如何被黑客攻擊:加密貨幣用戶的漏洞指南
本文提供了針對加密貨幣用戶的常見攻擊方法的詳細分析,包括網絡釣魚、惡意軟件和社會工程攻擊。它還揭示了這些攻擊如何通過真實案例研究進行操作和傳播。摘要
- 大多數加密貨幣用戶並不是通過復雜的攻擊被黑客入侵,而是通過點擊、簽署或信任錯誤的事物而被黑客入侵。本報告詳細分析了這些日常失誤是如何發生的。
- 從網絡釣魚工具和錢包盜取器到惡意軟件和假冒客服騙局,大多數攻擊直接針對用戶,而不是協議,這使得共同點是人類背景,而不是代碼。
- 本報告概述了與個人用戶相關的加密貨幣漏洞的101個要點,涵蓋了一系列常見的漏洞,以及真實案例和需要注意的事項。
1. 需要了解:你就是攻擊面
加密貨幣的設計是自我保管。這就是其特點。但這一基礎屬性,作爲行業價值觀的核心,往往會使你成爲單點故障。在許多個人在加密貨幣中失去資金的案例中,並不是協議中的一個漏洞:而是一次點擊。一次私信。一項批準。一個信任或疏忽的瞬間,在執行一個看似無關緊要的日常任務時,可能會改變一個人的加密貨幣體驗的軌跡。
本報告不是技術白皮書或智能合約邏輯的評審,而是針對個人的威脅模型。它分析了用戶在實踐中如何被利用,以及應對措施。報告將重點關注個人層面的利用:網絡釣魚、錢包授權、社交工程、惡意軟件。最後將簡要涵蓋協議層面的風險,以展示加密貨幣中發生的利用的廣泛範圍。
2. 完整的利用手冊(算是)
在無許可的環境中發生的交易具有永久性和不可逆轉的特性,通常不需要中介的幹預,加上個別用戶需要在同樣持有金融資產的設備和瀏覽器上與匿名對手進行互動,這使得加密貨幣成爲黑客和其他犯罪分子的獨特獵場。下面是個人可能面臨的各種攻擊類型的廣泛列表,但讀者應該意識到,盡管這個列表涵蓋了大多數攻擊,但並不是詳盡無遺。對於那些不熟悉加密貨幣的人來說,這個列表可能會讓人感到不知所措,但其中很大一部分是互聯網時代已經發生過的“常規”攻擊,並不特有於這個行業。§3將詳細介紹一些關鍵的攻擊方法。
2.1 社會工程攻擊
依賴心理操控來欺騙個人以妥協其安全的攻擊。
- 網絡釣魚:假冒的電子郵件、信息或網站模仿真實平台以竊取憑證或種子短語(更多內容見第3節)。
- 冒充詐騙:攻擊者假裝成影響者、項目負責人或客戶支持,以獲取信任並提取資金或敏感信息。
- 種子短語騙局:用戶被欺騙,通過假冒的恢復工具或贈品透露恢復短語。
- 虛假空投:以免費代幣吸引用戶,從而促使不安全的錢包互動或私鑰共享。
- 虛假工作機會:僞裝成就業機會,但旨在安裝惡意軟件或收集敏感數據。
- 拉抬出貨計劃:社會協同努力以炒作並拋售令毫無防備的零售參與者的代幣。
圖1:社會工程的後果可能非常嚴重
來源:Cointelegraph
2.2 電信與帳戶接管
利用電信基礎設施或帳戶級別的弱點繞過身分驗證。
- SIM卡交換:攻擊者劫持受害者的手機號碼,以攔截雙重身分驗證代碼並重置帳戶憑據(更多內容見§3)。
- 憑證填充:重新使用泄露的憑證來訪問錢包或交易所帳戶。
- 2FA繞過:利用弱或基於短信的身分驗證獲取未授權訪問。
- 會話劫持:通過惡意軟件或不安全的網路竊取瀏覽器會話,以接管已登入的帳戶。
圖2:來自SEC的假推文,通過SIM交換
來源:Twitter
2.3 惡意軟件與設備利用
妥協用戶的設備以提取錢包訪問權限或篡改交易(更多內容見§3)。
- 鍵盤記錄器:記錄按鍵以竊取密碼、個人識別碼和種子短語。
- 剪貼板劫持者:用攻擊者控制的錢包地址替換粘貼的錢包地址。
- 遠程訪問木馬 (RATs):允許攻擊者完全控制受害者的機器,包括錢包。
- 惡意瀏覽器擴展:被破壞或假冒的擴展會竊取數據或操縱交易。
- 假錢包或應用程序:僞造的應用程序(移動或瀏覽器),在使用時會耗盡資金。
- 中間人(MITM)攻擊:攔截並修改用戶與服務之間的通信,特別是在不安全的網路上。
- 不安全的Wi-Fi攻擊:公共或被破壞的Wi-Fi會在登入或傳輸過程中攔截敏感數據。
圖3:假錢包是針對初學者加密貨幣用戶的常見騙局
來源:cryptorank
2.4 錢包級漏洞
攻擊目標是用戶如何管理或與錢包和籤名接口進行交互。
- 審批耗盡:惡意智能合約利用先前的代幣審批來提取代幣。
- 盲籤攻擊:用戶簽署模糊的有效載荷,導致資金損失(例如來自硬體錢包)。
- 種子短語盜竊:通過惡意軟件、網絡釣魚或存儲不當提取恢復短語。
- 泄露的私鑰:不安全的存儲(例如在雲驅動器或純文本筆記上)導致密鑰泄露。
- 被攻破的硬體錢包:被篡改或僞造的設備泄露私鑰給攻擊者。
2.5 智能合約與協議層風險
與惡意或脆弱的鏈上代碼交互所帶來的風險。
- 惡意智能合約:隱藏的惡意邏輯,在交互時會耗盡資金。
- 閃電貸攻擊:利用無抵押貸款操縱價格或協議邏輯的攻擊。
- 預言機操控:攻擊者扭曲價格信息,以利用依賴於錯誤數據的協議。
- 退出流動性騙局:創作者設計代幣/池子,只有他們可以提取價值,用戶被困。
- Sybil攻擊:虛假身分扭曲去中心化系統,特別是治理或空投資格。
圖 4:閃電貸是 DeFi 最大的攻擊之一的罪魁禍首
來源:Elliptic
2.6. 項目與市場操縱詐騙
與代幣結構、DeFi項目或NFT收藏相關的詐騙。
- 拔地而起:項目創始人在籌集資金後消失,留下毫無價值的代幣。
- 虛假項目:假冒收藏品誘使用戶鑄造詐騙或簽署有害交易。
