DEFI:黑客事件频发 如何保护好自己的钱包和NFT资产？_Libre DeFi

原文：《HowToSecureYourCryptoWalletandNFTs》

编者按：今天知名公链Solana被爆出漏洞事件，导致超过8000个钱包地址被盗取资产，此时大家应该重视如何保护自己的钱包和里面的资产。

正文

近日，DeFi风险投资基金DeFianceCapital的联合创始人，在他的个人钱包中被盗了价值170万美元的NFT。他声称，在打开一封看起来可疑的电子邮件附件后，他成为了网络钓鱼攻击的受害者，邮件附件显然来自DeFiance的一家投资组合公司。

这种攻击甚至影响了一些经验丰富的人，他们拥有5年的加密经验，使用密码管理器和硬件钱包与DeFi协议进行交互。

SBF：Mango黑客事件表明预言机规范的重要性:金色财经报道，FTX创始人SBF在社交媒体分析了Mango Markets黑客时间的教训，他表示：“真正的问题取决于预言机的规范是什么，预言机准确地报告了 MNGO 的当前价格，只是'当前价格'与'公平价格'并不接近。一些头寸，如 MNGO，规模庞大且流动性不足，以至于风险引擎（提供市场风险测量和投资分析的软件）迫使头寸被完全抵押。” 完全抵押意味着在整个贷款过程中，借款人提供抵押品。在这种情况下，抵押品是加密货币。Mango Markets 要求初始抵押品比率为 120%，维持抵押品比率为 110%。如果用户的抵押率低于 110%，账户将被清算，而Mango Market 攻击者利用漏洞来模拟拥有足够的抵押品。

SBF补充称：“如果一个预言机报告‘MNGO：0.40 美元’，是不是错了？如果它只是承诺告诉你 MNGO 目前的交易价格，而且，在短时间内，在某些交易所，MNGO 实际上的交易价格为 0.40 美元。问题在于使用原始预言机价格。预言机有时能告诉你一切，有时也无法代表任何信息，它们只是反映市场的历史和现状，风险引擎的工作就是利用这些信息，并决定哪些头寸是安全的，有时风险引擎不能只是反刍预言机所说的话，而是要自己去认真分析。”[2022/10/13 10:33:16]

尽管遭到了黑客攻击，但这对我们所有人来说都是一个及时的提醒，热钱包仍然很容易受到加密货币黑客的攻击，尤其是当我们是活跃的DeFi用户时。

Harmony：将在两周内与社区讨论Horizo??n黑客事件的恢复计划:7月15日消息，Harmony官方推特表示，将在两周内与社区讨论恢复计划的细节，该计划涉及14种资产中大约5万个钱包，总计9760万美元，由社区投票决定最终结果。据此前报道，公链项目Harmony跨链桥Horizo??n宣布遭受黑客攻击，损失约1亿美元。[2022/7/15 2:15:19]

在本文中，我们将探索几种方法来保护我们的加密钱包和NFT。

创建多个钱包

从技术上讲，创建无限数量的加密钱包来持有和保管我们的数字资产是可行的，尽管管理大量的数字资产将变得相当繁琐。冷钱包是一个伟大的、安全的方式来存储我们的数字资产，因为它们保护我们的资产脱机，远离互联网上的坏人或恶意计算机，这意味着在安全方面不会受到影响。另一方面，像MetaMask和CoinbaseWallet这样的热钱包以牺牲安全为代价，提供了更多的便利，因为当我们复制和粘贴这些钱包时，这些钱包通常会为黑客窃取我们的私钥和掏空我们的钱包创造一个攻击载体。

养老金账户平台IRA因黑客事件对Gemini交易所提起诉讼:6月7日消息，养老金账户平台IRA Financial Trust对加密货币交易所Gemini提起诉讼，原因是Gemini没有适当的保护措施来保护客户的加密资产。据此前报道，2月8日IRA Financial Trust称遭到黑客攻击，导致3600万美元的加密货币被盗，这些资产属于Gemini保管的客户退休账户。在IRA通知Gemini后，犯罪分子仍然可以将资金从交易所客户的账户中转移出去。

据悉，自事件曝光以来，两家公司一直在互相指责对方为资金损失负责。IRA基金一直在努力为其受影响的客户寻找解决方案，现在已承诺使用诉讼所得赔偿受事件影响的客户。（watcher.guru）[2022/6/7 4:08:17]

