—
撰文|?Cobo金庫大掌柜
黑客從來只黑有價值的人,如果你覺得自己很安全,那只是你缺乏被黑的價值
根據近幾年的用戶調研,掌柜發現有相當一部分用戶,即使你告訴他千萬遍“手機端軟件更便捷,更安全”,他們仍然對PC端軟件情有獨鐘。不得不承認,PC端軟件確實有著不可替代的優勢:顯示面積大,鼠標鍵盤交互精確,適合流程復雜、規模更大的操作。
如果一定要使用PC端錢包軟件進行資產管理,我們需要付出兩百倍的安全意識。
安全意識通常來自于對攻擊面的了解,掌柜習慣通過以下3個“靈魂拷問”來判斷:
01|哪些數據需要保護?
Lido將出版兒童讀物《加密貨幣是如何運作的》:10月12日消息,流動性質押協議 Lido 宣布其團隊將出版兒童讀物《加密貨幣是如何運作的》,預印本已交付給以太坊創始人 Vitalik Buterin 審查。[2022/10/12 10:31:58]
-涉及隱私的敏感信息,如瀏覽記錄、用戶名&密碼、私鑰文件、錢包文件等
02|哪些應用程序存在敏感信息?
-如交易軟件、錢包軟件、瀏覽器等
03|資產管理過程中哪些外部服務易被攻擊?
-如設備的通訊接口、交易軟件、錢包軟件、瀏覽器等
基于以上,我們試著對PC端錢包軟件的各個使用環節展開疑問:
數據:谷歌搜索“如何購買NFT”興趣值達到100 全球對NFT興趣在八月飆升426%:金色財經報道,根據區塊鏈中心對谷歌趨勢數據的分析顯示,2021年8月,全球對非同質化代幣(NFT)的興趣增加了426%。2021年8月1日,谷歌搜索關鍵字“如何購買NFT”的次數為19,但到2021年8月29日,該數字已經上升到100。谷歌的搜索興趣以點數來衡量,100分最高,0分最低。由于谷歌搜索“如何購買NFT”興趣值已達到100,這表明創下了2021年迄今為止的最大搜索量。另外根據國家區塊鏈,對數字藝術作品興趣最高的是新加坡,谷歌搜索值為100,澳大利亞以86分位居第二,尼日利亞緊隨其后(70分)。(finbold)[2021/9/8 23:10:29]
下載安裝:登陸的是不是官方網站?下載安裝的是不是官方軟件?
聲音 | 礦海學院創始人Andy:如何利用金融工具鎖定利潤是新時代礦工必須補的一門課:在今日TokenInsight對話首席第20期《比特幣挖礦,你真的懂嗎?》的直播中,針對“是否在未來會出現更加智能的豐枯水期預測工具以輔助礦工進行決策?的提問,礦海學院創始人Andy指出:枯水期來臨,電力資源減少,勢必會淘汰小算力的機器,受影響的將是這部分礦工群體。2019年四川灃水期延遲,這讓很多礦工機器停放在礦場無電可挖,如果有準確的灃枯水期預測工具,相信會為礦工提供更好的決策參考。現在大部分礦工考慮的是如何能夠找到低價合規穩定的電力資源,然后大部分礦工應該都希望比特幣的價格可以漲起來,早期礦工依靠囤幣就可以賺錢,這在幣價上漲行情下可行,可是2018年持續下行,如何利用金融工具鎖定利潤是新時代礦工必須補的一門課。[2019/9/6]
掌柜之前看到過一個案例,攻擊者“山寨了一整套”下載網站和軟件,山寨軟件植入了專門針對MacOS開發的木馬程序“GMERA”,然后誘導用戶下載,實現盜取Cookie數據、網站瀏覽數據以及獲取屏幕截圖等。
韓國政府召開緊急會議 討論如何遏制加密貨幣投機:首爾12月13日電 韓國政府周三召集了相關部委的緊急會議,討論如何在當地投資者日益擔憂財務損失的情況下遏制加密貨幣投機。會議匯集了司法部,財政部,科學部和ICT部,金融服務委員會,韓國通信委員會,公平貿易委員會和國家稅務局的高級官員。比特幣和以太坊等加密貨幣近年來迅速普及。韓國是世界上最大的比特幣交易所之一,約有100萬人擁有最知名的數字貨幣。[2017/12/13]
這些被盜的隱私數據即使不包含關鍵的私鑰或者密碼信息,也非常有可能被應用到社會工程學,實施綁架、勒索、詐騙。
版本升級:這是不是官方升級提示?不升級有什么影響?升級前需要備份什么?
