NET:如何判斷你的數字資產是不是真的安全？

—

撰文|?Cobo金庫大掌柜

黑客從來只黑有價值的人，如果你覺得自己很安全，那只是你缺乏被黑的價值

根據近幾年的用戶調研，掌柜發現有相當一部分用戶，即使你告訴他千萬遍“手機端軟件更便捷，更安全”，他們仍然對PC端軟件情有獨鐘。不得不承認，PC端軟件確實有著不可替代的優勢：顯示面積大，鼠標鍵盤交互精確，適合流程復雜、規模更大的操作。

如果一定要使用PC端錢包軟件進行資產管理，我們需要付出兩百倍的安全意識。

安全意識通常來自于對攻擊面的了解，掌柜習慣通過以下3個“靈魂拷問”來判斷：

01｜哪些數據需要保護？

Poly Network攻擊者：想為Poly Network提供有關如何保護其網絡安全的提示:金色財經報道，Poly Network攻擊者再次發布了自問自答。攻擊者稱：“歸還代幣一直是計劃中的。我對金錢不是很感興趣。我知道人們受到攻擊時會很痛苦，但他們不應該從這些攻擊中學到一些東西嗎？我在午夜之前宣布了退還的決定，所以相信我的人應該好好休息。我想為Poly Network提供有關如何保護他們網絡安全的提示，以便他們在未來有資格管理這一10億美金級別的項目。 Poly Network是一個設計良好的系統，它將處理更多資產。”對此網友表示，“在午夜之前”似乎暴露了該攻擊者所處的地理區域。[2021/8/12 1:49:25]

-涉及隱私的敏感信息，如瀏覽記錄、用戶名&密碼、私鑰文件、錢包文件等

高盛：探索如何確定比特幣和其他加密資產的“基本面”:本周，高盛經濟研究團隊的Zach Pandl和Isabella Rosenberg發布報告，探索了如何確定加密資產的基本面問題。報告指出，將加密資產等同于黃金是確定其基本面的常見框架，但除此之外，加密貨幣價格也與其底層分布式網絡的價值有關。報告使用區塊鏈地址估算網絡用戶數量，并與貨幣市值進行比較，觀察到：“市值與網絡規模之間存在明顯的相關性”，且相關性超過1。他們基于歷史數據計算出的平均增長曲線接近價值=用戶數的1.4次冪，這給出了一個利用基本面作為市值參考的基準比率。基于該推斷，報告指出BTC的市值遠大于基本面，其基于用戶增量的價值（基本面）與市值相比存在嚴重偏差。過去幾年，比特幣市值較2018年平均水平上漲520%，但網絡僅增長60-100%。報告認為這一偏差意味著要么比特幣現在被高估，要么2018年被低估，要么兼而有之。但報告也指出，除基本面因素外，加密貨幣上漲還有眾多其他因素，包括情緒，以及它作為一種快速致富的新方式的吸引力。但投機交易帶來的網絡活動增加并不能完全反應基本面的改善，因為平臺并未獲得更高的經濟價值，要使加密貨幣網絡具備可持續價值，活動需要由非投機性用例驅動，而目前此類用例十分缺乏。（雅虎財經）[2021/7/21 1:06:15]

02｜哪些應用程序存在敏感信息？

“華爾街之狼”：正研究如何“大規模”進入加密市場:美國億萬富翁、“華爾街之狼”Carl Icahn表示，正在研究如何“大規模”進入加密市場。 （金十）[2021/5/27 22:48:08]

-如交易軟件、錢包軟件、瀏覽器等

03｜資產管理過程中哪些外部服務易被攻擊？

-如設備的通訊接口、交易軟件、錢包軟件、瀏覽器等

基于以上，我們試著對PC端錢包軟件的各個使用環節展開疑問：

下載安裝：登陸的是不是官方網站？下載安裝的是不是官方軟件？

掌柜之前看到過一個案例，攻擊者“山寨了一整套”下載網站和軟件，山寨軟件植入了專門針對MacOS開發的木馬程序“GMERA”，然后誘導用戶下載，實現盜取Cookie數據、網站瀏覽數據以及獲取屏幕截圖等。

