本文Hash (SHA1):35e14cfaaff32c39e94d75a88968168b13bdd3ccd0868b17bb33330fdc31c28d編號: 鏈源科技PandaLY Security Analysis No.109
在meme火熱的當下,大家不可避免的去使用TG機器人來進行交易和管理帳戶,但是當前鏈上TG機器人安全事件頻發,看似安全穩定的機器人實際上也危機四伏,我們必須提高自己的安全意識、必須豐富自己的安全手段,面對安全問題時刻不能懈怠。
如果您的帳戶被盜了,請聯絡我們,我們有豐富的處理被盜事件的經驗和能力。
根據我們的過往實際案例,總結了一些使用TG機器人的安全經驗。
機器人來源
市面上種類繁多的機器人,我們在選擇的時候需要注意,一定要選擇有大量用戶使用經驗的機器人,類比交易所,一定要選擇大交易所。
小規模的機器人雖然手續費上會優惠很多,但是團隊規模小,很容易發生監守自盜的情況。甚至有些機器人,其實是純純的騙錢工具,只要私鑰輸入進去,錢就會瞬間消失。
當你輸入私鑰時,實際上機器人內部是很有可能將私鑰傳回伺服器的,不能將信任交給第三方服務,如果專案方要做惡,完全可以直接取得你的私鑰,直接進行轉帳。
所以我們在選擇機器人的時候最好選擇有知名度、有社群、有推特、有背書的機器人,而且不要常常更換機器人。
使用
在我們正常使用機器人的時候,千萬不要點擊機器人彈出的奇怪鏈接,有可能機器被黑,導致機器人發出一些釣魚鏈接,一但點擊後,可能會開始下載一些病毒軟體,入侵你的電腦,讀取你的貼板。
在使用的過程中,一定要謹記雞蛋不要放在一個籃子裡,能多號就分多號,賺到錢可以轉出到安全的交易所地址,或者其他沒有導出過私鑰的地址,每個機器人帳號只需要放一點資產就好,這樣能最大程度避免「一鍋端」的狀況。
帳號
小心TG帳號被盜,TG帳號如果被盜,就沒有任何辦法了,他將能動用你所有機器人的資產,並且你可能還不知道你的帳號被盜了,可以提高帳號密碼的複雜度,也可以多加一些驗證方式,例如2FA。
環境設備
如果您已經掌握了機器人的使用安全原則,那麼恭喜你,簡單的騙局已經不會讓你輕易上當了,那麼接下來要更重視的是環境的安全,無論是用機器人來進行交易還是在手機電腦等設備進行交易,都必須確保操作環境的純淨。
PC端
在PC端我們使用TG機器人必須要把私鑰導入,這個過程是十分危險的,因為電腦的環境非常具有不確定性,比如會有黑客程式讀取你的粘貼板,讀取你的屏幕信息,甚至讀取你的鍵盤輸入,想要解決這個問題,先回想一下你曾經有沒有點擊過任何的未知網站,殺毒軟體有沒有報錯,電腦防火牆有沒有關閉。
在電腦配置上,最好使用蘋果電腦,MacOS的系統在安全層級上確實要比Windows好,雖然價格更貴,但能使你的操作環境更加純淨,不容易遭受病毒入侵。
手機端
手機端面臨的風險一樣不小,駭客可以做到手機上安裝帶有root 後門的自訂固件,從而存取所有明文資料。而這個安裝行為很可能發生在手機被客戶拿到手之前,這也意味著這些手機從一開始就是被違法侵入的狀態。
在手機端還要注意的是手機本身的安全,例如手機不能輕易的借別人使用,不能暴露自己的手機密碼和付款密碼,TG帳號要確保不能遺失被盜,雲盤帳號也不能遺失。在許多過往的案例中,有很多情況其實是熟人操作手機導致的資產轉移,或是知道手機密碼直接進行的資產轉移,所以賺到錢了後低調做人也很重要。
在手機端必須做到這些幾點:
1. 保持Android 裝置的最新狀態,並使用可靠的行動安全解決方案
2. 下載應用程式時堅持使用官方Google Play 商店…
3. 查看應用程式開發者或服務提供者的官方網站,以取得官方應用程式的連結。如果沒有官方下載鏈接,那麼在下載時要格外謹慎。
4. 仔細檢查交易中所有涉及資金的步驟,不管是敏感資訊還是金錢。另外,使用剪貼簿時,要檢查輸入的內容是否正確。
總結
大部分被竊事件的發生都是可以避免的,我們必須從小事開始做起、從細節開始做起,真正做到知行合一,充分建立起來自己的安全意識,屬於自己的安全套路,不要等安全事件發生後再去追悔
