背景


随着加密市场越发火热,Web3 项目与玩法以极快的速度更迭着,玩家们的情绪也处于越发高涨的状态,随之而来的是玩家在参与各类新项目的过程中不小心踩坑被盗或遭遇钓鱼。在这个背景下,同时结合我们在链上链下所收集到的信息,我们希望扩展出一系列与用户资产安全息息相关的实例科普,于是便有了 —— Web3 安全入门避坑指南。


我们计划尽可能全面地整合 Web3 领域中的风险点,并以实例为背景,帮助读者们更好地辨别与防范风险。本指南主要内容包括但不限于:钱包下载及使用过程中的风险;参与 Web3 各生态项目的过程中可能会掉入的坑;如何更好地辨别签名授权是否存在危险;不幸被盗后如何补救等。(Ps. 内容是暂定的,计划赶不上现实及小编想法的变化,所以最终呈现内容比计划更多或更少都有可能)


无论是新入门的小白,想要探索未知新奇的 Web3 世界,但又被行业黑话、异于 Web2 的玩法以及未知的风险弄得不知所措;又或者是 Web3 老玩家,已经在区块链这片黑暗森林中跋涉了一段时间,听过见过许多“坑”,甚至已经踩过,但对于被盗原因以及如何避免再次受损并不太清楚,都可以和我们一起学习这本避坑指南。本指南旨在让每一个用户都能更好地保护自己的资产,在区块链黑暗森林中行走得更远。


众所周知,钱包是加密世界的入口及 Web3 基础设施,其重要性也不言而喻。所以话不多说,现在我们来介绍第一道 “开胃小菜” —— 钱包分类及风险。


钱包类别


浏览器钱包


浏览器钱包比如 MetaMask、Rabby 等,是作为浏览器的插件安装在用户的浏览器(如 Google Chrome、Firefox 等)。浏览器钱包通常更易于访问和使用,并且不需要下载或安装额外的软件。


(https://metamask.io/download/)


网页钱包(不建议使用)


网页钱包允许用户通过网页浏览器访问和管理加密资产,虽然这种方式较为便利,但背后的风险不容忽视,网页钱包一般把助记词加密存在浏览器的本地存储里,因此可能受到恶意软件或网络攻击的威胁。


(https://www.myetherwallet.com/wallet/access/software?type=overview)


移动端钱包


移动端钱包的运作方式与网页端类似,通常作为应用程序提供,用户可以在手机上下载和安装。


(https://token.im/download?locale=en-us)


桌面钱包


桌面钱包在加密货币问世的早期较为常见,较为知名的如 Electrum,Sparrow 等。这类钱包是安装在计算机上的应用程序,私钥和交易数据存储在用户的本地设备上,用户对其加密货币私钥有完全控制权。


(https://sparrowwallet.com/)


硬件钱包


硬件钱包是用于存储加密货币和数字资产的物理设备,如 Trezor,imKey,Ledger,Keystone,OneKey 等。硬件钱包提供了一种离线存储私钥的方式,这意味着在使用硬件钱包和 DApp 进行交互的时候,私钥不会暴露在网上。


 (https://shop.ledger.com/products/ledger-nano-s-plus/matte-black)


纸钱包(不建议使用)


纸钱包是以二维码的形式,将加密货币地址与其私钥打印在一张纸上,然后通过扫描二维码来开展加密货币交易。


(https://www.walletgenerator.net/?culture=zh¤cy=bitcoin)


钱包常见风险


下载到假钱包


由于很多手机不支持 Google Play 或者因为网络问题,很多人会从其他途径下载钱包,比如第三方下载站,或者直接用浏览器搜索某钱包,然后随机点进一个排名靠前的链接,这样大概率会下载到一个假钱包,因为搜索引擎的广告位及自然流量是可以买到的,骗子可以通过购买排名靠前的广告位,伪造一个假钱包官网,诱骗用户访问。下图为使用百度搜索 TP 钱包的结果:


(https://mp.weixin.qq.com/s/NdwIE412MJ7y-O5f2OrSHA)


购买到假钱包


供应链攻击是硬件钱包安全性的主要威胁之一。如果用户不是在官方商店或授权经销商处购买硬件钱包,那么在钱包到用户手上之前,会经多少人之手,内部组件是否被篡改过,这些都是不确定的。下图中,右边的硬件钱包是被篡改过的。


(https://www.kaspersky.com/blog/fake-trezor-hardware-crypto-wallet/48155/)


电脑中木马


如果电脑中了木马,钱包便会被恶意软件影响。慢雾安全团队曾写过一篇暗夜小偷:Redline Stealer 木马盗币分析,对该风险的形成过程及影响做了详细分析,感兴趣的读者可以点击查看。我们在此建议用户安装杀毒软件,如卡巴斯基、AVG、360 等,保持安全软件实时防护开启,并随时更新最新病毒库。


钱包自身漏洞


最后,或许你下载了正版的钱包,使用过程足够小心,设备及现实环境也足够安全,但如果是钱包自身设计存在问题的话,也可能被黑客攻击,使用该钱包的用户一样会资产受损。这也就是为什么在选择钱包的时候不能仅考虑钱包的便利程度,还要看钱包代码是否开源。外部开发和审计人员可以通过开源的代码发现潜在漏洞,降低钱包被攻击的可能性。即使不幸出现钱包因存在漏洞被盗的情况,安全人员也能快速定位漏洞位置,及时补救。


总结


本期我们主要介绍了钱包的分类,并列举了常见风险点,帮助读者形成基本的钱包安全概念。无论选择哪种类型、哪种品牌的钱包,都应始终对助记词和私钥保密并确保其安全。可以考虑整合不同类型钱包的优点,多类型钱包结合使用,如使用知名硬件钱包 + 知名软件钱包组合来管理重资产,使用多个知名软件钱包分散管理轻资产。下期我们将对下载和购买钱包中的坑进行详细介绍,欢迎追更。(Ps. 本文提到的钱包品牌及图片,仅作辅助读者理解之用,不构成推荐与担保)


往期回顾

Web3 的蜕变 —— 2024 香港 Web3 嘉年华完美谢幕!

AssangeDAO 资金转移引发疑问 —— 高调募捐背后潜在的 Rug Pull

每月动态 | Web3 安全事件总损失约 1.39 亿美元

慢雾(SlowMist) 作为白金赞助商,与您相约 2024 香港 Web3 嘉年华!

复盘|IT 代币被黑分析

慢雾导航


慢雾科技官网

https://www.slowmist.com/


慢雾区官网

https://slowmist.io/


慢雾 GitHub

https://github.com/slowmist


Telegram

https://t.me/slowmistteam


Twitter

https://twitter.com/@slowmist_team


Medium

https://medium.com/@slowmist


知识星球

https://t.zsxq.com/Q3zNvvF