OKX Web3 錢包特別策劃了《安全特刊》專欄,針對不同類型的鏈上安全問題進行專期解答。通過最發生在用戶身邊最真實案例,與安全領域專家人士或者機構共同聯合,由不同視角進行雙重分享與解答,從而由淺入深梳理並歸納安全交易規則,旨在加強用戶安全教育的同時,幫助用戶從自身開始學會保護私鑰以及錢包資產安全。
(相關補充:OKX Web3 & 慢霧安全特刊:身經「百詐」的經驗分享 )
(相關補充:近 7 萬鎂的比特幣,還能成為百萬富翁製造機嗎? )
本文為廣編稿,由 OKX 撰寫、提供,立場與動區無關。
擼毛操作猛如虎,安全係數爲負 5?作爲鏈上交互的高頻用戶,對於擼毛人來說,安全永遠是第一位的
今天,兩大鏈上「避坑王」教你如何進行安全防護攻略
本期是安全特刊第 03 期,特邀行業知名安全專家 0xAA 與 OKX Web3 錢包安全團隊,從實操指南的角度出發,來講解「擼毛人」常見的安全風險和防範措施。
WTF Academy: 非常感謝 OKX Web3 的邀請,我是來自 WTF Academy 的 0xAA。WTF Academy 是一所 Web3開源大學,幫助開發者入門 Web3 開發。今年我們孵化了一個 Web3 救援項目 RescuETH(鏈上救援隊),專注救援用戶被盜錢包中的剩餘資產,目前已成功在Ethereum、Solana、Cosmos 上救援了超過 300 萬人民幣的被盜資產。
OKX Web3 錢包安全團隊:大家好,非常開心可以進行本次分享。OKX Web3 錢包安全團隊主要負責 OKX 在Web3 領域內各類安全能力的建設,比如錢包的安全能力建設,智能合約安全審計,鏈上項目安全監控等,爲用戶提供產品安全、資金安全、交易安全等多重防護服務,爲維護整個區塊鏈安全生態貢獻力量。
_
Q1:請分享幾個真實的擼毛人遭遇的風險案例
WTF Academy:請分享幾個真實的擼毛人遭遇的風險案例
私鑰泄漏是擼毛用戶面臨的重大安全風險之一。本質上,私鑰是一串用於控制加密資產的字符,任何擁有私鑰的人都能完全控制相應的加密資產。一旦私鑰泄漏,攻擊者便可以未經授權地訪問、轉移和管理用戶的資產,導致用戶遭受經濟損失。所以,我重點分享幾個私鑰被盜的案例。
Alice(化名)在社交媒體上被駭客誘導下載了惡意軟體,並在運行該惡意軟體後導致私鑰被盜取,當前惡意軟體的形式多樣多種,包含但不限於:挖礦腳本、遊戲、會議軟體、衝土狗腳本、夾子機器人等等,用戶需要提高安全意識。
Bob(化名)不小心把私鑰上傳到 GitHub 後,被他人獲取,隨手導致了資產被盜。
Carl(化名)在項目方官方的 Tegegram 群諮詢問題時,信任了主動聯繫他的假冒客服,並泄露了自己的助記詞,隨後錢包資產被盜取。
OKX Web3錢包安全團隊:這類風險案例比較多,我們挑選了幾個用戶在擼毛時,遭遇的比較經典的案例。
第一類,高仿帳號發佈假空投。用戶A在瀏覽某熱門項目Twitter時,發現最新Twitter下方有空投活動的公告,隨即點擊了該公告連結來參與空投,最終導致被釣魚。當前很多釣魚者,通過高仿官方帳號,並在官方推特下追發虛假公告,從而誘導用戶上鉤,用戶應該要注意辨別,不能掉以輕心。
第二類,官方帳號被劫持。某項目的官方 Twitter 和 Discord 帳號遭到駭客攻擊,隨後駭客在項目的官方帳號上發佈了一個虛假的空投活動連結,由於該連結是從官方渠道發佈的,因此用戶 B 並沒有懷疑其真實性,點擊了該連結參與空投後反被釣魚。
第三類,遭遇惡意項目方。用戶 C 參加某項目的挖礦活動時,爲獲得更高的獎勵收益,將所有 USDT 資產全部投到該項目的 staking 合約。然而,該智能合約並沒有經過嚴格審計而且沒有開源,結果項目方通過該合約預留的後門將合約中用戶 C 存入的資產全部盜走。
對於擼毛用戶來說,動輒擁有幾十或者幾百個錢包,如何保護錢包和資產安全是一個非常重要的話題,需要時刻保持警惕,提高安全防範意識。
_
Q2:作爲高頻用戶,擼毛人在鏈上交互中的常見安全風險類型以及防護措施
