月亮链 月亮链
Ctrl+D收藏月亮链
首页 > TRX > 正文

BLOCK:如何判断你的数字资产是不是真的安全?_blockchain是什么意思

作者:

时间:1900/1/1 0:00:00

撰文|?Cobo金库大掌柜

黑客从来只黑有价值的人,如果你觉得自己很安全,那只是你缺乏被黑的价值

根据近几年的用户调研,掌柜发现有相当一部分用户,即使你告诉他千万遍“手机端软件更便捷,更安全”,他们仍然对PC端软件情有独钟。不得不承认,PC端软件确实有着不可替代的优势:显示面积大,鼠标键盘交互精确,适合流程复杂、规模更大的操作。

如果一定要使用PC端钱包软件进行资产管理,我们需要付出两百倍的安全意识。

安全意识通常来自于对攻击面的了解,掌柜习惯通过以下3个“灵魂拷问”来判断:

01|哪些数据需要保护?

-涉及隐私的敏感信息,如浏览记录、用户名&密码、私钥文件、钱包文件等

直播|Claire Wu&马静 > 稳定币和DeFi如何出圈:金色财经 · 直播主办的《 币圈 “后浪” 仙女直播周》第6期直播中,本期“后浪”仙女魔笛手技术开发社区创始人Claire Wu & MYKEY市场负责人 马静将在直播间聊聊“稳定币和DeFi如何出圈”,感兴趣的朋友扫码移步收听![2020/6/24]

02|哪些应用程序存在敏感信息?

-如交易软件、钱包软件、浏览器等

03|资产管理过程中哪些外部服务易被攻击?

-如设备的通讯接口、交易软件、钱包软件、浏览器等

基于以上,我们试着对PC端钱包软件的各个使用环节展开疑问:

下载安装:登陆的是不是官方网站?下载安装的是不是官方软件?

币情观察室 | 如何从小白蜕变成合格的交易者:4月2日11:00,金色盘面邀请行情大V李明成做客金色财经《币情观察室》直播间,将分享《如何从小白蜕变成合格的交易者》,敬请关注,扫描下图二维码即可观看。[2020/4/2]

掌柜之前看到过一个案例,攻击者“山寨了一整套”下载网站和软件,山寨软件植入了专门针对MacOS开发的木马程序“GMERA”,然后诱导用户下载,实现盗取Cookie数据、网站浏览数据以及获取屏幕截图等。

这些被盗的隐私数据即使不包含关键的私钥或者密码信息,也非常有可能被应用到社会工程学,实施绑架、勒索、。

版本升级:这是不是官方升级提示?不升级有什么影响?升级前需要备份什么?

Electrum钱包就遭受过持续性钓鱼攻击。黑客利用旧版本的漏洞,给用户发送升级提示,诱导用户升级到“携带后门”的客户端后,窃取私钥。

动态 | Kyle Samani发推质疑Block.one如何在两年时间花掉 8 亿美元:著名区块链投资机构 Multicoin 创始合伙人 Kyle Samani 发推质疑 EOS 背后的开发公司 Block.one 如何在两年时间中烧掉 8 亿美元。Kyle Samani 发表推文称,如果 Block.one 通过 ICO 融资了 40 亿美元,现在的资产负债表上有 32 亿美元的资产,那么这家有 200 名员工的公司如何在两年时间里花掉了 8 亿美元现金?Kyle Samani 还称,Block.one 进行了 1.8 亿美元风险投资,但这不是支出,即便把这些投资的账面资产都减记为 0 ,时间也不够用。而 Staked.us 的联合创始人 Jonathan Marcus 则表示,Block.one 花费的那 8 亿美元中,最少有 5.3 亿美元用于股权回购,因为 Block.one 过去两年共进行了两次股权回购,一次花费了 3 亿美元,最近又回购了 2.3 亿美元的股权。[2019/6/3]

首先,肯定是鼓励大家持续升级的,新版本通常会包含:新功能,体验优化,修复bug。但是,升级前请务必检查:①升级包是否来自官方;②私钥/钱包文件是否已备份。

动态 | 更多人想通过谷歌知道如何购买XRP:据dailyhodl报道,在谷歌2018年最热门\"How to”搜索中,“How to Buy Ripple”(如何购买XRP)排名第四,“How to Buy Bitcoin”(如何购买BTC)排名第八。[2018/12/14]

钱包文件备份:文件是什么内容?如果是私钥,触过网吗?触过网后还安全吗?