Electrum錢包就遭受過持續性釣魚攻擊。黑客利用舊版本的漏洞,給用戶發送升級提示,誘導用戶升級到“攜帶后門”的客戶端后,竊取私鑰。
首先,肯定是鼓勵大家持續升級的,新版本通常會包含:新功能,體驗優化,修復bug。但是,升級前請務必檢查:①升級包是否來自官方;②私鑰/錢包文件是否已備份。
錢包文件備份:文件是什么內容?如果是私鑰,觸過網嗎?觸過網后還安全嗎?
還是以Electrum錢包為例,創建新錢包,會生成一個WIF私鑰文件。這個私鑰文件會被用戶自定義的密碼加密。
私鑰就是資產所有權,即使被攻擊,只要私鑰沒泄露就還有可能保住資產。對于PC端保存的私鑰文件,有以下三種主流攻擊方式:
■?木馬程序竊取私鑰文件+誘導用戶輸密碼/暴力破解密碼
■?木馬程序/蠕蟲病惡意加密+勒索贖金
■?直接損壞私鑰文件或者電腦設備
那么,實現上述攻擊的路徑又有哪些呢?
■?釣魚網站/釣魚郵件
在瀏覽網頁和查看郵件時,一個簡單的點擊動作就足已中招,木馬/病在不被察覺的情況下已下載運行。
現在很多重視安全的企業都會實行隨機內部演練,運維工程師和一級部門負責人也會上中招名單——安全意識再強,也會有翻車的時候。
■?USB設備
所有USB設備都有一個微控制器芯片,可以被重新編程固件或寫入惡意代碼。
常規攻擊路徑:
①準備一個可以被重新編程的USB設備,成本20不到
②植入惡意代碼
③插入電腦,惡意代碼自動執行
USB攻擊還包括利用USB協議/標準與操作系統交互中的漏洞實施攻擊,如掌柜之前提到過的冷啟動攻擊。
冷啟動攻擊-demo
還有一種更為極端的情況:USB電氣攻擊,插入電腦后可觸發電力超載,對設備造成永久性破壞。
交易簽名:收幣地址會不會被替換?簽名的時候密碼會不會被偷窺?
綜上,下載到山寨客戶端,收幣地址被替換的可能性存在;惡意程序可以實現遠程監控鍵盤輸入或攝像頭,密碼也存在被偷窺的風險。
簡單總結:了解攻擊面-->建立安全意識-->敏感操作保持懷疑態度。
掌柜會堅持督促大家學習,用知識武裝自己的數字資產。因為,最終資產安全的程度取決于你的安全知識,而不是使用了多么硬核的錢包工具。
頭圖byNeONBRANDonUnsplash
寫在前面: 我們可以在比特幣之上建立DeFi應用嗎?對于這一問題,每個人都有自己不同的看法,而原文作者MatthewBlack是AtomicLoans的首席技術官.
1900/1/1 0:00:00本文轉自《云南日報》。 彩云之南,正因一場前所未有的數字革命而發生改變。 以區塊鏈、大數據等為代表的新一代信息技術加速向實體經濟融合滲透,催生發展新動能、釋放發展新活力.
1900/1/1 0:00:00今日,針對以太坊網絡交易費激增的情況,VitalikButerin表達了擔憂之情,他在twitter上表示:“交易費收入現在正接近區塊獎勵的一半,這實際上會使以太坊變得不安全.
1900/1/1 0:00:00本文來自?Decrypto,原文作者:MathewDiSalvoOdaily星球日報譯者|Moni用加密行業“老炮兒”AndreasAntonopoulos的話說.
1900/1/1 0:00:00本文來源:陀螺財經,作者:朱幼平 支付結算 比特幣本來設計是替代美元,現在看來,比特幣最有用的地方是支付結算。后來包括以太坊、瑞波等都有支付結算功能,實際上加密數字貨幣否或多或少有支付結算功能.
1900/1/1 0:00:00區塊鏈發展到今天已經有一段時間了,在這段時間里,人們對區塊鏈的認知經歷了快速的迭代,對于區塊鏈本質的理解也陸續出現過若干個版本,很多大咖都從不同的角度闡述過他們所理解的區塊鏈本質.
1900/1/1 0:00:00