新品推荐！获得100万美元的钱包地址私钥怎么办？

假如有天，一个神秘人送给你一个价值100万美元的钱包地址私钥，你会怎么处理呢？

如果你很好奇，接下来这篇文章非常适合你。

这是OKX Web3《安全特刊》第01期，特邀加密行业顶尖安全机构——慢雾安全团队与OKX Web3安全团队，分享用户真实遭遇的案例并提供有价值的干货。

慢雾安全团队：感谢OKX Web3的邀请。慢雾(SlowMist)是行业领军的区块链安全公司，我们通过安全审计及反洗钱追踪溯源等服务帮助客户，并建立了强大的合作网络。2023年，我们协助客户及公开被黑事件冻结资金超过1250万美元。我们将继续为行业安全贡献力量。

OKX Web3安全团队：大家好，非常高兴可以与大家交流。OKX Web3安全团队致力于保障OKX Web3钱包的安全能力，提供产品安全、用户安全、交易安全等多重防护服务，不断为维护整个区块链安全生态做出贡献。

Q1：能否分享一些真实的被盗案例？

慢雾安全团队：首先，大部分案例是因为用户将私钥或者助记词存储在互联网上。比如，用户经常使用Google文档、腾讯文档、百度云盘、微信收藏、备忘录等云存储服务存储私钥或者助记词，一旦这些平台账号被黑客收集并“撞库”成功，私钥很容易被盗。

其次，用户下载虚假APP后导致私钥泄露。多重签名骗局是典型案例之一，欺诈者诱导用户下载假冒钱包并盗取钱包助记词，随后修改该用户钱包的账户权限，从而抢占该钱包账户的控制权。这类欺诈者往往耐心等待用户账户积累加密资产后一次性转走。

OKX Web3安全团队：慢雾已经介绍了私钥被盗的两类主要情况。第二种情况中，欺诈者利用虚假APP盗取用户私钥的本质是木马程序。这些木马程序通过获取用户输入法、相册等权限，从而盗取用户的私钥。相对于iOS用户，安卓用户更容易遭受木马病毒攻击。以下是两个案例：

案例一：用户反馈钱包资产被盗，经过我们团队排查发现：是因为他通过谷歌下载了被伪装的某数据平台软件，此软件是木马程序。用户认为该软件是官方软件，因为其链接出现在谷歌搜索的TOP5。事实上，很多用户未能识别谷歌提供的链接，容易遭遇木马攻击。我们建议用户加强日常安全防护，如防火墙、杀毒软件、Hosts配置等。

案例二：某用户在投资一项目时，发生了钱包资产被盗的情况。但通过我们的分析排查发现：该项目本身并不存在问题，用户B钱包资产被盗是因为其在Twitter上对该项目评论时被冒充该项目的官方客服盯上，点击并进入虚假链接输入了助记词，导致钱包资产被盗。由此可见，诈骗者的手法并不高明，需加强辨别意识，不轻易泄露私钥。我们的钱包已更新针对该恶意域名的安全风险提示。

Q3：由私钥被盗切入，当前常见钓鱼方式有什么？

慢雾安全团队：据我们的观察，钓鱼活动每个月都在逐步增长。

第一，当前钱包盗贼（Wallet Drainers）构成了当前钓鱼活动的主要威胁，持续以各种形式攻击普通用户。

钱包盗贼（Wallet Drainers）是一种与加密货币相关的恶意软件，这些软件部署在钓鱼网站上，诱骗用户签署恶意交易，从而窃取用户钱包资产。比如，目前比较活跃的钱包盗贼（Wallet Drainers）有：

1.通过社会工程学，获取 Discord Token 并进行钓鱼的 Pink Drainer。社会工程学通俗理解就是，以交流的方式套取用户的私密信息。

2.```html

Angel Drainer 社会工程学攻击域名服务提供商

Angel Drainer，一名网络安全专家，已被发现对域名服务提供商进行社会工程学攻击。在获取了域名帐户相关权限后，Angel Drainer会修改 DNS 解析指向，并将用户重定向到虚假网站等等。

