ما الذي يجلبه الاستعادة إلى Ethereum؟
حجر الزاوية في قيمة Restake هو AVS الخاص بـ EigenLayer.
JinseFinanceتسجيل الدخول/ اشتراك
دليل البدء لأمن Web3 لتجنب المخاطر: المحفظة المزيفة والمفتاح الخاص، مخاطر تسرب العبارات التذكيرية
يتبع
الخلفية
تلعب المحافظ دورًا حيويًا في عالم Web3، فهي ليس فقط أدوات تخزين للأصول الرقمية، ولكن أيضًا الأدوات الضرورية للمستخدمين لإجراء المعاملات والوصول إلى التطبيقات اللامركزية. في الإصدار السابق من دليل بدء استخدام Web3 Security وتجنب المخاطر، قدمنا بشكل أساسي تصنيف المحافظ وأدرجنا نقاط المخاطر الشائعة لمساعدة القراء على تكوين مفاهيم أمان المحفظة الأساسية. مع شعبية العملات المشفرة وتقنية blockchain، ركزت الصناعة السوداء أيضًا على أموال مستخدمي Web3. وفقًا للنماذج المسروقة التي تلقاها فريق أمان SlowMist، يمكن ملاحظة أنه تم القبض على العديد من المستخدمين بسبب تنزيل/شراء محافظ مزيفة . لذلك، سنناقش في هذا العدد سبب تنزيل/شراء المحافظ المزيفة، بالإضافة إلى خطر تسرب المفاتيح الخاصة/العبارات التذكيرية، وسنقدم أيضًا سلسلة من الاقتراحات الأمنية لمساعدة المستخدمين على ضمان سلامة أموالهم.
التنزيل إلى المحفظة المزيفة
لأن العديد من الهواتف المحمولة تفعل ذلك لا يدعمها متجر Google Play أو بسبب مشاكل في الشبكة، سيقوم العديد من الأشخاص بتنزيل المحافظ من قنوات أخرى، مثل:
مواقع التنزيل التابعة لجهات خارجية< /strong>
يقوم بعض المستخدمين بتنزيل المحافظ من خلال مواقع التنزيل التابعة لجهات خارجية مثل apkcombo وapkpure وما إلى ذلك. غالبًا ما تعلن هذه المواقع أن تطبيقاتها يتم تنزيلها من Google مرايا متجر Play، لكنها في الواقع ماذا عن الأمان؟ أجرى فريق أمان SlowMist تحقيقًا وتحليلاً لمصادر الطرف الثالث لمحافظ Web3 المزيفة، وأظهرت النتائج أن إصدار المحفظة المقدم من موقع التنزيل apkcombo التابع لجهة خارجية غير موجود بالفعل. بمجرد قيام المستخدم بإنشاء محفظة أو استيراد بطاقة تذكير للمحفظة على واجهة البدء، سترسل المحفظة المزيفة معلومات تذكيرية ومعلومات أخرى إلى خادم موقع التصيد الاحتيالي.
محرك البحث
يمكن شراء تصنيفات محرك البحث، مما أدى إلى تصنيفات مواقع الويب الرسمية المزيفة. وهي أعلى من التصنيفات موقع رسمي حقيقي، لذلك لا ينصح المستخدمين بالبحث مباشرة عن المحافظ من خلال محركات البحث ثم النقر على الروابط ذات التصنيف الأعلى لتنزيل المحفظة، فمن المحتمل أن يؤدي ذلك إلى موقع رسمي مزيف ومن ثم تنزيل محفظة مزيفة. عندما لا يعرف المستخدمون عنوان موقع الويب الرسمي، فمن الصعب معرفة ما إذا كان موقع ويب مزيفًا بمجرد النظر إلى صفحة عرض موقع الويب، لأن موقع الويب المزيف الذي أنشأه المحتال يشبه إلى حد كبير الموقع الرسمي الحقيقي و يمكن الخلط بينه وبين الحقيقي، لذلك، من غير الممكن أن يقوم المستخدمون بالنقر فوق الروابط التي يشاركها مستخدمون آخرون على تويتر أو الأنظمة الأساسية الأخرى، وهي في الغالب روابط تصيد احتيالي.
الأصدقاء والأقارب/لوحة قتل الخنازير
للحفاظ على انعدام الثقة في غابة blockchain المظلمة، يجوز لأقاربك وأصدقائك لا تنتقد فكرتك، ولكن المحفظة التي قاموا بتنزيلها قد تكون مزيفة، ولكنها لم تتم سرقتها بعد، لذلك إذا قمت بتنزيل المحفظة من خلال رمز الاستجابة السريعة/الرابط الذي شاركوه، فمن الممكن أيضًا تنزيل محفظة مزيفة.
