如何再也不在加密貨幣中被搞翻
免責聲明
這個指南不能保證任何事情,也不是從“加密貨幣或網絡安全專家”的角度撰寫的。
這是從多方面持續學習和個人經驗的結晶。
例如,我自己很早就因為FOMO和貪婪而被騙(假直播詐騙和假MEV機器人詐騙),所以我花了時間認真學習、設置和了解安全性。
不要成為那個因為失去所有或痛苦的巨額而被迫學習安全的人。
駭客或用戶錯誤?
所有類型的錢包/代幣/NFT“黑客”或妥協大致分為兩類:
先前授予的代幣批准濫用。
私鑰/種子密語被犯罪分子盜取(通常發生在線上熱錢包)。
TOKEN APPROVALS
代幣授權基本上是一個智能合約訪問並移動您錢包中特定類型或金額的代幣的權限。
例如:
- 授權 OpenSea 移動您的 NFT 以便您可以出售它。
- 授權Uniswap使用您的代幣以進行交換。
\
如果您想要關於代幣批准的更多背景閱讀,你可以在這裡閱讀這個帖子.
對於一些先前的背景,基本上以太坊網絡上的所有東西,除了 ETH 之外,都是 ERC-20 代幣。
ERC-20 代幣之一的特性是能夠向其他智能合約授權許可權。
如果您希望進行核心 DeFi 互操作,比如交換或橋接代幣,則在某個時候需要進行這些批准。
NFTs 分別是 ERC-721 和 1155 代幣;它們的批准機制與 ERC-20 相似,但適用於 NFT 市場。
MetaMask(MM)的初始令牌批准提示提供了一些信息,但最重要的是:
您正在授權的代幣
你正在互動的網站
您正在交互的智能合約
編輯代幣權限金額的能力
在完整的詳細資料下拉菜單中,我們看到了另外一個資訊:批准功能。
所有ERC-20代幣必須具備ERC-20標準所概述的特定特性和屬性。
其中之一是智能合約根據批准的金額移動代幣的能力。
這些批准的危險在於,如果您授予代幣權限給一個惡意的智能合約,您的資產可能會被盜竊/流失。
無限制 vs 自訂限制批准 (ERC-20 代幣)
許多 DeFi 應用程式將默認提示無限制地批准 ERC20 代幣。
這樣可以提高用戶體驗,因為它更方便,不需要未來的潛在批准,從而節省時間和燃氣費用。
為什麼這很重要?
允許無限量代幣的批准可能會使您的資金面臨風險。
手動編輯代幣批准為特定金額會將批准的dApp可以移動的最大代幣數量設置為另一個金額被簽署以供更大數量的批准之前。
如果該智能合約被利用,這將限制您的下行風險。如果一個 dApp 存在漏洞,而您已經為其授權無限批准,那麼您就有可能失去該錢包中持有的並已授權的所有代幣。
看到Multichain WETH(WETH是ETH的ERC-20代幣封裝)漏洞作為一個例子。
利用过去的无限代币权限,滥用这个常用的桥梁从用户那里取走资金。
一個使用Zerion錢包的例子,從預設的無限批准更改為手動批准。
NFT 批准
針對NFT設置“setApprovalForAll”
這是一個常用的,但潛在危險的批准,通常授予信任的NFT市場,當您想要出售您的NFT時。
這使得NFT可以通過市場的智能合約進行轉讓。因此,當您向買家出售NFT時,該市場的智能合約可以自動將NFT移交給買家。
此批准授予對特定收藏/合約地址的所有NFT代幣的訪問權限。
這也可以被惡意的網站/智能合約用來竊取你的NFT。
惡意行為者濫用“SETAPPROVALFORALL”的示例
一個典型的無畏的錢包耗盡的情況如下:
使用者前往他們認為是合法的惡意網站。
當他們將錢包連接到網站時,網站只能看到錢包的內容。
然而,他們使用這個功能來掃描錢包中價值最高的NFT,並提示MM為該NFT的合約地址設置批准權限。
使用者認為他們在鑄造代幣,但實際上是授權惡意合約移動這些代幣。
詐騙者然後偷取代幣,並在物品被標記為被盜之前將其清算為開放式OS或模糊出價。
簽名 vs 批准
批准需要燃氣,因為它們正在處理交易。
簽名是無需燃氣的,經常用於登錄 dApps 以證明您控制該相應的錢包。
簽名通常是較低風險的操作,但仍可用於利用先前授權給類似OpenSea之受信任網站的批准。
(對於ERC-20)由於准許函數最近在ETH上引入,也可以使用無需燃氣簽名來修改您的批准。
如果您使用像1inch這樣的DEX,就可以看到這一點。
更詳細閱讀此內容這裡.