塵埃攻擊:微小的代幣轉移用於去匿名化錢包並識別釣魚或詐騙的目標。
2.7. 網路與基礎設施攻擊
利用用戶依賴的前端或DNS級基礎設施。
- 前端劫持 / DNS欺騙:攻擊者將用戶重定向到惡意界面以竊取憑據或促使不安全的交易。
- 跨鏈橋漏洞:黑客攻擊跨鏈橋,導致用戶資金在轉移過程中受到威脅。
2.8. 物理威脅
現實世界中涉及脅迫、盜竊或監視的風險。
- $5 扳手攻擊:受害者被身體脅迫轉移資金或透露助記詞。
- 物理盜竊:設備或備份(例如硬體錢包、筆記本)被盜以獲得訪問權限。
- 肩膀衝浪:在公共或私人場所觀察或拍攝用戶輸入敏感數據。
圖5:不幸的是,物理威脅已經很常見
來源:紐約時報
3. 需要注意的關鍵漏洞
某些攻擊發生的頻率比其他攻擊更高。以下是持有或與加密貨幣互動的個人應該了解的三種攻擊,包括如何防止它們。該部分末尾將列出一系列預防技術和需要注意的關鍵特徵,因爲不同攻擊方法之間存在重疊。
3.1 釣魚(包括假錢包和空投)
網絡釣魚在加密貨幣出現前就已存在了幾十年,這個術語在1990年代出現,用來描述攻擊者通過假冒電子郵件和網站“釣魚”敏感信息,通常是登入憑據。隨着加密貨幣作爲一種平行金融系統的出現,網絡釣魚自然演變爲針對種子短語、私鑰和錢包授權,即“完全控制”的加密貨幣等價物。
加密貨幣釣魚尤其危險,因爲沒有補救措施:沒有退款、沒有欺詐保護,也沒有可以撤銷交易的客戶支持。一旦你的密鑰被盜,你的資金就幾乎沒有了。還需要記住的是,釣魚有時只是更大攻擊的第一步,使得真正的風險並不是初始損失,而是隨之而來的長期妥協,例如,受損的憑證可以讓攻擊者冒充受害者並欺騙他人。
釣魚攻擊是如何運作的?
網絡釣魚的核心是利用人類的信任,通過呈現一個可信界面的僞造版本,或假裝成某個權威人士,來欺騙用戶自願提供敏感信息或批準惡意行爲。主要的傳播途徑有幾個:
- 釣魚網站
- 假冒版本的錢包(例如,MetaMask、Phantom)、交易所(例如,Binance)或去中心化應用(dApps)。
- 通常通過谷歌廣告推廣或通過Discord/Twitter羣組分享,設計上與真實網站一模一樣。
- 用戶可能會被提示“導入錢包”或“恢復資金”,提取他們的種子短語或私鑰。
- 網絡釣魚郵件與信息
- 看起來像官方通訊(例如,“緊急安全更新”或“帳戶已被入侵”)。
- 包含指向虛假登入門戶的連結或直接引導您與惡意代幣或智能合約互動。
- 在 Telegram、Discord、Twitter 私信,甚至 SMS 上很常見。
- 假錢包或瀏覽器擴展
- 在應用商店或作爲Chrome擴展程序可用。
- 在功能上模擬真實錢包,但將您的私鑰或交易數據轉發給攻擊者。
- 有些甚至允許你轉入資金,但幾分鍾後就被抽走了。
- 空投騙局
- 假代幣掉落發送到錢包(尤其是在EVM鏈上)。
- 點擊代幣或嘗試交易時會提示惡意合約交互。
- 可以悄悄請求無限的代幣批準或通過籤名有效載荷竊取您的原生代幣。
圖6:在加密貨幣中看到“免費”時一定要保持警惕
來源:Presto Research
釣魚攻擊的例子
2023年6月的Atomic Wallet黑客事件,歸因於朝鮮的Lazarus Group,成爲了加密貨幣歷史上最具破壞性的純釣魚攻擊之一。此次事件導致超過1億美元的加密貨幣被盜,涉及超過5,500個非托管錢包,用戶無需簽署任何惡意交易或與智能合約互動。此次攻擊僅專注於通過欺騙性界面和惡意軟件提取種子短語和私鑰 - 是釣魚式憑證盜竊的教科書範例。
Atomic Wallet是一個多鏈、非托管的錢包,支持超過500種加密貨幣。在此次事件中,攻擊者發起了一場協調的網絡釣魚活動,利用了用戶對錢包支持基礎設施、更新流程和品牌形象的信任。受害者通過電子郵件、假網站和木馬軟件更新被引誘,這些都旨在模仿來自Atomic Wallet的合法通訊。
釣魚攻擊的途徑包括:
- 僞造的電子郵件僞裝成Atomic Wallet的支持或安全警報,敦促緊急行動。
- 欺騙網站(例如,
atomic-wallet[.]co) 模仿了錢包的恢復或獎勵索取界面。 - 通過Discord、電子郵件和被攻陷的論壇分發的惡意更新,可能將用戶引導至釣魚頁面或通過本地惡意軟件提取憑據。
一旦用戶將他們的12個或24個單詞的種子短語或私鑰輸入這些欺詐界面,攻擊者就獲得了對他們錢包的完全訪問權限。此漏洞不涉及受害者的鏈上交互:沒有錢包連接,沒有籤名請求,也沒有智能合約參與。相反,它完全依賴於社會工程學和用戶願意在看似可信的平台上恢復或驗證他們的錢包。
3.2 錢包抽水機與惡意授權
錢包抽水器是一種惡意智能合約或去中心化應用程式(dApp),旨在從您的錢包中提取資產,方法不是竊取您的私鑰,而是誘使您授權代幣訪問或簽署危險交易。與尋求您憑據的網絡釣魚不同,抽水器利用權限——驅動Web3的基本信任機制。
隨着DeFi和Web3應用的普及,MetaMask和Phantom等錢包使得“連接”到去中心化應用(dApps)的概念變得流行。這帶來了便利,但也增加了巨大的攻擊面。在2021年至2023年期間,審批抽水器通過NFT鑄造、假空投和被拉垮的dApps迅速流行起來,這些應用開始在其他熟悉的用戶界面中嵌入惡意合約。用戶常常興奮或分心,會連接他們的錢包並點擊“批準”,卻沒有意識到他們正在授權什麼。
這與網絡釣魚有什麼不同?
