OKX Web3 錢包特別策劃了《安全特刊》專欄,針對不同類型的鏈上安全問題進行專期解答。通過最發生在用戶身邊最真實案例,與安全領域專家人士或者機構共同聯合,由不同視角進行雙重分享與解答,從而由淺入深梳理並歸納安全交易規則,旨在加強用戶安全教育的同時,幫助用戶從自身開始學會保護私鑰以及錢包資產安全。
(相關補充:上一秒努力擼毛,下一秒被駭客「偷家」?OKX Web3 & WTF Academy【安全特刊】 )
(相關補充:OKX Web3 & 慢霧安全特刊:身經「百詐」的經驗分享 )
本文為廣編稿,由 OKX 撰寫、提供,立場與動區無關。
在Web3 世界衝浪,2 筆錢不能省:一筆是鏈上交Gas;一筆是鏈下買裝備。
但無論鏈上還是鏈下,安全同樣重要~
本期是安全特刊第 04 期,特邀加密硬體錢包商 OneKey 安全團隊與 OKX Web3 錢包安全團隊,從實操指南的角度出發,教你給設備安全加點「Buff」。
OneKey 安全團隊:OneKey成立於 19 年,是一家專注安全的開源的硬體錢包與軟體錢包公司,並設有安全攻防實驗室,已獲得 Coinbase、Ribbit Capital、Dragonfly 等一線機構支持。當前,OneKey 硬體錢包,正成爲亞洲最暢銷的硬體錢包品牌之一。
OKX Web3 錢包安全團隊:大家好,非常開心可以進行本次分享。OKX Web3錢 包安全團隊主要負責 OKX 在Web3 領域內各類安全能力的建設,比如錢包的安全能力建設,智能合約安全審計,鏈上項目安全監控等,爲用戶提供產品安全、資金安全、交易安全等多重防護服務,爲維護整個區塊鏈安全生態貢獻力量。
Q1:能否分享幾個用戶真實的設備風險案例
OneKey安全團隊:Web3用戶涉及的設備風險案例具有多樣性特徵,我們舉例幾個比較常見的案例。
案例一,用戶 Alice 離開自己的設備後,在不知情的情況下被身邊人物理入侵了設備,並盜走了資產。這在電腦安全領域常常被稱爲「邪惡女僕攻擊(Evil maid attack)」,也是用戶遭遇的最常見設備風險類型之一。
從「擼毛工作室」的同事、打掃房間的阿姨甚至是到親密無間的枕邊人,都有可能是見財起意的攻擊者。此前我們曾經有協助用戶追查硬體錢包內資產被盜情況,用戶報案後,申報交易所獲取了攻擊者所使用的交易所帳戶 KYC,最終發現竟是身邊人所爲,所謂「千防萬防,家賊難防」。
案例二,用戶 Bob 被物理脅迫,不得已交出自己的有資產控制權限的設備,這在加密圈內有個哭笑不得的名字——「五美元扳手攻擊($5 Wrench Attack)」。
近年來隨着 Crypto 財富效應的出圈,針對高淨值人群的綁架勒索情況似乎愈演愈烈,尤其是在犯罪率偏高的國家。在 2023 年初,就有媒體報道一則線下交易虛擬貨幣遭搶劫的消息。受害者系參與線下數位貨幣投資者聚會,飯後在車內被控制,不法分子強行利用受害人面部識別解鎖手機與錢包軟體,將錢包內加密貨幣兌換爲 410 萬枚 USDT 後,旋即轉移資金並離開。近期在推特上,也熱傳一位加密礦業 OG 表示自己在遭遇了國際犯罪集團的搶劫,被勒索了畢生積累的大部分加密資產。
OKX Web3 錢包安全團隊:今天這個主題很好,此前我們聊了私鑰安全、MEME 交易安全、以及擼毛安全等很多鏈上安全的主題,實際上設備安全也非常重要,我們分享一些比較經典的案例。
案例一:被篡改過的硬體錢包
