Đăng nhập/ Đăng ký

Hướng dẫn bắt đầu bảo mật Web3 để tránh những cạm bẫy Ví giả và rủi ro rò rỉ cụm từ ghi nhớ khóa riêng

2024/05/17 16:54

Theo dõi

Nền

Ví đóng một vai trò quan trọng trong thế giới Web3, chúng là không chỉ là công cụ lưu trữ tài sản kỹ thuật số mà còn là công cụ cần thiết để người dùng thực hiện giao dịch và truy cập DApp. Trong số trước của Hướng dẫn bắt đầu và tránh cạm bẫy bảo mật Web3, chúng tôi chủ yếu giới thiệu cách phân loại ví và liệt kê các điểm rủi ro phổ biến để giúp người đọc hình thành các khái niệm bảo mật ví cơ bản. Với sự phổ biến của tiền điện tử và công nghệ blockchain, ngành công nghiệp đen cũng tập trung vào tiền của người dùng Web3. Theo các biểu mẫu bị đánh cắp mà nhóm bảo mật SlowMist nhận được, có thể thấy rằng nhiều người dùng đã bị bắt vì tải xuống/mua ví giả. . Do đó, trong số này, chúng tôi sẽ thảo luận về lý do tại sao ví giả được tải xuống/mua, cũng như nguy cơ rò rỉ khóa riêng/cụm từ ghi nhớ, đồng thời sẽ cung cấp một loạt đề xuất bảo mật để giúp người dùng đảm bảo an toàn cho tiền của họ.

Tải xuống ví giả

Bởi vì nhiều điện thoại di động làm như vậy không hỗ trợ Cửa hàng Google Play hoặc do sự cố mạng, nhiều người sẽ tải xuống ví từ các kênh khác, chẳng hạn như:

Các trang tải xuống của bên thứ ba< /strong>

Một số người dùng sẽ tải xuống ví thông qua các trang tải xuống của bên thứ ba như apkcombo, apkpure, v.v. Những trang này thường quảng cáo rằng ứng dụng của họ được tải xuống từ Google Cửa hàng Play gương, nhưng thực chất chúng là bảo mật thì sao? Nhóm bảo mật SlowMist đã tiến hành điều tra và phân tích các nguồn ví giả Web3 của bên thứ ba và kết quả cho thấy phiên bản ví do trang tải xuống apkcombo của bên thứ ba cung cấp không thực sự tồn tại. Sau khi người dùng tạo ví hoặc nhập bản ghi nhớ ví trên giao diện bắt đầu, ví giả sẽ gửi bản ghi nhớ và các thông tin khác đến máy chủ của trang web lừa đảo.

Công cụ tìm kiếm

Có thể mua bảng xếp hạng công cụ tìm kiếm, dẫn đến thứ hạng trang web chính thức giả mạo. Nó cao hơn so với bảng xếp hạng công cụ tìm kiếm Do đó, người dùng không nên trực tiếp tìm kiếm ví thông qua các công cụ tìm kiếm rồi nhấp vào các liên kết được xếp hạng hàng đầu để tải xuống ví. Điều này có thể dẫn đến một trang web chính thức giả mạo và sau đó tải xuống ví giả. Khi người dùng không biết địa chỉ trang web chính thức là gì, rất khó để đánh giá đó có phải là trang web giả mạo hay không chỉ bằng cách nhìn vào trang hiển thị của trang web, bởi vì trang web giả mạo do kẻ lừa đảo tạo ra rất giống với trang web chính thức thực sự và có thể bị nhầm lẫn với hàng thật. Do đó, người dùng không nên nhấp vào các liên kết được chia sẻ bởi những người dùng khác trên Twitter hoặc các nền tảng khác. Đây hầu hết là các liên kết lừa đảo.

Bạn bè và Người thân/Tấm giết lợn

Để duy trì sự tin cậy bằng không trong khu rừng đen tối của blockchain, người thân và bạn bè của bạn có thể Không quan trọng Ý tưởng của bạn nhưng ví họ tải xuống có thể là giả nhưng vẫn chưa bị đánh cắp nên nếu bạn tải ví qua mã QR/link họ chia sẻ thì cũng có thể tải xuống ví giả.

Đội bảo mật SlowMist đã nhận được nhiều biểu mẫu đánh cắp về vụ tấm giết lợn. Thủ đoạn của kẻ lừa đảo thường là lấy lòng tin của nạn nhân trước rồi mới hướng dẫn nạn nhân Tham gia. trong việc đầu tư tiền điện tử và chia sẻ link tải ví giả, kết quả cuối cùng là nạn nhân bị lừa dối về mặt tinh thần và mất tiền. Vì vậy, người dùng nên cảnh giác với cư dân mạng, nhất là khi họ yêu cầu bạn đầu tư hoặc gửi cho bạn những đường link không rõ nguồn gốc, đừng dễ dàng tin tưởng họ.

