LOADING...
LOADING...
LOADING...
当前位置: 玩币族首页 > 区块链资产 > 行走笔记:二宝,涉及钱包安全的三个案例

行走笔记:二宝,涉及钱包安全的三个案例

2021-10-22 行走 来源:区块链网络

随着BTC被纳入美国ETF的实现,加密市场的波动开始加剧。正向看是波动意味着获利机会,但另外一面,国内加密世界越来越成为一个“黑暗森林”,期间的风险只能由个人去承受。

本篇笔记来自微博账号:宝二爷郭宏才的视频分享。二宝分享了三个有关钱包安全的案例,包括下载到假钱包导致资产被盗,网页钱包被安装了插件,导致私钥泄露以及假冒大V带单。同时他也分享了自己预防钱包风险的一些心得。

以下,Enjoy:

这次和大家聊聊钱包安全。按道理有很多知识型播主已经把钱包安全问题都讲完了,这些都是常识了。B圈发展这么久了,应该不会有人使用钱包的时候丢Coin。但最近连续发生了三起事件,都是丢bi事件,而且都发生在老用户身上。

交易所不让中国用户放BI了,很多人就要把Coin提出去。但好多山寨币一是不值钱,二是没有钱包接纳,所以就把所有的山寨币全部换掉,换成BTC或者ETH,USDT等稳定币提到钱包里。

结果问题就出现在提到钱包这个过程中。大部分人没有在交易所丢过币,交易所丢币很难,因为黑客想要黑掉交易所太难了。

下面我把三个丢Bi的案例讲一讲。

一、访问假钱包

国内比较著名的几个钱包,IMToken、比特派、最新兴起的库神钱包、Cobo钱包,还有各个交易所做的钱包。市场占有率比较高,大家比较认可的主要是做得时间比较久的,以太坊上的钱包IMToken。

IMToken的官方网站上经常性的会提示,现在有一些诈骗和钓鱼网站。尤其是百度搜索出来,安卓版的IMToken的钱包,好多在应用市场上下载的IMToken的钱包,都是黑客自己做的钓鱼的,假的钱包。当你把token转进去,瞬间就被转走了。

当中国交易所清退中国用户时,很多用户折腾了一圈,把山寨币换成了BTC或者ETH,USDT等稳定币,往外提的时候,却下载了一个山寨版的IMToken钱包。当然不止是IMToken,各大钱包都在被山寨,都在安卓市场上有很多假钱包。当你往这些假钱包里打Bi,就被劫持了、转走了。

有没有办法追回来呢?没有办法,把谁找来也没办法。Bi一旦被转走,在去中心化的世界里就很难再找回来。这样丢失Bi的人最近不在少数。

所以这些主流钱包的官方网站上都会提醒大家,下载正规和官方的钱包。

后来又出现了钱包也不支持中国用户访问了,禁止中国IP地址访问钱包。但这一直不是什么问题,很多人会用VP嗯的模式访问。就像中心化交易所,币安早就不支持中国IP访问了,但大家还是一直在用,是因为都在泛强使用币安。

钱包因为是不KYC认证的,所以用户无法找回,丢了就是丢了,谁来也不好使。

所以当你还不具备能力安全使用钱包的时候,首先还是要学习如何来安全的使用钱包

二、电脑使用钱包被盗私钥

第二个案例是10月13号发生的事,用的钱包是国外最火的MetaMask小狐狸。这个钱包本身并没有什么问题,但好多人都习惯用电脑的网页浏览器装一个插件,去登陆MetaMask。但电脑是否安全就是个问题了。

我说的这个案例,丢的不多也不少,快100万RMB了,不过也就两个BTC。这是个老用户、老玩家。他的电脑一直使用数字货币的交易所,但很少使用数字货币的钱包。他自己认为自己的钱包是安全的,钱包早就生成了地址,但一直没有往里面打钱。这次操作了一把,打了两个BTC,然后就睡着了。第二天醒过来发现Bi被转走了。

