YOLO
you only live once
上面这句话是WEB3的名言:你只能活一次
在web3,我们提倡自由,匿名,摆脱web2的中心化监管,信息泄漏,数据滥用
🌏 Web3为我们带来了绝对的个人数据掌控、去中介化的经济模式、创新的金融工具、去审查的言论自由和信息传播、去中心化应用和自治组织、以及共享经济和去中心化市场的机会。它赋予了个人更大的权力和自主性,推动了金融和社交领域的创新,以及建立了更开放、自由和公平的互联网生态系统
🌑 去中心化主导下,也同时衍生了弊端,WEB3资产一旦被盗,将很大可能无法追回
CertiK 发布的《2023 年第一季度 Web3.0 行业安全报告》
报告中指出,2023年第一季度,恶意行为者从 Web3.0 协议中盗取了超过 3.2 亿美元的价值。然而这个数字仅为 2022 年第四季度 9.5 亿美元资产损失的的三分之一,约为 2022 年第一季度 13 亿美元资产损失的四分之一
🛡️ 所以安全问题是每个web3er不可忽视的问题
🥎 本文将为大家带来WEB3的安全知识手册
🎱 常见的钓鱼类型
🎱 安全知识手册
🎱 安全应用推荐
🎱 安全课程入门
🎱 常见的钓鱼类型
▪️社交工程钓鱼
▪️高仿 NFT 域名
▪️签名授权钓鱼
▪️MetaMask假钱包
▪️伪造的空投和代币销售
▪️剪贴板安全
-
社交工程:攻击者可能通过社交媒体、电子邮件或即时通讯工具伪装成合法的实体,诱骗用户提供敏感信息、私钥或执行恶意操作,以获取他们的数字资产
常用的有discord机器人钓鱼🎣
案例:周杰伦的NFT被一个Discord网络钓鱼攻击窃取
2022年4月1日,流行歌手周杰伦在Instagram上透露,他的无聊猿NFT被钓鱼网站窃取
-
高仿 NFT 域名*:*攻击者可能创建虚假的NFT市场或拍卖平台,声称提供稀有或独特的NFT作品。他们会要求用户提供钱包地址或私钥,并以此来偷取用户的数字资产
-
***签名授权钓鱼:***攻击者可能伪造看似正规的授权请求,要求用户在钱包中签署某个交易或授权操作。然而,实际上,这些授权可能会被用于未经授权的操作,例如转移资金或执行其他恶意操作
-
***MetaMask假钱包:***攻击者可能伪装成钱包提供商或软件开发者,发送虚假的更新通知。当用户下载和安装这些伪造的更新时,可能会导致用户的钱包被入侵、私钥被窃取或数字资产被盗
-
***伪造的空投和代币销售:***攻击者可能宣传虚假的代币空投或代币销售活动,吸引用户提供个人信息、钱包地址或付款,从而骗取用户的数字资产
-
***剪贴板安全:***市面上大部分的Dapp都会默认授权获取剪切板的权限,所以当你复制钱包私钥的时候,这个环节极有可能被读取。剪切板被恶意授权,你复制的合约地址可能在发送的时候被替换掉
🎱 安全知识手册
保护钱包
-
创建强密码:选择长而复杂的密码,并使用密码管理器来安全地存储和管理密码
-
使用硬件钱包或者MPC钱包:MPC,即多方计算(Multi-Party Computation),是一种允许多方共同计算一个函数输出结果,而又不需要把各自的输入值告诉对方的技术
-
备份和加密钱包:定期备份您的钱包,并将备份文件加密存储在安全的地方,以防止数据丢失和未经授权访问
-
存储私钥
·永远不要与任何人分享
·切勿将其存储在云中(或计算机上的任何地方)
·备份并脱机存储
警惕钓鱼和恶意攻击
-
验证网站和应用:在访问或使用任何网站、应用或DApp之前,确保验证其官方来源,避免点击可疑链接
-
警惕社交工程攻击:不要轻易相信来自陌生人或未经验证的信息,避免透露个人敏感信息
-
防范恶意软件:定期更新操作系统和应用程序,使用可信的防病毒软件,并避免下载来路不明的文件和应用
智能合约安全
-
审查智能合约:在参与任何ICO、代币销售或使用新的DApp之前,仔细审查智能合约的代码和审核报告,确保其安全性和合规性
-
小心使用未经验证的合约:避免使用未经验证的智能合约,尤其是与资金操作相关的合约
-
审慎授权操作:在进行签名授权或批准交易之前,仔细阅读和理解操作的范围和影响,避免授权未知或可疑的合约
保护个人隐私
-
使用匿名钱包:考虑使用匿名钱包或隐私导向的加密货币,以保护您的交易和个人隐私
-
避免公开透露个人信息:在社交媒体和公共论坛上,避免公开透露与您的数字资产相关的个人信息
🎱 安全应用推荐
本文作者:推特 @0xkevin00
🔥 硬件钱包 & MAC
如果有条件,硬件钱包和MAC是必选项,OS系统比Windows更加安全,mac拥有强大的权限管理和沙盒环境,并且在默认配置中启用了一些安全功能,如应用程序签名和Gatekeeper
🔥 MPC钱包