TOKEN APPROVALS TAKEAWAYS 加密貨幣
在給予任何批准時要謹慎,確保您知道為哪些代幣給予批准,並知道批准給哪個智能合約(使用 etherscan)。
將您的風險限制在批准範圍內:
- 使用多個錢包(批准是錢包特定的)- 不要為您的保險庫/高價值錢包簽署批准。
- 理想情況下,減少或完全避免對ERC-20代幣授予無限制的批准。
- 定期檢查並撤銷授權,通過 etherscan 或 revoke.cash。
Revoke.cash是一個讓你輕鬆撤銷各種代幣授權的網站。
硬體/冷錢包
熱錢包通過您的電腦或手機連接到互聯網。 金鑰/錢包憑證存儲在線上或在您的瀏覽器中。
冷錢包是硬體設備,密鑰在完全離線並且身體附近生成和存儲。
考慮到一個記帳本大約是120美元,如果您在加密貨幣資產中擁有1000美元以上,您可能應該購買並設置一個記帳本。您可以將您的記帳本錢包連接(而不是導入)到您的MM中,以便在保持一定安全水平的同時,具有與另一個熱錢包相同的功能。
Ledger和Trezor是最受歡迎的。我喜歡Ledger,因為它與瀏覽器錢包(類似於Rabby和MM)最兼容。
購買Ledger時的最佳實踐
請務必從官方製造商網站購買,不要在Ebay或Amazon購買=可能存在被入侵/預裝惡意軟件。
收到物品時,請確保包裝完好無損。
當您第一次設置帳本時,它將生成一個種子詞語。
只有將種子寫在實體紙上,或者在未來的某個日期上寫在鋼板上,以確保您的種子短語是防火防水的。
永遠不要拍照或在任何形式的鍵盤(包括手機)上輸入種子,這將使種子數位化,您的“冷”錢包現在變成了不安全的“熱”錢包。
加密貨幣並未完全存儲在硬件錢包上,而是存儲在種子短語生成的錢包“內部”。
種子短語(12-24個單詞)是一切,必須不惜一切代價保護/確保。
它可以完全控制/訪問該種子密語生成的所有錢包。
種子與設備無關,如果需要,您可以將其“匯入”到另一個硬件錢包中作為備份。
如果種子遺失/毀損且原始硬體錢包丟失/毀損/被鎖定= 永久失去訪問您所有資產的權限。
種子級存儲有各種級別,例如分割成多個部分,增加部分之間的物理距離,在不明顯的地方存儲(例如在冰箱底部的湯罐中,地下的物業某處等)
最少應該有2-3份副本,其中一份應該放在鋼制物上以保護不受水和火損害。
“私钥”类似于种子短语,但仅适用于1个特定钱包。通常用于将热钱包导入新的MM帐户或在交易机器人等自动化工具中使用。
第25個單詞 - 分類帳
除了原始的24個單詞種子外,Ledger還有一個可選的額外安全功能。
這 口令是一項先進的功能,它可以將您選擇的最多100個字符的第25個單詞添加到您的恢復短語中。
使用密語將導致創建一組完全不同的地址,僅通過24個單詞的恢復短語無法訪問。
除了增加另一層外,口令還可以在遭受壓力時給你可信的否認。
如果使用口令短語,很重要的是要安全地存儲它或完美地記住每個字符和大小寫。
這是唯一且最後的防禦,可以應對“5英鎊扳手攻擊”的情況,其中你在身體上受到威脅。
為什麼要通過所有這些摩擦來設置硬體錢包?
