ข้อจำกัดความรับผิดชอบ

คู่มือนี้ไม่สามารถรับประกันอะไรได้และไม่ได้เขียนจากมุมมองของผู้เชี่ยวชาญด้านคริปโตหรือความมั่นคงปลอดภัย

เป็นผลสรุปของการเรียนรู้ต่อเนื่องจากแหล่งข้อมูลต่าง ๆ และประสบการณ์ส่วนตัว

ตัวอย่างเช่น ฉันเองก็ถูกโกงผ่าน FOMO และความโลภไปเมื่อต้น (โปรแกรมปลอมการสตรีมสดและโปรแกรมปลอมบอท MEV) เข้าสู่พื้นที่นี้ดังนั้นฉันใช้เวลาในการเรียนรู้ ตั้งค่าและเข้าใจเกี่ยวกับความปลอดภัยอย่างจริงจัง

อย่าเป็นคนที่ถูกบังคับให้เรียนรู้เกี่ยวกับความปลอดภัยเพราะคุณสูญเสียทุกอย่างหรือจำนวนเงินที่เจ็บปวดอย่างใหญ่

HACK หรือข้อผิดพลาดของผู้ใช้?

การเจาะคลังเหรียญ/โทเค็น/NFT ทุกประเภทหรือการละเมิดความปลอดภัยโดยรวมแบ่งออกเป็นสองหมวดหมู่หลัก ๆ

1. การใช้งานสิทธิ์การอนุมัติโทเค็นที่ได้รับไว้ก่อนหน้านี้

2. การคัดค้านคีย์ส่วนตัว / วลีเมล็ดพันธุ์ (โดยปกติจะเกิดขึ้นกับกระเป๋าเงินร้อน)

การอนุมัติโทเค็น

การอนุญาตโทเค็นเป็นสิ่งที่สำคัญที่สุดคือการอนุญาตให้สมาร์ทคอนแทรกต์เข้าถึงและย้ายประเภทหรือปริมาณของโทเค็นเฉพาะจากกระเป๋าเงินของคุณ

ตัวอย่างเช่น:

1. ให้ OpenSea ได้รับอนุญาตให้ย้าย NFT ของคุณเพื่อคุณสามารถขายได้
2. การให้สิทธิให้ Uniswap เข้าถึงโทเค็นของคุณเพื่อทำการสวอพ
   \
   หากคุณต้องการอ่านข้อมูลพื้นหลังเพิ่มเติมเกี่ยวกับการอนุมัติโทเค็นคุณสามารถอ่านกระทู้นี้ที่นี่.

สำหรับบางส่วนก่อนหน้านี้ พื้นฐานทั้งหมดบนเครือข่าย Ethereum, ยกเว้น ETH เป็น ERC-20 โทเค็น

หนึ่งในคุณสมบัติของ ERC-20 คือความสามารถในการให้สิทธิ์การอนุมัติให้สัญญาฉลากอัจฉริยะอื่น

การอนุมัติเหล่านี้จําเป็นในบางจุดหากคุณต้องการทําการโต้ตอบ DeFi หลักเช่นการแลกเปลี่ยนหรือโทเค็นบริดจ์

NFTs ตามลำดับคือโทเคน ERC-721 และ 1155; กลไกการอนุมัติของพวกเขาทำงานในลักษณะที่เหมือนกับ ERC-20 แต่สำหรับตลาด NFT

คำแนะนำการอนุมัติโทเค็นเริ่มต้นจาก MetaMask (MM) ให้คุณข้อมูลหลายอย่าง แต่สำคัญที่สุดคือ:

• โทเค็นที่คุณกำลังให้การอนุมัติ

• เว็บไซต์ที่คุณกำลังปฏิสัมพันธ์กับ

• สัญญาอัจฉริยะที่คุณกำลังโต้ตอบ

• ความสามารถในการแก้ไขปริมาณสิทธิการใช้งานโทเค็น

ในเมนูดรอปดาวน์เต็มรายละเอียดเราจะเห็นข้อมูลเพิ่มเติมอีกหนึ่งส่วน: ฟังก์ชันการอนุมัติ

โทเค็น ERC-20 ทั้งหมดต้องมีลักษณะและคุณสมบัติบางประการตามที่ระบุไว้ในมาตรฐาน ERC-20

