![](https://www.bitpush.news/wp-content/themes/Gztro/assets/img/logo.png)
Web3 安全入门避坑指南|假钱包与私钥助记词泄露风险
背景
钱包在 Web3 世界中扮演着至关重要的角色,它们不仅是数字资产的存储工具,更是用户进行交易和访问 DApp 的必要工具。在上一期 Web3 安全入门避坑指南中,我们主要介绍了钱包的分类,并列举了常见风险点,帮助读者形成基本的钱包安全概念。随着加密货币和区块链技术的普及,黑产也盯上了 Web3 用户的资金,根据慢雾安全团队收到的被盗表单,可以看到有许多用户是因下载/购买假钱包而被盗。因此,本期我们将探讨为什么会下载/购买到假钱包,以及私钥/助记词的泄露风险,还将提供一系列的安全建议,帮助用户保障资金安全。
下载到假钱包
由于很多手机不支持 Google Play Store 或者因为网络问题,很多人会从其他途径下载钱包,比如:
第三方下载站
一些用户会通过第三方下载站如 apkcombo、apkpure 等下载钱包,这些站点往往标榜自己的 App 是从 Google Play Store 镜像下载的,但是其真实安全性如何呢?慢雾安全团队曾对 Web3 假钱包第三方源进行过调查分析,结果显示第三方下载站 apkcombo 提供的钱包版本实际上并不存在。一旦用户在开始界面创建钱包或导入钱包助记词,假钱包就会将助记词等信息发送到钓鱼网站的服务端。
搜索引擎
搜索引擎的结果排名是可以买到的,这也就导致出现过假官网排名还比真官网靠前的情况,因此不建议用户直接通过搜索引擎搜索钱包,然后点击排名靠前的链接来下载钱包,这样很有可能会进到一个假官网,然后下载到一个假钱包。用户在不清楚官网网址是什么的情况下,仅凭网站的展示页面很难判断出这是不是个假网站,因为骗子制作出的假网站与真官方网站极为相似,可以以假乱真,因此,也不建议用户在推特或其他平台上点击其他用户分享的链接,这种多为钓鱼链接。
亲友/杀猪盘
区块链黑暗森林里要保持零信任,你的亲友或许并没有要害你的想法,但是他们下载到钱包可能是假的,只是暂时还没有被盗,所以如果你通过他们分享的二维码/链接下载钱包,那么也有可能下载到假钱包。
慢雾安全团队收到过多份杀猪盘事件的被盗表单,骗子的套路往往是先获取受害者信任,然后引导受害者参与加密货币投资并分享假钱包的下载链接,最后结局是受害者即被骗了感情,又损失了资金。因此,广大用户应对网友保持警惕,特别是对方拉你投资或发不明链接给你时,不要轻信。
Telegram
在 Telegram 上,通过搜索知名钱包,我们发现了一些虚假官方建立的群组,骗子会自称该群是某钱包的官方频道,甚至在群内提醒广大用户认准唯一官方官网链接,然而这些链接都是假的。
应用商城
需要特别提醒的是,官方应用商城里的应用不一定安全,一些不法分子通过购买关键词排名引流等方式诱导用户下载欺诈 App,请广大读者注意甄别。
那么,用户怎么做才能避免下载到假钱包呢?
官网下载
找真官网的能力不仅在下载钱包时会用到,用户后续参与 Web3 项目时也会用到,所以我们在这里讲下如何找到正确的官网。
用户或许会直接在推特上搜索项目方,然后根据关注人数、注册时间、有没有蓝标或金标来判断这是不是官方号,然而这些都是可以造假的,此前我们就在真假项目方 | 警惕评论区高仿号钓鱼这篇文章里给大家讲过出售高仿号的黑灰产。因此,建议新入门的小白先在推特上关注一些行业内的安全公司、安全从业者、知名媒体等,看看他们有没有关注你找到的官方号。
(https://twitter.com/DefiLlama)
通过上述方法,用户大概率找到了真的官方推特号,但是我们还需要做多方验证,毕竟官方推特号被黑事件屡见不鲜,黑客还会把官方号上挂的官网链接替换成假官网链接,因此用户需要把刚刚找到的官网链接跟通过其他渠道(如 DefiLlama, CoinGecko, CoinMarketCap 等)找到的链接对比:
(https://defillama.com/)
(https://landing.coingecko.com/links/)
找到并确认好官网链接后,建议用户把链接保存到书签,这样下次可以直接从书签中找到正确的链接,而不用每次都重新找和确认,减少进入假官网的概率。
应用商城
用户可以通过官方应用商城如 Apple Store,Google Play Store 等下载钱包,但是在下载前,一定要先查看应用开发者信息,确保其与官方公布的开发者身份一致,还可以参考应用评分、下载量等信息。
官方版本校验
看到这里的部分读者或许会想,那该如何验证自己下载到的钱包是不是真钱包呢?用户可以做文件一致性校验,这个操作是通过比较文件的哈希值来确定文件是否在传输或存储过程中发生了更改。用户只需要将之前下载到的 apk 文件拖入文件哈希验证工具中,这个工具就会使用哈希函数(如 MD5、SHA-256 等)生成文件的哈希值,如果这个值与官方给出的哈希值匹配,则是真钱包;如果不匹配,则是假钱包。如果用户验证出自己的钱包是假的话该怎么做呢?
