保护加密钱包免受网络窃贼攻击的实用指南
网络钓鱼攻击比特币
MetaMask 是一款功能强大的加密钱包,让数百万加密货币用户和爱好者能够通过浏览器扩展或移动设备访问以太坊和区块链生态系统,使钱包持有者能够轻松访问 Web 3.0(网络发展的下一阶段)、存储和交换加密货币、代币和 NFT。
伴随着这种强大功能而来的是保护加密钱包及其资产的重大责任。作为非托管钱包,MetaMask 和其他加密钱包无法访问钱包访问密钥(也称为秘密恢复短语)、钱包的私钥或有关加密钱包持有者的任何信息。这就是为什么钱包持有者全权负责保护钱包及其秘密恢复短语和私钥。
非托管钱包被黑客攻击并资产被盗的主要原因是持有者丢失或泄露了钱包的秘密恢复短语或私钥。这些秘密恢复短语和私钥使犯罪分子能够完全访问钱包,并将所有资产转移到犯罪钱包。
在撰写本文时,针对非托管钱包持有者的当前常见且成功的攻击包括:
持有者泄露秘密恢复短语或私钥:
- 持有者将秘密恢复短语提供给犯罪分子。最常见的欺诈发生在犯罪分子冒充 MetaMask 或加密钱包员工、技术援助、帮助台或善意的加密专家,声称要帮助解决技术问题、防止账户关闭,或在提供种子短语后提供免费代币(空投)。
- 持有者将秘密恢复短语输入到网络钓鱼网站或软件中,包括假冒的 MetaMask 网站、技术支持表格、币交易所和类似系统,这些系统要求提供秘密短语以恢复钱包、修复错误、进行购买、接收免费空投等任何其他伎俩。
- 持有者的秘密短语或 MetaMask 移动 QR 码被录像,例如,当持有者在键盘、设备或纸上书写或输入秘密短语时。
- 受害者泄露了他们的私钥。例如,他们被要求提供私钥以赢得奖励或“质押”。
受害者设备感染了窃取秘密恢复短语或私钥的恶意软件
- 受害者打开通过电子邮件、社交媒体消息或聊天接收的受感染文档、视频、软件或恶意文件。成功的感染依赖于受害者打开来自他们认为可信的个人或系统的受感染链接或文件。
- 受害者下载看起来像合法区块链软件的恶意软件。
- 受害者安装虚假的 MetaMask 扩展或应用程序。
- 受害者安装虚假的钱包或扩展,并使用犯罪分子生成的秘密短语(腐烂种子)。
- 受害者安装受感染的钱包扩展,窃取秘密恢复短语。
为了保护我们的社区和钱包持有者,MetaMask 安全团队持续监控并拆除犯罪分子设置的网络钓鱼基础设施,然而,犯罪分子可以在被拆除之前迅速改变策略并危害用户。
因此,避免成为网络犯罪的受害者并丢失钱包及其资产的最佳方法是预防。以下是您必须遵循的最低步骤,以确保钱包安全:
- 绝不在任何情况下与任何人或任何事物分享您的秘密恢复短语或私钥。
- 保护安装钱包的设备,至少安装信誉良好的防病毒/端点保护软件,启用全盘加密、自动更新、密码管理器以及设备不使用时锁定屏幕。这是一篇好文章:https://securityinabox.org/en/guide/malware/
- 仅在受信任的设备上安装钱包。
- 参加培训以提高安全意识。
- 如果账户中有大量资产,请考虑使用硬件钱包。
- 在与人员或解决方案互动时,即使您认为认识他们或认为解决方案安全,也要自行尽职调查。欺诈者擅长说服受害者采取会危害其钱包的行动,例如:
- 冒充商业提案、公司员工、开发人员、加密爱好者,要求打开受感染的电子邮件、链接、视频或文档,将受害者引导至网络钓鱼网站或感染持有者的设备。
- 邀请受害者到海外地点参加商业提案,并强迫他们提供秘密短语。
偷窃是错误的,人们不应该这样做。但在我们的社区找到保护资产的新方法以及执法部门加强监管和惩罚的同时,保护您的在线资产取决于您自己。