หนึ่งในนั้นคือความสามารถของสมาร์ทคอนแทรกที่จะย้ายโทเค็นโดยขึ้นอนุมัติจำนวน

อันตรายในการอนุญาตเหล่านี้คือหากคุณให้สิทธิ์ให้โทเค็นที่อนุญาตแก่สัญญาอัจฉริยะที่เป็นอันตรายคุณอาจมีทรัพย์สินถูกขโมย / รั่วไหล

การอนุมัติขอบเขตที่ไม่จำกัด กับการอนุมัติขอบเขตที่กำหนดเอง (ERC-20 โทเคน)

แอป DeFi มากมายจะแสดงข้อความขออนุญาตไม่จำกัดสำหรับโทเค็น ERC20 ตามค่าเริ่มต้น

นี่เพื่อปรับปรุงประสบการณ์ของผู้ใช้ เนื่องจากมีความสะดวกสบายมากขึ้น เนื่องจากไม่ต้องขออนุมัติในอนาคตที่อาจจะต้องใช้เวลาและค่าธรรมเนียมในการเคลื่อนไหว

ทำไมสิ่งนี้สำคัญ?

การอนุญาตให้มีการอนุมัติสำหรับจำนวนโทเค็นที่ไม่จำกัด อาจทำให้เงินของคุณเสี่ยง

การแก้ไขการอนุมัติโทเค็นด้วยตนเองเป็นจำนวนที่เฉพาะเพื่อตั้งค่าจำนวนสูงสุดของโทเค็นที่ dApp ได้รับการอนุมัติให้ย้ายจนกว่าจะมีการอนุมัติเพิ่มเป็นจำนวนที่ใหญ่กว่า

นี้จำกัดความเสี่ยงด้านล่างของคุณหากสัญญาอัจฉริยะนั้นถูกใช้ประโยชน์ หากมีการใช้ประโยชน์ใน dApp ที่คุณได้ให้การอนุมัติไว้ไม่จำกัด คุณก็อยู่ในอันตรายที่จะสูญเสียเหรียญที่ได้รับการอนุมัติทั้งหมดจากกระเป๋าสตางค์ที่เก็บสินทรัพย์เหล่านั้นและให้การอนุมัติ

ดูMultichain WETH (WETH is a ERC-20 token wrapper of ETH) exploitเป็นตัวอย่าง

สะพานที่ใช้กันอย่างแพร่หลายนี้ถูกนำมาใช้ประโยชน์อย่างรุนแรงโดยการละเมิดสิทธิ์ในการใช้โทเค็นที่ไม่จำกัดในอดีตเพื่อเอาเงินจากผู้ใช้

ตัวอย่าง (โดยใช้กระเป๋าเงิน Zerion) การเปลี่ยนจากการอนุมัติไม่ จำกัด ไปสู่การอนุมัติด้วยมือ

การอนุมัติ NFT

“setApprovalForAll” สำหรับ NFTs

นี่คือการอนุมัติที่ใช้กันอย่างแพร่หลาย แต่อาจเป็นอันตรายโดยทั่วไปที่ให้ไว้วางใจให้กับตลาด NFT ที่เมื่อคุณต้องการขาย NFT ของคุณ

นี้ช่วยให้ NFT สามารถถูกโอนไปยังสัญญาอัจฉริยะของตลาด ดังนั้นเมื่อคุณขาย NFT ให้กับผู้ซื้อ สัญญาอัจฉริยะของตลาดนั้นสามารถย้าย NFT ไปยังผู้ซื้อโดยอัตโนมัติ

การอนุญาตนี้ให้เข้าถึงโทเค็น NFT ทั้งหมดจากที่อยู่สำหรับการเก็บรวบรวม/สัญญาที่ระบุ

นอกจากนี้ยังสามารถใช้โดยเว็บไซต์/สัญญาที่เป็นอันตรายเพื่อขโมย NFT ของคุณ

ตัวอย่างของผู้ประสงค์ร้ายที่ละเมิด "SETAPPROVALFORALL"

การถ่ายโอนกระเป๋าเงินแบบ 'wallet drain' สำหรับสถานการณ์ FOMO ฟรีมิ้นต์สามารถทำได้ดังนี้:

