OKX Web3: Giây trước tôi đang định cạo tóc, giây sau tôi bị hack và nhà bị trộm?

Giới thiệu

Ví OKX Web3 đã lên kế hoạch đặc biệt cho cột "Vấn đề bảo mật đặc biệt" để cung cấp câu trả lời đặc biệt cho các loại vấn đề bảo mật trên chuỗi khác nhau. Thông qua những trường hợp thực tế nhất xảy ra xung quanh người dùng, chúng tôi hợp tác với các chuyên gia hoặc tổ chức trong lĩnh vực bảo mật để chia sẻ và giải đáp các câu hỏi từ các góc độ khác nhau, từ đó sàng lọc và tóm tắt các quy tắc giao dịch an toàn từ nông cạn đến sâu hơn, nhằm tăng cường an toàn cho người dùng. giáo dục và giúp Người dùng học cách bảo vệ tính bảo mật của khóa riêng và tài sản ví khỏi chính họ.

Hoạt động dựng tóc gáy hung dữ như hổ, hệ số an toàn âm 5?

Là người sử dụng tần suất tương tác cao trên chuỗi, đối với các thợ làm tóc, an toàn luôn là ưu tiên hàng đầu

Hôm nay, các "vua tránh cạm bẫy" trên hai chuỗi lớn sẽ dạy bạn Cách thực hiện các chiến lược bảo vệ an ninh

Vấn đề này là vấn đề thứ 03 trong số đặc biệt về bảo mật. Chúng tôi đã đặc biệt mời các chuyên gia bảo mật nổi tiếng trong ngành 0xAA và nhóm bảo mật ví OKX Web3 để giải thích về "những kẻ lông lá" từ góc độ của các hướng dẫn thực tế và các biện pháp phòng ngừa.

Học viện WTF: Cảm ơn bạn rất nhiều vì lời mời từ OKX Web3. Tôi là 0xAA từ Học viện WTF. Học viện WTF là một trường đại học nguồn mở Web3 giúp các nhà phát triển bắt đầu phát triển Web3. Năm nay, chúng tôi đã triển khai dự án giải cứu Web3 RescuETH (nhóm giải cứu trên chuỗi), tập trung vào việc giải cứu số tài sản còn lại trong ví bị đánh cắp của người dùng. Hiện tại, chúng tôi đã giải cứu thành công hơn 3 triệu nhân dân tệ tài sản bị đánh cắp trên Ethereum, Solana và Cosmos. .

OKX Web3Nhóm bảo mật ví:Xin chào mọi người, tôi rất vui được chia sẻ điều này. Nhóm bảo mật ví OKX Web3 chịu trách nhiệm chính trong việc xây dựng các khả năng bảo mật khác nhau của OKX trong lĩnh vực Web3, chẳng hạn như xây dựng khả năng bảo mật ví, kiểm tra bảo mật hợp đồng thông minh, giám sát bảo mật dự án trên chuỗi, v.v. để cung cấp cho người dùng sản phẩm bảo mật, bảo mật quỹ, bảo mật giao dịch, v.v. Nhiều dịch vụ bảo vệ góp phần duy trì hệ sinh thái bảo mật của toàn bộ chuỗi khối.

Câu 1: Vui lòng chia sẻ một số trường hợp rủi ro thực tế mà những người thủ dâm tóc gặp phải

Học viện WTF strong >: Rò rỉ khóa riêng là một trong những rủi ro bảo mật lớn mà người dùng Lumao gặp phải. Về cơ bản, khóa riêng là một chuỗi ký tự được sử dụng để kiểm soát tài sản mật mã. Bất kỳ ai sở hữu khóa riêng đều có toàn quyền kiểm soát tài sản mật mã tương ứng. Một khi khóa riêng bị rò rỉ, kẻ tấn công có thể truy cập, chuyển giao và quản lý tài sản của người dùng mà không được phép, khiến người dùng chịu tổn thất tài chính. Vì vậy, tôi sẽ tập trung chia sẻ một số trường hợp khóa riêng bị đánh cắp.

Alice (bút danh) đã bị tin tặc trên mạng xã hội xúi giục tải xuống phần mềm độc hại và sau khi chạy phần mềm độc hại, khóa riêng của cô ấy đã bị đánh cắp. Hiện tại, phần mềm độc hại có nhiều dạng khác nhau, bao gồm nhưng không giới hạn ở: Tập lệnh khai thác. , trò chơi, phần mềm hội nghị, kịch bản chó chuyển động trái đất, robot clip, v.v. Người dùng cần nâng cao nhận thức về bảo mật của mình.

Sau khi Bob (bút danh) vô tình tải khóa riêng lên GitHub, nó đã bị người khác lấy được, khiến tài sản bị đánh cắp.

