述最重要的漏洞类别。
a) 智能合约漏洞:Web3 中的漏洞将对大部分损失负责。在这种情况下,可能会以一种意想不到的方式与智能合约(可以看作是在区块链上存储和执行的应用程序)进行交互以取回资金。
b) 客户端漏洞:一类不影响智能合约本身的漏洞,但会影响用于连接它们的前端,例如跨站点脚本。
“客户端”意味着该漏洞不允许攻击者劫持服务器,而是让服务器向客户端发送恶意数据,例如通过特制链接。Metamask 使用客户端 javascript 嵌入到网站中,如果攻击者可以控制在受害者浏览器中执行的 javascript 代码,就有可能诱使用户接受恶意交易。
c) 服务器端漏洞:与 Web3 Dapps 相比,这与 Web2 应用程序(如中心化加密交换)更相关。但是,前端仍然部署在 Web2 服务器上。
服务器上执行的代码中的漏洞(例如管理 Web 界面中的 SQL 注入、身份验证绕过或远程代码执行)可能足以劫持前端并诱骗用户接受恶意交易。
如何防范这些漏洞?
a) 仅使用信誉良好的平台。在中心化交易所的情况下,这意味着你应该使用顶级交易所之一。
在 Dapps 的情况下,只将钱存入经过审计的应用程序。公司没有理由不进行审计。一个常用的是“我们的开发人员有 XX 年的经验,我们不需要审计”。
这已被多次证明是错误的。开发人员和网络安全研究人员/黑客有不同的思维方式,成为一名优秀的开发人员并不一定意味着你是网络安全专家,反之亦然。
b) 分配你的钱来分配你的风险。使用多个中心化交易所和钱包来存储您的加密货币。
如果你想质押你的加密货币,请不要将所有内容都质押在同一个 Dapp 中,以防它遭到黑客攻击。
病毒
下载软件总是有风险的。如果托管您的加密钱包的设备被感染,该病毒可能会转移您的加密货币。您可以采取哪些措施来保护自己:
a) 使用像 Ledger 这样的硬件钱包。无疑是最好的建议。
即使您的计算机被黑客入侵,黑客也无法窃取您的加密货币,因为硬件钱包从不与计算机共享种子短语。交易需要通过按下硬件钱包上的按钮来确认。
b) 不要在您拥有加密钱包的计算机(或智能手机)上安装有风险和不必要的软件,如破解/修改游戏或其他应用程序。
c) 如果您出于某种原因迫切需要从信誉不佳的来源安装某些软件,请使用像 Virustotal 这样的服务来检查它是否有病毒(请注意,没有任何防病毒软件是 100% 安全的。
有一些高级工具可以自动生成有效负载绕过杀毒软件)。为了更加安全,请将软件安装在虚拟机中,例如使用 VirtualBox。
即使应用程序是恶意的,它也无法突破虚拟机并损坏计算机的其余部分。(请注意,这并不适用于相反的方式。如果您将加密钱包安装在虚拟机中并且主机被黑客入侵,则黑客将可以访问您的加密钱包)。
d) 如果你在加密钱包中存有大量资金,请考虑购买一台单独的计算机,只安装你的加密钱包软件而不安装其他任何东西(当然除了操作系统)。
在加密行业你想抓住下一波牛市机会你得有一个优质圈子,大家就能抱团取暖,保持洞察力
想抱团取暖,或者有疑惑的,欢迎加入我们——公众号:开飞船的汤姆
感谢阅读,喜欢的朋友可以点个赞关注哦,我们下期再见!
热门跟贴