ผู้ใช้ไปยังเว็บไซต์ที่เป็นอันตรายที่พวกเขาเชื่อว่าเป็นถูกต้อง

เมื่อพวกเขาเชื่อมต่อกระเป๋าเงินของพวกเขากับเว็บไซต์ แต่ละเว็บไซต์สามารถเห็นเนื้อหาของกระเป๋าเงินเท่านั้น

อย่างไรก็ตามพวกเขาใช้สิ่งนี้ในการสแกนกระเป๋าเงินเพื่อหา NFT มูลค่าสูงสุด และกระตุ้น 'ตั้งค่าการอนุมัติทั้งหมด' จาก MM สำหรับที่อยู่สัญญาสำหรับ NFT นี้

ผู้ใช้คิดว่าพวกเขากำลังเหรียญ แต่พวกเขากำลังให้การอนุมัติสัญญาที่ไม่ดีเพื่อย้ายเหรียญเหล่านั้น

Scammer จากนั้นขโมยโทเคนและขายออกเป็น Open OS หรือ Blur bids ก่อนที่สิ่งของจะถูกทำเครื่องหมายว่าถูกขโมย

ลายเซ็น VS การอนุมัติ

การอนุมัติจำเป็นต้องใช้ก๊าซเนื่องจากพวกเขากำลังประมวลผลธุรกรรม

ลายเซ็นไม่ใช้แก๊สและถูกใช้บ่อยเพื่อเซ็นต์เข้าสู่ dApps เพื่อพิสูจน์ว่าคุณควบคุมกระเป๋าเงินที่เกี่ยวข้อง

โดยทั่วไปลายเซ็นเป็นการดําเนินการที่มีความเสี่ยงต่ํากว่า แต่ยังคงสามารถใช้เพื่อใช้ประโยชน์จากการอนุมัติที่ให้ไว้ก่อนหน้านี้สําหรับไซต์ที่เชื่อถือได้เช่น OpenSea

ยังสามารถแก้ไขการอนุญาตของคุณได้ (สำหรับ ERC-20s) ด้วยลายเซ็นเฉพาะรายที่เกิดจากการใช้ฟังก์ชันการอนุญาตที่เพิ่งเสนอให้ใช้งานใน ETH

สามารถเห็นได้ถ้าคุณใช้ DEX เช่น 1inch

การอ่านข้อความนี้อย่างละเอียดมากที่นี่.

การอนุมัติโทเค็น

ระมัดระวังเมื่อคุณให้การอนุมัติใด ๆ ให้แน่ใจว่าคุณรู้ว่าคุณกำลังให้การอนุมัติสำหรับโทเค็นอะไรและสำหรับสัญญาอัจฉริยะใด (ใช้ etherscan.)

จำกัดความเสี่ยงของคุณในการอนุมัติ:

1. ใช้กระเป๋าเงินหลายอัน (การอนุมัติเฉพาะกระเป๋าเงิน) - อย่าเซ็นต์การอนุมัติสำหรับกระเป๋าเงินที่มีค่าสูง/คลังข้อมูลของคุณ
2. ในที่สุดลดหรือหลีกเลี่ยงการอนุญาตไม่จำกัดสำหรับ ERC-20 ให้เต็มที่
3. ตรวจสอบและยกเลิกการอนุมัติเป็นระยะ ๆ ผ่าน etherscan หรือ revoke.cash

Revoke.cashเป็นเว็บไซต์ที่ช่วยให้คุณยกเลิกการอนุมัติโทเค็นต่าง ๆ ได้อย่างง่ายดาย

กระเป๋าเก็บเงิน Hardware/Cold Wallets

กระเป๋าเงินร้อนเชื่อมต่อกับอินเทอร์เน็ตผ่านคอมพิวเตอร์หรือโทรศัพท์ของคุณ ข้อมูลรับรองคีย์/กระเป๋าเงินจะถูกเก็บไว้ทางออนไลน์หรือในเบราว์เซอร์ของคุณ

Cold wallets เป็นอุปกรณ์ฮาร์ดแวร์ที่สร้างและเก็บรักษาคีย์แบบ PURELY แบบออฟไลน์และอยู่ใกล้กับคุณทางกายภาพ

