本指南不保证会起到任何作用,也不是从“加密货币或网络安全专家”的角度撰写的,而一篇通过多渠道持续学习和个人经验的总结。
例如,我自己在刚涉足此领域时,由于FOMO(害怕错过)和贪婪而被骗过(假直播骗局和假MEV机器人骗局),因此我花时间认真学习,尝试设置并理解安全性。不要等到失去一切或遭受巨额损失后才迫于学习安全知识。
所有类型的钱包/代币/NFT“黑客攻击”或安全漏洞大致分为两类:
滥用之前授予的代币批准权限。
私钥/助记词泄露(通常发生在热钱包上)。
代币审批本质上是对智能合约的一种权限,允许其从您的钱包中访问并移动特定类型或数量的代币。
例如:
如果您想了解更多关于代币审批的背景信息,可参阅此处的相关讨论。
基本上,在以太坊网络上,除ETH外的所有代币都是ERC-20代币。ERC-20代币的一个特性是可以授予其他智能合约审批权限。如果您想进行核心DeFi互动,如交换或桥接代币,您在某个时候需要授予这些审批权限。
NFT分别是ERC-721和1155代币;它们的批准机制与ERC-20类似,但针对的是NFT市场。
MetaMask (MM) 发出的初始代币审批提示会给您几条重要信息,但最相关的有:
您正在授予审批的代币
您正在与之互动的网站
您正在与之互动的智能合约
编辑代币权限数量的能力
展开详细列表,就能看到一条附加信息:审批功能。
所有 ERC-20 代币必须具有 ERC-20 标准概述的某些特征和属性。
其中之一是智能合约能够根据审批的金额转移代币。
这些审批的危险之处在于,如果您向恶意智能合约授予代币权限,您的资产可能会被盗/洗劫一空。
许多 DeFi 应用默认会提示无限审批 ERC20 代币。
这是为了改善用户体验,因为它更方便,不需要未来可能有的审批,从而节省时间和Gas费。
为什么这很重要?
允许审批无限数量的代币可能会将您资金置于风险之中。
手动将代币审批编辑为特定金额可设置已审批的 dApp 可以移动的最大代币数量,直到签署另一个更大金额的审批。
如果该智能合约被盗,这会降低您的下行风险。如果您已授予无限审批的 dApp 中存在漏洞,那么您将面临从持有这些资产并获得审批的钱包中丢失所有已审批代币的风险。
请参阅多链 WETH(WETH 是 ETH 的 ERC-20 代币打包器)漏洞示例。
这种常用的桥接器通过滥用过去无限的代币权限来从用户处获取资金。
从默认的无限制审批更改为手动审批的的示例(使用 Zerion 钱包)。
NFT 的“setApprovalForAll”
当您想要出售您的 NFT 时,这是一种常用但存在潜在危险的审批,通常会授予受信任的 NFT 市场。
这使得 NFT 可以通过市场的智能合约进行转移。因此,当您将 NFT 出售给买家时,该市场的智能合约可以自动将 NFT 转移给买家。
此审批授予对来自特定集合/合约地址的所有 NFT 代币的访问权限。
这也可能被恶意网站/合约利用,导致您的 NFT 被盗。
恶意行为者滥用“SETAPPROVALFORALL”的示例
对于没有 FOMO 的自由铸币情况,经典的“钱包被盗”是这样的:
用户访问他们伪装为合法的恶意网站。
当他们将钱包连接到网站时,该网站只能看到钱包的内容。
然而,他们用它来扫描钱包中最高价值的 NFT,并提示 MM 对该 NFT 的合约地址进行“全部审批”。
