—
撰文|?Cobo金库大掌柜
黑客从来只黑有价值的人,如果你觉得自己很安全,那只是你缺乏被黑的价值
根据近几年的用户调研,掌柜发现有相当一部分用户,即使你告诉他千万遍“手机端软件更便捷,更安全”,他们仍然对PC端软件情有独钟。不得不承认,PC端软件确实有着不可替代的优势:显示面积大,鼠标键盘交互精确,适合流程复杂、规模更大的操作。
如果一定要使用PC端钱包软件进行资产管理,我们需要付出两百倍的安全意识。
安全意识通常来自于对攻击面的了解,掌柜习惯通过以下3个“灵魂拷问”来判断:
01|哪些数据需要保护?
-涉及隐私的敏感信息,如浏览记录、用户名&密码、私钥文件、钱包文件等
Coinbase Wallet推出交易模拟功能,可了解智能合约代码如何处理加密资产:金色财经报道,据 Coinbase Wallet 社交媒体账户透露,Coinbase Wallet 已推出交易模拟功能,通过自动模拟兼容 EMV 网络上授权交易时将执行的代码,用户可以了解哪些资产将离开自己的钱包,以及收回相关资产的近似估值。Coinbase 表示,该功能的主要目的是让用户清楚地了解区块链应用程序或智能合约将如何处理他们的加密资产。[2022/11/21 7:52:42]
02|哪些应用程序存在敏感信息?
-如交易软件、钱包软件、浏览器等
03|资产管理过程中哪些外部服务易被攻击?
-如设备的通讯接口、交易软件、钱包软件、浏览器等
币安正组建团队研究区块链和加密货币如何对Twitter有所帮助:10月28日消息,币安正在组建一个团队致力于研究区块链和加密货币如何对 Twitter 有所帮助,该团队将探索如何构建链上解决方案来解决 Twitter 的机器人账户等问题。此前在马斯克与 Twitter 的诉讼中公布的短信也显示,马斯克讨论了将 Twitter 置于区块链上的可能性,但后来又认为该举措无法实现。
此前,特斯拉CEO埃隆·马斯克已正式完成以每股54.2美元(约合440亿美元)的价格收购推特公司的交易,马斯克还罢免了首席执行官Parag Agrawal和首席财务官Ned Segal。(路透社)[2022/10/29 11:54:05]
基于以上,我们试着对PC端钱包软件的各个使用环节展开疑问:
YFII社区发起YIP-5实施方案的投票,将决定如何使用5%的利润:YFII社区发起一项关于实施YIP-5提案(5%利润用作循环挖矿)的方案的投票。目前一共有3种方案供选择,方案1是5%的利润全部用于YFII或者iYFII/YFII LP的激励,方案2是5%中大部分用于YFII相关激励,少部分用于iToken的激励,方案3是5%中少部分用于YFII相关激励,大部分用于iToken的激励。这三种方案中此前讨论支持率最高的是方案1。投票从今天下午5点30分开始,持续72小时。[2020/9/29]
下载安装:登陆的是不是官方网站?下载安装的是不是官方软件?
掌柜之前看到过一个案例,攻击者“山寨了一整套”下载网站和软件,山寨软件植入了专门针对MacOS开发的木马程序“GMERA”,然后诱导用户下载,实现盗取Cookie数据、网站浏览数据以及获取屏幕截图等。
比特币大手子:大手子教你如何提前预知爆涨趋势:4月30日19:00,实盘大V 比特币大手子 做客金色财经《币情观察室》直播间,将分享《大手子教你如何提前预知爆涨趋势》,欲观看直播扫描下图二维码即可![2020/4/30]
这些被盗的隐私数据即使不包含关键的私钥或者密码信息,也非常有可能被应用到社会工程学,实施绑架、勒索、。
版本升级:这是不是官方升级提示?不升级有什么影响?升级前需要备份什么?
Electrum钱包就遭受过持续性钓鱼攻击。黑客利用旧版本的漏洞,给用户发送升级提示,诱导用户升级到“携带后门”的客户端后,窃取私钥。
首先,肯定是鼓励大家持续升级的,新版本通常会包含:新功能,体验优化,修复bug。但是,升级前请务必检查:①升级包是否来自官方;②私钥/钱包文件是否已备份。
钱包文件备份:文件是什么内容?如果是私钥,触过网吗?触过网后还安全吗?
还是以Electrum钱包为例,创建新钱包,会生成一个WIF私钥文件。这个私钥文件会被用户自定义的密码加密。
私钥就是资产所有权,即使被攻击,只要私钥没泄露就还有可能保住资产。对于PC端保存的私钥文件,有以下三种主流攻击方式:
■?木马程序窃取私钥文件+诱导用户输密码/暴力破解密码
■?木马程序/蠕虫病恶意加密+勒索赎金
■?直接损坏私钥文件或者电脑设备
那么,实现上述攻击的路径又有哪些呢?
■?钓鱼网站/钓鱼邮件
在浏览网页和查看邮件时,一个简单的点击动作就足已中招,木马/病在不被察觉的情况下已下载运行。
现在很多重视安全的企业都会实行随机内部演练,运维工程师和一级部门负责人也会上中招名单——安全意识再强,也会有翻车的时候。
■?USB设备
所有USB设备都有一个微控制器芯片,可以被重新编程固件或写入恶意代码。
常规攻击路径:
①准备一个可以被重新编程的USB设备,成本20不到
②植入恶意代码
③插入电脑,恶意代码自动执行
USB攻击还包括利用USB协议/标准与操作系统交互中的漏洞实施攻击,如掌柜之前提到过的冷启动攻击。
冷启动攻击-demo
还有一种更为极端的情况:USB电气攻击,插入电脑后可触发电力超载,对设备造成永久性破坏。
交易签名:收币地址会不会被替换?签名的时候密码会不会被偷窥?
综上,下载到山寨客户端,收币地址被替换的可能性存在;恶意程序可以实现远程监控键盘输入或摄像头,密码也存在被偷窥的风险。
简单总结:了解攻击面-->建立安全意识-->敏感操作保持怀疑态度。
掌柜会坚持督促大家学习,用知识武装自己的数字资产。因为,最终资产安全的程度取决于你的安全知识,而不是使用了多么硬核的钱包工具。
头图byNeONBRANDonUnsplash
本文来源:PolkaWorld作者:GavinWood,翻译:PolkaWorld加入PolkaWorld社区,共建Web3.0! 两周前.
1900/1/1 0:00:00转自:一本区块链文|棘轮除了走路赚钱、看短视频赚钱,资金盘还有什么噱头?答案,是“网购省钱”。2019年年末,打着“网购省钱”的资金盘“链淘”横空出世.
1900/1/1 0:00:00写在前面:我们可以在比特币之上建立DeFi应用吗?对于这一问题,每个人都有自己不同的看法,而原文作者MatthewBlack是AtomicLoans的首席技术官.
1900/1/1 0:00:007月27日,DeFi“当红辣子鸡”YFI被中国社区分叉出YFII,7月29日,短短两天时间不到,YFII的前端就遭到去中心化交易平台Balancer强行下架.
1900/1/1 0:00:00北京时间周四凌晨社交媒体巨头推特遭遇了迄今为止最大的黑客事件,全球众多知名人士和公司的账户受到影响.
1900/1/1 0:00:00加密货币金融服务公司Circle正在与数字货币集团旗下子公司GenesisGlobalTrading合作,以建立USDC收益和贷款服务。此次合作包括Circle从DCG获得2500万美元投资.
1900/1/1 0:00:00