区块链EXP(区块链常见安全风险与防御)
由于安全大类与细类过多,这里分享的仅是冰山一角的安全内容,结合最近的热点事件,需要特别注意的几个点,分别是钱包安全、交易所安全以及安全意识。
一、钱包安全
数字资产钱包分为中心化钱包和去中心化钱包,两者有很多的不同,从安全防御的角度也各有侧重。
中心化钱包
账号密码安全:强口令、不与其他网站密码相同。
2FA:短信、google二次验证。
去中心化钱包
私钥/助词记/KeyStore安全:离线备份、多副本
中心化钱包
中心化钱包安全主要是保障账号密码安全,密码复杂度要高,比特币购买同时不与其他网站的密码相同;此外尽量开启登录二次认证,使用短信验证码或者Google Authenticator认证App。
去中心化钱包
去中心化钱包主要是关注私钥、助记词、KeyStore的安全,备份的时候不要使用网盘、云笔记、iCloud等,尽可能离线备份,同时多备份几个地方。
有关钱包的攻击事件:
2月14日,思科Talos安全团队披露了一个名为Coinhoarder的恶意广告行动,截至发文时,Coinhoarder已经净赚5000万美元,尤其是2017最后一个季度1000万美元的暴利。
在这个事件里面使用的攻击手法是钓鱼网站,攻击者注册了几个和比特币钱包blockchain。com很相似的域名,并完整克隆钱包网站,然后买Google的关键词广告,让钓鱼网站排在官方网站的前面,用户不认真看的话,就点击第一个打开了钓鱼网站,输入账号密码就被攻击者获取了,然后攻击者就登录blockchain。com把币转走。
第二个攻击事件是4月24日发生的MyEtherWallet遭遇DNS劫持
这次用户访问的网址是正确的,但浏览器会提示证书错误,很多用户不了解发生了什么,仍然执意进行转账、合约调用等操作,攻击者利用js窃取私钥、助记词,然后盗走用户的资产。
另外一个特别要注意的是,不要在任何网站上输入你的私钥、助记词,很多攻击者打着空投、“转1返10”的旗号招摇撞骗,引诱你输入私钥、助记词,要切记不要贪小便宜。
二、交易所安全
关于中心化交易所
这部分的安全防范措施和中心化钱包很多是相同的,主要是账号密码安全和二次认证。因为其实交易所也可以当作钱包用,可以收款、可以转账。
额外的一个注意点是交易API Key的安全,涉及安全的存储、传递、备份,同时尽可能配置调用IP白名单,这样即使API Key泄露了,攻击者的IP不在白名单内也无法操纵你的账户。
有关交易所的攻击事件:
一个真实的攻击是币安遭遇的大规模钓鱼攻击,和前面比特币钱包钓鱼网站不同的是,币安钓鱼网站使用的域名和binance单词的顺序是完全一样的,同时SSL证书也是正常的。
奇妙之处是binance两个字母n下面有个小点,不是特别仔细看的话很难辨识出来,攻击者利用社交网站自动转化短域名的方式,在推特、脸书等海外社交平台大量传播钓鱼网站,窃取账户密码。
其他对数字货币的攻击方式:
今年3月20日,趋势科技发布年度安全报告时总结了7种黑客非法获取加密货币的方法,详情如下:
1。带挖矿恶意程序的APP
2。在各个社交媒体平台上传播的挖矿僵尸网络
3。直接攻击加密货币钱包
4。入侵“技术支持”网站
5。使用挖矿脚本的网站,如CoinHive JS
6。带挖矿恶意程序的攻击工具包,如Struts2漏洞攻击EXP
7。散布挖矿工具的广告网络
三、安全意识
核心点是记住“天下没有免费的午餐”;另一方面是惯性信任提防,不可信的文档都丢进虚拟机里打开、不可信的链接都在隐身模式下打开,同时不轻易给出名片、信用卡、微信、手机号等,因为这里面包含大量个人身份信息,可被攻击者用于组合密码。
手机安全方面的一些建议
1、指纹解锁;2、非越狱;3、关闭iCloud;4、出门关闭WiFi、蓝牙;5、付费购买优质软件(iFiles 2、1Password)
1-4点很好理解,第5点中的IFiles 2是iOS上的App,可禁用网络权限,然后存储一些非常隐私和重要的内容在里面,一方面可以设置访问密码,手机丢了别人也看不了;另一方面禁用网络权限后不会被同步到云端。
1Password是密码管理软件,不常用的网站可以用这个App生成高强度随机密码,需要登录网站时打开1Password复制密码去登录。
这样可以降低记密码的工作量,只要记核心、重要的密码就好了,同时减少密码被泄露的可能性(小网站被脱库也不泄露你的核心密码)
电脑安全方面的建议:
Q&;A
Q! 谈一谈助记词,私钥和keystore和验证密码之间的联系和区别以及各自的作用
A! 私钥、助记词就像是钱包大门的钥匙,有句形象的比喻是“私钥、助记词就是你的数字资产,获得他们就是获得资产的控制权”。
Q! 能否介绍1、2种有效的保存备份助记词,keystore和私钥的方法?
