加密反黑客指南：多種措施保護好個人資產

2024年8月18日 12:42

作者：INSIGHTFUL；編譯：深潮TechFlow免責聲明

本指南無法保證任何內容，并不是從「加密或網絡安全專家」的角度編寫的，而是基于多個來源和個人經驗的不斷學習成果。

例如，我自己在剛進入這個領域時就曾因害怕錯過（FOMO）和貪婪而受騙（假直播詐騙和假MEV機器人詐騙），因此我花時間認真學習、設置和理解安全性。

不要成為那個因為失去一切或大量資產而被迫學習安全的人。黑客攻擊還是用戶錯誤？

所有類型的錢包、Tokens或NFT的「黑客攻擊」或妥協大致可分為兩類：

濫用先前授予的Tokens批準。

私鑰或助記詞泄露（通常發生在熱錢包上）。Tokens批準

Tokens批準實際上是允許智能合約訪問并移動您錢包中特定類型或數量的Tokens的權限。

例如：

給予OpenSea權限以移動您的NFT，以便您可以出售它。

給予Uniswap權限以使用您的Tokens進行交換。

作為背景信息，基本上Ethereum網絡上的一切，除了ETH，都是ERC-20Tokens。

ERC-20Tokens的一個特性是能夠授予其他智能合約批準權限。

如果您想進行核心DeFi交互（如交換或橋接Tokens），這些批準在某個時候是必需的。

NFT分別是ERC-721和ERC-1155Tokens；它們的批準機制與ERC-20類似，但適用于NFT市場。

MetaMask(MM)的初始Tokens批準提示提供了幾條信息，其中最相關的是：

您正在授予批準的Tokens

您正在與之互動的網站

您正在與之互動的智能合約

編輯Tokens權限數量的能力

加密反黑客指南：多種措施保護好個人資產無限制與自定義限制批準（ERC-20Tokens）

許多DeFi應用默認會提示您對ERC-20Tokens進行無限制批準。

這樣做是為了改善用戶體驗，因為它更方便，不需要未來可能的額外批準，從而節省時間和gas費用。

加密反黑客指南：多種措施保護好個人資產

NFT批準

「setApprovalForAll」用于NFT

這是一個常用但潛在危險的批準，通常在您想出售NFT時授予值得信賴的NFT市場。

這使得市場的智能合約能夠轉移您的NFT。因此，當您將NFT出售給買家時，市場的智能合約可以自動將NFT移動到買家那里。

此批準授予對特定集合或合約地址的所有NFTTokens的訪問權限。

這也可能被惡意網站或合約用來竊取您的NFT。

加密反黑客指南：多種措施保護好個人資產

硬件/冷錢包

熱錢包通過您的計算機或手機連接到互聯網，密鑰和錢包憑證在線或本地存儲在您的瀏覽器中。

冷錢包是硬件設備，密鑰在完全離線的狀態下生成和存儲，并且物理上靠近您。

考慮到一個Ledger的價格大約為$120，如果您有超過$1000的加密資產，您可能應該購買并設置一個Ledger。您可以將Ledger錢包連接到您的MetaMask(MM)，以便在保持一定安全性的同時享有與其他熱錢包相同的功能。

Ledger和Trezor是最受歡迎的選擇。我喜歡Ledger，因為它與瀏覽器錢包（類似于Rabby和MM）的兼容性最好。

購買Ledger時的最佳實踐

始終從官方制造商網站購買，切勿在Ebay或Amazon上購買——可能會被篡改或預裝惡意軟件。

確保您收到物品時包裝是密封的。

第一次設置Ledger時，它會生成一個助記詞。

只能將助記詞寫在物理紙上，或者在未來將其寫在鋼板上，以確保您的助記詞短語防火防水。

絕不要拍攝或在任何鍵盤（包括手機）上輸入助記詞——這會將助記詞數字化，您的冷錢包將變成不安全的熱錢包。

加密資產并不是存儲在硬件錢包上，而是「在」由助記詞短語生成的錢包中。

助記詞短語（12-24個單詞）是所有的一切，必須不惜一切代價保護和安全。

它提供對所有在該助記詞短語下生成的錢包的完全控制和訪問權限。

助記詞不是特定于設備的，您可以將其「導入」到另一個硬件錢包中作為備份（如果需要）。

如果助記詞丟失或損壞，并且原始硬件錢包也丟失、損壞或被鎖定，您將永久失去對所有資產的訪問權限。

有多種助記詞存儲方法，例如，將其分成多個部分，增加部分之間的物理距離，存放在不明顯的地方（例如，冰箱底部的湯罐，您財產地下的某個地方等）。

至少您應該有2-3份副本，其中一份應為鋼制，以防水和火災。

「私鑰」類似于助記詞短語，但僅針對一個特定錢包。它通常用于將熱錢包導入新的MetaMask(MM)賬戶或在自動化工具（如交易機器人）中使用。第25個單詞-Ledger

除了原始的24個單詞助記詞，Ledger還提供一個可選的額外安全功能。

密碼短語是一項高級功能，可以將您選擇的最多100個字符的第25個單詞添加到您的恢復短語中。

使用密碼短語會生成一組完全不同的地址，這些地址無法僅通過24個單詞的恢復短語訪問。

除了增加安全層，密碼短語在您受到威脅時還能提供合理的否認。

如果使用密碼短語，務必安全存儲或準確記住它，逐個字符并區分大小寫。

這是針對「$5扳手攻擊」這種身體威脅情況的唯一和最終防御措施。

為什么要經歷這么多麻煩來設置硬件錢包？

熱錢包將私鑰存儲在連接到互聯網的位置。

通過互聯網被欺騙、誤導和操縱以泄露這些憑證是極其簡單的。

擁有冷錢包意味著，騙子需要物理上找到并獲取您的Ledger或助記詞才能訪問這些錢包及其內部資產。

助記詞一旦被泄露，所有熱錢包及其中的資產都將面臨風險，即使那些沒有與惡意網站或合約互動的資產也不例外。過去人們被「黑客攻擊」的常見方式

過去人們通過熱錢包遭遇「黑客攻擊」（助記詞短語泄露）的常見方式包括：

被欺騙下載惡意軟件，例如通過工作機會PDF、測試版游戲、通過Google表格運行宏，或模仿合法網站和服務。

與惡意合約互動：在模仿網站進行FOMO鑄造，或與未知空投或接收的NFT合約互動。

將密鑰和助記詞插入或發送給「客戶支持」或相關程序/表單。