網絡釣魚是指通過欺騙某人自願透露敏感憑證,如種子短語、密碼或私鑰。連接您的錢包並不會透露您的密鑰或短語,因爲您並沒有交出祕密,而是在簽署交易或授予權限。這些利用通過智能合約邏輯發生,而不是盜取您的憑證,使它們在機制上與網絡釣魚不同。您是在授權泄露,常常沒有意識到,這更像是一種“同意陷阱”而不是憑證盜竊。
您可以將網絡釣魚視爲基於憑據的攻擊,而錢包盜取者/惡意授權則被視爲基於權限的攻擊。
攻擊的機制
惡意批準利用區塊鏈標準中的權限系統,如ERC-20(代幣)和ERC-721/ERC-1155(NFT)。它們欺騙用戶授予攻擊者對其資產的持續訪問權限。
- 代幣授權基礎知識:
- ERC-20 代幣:approve(address spender, uint256 amount) 函數允許 "spender"(例如,DApp 或攻擊者)從用戶的錢包中轉移指定數量的代幣。
- NFTs: setApprovalForAll(address operator, bool approved) 函數授予“operator”權限以轉移一個集合中的所有NFT。
- 這些批準是DApps的標準流程(例如,Uniswap需要批準才能交換代幣),但攻擊者惡意利用這些流程。
- 攻擊者如何獲得批準:
- 欺騙性提示:一個釣魚網站或被攻擊的DApp提示用戶簽署一個標記爲“錢包連接”、“代幣交換”或“NFT認領”的交易。該交易實際上調用了approve或setApprovalForAll針對攻擊者的地址。
- 無限批準:攻擊者通常請求無限的代幣授權(例如,uint256.max)或 setApprovalForAll(true),從而完全控制用戶的代幣或 NFT。
- 盲籤名:一些去中心化應用(DApps)需要簽署不透明的數據,這使得很難發現惡意批準。即使使用像Ledger這樣的硬體錢包,顯示的細節可能看起來無害(例如,“批準代幣”),但隱藏了攻擊者的意圖。
- 剝削:
- 即時盜竊:攻擊者利用批準在交易後立即將代幣/NFT轉移到他們的錢包中。
- 延遲盜竊:攻擊者等待(有時是幾周或幾個月)以提取資產,從而減少懷疑。例如,擁有 setApprovalForAll 的攻擊者可以隨時轉移 NFT。
- 橫掃攻擊:像天使抽水者這樣的抽水者掃描多個錢包中的授權,並在市場漲或高價值NFT發布期間大量抽水。
錢包抽水器/惡意授權的例子
Monkey Drainer 詐騙主要在 2022 年和 2023 年初活躍,是一個臭名昭著的“服務型抽水”釣魚工具包,負責通過欺騙性網站和惡意智能合約盜取數百萬加密貨幣(包括 NFT)。與傳統釣魚不同,傳統釣魚依賴於收集用戶的種子短語或密碼,而 Monkey Drainer 通過惡意交易籤名和智能合約濫用進行操作,使攻擊者能夠在沒有直接憑證泄露的情況下提取代幣和 NFT。通過欺騙用戶簽署危險的鏈上批準,Monkey Drainer 在 2023 年初關閉之前在數百個錢包中造成了超過 430 萬美元的盜竊。
圖7:著名鏈上偵探ZachXBT揭露Monkey Drainer騙局
來源:Twitter (@zachxbt)
該工具在低技能攻擊者中非常受歡迎,並在地下Telegram和暗網社區中進行了大量宣傳。它允許附屬機構複製假鑄幣網站,冒充真實項目,並配置後端將籤名交易轉發到一個中心化的抽水合約。這些合約經過設計,旨在利用代幣權限,依賴用戶在不知情的情況下籤署消息,從而通過如setApprovalForAll()(NFTs)或permit()(ERC-20代幣)等功能授予攻擊者地址訪問資產的權限。
值得注意的是,這種交互流程避免了直接的釣魚:受害者並沒有被要求提供他們的私鑰或助記詞。相反,他們與看似合法的去中心化應用(dApps)互動,通常是在帶有倒計時或熱門品牌的鑄造頁面上。一旦連接,用戶會被提示簽署一筆他們並不完全理解的交易,這往往被通用的批準語言或錢包界面的模糊化所掩蓋。這些籤名並沒有直接轉移資金,而是授權攻擊者在任何時候進行轉移。隨着權限的授予,抽水合約可以在一個區塊內執行批量提款。
猴子排水法的一個顯著特點是其延遲執行:被盜資產通常在幾小時或幾天後被轉移,以避免引起懷疑並最大化收益。這使其對擁有大錢包或活躍交易活動的用戶特別有效,因爲他們的批準與正常使用模式混合在一起。高知名度的受害者包括來自CloneX、Bored Apes和Azuki等項目的NFT收藏家,他們損失了資產。
盡管Monkey Drainer在2023年停止運營,可能是爲了“隱匿”,但錢包盜竊者的時代仍在不斷演變,對誤解或低估鏈上批準威力的用戶構成持續威脅。
3.3 惡意軟件與設備漏洞
最後,‘惡意軟件和設備漏洞’指的是一系列廣泛而多樣的攻擊形式,這些攻擊涵蓋了各種交付渠道,旨在妥協用戶的計算機、手機或瀏覽器,通常通過欺騙安裝惡意軟件。其目標通常是竊取敏感信息(例如種子短語、私鑰)、攔截錢包交互,或使攻擊者遠程控制受害者的設備。在加密貨幣領域,這些攻擊通常始於社會工程學,例如虛假的工作邀請、虛假的應用程序更新或通過Discord發送的文件,但很快升級爲全面的系統妥協。
惡意軟件自個人計算機早期就存在。在傳統環境中,它被用來竊取信用卡信息、收集登入信息或劫持系統進行垃圾郵件或勒索軟體。隨着加密貨幣的興起,攻擊者轉變了策略:他們不再瞄準可以被撤銷的在線銀行憑證,而是旨在竊取不可逆轉的加密貨幣資產。
這些攻擊是如何開始的……社交工程角度
大多數惡意軟件並不是隨機傳播的:它需要受害者被欺騙執行它。這就是社會工程學發揮作用的地方。
常見交付方式:
- 假冒工作機會:受害者申請一個假冒的Web3職位,收到包含惡意軟件的“技術測試”或“面試連結”。
- Discord或Telegram連結:作爲“贈品工具”、“截圖”或假支持文件發送。
- 電子郵件附件:簡歷、白皮書或包含惡意代碼的發票格式(PDF、.docx、.exe)。
- 假冒更新:彈出窗口或僞造網站提供 "最新的MetaMask/Phantom版本"。
- 驅動下載:僅僅訪問一個網站就可能觸發後臺負載,尤其是在過時的瀏覽器上。
共同點:攻擊者創建一個可信的環境,促使用戶點擊、下載或打開一些危險的東西。
加密貨幣攻擊中常見的惡意軟件類型