熱錢包將私鑰存儲在連接到互聯網的位置。
在互聯網上被欺騙、愚弄和操縱而透露這些憑證是一件令人措手不及的容易事。
擁有一個冷錢包意味著詐騙者需要物理上找到並拿走你的總帳或種子才能取得這些錢包和其中的資產。
種子被破解=所有熱錢包和其中的資產都有風險,即使那些沒有與惡意網站/合約互動的資產也是如此。
過去人們被“盜”的常見方式
過去人們被“駭客”(種子短語被破壞)通過熱錢包的常見方式。
通過工作職位PDF檔案中的惡意軟件、“測試版測試”遊戲、通過Google表格運行巨集、模仿合法網站和服務而被欺騙下載惡意軟件。
與惡意合約互動:從模仿站點的FOMO鑄幣,與來自未知空投/收到的NFT合約互動。
將鑰匙和種子插入或發送至“客戶支援”或相關計劃/表單。
高調‘駭客’的例子和分析
Kevin Rose:去鑄造一個收藏品(art block),簽署了一筆簽名交易(無Gas),以為自己只是在登錄鑄造網站。
但是Seaport(新的OpenSea市場合同)允許您創建自定義訂單,然後只需簽名即可接受。
由於凱文已經將他的資產授權給OpenSea合約,駭客欺騙他簽署了一個滿足定制訂單的簽名,以免費/~1美元的價格將凱文的所有昂貴NFT出售給駭客。
重點摘要:
簽名如果利用先前授權的批准,甚至是對可信任來源的批准,也可能被濫用。
在OpenSea(OS)之外的網站上不要簽署授權,如果您有一個“聖杯/主保險庫”錢包,不要與合約或網站互動,將其發送到中間錢包,然後進行互動。
NFT_GOD:在設置他的Ledger時,使用了MetaMask的導入帳戶(與添加硬體錢包相對)選項,並在MetaMask中輸入了他的種子短語。
這有效地將他的冷錢包變成了熱錢包- 請記住以前的黃金法則,永遠不要將您的種子短語數字化。
然後他顯然下載了一個假的OBS(錄音軟件),這個軟件在谷歌搜索的頂部被推廣為廣告。
這是惡意軟件,所以它偷了種子短語,然后偷了他所有熱錢包中的資產,也偷了他的冷錢包中的資產。
要點:
永遠不要以任何方式“數字化”您的種子短語=將其輸入任何形式的鍵盤(包括手機)或拍照(自動備份到雲服務也會危害人們)。
免責聲明:
相關文章
如何質押 ETH?
如何再也不在加密貨幣中被搞翻
黑客還是使用者錯誤?
UNLIMITED VS CUSTOM LIMIT APPROVALS (ERC-20 TOKENS)
為什麼這很重要?
NFT批准
惡意行為者濫用“SETAPPROVALFORALL”的示例
簽名 vs 批准
TOKEN APPROVALS TAKEAWAYS
硬件/冷錢包
購買Ledger時的最佳實踐
THE 25TH WORD - LEDGER
免責聲明
這個指南不能保證任何事情,也不是從“加密貨幣或網絡安全專家”的角度撰寫的。
這是從多方面持續學習和個人經驗的結晶。
例如,我自己很早就因為FOMO和貪婪而被騙(假直播詐騙和假MEV機器人詐騙),所以我花了時間認真學習、設置和了解安全性。
不要成為那個因為失去所有或痛苦的巨額而被迫學習安全的人。
駭客或用戶錯誤?
所有類型的錢包/代幣/NFT“黑客”或妥協大致分為兩類:
先前授予的代幣批准濫用。
私鑰/種子密語被犯罪分子盜取(通常發生在線上熱錢包)。
TOKEN APPROVALS
代幣授權基本上是一個智能合約訪問並移動您錢包中特定類型或金額的代幣的權限。
例如:
- 授權 OpenSea 移動您的 NFT 以便您可以出售它。
- 授權Uniswap使用您的代幣以進行交換。
\
如果您想要關於代幣批准的更多背景閱讀,你可以在這裡閱讀這個帖子.
對於一些先前的背景,基本上以太坊網絡上的所有東西,除了 ETH 之外,都是 ERC-20 代幣。
ERC-20 代幣之一的特性是能夠向其他智能合約授權許可權。
如果您希望進行核心 DeFi 互操作,比如交換或橋接代幣,則在某個時候需要進行這些批准。
NFTs 分別是 ERC-721 和 1155 代幣;它們的批准機制與 ERC-20 相似,但適用於 NFT 市場。
MetaMask(MM)的初始令牌批准提示提供了一些信息,但最重要的是:
您正在授權的代幣
你正在互動的網站
您正在交互的智能合約
編輯代幣權限金額的能力
在完整的詳細資料下拉菜單中,我們看到了另外一個資訊:批准功能。
所有ERC-20代幣必須具備ERC-20標準所概述的特定特性和屬性。
其中之一是智能合約根據批准的金額移動代幣的能力。
這些批准的危險在於,如果您授予代幣權限給一個惡意的智能合約,您的資產可能會被盜竊/流失。
無限制 vs 自訂限制批准 (ERC-20 代幣)
許多 DeFi 應用程式將默認提示無限制地批准 ERC20 代幣。
這樣可以提高用戶體驗,因為它更方便,不需要未來的潛在批准,從而節省時間和燃氣費用。
為什麼這很重要?