มองว่าเมื่อคุณมีทรัพย์สินคริปโตมากกว่า 1000 ดอลลาร์ คุณควรจะซื้อและติดตั้ง Ledger ซึ่งมีราคาประมาณ 120 ดอลลาร์ คุณสามารถเชื่อมต่อกระเป๋าเงิน Ledger ของคุณกับ MM ได้ (ไม่ใช้การนำเข้า) เพื่อให้มีฟังก์ชั่นเดียวกับกระเป๋าเงินร้อนอื่น ๆ พร้อมรักษาระดับความปลอดภัย

Ledger และ Trezor เป็นที่นิยมที่สุด ฉันชอบ Ledger เพราะว่าเข้ากันได้มากที่สุดกับกระเป๋าเว็บเบราว์เซอร์ (เช่น Rabby และ MM)

หลักธรรมบัญญัติที่ดีที่สุดเมื่อซื้อเลเจอร์

ซื้อเสมอจากเว็บไซต์ผู้ผลิตอย่างเป็นทางการ อย่าซื้อใน Ebay หรือ Amazon = อาจจะถูกบุกรุก / มัลแวร์ที่ถูกโปรแกรมล่วงหน้า

ตรวจสอบให้แน่ใจว่าบรรจุภัณฑ์ถูกปิดกันแน่นหน้าที่คุณได้รับสินค้า

เมื่อคุณตั้งค่าสมุดบัญชีครั้งแรก จะสร้าง seed phrase

เขียนเมล็ดพันธุ์ไว้เฉพาะบนกระดาษที่เป็นวัสดุที่มีจริง หรือบนแผ่นเหล็กในอนาคตเพื่อให้ว่าเมล็ดพันธุ์ของคุณทนได้กับไฟและน้ำ

ไม่เคยถ่ายรูปหรือพิมพ์คำศัพท์ลงในแป้นพิมพ์ใด ๆ (รวมถึงโทรศัพท์) นี้ = การทำให้คำศัพท์เป็นตัวเลขและ “กระเป๋าเงิน” ของคุณจะกลายเป็น “กระเป๋าเงิน” ที่ไม่ปลอดภัยแล้ว

คริปโตไม่ได้เก็บไว้บนฮาร์ดแวร์วอลเล็ตโดยตรง แต่อยู่ภายในวอลเล็ตที่สร้างขึ้นโดย Seed Phrase

คำอธิบายเมล็ดพันธุ์ (12-24 คำ) คือ ทุกอย่าง จะต้องรักษา/ป้องกันดูแลให้ดีที่สุด

มันให้ควบคุม/เข้าถึงทั้งหมดของกระเป๋าเงินที่สร้างขึ้นภายใต้วลีพันธุ์เมล็ดพันธุ์นั้น

เมล็ดพันธุ์ไม่เฉพาะอุปกรณ์ คุณสามารถ "นำเข้า" ลงในกระเป๋าเงินฮาร์ดแวร์อื่นเป็นการสำรองได้หากจำเป็น

หากเมล็ดพันธุ์สูญหาย/ถูกทําลายและกระเป๋าเงินฮาร์ดแวร์ดั้งเดิมสูญหาย/ถูกทําลาย/ถูกล็อค = สูญเสียการเข้าถึงทรัพย์สินทั้งหมดของคุณอย่างถาวร

มีระดับต่าง ๆ ของการเก็บเมล็ดพันธุ์ เช่น การแบ่งออกเป็นหลาย ๆ ส่วน เพิ่มระยะทางทางกายภาพระหว่างส่วน จัดเก็บไว้ในที่ที่ไม่ชัดเจน (กระป๋องอาหารที่มีอยู่ที่ด้านล่างของตู้แช่แข็ง, ใต้ดินที่บริเวณที่ดินของคุณ, เป็นต้น)

อย่างน้อยที่สุดควรมีอย่างน้อย 2-3 สำเนา โดยมีหนึ่งสำเนาบนเหล็กเพื่อป้องกันน้ำและไฟ

“คีย์ส่วนตัว” เป็นเหมือนวลีเมล็ดพันธุ์ แต่เฉพาะกระเป๋าเงิน 1 กระเป๋าเท่านั้น มักใช้สำหรับนำเข้ากระเป๋าเงินร้อนเข้าสู่บัญชี MM ใหม่หรือในเครื่องมืออัตโนมัติ เช่นบอทการซื้อขาย