用户认为他们正在铸币,但实际上他们正在审批恶意合约,授权转移这些代币。
然后,诈骗者会窃取代币,并在项目被视为被盗之前将其清算为开放操作系统或模糊出价。
审批需要gas,因为它们正在处理交易。
签名无需 Gas,通常用于登录 dApp,以证明相应的钱包是在您的控制之下。
签名通常是风险较低的操作,但仍可用于盗用之前为 OpenSea 等受信任站点提供的审批。
由于 ETH 最近引入了许可功能,因此(对于 ERC-20)也可以使用无Gas签名修改您的审批。
如果你使用像 1inch 这样的 DEX 就可以看到这一点。
可阅读本文进行更详细地了解。
当你审批任何事情时都要谨慎,确保你知道你审批的是哪些代币以及哪些智能合约(使用 etherscan)。
降低审批的风险:
Revoke.cash 是一个可以让您轻松撤销各种代币审批的网站。
热钱包通过您的计算机或手机连接到互联网。密钥/钱包凭证在线存储或本地存储在您的浏览器中。
冷钱包是一种硬件设备,其中的密钥完全离线生成并存储在您周围。
考虑到账本的价格约为 120 美元,如果您拥有超过 1000 美元的加密资产,您应会购买并设置Ledger。您可以将您的账本钱包连接(而不是导入)到您的 MM 中,以获得与其他热钱包相同的功能,同时保持一定的安全级别。
Ledger 和 Trezor 最受欢迎。我喜欢 Ledger,因为它与浏览器钱包最兼容(类似于 Rabby 和 MM)。
始终从官方制造商网站购买,不要在 Ebay 或亚马逊上购买,因为在这些地方您可能受到损害/预装恶意软件。
当您收到物品时,请确保包装是密封完整的。
在第一次设置分类帐时,它将生成一个助记词。
此后,记得将助记词写在实际纸或钢板上,这样您的种子短语就能防火且防水。
切勿拍照或将助记词输入任何形式的键盘(包括手机),因为这等于将助记词数字化,并且将您的“冷”钱包变为不安全的“热”钱包。
加密货币并不完全存储在硬件钱包中,而是存储在助记词生成的钱包“内部”。
助记词(12-24 个单词)意味着你一切资产,必须不惜一切代价对其进行保护/保障。
它可以完全控制/访问在该助记词下生成的所有钱包。
助记词不是特定于设备的,如果需要,您可以将其“导入”到另一个硬件钱包中作为备份。
如果助记词丢失/毁坏并且原始硬件钱包丢失/毁坏/被锁定,那么那就永久失去对所有资产的访问权限。
助记词级存储有多种级别,例如,分成多个部分,增加部分之间的物理距离,将其存储在不明显的地方(冰箱底部的汤罐,您财产的地下某处等)
至少您应该拥有至少 2-3 份副本,其中一份是钢制的,以防水防火。
“私钥”就像助记词,但仅适用于 1 个特定钱包。它通常用于将热钱包导入新的 MM 帐户或交易机器人等自动化工具中。
除了原始的 24 字助记词之外,Ledger 还具有可选的附加安全功能。
密码短语是一项高级功能,可将您选择的第 25 个单词(最多 100 个字符)添加到恢复短语中。
使用密码将能创建一组完全不同的地址,仅通过 24 字恢复短语无法访问这些地址。
除了添加另一层之外,密码短语还可以让您在受到胁迫时获得合理的推诿能力。
如果使用密码短语,关键是要安全地存储它或完整地记住它,逐个字符且区分大小写。
这是针对您受到人身威胁的“5 美元扳手攻击”情况的唯一也是最后的防御。
为什么要经历所有这些阻力来设置硬件钱包?