允許無限量代幣的批准可能會使您的資金面臨風險。
手動編輯代幣批准為特定金額會將批准的dApp可以移動的最大代幣數量設置為另一個金額被簽署以供更大數量的批准之前。
如果該智能合約被利用,這將限制您的下行風險。如果一個 dApp 存在漏洞,而您已經為其授權無限批准,那麼您就有可能失去該錢包中持有的並已授權的所有代幣。
看到Multichain WETH(WETH是ETH的ERC-20代幣封裝)漏洞作為一個例子。
利用过去的无限代币权限,滥用这个常用的桥梁从用户那里取走资金。
一個使用Zerion錢包的例子,從預設的無限批准更改為手動批准。
NFT 批准
針對NFT設置“setApprovalForAll”
這是一個常用的,但潛在危險的批准,通常授予信任的NFT市場,當您想要出售您的NFT時。
這使得NFT可以通過市場的智能合約進行轉讓。因此,當您向買家出售NFT時,該市場的智能合約可以自動將NFT移交給買家。
此批准授予對特定收藏/合約地址的所有NFT代幣的訪問權限。
這也可以被惡意的網站/智能合約用來竊取你的NFT。
惡意行為者濫用“SETAPPROVALFORALL”的示例
一個典型的無畏的錢包耗盡的情況如下:
使用者前往他們認為是合法的惡意網站。
當他們將錢包連接到網站時,網站只能看到錢包的內容。
然而,他們使用這個功能來掃描錢包中價值最高的NFT,並提示MM為該NFT的合約地址設置批准權限。
使用者認為他們在鑄造代幣,但實際上是授權惡意合約移動這些代幣。
詐騙者然後偷取代幣,並在物品被標記為被盜之前將其清算為開放式OS或模糊出價。
簽名 vs 批准
批准需要燃氣,因為它們正在處理交易。
簽名是無需燃氣的,經常用於登錄 dApps 以證明您控制該相應的錢包。
簽名通常是較低風險的操作,但仍可用於利用先前授權給類似OpenSea之受信任網站的批准。
(對於ERC-20)由於准許函數最近在ETH上引入,也可以使用無需燃氣簽名來修改您的批准。
如果您使用像1inch這樣的DEX,就可以看到這一點。
更詳細閱讀此內容這裡.
TOKEN APPROVALS TAKEAWAYS 加密貨幣
在給予任何批准時要謹慎,確保您知道為哪些代幣給予批准,並知道批准給哪個智能合約(使用 etherscan)。
將您的風險限制在批准範圍內:
- 使用多個錢包(批准是錢包特定的)- 不要為您的保險庫/高價值錢包簽署批准。
- 理想情況下,減少或完全避免對ERC-20代幣授予無限制的批准。
- 定期檢查並撤銷授權,通過 etherscan 或 revoke.cash。
Revoke.cash是一個讓你輕鬆撤銷各種代幣授權的網站。
硬體/冷錢包
熱錢包通過您的電腦或手機連接到互聯網。 金鑰/錢包憑證存儲在線上或在您的瀏覽器中。
冷錢包是硬體設備,密鑰在完全離線並且身體附近生成和存儲。
考慮到一個記帳本大約是120美元,如果您在加密貨幣資產中擁有1000美元以上,您可能應該購買並設置一個記帳本。您可以將您的記帳本錢包連接(而不是導入)到您的MM中,以便在保持一定安全水平的同時,具有與另一個熱錢包相同的功能。
Ledger和Trezor是最受歡迎的。我喜歡Ledger,因為它與瀏覽器錢包(類似於Rabby和MM)最兼容。
購買Ledger時的最佳實踐
請務必從官方製造商網站購買,不要在Ebay或Amazon購買=可能存在被入侵/預裝惡意軟件。
收到物品時,請確保包裝完好無損。
當您第一次設置帳本時,它將生成一個種子詞語。
只有將種子寫在實體紙上,或者在未來的某個日期上寫在鋼板上,以確保您的種子短語是防火防水的。
永遠不要拍照或在任何形式的鍵盤(包括手機)上輸入種子,這將使種子數位化,您的“冷”錢包現在變成了不安全的“熱”錢包。