还是以Electrum钱包为例,创建新钱包,会生成一个WIF私钥文件。这个私钥文件会被用户自定义的密码加密。

私钥就是资产所有权,即使被攻击,只要私钥没泄露就还有可能保住资产。对于PC端保存的私钥文件,有以下三种主流攻击方式:

■?木马程序窃取私钥文件+诱导用户输密码/暴力破解密码

■?木马程序/蠕虫病恶意加密+勒索赎金

■?直接损坏私钥文件或者电脑设备

那么,实现上述攻击的路径又有哪些呢?

■?钓鱼网站/钓鱼邮件

在浏览网页和查看邮件时,一个简单的点击动作就足已中招,木马/病在不被察觉的情况下已下载运行。

现在很多重视安全的企业都会实行随机内部演练,运维工程师和一级部门负责人也会上中招名单——安全意识再强,也会有翻车的时候。

■?USB设备

所有USB设备都有一个微控制器芯片,可以被重新编程固件或写入恶意代码。

常规攻击路径:

①准备一个可以被重新编程的USB设备,成本20不到

②植入恶意代码

③插入电脑,恶意代码自动执行

USB攻击还包括利用USB协议/标准与操作系统交互中的漏洞实施攻击,如掌柜之前提到过的冷启动攻击。

冷启动攻击-demo

还有一种更为极端的情况:USB电气攻击,插入电脑后可触发电力超载,对设备造成永久性破坏。

交易签名:收币地址会不会被替换?签名的时候密码会不会被偷窥?

综上,下载到山寨客户端,收币地址被替换的可能性存在;恶意程序可以实现远程监控键盘输入或摄像头,密码也存在被偷窥的风险。

简单总结:了解攻击面-->建立安全意识-->敏感操作保持怀疑态度。

掌柜会坚持督促大家学习,用知识武装自己的数字资产。因为,最终资产安全的程度取决于你的安全知识,而不是使用了多么硬核的钱包工具。

头图byNeONBRANDonUnsplash

标签:BLOCKBLOBLOCLOCblockchain什么意思中文翻译BLOCKIFY价格Welups Blockchainblockchain是什么意思

TRX热门资讯
SWIPE:推特被黑,反倒给比特币宣传了一把?_比特币

作者|哈希派分析团队数字钱包和加密借记卡服务商Swipe官方推特及首席执行官推特被封:9月18日消息.

1900/1/1 0:00:00
DOT:融资2.5亿美元的明星波卡,现在生态发展得怎么样了?_defibox币价格

来源:区块律动BlockBeats作者:?0x66类似波卡这样的明星项目,不用愁冬天没有余粮。7月25日,明星公链项目波卡在官网开启新一轮融资入口,据参与者提供的信息,此次官方将开放30万枚DO.

1900/1/1 0:00:00
EFI:去中心化借贷项目Teller获100万美元种子轮融资,用信用评分降低DeFi贷款利率_SWAP

价值数十亿美元的去中心化金融产业构建于即时加密货币贷款之上,但是它似乎被赋予了过多的责任。目前的去中心化借贷协议确定信贷风险的方式意味着,贷款需要大量前期资金或收取高利率.

1900/1/1 0:00:00
ETH:如何设计一个最简单的去中心化稳定币?_300币

本文作者JacobEliosoff为加密货币基金CalibratedMarkets的管理负责人,CalibratedMarkets是TreviDigitalAssetsFund的GP.

1900/1/1 0:00:00
比特币:案情披露:成都“大佬”用3万个比特币 花费3亿现价值25亿 还购买矿机挖矿_比特币价格实时行情走势图表

根据银保监会等五部门发布的《关于防范以“虚拟货币”“区块链”名义进行非法集资的风险提示》,请大家树立正确的投资理念,本文内容报道不对任何经营与投资活动推广进行背书,请投资者提高风险防范意识.

1900/1/1 0:00:00
比特币:灰度报告:数字资产基金增加9.05亿美元,再创单季度新高_United Farmers Finance

灰度投资刚刚发布了其季度报告,这份报告显示,尽管比特币价格波动较小,但机构对比特币和其他数字资产的需求仍在上升。报告显示,灰度的数字资产产品的季度投资达到了9.058亿美元,再创新高.

1900/1/1 0:00:00