1. 首先要确认泄露的范围,如果只是下载了假钱包但没有输入私钥/助记词,那么只需删除该应用并重新下载官方版本即可。
2. 如果私钥/助记词已经导入到了假钱包,意味着私钥/助记词已经泄露,请到官网下载正版钱包并导入私钥/助记词,新建一个地址来快速转移可转移的资产。
3. 如果您的加密货币不幸被盗,我们将免费提供案件评估的社区协助服务,仅需要您按照分类指引(资金被盗/遭遇诈骗/遭遇勒索)提交表单即可。同时,您提交的黑客地址也将同步至 InMist 威胁情报合作网络进行风控。(注:中文表单提交至 https://aml.slowmist.com/cn/recovery-funds.html,英文表单提交至 https://aml.slowmist.com/recovery-funds.html)
购买到假硬件钱包
以上说的情况是为什么会下载到假钱包和解决措施,我们再来说说为什么会购买到假硬件钱包。
有些用户选择在线上商城购买硬件钱包,但是这种非官方授权店铺的硬件钱包有非常大的安全隐患,因为在钱包到用户手上之前,会经多少人之手,内部组件是否被篡改过,这些都是不确定的。如果内部组件被篡改过了,从外表和功能上是很难看出问题的。
(https://www.kaspersky.com/blog/fake-trezor-hardware-crypto-wallet/48155/)
以下是我们提供的一些应对硬件钱包供应链攻击的方法:
官方渠道购买:这是解决供应链攻击最有效的办法。不要从非官方渠道购买硬件钱包,如线上商城,代购,网友等。
检查外观:拿到钱包后先检查外包装是否有被破坏过的痕迹,这是最基本的,虽然黑客大概率不会在这一步就暴露。
官网真机验证:部分硬件钱包提供官网真机验证服务,用户初始化钱包时,设备会提示用户进行官网真机验证。如果运输过程中设备被篡改,将无法通过官网真机验证。
拆机自毁机制:可以选择购买带拆机自毁机制的硬件钱包,当有人试图打开硬件钱包并篡改内部组件时,会触发自毁机制,安全芯片内的敏感信息将全部自动擦除,设备也将无法继续使用。
私钥/助记词泄露风险
通过上述内容,大家应该学会怎么下载或购买到真钱包了,那么如何保管好私钥/助记词又是一个问题。私钥/助记词是恢复钱包和控制资产的唯一凭证。私钥是由字母和数字组成的 64 位长度的十六进制字符串,助记词则一般由 12 个单词组成。慢雾安全团队在此提醒,如果私钥/助记词泄露,钱包资产就极有可能被盗,我们来看几个导致私钥/助记词泄露的常见原因:
保密不当:用户可能会把私钥/助记词告诉亲友,让他们帮忙保存,结果资金被亲友盗走。
网络存储或传输私钥/助记词:一些用户尽管知道私钥/助记词不应该被告诉给别人,但他们会通过微信收藏、拍照、截屏、云端存储、备忘录等方式来保存私钥/助记词。一旦这些平台账号被黑客收集并成功攻破,私钥/助记词很容易被盗取。
复制粘贴私钥/助记词:许多剪贴板工具和输入法会将用户的剪贴板记录上传到云端,使得私钥/助记词暴露在不安全的环境中。而且,木马软件也可以在用户复制私钥/助记词时盗取剪贴板中的信息,因此,不建议用户复制粘贴私钥/助记词,这个看似没有什么问题的行为实际上存在很大的泄露风险。
那么如何避免私钥/助记词泄露呢?
