｜作者：Arthur｜译者：Zhiyuan Qi｜校对：Roy｜排版：龙犄角｜本文译自以下原文｜

作者简介：Arthur（@Arthur_0x)，DeFi & Web3 投资人，Azuki（红豆）收藏家。恢复之中的网络攻击受害者。

以下内容最初仅是为我们 portcos 和合作伙伴撰写的，但经过考虑，我认为将其公开是有益的。

1/ 根据我们的研究，并与权威网络安全专家交流后，我们认为 BlueNorOff 正在有组织地展开针对加密领域所有知名组织的攻击活动。

2/ 鉴于他们的社交工程攻击的复杂程度，我相信，他们已经绘制了整个加密货币领域的关系图谱，并且知道哪种钓鱼邮件最有可能击穿我们的心理防御。

3/ 强烈建议阅读本文以深入了解这种攻击是如何进行的，并实采纳文中的建议。这是他们发送的 钓鱼邮件示例。

4/ 至关重要的是，业内要高度意识到，我们正在被一个国家资助的网络犯罪组织积极地盯上。该组织极其机智老练。将来他们甚至可能改变工具和攻击模式。

5/ 一旦当前的攻击方法变得不那么有效，例如最近发现的 DeFi App 木马和钱包攻击，由于从以往的成功攻击中尝到甜头，朝鲜很可能会为该组织投入更多资源，以扩大袭击的强度。

6/ 除了所有标准的网络安全建议，在我的朋友 ── 网络安全意识很强的 @junhaotan_ 的协助下，我提出了一些虽不详尽但很具体的加密货币安全建议。希望能防止类似事件发生在我们任何人身上。

7/ 将链上加密资产存储在企业级托管方案上：仅由一个硬件钱包保护的 EOA 是不够的。因为他们可以通过注入假的小狐狸（Metamask）浏览器扩展，来导致非预期交易的批准。

8/ 至少应当使用一个多重签名钱包：例如由数个硬件钱包提供安全防护的 Gnosis Safe。我强烈建议使用 Fireblocks、Copper、Qredo 等更高级别的托管方案，因为它们采用原生的 2FA 验证多重签名来批准交易。

9/ 在聘用远程团队，尤其是软件工程师/开发人员时，要进行额外的尽职调查：“Lazarus APT 集团（译注：臭名昭著的黑客组织）甚至开设虚假的加密货币软件公司。”

10/ 我们从自己的投资组合公司那里听说过这么个案例：一个申请软件工程师职位的人在面试中表现得很可疑，而且他简历中的个人资料也对不上号。

11/ 用来加密交易的计算机应专机专用：应该用专门的计算机进行加密交易，该设备不参与任何电子邮件、互联网链接、消息应用程序、打开 Word / PDF 文档等交互。

12/ 所有登录操作都要进行 2FA 验证：该步骤不仅针对加密货币，但其重要性完全值得一提。云存储、电子邮件、Telegram 等消息应用的登录操作都应该开启 2FA 验证。不要用短信 2FA， 使用 Google 身份验证器。

13/ 应该尽可能使用像 YubiKey 这样的硬件 2FA。可同时适用于公司和个人帐户。

14/ 将常用的 DApp（加密货币应用程序）网址加入书签。钓鱼网站会不时被搜索引擎引用。搜索过程中如果不细心，可能到头来你访问的是钓鱼网站。最好通过书签列表访问它们。

15/ 撤销不必要的代币授权。代币授权允许另一方移动你的资产，大多数的智能合约交互都需要它。避免无限制的代币授权并定期撤销不必要的授权。你可以使用 revoke.cash 来做到这一点。

16/ 使用地址监控系统：应密切监控内部加密钱包地址，以便发生未经授权的交易时，团队可以立即得知，并尽快采取行动。Etherscan 和 Nansen 都有这样的解决方案。

17/ 定期对团队成员进行网络安全培训：应要求所有团队成员在入职时接受网络安全培训。随着组织的发展，这件事往往会被忽视。

18/ 通过正确配置电子邮件的 DNS 设置来改进网络钓鱼和垃圾邮件检测。尽可能为 SPF、DKIM 和 DMARC 使用 hard fail 或 strict mode。

19/ 信任浏览器，不要信任网站：浏览器地址栏下方的任何内容都应视为不安全，可能成为潜在攻击的媒介。如果你没有登录，某些 DApp 可能会弹出一个窗口要求你登录加密钱包扩展，这种情况下不要输入你的密码。