如果预算有限,那么可以用MPC钱包,MPC的安全性和私钥管理方面相比于市面上传统的钱包更具优势
MPC:即多方计算(Multi-Party Computation),是一种允许多方共同计算一个函数输出结果,而又不需要把各自的输入值告诉对方的技术
🌟OKX今年的每款产品都很能打,这种以重研发的能力可见一斑,不论是实用性和安全性,不仅满足了用户的需求,还引领了行业的发展趋势。最为代表性的就是OKX MPC
以OKX 的MPC钱包为例,OKXMPC是目前行业第一个2/3的多链无私钥钱包,
创建钱包时,OKX 服务器生成一份私钥碎片 1,用户设备生成私钥碎片 2 和私钥碎片 3
其中私钥碎片 2 加密保存在用户设备上
私钥碎片 3 加密备份到 iCloud 或 Google Drive
交易签名时使用私钥碎片 1 + 私钥碎片 2,私钥碎片 3 用作备份
OKX MPC钱包的优势:
无需保管私钥:消除单点故障 OKX 的无私钥钱包由于是多方共同创建,故不会出现一个完整的私钥在一台设备上,而是三方各自拿到一份私钥碎片,任何 1 个碎片都不具备单独掌握钱包地址中资产的能力,即使你手上的私钥碎片被盗取,他人也无法通过单个碎片来控制钱包内的资产。
丝滑的用户体验:低门槛进入 Web3 世界 助记词或私钥让用户进入 Web3 的门槛变高,无私钥钱包一方面能坚持 Web3 的原则,即让用户自己保管个人资产,另一方面又能将 Web2 的良好体验------无需保管助记词或私钥带给用户
更低的私钥恢复成本:如果私钥碎片丢失或被盗,无私钥钱包可以执行私钥碎片的刷新功能,用新的私钥碎片,替换掉每一方原有的私钥碎片,此时丢失或被盗的碎片约等于被"挂失"
⚠️MPC安全方面:
-
无私钥安全吗?
✅ 无私钥钱包由于私钥不会完整地存储在单个设备上,这反而使它能够解决目前大多数钱包因私钥带来的风险
-
MPC钱包互通吗?
✅ 不能。因为 MPC 算法尚未出现一个业界的统一标准,也没有得到机构级安全设备的原生支持,多数为定制产品,故 OKX 的无私钥钱包无法迁移到另一钱包 App上。另外,由于你手里存有2 份私钥碎片,故可通过私钥碎片 2 和私钥碎片 3 恢复完整私钥,此过程不需要 OKX 参与。恢复完成后可以转为传统钱包倒入到其他APP中
-
OKX跑路影响钱包使用吗?
✅ 不影响,无私钥钱包将私钥碎片分存于OKX服务器、用户设备和云备份。如OKX不可用,可通过紧急出口功能使用2份碎片恢复私钥,转出资产。点击菜单图标,选择钱包安全,紧急出口,输入"ESCAPE"并密码即可
-
私钥碎片泄漏了怎么办
✅ 如果存在你设备上的私钥碎片泄漏了,可以使用云恢复,连接上 iCloud 或 Google Drive 获取私钥碎片 3 到本地,恢复钱包。钱包成功恢复后,3 片私钥碎片会全部重置。此重置过程不会改变用户的钱包地址,资产也不会受到影响
-
使用无私钥钱包是中心化的行为吗?
✅ OKX的无私钥钱包是去中心化、非托管的多链钱包。虽然使用了服务器和云备份,但平台无法接触用户资产,保护隐私。即使平台出现问题,通过私钥碎片恢复钱包也能提取资产,安全性更高。无私钥钱包让你无需担心私钥管理和泄露的风险。
-
OKX MPC钱包开源吗?
✅ 开源,GitHub - okx/threshold-lib: Threshold Signature Scheme, 2-of-n, for ECDSA and Ed25519。
🔥 撤销授权应用
🔐 mycointool工具
🔐 revoke工具
🔐 浏览器取消授权
ETH链:https://etherscan.io/tokenapprovalchecker
BSC链:https://bscscan.com/tokenapprovalchecker
arb链:https://arbiscan.io/tokenapprovalchecker
OP链:https://optimistic.etherscan.io/tokenapprovalchecker
Matic链:https://polygonscan.com/tokenapprovalchecker
Avax链:https://snowtrace.io/tokenapprovalchecker
🔥* 安全插件*
**joinfire:**阅读智能合约并通知你签署后将发生什么
**metashield:**识别签名风险
🎱 安全课程入门
📒 推特 @WTFAcademy_ 编写的Solidity 的入门教程:
📕慢雾创始人的web3黑手册:
写在最后:
特别是web3撸毛圈的小伙伴,一定一定把钱包做好隔离,不要发生单点被破,全部阵亡的情况,不仅亏完本金,辛辛苦苦撸了一年的空投拱手让人
