在近期,有许多用户反馈,他们用于接收加密货币的地址,突然间被盗了,而里面诸如USDT等的资产,被洗劫得一干二净。身为在链上安全领域从业多年的人员,我打算结合真实的链上数据,以及一些常见的攻击手法,来帮你梳理资金究竟是怎样丢失的,还有如何从根源上规避这类问题。
助记词是怎么泄露的
不少人秉持着这样一种看法,认定只要自身的电脑以及手机没有受到病毒袭扰,那么钱包自然而然就是万无一失的。可是实际的情形并非这般,于安全范畴内,极为常见的信息泄露渠道通常潜藏在“输入”这个环节里面。比如,有些人为了投身某个声称的“空投”项目,在有着安全问题的钓鱼网站上轻率地键入了助记词;要么就是依照贪图便利的心理,把私钥放置到微信收藏、有道云笔记这类貌似便利实则暗藏风险的地方。借助先进爬虫技术扫描这些云端数据的常常是黑客,若将你的私钥文本上传至网络后,几乎瞬间便会被盗取,安全防线进而容易被突破。
授权合约有没有风险
有时候,明明你没主动去泄露自身私钥,可钱包里的USDT还是被悄悄转走了。出现这般情形,通常是因你曾授权给了一个恶意智能合约。当你在去中心化交易所或者某些未知的DApp上交易时,要是点击了并非官方的“授权”链接,这就等同于给予了对方合约操作你代币的权限。这样一来,黑客便能调用这个授权,就算无需你的私钥,也能把你的USDT转走。
假钱包和地址污染
又有一种手法,其技术含量更低,然而却防不胜防,那便是“假钱包应用”。众多用户借助搜索引擎去下载钱包,最终下载得到的竟是山寨的仿冒之物。你开展创建钱包的流程,实际上是在替黑客生成私钥。另外,“地址污染”同样值得予以警惕:黑客会给你的地址进行小额转账,所转的乃是带有恶意合约的代币,一旦你去开展查询或者实施尝试交互的行为,就极有可能触发授权风险。
怎么查资金流向
假设你很不幸地遭遇了这种情况,首先要做的不是慌乱,而是尽快借助区块浏览器(像etherscan或者Tronscan之类的)去锁定那笔被盗交易所对应的哈希值。接着去查看这笔资金最终究竟流入到了哪个交易所地址,然后马上联系那家交易所以及警方。虽说在链上是匿名状态,然而只要黑客企图将其变现,就必然会在中心化交易所留下身份方面的线索。
读完这篇文章后,建议马上做两件事情:查看一下你的授权记录,将那些你不清楚的合约撤销;与此同时,询问一下自己,你的助记词究竟在多少个地方出现过呢?欢迎在评论区讲述一下你碰到过的最离谱的安全事件了,要是你认为内容有价值,请转发给身边同样在做加密货币的友人。
转载请注明出处:imToken官方网站,如有疑问,请联系(imtoken)。
本文地址:https://wy.njztb.cn/imzbappxz/4639.html