Trên Telegram, bằng cách tìm kiếm các ví nổi tiếng, chúng tôi đã tìm thấy một số nhóm chính thức giả mạo. Những kẻ lừa đảo sẽ cho rằng nhóm này là kênh chính thức của một ví nhất định và thậm chí cả trong đó. nhóm Người dùng được nhắc nhở tìm kiếm liên kết trang web chính thức duy nhất. Tuy nhiên, các liên kết này đều là giả mạo.

App Store

Điều quan trọng cần nhắc bạn là các ứng dụng trong cửa hàng ứng dụng chính thức không nhất thiết phải an toàn. Một số tội phạm có thể mua chúng thông qua bảng xếp hạng Từ khóa và các phương pháp khác được sử dụng để lôi kéo người dùng tải xuống các ứng dụng lừa đảo. Bạn đọc nên chú ý sàng lọc.

Vậy người dùng có thể làm gì để tránh tải ví giả?

Tải xuống trang web chính thức

Khả năng tìm kiếm thực tế Trang web chính thức không chỉ Nó sẽ được sử dụng khi tải xuống ví mà còn được sử dụng khi người dùng sau đó tham gia vào dự án Web3, vì vậy chúng tôi sẽ nói về cách tìm trang web chính thức chính xác tại đây.

Người dùng có thể trực tiếp tìm kiếm bên dự án trên Twitter và sau đó đánh giá xem nó có chính thức hay không dựa trên số lượng người theo dõi, thời gian đăng ký và liệu nó có Tuy nhiên, những nhãn này đều có thể bị làm giả. Trước đây chúng tôi đã nói với bạn về các sản phẩm màu đen và xám bán tài khoản giả cao trong bài viết Dự án thật và giả. Hãy cẩn thận với việc câu cá bằng tài khoản giả cao trong phần bình luận. Do đó, người mới nên theo dõi một số công ty bảo mật, người hành nghề bảo mật, phương tiện truyền thông nổi tiếng, v.v. trong ngành trên Twitter trước tiên để xem họ có theo dõi tài khoản chính thức mà bạn tìm thấy hay không.

(https://twitter.com/DefiLlama)

Qua phương pháp trên, người dùng có khả năng cao tìm được tài khoản Twitter chính thức thực sự, nhưng Chúng tôi vẫn yêu cầu nhiều xác minh. Rốt cuộc, việc tài khoản Twitter chính thức bị hack không phải là hiếm. Tin tặc cũng sẽ thay thế liên kết trang web chính thức trên tài khoản chính thức bằng liên kết trang web chính thức giả mạo. liên kết trang web họ vừa tìm thấy thông qua các kênh khác (chẳng hạn như DefiLlama, CoinGecko , CoinMarketCap, v.v.) So sánh các liên kết được tìm thấy:

