「火星公开课」第243期 | 慢雾科技Keywolf:保护数字资产安全,先做好这三步

火星公开课·热度: 68568
Keywolf认为,随着一波接一波的主网上线,今年公链的安全会“缤纷多彩”。


3月22日21:00,慢雾科技合伙人Keywolf做客「火星财经创始学习群」,从钱包安全、交易所安全以及安全意识三个方面,分享了“区块链资产常见安全风险及防御方法”。

Keywolf表示,中心化钱包的安全主要是保障账号密码安全,同时要尽量开启登录二次认证,去中心化钱包主要是关注私钥、助记词、KeyStore的安全,中心化交易所的安全防范措施和中心化钱包很多是相同的,额外需注意的是保障交易API Key的安全。

至于安全意识,他认为核心点是切记“天下没有免费的午餐”,另一个是信任提防。

以下为Keywolf分享内容,由火星财经(微信:hxcj24h)整理:

今天的分享从三个部分展开,分别是钱包安全、交易所安全以及安全意识。每个部分先讲安全防范措施,然后再拿实际攻击举例说明。


数字资产钱包分为中心化钱包和去中心化钱包,两者有很多的不同,从安全防御的角度也各有侧重。

中心化包的安全主要是保障号密安全,密度要高,同不与其他网站的密相同;此外尽量开启登二次认证,使用短信验证码或者GoogleAuthenticator认证App

去中心化包主要是关注私、助记词KeyStore的安全,份的候不要使用网、云笔iCloud等,尽可能离线备份(例如助记词卡片),同份几份,以防失或坏。


接下来分享几个有关钱包的真实攻击事件,方便加深理解。

2018年2月14日,思科Talos安全团队披露了一个名为Coinhoarder的恶意广告行动,截至报告发布时,Coinhoarder已经净赚5000万美元,尤其是2017最后一个季度1000万美元的暴利。

在这个事件里面使用的攻击手法是钓鱼网站,攻击者注册了几个和比特币钱包blockchain.com很相似的域名,并完整克隆blockchain.com网站。

然后买Google的关键词广告,让钓鱼网站排在官方网站的前面,用户不认真看的话,就点击第一个打开了钓鱼网站,输入账号密码就被攻击者获取了,然后攻击者就登录blockchain.com把币转走。


第二个攻击事件是去年4月24日发生的MyEtherWallet遭遇DNS劫持,在这次攻击中,用户访问的网址是正确的,不是假的。但浏览器会提示SSL证书错误,很多用户不了解发生了什么,仍然执意进行转账、合约调用等操作,攻击者利用在网页中嵌入的JS脚本窃取私钥、助记词,然后盗走用户的资产。


另外一个特别要注意的是,不要在任何网站上入你的私、助记词很多攻击者打着空投、“转1返10”的旗号招摇撞骗,引诱你输入私钥、助记词,要切记不要贪小便宜。


第二部分是交易所安全。


我们主要谈中心化交易所,部分的安全防范措施和中心化包很多是相同的,主要是号密安全和二次认证

交易所安全外的一个注意点是保障交易API Key的安全,包括安全的存储、传递、备份,同时尽可能配置调用IP白名单,这样即使API Key泄露了,攻击者的IP不在白名单内也无法操纵你的账户。


接下来分享下有关交易所的攻击事件。

一个大家比较熟悉的真实攻击是2018年币安遭遇的大规模钓鱼攻击,和前面比特币钱包钓鱼网站不同的是,币安钓鱼网站使用的域名和binance单词的顺序是完全一样的,同时SSL证书也是正常的。

奇妙之处是binance两个字母n下面有个小点,不是特别仔细看的话很难辨识出来。

攻击者是利用社交网站自动转短域名的方式,在推特、脸书等海外社交平台大量传播钓鱼网站,窃取用户的账户密码。

接下来是最后一部分安全意识。核心点是切天下没有免的午餐,另一个是信任提防。


不可信的文档都丢进虚拟机里打开、不可信的链接都在浏览器隐身模式下打开,同时不轻易给出名片、信用卡、微信、手机号等,因为这里面包含大量个人身份信息,可被用于组合密码,用于暴力破解交易所、中心化钱包等平台的账户。


此外在手机安全方面给大家一些建议,1-4很好理解,第5点展开说下:

iFiles 2是iOS上的App,可禁用掉它的网络权限,然后用它存储一些非常隐私和重要的内容在里面,一方面可以设置访问密码,手机丢了别人也看不了。

另一方面禁用网络权限后不会被同步到云端,不用担心“脱库”。

另一款推荐的1Password是密码管理软件,不常用的网站可以用这个App生成高强度随机密码,需要登录网站时打开1Password复制密码去登录。


在电脑安全方面这些点比较偏技术,大家可以有所选择的吸收。

问答环节

Q1:简单介绍下慢雾团队。

A1:慢雾科技由一支拥有十多年一线网络安全攻防实战的团队创建,作为中国最早专注于区块链生态安全的公司,慢雾科技已经为全球多家领先的数字货币交易所、钱包、底层公链、智能合约等项目做了安全审计及防御部署。

慢雾科技的安全解决方案包括安全审计、安全顾问、防御部署、威胁情报(BTI)、漏洞赏金等服务并配套相关安全产品,在行业内曾独立发现并公布多起通用高风险的安全漏洞,得到业界的广泛关注与认可。

Q2:最近有没有值得分享的安全事件?

A2:最近ETC 51%攻击影响比较大,好在最后攻击者迫于压力把币都归还了。

Q3:你对今年区块链安全方面有什么大胆预测?

A3:我觉得今年公链的安全会缤纷多彩,一波接着一波的主网上线……

嘉宾简介

Keywolf / 慢雾科技合伙人

对话发起人

猛小蛇 / 火星社群负责人

文章声明:本文根据「火星币优第一情报站」嘉宾分享内容整理,不代表火星财经立场,转载须在文章标题后注明“文章来源:火星财经(微信:hxcj24h)”。

声明:本文为入驻“火星号”作者作品,不代表火星财经官方立场。转载请注明出处、作者和本文链接
提示:投资有风险,入市须谨慎。本资讯不作为投资理财建议。
语音技术由科大讯飞提供
推广
最近更新
本文来源:火星公开课
原文标题:
涨跌幅
排名名称价格(USD)涨幅
您可能感兴趣的内容
暂无内容

评论0