经过找安全专家咨询,才知道这台电脑由于长期访问各种网站,早就中了木马了。电脑已经被劫持,除了Bi被转走,其实用户的数据,包括照片、通讯录等早就被黑客劫持了。

黑客很聪明的,除了盗取Bi,还会做钓鱼。并不把Bi都提干净,还留了400美金的ETH。当用户发现钱包了还有一点ETH,会觉得应该不是钱包出了问题,如果出了问题应该全部都转走。正想往钱包里继续打token继续用。安全专家告诉他,这就是黑客在钓鱼,故意给你留了一点ETH,让你误以为钱包的安全的。你可能是被智能合约劫持。

有的人是自己点了哪个授权,允许了哪个智能合约导致的丢币。这种情况如果不把token转走,还继续往钱包里转账,一瞬间就可以把token都转走。拼速度,你是赢不了机器人的,智能合约都是机器在盯着数据,Bi打进钱包,一瞬间就能转走。

那要如何避免这件事呢?不要用你平时用的那台电脑操作数字货币。我们做操作的正确方式,首先要买一台苹果的电脑,最新的不过一千美金。再去买一个硬件的U盘一样的钱包。生成的钱包私钥一定要配合这台平时除了操作数字货币交易以外,不怎么使用的电脑。这样做你就安全了。

因为即使黑客知道了你MetaMask钱包的密码,也无法把你的Bi转走。因为转的时候必须在硬件钱包上点两下,不点转不出去。这样就做了物理隔离。黑客只能劫持电脑,无法改变你转账的物理行为。

这个案例中犯错误的大部分是Bi圈老手。如果你要参与Defi挖矿,或者投资Uniswap上的炒笔,去中心化的操作,不要用手机操作。千万不要在你的手机上放token、Coin或者钱。一定要单独有一台电脑单独操作。除了几个必要的软件登陆,其他一律不要碰。

要做好完全的物理隔离。我不讲专业细致的东西,比如具体哪家公司做的钱包怎么使用,硬件钱包怎么使用。只是想告诉你们还要接着玩的,一定自己确保自己笔的安全。

以前大家都指望交易所,现在只能指望自己。所以你们要去学习数字钱包的使用,别一把回到解放前。

无论是用哪家的APP钱包,一定要买一套硬件钱包配合使用。我以为这是常识,结果真有的人为了省这几百块钱不买。结果Bi就丢了。

丢了黑客就把Bi转到了去中心化的网络里,根本找不回来。都是匿名的,谁都找不回来。去中心化的世界找谁都不好使,不是JC不给你找,是找了也找不回来。

三、冒充KOL欺诈

第三种是发生在我身边的故事。大家知道我只有微博和微信账号。但经常可以看到微信上有用我的头像在各个群里,包括朋友圈更新都和我一样的账号,网上几百个是有的,封了就有几百个了,但依然会层出不穷。

有的人同时有我的真的微信,同时有假的微信。假的微信就和他聊天,要他投资山寨币,或者拉到山寨币的群里,要他拿自己的大饼以太去换山寨。大家想想,我一个退休的人,连录视频的时间都没有,哪有时间给大家一一加好友,再推荐什么项目?

但有的人就不动脑子。他也不找我核实一下。我每次录视频都会把我的手机号公布出去:13935402564。包括其他平台上用我ID的一些视频,也不是我更新的。我也没有微信公众号。

而且有一点,你如果被这样骗了,报案是不管的。原来报案JC会不好意思,是因为找不着人,只能把骗你的微信号封了,之后就没有然后了。但自从924公告发布以后,如果你被人骗了Bi了,报案人家都不受理了。924公告已经写了,Bi的风险要自己承担,有关部门不管了。

所以各位一定要自己小心。李林、Vitalik、孙宇晨、赵长鹏这些人,就连我这退休的都没时间,不要说这些开交易所、做公链的老板们,哪有时间推荐你们买什么呢?这就是个博傻的。

很多人会在群里遇到假的KOL的头像。但有的人就真以为比如孙宇晨有时间和你聊天,让你投资两个ETH就真投了。这种被骗的我觉得纯粹智商的问题。傻子太多,骗子都不够用。

大家记住,我没时间和你们主动聊天,用我头像和你们主动聊天的都不要相信。我没时间,更多比我大的KOL更没时间。

前几天我朋友圈发了四个钱包官方下载的图片,网址就写在了图片上。然后就有人问我,链接能给我发过来吗?我连理都没理,忽略、不回复。图片上已经写了链接你都不看,还要我打一遍……这种小白问题自己解决。

