SAFE:如何判斷你的數字資產是不是真的安全？_NRGY Defi

—

撰文|?Cobo金庫大掌柜

黑客從來只黑有價值的人，如果你覺得自己很安全，那只是你缺乏被黑的價值

根據近幾年的用戶調研，掌柜發現有相當一部分用戶，即使你告訴他千萬遍“手機端軟件更便捷，更安全”，他們仍然對PC端軟件情有獨鐘。不得不承認，PC端軟件確實有著不可替代的優勢：顯示面積大，鼠標鍵盤交互精確，適合流程復雜、規模更大的操作。

如果一定要使用PC端錢包軟件進行資產管理，我們需要付出兩百倍的安全意識。

安全意識通常來自于對攻擊面的了解，掌柜習慣通過以下3個“靈魂拷問”來判斷：

01｜哪些數據需要保護？

SAFE空投仍有超3200萬枚未被領取，SafeDAO正討論如何分配該部分代幣:12月29日消息，隨著12月27日申領期結束，Gnosis Safe分配給用戶的SAFE Token空投中仍有超過3200萬枚未被領取。

SafeDAO正在討論如何處理來自未領取的用戶空投分配，目前方案包括：

1. 將該部分Token按比例分配給已經領取空投的用戶，這將是已領取空投的1萬名社區成員分配數量的三倍，但會考慮添加更長的歸屬期；

2. 使用該部分Token獎勵加密社區的貢獻者；

3. 保留在SafeDAO中；

4. 混合上述三種選項，其中的15%進行第二輪空投、15%作為開發者的獎勵、70%保留在SafeDAO。[2022/12/29 22:14:58]

-涉及隱私的敏感信息，如瀏覽記錄、用戶名&密碼、私鑰文件、錢包文件等

海德薇格：我很期待看到 數字貨幣將如何改變人民幣支付市場:第十七屆中國國際金融論壇于2020年12月17日-18日在上海舉行。主題為“數字經濟時代的金融服務”。國際銀行業聯合會（IBFed）總裁海德薇格?挪倫斯視頻參會并致辭時指出：金融穩定委員會正在監測大科技公司的創新和金融穩定風險，并且已經發表了很多關于該主旨的文章，例如在2020年10月13日發表的一篇文章中，就提出了關于全球穩定幣的10個高層建議。考慮到創新的規模之大，監管機構和監督機構都需要拓寬自己的視野，并且彼此之間開展更多合作。

中國監管機構一直在積極加強監管，以便隨時應對大科技公司所引起的市場變化。例如，去年，中國人民銀行就起草了相關規則，要求將銀行和金融服務與金融控股公司旗下的科技公司分離，并對這些科技公司進行監管。 現在，要求支付公司必須有100%的存款準備金。

中國還率先推出了由國家信用支持的數字貨幣。我很期待看到這些數字貨幣將如何改變中國國內和境外的人民幣支付市場。（新浪財經）[2020/12/17 15:29:42]

02｜哪些應用程序存在敏感信息？

波卡社區正在討論如何限制驗證者大幅更改傭金:剛剛，Web3基金會技術教育主管Bill Laboon發推提醒用戶小心騙局。Web3基金會、Polkadot官方以及Parity都沒有贈送DOT和KSM代幣。與此同時，Bill Laboon還公布波卡項目進展。內容顯示：1.目前驗證者可以隨意更改傭金比例。目前社區正在討論如何限制傭金變動以避免傭金大幅變動，例如在獲得足夠多的提名者后，將傭金由0%改為100%。2.財政部已經開始討論Elara 0.2提案。Elara 0.2是Patract Labs是為以Substrate為基礎的鏈提供的基礎設施。[2020/10/29]

