搜尋
Close this search box.

Crypto 自我防護手冊,學會這幾招保住百萬美元

去中心化的世界,只有自己才能保護自己。

原文作者:南枳
原文來源:Odaily星球日報

近日,X 用戶@CryptoNakamao發文表示,因Chrome 惡意插件Aggr 導致其瀏覽器Cookies 被挾持,駭客透過此方式操縱其幣安帳戶,透過對敲造成損失達100 萬美元。

針對該事件,幣安發文回應,事件發生的原因是該用戶的電腦本身被黑客攻破,安全客服用時1 分19 秒處理了該用戶的凍結需求,平台排查對敲交易、確認嫌疑人賬戶,跨平台提出凍結需求需要時間,截至目前的檢查結果,幣安在本事件之前並未註意到AGGR 插件的相關資訊。因此對於此類事件無法進行賠償。

這事件再一次為廣大用戶敲響了安全警鐘,由於駭客的專業化程度不斷提升,出現安全事件後往往是神仙難救。因此如何做好安全防範雖是老生常談的話題,但值得以最高優先級對待,Odaily 將於本文總結常見的攻擊與防範手段。

首先針對該事件,如果發現遭到了駭客攻擊,但帳戶內資金還沒被完全轉移時,如何最快速保護剩餘資金?除了向其他帳戶轉移資金外,還可以透過一鍵停用帳戶來保護帳戶,停用後需要聯絡客服方可解凍。

禁用帳戶需要透過幣安 App 進行,首先進入設定介面,然後在介面底部將有“帳戶安全性”板塊,最後再進入板塊底部的“管理帳戶”,點進停用帳戶並確認。幣安目前的官方指引為 2018 年版本,具體執行流程與記者目前實操大不相同,建議用戶提前確認和熟悉具體位置。

Chrome 外掛程式對於 Crypto 用戶來說不可或缺,因此不使用外掛程式並不現實,那麼如何做好 Chrome 的安全使用?用戶可以透過以下幾個方面:

  • 檢查瀏覽器插件權限,不常用的瀏覽器插件可以選擇停用;
  • 多開瀏覽器,對於不同安全等級需求的業務分配不同的瀏覽器;
  • 所有的 Chrome 插件建議都透過官方 X 帳戶所提供的連結進行跳轉,不建議使用 Google 搜索,更不建議使用 X 度搜索,透過以上管道搜索容易遇到付費置頂的釣魚連結,從而遭受損失。官方有義務保持 X 帳戶連結正確,甚至受到攻擊事件時需要對用戶做出賠償。

關於 Chrome 擴充功能的原理和安全問題,慢霧已撰文進行了說明,慢霧首席安全官 23 pds 指出,最關鍵的在於 manifes.json 文件,該文件決定了插件了權限範圍。

如何查看權限範圍?使用者可進入chrome://extensions 介面,該介麵包括了所有在瀏覽器上安裝的插件,點進詳情後能夠看到插件的權限範圍,對於權限為「在所有網站上讀取和更改您的所有資料(Read and change all your data on all websites)」的插件需要慎之又慎。

用戶可透過對不同安全等級需求的業務分配不同的瀏覽器進行安全防護,例如在登陸交易所的瀏覽器上不安全任何插件,對於涉及鏈上資金的瀏覽器僅安全錢包等基礎工具。

常見的 Chrome 瀏覽器多開有兩種方式:

第一種方式是透過官方的帳戶切換方式進行多開,在Chrome 的右上角的帳戶介面,用戶可選擇新增臨時的訪客帳戶或Google 帳戶,新增完畢後點擊新增帳戶即可開啟全新的瀏覽器介面,不同帳號開啟的瀏覽器獨立運行,插件不能跨瀏覽器作惡。且相較下一種方法,具備插件可雲端同步的優勢。

另一種常見的批次建立方法為基於電腦的捷徑進行多開。

使用者可在電腦端複製一個或任意數量的 Chrome 快捷方式,然後在快捷方式上右鍵進入屬性介面,在目標位址的末端輸入

 –user-data-dir=“目標資料夾位址”

即可建立全新的獨立 Chrome 瀏覽器(注意最前面有一個空格),該方法相較前一種方法更加快捷,但需要注意資料都保存在本地,需要做好錢包私鑰等關鍵資料的備份。

由於 TG Bot 的盛行,許多使用者往往會進行直接複製私鑰的操作。此場景下建議不要一次複製完整的私鑰,可留存幾個字母手動輸入,避免剪切板監聽風險。此外關閉APP 與網頁的剪切板讀取權限也非常關鍵,對於網頁端使用者可進入以下連結chrome://settings/content/clipboard,在該介面可對網站的讀取權限進行關閉,在特殊必要的情況下再另行開啟,能夠大幅提升安全性。

近幾個月來,仿冒官方在X 平台發布惡意釣魚連結的情況頻發,這些帳戶往往都為金標帳戶,用戶名與官方一致,僅帳戶句柄存在一兩個字母的差異,難以一眼看出。

對於此類騙局,建議用戶安裝Scam Sniffer 插件,該插件將對 X 平台帳戶進行掃描,提示在評論區出沒的虛假官方帳號。

除了以上可手動檢查和開關的安全操作之外,還有許多基本意識層面的安全要素,包括:

  • 不要在 TG 和 DC 上相信任何私訊連結,僅相信官方帳戶發布連結與訊息;
  • 助記詞和私鑰盡量不觸網,尤其是不要用手機拍照記錄助記詞;
  • 在涉及大額資金的電腦上,避免安裝 todesk等遠端操控軟體;
  • 涉及大額資金的交易所帳戶設定2FA,使用完畢後退出帳戶;

去中心化意味著安全問題永遠不會消失的同時損失難以挽回,駭客的攻擊手段仍在不斷升級,只有自己能保護自己,做好最基本的安全防護才是「活下去」的根本。

加密貨幣屬於高風險投資,本網站內容均不構成任何投資建議與責任。

掌握虛擬貨幣、區塊鏈大小事