Khi Carl (bút danh) tham khảo ý kiến ​​​​của nhóm Tegegram chính thức của dự án, anh ấy đã tin tưởng vào dịch vụ khách hàng giả mạo, người đã chủ động liên hệ với anh ấy và tiết lộ cụm từ ghi nhớ của anh ấy sau đó, tài sản trong ví của anh ấy đã bị đánh cắp.

OKX Web3Nhóm bảo mật ví:Có rất nhiều trường hợp rủi ro như vậy. Chúng tôi đã chọn ra một số trường hợp điển hình mà người dùng gặp phải khi thủ dâm.

Loại đầu tiên là airdrop giả do các tài khoản giả mạo cao phát hành. Khi người dùng A đang duyệt Twitter của một dự án phổ biến, anh ta tìm thấy thông báo về sự kiện airdrop ở cuối Twitter mới nhất, sau đó nhấp vào liên kết thông báo để tham gia airdrop, cuối cùng dẫn đến việc anh ta bị lừa đảo. Hiện nay, nhiều kẻ lừa đảo bắt chước các tài khoản chính thức và đăng các thông báo sai sự thật trên Twitter chính thức để dụ người dùng mắc bẫy. Người dùng nên chú ý nhận dạng và không nên xem nhẹ.

Loại thứ hai là tài khoản chính thức bị chiếm đoạt. Tài khoản Twitter và Discord chính thức của một dự án nào đó đã bị hack, sau đó hacker đã đăng một liên kết giả mạo tới sự kiện airdrop trên tài khoản chính thức của dự án. Vì liên kết được đăng từ các kênh chính thức nên Người dùng B không nghi ngờ tính xác thực của nó sau khi nhấp vào. liên kết này để tham gia airdrop, tôi đã bị lừa đảo.

Loại thứ ba là gặp phải các bên tham gia dự án độc hại. Khi người dùng C tham gia vào hoạt động khai thác của một dự án nhất định, để có được thu nhập thưởng cao hơn, anh ta đầu tư tất cả tài sản USDT vào hợp đồng đặt cược của dự án. Tuy nhiên, hợp đồng thông minh không được kiểm tra nghiêm ngặt và không phải là nguồn mở. Kết quả là nhóm dự án đã đánh cắp tất cả tài sản mà người dùng C ký gửi trong hợp đồng thông qua cửa sau được bảo lưu trong hợp đồng.

Đối với người dùng Lumao, những người thường có hàng chục hoặc hàng trăm ví, cách bảo vệ tính bảo mật của ví và tài sản là một chủ đề rất quan trọng. Họ cần luôn cảnh giác và nâng cao nhận thức về bảo mật.

Quý 2: Với tư cách là người dùng tần suất cao, các loại rủi ro bảo mật phổ biến và các biện pháp bảo vệ dành cho thợ làm tóc trong các tương tác trên chuỗi

Học viện WTF:Đối với người dùng luao và thậm chí tất cả người dùng Web3, hai loại rủi ro bảo mật phổ biến là: tấn công lừa đảo và rò rỉ khóa riêng tư.

Loại đầu tiên là các cuộc tấn công lừa đảo: tin tặc thường giả mạo các trang web hoặc ứng dụng chính thức, lừa người dùng nhấp vào mạng xã hội và công cụ tìm kiếm, sau đó xúi giục người dùng giao dịch hoặc đăng nhập trên các trang web lừa đảo để nhận được ủy quyền mã thông báo. ăn cắp tài sản của người dùng.

Các biện pháp phòng ngừa: Đầu tiên, người dùng chỉ nên vào các trang web và ứng dụng chính thức từ các kênh chính thức (chẳng hạn như các liên kết trong hồ sơ Twitter chính thức). Thứ hai, người dùng có thể sử dụng plug-in bảo mật để tự động chặn một số trang web lừa đảo. Thứ ba, khi người dùng vào một trang web đáng ngờ, họ có thể tham khảo ý kiến ​​của nhân viên bảo mật chuyên nghiệp để giúp xác định xem đó có phải là trang web lừa đảo hay không.

Loại thứ hai là rò rỉ khóa riêng: nó đã được giới thiệu trong câu hỏi trước và sẽ không được mở rộng ở đây.

Các biện pháp phòng ngừa: Đầu tiên, nếu người dùng cài đặt ví trên máy tính hoặc điện thoại di động của mình, hãy cố gắng không tải xuống phần mềm đáng ngờ từ các kênh không chính thức. Thứ hai, người dùng cần biết rằng bộ phận chăm sóc khách hàng chính thức thường sẽ không chủ động gửi tin nhắn riêng cho bạn chứ đừng nói đến việc yêu cầu bạn gửi hoặc nhập khóa riêng và cụm từ ghi nhớ của bạn vào một trang web giả mạo. Thứ ba, nếu dự án nguồn mở của người dùng yêu cầu sử dụng khóa riêng, vui lòng định cấu hình tệp .gitignore trước để đảm bảo rằng khóa riêng không được tải lên GitHub.