-如交易軟件、錢包軟件、瀏覽器等

03｜資產管理過程中哪些外部服務易被攻擊？

直播｜陸遙遠 ：普通用戶如何參與DeFi獲得高額收益:金色財經 · 直播主辦的金點Trend《2020 DeFi Dai飛嗎？》馬上開始！DeFi生態里，我們還應該狙擊哪些項目？成長空間是多少？應該關注哪些風險？11:00準時開播！本場嘉賓來自老陸的區塊鏈筆記的作者/ 麥子錢包PM陸遙遠分享“普通用戶如何參與DeFi獲得高額收益”，請掃碼移步收聽！[2020/7/31]

-如設備的通訊接口、交易軟件、錢包軟件、瀏覽器等

基于以上，我們試著對PC端錢包軟件的各個使用環節展開疑問：

下載安裝：登陸的是不是官方網站？下載安裝的是不是官方軟件？

掌柜之前看到過一個案例，攻擊者“山寨了一整套”下載網站和軟件，山寨軟件植入了專門針對MacOS開發的木馬程序“GMERA”，然后誘導用戶下載，實現盜取Cookie數據、網站瀏覽數據以及獲取屏幕截圖等。

這些被盜的隱私數據即使不包含關鍵的私鑰或者密碼信息，也非常有可能被應用到社會工程學，實施綁架、勒索、詐騙。

版本升級：這是不是官方升級提示？不升級有什么影響？升級前需要備份什么？

Electrum錢包就遭受過持續性釣魚攻擊。黑客利用舊版本的漏洞，給用戶發送升級提示，誘導用戶升級到“攜帶后門”的客戶端后，竊取私鑰。

首先，肯定是鼓勵大家持續升級的，新版本通常會包含：新功能，體驗優化，修復bug。但是，升級前請務必檢查：①升級包是否來自官方；②私鑰/錢包文件是否已備份。

錢包文件備份：文件是什么內容？如果是私鑰，觸過網嗎？觸過網后還安全嗎？

還是以Electrum錢包為例，創建新錢包，會生成一個WIF私鑰文件。這個私鑰文件會被用戶自定義的密碼加密。

私鑰就是資產所有權，即使被攻擊，只要私鑰沒泄露就還有可能保住資產。對于PC端保存的私鑰文件，有以下三種主流攻擊方式：

■?木馬程序竊取私鑰文件+誘導用戶輸密碼/暴力破解密碼

■?木馬程序/蠕蟲病惡意加密+勒索贖金

■?直接損壞私鑰文件或者電腦設備

那么，實現上述攻擊的路徑又有哪些呢？

■?釣魚網站/釣魚郵件

在瀏覽網頁和查看郵件時，一個簡單的點擊動作就足已中招，木馬/病在不被察覺的情況下已下載運行。

現在很多重視安全的企業都會實行隨機內部演練，運維工程師和一級部門負責人也會上中招名單——安全意識再強，也會有翻車的時候。

■?USB設備

所有USB設備都有一個微控制器芯片，可以被重新編程固件或寫入惡意代碼。

常規攻擊路徑：

①準備一個可以被重新編程的USB設備，成本20不到

②植入惡意代碼

③插入電腦，惡意代碼自動執行

USB攻擊還包括利用USB協議/標準與操作系統交互中的漏洞實施攻擊，如掌柜之前提到過的冷啟動攻擊。

冷啟動攻擊-demo

還有一種更為極端的情況：USB電氣攻擊，插入電腦后可觸發電力超載，對設備造成永久性破壞。

交易簽名：收幣地址會不會被替換？簽名的時候密碼會不會被偷窺？

綜上，下載到山寨客戶端，收幣地址被替換的可能性存在；惡意程序可以實現遠程監控鍵盤輸入或攝像頭，密碼也存在被偷窺的風險。

簡單總結：了解攻擊面-->建立安全意識-->敏感操作保持懷疑態度。

掌柜會堅持督促大家學習，用知識武裝自己的數字資產。因為，最終資產安全的程度取決于你的安全知識，而不是使用了多么硬核的錢包工具。

頭圖byNeONBRANDonUnsplash

Tags：SAFEFEDEDADEFISAFECITYSAFEDOGEPepe PredatorNRGY Defi

ADA