用戶 A 從未經授權的平臺購買了一個硬體錢包,未經驗證便開始使用。實際上該錢包韌體遭受篡改,已經預先生成過多套助記詞。最終用戶存放於該硬體錢包的加密資產被駭客完全控制,損失慘重。
預防措施:1)用戶儘量從官方或可信渠道購買硬體錢包。2)使用錢包前,進行官方的完整驗證流程以確保韌體安全。
案例二:釣魚攻擊
用 戶B 收到來自「錢包安全中心」的郵件說明用戶錢包存在安全問題並要求用戶輸入錢包的恢復短語以進行安全更新。實際上這是一場精心設計的釣魚攻擊,用戶最終損失全部資產。
預防措施:1)用戶永遠不要在任何未經驗證的網站上輸入私鑰或恢復短語。2)使用硬體錢包的螢幕來驗證所有交易和操作資訊。
案例三:軟體安全
用戶 C 從未經驗證的渠道下載了惡意軟體,當用戶進行錢包操作時,因軟體存在惡意邏輯導致資產損失。
預防措施:1)用戶從官方渠道下載軟體並定期更新相關軟體和韌體。2)使用殺毒軟體和防火牆保護你的設備。
_
Q2:用戶常用的物理設備和設施以及風險類型
OneKy安全團隊:涉及用戶資產安全的設備的話,通常包括用戶的手機、電腦、硬體錢包、USB 儲存設備以及網路通訊設備(如 WIFI)。
除了我們前面提到了離開設備時會遇到的「邪惡女僕攻擊(Evil Maid Attack)」和,以及暴力犯罪「 5 美元扳手攻擊($5 Wrench Attack)」,以下我們再補充還需特別注意的幾個方面。
一、社會工程學與釣魚攻擊
社會工程學與釣魚攻擊是目前非常普遍且有效的攻擊手段,攻擊者利用人性的弱點來誘騙用戶執行危險操作。例如,惡意釣魚連結和附件,攻擊者可能會發送含有惡意連結的電子郵件、短信或社交媒體消息,僞裝成可信來源,如銀行通知或社交媒體平臺的提醒。一旦用戶點擊這些連結或下載附件,惡意軟體就會植入設備中,導致設備被遠程入侵。
又例如,冒充技術支持人員,攻擊者可能假裝成技術支持人員,通過電話或電子郵件聯繫用戶,聲稱他們的設備存在問題,需要立即採取行動。他們可能會誘導用戶提供設備遠程訪問權限或泄露敏感資訊。目前推特上只要你提到了加密貨幣相關的術語,很快就會有機器人大軍過來冒充技術支持「服務」你。
二、供應鏈攻擊
供應鏈攻擊是指攻擊者在設備的生產或運輸過程中進行惡意植入。具體表現爲以下三點。
第 1 個是硬體篡改。攻擊者可能在硬體錢包或 USB 儲存設備的製造過程中植入惡意軟體。例如,如果用戶從不可靠的來源購買硬體設備,可能會收到已被篡改的設備,這些設備可能被預裝了能夠竊取資訊或允許遠程訪問的惡意軟體。
第 2 個是軟體篡改。攻擊者可能在設備的軟體供應鏈中進行攻擊,篡改軟體或韌體更新包。當用戶下載和安裝這些更新時,設備可能被植入後門程式或其他類型的惡意程式碼。
第 3 個是物流攻擊:在設備運輸過程中,攻擊者可能會攔截並篡改設備。例如,在快遞途中,硬體設備可能被替換或篡改,以便於攻擊者實施後續攻擊。
三、中間人攻擊
中間人攻擊(Man-in-the-Middle Attack, MITM)是指攻擊者在兩方通訊中進行攔截和篡改的數據傳輸。
比如,當用戶使用未加密的網路通訊時,攻擊者可以輕鬆截取並篡改傳輸中的數據。也就是在使用未加密的 HTTP 網站時,攻擊者可以截取並修改用戶發送和接收的數據。
再比如公共 WIF,在使用公共 WIFI 時,用戶的數據傳輸更容易被攻擊者攔截。甚至攻擊者可以設置惡意的公共 WIFI 熱點,一旦用戶連接,攻擊者就可以監視並竊取用戶的敏感資訊,如登入憑證和銀行交易記錄。自家的 WIFI 在極端情況下也有可能會被入侵安裝惡意軟體。