WTF Academy:對於擼毛人乃至所有的Web3用戶而言,當前常見的兩類安全風險就是:釣魚攻擊和私鑰泄漏。
第一類是釣魚攻擊:駭客通常會假冒官方網站或應用,在社交媒體和搜索引擎上誘騙用戶點擊,然後在釣魚網站上誘導用戶交易或簽名,從而獲取代幣授權,盜走用戶資產。
防範措施:第一,建議用戶只從官方渠道(例如官方推特簡介中的連結)進入官方網站和應用。第二,用戶可以使用安全插件,來自動屏蔽掉一些釣魚網站。第三,用戶在進入可疑網站時,可以諮詢專業的安全人士,幫忙判斷是否爲釣魚網站。
第二類是私鑰泄漏:已經在上一個問題介紹過了,此處不再展開。
防範措施:第一,如果用戶的電腦或者手機上裝有錢包,就儘量不要從非官方的渠道下載可疑軟體。第二,用戶需要知道,官方客服通常不會主動私信你,更不會要你發送或在假冒的網站裏輸入私鑰和助記詞。第三,如果用戶的開源項目需要使用私鑰,請先配置好 .gitignore 文件,確保私鑰不被上傳到GitHub。
OKX Web3錢包安全團隊:我們歸納了用戶在鏈上交互中的常見的 5 類安全風險,並針對每類風險列出了一些防護措施。
1. 空投騙局
風險簡介:有些用戶經常會發現自己的錢包地址中出現了大量不明代幣,這些代幣在常用的 DEX 交易通常都會失敗,頁面會提示用戶去它的官網兌換,而後用戶在進行授權交易時,往往會授予智能合約轉走帳戶資產的權限,最終導致資產被盜。
比如,Zape 空投騙局,許多用戶在錢包中突然收到大量 Zape 幣,價值看似有數十萬美元。這讓很多人誤以爲自己意外發了大財。然而,這實際上是一個精心設計的陷阱。由於這些代幣在正規平臺上無法查詢到,許多急於兌現的用戶會根據代幣名稱找到所謂的「官網」。按照提示連接錢包後,以爲可以出售這些代幣,但一旦授權,錢包裏的所有資產都會被立即盜走。
防護措施:避免空投騙局需要用戶保持高度警惕,覈實資訊來源,始終從官方渠道(如項目的官方網站、官方社交媒體帳號和官方公告)獲取空投資訊。保護好私鑰和助記詞,不要支付任何費用,並利用社群和工具進行驗證,識別潛在的騙局。
2. 惡意智能合約
風險簡介:很多未審計或未開源的智能合約可能包含漏洞或後門,無法保證用戶資金安全。
防護措施:用戶儘量僅與經過正規審計公司嚴格審計的智能合約交互,或者注意檢查項目的安全審計報告。另外,通常那些設有 bug bounty 的項目,其安全性更有保障。
3. 授權管理
風險簡介:過度授權給交互的合約,可能導致資金被盜,這裏我們舉例說明:
1)合約是可升級合約,如果特權帳號私鑰泄露,攻擊者可以利用該私鑰將合約升級爲惡意版本,從而盜取已授權用戶的資產。
2)如果合約存在尚未被識別的漏洞,過度授權可能使攻擊者在未來利用這些漏洞盜取資金。
防護措施:原則上只對交互的合約進行必要額度的授權,並且需要定期檢查並撤銷不必要的授權。在進行鏈下 permit 授權簽名時,一定要清楚授權的目標合約/資產類型/授權額度,做到三思而後行。
4. 釣魚授權
風險簡介:點擊惡意連結並被誘導授權給惡意合約或用戶
防護措施:
1)避免盲簽: 在簽署任何交易前,務必確保瞭解即將簽署的交易內容,確保每一步操作都明確且有必要。
2)謹慎對待授權目標:如果授權目標是 EOA 地址(Externally Owned Account)或者未經驗證的合約,必須提高警惕。未經驗證的合約可能存在惡意程式碼。
3)使用防釣魚瀏覽器擴充錢包:使用具有防釣魚保護的瀏覽器擴充錢包,例如 OKX Web3 錢包等,這些錢包可以幫助識別和阻止惡意連結。
4)保護助記詞和私鑰:所有要求提供助記詞或私鑰的網站均爲釣魚連結,切勿在任何網站或應用中輸入這些敏感資訊。
5. 惡意的擼毛腳本
風險簡介:運行惡意的擼毛腳本,會導致電腦被植入木馬,從而導致私鑰被盜。
防護措施:謹慎運行未知的擼毛腳本或者擼毛軟體。
總之,我們希望用戶在進行鏈上交互時候,可以謹慎再謹慎、保護好自己的錢包和資產安全。
_
Q3:梳理經典的釣魚類型以及手法,以及如何識別和避免?