تلقى فريق SlowMist الأمني العديد من النماذج المسروقة المتعلقة بحادثة لوحة قتل الخنازير. غالبًا ما يكون روتين المحتال هو كسب ثقة الضحية أولاً ثم توجيه الضحية للمشاركة في استثمار العملات المشفرة ومشاركة رابط تنزيل المحفظة المزيفة والنتيجة النهائية هي خداع الضحية عاطفياً وخسارة المال. لذلك يجب على غالبية المستخدمين الحذر من مستخدمي الإنترنت، خاصة عندما يطلبون منك الاستثمار أو يرسلون لك روابط مجهولة، فلا تثق بهم بسهولة.
تيليجرام
في Telegram، من خلال البحث عن محافظ معروفة، وجدنا بعض المجموعات الرسمية المزيفة سيدعي المحتالون أن المجموعة هي القناة الرسمية لمحفظة معينة، وحتى داخلها يتم تذكير مستخدمي المجموعة بالبحث عن رابط الموقع الرسمي الوحيد، إلا أن هذه الروابط كلها مزيفة.
متجر التطبيقات
من المهم أن نذكرك بأن التطبيقات الموجودة في متجر التطبيقات الرسمي ليست بالضرورة آمنة. بعض المجرمين قد يتم شراؤها من خلال تصنيفات الكلمات الرئيسية ويتم استخدام طرق أخرى لحث المستخدمين على تنزيل التطبيقات الاحتيالية. ويُنصح القراء بالاهتمام بالفحص.
إذن، ما الذي يمكن للمستخدمين فعله لتجنب تنزيل المحافظ المزيفة؟
تنزيل الموقع الرسمي
القدرة على العثور على الحقيقة لن يتم استخدام الموقع الرسمي فقط عند تنزيل المحفظة، بل سيتم استخدامه أيضًا عندما يشارك المستخدمون لاحقًا في مشروع Web3، لذلك سنتحدث عن كيفية العثور على الموقع الرسمي الصحيح هنا.
يمكن للمستخدمين البحث مباشرة عن حفلة المشروع على تويتر، ومن ثم الحكم على ما إذا كانت رسمية أم لا بناءً على عدد المتابعين ووقت التسجيل وما إذا كان لها تاريخ أم لا. العلامة الزرقاء أو الذهبية ولكن يمكن تزييفها جميعًا وقد أخبرناك سابقًا عن المنتجات السوداء والرمادية التي تبيع حسابات تقليد عالية في مقالة الأصالة والمشاريع المزورة | احذر من الصيد بحسابات تقليد عالية في منطقة التعليقات. لذلك، يوصى المبتدئين أولاً بمتابعة بعض شركات الأمن وممارسي الأمن ووسائل الإعلام المعروفة وما إلى ذلك في الصناعة على تويتر لمعرفة ما إذا كانوا يتابعون الحساب الرسمي الذي وجدته.
(https://twitter.com/DefiLlama)
من خلال الطريقة المذكورة أعلاه، يكون لدى المستخدمين احتمال كبير للعثور على حساب تويتر الرسمي الحقيقي، ولكن لا يزال لدينا عمليات تحقق متعددة مطلوبة. بعد كل شيء، ليس من غير المألوف أن يتم اختراق حسابات تويتر الرسمية. وسيقوم المتسللون أيضًا باستبدال رابط الموقع الرسمي على الحساب الرسمي برابط موقع رسمي مزيف، لذلك، يحتاج المستخدمون إلى متابعة الرابط الرسمي رابط موقع الويب الذي عثروا عليه للتو من خلال قنوات أخرى (مثل DefiLlama وCoinGecko وCoinMarketCap وما إلى ذلك) مقارنة الروابط التي تم العثور عليها:
(https://landing.coingecko. com/links/)
بعد العثور على رابط الموقع الرسمي والتأكد منه، يوصى بأن يقوم المستخدم بحفظ الرابط في الإشارات المرجعية، حتى يمكن العثور على الرابط الصحيح سيتم العثور عليها مباشرة من الإشارة المرجعية في المرة القادمة دون الحاجة إلى العثور عليها وتأكيدها مرة أخرى في كل مرة، مما يقلل من احتمالية الدخول إلى المواقع الرسمية المزيفة.