คําที่ 25 - บัญชีแยกประเภท

นอกจากคำเมล็ดเดิม 24 คำ แล้ว Ledger ยังมีคุณลักษณะความปลอดภัยเพิ่มเติมที่เป็นทางเลือก

The คำผ่าน เป็นคุณสมบัติขั้นสูงที่เพิ่มคําที่ 25 ที่คุณเลือกสูงสุด 100 อักขระลงในวลีการกู้คืนของคุณ

การใช้วลีความลับจะทำให้เกิดชุดของที่อยู่ที่แตกต่างอย่างสิ้นเชิงซึ่งไม่สามารถเข้าถึงได้ผ่านวลีการกู้คืน 24 คำพูดเท่านั้น

นอกเหนือจากการเพิ่มชั้นอื่น ๆ รหัสผ่านยังทำให้คุณสามารถปฏิเสธได้เมื่ออยู่ภายใต้ความกดดัน

หากใช้ พาสเฟรส, สำคัญที่จะเก็บไว้อย่างปลอดภัยหรือจดจำไว้อย่างถูกต้อง ตัวอักษรต่อตัวอักษรและเป็นกรณีที่สำคัญ

นี่เป็นการป้องกันครั้งสุดท้ายและเพียงอย่างเดียวสำหรับสถานการณ์ 'การโจรกรรมด้วยกระบองซึ่งมีมูลค่า 5 ดอลลาร์' ที่คุณถูกข่มขู่ทางกายภาพ

ทำไมต้องผ่านขั้นตอนทั้งหมดนี้เพื่อตั้งค่ากระเป๋าเงินฮาร์ดแวร์?

กระเป๋าเงินร้อนเก็บคีย์ส่วนตัวในที่ตั้งที่เชื่อมต่อกับอินเทอร์เน็ต

มันดูเหมือนง่ายมากที่จะถูกหลอกลวงและถูกควบคุมให้เปิดเผยข้อมูลเข้าสู่ระบบผ่านอินเทอร์เน็ต

การมีกระเป๋าเงินเย็นหมายความว่านักต้มตุ๋นจะต้องค้นหาและนําบัญชีแยกประเภทหรือเมล็ดพันธุ์ของคุณเพื่อเข้าถึงกระเป๋าเงินและทรัพย์สินเหล่านั้นภายในนั้น

เมล็ดพันธุ์ที่ถูกบุกรุก = กระเป๋าเงินร้อนและสินทรัพย์ทั้งหมดภายในมีความเสี่ยงแม้กระทั่งผู้ที่ไม่ได้โต้ตอบกับไซต์ / สัญญาที่เป็นอันตราย

วิธีทั่วไปในอดีตผู้คนถูก "แฮ็ก"

วิธีที่พบบ่อยในอดีตที่คนถูก "hack" (การคัดค้านวลี) ผ่านกระเป๋าสตางค์ร้อน

1. หลอกลวงให้ดาวน์โหลดมัลแวร์ผ่าน PDF ของข้อเสนองาน, เกม "ทดสอบช่วงเบต้า", การเรียกใช้แมโครผ่าน Google Sheets, การลอกเลียนแบบเว็บไซต์และบริการที่ถูกต้อง

2. การติดต่อกับสัญญาที่ไม่ดี: การสร้าง FOMO จากเว็บไซต์เลียนแบบ การติดต่อกับสัญญาจาก NFT ที่ได้รับแจกฟรี/รับมาจากที่ไม่ทราบ

3. การแทรกหรือส่งคีย์และเมล็ดพันธุ์ไปยัง "ฝ่ายสนับสนุนลูกค้า" หรือโปรแกรม/แบบฟอร์มที่เกี่ยวข้อง

ตัวอย่างและการแยกวิเคราะห์ของ 'HACKS' ที่มีระดับสูง

Kevin Rose: ไปเพื่อสร้างคอลเลกชัน (อาร์ตบล็อก), เซ็นสัญญาณ txn (ไม่มีเกส) คิดว่าเขาเพียงแค่เข้าสู่ไซต์มินต์เท่านั้น