WTF Academy:我想從另外的視角,重新回答這個問題:即一旦用戶發現資產被盜,如何辨別是釣魚攻擊還是私鑰泄漏?用戶通常可以通過這 2 類攻擊特點去辨別:
一、釣魚攻擊的特點:駭客通常通過釣魚網站,獲取用戶單一錢包下的單一或多個資產的授權,從而盜取資產。一般來說,盜取資產的種類和用戶在釣魚網站授權的次數相等。
二、私鑰/助記詞泄漏的特點:駭客完全取得用戶單一或多個錢包下的所有鏈的全部資產的控制權。因此,如果出現以下特徵中的一個或多個,大概率判斷爲私鑰泄漏:
1)原生代幣被盜(如 ETH 鏈的 ETH),因爲原生代幣無法被授權。
2)多鏈資產被盜。
3)多錢包資產被盜。
4)單一錢包多種資產被盜,且清晰記得沒有授權過這些資產。
5)盜取代幣之前或同一個交易中並沒有授權(Approval 事件)。
6)轉入的 Gas 馬上會被駭客轉走。
如果不符合以上特徵,很可能是釣魚攻擊。
OKX Web3 錢包安全團隊:儘量避免被釣魚,首先需要注意2點:
1)要牢記不要在任何網頁填寫助記詞/私鑰;
2)確保訪問的連結爲官方連結,錢包界面的確認按鈕要謹慎點擊。
接下來,我們分享一些經典釣魚場景的套路,幫助用戶更加直觀的理解。
1、假網站釣魚:仿冒官方 DApp 網站,誘導用戶輸入私鑰或助記詞。所以,用戶的首要原則是不對任何人,任何網站提供自己的錢包私鑰或助記詞。其次,檢查網址是否正確,儘量使用官方書簽訪問常用 DApp 和使用正規主流錢包,如 OKX Web3 錢包會對檢測到的釣魚網站進行警告。
2、竊取主鏈代幣:惡意合約函數起名爲 Claim,SeurityUpdate,AirDrop 等具有誘導性名字,實際函數邏輯爲空,只轉移用戶主鏈代幣。
如果不符合以上特徵,很可能是釣魚攻擊。
3、相似地址轉帳:詐騙者會通過地址碰撞生成和用戶某關聯地址首尾若干位相同的地址,利用 transferFrom 進行 0 金額轉帳進行投毒,或利用假 USDT 進行一定金額轉帳等手段,污染用戶交易歷史,期望用戶後續轉帳從交易歷史拷貝錯誤地址。
延伸閱讀:1155枚WBTC沒了!巨鯨誤轉「零U投毒攻擊」相似地址、損失超7200萬美元
4、假冒客服:駭客假冒客服,通過社交媒體或郵件聯繫用戶,要求提供私鑰或助記詞。官方客服不會要求提供私鑰,直接忽略此類請求。
_
Q4:專業性較高的擼毛人,使用各類工具時需要注意的安全事項
WTF Academy:由於擼毛用戶涉及到的工具種類繁多,所以在使用各類工具時應該加強安全防範,比如