四、第三方內部攻擊和軟體漏洞
第三方內部攻擊和軟體漏洞,對於用戶來說是難以控制的風險,但對物理設備安全有重大影響的因素。
最常見的就是軟硬體安全漏洞。這些漏洞可能被攻擊者利用,進行遠程攻擊或者物理旁路攻擊。例如,某些擴充功能或應用程式可能存在未被發現的漏洞,攻擊者可以通過這些漏洞獲取設備的控制權。這個通常保持安全更新就能解決。同時硬體要考慮使用最新的加密晶片。
而軟體方的內部人員活動:軟體開發者或服務提供者的內部人員可能濫用其訪問權限,進行惡意活動,竊取用戶數據或在軟體中植入惡意程式碼。或者是由於外部因素導致了惡意活動。
例如,此前曾有「擼毛工作室」因爲使用某款多開指紋瀏覽器導致資產被盜的案例,可能就是軟體或擴充功能的內部作惡導致的。這表明即便是合法軟體,如果其內部控制不嚴,也可能對用戶的資產安全構成威脅。
又例如,Ledger 之前有一次引起恐慌的攻擊——很多 dapp 在用的 Connect Kit 出問題了。攻擊的原因是一名前員工成爲網路釣魚攻擊的受害者,攻擊者在 Connect Kit 的 GitHub 庫中插入了惡意程式碼。還好 Ledger 的安全團隊在被告知問題後的 40 分鐘內部署了修復措施,Tether 也及時凍結了襲擊者的 USDT 資金。
延伸閱讀:Ledger遭駭引爆DeFi災難:牽連項目、損失金額、駭客是誰…一文整理
OKX Web3 錢包安全團隊:我們歸納一些用戶常用的物理設備,並對其可能產生的潛在風險進行展開。
當前用戶常用的物理設備主要包括:1)電腦(桌上型和筆電),用於訪問去中心化應用(dApps)、管理加密貨幣錢包、參與區塊鏈網路等。2)智慧型手機和平板電腦,用於移動行動 dApps、管理加密錢包和進行交易。3)硬體錢包,專用設備(如 Ledger、Trezor),用於安全儲存加密貨幣私鑰,防止被駭客攻擊。4)網路基礎設施,路由器、交換器、防火牆等設備,確保網路連接的穩定和安全。5)節點設備,運行區塊鏈節點的軟體設備(可以是個人電腦或專用伺服器),參與網路共識和數據驗證。6)冷儲存設備,用於離線儲存私鑰的設備,例如 USB 驅動器、紙錢包等,防止在線攻擊。
當前物理設備,可能產生的潛在風險主要有以下幾種
1)物理設備風險
- 設備丟失或損壞:硬體錢包或電腦等設備如果丟失或損壞,可能導致私鑰丟失,從而無法訪問加密資產。
- 物理入侵:不法分子通過物理手段入侵設備,直接獲取私鑰或敏感資訊。
2)網路安全風險
- 惡意軟體和病毒:通過惡意軟體攻擊用戶設備,竊取私鑰或敏感資訊。
- 釣魚攻擊:僞裝成合法服務誘騙用戶提供私鑰或登入憑證。
- 中間人攻擊(MITM):攻擊者攔截和篡改用戶與區塊鏈網路之間的通信。
3)用戶行爲風險
- 社工攻擊:攻擊者通過社會工程手段誘騙用戶泄露私鑰或其他敏感資訊。
- 操作失誤:用戶在交易或管理資產時操作失誤,可能導致資產丟失。
4)技術風險
- 軟體漏洞:dApps、加密錢包或區塊鏈協議中的漏洞可能被駭客利用。
- 智能合約漏洞:智能合約程式碼中的漏洞可能導致資金被盜。
5)監管和法律風險
- 法律合規性:不同國家和地區對加密貨幣和區塊鏈技術的監管政策不同,可能影響用戶的資產安全和交易自由。
- 監管變化:政策的突然變化可能導致資產凍結或交易受限。
_
Q3:硬體錢包是私鑰安全的必選項嗎?私鑰安全防護措施類型有哪些 ?
