比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > USDT > Info

APP:加密資產安全事故頻發,如何確保你用的平臺和錢包 APP 是安全的?

Author:

Time:1900/1/1 0:00:00

作者:木沐,白話區塊鏈

資產安全一直以來都是加密行業老生常談的重要話題,然而根據白話區塊鏈觀察,盡管經常做安全科普,但真正關注安全問題的并不多,因為很多人普遍的心態是:“這完全是概率事件,輪不上我這「仨瓜倆棗」”,反而往往卻認為比這概率更低的彩票中獎一定會輪到自己。

事實上,隨著加密資產的主流化,針對個人用戶資產的安全事件頻發,而且不論大戶還是散戶,很多時候,這些事件就發生在我們身邊,已經不是小概率事件了。

那么從近來最常見的個人用戶資產安全事件出發,一起來捋一捋那些和我們息息相關的安全問題吧,最首當其沖的就是:如何確保你正在用的平臺和錢包APP是安全的?

?01?“官方渠道”就一定安全嗎?

大部分人都覺得確保平臺和錢包APP安全很簡單,認準“官方渠道”不就行了?其實也未必……

1.比官網更像官網的“官網”大家都知道找“官網”,但以常見的主流錢包為例,你能馬上列出它們準確的官網地址嗎?馬上“做題”檢測:

大部分人可能會選A和B,根據日常慣例,很多人會認為品牌名+.com或者io后綴的才是“具有品牌實力”的官網,可事實上很多團隊早期都是創業小團隊起家,當時注冊的官網域名很是“潦草”,正確答案其實是C。

灰度公布第二季度旗下三個基金加密資產構成及權重:7月7日消息,數字貨幣資產管理公司Grayscale Investments、Grayscal Digital Large Cap Fund管理商、Grayscale DeFi Fund 與Grayscale智能合約平臺Ex-Ethereum Fund(GSCPxE Fund)今日宣布與其各自的2023年第二季度資金審查相關的每個產品更新基金成分權重。

截至7月6日,Digital Large Cap Fund的基金構成為:70.05%的BTC、27.02%的ETH、1.19%的ADA、0.99%的SOL與0.75%的MATIC。

DeFi Fund基金構成為:45.46%的UNI、19.04%的LDO、11.53%的AAVE、10.82%的MKR、7.03%的CRV與6.12%的SNX。

GSCPxE Fund的基金構成為:25.89%的ADA、21.58%的SOL、16.38%的MATIC、16.28%的DOT、11.38%的AVAX與8.49%的ATOM。[2023/7/7 22:24:41]

還是同樣的原因,這些錢包官方團隊起家時可能連商標都沒有考慮注冊……然后品牌商標被別人搶注了,接著別人拿著商標就可以在某些搜索引擎上購買品牌保護服務,在搜索結果上打上“品牌官方”的認證標簽,或者購買推廣服務,永遠排在前面,這就極具迷惑性了,這個事也就發生在前兩年。至今在某些主流搜索引擎搜索“xxx錢包官網”前幾頁結果大概率都是假貨。

歐洲議會推遲對加密資產法案擬議法規中有關PoW辯論的投票:2月25日消息,為了回應來自加密世界的憤怒,歐盟議會推遲了一項針對其加密貨幣市場監管的關鍵投票。被稱為MiCA的“加密資產市場指令”本已列入2月28日的投票名單,將由歐洲議會與歐盟理事會和歐盟委員會進行辯論。然而,歐盟議員、負責投票的報告員Stefan Berger今天表示,此次投票已被推遲。

一名接近該指令談判的消息人士稱,爭論的要點是后期的變化,一些人將其解讀為針對PoW網絡的禁令。在信息泄露后引發了負面報道和Twitter上鋪天蓋地的回應后,右翼和中右翼成員撤回了對最新修正案的支持。

Berger在Twitter上解釋說:“作為報告員,對我來說最重要的是,MiCA指令沒有被誤解為事實上的比特幣禁令。”(The Block)[2022/2/25 10:16:20]

