注册
登录
| 关键词: 钱包 黑客 诈骗者 Metamask 入侵 使用 密码 用户 如果 代币 |
在加密世界中,DeFi的发展越来越迅速,在日新月异的环境中,找到新的收益产生计划并避开垃圾项目和庞氏骗局是一个不小的挑战。DeFi有一个明显的特点,那就是必须使用像Metamask这样的非托管钱包来与DeFi交易所进行交互。当然,Metamask目前运行良好,但遗憾的是,用户在它的安全性方面尚有疑问,毕竟加密世界中挤满了黑客与诈骗者。如果自己没有认真保管钱包,就算你在黑客攻击中损失了超过10万美元,也无从追溯。更可悲的是,即使这么大的金额也不足以让任何在线取证公司或执法机构有兴趣试图收回资金。因此,使用像Metamask这样的非托管钱包,你必须真正依靠自己保护自己的资金。
如果你在网上搜索相关的被盗事件,你会感觉到几乎每个使用Metamask的人都会被黑客入侵,因为相关的帖文数不胜数。不过好消息是,这通常不是真的,其实只有一小部分Metamask用户被真正的黑客入侵了。此外,各种网络帖文中大多数被黑客入侵的用户都是对DeFi交易相当陌生的用户,他们缺乏基础知识,并且尚未了解保护Metamask钱包必须采取的所有重要步骤。不过对于另外一部分的用户来说,黑客攻击有时仍然会发生,但这些攻击要罕见得多,并且通常涉及到一些用户错误。从这个意义上说,使用Metamask等钱包就像从事跳伞等冒险运动一样——您必须确保100%的正确完成所有操作。否则,一个粗心的错误可能就会清除您的帐户,使您的资产蒙受损失。
为了避免被黑客入侵(或者如果您已经被黑客入侵,以防止再次被黑客入侵),必须了解为了保护帐户而必须采取的所有步骤:该做什么,不该做什么,以及如何防止诈骗者对您的帐户产生了歪心思。因此,让我们来看看Metamask用户被黑客入侵的最常见方式,以及如何避免它们。
1. 假钱包骗局
这实际上有些罕见,但它确实发生了,我们要极力避免下载到假的钱包应用。Metamask的官方网站是您应该下载并安装钱包的唯一站点。一些黑客会创建虚假的Metamask网站,并使用Google Ads在Google搜索结果的顶部显示这些网站以此来欺骗用户下载并用来偷走你的私钥。此类假网站有一个被黑客入侵的Metamask应用版本,允许用户创建一个钱包并像真实的钱包一样添加资金,但随后假钱包就会将用户的资金发送到黑客的钱包。所以需要仔细观察确保自己每次使用的都是Metamask的官方版本。
2. 暴露您的助记词 这是大多数人们被黑客入侵的最常见方式。当您创建Metamask钱包时,钱包会向您显示一个由12个单词组成的的助记词,这可以让您在紧急情况下恢复并导入钱包。助记词的作用实际上是保护这个钱包的私钥,以人类的可读形式展现。您不应该向任何人展示您的助记词,就像保护您的私钥一样。这意味着: (1)当钱包向您展示助记词时,请仅将其写在一张纸上,然后将其安全地存储在您居住的地方或安全的地方。您可以将其存放在保险箱中,或银行的保险箱中,或只有您知道它在哪里的地方。如果您有其他人住在您的住所中,您请不要信任任何人,请不要让那个人靠近您的硬拷贝助记词。 也不要以数字方式存储您的助记词,例如您的计算机或手机上。黑客只需访问您的文件系统或云备份,您的助记词就会被泄漏。 (2)不要用照相手机拍摄助记词的照片。黑客可以通过某些手段访问手机的照片集(例如通过入侵手机或入侵在线备份等),只需搜索任何带有助记词的照片。找到助记词后,您的资产受到侵害,游戏结束。 (3)不以数字形式存储助记词的唯一例外是值得信赖的高度安全的密码管理器或机密管理器服务,例如如Dashlane或1Password。但依然有许多知识渊博的人也回避这种做法,由此可见,妥善的物理保存方式在应对黑客攻击时,是最为简单有效的。
但是,在创建钱包时仅保护助记词是不够的。您必须时刻警惕试图以其他方式窃取您助记词的黑客和网络钓鱼诈骗者。不要随意用您的钱包联络到您不熟悉的网络。钓鱼诈骗可以通过多种通信渠道发生,所以请不要点击陌生人给您发送的任何文件,或者任何链接。
3. 恶意软件和键盘记录程序