OKX Web3Nhóm bảo mật ví:Chúng tôi đã tóm tắt 5 loại rủi ro bảo mật phổ biến trong tương tác trên chuỗi của người dùng và liệt kê Một số biện pháp bảo vệ đã được áp dụng lấy.

1. Lừa đảo Airdrop

Giới thiệu rủi ro: Một số người dùng thường tìm thấy một số lượng lớn mã thông báo không xác định trong địa chỉ ví của họ. Những mã thông báo này thường không thành công trong các giao dịch DEX được sử dụng phổ biến. người dùng truy cập trang web chính thức của mình để đổi quà và sau đó khi người dùng thực hiện giao dịch được ủy quyền, người dùng thường sẽ cấp quyền cho hợp đồng thông minh để chuyển tài sản tài khoản, điều này cuối cùng dẫn đến việc đánh cắp tài sản. Ví dụ: trong vụ lừa đảo airdrop Zape, nhiều người dùng bất ngờ nhận được một lượng lớn tiền Zape trong ví của họ, trị giá dường như hàng trăm nghìn đô la. Điều này khiến nhiều người lầm tưởng rằng họ đã bất ngờ kiếm được bộn tiền. Tuy nhiên, đây thực sự là một cái bẫy phức tạp. Vì không thể tìm thấy các mã thông báo này trên các nền tảng chính thức nên nhiều người dùng muốn rút tiền sẽ tìm thấy cái gọi là "trang web chính thức" dựa trên tên của mã thông báo. Sau khi làm theo lời nhắc kết nối ví, tôi nghĩ mình có thể bán token, nhưng sau khi được ủy quyền, tất cả tài sản trong ví sẽ bị đánh cắp ngay lập tức.

Các biện pháp bảo vệ: Để tránh lừa đảo airdrop đòi hỏi người dùng phải hết sức cảnh giác, xác minh nguồn thông tin và luôn lấy thông tin về airdrop từ các kênh chính thức (chẳng hạn như trang web chính thức của dự án, tài khoản mạng xã hội chính thức và thông báo chính thức ). Bảo vệ khóa riêng tư và cụm từ ghi nhớ của bạn, không phải trả bất kỳ khoản phí nào và sử dụng cộng đồng cũng như các công cụ để xác minh và xác định các hành vi lừa đảo tiềm ẩn.

2. Hợp đồng thông minh độc hại

Giới thiệu rủi ro: Nhiều hợp đồng thông minh nguồn mở hoặc chưa được kiểm tra có thể chứa các lỗ hổng hoặc cửa hậu, không thể đảm bảo an toàn cho tiền của người dùng.

Các biện pháp bảo vệ: Người dùng nên cố gắng chỉ tương tác với các hợp đồng thông minh đã được kiểm toán nghiêm ngặt bởi các công ty kiểm toán chính thức hoặc chú ý kiểm tra báo cáo kiểm tra bảo mật của dự án. Ngoài ra, các dự án có tiền thưởng lỗi thường an toàn hơn.

3. Quản lý ủy quyền:

Giới thiệu rủi ro: Việc ủy ​​quyền quá mức cho các hợp đồng tương tác có thể dẫn đến trộm tiền. Ở đây chúng tôi đưa ra ví dụ: 1) Hợp đồng là một hợp đồng có thể nâng cấp. đặc quyền Nếu khóa riêng của tài khoản bị rò rỉ, kẻ tấn công có thể sử dụng khóa riêng để nâng cấp hợp đồng lên phiên bản độc hại, từ đó đánh cắp tài sản của người dùng được ủy quyền. 2) Nếu hợp đồng có lỗ hổng không xác định, việc ủy ​​quyền quá mức có thể cho phép kẻ tấn công khai thác những lỗ hổng này để đánh cắp tiền trong tương lai.

Các biện pháp bảo vệ: Về nguyên tắc, chỉ cấp số lượng ủy quyền cần thiết cho các hợp đồng tương tác và những ủy quyền không cần thiết phải được kiểm tra thường xuyên và thu hồi. Khi ký ủy quyền giấy phép ngoài chuỗi, bạn phải hiểu rõ về hợp đồng mục tiêu/loại tài sản/số tiền ủy quyền và suy nghĩ kỹ trước khi hành động.