- 鍵盤記錄器:記錄每個輸入的按鍵,包括種子短語、密碼和 PIN。尤其危險的是,如果用戶在文本編輯器、交易所登入或錢包恢復字段中輸入他們的種子短語。
- 剪貼板劫持者:監控復制的錢包地址,並在粘貼時用攻擊者的地址替換它們。受害者通常沒有注意到,他們發送資金時認爲自己粘貼的是自己的地址,但實際上已經被替換。
- 遠程訪問木馬(RATs):給予攻擊者對受害者設備的完全控制。這包括讀取文件、觀看屏幕、捕獲瀏覽器會話,甚至直接從像Exodus或基於瀏覽器的錢包應用程序導出助記詞。
- 假錢包或應用:看起來像合法的錢包,但預裝了惡意代碼。常見於Android APK網站或Chrome擴展商店。一些在你發送資金或恢復種子之前似乎正常,但在此時資金會被竊取。
- 惡意瀏覽器擴展:妥協或模仿真實的加密貨幣擴展,以監控活動、注入惡意負載或提示假籤名請求。它們通常以“錢包集成”的名義請求廣泛的權限。
- 中間人(MITM)基礎設施:該惡意軟件設置代理或DNS劫持,以攔截和操縱您與網路之間的流量,包括交換地址或重新路由已籤名的交易。
示例:2022年Axie Infinity工作詐騙
2022年的Axie Infinity工作詐騙是一個在加密貨幣領域中惡意軟件和設備利用的典型例子,背後是復雜的社會工程學。這次攻擊被歸因於朝鮮國家支持的Lazarus集團,導致約6.2億美金的加密貨幣被盜,成爲迄今爲止最大的去中心化金融(DeFi)黑客事件之一。
圖8:Axie Infinity漏洞進入了傳統金融媒體
來源:彭博電視
這次黑客攻擊是一個多階段的行動,結合了社會工程學、惡意軟件部署和區塊鏈基礎設施漏洞的利用。
黑客假裝成虛構公司的招聘人員,通過LinkedIn針對Sky Mavis的員工:Sky Mavis是Ronin Network的背後公司,該網路是一個與以太坊相連的側鏈,支持流行的玩賺區塊鏈遊戲Axie Infinity。當時,Ronin和Axie Infinity的市場資本分別約爲3億和40億。
多名員工被接觸,但一名高級工程師成爲了主要目標,攻擊者與其進行了多輪假招聘面試以建立信任,並提供了極爲慷慨的薪酬套餐來誘騙工程師。攻擊者向工程師發送了一份僞裝成正式工作報價的PDF文件。工程師認爲這是一部分招聘流程,便在公司電腦上下載並打開了該文件。該PDF文件包含一個RAT,打開後感染了工程師的系統,使黑客能夠訪問Sky Mavis的內部系統,可能是通過特權提升或在網路內的橫向移動。這一妥協爲攻擊Ronin Network的基礎設施提供了立足點。
本研究文章的範圍超出了對持續利用 Ronin 橋和 Axie DAO 的黑客機制的探討,但這次攻擊導致了 6.2 億美元的盜竊(173,600 ETH 和 2550 萬 USDC),僅回收了 3000 萬美元。
4. 如何保護自己
利用攻擊的嘗試越來越復雜,但仍然依賴於明顯的跡象。警告信號包括:
- “導入您的錢包以領取 X”:沒有任何合法服務會要求您的助記詞。
- 未請求的私信:尤其是提供支持、金錢或幫助你沒有詢問過的問題。
- 稍微拼寫錯誤的域名:例如,metamask.io與metarnask.io。
- Google Ads:釣魚連結經常出現在搜索結果中真實連結的上方。
- 過於美好的優惠:比如“領取5 ETH”或“翻倍你的幣”促銷。
- 緊迫感或恐嚇策略:“您的帳戶已被鎖定”,“立即申領或失去資金。”
- 無限代幣授權:用戶應自行設置代幣數量。
- 盲籤名請求:沒有可讀解釋的十六進制負載。
- 未經驗證或模糊的合約:如果一個代幣或dApp是新的,請檢查您所批準的內容。
- 緊急UI提示:經典的施壓策略,比如“您必須立即簽署,否則會錯過”。
- MetaMask 籤名彈窗:尤其是在不明確的有效載荷、無燃氣交易或您不理解的功能調用混合時。
進一步的操作安全(OpSec)規則:
- 黃金法則
- 永遠不要因任何原因與任何人分享你的種子短語。
- 收藏官方網站:始終直接訪問。切勿使用搜索引擎查找錢包或交易所。
- 不要點擊隨機的空投代幣:尤其是如果你沒有選擇加入的話。
- 避免不請自來的私信:真正的項目很少會主動私信…(除非他們會)
- 使用硬體錢包:它們減少盲籤的風險並防止密鑰泄露。
- 啓用釣魚保護工具:使用像 PhishFort、Revoke.cash 和廣告攔截器這樣的擴展。
- 使用只讀區塊鏈瀏覽器:像 Etherscan Token Approvals 或 Revoke.cash 這樣的工具可以顯示您的錢包擁有哪些權限。
- 使用臨時錢包:創建一個資金爲零或很少的新錢包,先測試鑄造或連結。這將盡量減少任何損失。
- 分散你的資產:不要將所有資產放在一個地方。
- 資深加密貨幣用戶的高級實踐
- 使用專用設備或瀏覽器配置文件進行加密貨幣活動 - 此外,您可以擁有一個專用設備用於打開連結和私信。
- 查看Etherscan的代幣警告標籤:許多詐騙代幣被標記。
- 交叉引用合同地址與官方項目公告。
- 仔細檢查 URL:特別是在電子郵件和聊天中,常見細微的拼寫錯誤。許多消息應用程序以及當然還有網站允許超連結 - 這使得某人可以這樣做:www.google.com(沒關係,你可以點擊連結)。
- 注意你簽署的內容:在確認之前,始終解碼交易(例如,通過MetaMask、Rabby或模擬器)。
5. 最後一句
大多數用戶將加密貨幣中的漏洞視爲某種技術性和不可避免的事情,特別是那些對這個行業不熟悉的人。雖然對於復雜的攻擊方法來說,這可能是正確的,但通常初步步驟是以非技術性方式針對個人,從而使其餘的漏洞可以防止。
在這個領域,絕大多數個人損失並不是由於某種新穎的零日漏洞或晦澀的協議錯誤,而是因爲人們簽署了他們沒有閱讀的內容,或將錢包導入虛假應用程序,或相信了聽起來足夠合理的私信。這些工具可能是新的,但這些戰術卻如同時間一般古老:欺騙、緊迫感、錯誤引導。
人們之所以來到加密貨幣是因爲自我保管和無許可的特性,但用戶需要記住這裏的風險更高;在傳統金融中,你被騙了可以打電話給銀行。在加密貨幣中,你被騙了,這就是故事的結局。
免責聲明:
相關文章
Tronscan(波場瀏覽器)是什麼,2025年如何使用?