盲签钓鱼：一种常见的网络钓鱼方式

盲签钓鱼是一种常见的网络钓鱼方式，指的是用户在与一个项目进行交互时不清楚所签署或授权的内容，导致资金被盗。以下是一些盲签钓鱼的例子：

1. eth_sign: eth_sign是一种开放式签名方法，允许对任意哈希进行签名。由于普通用户很难理解签名内容，因此存在钓鱼风险。一些钱包已经开始对这种签名进行安全提醒，以减少资金损失风险。
2. permit签名钓鱼: 在ERC20币种的交易中，permit函数允许用户在链下生成签名并授权给指定用户使用一定数量额度的token。攻击者利用permit方法进行钓鱼，获取用户签名后的数据，并盗取用户的token。
3. 隐蔽的create2手法: create2允许开发者在将合约部署到以太坊网络之前预测合约的地址。攻击者利用这一特性为每个恶意签名生成临时的新地址，然后转移用户的资产。

为避免成为网络钓鱼的受害者，用户应在交互之前对项目的官网进行鉴别，并留意是否存在恶意签名请求，同时警惕泄露助记词或私钥的行为。

OKX Web3安全团队多维度防护

OKX Web3安全团队针对常见的网络钓鱼方式提供了多维度的安全防护。以下是用户可能遇到的几种主要网络钓鱼方式：

• 虚假空投类: 黑客通常会针对受害者生成与其地址相似的地址，并进行小额或假代币的空投，以诱骗用户误转资产。OKX Web3钱包能够识别其历史交易并标记为风险，并在用户向其地址转账时进行安全风险提示。

慢雾：如何防范DeFi钓鱼攻击？

2021年5月20日

近期，慢雾钱包发现了一种新型的DeFi钓鱼攻击，攻击者利用诱导签名等方式盗取用户资产。这种攻击手段屡次出现，对用户造成了一定的损失。

根据慢雾团队的研究，DeFi钓鱼攻击主要分为两类：

第一类，诱导用户直接输入私钥或者助记词。攻击者将伪装成DeFi项目方或者钱包官方，诱导用户提供私钥或者助记词，进而盗取用户的数字资产。用户在面对此类信息时，切勿轻信并警惕风险。

第二类，诱导签名类。通常黑客会在知名项目的Twitter、Discord、TG等公众地方进行评论，并发布虚假DeFi项目网址或者领取空投的网址，诱导用户进行点击，从而盗取用户资产。除了慢雾提到的eth_sign、permit、create2等签名类钓鱼，还有一些就是：

方式1：直接转账盗取主链代币。黑客往往会给恶意合约函数起名为 Claim，SeurityUpdate 等具有诱导性名字，而实际函数逻辑为空，从而只转移用户主链代币。当前OKX Web3钱包已经上线预执行的功能，能够显示交易上链后的资产变动及授权变动，对用户进行安全风险提示。

方式2：链上授权。黑客通常会诱导用户签署approve / increaseAllowance / decreaseAllowance /setApprovalForAll 交易，该交易会允许黑客指定地址转移用户的代币资产，并在用户签署后实时监控用户的账号，一旦有对应的资产转入立马转走。针对钓鱼者的安全防护过程是一种对抗，也是一个持续升级的过程。

尽管大部分的钱包会对黑客的授权地址进行安全风险检测，但是攻击者的攻击方式也在升级，比如利用create2的特性，攻击者会预先计算好新地址，因新地址并不在安全黑地址库中，所以可以轻意的绕过安全检测。攻击者会等到有鱼上钩后，再去该地址部署合约，并将用户的资金转走。比如，近期我们也发现不少攻击者，会使用户授权给uniswap.

多重调用合约是一个正规项目的合约，可以绕过安全产品的检测。

方式3：权限变更包括tron权限变更和solana权限变更等。在tron权限变更中，多签是tron链的一个特性。许多钓鱼网站中钓鱼者会将更改账号权限的交易伪装成转账的交易。如果用户不小心签署了这笔交易，用户的账号会变成一个多签账号，用户对其账号失去了控制权限。在solana权限变更中，钓鱼者会通过SetAuthority来修改用户代币的ATA账号的Owner。一旦用户签署了这笔交易，该ata账号的owner就会变成钓鱼者，从而使得钓鱼者拿到了用户的资产。