1、錢包安全:確保私鑰或助記詞不被泄露,不要在不安全的地方保存私鑰,以及避免在未知或不信任的網站輸入私鑰等等。用戶應該將私鑰或助記詞備份儲存在安全的地方,如離線儲存設備或加密的雲端儲存。此外,對於存有高價值資產的錢包用戶,使用多重簽名錢包可以增加安全性。
2、防範釣魚攻擊:用戶訪問任何相關的網站時,務必請仔細覈對網址,避免點擊不明來源的連結。儘量從項目的官方網站或官方社交媒體獲取下載連結和資訊,避免使用第三方來源。
3、軟體安全:用戶應該確保設備上安裝並更新防病毒軟體,防止惡意軟體和病毒攻擊。此外,還應該定期更新錢包和其他區塊鏈相關工具,確保使用最新的安全補丁。由於之前很多指紋瀏覽器和遠程桌面都出現安全漏洞,不建議使用。
通過以上措施,用戶可以進一步降低在使用各類工具時的安全風險。
OKX Web3 錢包安全團隊:我們先舉個行業公開的案例。
比如,比特指紋瀏覽器提供了多帳號登入、防止窗口關聯和模擬獨立電腦資訊等功能,受到一些用戶的青睞,但2023 年 8 月的一系列安全事件暴露了其潛在風險。具體來說,比特瀏覽器的「擴充功能數據同步」功能允許用戶將擴充功能數據上傳到雲端伺服器,並在新設備上通過輸入密碼快速遷移。雖然這一功能設計初衷是爲了方便用戶,但它也存在安全隱患。
駭客通過入侵伺服器,獲取了用戶的錢包數據。通過暴力破解手段,駭客從數據中破解了用戶的錢包密碼,獲取了錢包權限。據伺服器記錄顯示,儲存着擴充功能緩存的伺服器在 8 月初(日誌記錄最晚至 8 月 2 日)被非法下載。這起事件提醒我們,在享受便利的同時,也要警惕潛在的安全風險。
所以,用戶確保使用的工具安全可靠至關重要,以避免駭客攻擊和數據泄露的風險。通常而言,用戶可以從以下維度,提高一定的安全性。
延伸閱讀:擼毛黨哭慘!空投神器「比特瀏覽器」遭駭私鑰外洩,社群疑自導自演
一、硬體錢包使用:1)定期更新韌體,通過官方渠道購買。2)在安全的電腦上使用,避免在公共場所連接。
二、瀏覽器擴充錢包使用:)謹慎使用第三方擴充錢包和工具,儘量選擇信譽良好的產品,如 OKX Web3 錢包等。2)避免在不受信任的網站上使用錢包擴充功能。
三、交易分析工具使用:1)使用可信平臺進行交易和合約交互。2)仔細檢查合約地址和調用方法,避免誤操作。
四、計算機設備使用:1)定期更新計算機設備系統,更新軟體,修補安全漏洞。2)安全防病毒軟體,定期查殺計算機系統病毒。
_
Q5:與單一錢包相比,擼毛人如何更安全的管理多個錢包和帳戶?