A! 安全的备份方式是离线备份,可以写在纸上,记得多抄写几份,放不同的地方保管。
Q! DNS劫持是如何做到的?是不是每一个网站都有这个风险?网站方要如何避免这个风险?如果无法避免,通常怎么判断一个网站是否被劫持了?
A! DNS劫持一般是在关键的网络运营商链路上进行,当然家庭路由器上的劫持也存在。因为这个是被动的,作为网站管理方,无法控制劫持的发生,关于规避,可以配置HSTS头部(HTTP Strict Transport Security),当发生劫持时,用户的浏览器会自动拒绝加载,使其无法被盗取。
Q! 什么是隐身模式打开链接?怎么隐身?
A! 隐身模式是Chrome、Firefox等浏览器自带的功能,在隐身模式内,所有保存的cookie都不会被加载,相当于在新安装的浏览器里打开网站,这样可以避免攻击者在网站内窃取你的网站登录会话。
Q! 虽然已经设置了IP白名单,攻击者是否能用IP伪装技术来冒充白名单连接提供服务的服务器,又或者会有其他技术可以绕过白名单?
A! 首先攻击者得知道你设置的白名单IP是多少,其次如果交易所存在IP伪造的漏洞,那就趁早离开这家交易所吧。
Q! 请推荐一些常用的简单的虚拟机,可以用来丢文件进去打开。
A! VMware、VirtualBox,Mac上推荐Parallels Desktop,记得别用破解版,推荐买正版软件,或者官网下载安装包然后找注册码激活。
Q! 问个偏技术的问题,开发一些应用时,因为自动化的需要,一些关键的账户信息需要保存在内部的某些文件或者代码中,请问如何保护这些账户的数据(助记词,keystore+密码数据等等)?
A! 可以采用微服务的架构,把签名交易这部分拆分出来到单独的服务器部署,同时源码编译或加密后上传,“最小化”原则。
Q! 很多比特币的丢失是因为自己忘记了密码,不建议网络备份好像更容易忘记吧?
.jpg)
A! 首先还是推荐离线备份,如果为了便利性一定要在线备份,建议用刚才说的 iFiles 2保存,记得关闭网络权限。
Q! 问题7:请问有没有一些高等级的黑客技术可以在不知道你的助记词,私钥,或者keystore+密码的情况下盗取你的账户中的数字资产的?如果可以的话,请问这是用什么方式做到的?我们要如何防范?
A! 这种攻击方式我们披露过,以太坊黑色情人节事件,以及新型攻击手法里都是这样,具体原理和过程可查看:https!//mp。weixin。qq。com/s/Kk2lsoQ1679Gda56Ec-zJg 和专题网站:https!//4294967296。io/eth214/
Q! 注册码激活是不是也有被植入风险?
A! 不会,注册码只是一个字符串,安装后输入,只要保证安装包是官网下载的就好,同时可以下载后校验下hash值。
","content_hash"!"acad3a20
评论