什麼是穩定幣 USDT?
什麼是穩定幣 USDC?
如何被黑客攻擊:加密貨幣用戶的漏洞指南
摘要
- 大多數加密貨幣用戶並不是通過復雜的攻擊被黑客入侵,而是通過點擊、簽署或信任錯誤的事物而被黑客入侵。本報告詳細分析了這些日常失誤是如何發生的。
- 從網絡釣魚工具和錢包盜取器到惡意軟件和假冒客服騙局,大多數攻擊直接針對用戶,而不是協議,這使得共同點是人類背景,而不是代碼。
- 本報告概述了與個人用戶相關的加密貨幣漏洞的101個要點,涵蓋了一系列常見的漏洞,以及真實案例和需要注意的事項。
1. 需要了解:你就是攻擊面
加密貨幣的設計是自我保管。這就是其特點。但這一基礎屬性,作爲行業價值觀的核心,往往會使你成爲單點故障。在許多個人在加密貨幣中失去資金的案例中,並不是協議中的一個漏洞:而是一次點擊。一次私信。一項批準。一個信任或疏忽的瞬間,在執行一個看似無關緊要的日常任務時,可能會改變一個人的加密貨幣體驗的軌跡。
本報告不是技術白皮書或智能合約邏輯的評審,而是針對個人的威脅模型。它分析了用戶在實踐中如何被利用,以及應對措施。報告將重點關注個人層面的利用:網絡釣魚、錢包授權、社交工程、惡意軟件。最後將簡要涵蓋協議層面的風險,以展示加密貨幣中發生的利用的廣泛範圍。
2. 完整的利用手冊(算是)
在無許可的環境中發生的交易具有永久性和不可逆轉的特性,通常不需要中介的幹預,加上個別用戶需要在同樣持有金融資產的設備和瀏覽器上與匿名對手進行互動,這使得加密貨幣成爲黑客和其他犯罪分子的獨特獵場。下面是個人可能面臨的各種攻擊類型的廣泛列表,但讀者應該意識到,盡管這個列表涵蓋了大多數攻擊,但並不是詳盡無遺。對於那些不熟悉加密貨幣的人來說,這個列表可能會讓人感到不知所措,但其中很大一部分是互聯網時代已經發生過的“常規”攻擊,並不特有於這個行業。§3將詳細介紹一些關鍵的攻擊方法。
2.1 社會工程攻擊
依賴心理操控來欺騙個人以妥協其安全的攻擊。
- 網絡釣魚:假冒的電子郵件、信息或網站模仿真實平台以竊取憑證或種子短語(更多內容見第3節)。
- 冒充詐騙:攻擊者假裝成影響者、項目負責人或客戶支持,以獲取信任並提取資金或敏感信息。
- 種子短語騙局:用戶被欺騙,通過假冒的恢復工具或贈品透露恢復短語。
- 虛假空投:以免費代幣吸引用戶,從而促使不安全的錢包互動或私鑰共享。
- 虛假工作機會:僞裝成就業機會,但旨在安裝惡意軟件或收集敏感數據。
- 拉抬出貨計劃:社會協同努力以炒作並拋售令毫無防備的零售參與者的代幣。
圖1:社會工程的後果可能非常嚴重
來源:Cointelegraph
2.2 電信與帳戶接管
利用電信基礎設施或帳戶級別的弱點繞過身分驗證。
- SIM卡交換:攻擊者劫持受害者的手機號碼,以攔截雙重身分驗證代碼並重置帳戶憑據(更多內容見§3)。
- 憑證填充:重新使用泄露的憑證來訪問錢包或交易所帳戶。
- 2FA繞過:利用弱或基於短信的身分驗證獲取未授權訪問。
- 會話劫持:通過惡意軟件或不安全的網路竊取瀏覽器會話,以接管已登入的帳戶。
圖2:來自SEC的假推文,通過SIM交換
來源:Twitter
2.3 惡意軟件與設備利用
妥協用戶的設備以提取錢包訪問權限或篡改交易(更多內容見§3)。
- 鍵盤記錄器:記錄按鍵以竊取密碼、個人識別碼和種子短語。
- 剪貼板劫持者:用攻擊者控制的錢包地址替換粘貼的錢包地址。
- 遠程訪問木馬 (RATs):允許攻擊者完全控制受害者的機器,包括錢包。
- 惡意瀏覽器擴展:被破壞或假冒的擴展會竊取數據或操縱交易。
- 假錢包或應用程序:僞造的應用程序(移動或瀏覽器),在使用時會耗盡資金。
- 中間人(MITM)攻擊:攔截並修改用戶與服務之間的通信,特別是在不安全的網路上。
- 不安全的Wi-Fi攻擊:公共或被破壞的Wi-Fi會在登入或傳輸過程中攔截敏感數據。
圖3:假錢包是針對初學者加密貨幣用戶的常見騙局
來源:cryptorank
2.4 錢包級漏洞
攻擊目標是用戶如何管理或與錢包和籤名接口進行交互。
- 審批耗盡:惡意智能合約利用先前的代幣審批來提取代幣。
- 盲籤攻擊:用戶簽署模糊的有效載荷,導致資金損失(例如來自硬體錢包)。
- 種子短語盜竊:通過惡意軟件、網絡釣魚或存儲不當提取恢復短語。
- 泄露的私鑰:不安全的存儲(例如在雲驅動器或純文本筆記上)導致密鑰泄露。
- 被攻破的硬體錢包:被篡改或僞造的設備泄露私鑰給攻擊者。
2.5 智能合約與協議層風險
與惡意或脆弱的鏈上代碼交互所帶來的風險。
- 惡意智能合約:隱藏的惡意邏輯,在交互時會耗盡資金。
- 閃電貸攻擊:利用無抵押貸款操縱價格或協議邏輯的攻擊。
- 預言機操控:攻擊者扭曲價格信息,以利用依賴於錯誤數據的協議。
- 退出流動性騙局:創作者設計代幣/池子,只有他們可以提取價值,用戶被困。
- Sybil攻擊:虛假身分扭曲去中心化系統,特別是治理或空投資格。
圖 4:閃電貸是 DeFi 最大的攻擊之一的罪魁禍首
來源:Elliptic
2.6. 項目與市場操縱詐騙
與代幣結構、DeFi項目或NFT收藏相關的詐騙。
- 拔地而起:項目創始人在籌集資金後消失,留下毫無價值的代幣。
- 虛假項目:假冒收藏品誘使用戶鑄造詐騙或簽署有害交易。
塵埃攻擊:微小的代幣轉移用於去匿名化錢包並識別釣魚或詐騙的目標。
2.7. 網路與基礎設施攻擊
利用用戶依賴的前端或DNS級基礎設施。
- 前端劫持 / DNS欺騙:攻擊者將用戶重定向到惡意界面以竊取憑據或促使不安全的交易。
- 跨鏈橋漏洞:黑客攻擊跨鏈橋,導致用戶資金在轉移過程中受到威脅。
2.8. 物理威脅
現實世界中涉及脅迫、盜竊或監視的風險。
- $5 扳手攻擊:受害者被身體脅迫轉移資金或透露助記詞。
- 物理盜竊:設備或備份(例如硬體錢包、筆記本)被盜以獲得訪問權限。
- 肩膀衝浪:在公共或私人場所觀察或拍攝用戶輸入敏感數據。
圖5:不幸的是,物理威脅已經很常見
來源:紐約時報
3. 需要注意的關鍵漏洞
某些攻擊發生的頻率比其他攻擊更高。以下是持有或與加密貨幣互動的個人應該了解的三種攻擊,包括如何防止它們。該部分末尾將列出一系列預防技術和需要注意的關鍵特徵,因爲不同攻擊方法之間存在重疊。
3.1 釣魚(包括假錢包和空投)
網絡釣魚在加密貨幣出現前就已存在了幾十年,這個術語在1990年代出現,用來描述攻擊者通過假冒電子郵件和網站“釣魚”敏感信息,通常是登入憑據。隨着加密貨幣作爲一種平行金融系統的出現,網絡釣魚自然演變爲針對種子短語、私鑰和錢包授權,即“完全控制”的加密貨幣等價物。
加密貨幣釣魚尤其危險,因爲沒有補救措施:沒有退款、沒有欺詐保護,也沒有可以撤銷交易的客戶支持。一旦你的密鑰被盜,你的資金就幾乎沒有了。還需要記住的是,釣魚有時只是更大攻擊的第一步,使得真正的風險並不是初始損失,而是隨之而來的長期妥協,例如,受損的憑證可以讓攻擊者冒充受害者並欺騙他人。
釣魚攻擊是如何運作的?
