jakiro
背景
錢包在 Web3 世界中扮演著至關重要的角色,它們不僅是數字資產的存儲工具,更是用戶進行交易和訪問 DApp 的必要工具。在上一期 Web3 安全入門避坑指南中,我們主要介紹了錢包的分類,並列舉了常見風險點,幫助讀者形成基本的錢包安全概念。隨著加密貨幣和區塊鏈技術的普及,黑產也盯上了 Web3 用戶的資金,根據慢霧安全團隊收到的被盜表單,可以看到有許多用戶是因下載/購買假錢包而被盜。因此,本期我們將探討為什麼會下載/購買到假錢包,以及私鑰/助記詞的洩露風險,還將提供一系列的安全建議,幫助用戶保障資金安全。
下載到假錢包
由於很多手機不支持 Google Play Store 或者因為網絡問題,很多人會從其他途徑下載錢包,比如:
第三方下載站
一些用戶會通過第三方下載站如 apkcombo、apkpure 等下載錢包,這些站點往往標榜自己的 App 是從 Google Play Store 鏡像下載的,但是其真實安全性如何呢?慢霧安全團隊曾對 Web3 假錢包第三方源進行過調查分析,結果顯示第三方下載站 apkcombo 提供的錢包版本實際上並不存在。一旦用戶在開始界面創建錢包或導入錢包助記詞,假錢包就會將助記詞等信息發送到釣魚網站的服務端。
搜尋引擎
搜尋引擎的結果排名是可以買到的,這也就導致出現過假官網排名還比真官網靠前的情況,因此不建議用戶直接通過搜尋引擎搜索錢包,然後點擊排名靠前的連結來下載錢包,這樣很有可能會進到一個假官網,然後下載到一個假錢包。用戶在不清楚官網網址是什麼的情況下,僅憑網站的展示頁面很難判斷出這是不是個假網站,因為騙子製作出的假網站與真官方網站極為相似,可以以假亂真,因此,也不建議用戶在推特或其他平臺上點擊其他用戶分享的連結,這種多為釣魚連結。
親友/殺豬盤
區塊鏈黑暗森林裡要保持零信任,你的親友或許並沒有要害你的想法,但是他們下載到錢包可能是假的,只是暫時還沒有被盜,所以如果你通過他們分享的二維碼/連結下載錢包,那麼也有可能下載到假錢包。
慢霧安全團隊收到過多份殺豬盤事件的被盜表單,騙子的套路往往是先獲取受害者信任,然後引導受害者參與加密貨幣投資並分享假錢包的下載連結,最後結局是受害者即被騙了感情,又損失了資金。因此,廣大用戶應對網友保持警惕,特別是對方拉你投資或發不明連結給你時,不要輕信。
Telegram
在 Telegram 上,通過搜索知名錢包,我們發現了一些虛假官方建立的群組,騙子會自稱該群是某錢包的官方頻道,甚至在群內提醒廣大用戶認準唯一官方官網連結,然而這些連結都是假的。
應用商城
需要特別提醒的是,官方應用商城裡的應用不一定安全,一些不法分子通過購買關鍵詞排名引流等方式誘導用戶下載欺詐 App,請廣大讀者注意甄別。
那麼,用戶怎麼做才能避免下載到假錢包呢?
官網下載
找真官網的能力不僅在下載錢包時會用到,用戶後續參與 Web3 項目時也會用到,所以我們在這裡講下如何找到正確的官網。
用戶或許會直接在推特上搜索項目方,然後根據關注人數、註冊時間、有沒有藍標或金標來判斷這是不是官方號,然而這些都是可以造假的,此前我們就在真假項目方 | 警惕評論區高仿號釣魚這篇文章裡給大家講過出售高仿號的黑灰產。因此,建議新入門的小白先在推特上關注一些行業內的安全公司、安全從業者、知名媒體等,看看他們有沒有關注你找到的官方號。
(https://twitter.com/DefiLlama)
通過上述方法,用戶大概率找到了真的官方推特號,但是我們還需要做多方驗證,畢竟官方推特號被黑事件屢見不鮮,黑客還會把官方號上掛的官網連結替換成假官網連結,因此用戶需要把剛剛找到的官網連結跟通過其他渠道(如 DefiLlama, CoinGecko, CoinMarketCap 等)找到的連結對比:
(https://defillama.com/)
(https://landing.coingecko.com/links/)
找到並確認好官網連結後,建議用戶把連結保存到書籤,這樣下次可以直接從書籤中找到正確的連結,而不用每次都重新找和確認,減少進入假官網的概率。
應用商城
用戶可以通過官方應用商城如 Apple Store,Google Play Store 等下載錢包,但是在下載前,一定要先查看應用開發者信息,確保其與官方公布的開發者身份一致,還可以參考應用評分、下載量等信息。
官方版本校驗
看到這裡的部分讀者或許會想,那該如何驗證自己下載到的錢包是不是真錢包呢?用戶可以做文件一致性校驗,這個操作是通過比較文件的哈希值來確定文件是否在傳輸或存儲過程中發生了更改。用戶只需要將之前下載到的 apk 文件拖入文件哈希驗證工具中,這個工具就會使用哈希函數(如 MD5、SHA-256 等)生成文件的哈希值,如果這個值與官方給出的哈希值匹配,則是真錢包;如果不匹配,則是假錢包。如果用戶驗證出自己的錢包是假的話該怎麼做呢?