這些比官網還官網的“官網”,著實“坑”了不少人,因為對于黑客來說也是成本較低、成功率較高的方式之一。2.知道官網地址又如何?很多人覺得,確保輸入正確的官方域名,下載的app一定是安全的。不過,依然還是會出事。這不近期的Bitkeep錢包安全事故中,BitKeep發布公告稱,經過團隊初步排查,疑似部分APK包下載被黑客劫持,安裝了被黑客植入代碼的包。

貝寶金融佟磊:加密資產機構間拆借利率對把握比特幣價格走勢有指導意義:金色財經現場報道,4月24日,由印比特主辦、金色財經和易礦聯合主辦,珠海市橫琴新區數鏈數字金融研究院指導的《2021新基建區塊鏈峰會》在成都召開。貝寶金融金融服務負責人佟磊以《把握加密貨幣市場機遇拐點》為題進行分享。他指出,利率是資產定價的核心,在傳統金融市場,把握住利率變化大概就知道了一個資產的價格和走勢。比特幣也是一項金融資產,它的價格和邏輯也離不開宏觀經濟的分析框架。歸根到底,這一輪牛市最終動力來源還是美聯儲主導的各國央行的貨幣寬松,這是一系列資產價格上漲的來源。我們關注利率指標,就能大概率提前去預知牛市的節奏。盡管目前在加密資產市場還沒有一個統一指標把握其市場利率,但有一個值得關注的點,就是加密貨幣信貸市場里的機構之間存在著相互拆借的交易,拆借市場的利率是值得關注的指標。2020年312暴跌之前,機構間拆借利率快速升高,我們認為是對市場杠桿過高的提前預警。[2021/4/24 20:54:18]

簡單的說,就是部分用戶下載的APK包過程中被黑客“劫持”,下載成了黑客特殊加工過的“錢包”進行安裝,我們暫且把它納入一個非官方“假錢包”行列吧。

動態 | 日本通過《資金結算法》及《金商法》修正案:“虛擬貨幣”將更名為“加密資產”:今日(5/31)上午,日本參議院全體會議通過了關于加強對加密貨幣交易服務商、交易活動監管的《資金結算法》及《金融商品交易法》修正案。該制度有望在2020年4月生效。“虛擬貨幣”名稱將更改為“加密資產”;將虛擬貨幣納入《金商法》的監管對象中,以便限制投機交易行為。(日經新聞)[2019/5/31]

公告提到的主要原因是“劫持”,由于“劫持”方法和環節眾多,目前暫不清楚是什么環節出的問題,但我們可以聊聊黑客通常是怎樣讓一個用戶明明輸入的是“官網”域名,卻下載到假錢包的:第一種,本地Localhost文件動手腳本地PC設備被誘導或者通過漏洞安裝了惡意軟件、病后,通過修改本地主機Localhost文件,這種方法可將指定的域名直接指向非官方服務器的IP,也就是說,瀏覽器打開后,輸入準確的域名,訪問的去卻是黑客提供的網站,下載的也是假APP。第二種,直接在本地瀏覽器或App打開的頁面動手腳當你打開某些平臺網站、錢包網頁時,通過瀏覽器插件直接修改特定網頁展示的內容,例如將APP下載按鈕指向的APP下載鏈接地址替換成黑客準備的地址、將資產充提地址替換成黑客的,也可以讀取和修改剪貼板中的錢包地址或者私鑰。至于瀏覽器插件是否有修改網頁的權限,這點不要擔心,因為幾乎大部分瀏覽器插件都有這樣的權限,如果你有仔細觀察的話,你會發現即便我們常用的小狐貍錢包也有這樣的權限……不久前也有因下載了頭部CEX的會發現即便我們常用的假APP導致充提地址被替換導致資產丟失的事件發生。第三種、遠程DNS劫持、域名解析記錄修改、APP廠商服務器被黑這種屬于遠程互聯網服務商的問題了,很少出現,成本和難度系數也非常高,但確實出現過,也是通過類似“投”的方式,讓你訪問的域名解析到黑客的地址。另外是服務商自己的域名服務商賬戶被盜導致域名解析被修改等均可能造成輸入官方網址,卻進入黑客網站的情況。另外APP廠商自己被黑那就沒話說了,這些都是我們無法左右的情況。