متجر التطبيقات
يمكن للمستخدمين استخدام متجر التطبيقات الرسمي مثل تنزيل المحافظ من متجر Apple ومتجر Google Play وما إلى ذلك، ولكن قبل التنزيل تأكد من التحقق من معلومات مطور التطبيق للتأكد من توافقها مع هوية المطور الرسمية، كما يمكنك الرجوع إلى تقييمات التطبيقات والتنزيلات وغيرها معلومة.
التحقق من الإصدار الرسمي
قد يتساءل بعض القراء الذين يرون ذلك عن كيفية التحقق من المحفظة التي قاموا بتنزيلها هل هي محفظة حقيقية؟ يمكن للمستخدمين إجراء التحقق من تناسق الملف، والذي يحدد ما إذا كان الملف قد تغير أثناء النقل أو التخزين من خلال مقارنة قيمة التجزئة للملف. يحتاج المستخدمون فقط إلى سحب ملف APK الذي تم تنزيله مسبقًا إلى أداة التحقق من تجزئة الملف، وستستخدم هذه الأداة وظيفة التجزئة (مثل MD5، وSHA-256، وما إلى ذلك) لإنشاء قيمة التجزئة للملف مع المسؤول إذا تطابقت قيمة التجزئة فهي محفظة حقيقية وإذا لم تتطابق فهي محفظة مزيفة. ماذا يجب على المستخدم فعله إذا تحقق من أن محفظته مزيفة؟
1. أولاً، قم بتأكيد نطاق التسريب إذا قمت للتو بتنزيل المحفظة المزيفة ولكنك لم تقم بإدخال المفتاح الخاص/العبارة التذكيرية، فما عليك سوى حذف الملف التطبيق وحاول مرة أخرى فقط قم بتنزيل الإصدار الرسمي.
2. إذا تم استيراد المفتاح الخاص/العبارة التذكيرية إلى المحفظة المزيفة، فهذا يعني أنه قد تم تسريب المفتاح الخاص/العبارة التذكيرية. يرجى الانتقال إلى الموقع الرسمي لتنزيل المحفظة الأصلية واستيراد المفتاح الخاص/عبارة التذكير وإنشاء عنوان جديد لنقل الأصول القابلة للتحويل بسرعة.
3. إذا تمت سرقة عملتك المشفرة لسوء الحظ، فسوف نقدم خدمات مساعدة المجتمع لتقييم الحالة مجانًا، ما عليك سوى اتباع إرشادات التصنيف (الأموال المسروقة/). واجهت احتيالًا / واجهت ابتزازًا) ما عليك سوى إرسال النموذج. وفي الوقت نفسه، ستتم أيضًا مزامنة عنوان المتسلل الذي قدمته مع شبكة InMist للتعاون في مجال استخبارات التهديدات للتحكم في المخاطر. (ملاحظة: أرسل النموذج الصيني إلى https://aml.slowmist.com/cn/recovery-funds.html، وأرسل النموذج باللغة الإنجليزية إلى https://aml.slowmist.com/recovery-funds.html)< h2 style="text-align: left;">شراء محفظة أجهزة مزيفة
الموقف أعلاه هو السبب وراء رغبتي في ذلك قم بتنزيله المحافظ والحلول المزيفة، دعنا نتحدث عن سبب شراء محافظ الأجهزة المزيفة.
يختار بعض المستخدمين شراء محافظ الأجهزة في مراكز التسوق عبر الإنترنت، لكن محافظ الأجهزة من هذه المتاجر المعتمدة غير الرسمية تنطوي على مخاطر أمنية كبيرة جدًا، لأنها لا تحتاج إلى تخزينها في يد المستخدم حتى تصبح المحفظة في متناول اليد، ومن غير المؤكد عدد الأيدي التي مرت بها قبل تثبيتها، وما إذا كان قد تم العبث بالمكونات الداخلية. إذا تم العبث بالمكونات الداخلية، فسيكون من الصعب معرفة ذلك من خلال مظهر المشكلة ووظيفتها.
(https://www.kaspersky.com/ blog/fake-trezor-hardware-crypto-wallet/48155/)
إليك بعض الأساليب التي نقدمها للتعامل مع هجمات سلسلة توريد محافظ الأجهزة:< /p >
شراء القناة الرسمية: هذه هي الطريقة الأكثر فعالية لحل هجمات سلسلة التوريد. لا تقم بشراء محافظ الأجهزة من قنوات غير رسمية، مثل مراكز التسوق عبر الإنترنت، ووكلاء الشراء، ومستخدمي الإنترنت، وما إلى ذلك.
التحقق من المظهر:بعد الحصول على المحفظة، تحقق أولاً مما إذا كانت هناك أي علامات تلف في العبوة الخارجية الأكثر أساسية، على الرغم من أن هناك احتمالًا كبيرًا بعدم كشف المتسلل في هذه الخطوة.