4. Ủy quyền lừa đảo

Hồ sơ rủi ro: Nhấp vào các liên kết độc hại và bị xúi giục ủy quyền cho các hợp đồng hoặc người dùng độc hại

Các biện pháp bảo vệ: 1) Tránh ký tên mù quáng: Trước khi ký bất kỳ thỏa thuận nào, hãy đảm bảo bạn hiểu những gì bạn sắp ký và đảm bảo mọi bước đều rõ ràng và cần thiết. 2) Hãy cẩn thận với mục tiêu ủy quyền: Nếu mục tiêu ủy quyền là địa chỉ EOA (Tài khoản thuộc sở hữu bên ngoài) hoặc hợp đồng chưa được xác minh, bạn phải cảnh giác. Hợp đồng chưa được xác minh có thể chứa mã độc. 3) Sử dụng ví plug-in chống lừa đảo: Sử dụng ví plug-in có bảo vệ chống lừa đảo, chẳng hạn như ví OKX Web3, v.v. Những ví này có thể giúp xác định và chặn các liên kết độc hại. 4) Bảo vệ cụm từ ghi nhớ và khóa riêng: Tất cả các trang web yêu cầu cụm từ ghi nhớ hoặc khóa riêng tư đều là các liên kết lừa đảo.

5. Tập lệnh dựng tóc độc hại

Giới thiệu rủi ro: Việc chạy một tập lệnh dựng tóc độc hại sẽ khiến một con ngựa Trojan được cấy vào máy tính, dẫn đến việc đánh cắp quyền riêng tư. chìa khóa.

Các biện pháp bảo vệ: Hãy thận trọng khi chạy các tập lệnh hoặc phần mềm dựng tóc gáy không xác định.

Tóm lại, chúng tôi hy vọng rằng người dùng có thể thận trọng và thận trọng khi tương tác trên chuỗi và bảo vệ sự an toàn cho ví và tài sản của họ.

Câu 3: Phân loại các loại và kỹ thuật câu cá cổ điển cũng như cách nhận biết và tránh chúng?

Học viện WTF:Tôi muốn trả lời lại câu hỏi này từ một góc độ khác: cách nhận biết khi người dùng phát hiện ra rằng họ tài sản đã bị đánh cắp Đây có phải là một cuộc tấn công lừa đảo hay rò rỉ khóa riêng? Người dùng thường có thể xác định hai loại đặc điểm tấn công sau:

1. Đặc điểm của các cuộc tấn công lừa đảo: Tin tặc thường sử dụng các trang web lừa đảo để lấy quyền cho một hoặc nhiều tài sản trong một ví của người dùng, từ đó đánh cắp tài sản. Nói chung, loại tài sản bị đánh cắp tương ứng với số lần người dùng đã ủy quyền cho trang web lừa đảo.

2. Đặc điểm của rò rỉ khóa riêng/cụm từ ghi nhớ: tin tặc hoàn toàn giành quyền kiểm soát tất cả tài sản trong tất cả các chuỗi dưới một hoặc nhiều ví của người dùng. Do đó, nếu xuất hiện một hoặc nhiều đặc điểm sau thì khả năng cao là khóa riêng bị rò rỉ:

1) Mã thông báo gốc bị đánh cắp (chẳng hạn như ETH của chuỗi ETH) vì mã thông báo gốc không thể được ủy quyền.

2) Tài sản đa chuỗi đã bị đánh cắp.

3) Nhiều tài sản ví đã bị đánh cắp.

4) Nhiều tài sản đã bị đánh cắp từ một ví duy nhất và người ta nhớ rõ rằng những tài sản này không được ủy quyền.

5) Không có sự ủy quyền nào trước khi mã thông báo bị đánh cắp hoặc trong cùng một giao dịch (Sự kiện phê duyệt).

6) Gas được chuyển sẽ bị hacker chuyển đi ngay lập tức.

Nếu nó không đáp ứng được các đặc điểm trên thì rất có thể đó là một cuộc tấn công lừa đảo.

OKX Web3Nhóm bảo mật ví:Cố gắng tránh bị lừa đảo Trước hết, bạn cần chú ý 2 điểm: 1) Hãy nhớ đừng. để điền cụm từ ghi nhớ trên bất kỳ trang web nào. /Khóa riêng; 2)

Đảm bảo rằng liên kết bạn truy cập là liên kết chính thức và thận trọng nhấp vào nút xác nhận trên giao diện ví.

Tiếp theo, chúng tôi chia sẻ một số quy trình của các cảnh câu cá cổ điển để giúp người dùng hiểu chúng một cách trực quan hơn.