确保您的电脑免受病毒,恶意软件和键盘记录程序的侵害也非常重要。电脑是工作,教育,文档编写,向家人发送电子邮件的绝佳工具,同时它也是玩游戏,共享文件的绝佳平台。一些别有用心的网站可能会尝试用病毒或恶意软件感染您的计算机。使用防病毒软件和反恶意软件来始终保持计算机清洁至关重要。一些严肃的加密投资者甚至会独立用一台完全专用于加密投资的计算机,而另一台计算机用于所有其他风险以及日常用途。
受感染的计算机有几种方式可能导致您的钱包被黑客入侵: (1)诈骗者可以在您的计算机上安装键盘记录软件,并可以记录您的按键,包括您的密码。如果可以访问您的密码,则您的钱包现在可供诈骗者使用。
为了防止密码被暴力破解,您必须使您的密码无法猜测。例如使用混合了大写和小写字母,数字和符号的长密码。始终确保您的密码长度为12个字符或更多,越多越好。密码中的每一个附加字符都会使猜测成倍地变困难。即使同时使用大小写以及数字和符号组合,7或8个字符长度的密码也很容易被暴力破解,但如果想要暴力破解15个字符长的密码则需要很长时间,请您始终使用尽可能长的密码。
4. 诈骗交易 另一些诈骗网站使用的另一个技巧是首先让您连接到他们的网站,然后要求您签署一项或多项交易,以允许他们花费您的硬币。听起来很低级,但是在DeFi的世界中,所有正规的分布式交换平台(DEX)也会要求您这样做,这正是DEX的特点之一。这样一来,便极大的增加了用户的分辨难度。在默认情况下,各类DEX都要求您授权该网站从钱包中交互无限量的硬币或代币。一些诈骗网站正是使用DEX的这一特性来让用户放松警惕,以此侵害您的钱包,并将您的代币或硬币发送到诈骗者自己的钱包。更有甚者,会诱骗您允许交互您钱包中的所有种类硬币,而不仅仅是单一类别。
为避免这种情况,您必须首先确保与合法站点进行交互。如果该网站看起来有任何问题,请不要签署任何交易,直到您彻底研究它并确信该网站是合法的。您还可以始终编辑交易上限值,以允许网站仅花费可用硬币的一小部分进行一定程度的防范。
5. 灰尘攻击(Dust Attack)
此外,还有一种方式被称为"灰尘攻击",诈骗者向您发送一些垃圾代币空投。这些代币与恶意智能合约代码相关联,当您尝试出售这些垃圾币以获取利润时,这些代码将会榨干您的钱包。我怀疑这也许就是Metamask不会自动在您的帐户中显示令牌的原因之一,除非您明确添加它们。只有当您在相应的区块链浏览器(etherscan,snowtrace等)中输入钱包地址时,您才会看到它们。如果您在钱包中发现未知或不熟悉的代币,除非您确定这些令牌来自合法项目,否则最好忽略它们,不要去贪图小便宜。
使用硬件钱包避免这些问题 任何认真的加密投资者都会告诉你,通过将硬件钱包连接到您的帐户,几乎可以完全消除上述问题。但值得注意的是,将新的硬件钱包连接到现有的Metamask钱包地址几乎没有额外的保护,请记得始终将硬件钱包地址导入Metamask并使用该地址。
保持警惕 可悲的是,诈骗者永远会继续设计新的方法来入侵您。黑客和安全专家(以及用户)之间有一场永无止境的升级战争,因此您必须继续保持谨慎,并确保自己永远不会做任何愚蠢的事情。如果你真的被黑客入侵了,重要的是弄清楚你做错了什么。我看到太多人在网上想要责怪Metamask,但这些人不知道他们做错了什么,最终再次被黑客入侵。我们越是共同努力弄清楚这些损失是如何发生的,就越容易帮助彼此和我们自己,从一开始就避免被黑客入侵。
原文链接:https://medium.com/@marcilgen_70414/how-your-metamask-got-hacked-probably-795abca4534a 翻译:云飞扬 审编:XL 加入欧科链讯社区,掌握区块链世界最新动态! 电报频道:https://t.me/ok_telegraph 电报社区:https://t.me/ok_telegraph_forum Twitter:欧科链讯 电报搜索“欧科链讯”关注我们不迷路哦~ |
| 本文出处: https://www.toutiao.com/a7076383681933247007/ |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