｜作者：Arthur｜译者：Zhiyuan Qi｜校对：Roy｜排版：龙犄角｜本文译自以下原文｜

作者简介：Arthur（@Arthur_0x)，DeFi & Web3 投资人，Azuki（红豆）收藏家。恢复之中的网络攻击受害者。

以下内容最初仅是为我们 portcos 和合作伙伴撰写的，但经过考虑，我认为将其公开是有益的。

1/ 根据我们的研究，并与权威网络安全专家交流后，我们认为 BlueNorOff 正在有组织地展开针对加密领域所有知名组织的攻击活动。

2/ 鉴于他们的社交工程攻击的复杂程度，我相信，他们已经绘制了整个加密货币领域的关系图谱，并且知道哪种钓鱼邮件最有可能击穿我们的心理防御。

3/ 强烈建议阅读本文以深入了解这种攻击是如何进行的，并实采纳文中的建议。这是他们发送的 钓鱼邮件示例。

4/ 至关重要的是，业内要高度意识到，我们正在被一个国家资助的网络犯罪组织积极地盯上。该组织极其机智老练。将来他们甚至可能改变工具和攻击模式。

5/ 一旦当前的攻击方法变得不那么有效，例如最近发现的 DeFi App 木马和钱包攻击，由于从以往的成功攻击中尝到甜头，朝鲜很可能会为该组织投入更多资源，以扩大袭击的强度。

6/ 除了所有标准的网络安全建议，在我的朋友 ── 网络安全意识很强的 @junhaotan_ 的协助下，我提出了一些虽不详尽但很具体的加密货币安全建议。希望能防止类似事件发生在我们任何人身上。

7/ 将链上加密资产存储在企业级托管方案上：仅由一个硬件钱包保护的 EOA 是不够的。因为他们可以通过注入假的小狐狸（Metamask）浏览器扩展，来导致非预期交易的批准。

8/ 至少应当使用一个多重签名钱包：例如由数个硬件钱包提供安全防护的 Gnosis Safe。我强烈建议使用 Fireblocks、Copper、Qredo 等更高级别的托管方案，因为它们采用原生的 2FA 验证多重签名来批准交易。

9/ 在聘用远程团队，尤其是软件工程师/开发人员时，要进行额外的尽职调查：“Lazarus APT 集团（译注：臭名昭著的黑客组织）甚至开设虚假的加密货币软件公司。”

10/ 我们从自己的投资组合公司那里听说过这么个案例：一个申请软件工程师职位的人在面试中表现得很可疑，而且他简历中的个人资料也对不上号。

11/ 用来加密交易的计算机应专机专用：应该用专门的计算机进行加密交易，该设备不参与任何电子邮件、互联网链接、消息应用程序、打开 Word / PDF 文档等交互。

12/ 所有登录操作都要进行 2FA 验证：该步骤不仅针对加密货币，但其重要性完全值得一提。云存储、电子邮件、Telegram 等消息应用的登录操作都应该开启 2FA 验证。不要用短信 2FA， 使用 Google 身份验证器。

13/ 应该尽可能使用像 YubiKey 这样的硬件 2FA。可同时适用于公司和个人帐户。

14/ 将常用的 DApp（加密货币应用程序）网址加入书签。钓鱼网站会不时被搜索引擎引用。搜索过程中如果不细心，可能到头来你访问的是钓鱼网站。最好通过书签列表访问它们。

15/ 撤销不必要的代币授权。代币授权允许另一方移动你的资产，大多数的智能合约交互都需要它。避免无限制的代币授权并定期撤销不必要的授权。你可以使用 revoke.cash 来做到这一点。

16/ 使用地址监控系统：应密切监控内部加密钱包地址，以便发生未经授权的交易时，团队可以立即得知，并尽快采取行动。Etherscan 和 Nansen 都有这样的解决方案。

17/ 定期对团队成员进行网络安全培训：应要求所有团队成员在入职时接受网络安全培训。随着组织的发展，这件事往往会被忽视。

18/ 通过正确配置电子邮件的 DNS 设置来改进网络钓鱼和垃圾邮件检测。尽可能为 SPF、DKIM 和 DMARC 使用 hard fail 或 strict mode。

19/ 信任浏览器，不要信任网站：浏览器地址栏下方的任何内容都应视为不安全，可能成为潜在攻击的媒介。如果你没有登录，某些 DApp 可能会弹出一个窗口要求你登录加密钱包扩展，这种情况下不要输入你的密码。