1. Lừa đảo trang web giả mạo: giả mạo trang web DApp chính thức và xúi giục người dùng nhập khóa riêng tư hoặc cụm từ ghi nhớ. Do đó, nguyên tắc đầu tiên đối với người dùng là không cung cấp khóa riêng hoặc cụm từ ghi nhớ ví của mình cho bất kỳ ai hoặc bất kỳ trang web nào. Thứ hai, hãy kiểm tra xem URL có chính xác hay không, thử sử dụng dấu trang chính thức để truy cập các DApp thường được sử dụng và sử dụng ví chính thống thông thường. Ví dụ: ví OKX Web3 sẽ cảnh báo về các trang web lừa đảo được phát hiện.

2. Đánh cắp mã thông báo chuỗi chính: Các chức năng hợp đồng độc hại được đặt tên là Claim, SeurityUpdate, AirDrop, v.v. với các tên gây hiểu lầm. Logic chức năng thực tế trống và chỉ chuyển mã thông báo chuỗi chính của người dùng.

< /p>

3. Chuyển từ các địa chỉ tương tự: Những kẻ lừa đảo sẽ sử dụng xung đột địa chỉ để tạo ra một địa chỉ có cùng chữ số đầu và cuối với địa chỉ liên kết của người dùng, sử dụng transferFrom để thực hiện chuyển số tiền 0 nhằm mục đích đầu độc hoặc sử dụng USDT giả để chuyển một số tiền nhất định, v.v. Phương thức này làm ô nhiễm lịch sử giao dịch của người dùng và mong muốn người dùng sao chép sai địa chỉ từ lịch sử giao dịch cho các lần chuyển tiếp theo.

4. Dịch vụ khách hàng giả mạo: Tin tặc giả vờ là dịch vụ khách hàng, liên hệ với người dùng thông qua mạng xã hội hoặc email và yêu cầu khóa riêng tư hoặc cụm từ ghi nhớ. Dịch vụ khách hàng chính thức sẽ không yêu cầu khóa riêng và sẽ đơn giản bỏ qua những yêu cầu đó.

Q4: Các thợ làm tóc chuyên nghiệp cần chú ý đến vấn đề an toàn khi sử dụng nhiều công cụ khác nhau

< strong>Học viện WTF:Do có rất nhiều công cụ liên quan đến người dùng làm tóc nên các biện pháp phòng ngừa bảo mật cần được tăng cường khi sử dụng nhiều công cụ khác nhau, chẳng hạn như

1. khóa hoặc cụm từ ghi nhớ không bị rò rỉ, không lưu khóa riêng ở nơi không an toàn và tránh nhập khóa riêng trên các trang web không xác định hoặc không đáng tin cậy, v.v. Người dùng nên lưu trữ bản sao lưu của khóa riêng hoặc cụm từ ghi nhớ ở nơi an toàn, chẳng hạn như thiết bị lưu trữ ngoại tuyến hoặc bộ lưu trữ đám mây được mã hóa. Ngoài ra, đối với người dùng ví lưu trữ tài sản có giá trị cao, việc sử dụng ví đa chữ ký có thể tăng tính bảo mật.

2. Ngăn chặn các cuộc tấn công lừa đảo: Khi người dùng truy cập bất kỳ trang web có liên quan nào, họ phải kiểm tra cẩn thận URL và tránh nhấp vào các liên kết từ các nguồn không xác định. Cố gắng lấy liên kết tải xuống và thông tin từ trang web chính thức của dự án hoặc phương tiện truyền thông xã hội chính thức và tránh sử dụng các nguồn của bên thứ ba.

3. Bảo mật phần mềm: Người dùng phải đảm bảo rằng phần mềm chống vi-rút được cài đặt và cập nhật trên thiết bị của họ để ngăn chặn sự tấn công của phần mềm độc hại và vi-rút. Ngoài ra, ví và các công cụ liên quan đến blockchain khác phải được cập nhật thường xuyên để đảm bảo chúng đang sử dụng các bản vá bảo mật mới nhất. Vì nhiều trình duyệt vân tay và máy tính để bàn từ xa trước đây có lỗ hổng bảo mật nên việc sử dụng chúng không được khuyến khích.

Thông qua các biện pháp trên, người dùng có thể giảm thiểu hơn nữa rủi ro bảo mật khi sử dụng nhiều công cụ khác nhau.

OKX Web3Nhóm bảo mật ví: Trước tiên hãy xem xét một trường hợp được tiết lộ trong ngành.