1. 首先要確認洩露的範圍,如果只是下載了假錢包但沒有輸入私鑰/助記詞,那麼只需刪除該應用並重新下載官方版本即可。
2. 如果私鑰/助記詞已經導入到了假錢包,意味著私鑰/助記詞已經洩露,請到官網下載正版錢包並導入私鑰/助記詞,新建一個地址來快速轉移可轉移的資產。
3. 如果您的加密貨幣不幸被盜,我們將免費提供案件評估的社區協助服務,僅需要您按照分類指引(資金被盜/遭遇詐騙/遭遇勒索)提交表單即可。同時,您提交的黑客地址也將同步至 InMist 威脅情報合作網絡進行風控。(註:中文表單提交至 https://aml.slowmist.com/cn/recovery-funds.html,英文表單提交至 https://aml.slowmist.com/recovery-funds.html)
購買到假硬體錢包
以上說的情況是為什麼會下載到假錢包和解決措施,我們再來說說為什麼會購買到假硬體錢包。
有些用戶選擇在線上商城購買硬體錢包,但是這種非官方授權店鋪的硬體錢包有非常大的安全隱患,因為在錢包到用戶手上之前,會經多少人之手,內部組件是否被篡改過,這些都是不確定的。如果內部組件被篡改過了,從外表和功能上是很難看出問題的。
(https://www.kaspersky.com/blog/fake-trezor-hardware-crypto-wallet/48155/)
以下是我們提供的一些應對硬體錢包供應鏈攻擊的方法:
官方渠道購買: 這是解決供應鏈攻擊最有效的辦法。不要從非官方渠道購買硬體錢包,如線上商城,代購,網友等。
檢查外觀: 拿到錢包後先檢查外包裝是否有被破壞過的痕跡,這是最基本的,雖然黑客大概率不會在這一步就暴露。
官網真機驗證: 部分硬體錢包提供官網真機驗證服務,用戶初始化錢包時,設備會提示用戶進行官網真機驗證。如果運輸過程中設備被篡改,將無法通過官網真機驗證。
拆機自毀機制: 可以選擇購買帶拆機自毀機制的硬體錢包,當有人試圖打開硬體錢包並篡改內部組件時,會觸發自毀機制,安全晶片內的敏感信息將全部自動擦除,設備也將無法繼續使用。
私鑰/助記詞洩露風險
通過上述內容,大家應該學會怎麼下載或購買到真錢包了,那麼如何保管好私鑰/助記詞又是一個問題。私鑰/助記詞是恢復錢包和控制資產的唯一憑證。私鑰是由字母和數字組成的 64 位長度的十六進位字符串,助記詞則一般由 12 個單詞組成。慢霧安全團隊在此提醒,如果私鑰/助記詞洩露,錢包資產就極有可能被盜,我們來看幾個導致私鑰/助記詞洩露的常見原因:
保密不當: 用戶可能會把私鑰/助記詞告訴親友,讓他們幫忙保存,結果資金被親友盜走。
網絡存儲或傳輸私鑰/助記詞: 一些用戶儘管知道私鑰/助記詞不應該被告訴給別人,但他們會通過微信收藏、拍照、截屏、雲端存儲、備忘錄等方式來保存私鑰/助記詞。一旦這些平臺帳號被黑客收集並成功攻破,私鑰/助記詞很容易被盜取。
複製粘貼私鑰/助記詞: 許多剪貼板工具和輸入法會將用戶的剪貼板記錄上傳到雲端,使得私鑰/助記詞暴露在不安全的環境中。而且,木馬軟體也可以在用戶複製私鑰/助記詞時盜取剪貼板中的信息,因此,不建議用戶複製粘貼私鑰/助記詞,這個看似沒有什麼問題的行為實際上存在很大的洩露風險。
那麼如何避免私鑰/助記詞洩露呢?
首先,不要將私鑰/助記詞告訴任何人,包括親友。其次,儘量選擇物理介質保存私鑰/助記詞,避免黑客通過網絡攻擊等手段獲取私鑰/助記詞。例如,將私鑰/助記詞抄寫到質量好的紙上(還可以塑封)或者使用助記詞密盒來保存。另外,設置多重籤名、分散存儲私鑰/助記詞等方式也可以提升私鑰/助記詞的安全性。關於如何備份私鑰/助記詞,大家可以閱讀慢霧出品的《區塊鏈黑暗森林自救手冊》:https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md。
總結
本期文章主要講解了下載/購買錢包時的風險,找到真官網和驗證錢包真偽的方法,以及私鑰/助記詞的洩露風險。希望本期內容可以幫助大家走穩進入黑暗森林的第一步,下期我們將講解使用錢包時的風險,如被釣魚、籤名、授權風險,歡迎追更。(Ps. 本文提到的品牌及圖片,僅作輔助讀者理解之用,不構成推薦與擔保)。