< p style="text-align: left;">(https://defillama.com/)
(https://landing.coingecko. com/links/)
Sau khi tìm và xác nhận link website chính thức, người dùng nên lưu link vào bookmark để có thể lấy link chính xác được tìm thấy trực tiếp từ dấu trang vào lần sau mà không cần phải tìm và xác nhận lại mỗi lần, giảm khả năng vào các trang web chính thức giả mạo.
App Store
Người dùng có thể sử dụng cửa hàng ứng dụng chính thức chẳng hạn như Tải xuống ví từ Apple Store, Google Play Store, v.v., nhưng trước khi tải xuống, hãy nhớ kiểm tra thông tin nhà phát triển ứng dụng để đảm bảo rằng nó phù hợp với danh tính nhà phát triển chính thức. Bạn cũng có thể tham khảo các thông tin như xếp hạng ứng dụng,. khối lượng tải xuống, v.v.
Xác minh phiên bản chính thức
Một số độc giả nhìn thấy điều này có thể thắc mắc làm cách nào để xác minh ví họ đã tải xuống. Đây có phải là ví thật không? Người dùng có thể thực hiện xác minh tính nhất quán của tệp, xác định xem tệp có thay đổi trong quá trình truyền hoặc lưu trữ hay không bằng cách so sánh giá trị băm của tệp. Người dùng chỉ cần kéo tệp apk đã tải xuống trước đó vào công cụ xác minh hàm băm tệp. Công cụ này sẽ sử dụng hàm băm (chẳng hạn như MD5, SHA-256, v.v.) để tạo giá trị băm của tệp nếu giá trị này nhất quán. với chính thức Nếu giá trị băm khớp thì đó là ví thật; nếu không khớp thì đó là ví giả. Người dùng nên làm gì nếu họ xác minh rằng ví của họ là giả?
1. Trước tiên, hãy xác nhận phạm vi rò rỉ. Nếu bạn vừa tải xuống ví giả nhưng không nhập khóa riêng/cụm từ ghi nhớ, thì chỉ cần xóa ví. app và thử lại. Chỉ cần tải xuống phiên bản chính thức.
2. Nếu khóa riêng/cụm từ ghi nhớ đã được nhập vào ví giả, điều đó có nghĩa là khóa riêng/cụm từ ghi nhớ đã bị rò rỉ. trang web chính thức để tải xuống ví chính hãng và Nhập khóa riêng/cụm từ ghi nhớ và tạo địa chỉ mới để chuyển nhanh tài sản có thể chuyển nhượng.
3. Nếu tiền điện tử của bạn không may bị đánh cắp, chúng tôi sẽ cung cấp dịch vụ hỗ trợ cộng đồng để đánh giá trường hợp miễn phí. Bạn chỉ cần tuân theo nguyên tắc phân loại (số tiền bị đánh cắp. / Gặp phải lừa đảo/gặp tống tiền) chỉ cần nộp đơn. Đồng thời, địa chỉ hacker bạn gửi cũng sẽ được đồng bộ hóa với mạng lưới hợp tác tình báo mối đe dọa InMist để kiểm soát rủi ro. (Lưu ý: Gửi biểu mẫu tiếng Trung tới https://aml.slowmist.com/cn/recovery-funds.html và gửi biểu mẫu tiếng Anh tới https://aml.slowmist.com/recovery-funds.html)< h2 style="text-align: left;">Mua ví phần cứng giả
Tình huống trên là lý do tôi đã tải xuống ví giả và giải pháp, hãy cùng nói về lý do tại sao bạn mua ví phần cứng giả.
Một số người dùng chọn mua ví phần cứng trong các trung tâm mua sắm trực tuyến, nhưng ví phần cứng từ các cửa hàng được ủy quyền không chính thức như vậy có rủi ro bảo mật rất lớn vì chúng không cần phải lưu trữ trong tay người dùng cho đến khi chiếc ví được cầm trên tay. Không rõ nó đã qua tay bao nhiêu người trước khi được cài đặt và liệu các thành phần bên trong có bị giả mạo hay không. Nếu các thành phần bên trong đã bị giả mạo, sẽ khó nhận biết được sự cố từ hình thức bên ngoài và chức năng.
(https://www.kaspersky.com/ blog/fake-trezor-hardware-crypto-wallet/48155/)
Dưới đây là một số phương pháp chúng tôi cung cấp để đối phó với các cuộc tấn công chuỗi cung ứng ví phần cứng:< /p >
Mua hàng qua kênh chính thức: Đây là cách hiệu quả nhất để giải quyết các cuộc tấn công chuỗi cung ứng. Không mua ví phần cứng từ các kênh không chính thức, chẳng hạn như trung tâm mua hàng trực tuyến, đại lý mua hàng, cư dân mạng, v.v.
Kiểm tra hình thức bên ngoài:Sau khi nhận được ví, trước tiên hãy kiểm tra xem bao bì bên ngoài có dấu hiệu hư hỏng nào không. cơ bản nhất, mặc dù có khả năng cao là hacker sẽ không bị lộ ở bước này.