Ví dụ: Trình duyệt vân tay Bit cung cấp các chức năng như đăng nhập nhiều tài khoản, ngăn chặn liên kết cửa sổ và mô phỏng thông tin máy tính độc lập. Nó được một số người dùng ưa chuộng, nhưng một loạt sự cố bảo mật vào tháng 8 năm 2023 đã bị lộ. rủi ro tiềm ẩn của nó. Cụ thể, chức năng "đồng bộ hóa dữ liệu plug-in" của Bit Browser cho phép người dùng tải dữ liệu plug-in lên máy chủ đám mây và di chuyển nhanh chóng trên thiết bị mới bằng cách nhập mật khẩu. Mặc dù tính năng này được thiết kế để thuận tiện cho người dùng nhưng nó cũng tiềm ẩn những rủi ro về bảo mật. Tin tặc lấy được dữ liệu ví của người dùng bằng cách xâm nhập máy chủ. Thông qua các phương pháp bẻ khóa vũ phu, tin tặc đã bẻ khóa mật khẩu ví của người dùng từ dữ liệu và lấy được quyền của ví. Theo hồ sơ máy chủ, máy chủ lưu trữ bộ đệm mở rộng đã bị tải xuống bất hợp pháp vào đầu tháng 8 (bản ghi nhật ký muộn nhất là vào ngày 2 tháng 8). Sự việc này nhắc nhở chúng ta rằng bên cạnh việc tận hưởng sự tiện lợi, chúng ta cũng phải cảnh giác với những rủi ro an toàn tiềm ẩn.

Do đó, điều quan trọng đối với người dùng là phải đảm bảo rằng các công cụ họ sử dụng phải an toàn và đáng tin cậy để tránh nguy cơ bị tin tặc và rò rỉ dữ liệu. Nói chung, người dùng có thể cải thiện tính bảo mật nhất định từ các khía cạnh sau.

1. Cách sử dụng ví phần cứng: 1) Cập nhật chương trình cơ sở thường xuyên và mua nó qua các kênh chính thức. 2) Sử dụng trên máy tính an toàn và tránh kết nối ở nơi công cộng.

2. Sử dụng plug-in của trình duyệt :) Hãy thận trọng khi sử dụng các plug-in và công cụ của bên thứ ba, đồng thời cố gắng chọn các sản phẩm có uy tín, chẳng hạn như ví OKX Web3, v.v. 2) Tránh sử dụng plugin ví trên các trang web không đáng tin cậy.

3. Sử dụng các công cụ phân tích giao dịch: 1) Sử dụng nền tảng đáng tin cậy để giao dịch và tương tác hợp đồng. 2) Kiểm tra cẩn thận địa chỉ hợp đồng và phương thức gọi để tránh hoạt động sai.

4. Sử dụng thiết bị máy tính: 1) Thường xuyên cập nhật hệ thống thiết bị máy tính, cập nhật phần mềm, vá các lỗ hổng bảo mật. 2) Phần mềm diệt virus bảo mật thường xuyên kiểm tra và diệt virus hệ thống máy tính.

Q5: So với một chiếc ví duy nhất, làm cách nào Lumaor có thể quản lý nhiều ví và tài khoản một cách an toàn hơn?

Học viện WTF:Vì người dùng Lumao tương tác thường xuyên hơn trên chuỗi và quản lý nhiều ví và tài khoản cùng lúc, Đặc biệt chú ý cần phải trả tiền để đảm bảo tài sản.

1. Sử dụng ví phần cứng: Ví phần cứng cho phép người dùng quản lý nhiều tài khoản ví trên cùng một thiết bị. Khóa riêng của mỗi tài khoản được lưu trữ trong thiết bị phần cứng, tương đối an toàn hơn.

2. Chiến lược bảo mật riêng biệt & môi trường hoạt động riêng biệt: Đầu tiên là sự tách biệt về chiến lược bảo mật Người dùng có thể đạt được mục đích đa dạng hóa rủi ro bằng cách tách các ví cho các mục đích khác nhau. Ví dụ: ví airdrop, ví giao dịch, ví lưu trữ, v.v. Ví dụ khác, ví nóng được sử dụng cho các giao dịch hàng ngày và hoạt động dựng tóc gáy, trong khi ví lạnh được sử dụng để lưu trữ lâu dài các tài sản quan trọng, do đó ngay cả khi một ví bị hỏng thì các ví khác sẽ không bị ảnh hưởng.

Thứ hai là tách biệt các môi trường hoạt động. Người dùng có thể sử dụng các thiết bị khác nhau (như điện thoại di động, máy tính bảng, máy tính, v.v.) để quản lý các ví khác nhau nhằm ngăn chặn các vấn đề bảo mật trên một thiết bị ảnh hưởng đến tất cả các ví.

3. Quản lý mật khẩu: Người dùng nên đặt mật khẩu mạnh cho từng tài khoản ví và tránh sử dụng mật khẩu giống nhau hoặc tương tự nhau. Hoặc sử dụng trình quản lý mật khẩu để quản lý mật khẩu cho các tài khoản khác nhau nhằm đảm bảo mỗi mật khẩu đều độc lập và an toàn.