聲音 | 梅德韋杰夫:制定加密資產監管條例不是俄羅斯的優先事項:據fxstreet.com消息,由于加密貨幣的監管不確定性,許多行業一直呼吁俄羅斯政府制定運營加密資產市場的法律。俄羅斯總理梅德韋杰夫在圣彼得堡的一次法律會議上表示,”如今,加密貨幣的普及程度已經下降,制定加密資產法規可能并不那么重要,不再是國家的優先事項。” 不過他也表示,如果加密資產市場交易再次上升,監管機構也會重新考量對加密貨幣的興趣。[2019/5/18]

?02?白話區塊鏈的安全提示

在得知黑客連官網都能劫持,就不得不感嘆“防不勝防”了,那如何是好?實際上這些安全問題并不僅僅存在加密領域中,進入數字化時代,任何APP都存在安全問題,包括銀行、第三方支付APP都存在不少假“APP”的現象,因此我們結合過去的經驗總結了一些對應的安全防范提示供大家參考:1.使用HTTPS防劫持輸入正確官方域名時,務必在域名開頭加上https://,它的作用很大,打開網址時,如果有本地劫持、遠程DNS劫持風險,通常瀏覽器地址欄上方會有“不安全”的紅色警示以及頁面安全隱患等多種警示,具體原理就不展開了,簡單的說這也是非對稱加密的一個廣泛應用之一,用于防劫持,通過加密簽名的不對稱驗證來確保訪問的是官方提供的網頁。

這里插一句題外話,事實上很多項目方的網站,甚至DeFi網站都沒有使用或者強制使用Https來部署網站,這完全說不過去,很難感受到團隊上心的態度和專業度。2.檢查APK文件哈希由于某些特殊原因,國內安卓手機用戶無法直接通過GooglePlay下載APP,只能下載APK安裝包,而大部分假APP安全事件就出在APK被替換、下載了假APK的問題上,那么就我們就一定要確保APK是官方提供的才行。

首先用Https打開官網后,進入下載頁面,細心的同學可能會看到一些下載頁面通常會有一個“驗證應用安全性”或者SHA256等字樣鏈接,預計80%的人不會看安全提示,90%的人沒有點開驗證鏈接查看過里面的內容并進行驗證…

點開安全驗證鏈接或者SHA256鏈接后,我們會看到官方公布的APK安裝包文件對應的哈希值,我們在下載APK文件后,計算它的哈希值與官方公布的一致,就可以說明文件沒有被替換掉。

下載APK后,關鍵的一步來了,打開谷歌旗下的virustotal.com查網站,上傳剛剛下載APK文件,我們可以獲得這個文件的哈希值進行對比的同時通過數十個病庫以及進行檢索這個文件是否攜帶惡意代碼等情況,可以說是一箭雙雕的神器。

最后,如果要再再嚴謹一點,也要注意打開官網下載頁面時擔心哈希值和下載鏈接被本地病、插件同時篡改,那么可以通過手機等不同環境瀏覽器二次確認哈希值是否一致。

假如,你準備下載的錢包官網下載頁面不支持Https,你首先要懷疑的是這是不是真的官網,另外如果不提供APK文件哈希值核對,同樣你可以懷疑這個錢包團隊對安全性的嚴謹態度,出現如此疏漏是非常不應該、不負責任的,請謹慎考慮是否要使用該APP。3.如何檢查當前安裝的平臺、錢包APP是否安全?事實上,最好的方法就是通過官網的下載頁面進入安卓的GooglePlay、IOSAppStore下載安裝,因為理論上谷歌和蘋果應用商店的安全系數比錢包官方的安全系數高太多了,它們平臺具有世界頂尖級別的安防軟硬件和人才儲備,錢包或者平臺和它們比起來完全不是一個量級的。

因此通過錢包、平臺官網下載頁面打開GooglePlay、AppStore頁面,再次確認開發者公司名稱、下載量、評論量沒有問題的情況下,此時我們可以認為下載的APP是安全的。