網絡釣魚的核心是利用人類的信任,通過呈現一個可信界面的僞造版本,或假裝成某個權威人士,來欺騙用戶自願提供敏感信息或批準惡意行爲。主要的傳播途徑有幾個:
- 釣魚網站
- 假冒版本的錢包(例如,MetaMask、Phantom)、交易所(例如,Binance)或去中心化應用(dApps)。
- 通常通過谷歌廣告推廣或通過Discord/Twitter羣組分享,設計上與真實網站一模一樣。
- 用戶可能會被提示“導入錢包”或“恢復資金”,提取他們的種子短語或私鑰。
- 網絡釣魚郵件與信息
- 看起來像官方通訊(例如,“緊急安全更新”或“帳戶已被入侵”)。
- 包含指向虛假登入門戶的連結或直接引導您與惡意代幣或智能合約互動。
- 在 Telegram、Discord、Twitter 私信,甚至 SMS 上很常見。
- 假錢包或瀏覽器擴展
- 在應用商店或作爲Chrome擴展程序可用。
- 在功能上模擬真實錢包,但將您的私鑰或交易數據轉發給攻擊者。
- 有些甚至允許你轉入資金,但幾分鍾後就被抽走了。
- 空投騙局
- 假代幣掉落發送到錢包(尤其是在EVM鏈上)。
- 點擊代幣或嘗試交易時會提示惡意合約交互。
- 可以悄悄請求無限的代幣批準或通過籤名有效載荷竊取您的原生代幣。
圖6:在加密貨幣中看到“免費”時一定要保持警惕
來源:Presto Research
釣魚攻擊的例子
2023年6月的Atomic Wallet黑客事件,歸因於朝鮮的Lazarus Group,成爲了加密貨幣歷史上最具破壞性的純釣魚攻擊之一。此次事件導致超過1億美元的加密貨幣被盜,涉及超過5,500個非托管錢包,用戶無需簽署任何惡意交易或與智能合約互動。此次攻擊僅專注於通過欺騙性界面和惡意軟件提取種子短語和私鑰 - 是釣魚式憑證盜竊的教科書範例。
Atomic Wallet是一個多鏈、非托管的錢包,支持超過500種加密貨幣。在此次事件中,攻擊者發起了一場協調的網絡釣魚活動,利用了用戶對錢包支持基礎設施、更新流程和品牌形象的信任。受害者通過電子郵件、假網站和木馬軟件更新被引誘,這些都旨在模仿來自Atomic Wallet的合法通訊。
釣魚攻擊的途徑包括:
- 僞造的電子郵件僞裝成Atomic Wallet的支持或安全警報,敦促緊急行動。
- 欺騙網站(例如,
atomic-wallet[.]co) 模仿了錢包的恢復或獎勵索取界面。 - 通過Discord、電子郵件和被攻陷的論壇分發的惡意更新,可能將用戶引導至釣魚頁面或通過本地惡意軟件提取憑據。
一旦用戶將他們的12個或24個單詞的種子短語或私鑰輸入這些欺詐界面,攻擊者就獲得了對他們錢包的完全訪問權限。此漏洞不涉及受害者的鏈上交互:沒有錢包連接,沒有籤名請求,也沒有智能合約參與。相反,它完全依賴於社會工程學和用戶願意在看似可信的平台上恢復或驗證他們的錢包。
3.2 錢包抽水機與惡意授權
錢包抽水器是一種惡意智能合約或去中心化應用程式(dApp),旨在從您的錢包中提取資產,方法不是竊取您的私鑰,而是誘使您授權代幣訪問或簽署危險交易。與尋求您憑據的網絡釣魚不同,抽水器利用權限——驅動Web3的基本信任機制。
隨着DeFi和Web3應用的普及,MetaMask和Phantom等錢包使得“連接”到去中心化應用(dApps)的概念變得流行。這帶來了便利,但也增加了巨大的攻擊面。在2021年至2023年期間,審批抽水器通過NFT鑄造、假空投和被拉垮的dApps迅速流行起來,這些應用開始在其他熟悉的用戶界面中嵌入惡意合約。用戶常常興奮或分心,會連接他們的錢包並點擊“批準”,卻沒有意識到他們正在授權什麼。
這與網絡釣魚有什麼不同?