其他方式：由于协议本身的设计机制等问题，也很容易被钓鱼者利用。基于以太坊的中间件协议EigenLayer的queueWithdrawal调用允许指定其他地址作为withdrawer。用户被钓鱼签署了该交易。七天后指定地址通过completeQueuedWithdrawal获得用户的质押资产。

第三类上传助记词。攻击者通常会提供伪装的空投项目或假打新的工具。诱导用户上传私钥或助记词。具体案例见如上。此外有时也会伪装成插件钱包弹窗来诱导用户上传助记词。

Q4：热钱包和冷钱包攻击方式的差异化

OKX Web3安全团队：热钱包和冷钱包的区别在于私钥的存储方式不同。冷钱包的私钥一般是离线存储，而热钱包通常存储在有网络的环境里。针对冷钱包和热钱包的安全风险会有所不同。冷钱包的安全风险主要包括：社会工程及物理攻击风险和交易过程风险。关于社会工程及物理攻击风险是指，由于冷钱包通常离线存储，则可能存在被攻击者以社会工程手段伪装成亲人或朋友用以访问冷钱包的权限。作为一个物理设备可能被损坏或丢失。关于交易过程风险是指，在交易过程中冷钱包同样也会遇到前面提到的各类空投，诱导签名等场景的攻击方式。

Q5：就像开篇所述“赠送高价值的钱包私钥”，还有哪些另类的钓鱼陷阱？

慢雾安全团队：是的，「故意赠送高价值的钱包私钥」是非常经典的案例。攻击者故意泄露私钥助记词，你将私钥助记词导入钱包后，攻击者时刻监控你的钱包。一旦你转入ETH，就立刻给你转走。这种骗局利用了用户贪小便宜的心理，导入的人越多，损失越多。有些用户会认为“我没有什么值得攻击的”，这种防御低下的心态会让用户变得容易受攻击。任何人的信息对攻击者来说都是有价值的。甚至还有用户认为只要不点击垃圾邮件中的链接就不会受到威胁。但有些钓鱼邮件可能会通过图片或附件来植入恶意软件。

最后对于“安全”我们需要有一个客观的认识，没有绝对安全。网络钓鱼攻击的方式演变很多发展也很快速。大家都应该不断学习提高自我安全意识才是最可靠的。

OKX Web3安全团队：防范第三方钓鱼陷阱是一个复杂的问题，因为钓鱼者往往利用了人们的心理弱点和常见的安全疏忽。人们在警惕的时候往往遇到忽然出现的“大馅饼”时会放松警惕，贪婪会导致上当受骗。人性的弱点大于技术，即使拥有更多安全手段用户也会短期忽略。事后回想起...亲爱的读者朋友们,今天我们要谈谈一个非常重要的话题 - 如何保护好自己的加密资产安全。 我们都知道,区块链技术虽然带来了前所未有的机遇,但同时也面临着诸多安全隐患。不法分子层出不穷,不断研究新的攻击手段来盗取用户的加密资产。 那么,作为用户我们该如何应对呢? 首先,我们必须时刻保持警惕,绝不轻信任何"免费午餐"式的诱惑。攻击者常常会通过欺骗的方式,诱导用户在恶意网站或应用程序中输入助记词或私钥,从而盗取资产。 其次,我们要做到谨慎行事,对所有签名交易数据进行仔细核对,确保自己知道正在签署的是什么交易。同时,也可以考虑对资产进行分层管理,将核心资产存放在冷钱包中,以降低被盗的风险。 再次,我们要提高自身的安全意识,学会识别各种钓鱼攻击手法,并谨慎对待来历不明的软件或链接。同时,也要做好私钥的备份与保管,尽量避免将其数字化存储。 最后,我们要时刻保持冷静理性,不轻易被贪婪和焦虑所蒙蔽。当遇到任何可疑情况时,都要三思而后行,多方验证,避免急于下定论而上当受骗。 总之,在这个日新月异的区块链世界里,我们每个人都要时刻保持警惕,不断提高自我保护能力,才能真正走向财富自由,成为区块链生态的主人。让我们携手共建一个更加安全、可靠的Web3未来!

注册有任何问题请添加 微信：MVIP619 拉你进入群

文章转载注明 网址：https://netpsp.com/?id=64044