社会工程学
无论计算机网络的安全性如何,计算机前仍然有人,而且人也会犯错误。社会工程已经存在了很长时间,与Web3空间没有什么特别相关的。
大多数攻击很容易被发现,但也有极少数情况下会发生极其复杂的攻击。请注意,“容易发现”是指熟悉加密空间的人。
去年,我在奥地利最大的主流报纸之一发现了一个ElonMusk假赠品局,它在网上持续了好几个小时,直到被警惕的读者要求删除
那么如何发现加密局呢?这些是最重要的规则:
a)如果某件事听起来好得令人难以置信,它通常是真的。
Nate Alex价值60万美元的CryptoKitty NFT现在仅值3752美元:金色财经报道,2018 年,Nate Alex 以惊人的 60 万美元购买了一只 CryptoKitty NFT,引起了轰动。当时,CryptoKitties 是最热门的数字收藏品之一。然而,三年后,同样的 CryptoKitty 现在仅值 3,752 美元,价值大幅缩水 99%。[2023/5/4 14:42:29]
名人不会在推特上大量赠送加密货币,投资产品也没有保证回报。如果您被要求在某处快速行动,请特别小心。不要害怕错过。
b)如果您将加密货币发送到随机钱包,不要指望取回任何东西。没有人会“复制”您的BTC,互联网上充斥着虚假的交易所和投资服务提供商。
仅使用信誉良好的加密货币交易所。从CoinMarketCap的列表顶部选择一个或多个从来都不是一个糟糕的决定。
Layer2 ZK-ZKVM 项目 Ola 发布第二版技术白皮书:4月9日消息,可编程性隐私和扩容方案 Ola 发布第二版技术白皮书,致力于构建一个集隐私、高性能、可编程性为一体的 Layer2 ZK-ZKVM 平台,让用户真正掌控个人数据所有权与使用权。第二版白皮书强调了如何设计和构建 Ola 中最重要的基础模块,高性能的 ZKVM,OlaVM;ZK 友好的智能合约语言,Ola-lang;以及隐私的设计架构。
另外,Ola 已于近期开启品牌升级计划,将于 2023 年年内上线测试网,2024 年年初上线主网。据悉,Ola 由 Sin7y Labs 团队研发,专注于 Layer2 的 ZK- ZKVM 方案。[2023/4/9 13:53:28]
c)切勿与任何人分享您的助记词。种子短语是在您设置钱包时生成的,理想情况下,您将永远不需要它。
美联储鲍曼:如果通胀没有降温,仍有可能“大幅”加息:金色财经报道,美联储理事鲍曼(Michelle Bowman)周三表示,如果高通胀率没有开始减弱,她将继续支持积极的利率上升。她说:“通货膨胀率太高了,我坚信,将通货膨胀率拉回到我们的目标,是实现价格稳定和在可持续基础上实现最大就业目标的一个必要条件。”
鲍曼表示,通货膨胀的情况将决定美联储的下一步计划。如果没有看到通胀率下降的迹象,我的观点仍然是,联邦基金利率目标范围内的可观增长应该仍在考虑之列。但她也表示,如果通货膨胀开始降温,放慢加息步伐是合适的。
此外,鲍曼称,为了以持续和持久的方式使通货膨胀率下降,联邦基金利率将需要升至一个限制性水平,并在那里保持一段时间。(路透社)[2022/10/13 14:26:08]
没有什么比“Metamask支持”更需要您的助记词来“重新连接”您的钱包了。
PS积分系统“PlayStation Stars”将于9月下旬在部分地区上线,披露数字藏品实例:9月14日消息,索尼在State of Play发布会中公开了PlayStation平台的积分系统“PlayStation Stars”的部分详情,该系统拟于2022年9月下旬登陆亚洲大部分地区,欧美地区一周后开放,将首先登陆PlayStation App,并在未来扩展到主机平台。