加密貨幣並未完全存儲在硬件錢包上,而是存儲在種子短語生成的錢包“內部”。
種子短語(12-24個單詞)是一切,必須不惜一切代價保護/確保。
它可以完全控制/訪問該種子密語生成的所有錢包。
種子與設備無關,如果需要,您可以將其“匯入”到另一個硬件錢包中作為備份。
如果種子遺失/毀損且原始硬體錢包丟失/毀損/被鎖定= 永久失去訪問您所有資產的權限。
種子級存儲有各種級別,例如分割成多個部分,增加部分之間的物理距離,在不明顯的地方存儲(例如在冰箱底部的湯罐中,地下的物業某處等)
最少應該有2-3份副本,其中一份應該放在鋼制物上以保護不受水和火損害。
“私钥”类似于种子短语,但仅适用于1个特定钱包。通常用于将热钱包导入新的MM帐户或在交易机器人等自动化工具中使用。
第25個單詞 - 分類帳
除了原始的24個單詞種子外,Ledger還有一個可選的額外安全功能。
這 口令是一項先進的功能,它可以將您選擇的最多100個字符的第25個單詞添加到您的恢復短語中。
使用密語將導致創建一組完全不同的地址,僅通過24個單詞的恢復短語無法訪問。
除了增加另一層外,口令還可以在遭受壓力時給你可信的否認。
如果使用口令短語,很重要的是要安全地存儲它或完美地記住每個字符和大小寫。
這是唯一且最後的防禦,可以應對“5英鎊扳手攻擊”的情況,其中你在身體上受到威脅。
為什麼要通過所有這些摩擦來設置硬體錢包?
熱錢包將私鑰存儲在連接到互聯網的位置。
在互聯網上被欺騙、愚弄和操縱而透露這些憑證是一件令人措手不及的容易事。
擁有一個冷錢包意味著詐騙者需要物理上找到並拿走你的總帳或種子才能取得這些錢包和其中的資產。
種子被破解=所有熱錢包和其中的資產都有風險,即使那些沒有與惡意網站/合約互動的資產也是如此。
過去人們被“盜”的常見方式
過去人們被“駭客”(種子短語被破壞)通過熱錢包的常見方式。
通過工作職位PDF檔案中的惡意軟件、“測試版測試”遊戲、通過Google表格運行巨集、模仿合法網站和服務而被欺騙下載惡意軟件。
與惡意合約互動:從模仿站點的FOMO鑄幣,與來自未知空投/收到的NFT合約互動。
將鑰匙和種子插入或發送至“客戶支援”或相關計劃/表單。
高調‘駭客’的例子和分析
Kevin Rose:去鑄造一個收藏品(art block),簽署了一筆簽名交易(無Gas),以為自己只是在登錄鑄造網站。
但是Seaport(新的OpenSea市場合同)允許您創建自定義訂單,然後只需簽名即可接受。
由於凱文已經將他的資產授權給OpenSea合約,駭客欺騙他簽署了一個滿足定制訂單的簽名,以免費/~1美元的價格將凱文的所有昂貴NFT出售給駭客。
重點摘要:
簽名如果利用先前授權的批准,甚至是對可信任來源的批准,也可能被濫用。
在OpenSea(OS)之外的網站上不要簽署授權,如果您有一個“聖杯/主保險庫”錢包,不要與合約或網站互動,將其發送到中間錢包,然後進行互動。
NFT_GOD:在設置他的Ledger時,使用了MetaMask的導入帳戶(與添加硬體錢包相對)選項,並在MetaMask中輸入了他的種子短語。
這有效地將他的冷錢包變成了熱錢包- 請記住以前的黃金法則,永遠不要將您的種子短語數字化。
然後他顯然下載了一個假的OBS(錄音軟件),這個軟件在谷歌搜索的頂部被推廣為廣告。
這是惡意軟件,所以它偷了種子短語,然后偷了他所有熱錢包中的資產,也偷了他的冷錢包中的資產。
要點:
永遠不要以任何方式“數字化”您的種子短語=將其輸入任何形式的鍵盤(包括手機)或拍照(自動備份到雲服務也會危害人們)。
免責聲明:
相關文章
如何質押 ETH?