本指南旨在讓每一個使用者更好地保護自己的資產,在區塊鏈黑暗森林中行走得更遠。

作者:慢霧安全團隊,慢霧科技

封面:Photo by Shubham’s Web3 on Unsplash

背景

隨著加密市場越發火熱,Web3 專案與玩法以極快的速度更迭著,玩家們的情緒也處於越發高漲的狀態,隨之而來的是玩家在參與各類新項目的過程中不小心踩坑被盜或遭遇釣魚。 在這個背景下,同時結合我們在鏈上鏈下所收集到的信息,我們希望擴展出一系列與用戶資產安全息息相關的實例科普,於是便有了 —— Web3 安全入門避坑指南。

我們計劃盡可能全面地整合 Web3 領域中的風險點,並以實例為背景,幫助讀者們更好地辨別與防範風險。 本指南主要內容包括但不限於:錢包下載及使用過程中的風險; 參與 Web3 各生態項目的過程中可能會掉入的坑; 如何更好地辨別簽名授權是否存在危險; 不幸被盜后如何補救等。(Ps. 內容是暫定的,計劃趕不上現實及小編想法的變化,所以最終呈現內容比計劃更多或更少都有可能)

無論是新入門的小白,想要探索未知新奇的 Web3 世界,但又被行業黑話、異於 Web2 的玩法以及未知的風險弄得不知所措; 又或者是 Web3 老玩家,已經在區塊鏈這片黑暗森林中跋涉了一段時間,聽過見過許多 “坑”,甚至已經踩過,但對於被盜原因以及如何避免再次受損並不太清楚,都可以和我們一起學習這本避坑指南。 本指南旨在讓每一個使用者都能更好地保護自己的資產,在區塊鏈黑暗森林中行走得更遠。

眾所周知,錢包是加密世界的入口及 Web3 基礎設施,其重要性也不言而喻。 所以話不多說,現在我們來介紹第一道「開胃小菜」—— 錢包分類及風險。

錢包類別

瀏覽器錢包

瀏覽器錢包比如 MetaMask、Rabby 等,是作為瀏覽器的外掛程式安裝在使用者的瀏覽器(如 Google Chrome、Firefox 等)。 瀏覽器錢包通常更易於訪問和使用,並且不需要下載或安裝額外的軟體。

(https://metamask.io/download/)

網頁錢包(不建議使用)

網頁錢包允許使用者通過網頁瀏覽器訪問和管理加密資產,雖然這種方式較為便利,但背後的風險不容忽視,網頁錢包一般把助記詞加密存在瀏覽器的本地存儲里,因此可能受到惡意軟體或網路攻擊的威脅。

(https://www.myetherwallet.com/wallet/access/software?type=overview)

移動端錢包

移動端錢包的運作方式與網頁端類似,通常作為應用程式提供,用戶可以在手機上下載和安裝。

(https://token.im/download?locale=en-us)

桌面錢包

桌面錢包在加密貨幣問世的早期較為常見,較為知名的如 Electrum,Sparrow 等。 這類錢包是安裝在計算機上的應用程式,私鑰和交易數據儲存在使用者的本地設備上,使用者對其加密貨幣私鑰有完全控制權。

(https://sparrowwallet.com/)

硬體錢包

硬體錢包是用於存儲加密貨幣和數位資產的物理設備,如 Trezor,imKey,Ledger,Keystone,OneKey 等。 硬體錢包提供了一種離線存儲私鑰的方式,這意味著在使用硬體錢包和 DApp 進行交互的時候,私鑰不會暴露在網上。

 (https://shop.ledger.com/products/ledger-nano-s-plus/matte-black)

紙錢包(不建議使用)

紙錢包是以二維碼的形式,將加密貨幣位址與其私鑰列印在一張紙上,然後通過掃描二維碼來開展加密貨幣交易。

(https://www.walletgenerator.net/?culture=zh¤cy=bitcoin)

錢包常見風險

下載到假錢包

由於很多手機不支援 Google Play 或者因為網路問題,很多人會從其他途徑下載錢包,比如第三方下載站,或者直接用瀏覽器搜索某錢包,然後隨機點進一個排名靠前的連結,這樣大概率會下載到一個假錢包,因為搜尋引擎的廣告位及自然流量是可以買到的,騙子可以通過購買排名靠前的廣告位,偽造一個假錢包官網,誘騙用戶訪問。 下圖為使用百度搜索 TP 錢包的結果:

(https://mp.weixin.qq.com/s/NdwIE412MJ7y-O5f2OrSHA)

購買到假錢包

供應鏈攻擊是硬體錢包安全性的主要威脅之一。 如果使用者不是在官方商店或授權轉銷商處購買硬體錢包,那麼在錢包到使用者手上之前,會經多少人之手,內部元件是否被篡改過,這些都是不確定的。 下圖中,右邊的硬體錢包是被篡改過的。

(https://www.kaspersky.com/blog/fake-trezor-hardware-crypto-wallet/48155/)

電腦中木馬

如果電腦中了木馬,錢包便會被惡意軟體影響。 慢霧安全團隊曾寫過一篇暗夜小偷:Redline Stealer 木馬盜幣分析,對該風險的形成過程及影響做了詳細分析,感興趣的讀者可以點擊查看。 我們在此建議使用者安裝殺毒軟體,如卡巴斯基、AVG、360 等,保持安全軟體即時防護開啟,並隨時更新最新病毒庫。

錢包自身漏洞

最後,或許你下載了正版的錢包,使用過程足夠小心,設備及現實環境也足夠安全,但如果是錢包自身設計存在問題的話,也可能被駭客攻擊,使用該錢包的使用者一樣會資產受損。 這也就是為什麼在選擇錢包的時候不能僅考慮錢包的便利程度,還要看錢包代碼是否開源。 外部開發和審計人員可以通過開源的代碼發現潛在漏洞,降低錢包被攻擊的可能性。 即使不幸出現錢包因存在漏洞被盜的情況,安全人員也能快速定位漏洞位置,及時補救。

總結

本期我們主要介紹了錢包的分類,並列舉了常見風險點,幫助讀者形成基本的錢包安全概念。 無論選擇哪種類型、哪種品牌的錢包,都應始終對助記詞和私鑰保密並確保其安全。 可以考慮整合不同類型錢包的優點,多類型錢包結合使用,如使用知名硬體錢包 + 知名軟體錢包組合來管理重資產,使用多個知名軟體錢包分散管理輕資產。 下期我們將對下載和購買錢包中的坑進行詳細介紹,歡迎追更。(Ps. 本文提到的錢包品牌及圖片,僅作輔助讀者理解之用,不構成推薦與擔保)

免責聲明:作為區塊鏈資訊平臺,本站所發佈文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。 文章內的資訊僅供參考,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。