本次发布会中重点介绍了“数字藏品”相关内容,这些数字藏品将根据游戏内容或索尼旗下经典电子产品等制作,是“PlayStation粉丝所喜爱的东西的数字表现形式”,玩家在获得数字藏品后,可以其放置在PlayStation App中的虚拟展示柜中,也可以在PSN资料中向好友展示。据悉,玩家可通过不同方式获取数字藏品,主要的方式是通过完成活动(活动中可获得积分或直接获得)。[2022/9/14 13:28:32]
d)只在与信誉良好的公司打交道时使用加密货币作为支付方式,在工作完成后付款,或者当金额足够小以至于丢失时你真的不会打扰。
请注意,执法的国际合作——尤其是在网络犯罪方面——在所有国家仍然不够好,即使你知道小偷的身份和地址,你也可以合理地期望在发生时取回你的钱。
e)当您不认识的人通过电报或Discord向您发送DM时,这很可能是局。请注意,用户名可能看起来完全相同,但实际上并非如此。
另一种常见的方案是在公共群组中发布建议,并写上“我真的建议你关注交易员XY,他在很短的时间内让我赚了很多钱”。
还要在Telegram中将可以邀请您加入群组的权限从“所有人”更改为“我的联系人”,以防止在没有您互动的情况下被邀请加入或垃圾邮件群组。
总而言之,您的加密货币不会从自身开始移动。如果您不确定是否可以信任收件人,请不要执行交易。永远,永远不要与任何人分享您的助记词。
Dapp漏洞
Dapps在很多方面都容易受到攻击。在本文中,我将简要概述最重要的漏洞类别。
a)智能合约漏洞:Web3中的漏洞将对大部分损失负责。在这种情况下,可能会以一种意想不到的方式与智能合约进行交互以取回资金。
b)客户端漏洞:一类不影响智能合约本身的漏洞,但会影响用于连接它们的前端,例如跨站点脚本。
“客户端”意味着该漏洞不允许攻击者劫持服务器,而是让服务器向客户端发送恶意数据,例如通过特制链接。Metamask使用客户端javascript嵌入到网站中,如果攻击者可以控制在受害者浏览器中执行的javascript代码,就有可能诱使用户接受恶意交易。
c)服务器端漏洞:与Web3Dapps相比,这与Web2应用程序更相关。但是,前端仍然部署在Web2服务器上。
服务器上执行的代码中的漏洞可能足以劫持前端并诱用户接受恶意交易。
如何防范这些漏洞?
a)仅用信誉良好的平台。在中心化交易所的情况下,这意味着你应该使用顶级交易所之一。
在Dapps的情况下,只将钱存入经过审计的应用程序。公司没有理由不进行审计。一个常用的是“我们的开发人员有XX年的经验,我们不需要审计”。
这已被多次证明是错误的。开发人员和网络安全研究人员/黑客有不同的思维方式,成为一名优秀的开发人员并不一定意味着你是网络安全专家,反之亦然。
b)分配你的钱来分配你的风险。使用多个中心化交易所和钱包来存储您的加密货币。
如果你想质押你的加密货币,请不要将所有内容都质押在同一个Dapp中,以防它遭到黑客攻击。
病
下载软件总是有风险的。如果托管您的加密钱包的设备被感染,该病可能会转移您的加密货币。您可以采取哪些措施来保护自己:
a)使用像Ledger这样的硬件钱包。无疑是最好的建议。
即使您的计算机被黑客入侵,黑客也无法窃取您的加密货币,因为硬件钱包从不与计算机共享种子短语。交易需要通过按下硬件钱包上的按钮来确认。
b)不要在您拥有加密钱包的计算机上安装有风险和不必要的软件,如破解/修改游戏或其他应用程序。
c)如果您出于某种原因迫切需要从信誉不佳的来源安装某些软件,请使用像Virustotal这样的服务来检查它是否有病(请注意,没有任何防病软件是100%安全的。
有一些高级工具可以自动生成有效负载绕过杀软件)。为了更加安全,请将软件安装在虚拟机中,例如使用VirtualBox。
即使应用程序是恶意的,它也无法突破虚拟机并损坏计算机的其余部分。。
d)如果你在加密钱包中存有大量资金,请考虑购买一台单独的计算机,只安装你的加密钱包软件而不安装其他任何东西。
希望这篇文章对大家有一定的帮助,有想跟作者聊聊的欢迎私信!
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。