Bicc幣交所早期投資人王小彬：如何在安全前提下實現高速處理是區塊鏈底層公鏈突破重點之一:金色財經現場報道，“2020 Cointelegraph中文大灣區·國際區塊鏈周”8月5日-7日在深圳舉行。Bicc幣交所早期投資人&CWV主鏈基金會管理人王小彬跨洋連線“公鏈下一輪，CWV2.0如何回答”，他表示，如何在安全的前提下實現高速處理是區塊鏈底層公鏈突破的重點之一。CWV2.0相對傳統公鏈在速度方面優勢非常明顯，因為采用了VRF（隨機驗證方法）共識，CWV2.0在運行過程中，通過隨機函數確保出塊節點的公平性和去中心化控制，同時在塊高度上實現PBFT容錯能力，使得VRF的主鏈更加穩定，在賬本層面可以很好地實現快速出塊。[2020/8/7]

這些被盜的隱私數據即使不包含關鍵的私鑰或者密碼信息，也非常有可能被應用到社會工程學，實施綁架、勒索、詐騙。

版本升級：這是不是官方升級提示？不升級有什么影響？升級前需要備份什么？

Electrum錢包就遭受過持續性釣魚攻擊。黑客利用舊版本的漏洞，給用戶發送升級提示，誘導用戶升級到“攜帶后門”的客戶端后，竊取私鑰。

首先，肯定是鼓勵大家持續升級的，新版本通常會包含：新功能，體驗優化，修復bug。但是，升級前請務必檢查：①升級包是否來自官方；②私鑰/錢包文件是否已備份。

錢包文件備份：文件是什么內容？如果是私鑰，觸過網嗎？觸過網后還安全嗎？

還是以Electrum錢包為例，創建新錢包，會生成一個WIF私鑰文件。這個私鑰文件會被用戶自定義的密碼加密。

私鑰就是資產所有權，即使被攻擊，只要私鑰沒泄露就還有可能保住資產。對于PC端保存的私鑰文件，有以下三種主流攻擊方式：

■?木馬程序竊取私鑰文件+誘導用戶輸密碼/暴力破解密碼

■?木馬程序/蠕蟲病惡意加密+勒索贖金

■?直接損壞私鑰文件或者電腦設備

那么，實現上述攻擊的路徑又有哪些呢？

■?釣魚網站/釣魚郵件

在瀏覽網頁和查看郵件時，一個簡單的點擊動作就足已中招，木馬/病在不被察覺的情況下已下載運行。

現在很多重視安全的企業都會實行隨機內部演練，運維工程師和一級部門負責人也會上中招名單——安全意識再強，也會有翻車的時候。

■?USB設備

所有USB設備都有一個微控制器芯片，可以被重新編程固件或寫入惡意代碼。

常規攻擊路徑：

①準備一個可以被重新編程的USB設備，成本20不到

②植入惡意代碼

③插入電腦，惡意代碼自動執行

USB攻擊還包括利用USB協議/標準與操作系統交互中的漏洞實施攻擊，如掌柜之前提到過的冷啟動攻擊。

冷啟動攻擊-demo

還有一種更為極端的情況：USB電氣攻擊，插入電腦后可觸發電力超載，對設備造成永久性破壞。

交易簽名：收幣地址會不會被替換？簽名的時候密碼會不會被偷窺？

綜上，下載到山寨客戶端，收幣地址被替換的可能性存在；惡意程序可以實現遠程監控鍵盤輸入或攝像頭，密碼也存在被偷窺的風險。

簡單總結：了解攻擊面-->建立安全意識-->敏感操作保持懷疑態度。

掌柜會堅持督促大家學習，用知識武裝自己的數字資產。因為，最終資產安全的程度取決于你的安全知識，而不是使用了多么硬核的錢包工具。

頭圖byNeONBRANDonUnsplash

Tags：NETETWWORTWOMETANETDarwinia Crab NetworkWorld of LegendsFuture data network

Gate.io