我只能告诉你们,黑客已经迭代了。即使你们下载的是官方的钱包,但电脑中毒了怎么办?如果你的钱包本身不安全,黑客可能在你第一次转钱的时候并不提走,而是等着你转更多进来的时候,一次性把你的钱拿走。

有些小提示和小技巧可以分享:

大家一定要把冷钱包、硬件钱包用起来。不要指望你的手机、电脑。

有人会说我用的是苹果手机、苹果电脑。第二个案例里丢的用的就是苹果电脑。苹果只是个电脑,但浏览器被劫持了,在浏览器上生成的私钥就会被黑客黑掉。而如果是在硬件上生成私钥,起码转账的过程黑客无法完成最后一步,因为需要手动的点硬件上的确认才能转走。

很多人还会觉得我已经买了硬件钱包,把bi往里一放就永远丢不了。不存在的。这里面有百步,错一步就是全错。

我有个哥们,自己拿个本本写好了助记词,但密码没有登记在本子上。而他用的正好是库神钱包,因为库神钱包只有助记词是恢复不了的,必须还要登陆自己的账号密码。那哥们当初设置了一个密码,忘了。怎么试都试不出来,几百个BTC就拿不出来了。

谁也解决不了这个问题。听说有办法可以重复的试,但费老鼻子劲了,也不好解决。

普通的IMToken钱包、Cobo钱包,忘了密码,只要有助记词,导入一个新的地址,里面的Bi是可以恢复的。但库神钱包不一样,密码和助记词要同时备份。

更可笑的是,有些人助记词、密码全记了,记录的本子丢了。也不想着买个保险柜,把本子放保险柜里。

有的人觉得自己租的地方挺安全,但也没装摄像头。助记词记在本子里,有人物理的进来把本子拿走了也不知道。

之前钱包丢Bi的主要是因为偷懒,助记词本来应该用笔记在纸上、本上,他就截个屏,就把助记词12个或15个单词记录下来了。但助记词这样截图照片在手机上,传到云端,不知道怎么就泄露了。一旦泄露你的Bi就可能被别人转走。

在转账时,你要和对方确认地址。不能只是后四位,要前四位,后四位都对得上。而且最好是对方用语音告诉你,他地址前四位,后四位。听完了核实是他的声音,是他的地址,留个证据,都没问题了再去转账。因为有人的微信可能被盗、被劫持、被黑了。比如你老婆微信号被盗了,给你打个地址过来要转账。你一懒没核实,就给打过去了。

短信也会出问题。之前有个币圈大佬,把自己的私钥记在Gmail邮箱里,Gmail邮箱必须手机输入验证码。结果验证码被黑了,然后黑客登陆到他的邮箱里,把邮箱里的助记词拿走,一把把Bi就提走了。

所以就不要相信互联网的各种软件、电脑、邮箱、手机都不安全。你就老老实实的拿个本本记下来,助记词、密码、账号都记下来,也别把本子丢了。把本本安安全全的放在一个地方。

最好不要一个本,而是备份一本。我们真正的打法是钢印,直接把助记词敲在铁板上。着了火都不怕。而且这个本子不能放在家里。要放到安全的,多个银行的保险柜里。你要确保Bi你自己都够不着,就放在那不动了。

还有更牛的,就是做信托。Bi多的可以考虑信托,其他人就自己管理好就行了。数字货币最终是去中心化自行治理的DAO生态。生态中有各种可能性,不要以为黑客离你很远,其实离你很近。你不能保证自己的手机、电脑是安全的。

白帽黑客会知道互联网里充满了各种风险,Crypto的token就是案板上的肉,谁都可以从你手里抢走、吃掉。加密世界里有大量的人研究黑客技术,去偷和盗Bi。

希望大家明白,你的Bi自从离开交易所,没人给你负责,你要自己负责。别指望黑客偷了会还回去。

以上是笔记的全部内容。

根据央行等部门发布“关于进一步防范和处置虚拟货币交易炒作风险的通知”,请读者严格遵守所在地区法律法规,不参与任何违法违规的投资行为。本文内容仅用于信息分享,不对任何经营与投资活动推广进行背书,请读者提高风险防范意识。

—-

编译者/作者:行走

玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。

LOADING...
LOADING...