แต่ Seaport (สัญญาตลาด OpenSea ใหม่) ช่วยให้คุณสามารถสร้างคำสั่งที่กำหนดเองซึ่งคุณจะสามารถยอมรับได้ด้วยลายเซ็นเพียงอย่างเดียว

เนื่องจาก Kevin ได้มอบอนุญาตสำหรับสินทรัพย์ของเขาให้กับสัญญา OpenSea แล้ว แฮกเกอร์ได้หลอกเขาให้เซ็นต์ลายเซ็นที่ทำให้สอดคล้องกับคำสั่งที่กำหนดเองในการขาย NFT ที่มีราคาแพงของ Kevin ทั้งหมดให้แฮกเกอร์ฟรี / ~ $ 1

ข้อสรุปสำคัญ:

ลายเซ็น cŏm cŏn มิส ŷak แบบที่พวกเขานำมาใช้เพื่อใช้ประโยชน์จากการอนุมัติที่ได้รับไว้ก่อนหน้านี้ แม้ว่าการอนุมัตินั้นจะได้รับจากแหล่งที่เชื่อถือได้

ไม่ต้องเซ็นการอนุมัติ OpenSea (OS) บนเว็บไซต์ที่แตกต่างจาก OS โดยไม่ต้องมีการปฏิสัมพันธ์กับสัญญาหรือเว็บไซต์หากคุณมีกระเป๋าเงิน “grail/main vault” ให้ส่งไปยังกระเป๋าเงินตัวกลางก่อนแล้วจึงทำการปฏิสัมพันธ์

NFT_GOD: ใช้ตัวเลือกนำเข้าบัญชี (ตรงกับตัวเลือกเพิ่มกระเป๋าฮาร์ดแวร์) ของ MetaMask และพิมพ์วลีเมล็ดพันธุ์ของเขาใน MetaMask เมื่อตั้งค่าเลดเจอร์ของเขา

สิ่งนี้เปลี่ยนกระเป๋าเงินเย็นของเขาให้กลายเป็นกระเป๋าเงินร้อนได้อย่างมีประสิทธิภาพจํากฎทองก่อนหน้านี้ที่จะไม่แปลงวลีเมล็ดพันธุ์ของคุณให้เป็นดิจิทัล

เขาดูเหมือนจะดาวน์โหลด OBS ปลอม (ซอฟต์แวร์บันทึก) ที่ชื่อ ODS ซึ่งได้รับการส่งเสริมในรูปแบบโฆษณาที่อยู่ที่ด้านบนของการค้นหา Google

นี่เป็นมัลแวร์ดังนั้นมันขโมยวลีเซ็ดแล้วขโมยทรัพย์สินทั้งหมดในกระเป๋าเงินร้อนและดังนั้นยังเป็นกระเป๋าเงินเย็นของเขาด้วย

ข้อคิดหลัก:

อย่า 'ดิจิไทซ์' วลเสนอว่าท่านให้พิมพ์วลเลขลับของท่านในรูปแบบใดๆ หรือนำไปถ่ายรูป (การสำรองข้อมูลอัตโนมัติไปยังบริการคลาวด์ก็ทำให้ข้อมูลถูกบุกรุกได้)

คำประกาศ：

1. บทความนี้ถูกพิมพ์ซ้ำจาก[คนวงในที่ลึกซึ้ง], Forward the Original Title‘How To Never Get Rugged In Crypto Again’, All copyrights belong to the original author [INSIGHTFUL]. หากมีการคัดค้านการพิมพ์ซ้ํานี้โปรดติดต่อ เกต เรียนทีมงานและพวกเขาจะจัดการด้วยความรวดเร็ว

2. ข้อความประกาศความรับผิดชอบ: มุมมองและความคิดเห็นที่แสดงในบทความนี้เป็นไปตามของผู้เขียนเท่านั้น และไม่เป็นการให้คำแนะนำในการลงทุนใด ๆ

3. การแปลบทความเป็นภาษาอื่น ๆ ถูกดำเนินการโดยทีม Gate Learn หากไม่ได้กล่าวถึงการคัดลอก การแจกจ่าย หรือการลอกเลียนบทความที่ถูกแปล นั้นถือเป็นการละเมิดกฎหมาย