OneKey 安全團隊:當然,硬體錢包雖然不是私鑰安全的唯一選擇,但它確實是增強私鑰安全的一種非常有效的方法。其最大的優勢在於,它能將私鑰從生成、記錄到日常儲存都與網路隔離開來,並在執行任何交易時要求用戶在物理設備上直接驗證和確認交易細節。這一特性有效地阻斷了私鑰被惡意軟體或駭客攻擊所竊取的風險。
我們先來說說硬體錢包的優勢:
1)物理隔離:硬體錢包將私鑰儲存在專用設備中,與聯網的電腦和移動設備完全隔離。這意味着,即使用戶的電腦或手機被惡意軟體感染,私鑰依然是安全的,因爲它們從未接觸到網路。
2)交易驗證:在使用硬體錢包進行交易時,用戶必須在設備上直接確認和驗證交易細節。這一過程使得攻擊者即使獲得了用戶的在線帳戶資訊,也無法未經授權地轉移資產。
3)安全晶片:許多硬體錢包使用專用的安全晶片來儲存私鑰。這些晶片經過嚴格的安全認證,如 CC EAL6+(例如 OneKey Pro 和 Ledger Stax 等新款硬體錢包採用的標準),能夠有效防護物理旁路攻擊。安全晶片不僅防止了未經授權的訪問,還能抵禦多種高級攻擊手段,如電磁分析和電力分析攻擊。
除了硬體錢包外,還有多種方法可以增強私鑰的安全性,用戶可以根據自身需求選擇適合的方案:
1)紙錢包:紙錢包是將私鑰和公鑰打印在紙上的一種離線儲存方式。雖然這種方法簡單且完全離線,但需要注意防火、防潮、防丟失等物理安全問題。有條件最好買一個金屬刻板進行物理記錄(市面上選擇很多,例如 OneKey 的 KeyTag)。
2)手機冷錢包:冷錢包是指完全離線儲存的私鑰或加密資產,比如離線的手機或者電腦。與硬體錢包類似,冷錢包也能有效避免網路攻擊,但用戶需要自己配置和管理這些設備。
3)分片加密儲存:分片加密儲存是一種將私鑰分割成多個部分,並分別儲存在不同位置的方法。即使攻擊者獲取了一部分私鑰,也無法進行完整的恢復。這種方法通過增加攻擊難度來提高安全性,但用戶需要管理好各個私鑰分片,避免因部分分片丟失而無法恢復私鑰。
4)多重簽名(Multisig):多重簽名技術要求多個私鑰共同簽署交易,才能完成轉帳操作。這種方法通過增加簽名者數量來提高安全性,防止單個私鑰被盜而導致資產被轉移。例如,可以設置一個三方簽名的多籤帳戶,只有當至少兩個私鑰同意時,交易才能被執行。這不僅提高了安全性,還可以實現更靈活的管理和控制。
5)密碼學創新技術:現在隨着技術的發展,一些新興的密碼學技術也在不斷應用於私鑰保護中。例如,門限簽名(Threshold Signature Scheme, TSS)和多方計算(Multi-Party Computation, MPC)等技術,通過分佈式計算和協作方式,進一步提高了私鑰管理的安全性和可靠性。這裏一般是企業會用得比較多,個人使用極少。
OKX Web3 錢包安全團隊:硬體錢包通過將私鑰儲存在一個獨立的、離線的設備上,防止私鑰被網路攻擊、惡意軟體或其他線上威脅所竊取。相比於軟體錢包和其他形式的儲存,硬體錢包提供了更高的安全保障,特別適用於需要保護大量加密資產的用戶。對於私鑰安全防護措施大概可以從以下角度出發:
1)使用安全的儲存設備:選擇可信賴的硬體錢包或者其他冷儲存設備,降低私鑰被網路攻擊盜取的風險。
2)建立完善的安全意識教育:加強對私鑰安全的重視和保護意識,對任何需要輸入私鑰的網頁或程式保持警惕,在必須複製貼上私鑰時,可以只複製部分,留幾位字符手動輸入,防止剪貼板攻擊。
3)助記詞和私鑰的安全儲存:避免拍照、截圖或線上記錄助記詞,應儘量寫在紙上並存放在安全的地方。
4)私鑰分離儲存:將私鑰分成多個部分,分別儲存在不同的地方, 減少單點故障的風險。
延伸閱讀:Web3入口革命》為何MPC錢包比Metamask 等傳統錢包更安全、更適合新手?
