3月22日21:00,慢雾科技合伙人Keywolf做客「火星财经创始学习群」,从钱包安全、交易所安全以及安全意识三个方面,分享了“区块链资产常见安全风险及防御方法”。
Keywolf表示,中心化钱包的安全主要是保障账号密码安全,同时要尽量开启登录二次认证,去中心化钱包主要是关注私钥、助记词、KeyStore的安全,中心化交易所的安全防范措施和中心化钱包很多是相同的,额外需注意的是保障交易API Key的安全。
至于安全意识,他认为核心点是切记“天下没有免费的午餐”,另一个是信任提防。
以下为Keywolf分享内容,由火星财经(微信:hxcj24h)整理:
今天的分享从三个部分展开,分别是钱包安全、交易所安全以及安全意识。每个部分先讲安全防范措施,然后再拿实际攻击举例说明。
数字资产钱包分为中心化钱包和去中心化钱包,两者有很多的不同,从安全防御的角度也各有侧重。
中心化钱包的安全主要是保障账号密码安全,密码复杂度要高,同时不与其他网站的密码相同;此外尽量开启登录二次认证,使用短信验证码或者GoogleAuthenticator认证App。
去中心化钱包主要是关注私钥、助记词、KeyStore的安全,备份的时候不要使用网盘、云笔记、iCloud等,尽可能离线备份(例如助记词卡片),同时多备份几份,以防丢失或损坏。
接下来分享几个有关钱包的真实攻击事件,方便加深理解。
2018年2月14日,思科Talos安全团队披露了一个名为Coinhoarder的恶意广告行动,截至报告发布时,Coinhoarder已经净赚5000万美元,尤其是2017最后一个季度1000万美元的暴利。
在这个事件里面使用的攻击手法是钓鱼网站,攻击者注册了几个和比特币钱包blockchain.com很相似的域名,并完整克隆blockchain.com网站。
然后买Google的关键词广告,让钓鱼网站排在官方网站的前面,用户不认真看的话,就点击第一个打开了钓鱼网站,输入账号密码就被攻击者获取了,然后攻击者就登录blockchain.com把币转走。
第二个攻击事件是去年4月24日发生的MyEtherWallet遭遇DNS劫持,在这次攻击中,用户访问的网址是正确的,不是假的。但浏览器会提示SSL证书错误,很多用户不了解发生了什么,仍然执意进行转账、合约调用等操作,攻击者利用在网页中嵌入的JS脚本窃取私钥、助记词,然后盗走用户的资产。
另外一个特别要注意的是,不要在任何网站上输入你的私钥、助记词,很多攻击者打着空投、“转1返10”的旗号招摇撞骗,引诱你输入私钥、助记词,要切记不要贪小便宜。
第二部分是交易所安全。
我们主要谈中心化交易所,这部分的安全防范措施和中心化钱包很多是相同的,主要是账号密码安全和二次认证。
交易所安全额外的一个注意点是保障交易API Key的安全,包括安全的存储、传递、备份,同时尽可能配置调用IP白名单,这样即使API Key泄露了,攻击者的IP不在白名单内也无法操纵你的账户。
接下来分享下有关交易所的攻击事件。
一个大家比较熟悉的真实攻击是2018年币安遭遇的大规模钓鱼攻击,和前面比特币钱包钓鱼网站不同的是,币安钓鱼网站使用的域名和binance单词的顺序是完全一样的,同时SSL证书也是正常的。
奇妙之处是binance两个字母n下面有个小点,不是特别仔细看的话很难辨识出来。
攻击者是利用社交网站自动转短域名的方式,在推特、脸书等海外社交平台大量传播钓鱼网站,窃取用户的账户密码。
接下来是最后一部分安全意识。核心点是切记“天下没有免费的午餐”,另一个是信任提防。
不可信的文档都丢进虚拟机里打开、不可信的链接都在浏览器隐身模式下打开,同时不轻易给出名片、信用卡、微信、手机号等,因为这里面包含大量个人身份信息,可被用于组合密码,用于暴力破解交易所、中心化钱包等平台的账户。
此外在手机安全方面给大家一些建议,1-4很好理解,第5点展开说下:
iFiles 2是iOS上的App,可禁用掉它的网络权限,然后用它存储一些非常隐私和重要的内容在里面,一方面可以设置访问密码,手机丢了别人也看不了。
另一方面禁用网络权限后不会被同步到云端,不用担心“脱库”。
另一款推荐的1Password是密码管理软件,不常用的网站可以用这个App生成高强度随机密码,需要登录网站时打开1Password复制密码去登录。
在电脑安全方面这些点比较偏技术,大家可以有所选择的吸收。
问答环节
Q1:简单介绍下慢雾团队。
A1:慢雾科技由一支拥有十多年一线网络安全攻防实战的团队创建,作为中国最早专注于区块链生态安全的公司,慢雾科技已经为全球多家领先的数字货币交易所、钱包、底层公链、智能合约等项目做了安全审计及防御部署。
慢雾科技的安全解决方案包括安全审计、安全顾问、防御部署、威胁情报(BTI)、漏洞赏金等服务并配套相关安全产品,在行业内曾独立发现并公布多起通用高风险的安全漏洞,得到业界的广泛关注与认可。
Q2:最近有没有值得分享的安全事件?
A2:最近ETC 51%攻击影响比较大,好在最后攻击者迫于压力把币都归还了。
Q3:你对今年区块链安全方面有什么大胆预测?
A3:我觉得今年公链的安全会缤纷多彩,一波接着一波的主网上线……
嘉宾简介
Keywolf / 慢雾科技合伙人
对话发起人
猛小蛇 / 火星社群负责人
文章声明:本文根据「火星币优第一情报站」嘉宾分享内容整理,不代表火星财经立场,转载须在文章标题后注明“文章来源:火星财经(微信:hxcj24h)”。