التحقق الرسمي من الجهاز: توفر بعض محافظ الأجهزة خدمات التحقق الرسمية من الجهاز على موقع الويب. عندما يقوم المستخدم بتهيئة المحفظة، سيطالب الجهاز المستخدم لإجراء التحقق الرسمي من الموقع. إذا تم العبث بالجهاز أثناء النقل، فلن يتمكن من اجتياز التحقق من الجهاز الحقيقي على الموقع الرسمي.
آلية التدمير الذاتي عند التفكيك:يمكنك اختيار شراء محفظة أجهزة بآلية التدمير الذاتي عندما يحاول شخص ما ذلك افتح محفظة الأجهزة وعندما يتم العبث بالمكونات الداخلية، سيتم تشغيل آلية التدمير الذاتي، وسيتم مسح جميع المعلومات الحساسة في شريحة الأمان تلقائيًا، ولن يكون الجهاز قابلاً للاستخدام بعد الآن.
خطر تسرب المفتاح الخاص/عبارة ذاكري
تمرير مما سبق، يجب على الجميع تعلم كيفية تنزيل أو شراء محفظة حقيقية، ولكن كيفية الاحتفاظ بالمفتاح الخاص/العبارة التذكيرية تمثل مشكلة أخرى. المفتاح الخاص/عبارة التذكير هي بيانات الاعتماد الوحيدة لاستعادة المحفظة والتحكم في الأصول. المفتاح الخاص عبارة عن سلسلة سداسية عشرية مكونة من 64 بت مكونة من أحرف وأرقام، وتتكون العبارة التذكيرية بشكل عام من 12 كلمة. يود فريق أمان SlowMist أن يذكرك بأنه في حالة تسريب المفتاح الخاص/العبارة التذكيرية، فمن المحتمل جدًا أن تتم سرقة أصول المحفظة. دعنا نلقي نظرة على بعض الأسباب الشائعة لتسريب المفتاح الخاص/العبارة التذكيرية:< /p>
السرية غير الملائمة:قد يخبر المستخدمون أقاربهم وأصدقائهم بالمفتاح الخاص/العبارة التذكيرية ويطلبون منهم المساعدة في حفظها ونتيجة لذلك، يتم سرقة الأموال من قبل الأقارب والأصدقاء.
تخزين الشبكة أو نقل المفاتيح الخاصة/أساليب تقوية الذاكرة: حتى أن بعض المستخدمين يعرفون المفاتيح الخاصة/أساليب تقوية الذاكرة التي ينبغي لن يتم إخبارها للآخرين، ولكنهم سيحفظون المفتاح الخاص/العبارة التذكيرية من خلال مجموعة WeChat، والتقاط الصور، ولقطات الشاشة، والتخزين السحابي، والمذكرات، وما إلى ذلك. بمجرد جمع حسابات المنصة هذه واختراقها بنجاح من قبل المتسللين، يمكن بسهولة سرقة المفاتيح الخاصة/العبارات التذكيرية.
نسخ ولصق المفتاح الخاص/ذاكري: سيتم تحميل العديد من أدوات الحافظة وطرق الإدخال وسجلات اللوحة إلى السحابة، مما يترك المفتاح الخاص/العبارة التذكيرية مكشوفة في بيئة غير آمنة. علاوة على ذلك، يمكن لبرنامج طروادة أيضًا سرقة المعلومات الموجودة في الحافظة عندما يقوم المستخدم بنسخ المفتاح الخاص/العبارة التذكيرية، لذلك، لا يُنصح بأن يقوم المستخدمون بنسخ ولصق المفتاح الخاص/العبارة التذكيرية. هذا السلوك الذي يبدو غير ضار يؤدي في الواقع إلى العديد من المشكلات. خطر كبير من التسرب.
فكيف تتجنب تسرب المفتاح الخاص/عبارة ذاكري؟
أولاً وقبل كل شيء، لا تخبر أحداً بالمفتاح الخاص/العبارة التذكيرية، بما في ذلك الأقارب والأصدقاء. ثانيًا، حاول اختيار الوسائط المادية لحفظ المفتاح الخاص/عبارة التذكير لمنع المتسللين من الحصول على المفتاح الخاص/عبارة التذكر من خلال هجمات الشبكة والوسائل الأخرى. على سبيل المثال، انسخ المفتاح الخاص/عبارة التذكير على ورق عالي الجودة (يمكنك أيضًا إغلاقها بالبلاستيك) أو استخدم صندوق العبارات التذكيرية لتخزينها. بالإضافة إلى ذلك، يمكن أن يؤدي إعداد التوقيعات المتعددة والتخزين اللامركزي للمفاتيح الخاصة/عبارات التذكر إلى تحسين أمان المفاتيح الخاصة/عبارات التذكير. فيما يتعلق بكيفية عمل نسخة احتياطية من المفاتيح الخاصة/أساليب تقوية الذاكرة، يمكنك قراءة "كتيب Blockchain Dark Forest Self-Rescue Handbook" الذي أنتجته Slow Mist: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/ الرئيسي /README_CN.md.