一旦我们购买了一个冷钱包，不要将我们所有的资产存储在一个与我们的在线身份绑定的钱包中。这也创造了一个攻击向量，一个安全漏洞就可以耗尽我们的全部净资产。

安全公司：年度最大DeFi黑客事件Poly Network遭受攻击源头已找到:对于跨链互操作协议Poly Network遭受攻击事件，成都链安技术团队经过深度分析已找到攻击的源头。该笔交易对应的跨链交易由本体链上f771ba开头的这笔交易发出，并定位到本体链上AM2W2L开头的攻击者地址。攻击者在ONT链上进行攻击尝试发现有效后，通过这笔f771ba开头的地址交易批量向多个链发起更改Keeper的跨链消息，然后BSC链的relayer 0xa0872c79开头地址率先处理了该笔跨链交易，并将keeper设置为攻击者指定的以0xa87开头的地址。

接着Ethereum、Polygon两条链上攻击者重放了BSC链的 relayer所使用的有效签名。Keeper地址更改为自己的地址后，攻击者使用自己可控的Keeper发起了提币交易，转移了跨链池中的资产。此处攻击成功表明PolyNetwork在对跨链交易事件的验证存在缺陷，导致了恶意的跨链消息被接收并在对应的链上进行了跨链消息所指定的操作。[2021/8/11 1:49:10]

相反，一个好的做法是创建2个级别的钱包：

热钱包(如Metamask)进行日常交易

用于存储的冷硬件钱包

也可以使用相同的助记词将冷硬件钱包进一步分解为2个子钱包。

冷钱包地址1用于金库存储

冷钱包地址2用于可信站点上的不频繁交易

使用多重钱包，我们可以确保自己有针对不良参与者的多重防御。即使我们的热钱包被泄露了，我们的资产仍然安全的存储在冷钱包里。

仔细签订合约

我们只会使用热钱包地址或冷钱包地址2来签订合约。冷钱包地址1是纯粹的存储，和发送/接收交易到我们的其他钱包。在签署交易时，确保只在我们信任的网站上签署交易。一份恶意的合约，如果签署不当，就会允许它将我们钱包里的所有资产转移到另一个钱包里——实际上是耗尽我们的资金。有许多钓鱼网站、电子邮件和信息假装是合法的来源，然后操纵我们签署看似真实的合约，但在背后，它掩盖了一个事实，即我们给了合约许可，从我们的钱包中取出所有资金。

网络钓鱼是黑客试图我们的最流行的方式之一。例如，我们可能是一个有针对性的欺诈、电子邮件或网站的受害者，他们我们签署一些东西，以换取有限的NFT或其他东西。始终保持清醒的头脑。如果某件事好得令人难以置信，甚至有点可疑，那就避免它。不要冒这个险。如果我们曾经无意中签署了恶意文件，或者认为我们可能成为了恶意文件的受害者，请立即撤销我们对合约的许可。

保护助记词和私钥

需要不惜一切代价保护助记词和私钥。这些是通向我们的全部资产集合的门户。不要将我们的助记词存储在互联网、云、任何可能被泄露的电脑文件中，无论是输入的还是照片。有许多程序和恶意软件可以找出助记词，一旦被检测到，就可以用来获得访问我们的整个投资组合的权限。同样，即使我们用的是一个冷钱包，也不要在电脑上输入助记词。因为大多数现代钱包都能够从我们的Ledger导入帐户，而无需透露我们的助记词。

使用像MetaMaskmobile或CoinbaseWallet这样的移动钱包会带来更高的折中风险。我们永远不会知道我们的手机什么时候会被黑，特别是当我们在旅行时连接到公共WiFi或其他不可信的热点时。重要的是，我们不应该在导入手机的热钱包中存储太多，因为这些设备具有巨大的安全风险，往往会导致我们钱包的全部流失。

将我们的资产分散到多个钱包中

最后一个建议是让钱包多样化。例如，我们可以为不同的链创建两套热/冷钱包，以进一步分散被黑客攻击的风险。显然，这是以带来不便为代价的，但如果我们持有大量的投资组合，考虑到损失一切的代价远远大于带来不便的代价，这是值得考虑的。

如果我们认为自己已经受到了损害应该怎么办？

如果我们认为自己的钱包曾经被泄露过，请采取以下步骤：

立即断开网络连接

在一个全新的设备上，创建一个新的钱包

导入被破坏的钱包种子，并立即将所有资产发送到我们新创建的钱包中

要确定我们拥有哪些资产，可以使用区块链浏览器或Zapper等聚合器来帮助确定

当我们认为自己可能成为受害者时，关键是要保持冷静。然而，这可能已经太迟了。为了先发制人地检测未经授权的交易，可以使用或构建服务来监控来自地址的交易并将通知发送到自己的帐户。希望这些技巧有助于保护我们的加密钱包，并防止自己被黑客攻击。

来源：金色财经

标签：DEFIDEFEFINFTLibre DeFiDeFiHorseSEFI币NFTCircle

比特币价格热门资讯