Xác minh thiết bị chính thức: Một số ví phần cứng cung cấp dịch vụ xác minh thiết bị trên trang web chính thức. Khi người dùng khởi tạo ví, thiết bị sẽ nhắc nhở. người dùng để thực hiện xác minh trang web chính thức. Nếu thiết bị bị giả mạo trong quá trình vận chuyển, thiết bị sẽ không vượt qua được quá trình xác minh thiết bị thực trên trang web chính thức.
Cơ chế tự hủy khi tháo rời:Bạn có thể chọn mua ví phần cứng có cơ chế tự hủy khi ai đó cố gắng. mở ví phần cứng và khi các thành phần bên trong bị giả mạo, cơ chế tự hủy sẽ được kích hoạt, mọi thông tin nhạy cảm trong chip bảo mật sẽ tự động bị xóa và thiết bị sẽ không thể sử dụng được nữa.
Nguy cơ rò rỉ khóa riêng/cụm từ ghi nhớ
Đạt Từ những điều trên, mọi người nên học cách tải xuống hoặc mua ví thật, nhưng làm thế nào để giữ khóa riêng/cụm từ ghi nhớ lại là một vấn đề khác. Khóa riêng/cụm từ ghi nhớ là thông tin xác thực duy nhất để khôi phục ví và kiểm soát tài sản. Khóa riêng là một chuỗi thập lục phân 64 bit bao gồm các chữ cái và số, và cụm từ ghi nhớ thường bao gồm 12 từ. Nhóm bảo mật SlowMist muốn nhắc bạn rằng nếu khóa riêng/cụm từ ghi nhớ bị rò rỉ thì tài sản của ví rất có thể bị đánh cắp:< /p>
Bảo mật không đúng cách:Người dùng có thể nói cho người thân và bạn bè biết khóa riêng/cụm từ ghi nhớ và yêu cầu họ giúp lưu nó Kết quả là tiền bị người thân và bạn bè đánh cắp.
Lưu trữ mạng hoặc truyền khóa riêng/bộ nhớ: Một số người dùng thậm chí còn biết khóa riêng/bộ nhớ đó. không được nói cho người khác biết nhưng họ sẽ lưu khóa riêng/cụm từ ghi nhớ thông qua bộ sưu tập WeChat, chụp ảnh, chụp ảnh màn hình, lưu trữ đám mây, ghi nhớ, v.v. Sau khi các tài khoản nền tảng này được tin tặc thu thập và xâm phạm thành công, các khóa riêng tư/cụm từ ghi nhớ có thể dễ dàng bị đánh cắp.
Sao chép và dán khóa riêng tư/ghi nhớ: Nhiều công cụ clipboard và phương thức nhập liệu sẽ các bản ghi bảng được tải lên đám mây, để lộ khóa riêng/cụm từ ghi nhớ trong môi trường không an toàn. Hơn nữa, phần mềm Trojan còn có thể lấy cắp thông tin trong clipboard khi người dùng sao chép khóa riêng/cụm từ ghi nhớ. Do đó, người dùng không nên sao chép và dán khóa riêng/cụm từ ghi nhớ này. Hành vi tưởng chừng như vô hại này thực chất lại tiềm ẩn nhiều vấn đề. Nguy cơ rò rỉ lớn.
Vậy làm cách nào để tránh rò rỉ khóa riêng/cụm từ ghi nhớ?
Trước hết, đừng nói cho ai biết khóa riêng/cụm từ ghi nhớ, kể cả người thân và bạn bè. Thứ hai, cố gắng chọn phương tiện vật lý để lưu khóa riêng/cụm từ ghi nhớ nhằm ngăn chặn tin tặc lấy được khóa riêng/cụm từ ghi nhớ thông qua các cuộc tấn công mạng và các phương tiện khác. Ví dụ: sao chép khóa riêng/cụm từ ghi nhớ vào giấy chất lượng tốt (bạn cũng có thể dán kín bằng nhựa) hoặc sử dụng hộp ghi nhớ để lưu trữ. Ngoài ra, việc thiết lập đa chữ ký và lưu trữ phi tập trung các khóa riêng/cụm từ ghi nhớ cũng có thể cải thiện tính bảo mật của khóa riêng/cụm từ ghi nhớ. Về cách sao lưu khóa riêng/bộ nhớ, bạn có thể đọc "Sổ tay tự cứu rừng đen Blockchain" do Slow Mist sản xuất: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/ chính /README_CN.md.
Tóm tắt
Bài viết này chủ yếu giải thích về việc tải xuống/ Rủi ro khi mua ví, tìm trang web chính thức thực sự và các phương pháp để xác minh tính xác thực của ví cũng như nguy cơ rò rỉ khóa riêng/cụm từ ghi nhớ. Chúng tôi hy vọng nội dung của vấn đề này có thể giúp mọi người bước bước đầu tiên vào khu rừng tối tăm trong số tiếp theo, chúng tôi sẽ giải thích những rủi ro khi sử dụng ví như rủi ro lừa đảo, chữ ký và ủy quyền. (Ps. Các nhãn hiệu và hình ảnh được đề cập trong bài viết này chỉ được sử dụng để giúp người đọc hiểu và không mang tính chất khuyến nghị hoặc đảm bảo).

Preview

Có được sự hiểu biết rộng hơn về ngành công nghiệp tiền điện tử thông qua các báo cáo thông tin và tham gia vào các cuộc thảo luận chuyên sâu với các tác giả và độc giả cùng chí hướng khác. Chúng tôi hoan nghênh bạn tham gia vào cộng đồng Coinlive đang phát triển của chúng tôi:https://t.me/CoinliveSG

Thêm bình luận

Đăng nhậpđể lại nhận xét tuyệt vời của bạn…

0 Bình luận

Sớm nhất

Tải thêm bình luận