Horo
Horo

目前是 LikeCoin Chain 验证人 Yoitsu 背后的家伙,以及 CDC/CFC 划水组成员(笑)。偶尔会变身成狐狸。( @foobarz )

Web3 信息安全 ABC?

其实和 Web2 甚至 Web1 时期没什么大区别,特别是……
终极解决方案:只要没有钱就不用在乎安全了(不是)

嘛其实还有人会觉得什么 Web3 就是在炒概念就是,以及不少人其实在 Web 2 时代就一直在裸奔吧(笑)。所以就原谅咱再啰嗦一遍了。

说起来 Matters 某期「自由课」好像就是聊信息安全的,可以去搜索一下看看。

零号原则:Not Your Keys, Not Your Coins 

这个「零号原则」是咱自封的,因为咱觉得这大概是所有 Web3 安全技巧里最重要的了。假如汝手里没有钱包的私钥(或者助记词)的话,那费劲千辛万苦保护不是自己的东西有什么用?以及老生常谈的,放在交易所的资产链只会认为是交易所的,只是交易所以自己的信誉担保它们会按数量从自己那交付给汝罢了(所以万一利益大于信誉过于多的话提桶跑路也不是不可能)。

以及出于绝对的安全不存在和越来越频发的资料泄露案例来看,虽然不能完全说非中心化交易所(DEX)绝对比中心化交易所(CEX)更安全,但咱平时还是更倾向 DEX 一点。(虽然除了提供流动性要把币绑定在 DEX 的链上以外咱都不在交易所的帐号上留币就是了。)

虽然助记词已经比私钥好记太多了,但是一连是几个单词记起来还是有难度的。于是这里不妨再利用一下经典(?)的二八原则:非常重要的钱包的助记词(像是资产很多的、或者比较关键的)就手写下来放到钱包之类的安全的地方(话说这次奖品和活动促销的金属板应该就挺合适),不太重要的交给密码管理器来记应该也行。

所以用社交帐号或者电子邮件注册 Liker ID 的朋友们是时候导出助记词啦(?)

以及永远不要对其它任何人透露汝钱包的私钥或助记词,不管对方声称是什么人。

保护物理设备和操作系统安全

所有的安全工具(例如加密软件、杀毒软件和防火墙、隔离系统等)应该都强调过保护物理系统安全的必要性。(虽然系统里最弱的环节永远是人就是了。)

Xkcd 528 (Security) https://xkcd.com/538/

以及操作系统的保护也相当重要,例如如果用户的密码很容易被破解的话,汝给钱包设置的密码再安全也许都无济于事。

所以如果是有在用浏览器扩展之类的热钱包的话,那么就把之前各处听到的保护系统安全的招数用起来。例如给电脑设置一个安全的用户密码、装好防火墙和杀毒软件、定期做好更新、给热钱包设置一个安全的密码等等。如果有余力的话,在可信的硬件上用虚拟机或者物理隔离的方法操作十分重要的钱包也是一个好方法。

硬件钱包的话,大概就是老生常谈的不离视线小心被偷或者被调包、以及(或者)买两个当作备份之类的了。毕竟咱还没有过所以给不出别的什么提示了,汝可以参考汝硬件钱包的制造商网站或者上网搜索硬件钱包的更多使用技巧。

小心钓鱼,保持冷静

首先感谢 @自由精靈|多比 用 1.23 ETH 做的惨痛演示(不是)

钓鱼攻击这回事吧,说新也不算新,Web2时代就已经有不少了。当时主要目标是各为各位受害者的各种帐号,到了Web3时代,目标就成了各位钱包里的资产。(或者心更大的鱼可能就把整个钱包给丢了)目前钓鱼的“鱼钩”的来源,除了经典的邮件以外,大概还有搜索引擎和 IM 的私聊消息了。

  • 因为可以随便设置,所以不要相信邮件的“发件人”(SEND_FROM)部分。像 Gmail 一类的邮件服务也许会自动识别不同的发件地址,但是不要依赖这一点。虽然发件人不一致不一定都是坏人(例如对方用了其它第三方的发件服务),但是受到发件人不一致的邮件的时候,还是小心确认为妙。(冷静*1)
(一个发件人的邮送域和发件人不一致的例子)
  • 搜索引擎排名第一的链接不一定是汝想要的结果,有可能是广告,也有可能是骗子买的。所以也要小心的确认网址是否和之前使用的一致,可以考虑搜索一下浏览器的历史记录或者加上书签。某些网站也会在最上面用大号字体提示正确的网址(虽然技术高明的钓鱼网站也许能改掉就是了)。(冷静*2)
如果汝要使用的网站上有这个横幅的话,就记得看看和汝地址栏上的地址是否一样。
  • 某些服务也许会提供某些基于共享秘密的验证机制,例如 Binance 的验证渠道(帮汝验证某个自称是工作人员的渠道是否真的如此)和防钓鱼代码(会在发给用户的所有邮件上加上用户设置的代码,这样汝只要看到发来的邮件上没有汝提前设置的代码就可以确信这是封钓鱼邮件)。如果有提供这样的功能的话,快点利用起来。
  • 小心接收各种 IM 的私人消息,特别是对方声称代表某个组织的时候。大多数情况下,真正的工作人员应该都有某些特殊的标记,例如 Discord 里特殊的身份组这样的。(以及永远不要对其它任何人透露汝钱包的私钥或助记词,不管对方声称是什么人)(冷静*3)
比如 LikeCoin 的 Discord Server 的话,就认准蓝色名字和 admin 身份组就可以了。
  • 永远不要轻易贴上汝复制的内容(因为有太多的方法可以让汝复制出来的东西和汝看到的不一样了就像这样),复制钱包地址的时候一定要仔细确认汝贴上的结果和复制的地方是否一致(有些恶意软件会在汝复制像是 0xabcdefg 或者 chain123456 之类的钱包地址的时候偷偷改成骗子的地址),如果钱包或交易所提供了保存地址的地址簿功能,那不妨利用起来。(接下来就是保护地址簿别被篡改了)(冷静*4)
  • 遇到非常规的行为的时候,就应该小心检查一下了。像是汝经常使用的什么服务突然让汝重新连接,而汝又没有做过清除浏览器记录之类的操作;或者看到需要 Gas Fee 的签名操作等等。(冷静*5)
或者直接睡一觉起来再做决定也不迟(然后发现市场大震荡😂)

还有一件事……

总要经常靠自己学习和研究(Do Your Own Research)是吧?

CC BY-NC-ND 2.0 版权声明

喜欢我的文章吗?
别忘了给点支持与赞赏,让我知道创作的路上有你陪伴。

狼与马特市的幻想物语

Horo

(没错这个围炉目前就是来蹭热度的,所有的文章都不会上锁。当然汝要是真的想支持咱的话订阅也 OK)

066

推荐阅读

发布评论