总是有朋友抱怨资产莫名其妙被盗了,前提还是很懂计算机网络技术,安全防护意识还很强的情况下。why?
若是纯小白被盗也就当交认知税了,可一个web3 OG浸淫币圈数载,自认都已经熟稔黑暗森林生存法则,竟也还能被盗?
接下来的Thread,换个角度思考下你的“安全意识”真的到位了吗?
我在过往往参与的被盗案件中,受害者不乏有当CTO的技术大牛,有身经百战的链上交互大师,甚至不乏也有安全行业从业者。大部分技术牛人都难免因一时疏忽遭遇被盗,何况普通人呢? 这些大牛都是安全认知的巨人为何却成了防护行动的矮子,这背后其实涉及复杂的安全攻防心理学博弈过程。
其实“安全意识”不仅仅是一种认知gap,更是一次次践于行的触网自律行为。 比如:一句采取适当防范措施,你能否每次私钥生成时严格执行手抄备份;一句保持警惕心态,你是否每点开一个未知链接,都细心识别并加以防范? 如果做不到绝对的行为自律,那懂得那么多,迟早还是逃不开被盗的命运。
安全攻防本质上是投入成本与产出收益的问题,黑客偏爱的受攻击目标有如下特性:
1)资产越多,越容易被盗;若黑客发现一个邮件和一个对应巨额资产地址,邮件就会成为接踵而至钓鱼、理财诱惑、商务合作等社会工程攻击的切入点。因此,大户请务必隐藏身份,避免成为黑客不计成本攻击的目标。
2)交互越多,越容易被盗;很多web3重度交互用户,不加辨识去交互潜在空投的不可信网站,甚至搞签名、留邮箱等操作,结果为了一顿猪脚饭,为以后被一锅端埋下隐患。 黑客可通过“水坑攻击”等来精准锁定参与网页交互的用户,为其设备植入恶意木马,用户在不知不觉中成了被针对攻击的对象。
3)花活越多,越容易被盗;不少用户为防项目方女巫审查,采用了指纹浏览器、云服务器、代理虚拟IP服务等,纯抗女巫这些技术无可厚非,但其却带来了更复杂的网络环境,若任何一个上游供应链从中作祟或被攻击,对黑客而言可是难得的精准攻击目标群。 因此添加花活可以,但务必要同时加强防护等级。
4)习惯越差,越容易被盗;有的用户习惯用生日关联密码,并作有规律的密码组合拓展。 若黑客获取了你的邮箱地址等隐私信息,就可能通过社工库获取更多隐私信息,进而基于你的惯用密码来撞库破解其他密码,比如有道云,文件夹密码等从而实施私钥窃取。社工库请自行去查,一定大跌眼镜!
5)人越高调,越容易被盗;虽没具体统计过,看似普通的社会工程学攻击肯定是加密资产被盗重灾区,别一盗就想当然以为被朝鲜黑客盯上了,普通人根本无高级APT的攻击待遇,反倒警觉下平时有没有跟身边人漏财,快递外卖地址有没有保护,网络隐私痕迹是否处理干净等。谨小慎微,低调才是硬道理。
综上,你似乎感觉到了,区块链安全科普文几乎等同于生态参与劝退文,因为参与的深度越大,被攻击风险就越高,这似乎无解。 但区块链本来就是丛林探险,我们要博的也是投入风险和产出收益的概率,我给普通用户的建议是,既然难做到高段位防护,不如学会遁形规避,尽可能别进入黑客的攻击视野范围。
以下给几条建议,或许可降低莫名其妙被盗的概率。
1)设定冷热钱包的资产阈值,默许热钱包被盗在承受范围内;
2)只点击主流人群背书后的链接,别相信你会是宠儿;
3)别轻易泄露隐私,尤其是忌招摇漏财;
4)小心身边的人,社工渗透成功率最高;
5)熟读 @SlowMist_Team 区块链黑暗森林自救手册。
我们习惯了安全公司推送的各类安全警示,是否思考过躲在暗处的黑客是如何抓住用户的薄弱点实施攻击的呢? 其实根本没有莫名其妙的攻击,只是恰巧黑客的攻击方式超出你的认知范畴而已,有些是你看不懂的,有些是你意想不到的,更多的是你明白但却疏忽的。
微信扫一扫 