_
Q4:當前身份驗證和存取權控制方面存在的漏洞
OneKey 安全團隊:區塊鏈並不像 Web2 需要去識別儲存我們的身份資訊,它是通過密碼學來實現資產的自託管和訪問。這意味着,私鑰就是一切。用戶訪問控制加密資產的最大風險,一般都來自私鑰的儲存不當——畢竟用戶私鑰是訪問加密貨幣資產的唯一憑證。如果私鑰丟失、被盜暴露甚至是遭遇自然災害,就很可能永久丟失資產。
這也是我們 OneKey 等品牌存在的意義,爲用戶提供安全的私鑰自託管方案。不少用戶往往在管理私鑰時缺乏安全意識,使用不安全的儲存方式(如將私鑰保存在在線文檔、截圖中)。最好的方式是採用離線生成和儲存的方式,除了手動擲骰子和手抄之外,也可以考慮使用此前提到的硬體錢包配合助記詞金屬板銘刻。
當然,也有不少用戶使用交易所帳戶直接儲存資產,這時候身份驗證和訪問控制就比較類似 Web2 了。
這將關乎用戶的密碼安全意識。弱密碼和重複密碼的使用是一個常見的問題。用戶傾向於使用簡單、易猜的密碼或在多個平臺(比如驗證用郵箱)上重複使用相同的密碼,增加了被暴力破解或數據泄露後受攻擊的風險。
儘管在這其中多重身份驗證(如短信驗證碼、Google Authenticator)可以增加安全性,但如果實施不當或存在漏洞(如短信劫持),也會成爲攻擊目標。比如簡訊劫持 SIM 卡交換攻擊 ——攻 擊者通過欺騙或賄賂行動通信業者的員工,將受害者的電話號碼轉移到攻擊者控制的SIM卡上,從而接收所有發往受害者手機的短信驗證碼。此前 Vitalik 就曾經遭遇「SIM SWAP」攻擊,攻擊者使用其推特發出釣魚資訊導致多人資產受損。此外,多重身份驗證器如「Google Authenticator」的備份碼儲存不當也有可能會被攻擊者獲取並用於攻擊帳戶。
OKX Web3 錢包安全團隊:這是非常值得關注的板塊,當前來看需要注意的是
1)弱密碼和密碼重用:用戶經常使用簡單、容易猜測的密碼,或在多個服務上重複使用相同的密碼,增加了密碼被暴力破解或通過其他泄露渠道獲取的風險。
2)多因素身份驗證(MFA)不足:Web2 中多因素身份驗證可以顯著提高安全性,但 web3 錢包中一旦私鑰泄漏就意味着攻擊者掌握了帳戶的全部操作權限,難以建立有效的MFA機制。
3)釣魚攻擊和社會工程學:攻擊者通過釣魚郵件、假冒網站等手段誘騙用戶泄露敏感資訊。當前針對 web3 的釣魚網站呈現集團化、服務化的特點,如果沒有足夠的安全意識很容易上當受騙。
4)API 密鑰管理不當:開發者可能將 API 密鑰硬編碼在客戶端應用中,或者未對其進行適當的權限控制和過期管理,導致密鑰被泄露後可以被濫用。
_
Q5:用戶應該如何預防 AI 換臉等新興的虛擬技術所帶來的風險?