热钱包将私钥存储在连接到互联网的位置。
通过互联网泄露这些凭证是很容易被诈骗和操纵的。
拥有冷钱包意味着诈骗者需要找到并拿走您的账本或种子才能访问这些钱包及其中的资产。
种子受损意味着所有热钱包和其中的资产都面临风险,即使是那些没有与恶意网站/合约交互的热钱包和资产。
过去人们所受的常见“黑客攻击”
过去人们被“黑客攻击”(种子短语泄露)的常见方式是通过热钱包。
在PDF聘用函中植入恶意软件,提供“测试版”游戏,通过谷歌表格运行宏、模仿合法网站和服务下载恶意软件。
与恶意合约交互:从模拟网站进行 FOMO 铸造,与未知空投/收到的 NFT 合约交互。
将密钥和种子插入或发送到“客户支持”或相关程序/表格。
知名“黑客”示例和故障分析
Kevin Rose:去铸造一个收藏品(艺术区块),签署了一个签名 txn(无gas),以为他刚刚登录了铸币网站。
但是 Seaport(新的 OpenSea 市场合约)允许您创建自定义订单,然后您只需签名即可接受。
由于 Kevin 已经审批同意将其资产加入 OpenSea 合约,黑客诱骗他签署了一个签名,该签名履行了定制订单,将 Kevin 的所有昂贵 NFT 免费/约 1 美元出售给黑客。
如果签名盗用了先前授予的审批,即使该审批是授予受信任的来源,也可能被滥用
不要在操作系统以外的网站上签署 OpenSea (OS) 审批,如果您有“grail/mainVault”钱包,请勿与合约或网站交互,将其发送到中间钱包,然后进行交互
NFT_GOD:使用 MetaMask 的导入帐户(与添加硬件钱包相对)选项,并在设置账本时在 MetaMask 中输入助记词。
这有效地将他的冷钱包变成了热钱包——记住之前的黄金法则,永远不要将你的助记词数字化。
那么,他显然下载了一个名为 ODS 的假 OBS(录音软件),该软件在 Google 搜索排行第一作为广告进行推广。
这是恶意软件,因此它窃取了助记词,然后窃取了他的热钱包中的所有资产,进而也窃取了他的冷钱包。
无论如何,永远不要“数字化”你的助记词,这等于将其输入任何形式的键盘(也包括手机)或拍照(自动备份到云服务也会使利益受到损害。)
本文转载自[Insightful Insiders],著作权归属原作者[INSIGHTFUL],如对转载有异议,请联系Gate Learn团队,团队会根据相关流程尽速处理。
免责声明:本文所表达的观点和意见仅代表作者个人观点,不构成任何投资建议。
文章其他语言版本由Gate Learn团队翻译。除非另有说明,否则不得复制、传播或抄袭本译文。
本指南不保证会起到任何作用,也不是从“加密货币或网络安全专家”的角度撰写的,而一篇通过多渠道持续学习和个人经验的总结。
例如,我自己在刚涉足此领域时,由于FOMO(害怕错过)和贪婪而被骗过(假直播骗局和假MEV机器人骗局),因此我花时间认真学习,尝试设置并理解安全性。不要等到失去一切或遭受巨额损失后才迫于学习安全知识。
所有类型的钱包/代币/NFT“黑客攻击”或安全漏洞大致分为两类:
滥用之前授予的代币批准权限。
私钥/助记词泄露(通常发生在热钱包上)。
代币审批本质上是对智能合约的一种权限,允许其从您的钱包中访问并移动特定类型或数量的代币。
例如:
如果您想了解更多关于代币审批的背景信息,可参阅此处的相关讨论。
基本上,在以太坊网络上,除ETH外的所有代币都是ERC-20代币。ERC-20代币的一个特性是可以授予其他智能合约审批权限。如果您想进行核心DeFi互动,如交换或桥接代币,您在某个时候需要授予这些审批权限。
NFT分别是ERC-721和1155代币;它们的批准机制与ERC-20类似,但针对的是NFT市场。
MetaMask (MM) 发出的初始代币审批提示会给您几条重要信息,但最相关的有:
您正在授予审批的代币
您正在与之互动的网站
您正在与之互动的智能合约
编辑代币权限数量的能力
展开详细列表,就能看到一条附加信息:审批功能。
所有 ERC-20 代币必须具有 ERC-20 标准概述的某些特征和属性。
其中之一是智能合约能够根据审批的金额转移代币。
这些审批的危险之处在于,如果您向恶意智能合约授予代币权限,您的资产可能会被盗/洗劫一空。
许多 DeFi 应用默认会提示无限审批 ERC20 代币。
这是为了改善用户体验,因为它更方便,不需要未来可能有的审批,从而节省时间和Gas费。
为什么这很重要?