OKX Web3Nhóm bảo mật ví:Đối với người dùng Lumao, việc quản lý nhiều ví và tài khoản một cách an toàn hơn không phải là điều dễ dàng. Ví dụ: bạn có thể Cải thiện. bảo mật ví từ các khía cạnh sau:

1. Đa dạng hóa rủi ro:1) Không đặt tất cả tài sản vào một ví, hãy lưu trữ đa dạng để giảm thiểu rủi ro. Tùy theo loại tài sản và cách sử dụng mà chọn các loại ví khác nhau như ví phần cứng, ví phần mềm, ví lạnh, ví nóng, v.v. 2) Sử dụng ví đa chữ ký để quản lý số lượng lớn tài sản và cải thiện tính bảo mật.

2. Sao lưu và phục hồi: 1) Thường xuyên sao lưu các từ ghi nhớ và khóa riêng và lưu trữ chúng ở nhiều vị trí an toàn. 2) Sử dụng ví phần cứng để lưu trữ lạnh để tránh rò rỉ khóa riêng.

3. Tránh lặp lại mật khẩu: Đặt mật khẩu mạnh cho từng ví và tài khoản, đồng thời tránh sử dụng cùng một mật khẩu để giảm nguy cơ một tài khoản bị bẻ khóa và các tài khoản khác bị xâm phạm. cùng một lúc.

4. Bật xác minh hai bước: Khi có thể, hãy bật xác minh hai bước (2FA) cho tất cả các tài khoản để tăng cường bảo mật tài khoản.

5. Công cụ tự động: Giảm việc sử dụng các công cụ tự động, đặc biệt là những dịch vụ có thể lưu trữ thông tin của bạn trên đám mây hoặc máy chủ của bên thứ ba, để giảm nguy cơ rò rỉ dữ liệu .

6. Hạn chế quyền truy cập: Chỉ ủy quyền cho những người đáng tin cậy truy cập vào ví và tài khoản của bạn, đồng thời hạn chế quyền hoạt động của họ.

7. Thường xuyên kiểm tra trạng thái bảo mật của ví: Sử dụng các công cụ giám sát các giao dịch của ví để đảm bảo không có giao dịch bất thường nào xảy ra. Nếu phát hiện bất kỳ khóa riêng nào của ví bị rò rỉ, hãy thay thế ngay tất cả. ví, v.v.

Ngoài các phương diện được liệt kê ở trên, còn có nhiều phương diện khác. Trong mọi trường hợp, người dùng nên cố gắng hết sức để đảm bảo tính bảo mật của ví và tài sản thông qua nhiều phương diện và không chỉ dựa vào một phương diện duy nhất. .

Q6: Những vụ trượt giao dịch và các cuộc tấn công MEV thực sự có liên quan đến những kẻ giật tóc là gì? Lời khuyên bảo vệ?

Học viện WTF:Điều quan trọng là phải hiểu và ngăn chặn trượt giao dịch và các cuộc tấn công MEV. Những rủi ro này ảnh hưởng trực tiếp đến chi phí giao dịch và bảo mật tài sản. .

Lấy các cuộc tấn công MEV làm ví dụ, các loại phổ biến là: 1) Chạy trước, tức là các công cụ khai thác hoặc robot giao dịch thực hiện cùng một giao dịch trước khi người dùng giao dịch để thu được lợi nhuận. 2) Tấn công bánh sandwich, trong đó các thợ mỏ chèn lệnh mua và bán trước và sau giao dịch của người dùng để kiếm lợi từ biến động giá. 3) Trọng tài: Tận dụng chênh lệch giá ở các thị trường khác nhau trên blockchain để kinh doanh chênh lệch giá.

Người dùng có thể tránh phát sóng công khai trên blockchain bằng cách gửi giao dịch đến các kênh chuyên dụng của thợ mỏ thông qua công cụ bảo vệ MEV. Hoặc giảm thời gian tiết lộ giao dịch, nghĩa là giảm thời gian giao dịch lưu lại trong nhóm bộ nhớ, sử dụng phí gas cao hơn để tăng tốc độ xác nhận giao dịch và tránh tập trung vào một nền tảng DEX cho các giao dịch lớn để giảm nguy cơ bị tấn công.

OKX Web3Nhóm bảo mật ví: Trượt giá giao dịch đề cập đến sự chênh lệch giữa giá giao dịch dự kiến ​​và giá thực hiện thực tế, thường là trong thời điểm thị trường cao điểm biến động hoặc xảy ra khi thanh khoản thấp. Các cuộc tấn công MEV đề cập đến những kẻ tấn công lợi dụng sự bất cân xứng thông tin và đặc quyền giao dịch để thu được lợi nhuận vượt mức. Sau đây là một số biện pháp bảo vệ thường được sử dụng cho hai tình huống này:

1. Đặt dung sai trượt giá: Do có sự chậm trễ nhất định trong quá trình tải lên giao dịch và các cuộc tấn công MEV có thể xảy ra, người dùng phải đặt trước khả năng chịu trượt giá hợp lý. để tránh giao dịch thất bại hoặc mất vốn do biến động thị trường hoặc các cuộc tấn công MEV.