OneKey 安全團隊:在 2015 年的 BlackHat 大會上,全球駭客一致認爲人臉識別技術是最不可靠的身份認證方法。近十年後,在 AI 技術進步下,我們已經有近乎完美的替換人臉的「魔法」,果然普通的視覺人臉識別已經無法提供安全的保障。於此,更多的是識別方需要升級算法技術識別和阻止深度僞造內容。
對於 AI 換臉這些風險,用戶端除了保護好自己的隱私生物特徵數據之外,能做的確實不多。以下有一些小的建議:
1)謹慎使用人臉識別應用
用戶在選擇使用人臉識別應用時,應選擇那些有良好安全記錄和隱私政策的應用程式。避免使用未知來源或安全性存疑的應用,並定期更新軟體以確保使用最新的安全補丁。此前國內有很多小貸公司 App 就違規使用用戶的人臉數據倒賣,泄露用戶人臉數據。
2)瞭解多因素認證(MFA)
單一的生物特徵認證存在較大風險,因此結合多種認證方式能夠顯著提升安全性。多因素認證(MFA)結合了多種驗證方法,例如指紋、虹膜掃描、聲紋識別,甚至是DNA數據。對於識別方而言,這種組合認證方式能夠在一個認證方法被攻破時,提供額外的安全層。對於用戶來說,保護自己這方面的隱私數據同樣很重要。
3)保持懷疑謹防詐騙
很顯然,人臉和聲音都被可以被 AI 模仿的情況下,隔着網路冒充一個人變得簡單了很多。用戶應特別警惕涉及敏感資訊或資金轉移的請求,採取雙重驗證,通過電話或面對面確認對方身份。保持警惕,不輕信緊急要求,識別假冒高管、熟人、客服等常見詐騙手段。先如今假冒名人的也很多,參與一些項目也要小心「假站臺」。
OKX Web3 錢包安全團隊:一般來說,新興的虛擬技術帶來新的風險,而新的風險事實上也會帶來新的防禦手法研究,新的防禦手法研究則會帶來新的風險控制產品。
一、AI僞造風險
在 AI 換臉範疇,已經有許多 AI 換臉檢測產品的出現,當前工業界已經提出了幾種方法來自動檢測虛假人物視頻,側重於檢測數字內容中因使用 deepfake 而產生的獨特元素(指紋),用戶也可以通過仔細觀察面部特徵,邊緣處理,音畫不同步等多種方式識別出 AI 換臉,此外,微軟也推出了一系列工具以教育用戶對於 deepfack 的識別能力,用戶可以進行學習並加強個人的識別能力。
二、數據與隱私風險
大模型在各種領域的應用也帶來了用戶的數據與隱私風險,在平時在對話機器人的使用中,用戶儘量要關注個人隱私資訊的保護,儘量避免私鑰,key,密碼等關鍵資訊的直接輸入,儘量通過替代,混淆等方法隱藏自己的關鍵資訊,對於開發者而言,Github 提供了一系列友好的檢測,如果提交的程式碼中存在 OpenAI apikey 或者其他有風險的隱私泄露,相應的 Push 則會報錯。
三、內容生成濫用風險
在用戶日常工作中,可能會遇到很多大模型生成內容的結果,這些內容雖然有效,但是內容生成的濫用也帶來了虛假資訊,知識版權的問題,現在也出現了一些產品,用於檢測文本內容是否爲大模型生成,可以降低一些相應的風險。此外,開發者在使用大模型的程式碼生成時,也要關注生成程式碼功能的正確性和安全性,對於敏感或需要開源的程式碼,一定要進行充分的審查和審計。
四、日常的關注以及學習
用戶在日常瀏覽短影音,長影音以及各種文章時,要有意識的去判斷以及識別,記住可能的 AI 僞造或 AI 生成的內容,如常見的解說男音,女音,讀音錯誤,以及常見的換臉視頻,在遇到關鍵場景下,有意識的去判斷和識別這些風險。
_
Q6:從專業的角度,分享一下物理設備安全建議
OneKe安全團隊:根據前面提到的各種風險,我們把防護措施簡單總結一下。
1、謹防聯網設備的入侵風險
