花式亏钱姿势赏鉴
0x7fed
December 12th, 2021

看标题大家应该能猜到,这次是关于安全的一篇文章。最近经历或者了解了一些事情,我觉得有必要跟大家说说。安全这个事儿适合不定时的去提醒,让你时刻保持警惕。

转账

就在一个月之前,我清理矿币。正常操作是复制矿币合约地址,去1inch卖掉。变成USDT打去交易所。非常简单的一个操作。结果我复制交易所地址没复制上,粘贴了矿币合约的地址,也没有注意就打出去了。过了一段时间我说怎么钱还没到,一看所有USDT都打到矿币的合约去了。其实我每次都会去核对地址,这次可能有点着急忽略了,就是这样导致了几千刀的损失…

联系了矿币项目方,项目方表示神仙也取不出来。仔细看看那个合约里面还有其他两个倒霉蛋的币。也联系了泰达官方,因为是在以太坊上面,我觉得泰达应该可以解决。结果泰达回复我的意思是认为我和矿币的项目方有经济纠纷,只能让我的律师提出正式的申请…我这一听这不芭比Q了。

经过这次之后,只要用小狐狸钱包转账,我都是在地址簿里面先记录地址再打上标注,转账只给地址簿的地址转账,避免粘贴的操作。希望大家也像我一样,这样虽然可能麻烦点,但是会安全很多。

钱包

前几天IDEX有个空投,只要在Polygon上的IDEX交易所刷200刀交易量就可以领。我把这个信息分享了一下,有位同学看到了,也积极的去刷了,她的做法我详细说一说。

打开了IMtoken钱包,切换到了Polygon网络,看看自己哪个地址有MATIC,这样就方便她操作了。翻了一下,看到一个地址有零点几个MATIC,她觉得够了,转钱进去。她准备去做个LP,去搞一些质押奖励。存入两个稳定币,组LP,存入,睡觉。

就在她存入的一小时之后,这个地址又动了。取出质押的LP,拆开,全部发送到另一个新建的陌生地址。这个陌生地址通过跨链桥转到以太坊去,看合约记录也不知道跨链到了哪个地址,只知道去了以太坊。

然后这位朋友就来联系我了,问我什么情况,我说这明显就是私钥被盗了,你是不是存网上了。她去仔细看了看钱包,突然想起来。这个地址是之前她跟很多人都在用的共享的地址(就是几个人合伙之前做了一些事情,都知道这个钱包的私钥)…所以就有了被盗的事情发生。

很多朋友跟她一样,有个好习惯,多地址,但是也恰恰因为地址太多了,分不清都是干啥的。里面再混入一些“共享”地址就是大坑了…多地址的同学一定做好备注,这种共享地址一定不要存在钱包里面,可以单独用一个钱包放,混在一起难免出事情。

代码

我不是搞了一个技术学习小组嘛,现在也已经来了大概300来人了,虽然跟隔壁撸空投每天都是激烈的讨论不一样,每天聊天比较少,如果有讨论也是技术问题。但是还是有人乐意来做一些分享。把自己的代码分享给大家。

就叫他Y同学吧。Y同学分享了一份在PancakeSwap上交易的代码,我看了非常不错。Y同学把代码传到了GitHub上。很不幸他忘记了删除自己的私钥…传上去没多久他自己也发现了这个问题,马上去删除了,也就5分钟的时间。但是他这个钱包的资产还是被一洗而空…

在GitHub上有很多机器人在监控,只要是公开可以看到的代码,都会在里面找一些诸如:private key、pk、wallet等等关键字,看看这些私钥或者助记词能不能恢复,里面有没有资产,有的话直接转走。据说你上传之后几秒钟,他们就可以找到你并且拿走你的资产…

更不幸的是,Y同学的服务器好像也被黑客攻破了。上面存放的几个项目里面的私钥都被洗干净了…

做开发的同学更要注重自己的代码安全和服务器安全。虽然我在服务器运维这一块不是很专业,但是还是给出一些建议,希望能帮助到大家。

  1. 资产分散,多地址,损失降到最小。
  2. 私钥不在代码中,拿出来放到单独的文件存储,git提交时排除该文件。
  3. 有条件的私钥可以做个加密,使用时解密,加密私钥可以每次手动输入不存储。
  4. 服务器不要使用用户名、密码登录。
  5. 服务器最好用处单一,不要一台服务器网站、数据库、各种工具都跑,风险极大。
  6. 服务器漏洞补丁一定打好、关闭无用端口,尽量选择大的运营商机房。

资产找回

前两天在科学家DAO看到了一个帖子:

追回资产的焦急心情可以理解。但是资产被盗了能找回的人有几个呢?身边经常听到各种被盗的事情,但是真正找回来钱的人可太少了…

普及防盗小知识这个事情可以做,也可以定时去给大家敲警钟,没啥问题,就怕我说了你不做,该丢还要丢,知行合一说得简单做的难。

至于让科学家找回来资产这就是…

首先来说科学家没有那么大的能力能瞬间从对方钱包搞回来钱,一般都是追踪地址有没有流入交易所,让交易所去冻结。交易所一般会先冻结,让你去开具法律文书才可以给你找回资产。这其中也非常艰难。

第一个头疼的事情有没有人愿意为你去追踪,可能需要一个这样的DAO组织,听说有人在做了…很多小白不太会追踪,这种事情只能找专业的人士。

第二就是钱有没有流入混币器,如果去龙卷风混币,那神仙也不知道钱去了哪里,找回来也就更是不可能…

第三流入交易所的第一时间能不能通知交易所,要知道现在的交易所太多了,你只能等到你的资产真正流入进去再去通知交易所。所以这里还需要做个机器人去监控。

最后就是法律文书又没人给你开具,有没有机关会管你这个事情?毕竟那么多文件都传达了参与风险自负的精神,如果你没点内部人士估计没人会愿意给你收拾这个烂摊子。

由于这些原因,所以大部分人资产被盗,都是默默咽下这口气…

最后

道路千万条,安全第一条。这不是口号,是要你时时刻刻保持警惕!你看我今天就说了各种亏钱的姿势,如果你不注意,早晚有一天你会有你独特的姿势…

我还建议如果你有精力,最好学点区块链相关的技术知识。起码要学会看合约地址,追踪一下资金流向。读一些基本的智能合约代码,让自己知道这个合约干了啥,对你的资产做了啥…如果你想学编程可以看看我上一篇文章:

另外你又有哪些独特的亏钱姿势呢?欢迎评论区写出你的故事…让大家也长长见识…

Arweave TX
V3Ro_3Qqtq4OjMD5WNd9J-82xCdkkigaDmlxO9xyn7s
Ethereum Address
0x7fed8d3000b3EB6c3bd27B584D78Da75a9B67266
Content Digest
0NWfuGEn2TlQe1C8pFC5LoFh3BEh9HvZbkHgE_o0xj4