如果當前設備正在使用的apk包安裝應用不確定是否安全,可以按照前面2個安全提示的方法,確定官方并驗證哈希以后下載到手機覆蓋安裝即可,不過千萬不要忘了先備份好助記詞,以防覆蓋過程出錯導致丟失數據無法恢復錢包。4.關于錢包安全的其它建議如果不用冷錢包、硬件錢包,喜歡熱錢包的朋友,最安全的是iphone設備安裝,一來只需要一個海外ID不需要安卓這樣的各種折騰,二來iPhone鎖定后加密數據沒有密鑰無法解鎖。

海外很多主流APP都是不支持APK單獨下載安裝的,就是因為安全問題太多,但很多廠商為了拉新迫于無奈、安卓用戶太龐大等原因才開放APK下載,安卓如果要繞開APK問題,需要谷歌服務框架、谷歌密碼驗證器這些必備軟件,現階段因為某些原因已經非常難安裝了,很多人找的第三方解決方案來源本身就非官方可能也不安全,也不夠嚴謹。

當然一定要用安卓手機,可以選擇一些目前尚且還原生支持谷歌全家桶框架的廠商,比如三星,另外將錢包安裝到支持安全芯片隔離的安全文件夾的設備可以成為第二重安全保障,可以達到和蘋果手機一樣丟失后無法解鎖獲取敏感數據的額外安全效果。

5、關于平臺APP的建議

由于大部分平臺CEX都采用了多重驗證,不太受假APP的影響,但也要注意確認APP中的充提地址是否與官網頁面提供的一致,另外一定要開啟平臺內的“白名單”功能,只能將資產提到安全的白名單地址。

另外,平臺CEX面臨最大的風險除了前文中的兩個本地劫持修改充提地址外,就是釣魚了,因為大多數人的APP、短信、谷歌驗證器,實際上是安裝在同一設備上的,這就造成了,黑客只要控制或者監聽一臺設備,即可大概率掌控你這三個信息進而操控你的平臺資產。

因此安全起見不是非常建議一個設備同時操作多重驗證,可以把谷歌驗證器安裝在另一臺安全手機上,也可以不在手機上安裝app而通過在PC或者PC網頁端操作平臺賬戶,這樣可以防止單點“爆破”,最大限度保護資產安全。

?03?小結

安全無小事,白話區塊鏈認為安全問題值得每天講、是時時刻刻講,在日常操作過程中,或許只需要多1秒鐘時間留意這些細節,就能夠做到為資產提升99%安全的可能性,何樂而不為?

Tags:APPAPKFUNDUNDWorldcoin幣appmetamask下載apkbefundGundam City

USDT
GEN:三箭資本截至 7 月資產價值約 10 億美元,遠低于其負債水平

據TheBlock報道,據三箭資本清算人Teneo發送給債權人的文件顯示,三箭資本截至7月資產價值約10億美元,包括法定貨幣、加密貨幣、NFT以及風險投資和其他投資.

1900/1/1 0:00:00
NFT:NFT 基礎設施平臺 Bonfire 完成 620 萬美元種子輪融資,Coinbase Ventures 等參投

NFT基礎設施平臺Bonfire宣布完成620萬美元種子輪融資,NEA、VariantFund、PalmTreeCrewCrypto、LibertusCapital、CollabCurrency.

1900/1/1 0:00:00
比特幣:2023 年比特幣相關的七大主題:閃電網絡、CBDC、Miniscript 錢包等

撰文:StephanLivera,Bitcoinmagazine 編譯:DeFi之道 這是來自“StephanLiveraPodcast”主持人兼SwanBitcoinInternational.

1900/1/1 0:00:00
LAYER:L2BEAT 用一個實驗“破解”了 LayerZero:為什么“獨立安全”不安全?

原文標題:《CircumventingLayerZero:WhyIsolatedSecurityisNoSecurity》作者:KrzysztofUrbański.

1900/1/1 0:00:00
SOL:Solana 上的山寨狗幣 Bonk 為什么會火?

作者:念青,ChainCatcher在過去的幾天里,Solana生態似乎一掃2022年的陰霾,沉浸在一種積極、喜悅的氛圍里.

1900/1/1 0:00:00
SUPER:流支付:區塊鏈賦能的支付新范式

作者:Leo,IOSGVentures二十多年前,音樂傳輸的媒介主要是磁帶;十多年前,除了電影院,消費者宅家看電影主要是靠光碟.

1900/1/1 0:00:00
ads