WTF Academy:由於擼毛用戶在鏈上交互頻率較高、且同時管理多個錢包和帳戶,所以需要特別注意資產安全。
一、使用硬體錢包:硬體錢包允許用戶在同一設備上管理多個錢包帳戶,每個帳戶的私鑰儲存在硬體設備中,相對來說,更能確保安全性。
二、分離安全策略&分離操作環境:首先是分離安全策略,用戶可以通過分離不同用途的錢包,從而達到分散風險的目的。比如,空投錢包、交易錢包、儲存錢包等等。再比如,熱錢包用於日常交易和擼毛操作,冷錢包用於長期儲存重要資產,這樣即使某個錢包受損,其他錢包也不會受影響。
其次就是分離操作環境,用戶可以使用不同設備(例如手機、平板、電腦等)管理不同錢包,防止一個設備的安全問題影響所有錢包。
三、密碼管理:用戶應該爲每個錢包帳戶設置強密碼,避免使用相同或類似的密碼。或者使用密碼管理器來管理不同帳戶的密碼,確保每個密碼獨立且安全。
OKX Web3 錢包安全團隊:對於擼毛用戶來說,更安全的管理多個錢包和帳戶並非易事,比如,可以從以下的維度來提高錢包安全係數:
1、分散風險:1)不要將所有資產放在一個錢包中,分散儲存以降低風險。根據資產類型和用途,選擇不同類型的錢包,如硬體錢包、軟體錢包、冷錢包和熱錢包等。2)使用多簽名錢包管理大額資產,提高安全性。
2、備份和恢復:1)定期備份助記詞和私鑰,保存在多個安全地點。2)使用硬體錢包進行冷儲存,避免私鑰泄露。
3、避免重複密碼:爲每個錢包和帳戶分別設置強密碼,避免使用相同的密碼,以減少一個帳戶被破解導致其他帳戶同時受到威脅的風險。
4、啓用兩步驗證:在可能的情況下,爲所有帳戶啓用兩步驗證(2FA),增加帳戶安全性。
5、自動化工具:減少使用自動化工具,特別是那些可能將你的資訊儲存在雲端或第三方伺服器上的服務,以減少數據泄露的風險。
6、限制訪問權限:只授權信任的人訪問你的錢包和帳戶,並且限制他們的操作權限。
7、定期檢查錢包安全狀態:使用工具監控錢包交易,確保沒有異常交易發生,如果發現其中有錢包私鑰泄漏,立即更換所有錢包等等。
除了以上列舉的幾個維度外,還有很多,無論如何,用戶儘可能通過多個維度來確保錢包和資產安全,不要僅僅依賴單一的維度。
_
Q6:與擼毛人切實相關的交易滑點、MEV攻擊等,有哪些防護建議?
WTF Academy:瞭解和防範交易滑點和 MEV 攻擊至關重要,這些風險直接影響交易成本和資產安全。
拿 ME V攻擊來說,常見的類型有:
1)搶跑,即礦工或交易機器人在用戶交易前搶先執行相同的交易,以獲取利潤。
2)三明治攻擊,礦工在用戶交易前後分別插入買單和賣單,從而從價格波動中獲利。
3)套利:利用區塊鏈上不同市場的價格差異進行套利。
用戶可以通過通過 MEV 保護工具,將交易提交給礦工的專用通道,避免公開在區塊鏈上廣播。或者降低交易公開時間,即減少交易在內存池中停留的時間,並使用較高的 Gas 費加快交易確認速度、以及避免集中在一個 DEX 平臺進行大額交易等措施,來降低被攻擊的風險。
OKX Web3 錢包安全團隊:交易滑點是指預期交易價格與實際執行價格之間的差異,通常在市場波動較大或流動性較低時發生。MEV 攻擊是指攻擊者利用資訊不對稱和交易特權獲取超額利潤。以下是針對這兩種場景的一些常用的防護措施:
1、設置滑點容差:由於交易上鏈存在一定延時,以及可能存在的 MEV 攻擊等,用戶在交易時需要提前設置好合理滑點容差,避免因市場波動或 MEV 攻擊導致交易失敗或資金損失。
2、分批交易:避免一次性大額交易,分批次進行交易,可以減少對市場價格的影響,降低滑點風險。
3、使用流動性較高的交易對:在進行交易時,選擇流動性充足的交易對,以減少滑點的發生。
4、使用防搶跑工具:重要的交易儘量不要走 Memepool,可以通過專業的防搶跑工具,從而保護交易不被 MEV 機器人捕獲。
_
Q7:用戶是否可以使用監控工具或者專業方法,定期監控和檢測到錢包帳戶異常?
WTF Academy:用戶可以使用多種監控工具和專業方法來定期監控和檢測錢包帳戶的異常活動。這些方法有助於提高帳戶的安全性,防止未授權的訪問和潛在的欺詐行爲。以下是一些有效的監控和檢測方法:
1)第三方監控服務:當前很多平臺可以爲用戶提供錢包活動的詳細報告和實時警報。
2)使用安全插件:部分安全工具可以自動屏蔽掉部分釣魚網站。
3)錢包內置功能:OKX Web3等錢包可以自動檢測並識別部分釣魚網站和可疑合約,爲用戶提供警告。
OKX Web3 錢包安全團隊:目前很多公司或組織都提供了大量工具可用於錢包地址的監控檢測,我們根據行業公開資訊整理了部分,比如:
1、區塊鏈監控工具:使用區塊鏈分析工具,監控錢包地址的異常交易,資金變化情況,設置地址交易通知等。
2、安全錢包:使用如OKX Web3錢包等專業錢包,可支持交易預執行,及時發現可疑交易;也可以及時檢測和阻止與惡意網站和合約交互。
3、報警系統(Alert Systems):可以根據用戶設置的條件發送交易或餘額變動的提醒,包括短信、郵件或App通知等。
4、OKLink 代幣授權查詢:檢查錢包對 DApps 的授權,及時撤銷不需要的授權,防止授權被惡意合約濫用。
_
Q8:如何保護鏈上隱私安全?