網絡釣魚是指通過欺騙某人自願透露敏感憑證,如種子短語、密碼或私鑰。連接您的錢包並不會透露您的密鑰或短語,因爲您並沒有交出祕密,而是在簽署交易或授予權限。這些利用通過智能合約邏輯發生,而不是盜取您的憑證,使它們在機制上與網絡釣魚不同。您是在授權泄露,常常沒有意識到,這更像是一種“同意陷阱”而不是憑證盜竊。
您可以將網絡釣魚視爲基於憑據的攻擊,而錢包盜取者/惡意授權則被視爲基於權限的攻擊。
攻擊的機制
惡意批準利用區塊鏈標準中的權限系統,如ERC-20(代幣)和ERC-721/ERC-1155(NFT)。它們欺騙用戶授予攻擊者對其資產的持續訪問權限。
- 代幣授權基礎知識:
- ERC-20 代幣:approve(address spender, uint256 amount) 函數允許 "spender"(例如,DApp 或攻擊者)從用戶的錢包中轉移指定數量的代幣。
- NFTs: setApprovalForAll(address operator, bool approved) 函數授予“operator”權限以轉移一個集合中的所有NFT。
- 這些批準是DApps的標準流程(例如,Uniswap需要批準才能交換代幣),但攻擊者惡意利用這些流程。
- 攻擊者如何獲得批準:
- 欺騙性提示:一個釣魚網站或被攻擊的DApp提示用戶簽署一個標記爲“錢包連接”、“代幣交換”或“NFT認領”的交易。該交易實際上調用了approve或setApprovalForAll針對攻擊者的地址。
- 無限批準:攻擊者通常請求無限的代幣授權(例如,uint256.max)或 setApprovalForAll(true),從而完全控制用戶的代幣或 NFT。
- 盲籤名:一些去中心化應用(DApps)需要簽署不透明的數據,這使得很難發現惡意批準。即使使用像Ledger這樣的硬體錢包,顯示的細節可能看起來無害(例如,“批準代幣”),但隱藏了攻擊者的意圖。
- 剝削:
- 即時盜竊:攻擊者利用批準在交易後立即將代幣/NFT轉移到他們的錢包中。
- 延遲盜竊:攻擊者等待(有時是幾周或幾個月)以提取資產,從而減少懷疑。例如,擁有 setApprovalForAll 的攻擊者可以隨時轉移 NFT。
- 橫掃攻擊:像天使抽水者這樣的抽水者掃描多個錢包中的授權,並在市場漲或高價值NFT發布期間大量抽水。
錢包抽水器/惡意授權的例子
Monkey Drainer 詐騙主要在 2022 年和 2023 年初活躍,是一個臭名昭著的“服務型抽水”釣魚工具包,負責通過欺騙性網站和惡意智能合約盜取數百萬加密貨幣(包括 NFT)。與傳統釣魚不同,傳統釣魚依賴於收集用戶的種子短語或密碼,而 Monkey Drainer 通過惡意交易籤名和智能合約濫用進行操作,使攻擊者能夠在沒有直接憑證泄露的情況下提取代幣和 NFT。通過欺騙用戶簽署危險的鏈上批準,Monkey Drainer 在 2023 年初關閉之前在數百個錢包中造成了超過 430 萬美元的盜竊。
圖7:著名鏈上偵探ZachXBT揭露Monkey Drainer騙局
來源:Twitter (@zachxbt)
該工具在低技能攻擊者中非常受歡迎,並在地下Telegram和暗網社區中進行了大量宣傳。它允許附屬機構複製假鑄幣網站,冒充真實項目,並配置後端將籤名交易轉發到一個中心化的抽水合約。這些合約經過設計,旨在利用代幣權限,依賴用戶在不知情的情況下籤署消息,從而通過如setApprovalForAll()(NFTs)或permit()(ERC-20代幣)等功能授予攻擊者地址訪問資產的權限。
值得注意的是,這種交互流程避免了直接的釣魚:受害者並沒有被要求提供他們的私鑰或助記詞。相反,他們與看似合法的去中心化應用(dApps)互動,通常是在帶有倒計時或熱門品牌的鑄造頁面上。一旦連接,用戶會被提示簽署一筆他們並不完全理解的交易,這往往被通用的批準語言或錢包界面的模糊化所掩蓋。這些籤名並沒有直接轉移資金,而是授權攻擊者在任何時候進行轉移。隨着權限的授予,抽水合約可以在一個區塊內執行批量提款。
猴子排水法的一個顯著特點是其延遲執行:被盜資產通常在幾小時或幾天後被轉移,以避免引起懷疑並最大化收益。這使其對擁有大錢包或活躍交易活動的用戶特別有效,因爲他們的批準與正常使用模式混合在一起。高知名度的受害者包括來自CloneX、Bored Apes和Azuki等項目的NFT收藏家,他們損失了資產。
盡管Monkey Drainer在2023年停止運營,可能是爲了“隱匿”,但錢包盜竊者的時代仍在不斷演變,對誤解或低估鏈上批準威力的用戶構成持續威脅。
3.3 惡意軟件與設備漏洞
最後,‘惡意軟件和設備漏洞’指的是一系列廣泛而多樣的攻擊形式,這些攻擊涵蓋了各種交付渠道,旨在妥協用戶的計算機、手機或瀏覽器,通常通過欺騙安裝惡意軟件。其目標通常是竊取敏感信息(例如種子短語、私鑰)、攔截錢包交互,或使攻擊者遠程控制受害者的設備。在加密貨幣領域,這些攻擊通常始於社會工程學,例如虛假的工作邀請、虛假的應用程序更新或通過Discord發送的文件,但很快升級爲全面的系統妥協。
惡意軟件自個人計算機早期就存在。在傳統環境中,它被用來竊取信用卡信息、收集登入信息或劫持系統進行垃圾郵件或勒索軟體。隨着加密貨幣的興起,攻擊者轉變了策略:他們不再瞄準可以被撤銷的在線銀行憑證,而是旨在竊取不可逆轉的加密貨幣資產。
這些攻擊是如何開始的……社交工程角度
大多數惡意軟件並不是隨機傳播的:它需要受害者被欺騙執行它。這就是社會工程學發揮作用的地方。
常見交付方式:
- 假冒工作機會:受害者申請一個假冒的Web3職位,收到包含惡意軟件的“技術測試”或“面試連結”。
- Discord或Telegram連結:作爲“贈品工具”、“截圖”或假支持文件發送。
- 電子郵件附件:簡歷、白皮書或包含惡意代碼的發票格式(PDF、.docx、.exe)。
- 假冒更新:彈出窗口或僞造網站提供 "最新的MetaMask/Phantom版本"。
- 驅動下載:僅僅訪問一個網站就可能觸發後臺負載,尤其是在過時的瀏覽器上。
共同點:攻擊者創建一個可信的環境,促使用戶點擊、下載或打開一些危險的東西。
加密貨幣攻擊中常見的惡意軟件類型
