本篇文章开始前,笔者首先要感谢慢雾、Secure3.io、Panews、区块律动、web3caff以及推特大佬@jason_chen998。为了保护我的钱包,笔者翻阅他们提供的大量盗窃案例和安全教程,以及与Secure3的朋友简单交流之后,才写出这篇文章。
这是一篇关于Web3钱包及个人设备安全的指引,希望大家可以在遨游区块链世界的时候,免受攻击,守住自己的财产。
https://opensea.io/assets/ethereum/0x288D3F850AC502dB592B87160C7a0C77138532F6/0
之所以写下这篇文章,是因为我作为一个从小学就开始学编程用电脑的老鸟,前不久自己也差点被骗走一双stepn的鞋子。这才意识到,安全问题离我们每个人都很近。
网络世界的安全问题实际上一直萦绕从所有人的头上。
关于安全的知识庞杂而又繁琐,我们首先要掌握一个原则,计算机世界里,几乎没有安全的地方,甚至你的每一步操作都有泄露隐私的风险。
电影海报:《我是谁:没有绝对安全的系统》
之前也有很多人做过这方面的科普,但要么过于简单、要么过于复杂。这篇文章里,我准备用最简单、易懂的语言,让尽可能多的人读懂。
具体来说,我们需要关注的安全问题应该包括一下几个方面:情绪控制、web3钱包的使用、设备的使用、个人隐私保护。
这里我继续说一下自己stepn鞋子差点被盗的经历,希望对大家会有一些警示作用。
前不久我弄了一双stepn鞋子想给家人使用,由于鞋子始终不能正常运行,无法获得gst。我每天通过邮件和Discord与官方客服交流,但始终没解决问题。这时我因为一直无法赚到gst变得有些焦虑,在无意中发现有Stepn的“客服”通过私信与我交流。客服表示这个问题是由于服务器维护导致的(刚好那段时间确实不稳定),只要提供账号邮箱和验证码确认身份就能解决问题。**重点来了,由于国内很多服务都是需要提供验证码以验证本人身份,加上邮件上只写了”complete verication”而没有提示验证码具体的作用,特别是自己也已经很焦虑。**收到验证码后,我没想太多复制了验证码。所幸在我按下“回车”的那一刻突然清醒过来,”We will never DM you”这句discord名言突然在脑中回响,我立即停止了所有的操作。然后来到stepn的服务器验证,发现所谓的”客服“果然是骗子。
Discord可谓是骗子聚集地,项目方一般都会有明显的提示
回过神来,才发现一双价值几千刀的鞋子就这么差点被“客服“骗走,真是凶险万分。
后来我看了许多安全方面的资料。发现焦虑和傲慢这两种情绪是我们在区块链世界最大的敌人。
大部分人都像我一样,来到区块链世界是为了赚钱的。但只要涉及到金钱,难免会产生fomo、焦虑的情绪,例如前几天GAL首发的时候有人以200刀的价格入场,又如有的NFT玩家在开盘前被骗到了假的网站mint……
总之,焦虑是所有投资人的大忌,一旦与钱打交道的时候,一定要想办法保持冷静。
与焦虑相反的一面是傲慢。许多人认为自己是行业大佬,上知区块链技术下知汇编语言,熟知各类骗术,怎么可能会被骗?但恰恰是这样的傲慢,才会属于防范,前不久就发生过Defiance Capital创始人Arthur Cheong钱包被盗的事件。据报道,Arthur Cheong只是中了一个最常见的攻击方式:打开了邮件里带有病毒的文件。
所谓“骄兵必败”,不少人的事业在处于上升阶段的时会以为自己总是对的那一个,忽略了很多其他方面的问题,等到灾难降临的时候已经一切归零。
前面是从人性的角度讲述可能的攻击手段,现在我们从大家最关心的钱包安全开始,说一些大家最关心的问题。
我们的代币有三个地方可以存放。其中以冷钱包最为安全,如Ledger。对于大多数人来说,只要做好密码保护和双重验证,交易所实际上会比热钱包更安全;我们的热钱包因为时刻在链上,一旦发生错误的授权,资产就很容易被转移。
很多人以为USDT很安全,其实USDT是由Tether公司管理的,一旦被认为是黑钱,Tether可以轻松冻结这一笔钱。所以遇到不明来源的USDT最好还是小心点。同理,需要注意的是USDC,也是会被冻结的。
先说一个大家最容易犯错的地方,就是签名(sign)。一般认为签名不涉及授权,不会有操作风险,但是遇到非明文写下的签名,还是有安全隐患的,好在现在metamask都会用红字提示。
看到0x开头的字符串一定要小心
除签名外,最常用的一个功能是授权(approve)。这决定了你授权了对方某个币种可以自由使用的额度,一般来说像常用的Uniswap这类的DEX比较安全,但是一旦遇到新的项目要求你无限转账额度的授权,就一定要小心了。黑客们最喜欢用的一招就是让你在焦虑(新项目mint时)、兴奋(突然收到貌似大额的空投)、沮丧(反复被骗)等情绪下,将你骗到一个假冒网站,让你无意中将授权交给他。