WTF Academy:區塊鏈公開透明的特性雖然帶來了很多好處,但也意味着用戶的交易活動和資產資訊可能被濫用,鏈上隱私保護也變得愈發重要。但是,用戶可以通過創建並使用多個地址來保護個人身份隱私。不建議使用指紋瀏覽器,因爲之前出現過很多安全漏洞。
OKX Web3 錢包安全團隊:當前越來越多用戶,開始注意隱私安全保護,常見的方式有
1、多錢包管理:分散用戶資產,降低單一錢包被追蹤或攻擊的風險。
2、使用多簽錢包:需要多方簽名才能執行交易,增加了安全性和隱私保護。
3、冷錢包:將長期持有的資產儲存在硬體錢包或離線儲存中,防止在線攻擊。
4、不要公開地址:避免在社交媒體或公開平臺上分享你的錢包地址,以防被他人跟蹤。
5、使用臨時電子郵件:參與空投或其他活動時,使用臨時電子郵件地址來保護個人資訊不被暴露。
_
Q9:如果發生錢包帳戶被盜,用戶該如何應對?在幫助被盜用戶追回資產以及保護用戶資產方面,是否有做出努力或者建立機制
WTF Academy:我們針對釣魚攻擊和私鑰/助記詞泄漏分別展開。
首先,釣魚攻擊發生時,用戶授權給駭客的資產會被轉移到駭客錢包,這部分幾乎無法救援/追回;但用戶錢包的剩餘資產是相對安全的。RescuETH 團隊建議用戶採取以下措施:
1)撤回給駭客的資產授權
2)聯繫安全公司,對被盜資產和駭客地址進行追蹤。
其次,私鑰/助記詞泄漏發生時,用戶錢包中所有有價值的資產會被轉移到駭客錢包,這部分幾乎無法救援/追回,但用戶錢包當前無法被轉移走的資產是可以被救援的,比如未解鎖的質押資產和未發放的空投,這也是我們的主要救援目標。RescuETH 團隊建議用戶採取以下措施:
1)第一時間檢查錢包中是否有未被駭客轉移的資產,如果有,馬上轉移到安全錢包。有時駭客會漏掉一些冷門鏈的資產。
2)如果錢包有未解鎖的質押資產和未發放的空投,可以聯繫專業團隊進行救援。
3)如果懷疑安裝過惡意軟體,儘快對電腦進行殺毒,刪除惡意軟體。如果有必要,可以重裝系統。
當前,我們在救援被盜用戶的資產方面做過很多嘗試。
第一,我們是第一個針對被盜錢包的資產進行大規模救援的團隊。在 2023 年 3 月 Arbitrum 的空投活動中,我從近 20 位粉絲那裏收集了 40 多個泄漏錢包的私鑰,與駭客搶跑 $ARB 空投。最終成功救援了價值 40,000+ 美元的 ARB 代幣,成功率 80%。
第二,當用戶錢包被盜時,有經濟價值的資產會被駭客轉走,而沒有經濟價值但對用戶有紀念價值的 NFT 或 ENS 還留在錢包中。但由於錢包被駭客監控,轉入的 Gas 都會被馬上轉走,用戶無法轉移這部分資產。
針對這點,我們做了一個自助救援應用: RescuETH App,它基於 Flashbots bundle 的 MEV 技術,可以將轉入 Gas 和轉出 NFT/ENS 的交易打包,防止駭客監聽腳本轉出 Gas,從而成功救援資產。目前 RescuETH App 正在內測中,預計 6 月開始公測。
第三,針對用戶被盜錢包中可以救援的部分資產(未解鎖的質押和未發放的空投),我們提供有償的可訂製的白帽救援服務。目前,我們的白帽團隊由近 20 位安全/MEV 專家組成,已經在 ETH,Solana,Cosmos 等鏈的被盜錢包中救出超過 300 萬人民幣的資產。
