ELEC:如何判断你的数字资产是不是真的安全？_Defiskeletons

—

撰文|?Cobo金库大掌柜

黑客从来只黑有价值的人，如果你觉得自己很安全，那只是你缺乏被黑的价值

根据近几年的用户调研，掌柜发现有相当一部分用户，即使你告诉他千万遍“手机端软件更便捷，更安全”，他们仍然对PC端软件情有独钟。不得不承认，PC端软件确实有着不可替代的优势：显示面积大，鼠标键盘交互精确，适合流程复杂、规模更大的操作。

如果一定要使用PC端钱包软件进行资产管理，我们需要付出两百倍的安全意识。

安全意识通常来自于对攻击面的了解，掌柜习惯通过以下3个“灵魂拷问”来判断：

01｜哪些数据需要保护？

法律专家：Mango Markets案例会影响DAO未来如何实施其法律和治理结构:2月4日消息，加拿大律师事务所McMillan LLP的合伙人Benjamin Bathgate表示，针对所谓的Mango Markets漏洞利用者Avraham Eisenberg的诉讼可能会影响DAO未来如何实施其法律和治理结构。Bathgate表示，在很多情况下，DAO只是用户的集合，这是一个用户社区，也许有一个核心贡献者负责编码。管理Mango Market DAO的怀俄明州有限责任公司Mango Labs正在寻求收回剩余的4700万美元。然而，Bathgate表示，Mango Labs的诉讼不太可能成功，到那时可能会为DAO生态系统敲响警钟。

此前报道，Mango Markets攻击者Avraham Eisenberg在纽约美国地方法院第一次听证会上放弃保释。目前，Avraham正被Mango Labs起诉，要求赔偿剩余的4700万美元，他被指控犯有商品欺诈、商品操纵和电汇欺诈三项刑事罪。[2023/2/4 11:46:50]

-涉及隐私的敏感信息，如浏览记录、用户名&密码、私钥文件、钱包文件等

MicroStrategy将在明年指导企业如何采用Bitcoin:金色财经报道，MicroStrategy将在明年5月的活动中指导企业如何采用Bitcoin。[2022/12/8 21:31:03]

02｜哪些应用程序存在敏感信息？

-如交易软件、钱包软件、浏览器等

03｜资产管理过程中哪些外部服务易被攻击？

-如设备的通讯接口、交易软件、钱包软件、浏览器等

基于以上，我们试着对PC端钱包软件的各个使用环节展开疑问：

下载安装：登陆的是不是官方网站？下载安装的是不是官方软件？

掌柜之前看到过一个案例，攻击者“山寨了一整套”下载网站和软件，山寨软件植入了专门针对MacOS开发的木马程序“GMERA”，然后诱导用户下载，实现盗取Cookie数据、网站浏览数据以及获取屏幕截图等。

观点：目前行业内是一个沉淀期，builders应该更多去focus在如何解决问题:近日，BeWater DevCon 2022 全球开发者大会在硅谷湾区成功举办，来自Polychain Capital, Uphonest Capital, DFG Capital, Foresight Ventures的嘉宾进行了圆桌讨论，围绕“VC如何在熊市中投资和支持Builders”。Polychain Capital的Jacob Philips表示，目前行业内是一个沉淀期，builders 应该更多去focus在如何解决问题。Uphonest Capital的KJ表示，VC应该作为共同创业的伙伴，而不仅仅是投资就不管事儿了。DFG Capital的Joanna表示，这个熊市的基本面已经和18年19年的熊市大不一样，基础设施得到大量发展，让大家多多探索

Foresight Ventures的Suning表示，builder可以在熊市多做一些新尝试，比如在开发语言方面，尝试Move或Cairo，探索全新生态的可能性。同时作为Foresight Ventures也会更多关注真正颠覆性的创新，以及围绕DAO或者NFT等的crypto-native的文化发展。[2022/6/24 1:29:46]

这些被盗的隐私数据即使不包含关键的私钥或者密码信息，也非常有可能被应用到社会工程学，实施绑架、勒索、。

亿优优创始人昀序：区块链如何与金融正确联系值得我们深思:金色财经现场报道，9月20日，由金色财经主办，水桥区块链总冠名的“共为·创业者大会”在厦门举办。在主题为《区块链力量：创业、创新与创造》的圆桌环节，亿优优创始人昀序表示，区块链会改变未来，但并不是唯一改变未来的技术，区块链技术会为未来的数字化社会做出一定的贡献。区块链跟金融行业正确联系才是我们要深思的。目前区块链技术还是处于萌芽状态，各自摸索，互不兼容，也存在跨链的问题。从整个战略方面来说，很多企业在五、六年之前就在布局区块链技术了，只是他们没有过重的把TOKEN与技术结合，区块链需要真实用技术去展示和应用。[2020/9/20]

版本升级：这是不是官方升级提示？不升级有什么影响？升级前需要备份什么？

Electrum钱包就遭受过持续性钓鱼攻击。黑客利用旧版本的漏洞，给用户发送升级提示，诱导用户升级到“携带后门”的客户端后，窃取私钥。

首先，肯定是鼓励大家持续升级的，新版本通常会包含：新功能，体验优化，修复bug。但是，升级前请务必检查：①升级包是否来自官方；②私钥/钱包文件是否已备份。

钱包文件备份：文件是什么内容？如果是私钥，触过网吗？触过网后还安全吗？

还是以Electrum钱包为例，创建新钱包，会生成一个WIF私钥文件。这个私钥文件会被用户自定义的密码加密。

私钥就是资产所有权，即使被攻击，只要私钥没泄露就还有可能保住资产。对于PC端保存的私钥文件，有以下三种主流攻击方式：

■?木马程序窃取私钥文件+诱导用户输密码/暴力破解密码

■?木马程序/蠕虫病恶意加密+勒索赎金

■?直接损坏私钥文件或者电脑设备

那么，实现上述攻击的路径又有哪些呢？

■?钓鱼网站/钓鱼邮件

在浏览网页和查看邮件时，一个简单的点击动作就足已中招，木马/病在不被察觉的情况下已下载运行。

现在很多重视安全的企业都会实行随机内部演练，运维工程师和一级部门负责人也会上中招名单——安全意识再强，也会有翻车的时候。

■?USB设备

所有USB设备都有一个微控制器芯片，可以被重新编程固件或写入恶意代码。

常规攻击路径：

①准备一个可以被重新编程的USB设备，成本20不到

②植入恶意代码

③插入电脑，恶意代码自动执行

USB攻击还包括利用USB协议/标准与操作系统交互中的漏洞实施攻击，如掌柜之前提到过的冷启动攻击。

冷启动攻击-demo

还有一种更为极端的情况：USB电气攻击，插入电脑后可触发电力超载，对设备造成永久性破坏。

交易签名：收币地址会不会被替换？签名的时候密码会不会被偷窥？

综上，下载到山寨客户端，收币地址被替换的可能性存在；恶意程序可以实现远程监控键盘输入或摄像头，密码也存在被偷窥的风险。

简单总结：了解攻击面-->建立安全意识-->敏感操作保持怀疑态度。

掌柜会坚持督促大家学习，用知识武装自己的数字资产。因为，最终资产安全的程度取决于你的安全知识，而不是使用了多么硬核的钱包工具。

头图byNeONBRANDonUnsplash

标签：ELECECTECTRELEelectronicmediaElectroneumDefiskeletons

AVAX热门资讯