2. Giao dịch theo lô: Tránh giao dịch lớn một lần và thực hiện giao dịch theo lô có thể làm giảm tác động đến giá thị trường và giảm nguy cơ trượt giá.

3. Sử dụng các cặp giao dịch có tính thanh khoản cao hơn: Khi giao dịch hãy chọn các cặp giao dịch có đủ thanh khoản để giảm thiểu tình trạng trượt giá.

4. Sử dụng các công cụ chống chạy trước: Cố gắng không sử dụng Memepool cho các giao dịch quan trọng Bạn có thể sử dụng các công cụ chống chạy trước chuyên nghiệp để bảo vệ các giao dịch không bị robot MEV nắm bắt.

Q7: Người dùng có thể sử dụng các công cụ giám sát hoặc phương pháp chuyên nghiệp để thường xuyên theo dõi và phát hiện những bất thường trong tài khoản ví không?

WTF Academy:Người dùng có thể sử dụng nhiều công cụ giám sát và phương pháp chuyên nghiệp để thường xuyên theo dõi và phát hiện hoạt động bất thường trong tài khoản ví. Những phương pháp này giúp tăng cường bảo mật tài khoản và ngăn chặn truy cập trái phép cũng như gian lận tiềm ẩn. Sau đây là một số phương pháp giám sát và phát hiện hiệu quả:

1) Dịch vụ giám sát của bên thứ ba: Hiện tại, nhiều nền tảng có thể cung cấp cho người dùng báo cáo chi tiết và cảnh báo theo thời gian thực về hoạt động của ví.

2) Sử dụng plug-in bảo mật: Một số công cụ bảo mật có thể tự động chặn một số trang web lừa đảo.

3) Các chức năng tích hợp của ví: Các ví như OKX Web3 có thể tự động phát hiện và xác định một số trang web lừa đảo và hợp đồng đáng ngờ, đồng thời đưa ra cảnh báo cho người dùng.

OKX Web3Nhóm bảo mật ví:Hiện tại, nhiều công ty hoặc tổ chức cung cấp một số lượng lớn các công cụ có thể được sử dụng để giám sát và phát hiện địa chỉ ví. dựa trên thông tin công khai trong ngành, một số phần đã được tổ chức, chẳng hạn như:

1. Công cụ giám sát chuỗi khối: Sử dụng các công cụ phân tích chuỗi khối để giám sát các giao dịch bất thường về địa chỉ ví, thay đổi quỹ và đặt thông báo giao dịch địa chỉ, vân vân.

2. Ví an toàn: Sử dụng các ví chuyên nghiệp như ví OKX Web3 có thể hỗ trợ thực hiện trước giao dịch và phát hiện kịp thời các giao dịch đáng ngờ; nó cũng có thể phát hiện và ngăn chặn kịp thời các tương tác với các trang web và hợp đồng độc hại; thái độ.

3. Hệ thống cảnh báo: Lời nhắc về giao dịch hoặc thay đổi số dư có thể được gửi theo các điều kiện do người dùng đặt ra, bao gồm tin nhắn văn bản, email hoặc thông báo Ứng dụng.

4. Truy vấn ủy quyền mã thông báo OKLink: Kiểm tra ủy quyền của ví cho DApps, thu hồi các ủy quyền không cần thiết một cách kịp thời và ngăn chặn việc ủy ​​quyền bị lạm dụng bởi các hợp đồng độc hại.

< /p>

Q8: Làm cách nào để bảo vệ quyền riêng tư trên chuỗi?  

WTF Academy: Mặc dù tính chất công khai và minh bạch của blockchain mang lại nhiều lợi ích nhưng điều đó cũng có nghĩa là người dùng hoạt động Giao dịch và thông tin tài sản có thể bị lạm dụng và việc bảo vệ quyền riêng tư trên chuỗi ngày càng trở nên quan trọng. Tuy nhiên, người dùng có thể bảo vệ quyền riêng tư về danh tính của mình bằng cách tạo và sử dụng nhiều địa chỉ. Không nên sử dụng trình duyệt vân tay vì trước đây có nhiều lỗ hổng bảo mật.

OKX Web3Nhóm bảo mật ví: Ngày càng có nhiều người dùng bắt đầu chú ý đến việc bảo vệ quyền riêng tư Các phương pháp phổ biến bao gồm