OKX Web3 錢包安全團隊:我們從 2 個視角來展開:用戶措施和 OKX Web3 錢包安全機制
一、用戶措施
用戶一旦發現自己的錢包被盜,建議緊急採取以下措施:
1、緊急應對措施
1)立即轉移資金:如果錢包中還有資金,需立即將其轉移至安全的新地址。
2)撤銷授權:立刻通過管理工具撤銷所有授權,防止進一步損失。
3)追蹤資金流向:及時追蹤被盜資金的流向,整理被盜過程的詳細資訊,以便尋求外部幫助。
2、社群和項目方支持
1)尋求項目方和社群幫助:向項目方和社群報告事件,有時項目方可以凍結或追回被盜資產。例如,USDC 具有黑名單機制,可以阻斷資金轉移。
2)加入區塊鏈安全組織:加入相關的區塊鏈安全組織或群體,利用集體力量解決問題。
3)聯繫錢包客服支持:及時聯繫錢包的客戶支持團隊,尋求專業幫助和指導。
二、OKX Web3 錢包安全機制
OKX Web3 錢包高度重視用戶資產安全,並在保護用戶資產方面持續投入,提供多重安全機制以確保用戶的數字資產安全。
1)黑地址標籤庫:OKX Web3 錢包建立了豐富的黑地址標籤庫,防止用戶與已知的惡意地址進行交互。該標籤庫持續更新,以應對不斷變化的安全威脅,確保用戶資產的安全。
2)安全擴充:OKX Web3 錢包提供內置的防釣魚保護功能,幫助用戶識別和阻止潛在的惡意連結和交易請求,增強用戶帳戶的安全性。
3)24 小時在線支持:OKX Web3 錢包爲客戶提供 24 小時在線支持,及時跟進客戶資產被盜被騙事件,確保用戶能夠迅速獲得幫助和指導。
4)用戶教育:OKX Web3 錢包定期發佈安全提示和教育材料,幫助用戶提高安全意識,瞭解如何防範常見的安全風險,保護其資產。
_
Q10:能否分享一下前沿的安全技術,比如是否可以利用AI增強安全防護?
WTF Academy:區塊鏈和 Web3 領域的安全性是一個不斷發展的領域,各類前沿安全技術和方法不斷湧現,當前比較熱門的有:
1)智能合約審計:利用 AI 和機器學習自動化智能合約的安全審計,可以檢測智能合約中的漏洞和潛在風險,提供比傳統手動審計更快、更全面的分析。
2)異常行爲檢測:使用機器學習算法分析鏈上交易和行爲模式,檢測異常活動和潛在的安全威脅。AI 可以識別常見攻擊模式(如 MEV 攻擊、釣魚攻擊)和異常交易行爲,提供實時預警。
3)欺詐檢測:AI 可以分析交易歷史和用戶行爲,識別和標記可能的欺詐活動。
OKX Web3錢包安全團隊:目前 AI 在 Web3 領域已經有了很多落地的應用,以下是一些使用 AI 來增加 Web3 安全防護的場景:
第一,異常檢測與入侵檢測:利用 AI 和機器學習模型,分析用戶的行爲模式,檢測異常活動。例如,可以使用深度學習模型來分析交易行爲和錢包活動,識別潛在的惡意行爲或異常活動。
第二,釣魚網站識別:AI 可以通過分析網頁內容和連結特徵,檢測並阻止釣魚網站,保護用戶不受網路釣魚攻擊的威脅。
第三,惡意軟體檢測:AI 可以通過分析文件的行爲和特徵來檢測新型和未知的惡意軟體,防止用戶下載和執行惡意程序。
第四,自動化威脅響應:AI 可以自動化響應措施,例如在檢測到異常活動後,自動凍結帳戶或進行其他防護操作。
最後,感謝大家看完 OKX Web3 錢包《安全特刊》欄目的第 03 期,當前我們正在緊鑼密鼓地準備第 04 期內容,不僅有真實的案例、風險識別、還有安全操作乾貨,敬請期待!