- 鍵盤記錄器:記錄每個輸入的按鍵,包括種子短語、密碼和 PIN。尤其危險的是,如果用戶在文本編輯器、交易所登入或錢包恢復字段中輸入他們的種子短語。
- 剪貼板劫持者:監控復制的錢包地址,並在粘貼時用攻擊者的地址替換它們。受害者通常沒有注意到,他們發送資金時認爲自己粘貼的是自己的地址,但實際上已經被替換。
- 遠程訪問木馬(RATs):給予攻擊者對受害者設備的完全控制。這包括讀取文件、觀看屏幕、捕獲瀏覽器會話,甚至直接從像Exodus或基於瀏覽器的錢包應用程序導出助記詞。
- 假錢包或應用:看起來像合法的錢包,但預裝了惡意代碼。常見於Android APK網站或Chrome擴展商店。一些在你發送資金或恢復種子之前似乎正常,但在此時資金會被竊取。
- 惡意瀏覽器擴展:妥協或模仿真實的加密貨幣擴展,以監控活動、注入惡意負載或提示假籤名請求。它們通常以“錢包集成”的名義請求廣泛的權限。
- 中間人(MITM)基礎設施:該惡意軟件設置代理或DNS劫持,以攔截和操縱您與網路之間的流量,包括交換地址或重新路由已籤名的交易。
示例:2022年Axie Infinity工作詐騙
2022年的Axie Infinity工作詐騙是一個在加密貨幣領域中惡意軟件和設備利用的典型例子,背後是復雜的社會工程學。這次攻擊被歸因於朝鮮國家支持的Lazarus集團,導致約6.2億美金的加密貨幣被盜,成爲迄今爲止最大的去中心化金融(DeFi)黑客事件之一。
圖8:Axie Infinity漏洞進入了傳統金融媒體
來源:彭博電視
這次黑客攻擊是一個多階段的行動,結合了社會工程學、惡意軟件部署和區塊鏈基礎設施漏洞的利用。
黑客假裝成虛構公司的招聘人員,通過LinkedIn針對Sky Mavis的員工:Sky Mavis是Ronin Network的背後公司,該網路是一個與以太坊相連的側鏈,支持流行的玩賺區塊鏈遊戲Axie Infinity。當時,Ronin和Axie Infinity的市場資本分別約爲3億和40億。
多名員工被接觸,但一名高級工程師成爲了主要目標,攻擊者與其進行了多輪假招聘面試以建立信任,並提供了極爲慷慨的薪酬套餐來誘騙工程師。攻擊者向工程師發送了一份僞裝成正式工作報價的PDF文件。工程師認爲這是一部分招聘流程,便在公司電腦上下載並打開了該文件。該PDF文件包含一個RAT,打開後感染了工程師的系統,使黑客能夠訪問Sky Mavis的內部系統,可能是通過特權提升或在網路內的橫向移動。這一妥協爲攻擊Ronin Network的基礎設施提供了立足點。
本研究文章的範圍超出了對持續利用 Ronin 橋和 Axie DAO 的黑客機制的探討,但這次攻擊導致了 6.2 億美元的盜竊(173,600 ETH 和 2550 萬 USDC),僅回收了 3000 萬美元。
4. 如何保護自己
利用攻擊的嘗試越來越復雜,但仍然依賴於明顯的跡象。警告信號包括:
- “導入您的錢包以領取 X”:沒有任何合法服務會要求您的助記詞。
- 未請求的私信:尤其是提供支持、金錢或幫助你沒有詢問過的問題。
- 稍微拼寫錯誤的域名:例如,metamask.io與metarnask.io。
- Google Ads:釣魚連結經常出現在搜索結果中真實連結的上方。
- 過於美好的優惠:比如“領取5 ETH”或“翻倍你的幣”促銷。
- 緊迫感或恐嚇策略:“您的帳戶已被鎖定”,“立即申領或失去資金。”
- 無限代幣授權:用戶應自行設置代幣數量。
- 盲籤名請求:沒有可讀解釋的十六進制負載。
- 未經驗證或模糊的合約:如果一個代幣或dApp是新的,請檢查您所批準的內容。
- 緊急UI提示:經典的施壓策略,比如“您必須立即簽署,否則會錯過”。
- MetaMask 籤名彈窗:尤其是在不明確的有效載荷、無燃氣交易或您不理解的功能調用混合時。
進一步的操作安全(OpSec)規則:
- 黃金法則
- 永遠不要因任何原因與任何人分享你的種子短語。
- 收藏官方網站:始終直接訪問。切勿使用搜索引擎查找錢包或交易所。
- 不要點擊隨機的空投代幣:尤其是如果你沒有選擇加入的話。
- 避免不請自來的私信:真正的項目很少會主動私信…(除非他們會)
- 使用硬體錢包:它們減少盲籤的風險並防止密鑰泄露。
- 啓用釣魚保護工具:使用像 PhishFort、Revoke.cash 和廣告攔截器這樣的擴展。
- 使用只讀區塊鏈瀏覽器:像 Etherscan Token Approvals 或 Revoke.cash 這樣的工具可以顯示您的錢包擁有哪些權限。
- 使用臨時錢包:創建一個資金爲零或很少的新錢包,先測試鑄造或連結。這將盡量減少任何損失。
- 分散你的資產:不要將所有資產放在一個地方。
- 資深加密貨幣用戶的高級實踐
- 使用專用設備或瀏覽器配置文件進行加密貨幣活動 - 此外,您可以擁有一個專用設備用於打開連結和私信。
- 查看Etherscan的代幣警告標籤:許多詐騙代幣被標記。
- 交叉引用合同地址與官方項目公告。
- 仔細檢查 URL:特別是在電子郵件和聊天中,常見細微的拼寫錯誤。許多消息應用程序以及當然還有網站允許超連結 - 這使得某人可以這樣做:www.google.com(沒關係,你可以點擊連結)。
- 注意你簽署的內容:在確認之前,始終解碼交易(例如,通過MetaMask、Rabby或模擬器)。
5. 最後一句
大多數用戶將加密貨幣中的漏洞視爲某種技術性和不可避免的事情,特別是那些對這個行業不熟悉的人。雖然對於復雜的攻擊方法來說,這可能是正確的,但通常初步步驟是以非技術性方式針對個人,從而使其餘的漏洞可以防止。
在這個領域,絕大多數個人損失並不是由於某種新穎的零日漏洞或晦澀的協議錯誤,而是因爲人們簽署了他們沒有閱讀的內容,或將錢包導入虛假應用程序,或相信了聽起來足夠合理的私信。這些工具可能是新的,但這些戰術卻如同時間一般古老:欺騙、緊迫感、錯誤引導。
人們之所以來到加密貨幣是因爲自我保管和無許可的特性,但用戶需要記住這裏的風險更高;在傳統金融中,你被騙了可以打電話給銀行。在加密貨幣中,你被騙了,這就是故事的結局。
免責聲明:
相關文章
Tronscan(波場瀏覽器)是什麼,2025年如何使用?
什麼是穩定幣 USDT?
什麼是穩定幣 USDC?