允许审批无限数量的代币可能会将您资金置于风险之中。
手动将代币审批编辑为特定金额可设置已审批的 dApp 可以移动的最大代币数量,直到签署另一个更大金额的审批。
如果该智能合约被盗,这会降低您的下行风险。如果您已授予无限审批的 dApp 中存在漏洞,那么您将面临从持有这些资产并获得审批的钱包中丢失所有已审批代币的风险。
请参阅多链 WETH(WETH 是 ETH 的 ERC-20 代币打包器)漏洞示例。
这种常用的桥接器通过滥用过去无限的代币权限来从用户处获取资金。
从默认的无限制审批更改为手动审批的的示例(使用 Zerion 钱包)。
NFT 的“setApprovalForAll”
当您想要出售您的 NFT 时,这是一种常用但存在潜在危险的审批,通常会授予受信任的 NFT 市场。
这使得 NFT 可以通过市场的智能合约进行转移。因此,当您将 NFT 出售给买家时,该市场的智能合约可以自动将 NFT 转移给买家。
此审批授予对来自特定集合/合约地址的所有 NFT 代币的访问权限。
这也可能被恶意网站/合约利用,导致您的 NFT 被盗。
恶意行为者滥用“SETAPPROVALFORALL”的示例
对于没有 FOMO 的自由铸币情况,经典的“钱包被盗”是这样的:
用户访问他们伪装为合法的恶意网站。
当他们将钱包连接到网站时,该网站只能看到钱包的内容。
然而,他们用它来扫描钱包中最高价值的 NFT,并提示 MM 对该 NFT 的合约地址进行“全部审批”。
用户认为他们正在铸币,但实际上他们正在审批恶意合约,授权转移这些代币。
然后,诈骗者会窃取代币,并在项目被视为被盗之前将其清算为开放操作系统或模糊出价。
审批需要gas,因为它们正在处理交易。
签名无需 Gas,通常用于登录 dApp,以证明相应的钱包是在您的控制之下。
签名通常是风险较低的操作,但仍可用于盗用之前为 OpenSea 等受信任站点提供的审批。
由于 ETH 最近引入了许可功能,因此(对于 ERC-20)也可以使用无Gas签名修改您的审批。
如果你使用像 1inch 这样的 DEX 就可以看到这一点。
可阅读本文进行更详细地了解。
当你审批任何事情时都要谨慎,确保你知道你审批的是哪些代币以及哪些智能合约(使用 etherscan)。
降低审批的风险:
Revoke.cash 是一个可以让您轻松撤销各种代币审批的网站。
热钱包通过您的计算机或手机连接到互联网。密钥/钱包凭证在线存储或本地存储在您的浏览器中。
冷钱包是一种硬件设备,其中的密钥完全离线生成并存储在您周围。
考虑到账本的价格约为 120 美元,如果您拥有超过 1000 美元的加密资产,您应会购买并设置Ledger。您可以将您的账本钱包连接(而不是导入)到您的 MM 中,以获得与其他热钱包相同的功能,同时保持一定的安全级别。
Ledger 和 Trezor 最受欢迎。我喜欢 Ledger,因为它与浏览器钱包最兼容(类似于 Rabby 和 MM)。
始终从官方制造商网站购买,不要在 Ebay 或亚马逊上购买,因为在这些地方您可能受到损害/预装恶意软件。
当您收到物品时,请确保包装是密封完整的。
在第一次设置分类帐时,它将生成一个助记词。
此后,记得将助记词写在实际纸或钢板上,这样您的种子短语就能防火且防水。
切勿拍照或将助记词输入任何形式的键盘(包括手机),因为这等于将助记词数字化,并且将您的“冷”钱包变为不安全的“热”钱包。
加密货币并不完全存储在硬件钱包中,而是存储在助记词生成的钱包“内部”。
助记词(12-24 个单词)意味着你一切资产,必须不惜一切代价对其进行保护/保障。
它可以完全控制/访问在该助记词下生成的所有钱包。
助记词不是特定于设备的,如果需要,您可以将其“导入”到另一个硬件钱包中作为备份。
