区块链钱包安全汇总

一:钱包发生过那些安全事件\

1、“私钥丢失”

部分用户使用钱包时会习惯性将私钥截图保存在手机但当手机出现了丢失或者损坏助记词可能永远无法复原部分用户有一定安全意识会将助记词手写一份但当该份助记词丢失时助记词也可能无法复原。

2、“伪装客服骗取私钥”

攻击者伪装为客户潜伏在社群中当有用户出现转账或者提取收益求助时攻击者及时联系用户协助其处理通过耐心的解答发送伪装成去中心化网桥的工单系统让用户输入助记词解决其交易异常攻击者拿到私钥后盗取资产拉黑用户。

3、“恶意软件”

黑客以某些加密货币资源的名义将应用程序添加到Google Play商店或者通过网络钓鱼的方式欺骗用户下载该应用程序该应用程序实则为一个恶意软件当下载、启动该应用程序后攻击者即可控制受害者电话或者手机然后允许攻击者窃取帐户凭据私钥等更多信息导致钱包被盗。

4、“钱包升级”

攻击者通过社会工程学收集到用户邮箱确定用户经常使用的钱包app对其定向攻击发送伪造的官方app升级邮件下载后使用与官方无异但是会收集用户信息私钥助记词等。

5、“二维码盗币事件”

攻击者将预先准备好的恶意二维码发送给用户攻击者诱导用户使用钱包扫描二维码进行转账用户输入指定金额后确认转账交易实际运行的是用户approve授权给攻击者USDT的过程随后用户钱包大量USDT丢失攻击者调用TransferFrom转走用户USDT。

6、“在线云平台账号被盗”

多数人将秘钥/助记词通过截屏、拍照或者拷贝粘贴然后同步保存在云端例如通过邮件、QQ、微信、网盘、笔记等进行传输或存储攻击者会通过攻击这些云端平台账号从而盗取私钥/助记词。

7、“获取空投盗币事件”

攻击者伪造成交易平台或者DeFi/NFT项目攻击者通过媒体社群发起可明显薅羊毛的空投活动攻击者诱导用户使用钱包扫描二维码或者签署交易领取空投 随后受害者账户大量资金被转走。攻击者在空投交易中写授权使得受害者将资金授权给攻击者预先写好的地址

8、“网络钓鱼窃取私钥”

攻击者通过克隆一个知名区块链项目通过精心设计成同原始真实项目一模一样的假项目钓鱼网站对于精心设计的这个钓鱼网站普通用户无法辨别真假通过各种渠道发布这些信息以假乱真这样即可轻易引诱用户访问钓鱼网站并引导他们输入帐户密码或密钥盗取用户钱包中数字资产。

9、“其他钓鱼攻击”

攻击者利用各种热点比如nft发售、nft预售、合约升级项目更换网站、特价nft、中签等为由发送钓鱼邮件内含精心模仿的官方网站、预售平台app下载链接等用户稍不留意就会掉入攻击陷阱。

二:如何保护自己的钱包安全?

私钥安全存储方法

1. 私钥尽量手抄并且需要有私钥备份。

2. 确保助记词的准确性多次校验。

3. 不要截屏、拍照、拷贝、粘贴都会将数据同步到云端。

4. 不要使用邮件传输或存储私钥。

5. 不要将私钥导入未知的第三方网站。

6. 不要在被偷看监控状态下显示私钥输入密码等。

7. 不要将私钥发送给任何人。

8. 不要使用社交网络传递如QQ微信信息根本不安全。

9. 不要明文存储在电脑电脑可能有木马等软件。

10. 大额资产建议用硬件钱包。

资金转存方式

1. 转账时确认转移地址和所在链是否正确

2. 分批次转移资金小额资金转移确认收到后再正常转移资金

3. 地址转账时可能出现字符错误建议使用二维码转账

4. 大额资产与常用资产分类 大额资产存入硬件钱包小额常用资产存入在线钱包。

安全意识

1. 不要点击来源不明的网站一定要对官网进行反复验证

2. 浏览器及时更新使用人数较多的钱包插件极少使用的插件可能会读取数据

3. 手机电脑安全更新及时进行数据备份不要进行越狱及root破解

4. 在官方渠道下载正版软体手机做好备份预案

5. 明确交易签名内容避免资金被莫名授权和转移

6. 选择大的邮箱厂商Gmail、outlook等陌生邮件不要点击不要轻易打开可疑的链接和附件

7. 你的熟人可能被攻击 比如TG让你发资金或者链接

8. 切勿相信一切以索取私钥为理由的空投代币行为。

9. 如果钱包私钥曾泄露需要立即停止使用该钱包

10. 使用独一无二的账户密码使用密码管理器软件比如1password、lastpass。

11. 尽可能不要连接公共Wi-Fi。

12. 避免让别人知道你的生物纹指纹眼纹声纹脸纹等等。