Bitget App
交易“智”变
行情交易合约跟单BOT理财Web3
长推:一个加密OG的安全防盗建议

长推:一个加密OG的安全防盗建议

MarsbitMarsbit2023/08/14 01:45
作者:Haotian

总是有朋友抱怨资产莫名其妙被盗了,前提还是很懂计算机网络技术,安全防护意识还很强的情况下。why?

注:本文来自推特,MarsBit整理如下:

总是有朋友抱怨资产莫名其妙被盗了,前提还是很懂计算机网络技术,安全防护意识还很强的情况下。why?

若是纯小白被盗也就当交认知税了,可一个web3 OG浸淫币圈数载,自认都已经熟稔黑暗森林生存法则,竟也还能被盗?

接下来的Thread,换个角度思考下你的“安全意识”真的到位了吗?

我在过往往参与的被盗案件中,受害者不乏有当CTO的技术大牛,有身经百战的链上交互大师,甚至不乏也有安全行业从业者。大部分技术牛人都难免因一时疏忽遭遇被盗,何况普通人呢?

这些大牛都是安全认知的巨人为何却成了防护行动的矮子,这背后其实涉及复杂的安全攻防心理学博弈过程。

其实“安全意识”不仅仅是一种认知gap,更是一次次践于行的触网自律行为。

比如:一句采取适当防范措施,你能否每次私钥生成时严格执行手抄备份;一句保持警惕心态,你是否每点开一个未知链接,都细心识别并加以防范?

如果做不到绝对的行为自律,那懂得那么多,迟早还是逃不开被盗的命运。

安全攻防本质上是投入成本与产出收益的问题,黑客偏爱的受攻击目标有如下特性:

1)资产越多,越容易被盗;若黑客发现一个邮件和一个对应巨额资产地址,邮件就会成为接踵而至钓鱼、理财诱惑、商务合作等社会工程攻击的切入点。因此,大户请务必隐藏身份,避免成为黑客不计成本攻击的目标。

2)交互越多,越容易被盗;很多web3重度交互用户,不加辨识去交互潜在空投的不可信网站,甚至搞签名、留邮箱等操作,结果为了一顿猪脚饭,为以后被一锅端埋下隐患。

黑客可通过“水坑攻击”等来精准锁定参与网页交互的用户,为其设备植入恶意木马,用户在不知不觉中成了被针对攻击的对象。

3)花活越多,越容易被盗;不少用户为防项目方女巫审查,采用了指纹浏览器、云服务器、代理虚拟IP服务等,纯抗女巫这些技术无可厚非,但其却带来了更复杂的网络环境,若任何一个上游供应链从中作祟或被攻击,对黑客而言可是难得的精准攻击目标群。

因此添加花活可以,但务必要同时加强防护等级。

4)习惯越差,越容易被盗;有的用户习惯用生日关联密码,并作有规律的密码组合拓展。

若黑客获取了你的邮箱地址等隐私信息,就可能通过社工库获取更多隐私信息,进而基于你的惯用密码来撞库破解其他密码,比如有道云,文件夹密码等从而实施私钥窃取。社工库请自行去查,一定大跌眼镜!

5)人越高调,越容易被盗;虽没具体统计过,看似普通的社会工程学攻击肯定是加密资产被盗重灾区,别一盗就想当然以为被朝鲜黑客盯上了,普通人根本无高级APT的攻击待遇,反倒警觉下平时有没有跟身边人漏财,快递外卖地址有没有保护,网络隐私痕迹是否处理干净等。谨小慎微,低调才是硬道理。

综上,你似乎感觉到了,区块链安全科普文几乎等同于生态参与劝退文,因为参与的深度越大,被攻击风险就越高,这似乎无解。

但区块链本来就是丛林探险,我们要博的也是投入风险和产出收益的概率,我给普通用户的建议是,既然难做到高段位防护,不如学会遁形规避,尽可能别进入黑客的攻击视野范围。

以下给几条建议,或许可降低莫名其妙被盗的概率。

1)设定冷热钱包的资产阈值,默许热钱包被盗在承受范围内;

2)只点击主流人群背书后的链接,别相信你会是宠儿;

3)别轻易泄露隐私,尤其是忌招摇漏财;

4)小心身边的人,社工渗透成功率最高;

5)熟读 区块链黑暗森林自救手册。

我们习惯了安全公司推送的各类安全警示,是否思考过躲在暗处的黑客是如何抓住用户的薄弱点实施攻击的呢?

其实根本没有莫名其妙的攻击,只是恰巧黑客的攻击方式超出你的认知范畴而已,有些是你看不懂的,有些是你意想不到的,更多的是你明白但却疏忽的。

备注:附慢雾黑暗森林安全自救手册,。

另外借 丰老师的楼,大家有任何被盗疑问可以留贴,我看到后也会参与并协调必要的资源帮忙。

165

免责声明:文章中的所有内容仅代表作者的观点,与本平台无关。用户不应以本文作为投资决策的参考。

PoolX:锁仓获得新代币空投
不要错过热门新币,且APR 高达 10%+
立即参与!

你也可能喜欢

WUF 代币可领取

Medium2024/08/15 09:55

WuffiTap:终极社交挖矿冒险

Medium2024/08/15 09:51

官方Gala商品店宣布开业

Medium2024/08/14 03:32

2024年7月:通过新发展优化平衡

在七月,ICON推进了其整合工作并优化了系统性能。主要成就包括完成了对Stellar的审计以及Solana的合约。展望八月,我们预计将Sui合约部署到主网。

Icon Foundation Blog2024/08/13 11:16