如果助记词丢失/毁坏并且原始硬件钱包丢失/毁坏/被锁定,那么那就永久失去对所有资产的访问权限。
助记词级存储有多种级别,例如,分成多个部分,增加部分之间的物理距离,将其存储在不明显的地方(冰箱底部的汤罐,您财产的地下某处等)
至少您应该拥有至少 2-3 份副本,其中一份是钢制的,以防水防火。
“私钥”就像助记词,但仅适用于 1 个特定钱包。它通常用于将热钱包导入新的 MM 帐户或交易机器人等自动化工具中。
除了原始的 24 字助记词之外,Ledger 还具有可选的附加安全功能。
密码短语是一项高级功能,可将您选择的第 25 个单词(最多 100 个字符)添加到恢复短语中。
使用密码将能创建一组完全不同的地址,仅通过 24 字恢复短语无法访问这些地址。
除了添加另一层之外,密码短语还可以让您在受到胁迫时获得合理的推诿能力。
如果使用密码短语,关键是要安全地存储它或完整地记住它,逐个字符且区分大小写。
这是针对您受到人身威胁的“5 美元扳手攻击”情况的唯一也是最后的防御。
为什么要经历所有这些阻力来设置硬件钱包?
热钱包将私钥存储在连接到互联网的位置。
通过互联网泄露这些凭证是很容易被诈骗和操纵的。
拥有冷钱包意味着诈骗者需要找到并拿走您的账本或种子才能访问这些钱包及其中的资产。
种子受损意味着所有热钱包和其中的资产都面临风险,即使是那些没有与恶意网站/合约交互的热钱包和资产。
过去人们所受的常见“黑客攻击”
过去人们被“黑客攻击”(种子短语泄露)的常见方式是通过热钱包。
在PDF聘用函中植入恶意软件,提供“测试版”游戏,通过谷歌表格运行宏、模仿合法网站和服务下载恶意软件。
与恶意合约交互:从模拟网站进行 FOMO 铸造,与未知空投/收到的 NFT 合约交互。
将密钥和种子插入或发送到“客户支持”或相关程序/表格。
知名“黑客”示例和故障分析
Kevin Rose:去铸造一个收藏品(艺术区块),签署了一个签名 txn(无gas),以为他刚刚登录了铸币网站。
但是 Seaport(新的 OpenSea 市场合约)允许您创建自定义订单,然后您只需签名即可接受。
由于 Kevin 已经审批同意将其资产加入 OpenSea 合约,黑客诱骗他签署了一个签名,该签名履行了定制订单,将 Kevin 的所有昂贵 NFT 免费/约 1 美元出售给黑客。
如果签名盗用了先前授予的审批,即使该审批是授予受信任的来源,也可能被滥用
不要在操作系统以外的网站上签署 OpenSea (OS) 审批,如果您有“grail/mainVault”钱包,请勿与合约或网站交互,将其发送到中间钱包,然后进行交互
NFT_GOD:使用 MetaMask 的导入帐户(与添加硬件钱包相对)选项,并在设置账本时在 MetaMask 中输入助记词。
这有效地将他的冷钱包变成了热钱包——记住之前的黄金法则,永远不要将你的助记词数字化。
那么,他显然下载了一个名为 ODS 的假 OBS(录音软件),该软件在 Google 搜索排行第一作为广告进行推广。
这是恶意软件,因此它窃取了助记词,然后窃取了他的热钱包中的所有资产,进而也窃取了他的冷钱包。
无论如何,永远不要“数字化”你的助记词,这等于将其输入任何形式的键盘(也包括手机)或拍照(自动备份到云服务也会使利益受到损害。)
本文转载自[Insightful Insiders],著作权归属原作者[INSIGHTFUL],如对转载有异议,请联系Gate Learn团队,团队会根据相关流程尽速处理。
免责声明:本文所表达的观点和意见仅代表作者个人观点,不构成任何投资建议。
文章其他语言版本由Gate Learn团队翻译。除非另有说明,否则不得复制、传播或抄袭本译文。