在我們日常生活中,聯網設備已經無處不在,但這也帶來了潛在的入侵風險。爲了保護我們的高危數據(如私鑰、密碼、MFA備份碼),我們應該使用強加密方法,並儘量選擇隔絕網路的儲存方式,避免將這些敏感資訊直接以明文形式儲存在設備上。此外,我們需要始終保持防範釣魚和木馬攻擊的警惕心態。可以考慮分開使用加密資產操作的專用設備和其他普通用途的設備,以降低被攻擊的風險。例如,我們可以將日常使用的筆記型電腦和用於管理加密資產的硬體錢包分開,這樣即使一臺設備遭到攻擊,另一臺設備仍能保持安全。
2、保持物理的監控與保護
爲了進一步保障我們的高風險設備(如硬體錢包)的安全,我們需要採取嚴格的物理監控和保護措施。家中的這些設備應該存放在高標準的防盜保險箱中,並配備綜合智慧安防系統,包括視訊監控和自動報警功能。如果我們需要出行,選擇帶有安全儲存設施的酒店尤爲重要。許多高檔酒店提供專門的安全儲存服務,這能爲我們的設備提供額外的保護層。此外,我們還可以考慮隨身攜帶便攜式保險箱,確保在任何情況下都能保護我們的重要設備。
3、降低風險暴露和預防單點故障
將設備與資產分散儲存是降低風險的關鍵策略之一。我們不應該將所有高權限設備和加密資產儲存在一個地方或一個錢包中,而應考慮分散儲存在不同地理位置的安全地方。例如,我們可以在家中、辦公室以及信任的親友處分別存放一些設備和資產。此外,使用多個熱錢包和硬體冷錢包也是一種有效的方法,每個錢包可以存放一部分資產,降低單點故障的風險。爲了增加安全性,我們還可以使用多重簽名錢包,這需要多個授權簽名才能進行交易,從而大幅提升我們的資產安全水平。
4、假設最壞情況的應急措施
在面對潛在的安全威脅時,制定最壞情況的應急措施至關重要。對於高淨值人士來說,保持低調行事是避免成爲目標的有效策略。我們應避免在公開場合炫耀自己的加密資產,儘量保持財產資訊低調。此外,制定設備丟失或被盜的應急計劃也是必要的。我們可以設置誘餌加密錢包,臨時應付可能的劫匪,同時確保重要設備的數據可以遠程鎖定或擦除(在有備份的情況下)。在高風險地區公開出行時,僱傭私人安保團隊可以提供額外的安全保障,並使用特殊貴賓安全通道和高安全性的酒店,確保我們的安全和隱私。
OKX Web3 錢包安全團隊:我們分兩個層面來介紹,一個是 OKX Web3 APP 層面、另外一個是用戶層面。
1、OKX Web3 APP 層面
OKX Web3 錢包採用了多種手段對 App 進行加固,包括但不限於算法混淆、邏輯混淆、程式碼完整性檢測、系統庫完整性檢測、應用防篡改以及環境安全檢測等多種加固和檢測手段,最大程度上降低了用戶在使用 App 時遭受駭客攻擊的概率,同時也能夠最大程度避免黑產對我們的 App 進行二次打包,降低了下載到假 App 的概率。
另外,在 Web3 錢包數據安全層面,我們使用了最先進的硬體安全技術,利用晶片級加密手段,對錢包中的敏感數據進行加密,該加密數據跟設備晶片綁定,加密數據如果被盜,任何人無法解密。
2、用戶層面
針對用戶涉及物理設備包括硬體錢包、常用電腦、以及手機等設備,我們建議用戶可以先從以下幾個方面加強安全意識
1)硬體錢包:使用知名品牌的硬體錢包,從官方渠道購買,並在隔離環境中生成和儲存私鑰。儲存私鑰的介質應防火、防水、防盜。建議使用防火防水的保險櫃,可將私鑰或助記詞分散儲存在不同安全位置以提升安全性。
2)電子設備:安裝軟體錢包的手機與電腦建議選用安全性與隱私性較好的品牌(例如蘋果),同時減少安裝其它不必要的應用軟體,純淨系統環境。使用蘋果身份 ID 管理系統多設備備份,避免單機故障。
3)日常使用:避免在公共場合進行錢包設備敏感操作,防止攝影鏡頭記錄泄露;定期使用可靠的殺毒軟體對設備環境進行查殺;定期對物理設備存放位置可靠性進行檢查。
最後,感謝大家看完 OKX Web3 錢包《安全特刊》專欄的第 04 期,當前我們正在緊鑼密鼓地準備第 05 期內容,不僅有真實的案例、風險識別、還有安全操作乾貨,敬請期待!