الملخص
تشرح هذه المقالة بشكل أساسي التنزيل/المخاطر عند شراء محفظة، والعثور على الموقع الرسمي الحقيقي وطرق التحقق من صحة المحفظة، وخطر تسريب المفتاح الخاص/العبارة التذكيرية. نأمل أن يساعد محتوى هذا العدد الجميع في اتخاذ الخطوة الأولى نحو الغابة المظلمة، وفي العدد القادم، سنشرح المخاطر عند استخدام المحافظ، مثل مخاطر التصيد الاحتيالي والتوقيع والتفويض. (ملاحظة: العلامات التجارية والصور المذكورة في هذه المقالة تستخدم فقط لمساعدة القراء على الفهم ولا تشكل توصيات أو ضمانات).
احصل على فهم أوسع لصناعة العملات المشفرة من خلال التقارير الإعلامية، وشارك في مناقشات متعمقة مع المؤلفين والقراء الآخرين ذوي التفكير المماثل. مرحبًا بك للانضمام إلينا في مجتمع Coinlive المتنامي:https://t.me/CoinliveSG
أضف تعليق
تسجيل الدخوللترك تعليقك الرائع ...
0 تعليقات
باكرا جدا
تحميل المزيد من التعليقات
المزيد من الأخبار حول khôi phục ví web3 trên binance
المزيد من الأخبار حول khôi phục ví web3 trên binance
- JinseFinance
تمت استعادة Solana Blockchain بعد انقطاع دام 5 ساعات
عودة Solana إلى الإنترنت: الاستجابة الهندسية السريعة، وانخفاض قيمة SOL، واستمرار المخاوف بشأن الموثوقية.
EdmundClayStack يكشف عن نظام استعادة ومكافأة نقاط Ethereum
ClayStack لدعم استعادة Ethereum عبر EigenLayer، ويقدم مكافآت في نقاط Clay ونقاط EigenLayer. تخطط لتقديم الدعم لـ rETH وstETH قريبًا. يمكن للمستخدمين استبدال نقاط الطين بنسبة 1:1 مقابل رموز الطين. EigenLayer TVL بقيمة 1.7 مليار دولار.
Edmundتطلق Binance محفظة Web3 ذاتية الحفظ
تم تصميم المحفظة الجديدة لتعمل عبر 30 شبكة blockchain
Clementتقدم Binance محفظة Web3 ذاتية الحفظ
أعلنت أكبر بورصة للعملات المشفرة في العالم، Binance، عن إطلاق محفظة Web3 الجديدة يوم الأربعاء.
Bitcoinworldاسترداد العملات المشفرة: تقوم شركة StarkWare بإحياء الوصول إلى مُحدِّثي المحفظة بعد الضجة التي حدثت على X
استجابةً لموجة شكاوى المستخدمين التي ارتفعت على X، اتخذت StarkWare خطوة لإعادة الوصول إلى مقتنيات العملات المشفرة لمجموعة فرعية من المستخدمين المتأثرين.
KikyoBinance Labs تقود جولة تمويل لمشروع Web3
في تطور جديد ، قام ذراع رأس المال الاستثماري لأكبر بورصة تشفير عالمية ، Binance Labs ، بغزو تقنية Web3.
Bitcoinistينقر Binance على نجم Tiktok Khaby Lame لدفع تبني Web3
سيستخدم Khaby Lame أسلوبه المميز في المحتوى لفضح الأساطير المحيطة بمساحة Web3.
Cointelegraphكريستيانو رونالدو يجذب مشجعي كرة القدم إلى Web3 بشراكة بينانس
قال كريستيانو رونالدو إن فكرة تقديم تجارب جديدة إلى معجبيه من خلال NFTs أمر أراد أن يكون جزءًا منه.
CointelegraphYouTube删除后又恢复了比特币多头Anthony Pompliano的频道
据Pomp称,他没有违反YouTube的社区准则,并且他最近的视频没有任何可疑内容。
Cointelegraph