首先,不要将私钥/助记词告诉任何人,包括亲友。其次,尽量选择物理介质保存私钥/助记词,避免黑客通过网络攻击等手段获取私钥/助记词。例如,将私钥/助记词抄写到质量好的纸上(还可以塑封)或者使用助记词密盒来保存。另外,设置多重签名、分散存储私钥/助记词等方式也可以提升私钥/助记词的安全性。关于如何备份私钥/助记词,大家可以阅读慢雾出品的《区块链黑暗森林自救手册》:https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md。
总结
本期文章主要讲解了下载/购买钱包时的风险,找到真官网和验证钱包真伪的方法,以及私钥/助记词的泄露风险。希望本期内容可以帮助大家走稳进入黑暗森林的第一步,下期我们将讲解使用钱包时的风险,如被钓鱼、签名、授权风险,欢迎追更。(Ps. 本文提到的品牌及图片,仅作辅助读者理解之用,不构成推荐与担保)
比推快讯
更多 >>- 小罗伯特·肯尼迪:若当选总统将要求美国建立 400 万枚比特币储备,美元和比特币间的转账无需报告和交税
- Michael Saylor:比特币到 2045 年将达到 1300 万美元,牛市情况下可能达到 4900 万美元
- 美SEC批准灰度比特币迷你信托的19b-4 表格
- 前 FTX 高管 Ryan Salame 因被德国牧羊犬咬伤而要求推迟入狱日期
- 以太坊团队负责人:以太坊正在失去其“主线”,研究团队似乎接受了将一切中心化的想法
- BTC突破68000美元
- 美国法官批准推迟没收 FTX 的 PAC 政治捐款
- CryptoQuant创始人:本轮比特币牛市可能持续到 2025 年中期
- 美国泽西市市长:比特币是“通胀对冲工具”,个人还持有ETH
- Gemini调查:73% 的美国加密持有者计划在总统投票中考虑候选人对加密货币的立场
- 美参议员Bill Hagerty:正在努力推动通过支持比特币的立法
- EigenLayer:将推出AVS奖励和EIGEN程序化激励
- 瑞士金融市场监管机构:稳定币发行商会给与其合作的银行带来风险
- “木头姐”旗下 ARK Invest 于Q2减持Coinbase和特斯拉
- 比特币扩容网络Mezo完成750万美元战略轮融资,Ledger Cathay Fund领投
- Fortune:哈里斯或于未来几周分享比特币立场,据悉她的丈夫是一位“加密货币爱好者”
- Ledger 推出其最新系列硬件钱包 Ledger Flex
- 美国密歇根州养老基金第二季度买入660万美元的现货比特币ETF
- 今日美国以太坊ETF减持37044枚ETH,比特币ETF增持630枚BTC
- 消息人士:哈里斯竞选团队希望了解更多加密行业的相关信息
- Bitstamp:已完成Mt. Gox债权人的BTC与BCH分配,英国客户将有单独分配计划
- 野村证券旗下加密部门将于9月推出收益更高的以太坊ETF替代品
- VanEck CEO个人净资产中 30% 以上是比特币
- 量化基金 Kbit:尽管 ETF 带来快速回报,但仍应继续投资加密货币
- 比特币突破 67000 美元后,逾 75% 短期持有者已实现盈利
- Glassnode:当前比特币周期已经历两次 20%-30% 间的回撤
- 灰度向 Coinbase Prime 地址转入 11 万枚 ETH
- 以太坊ETF上市三天总资产已接近90亿美元
- GMX 社区发起将收入分配模式改为回购并分发 GMX 提案投票
- BlockFi 获得美国法院批准偿还 100% 客户资金
- BitForex 用户仍然无法提取其资金,总损失约5700万美元
- Jack Dorsey 正对 Block 进行重组
- 参议员 Elizabeth Warren:国外运营的加密挖矿机构可能被用来“监视美国的军事行动”
- 8480枚 ETH 从 Cumberland 转入 Coinbase Institutional
- Polymarket:哈里斯成为2024民主党总统候选人概率升至97%创新高
- 彭博分析师:以太坊 ETF 在抵消灰度资金流出方面不如比特币ETF
- 美国国务院承认比特币对萨尔瓦多旅游业产生积极影响,但对其经济影响“微乎其微”
- TON 生态 DeFi 解决方案 LayerPixel 完成 200 万美元种子轮融资,Kenetic Capital 领投
- 分析:若灰度 ETHE 按当前速度抛售,则其所持以太坊资产或于几周内耗尽
- 美国6月核心PCE物价指数月率0.2%,预期0.1%,前值0.10%
- Michael Saylor:美国政府应该拥有大多数比特币
- 香港立法会议员呼吁与内地有关单位深入合作加快推进数码港元进程,积极研究推进数字货币经济
- BRN 分析师:即将公布的 PCE 数据、特朗普比特币大会发言等因素或推动比特币创新高
- 渣打银行:预计 2034 年代币化市场规模将达到约 30 万亿美元
- 比特币大会今日将有众多政客发表演讲,参议员 Cynthia Lummis、小罗伯特·肯尼迪均将出席
- CeDeFi 收益平台 BitFi 宣布启动种子轮融资,估值为 5000 万美元
- 某鲸鱼从 Binance 提取 143 万 UNI 存入 AAVE 并借入 550 万 USDC
- 慢雾创始人余弦:警惕针对加密资产的假冒视频会议软件新型骗局
- Meme 推广平台 STIX 完成 180 万美元融资,Presto Labs 等参投
比推专栏
更多 >>- 2025 年可能会是 TON:TON 的崛起。
- Layer2 格局悄然变天,Base 生态有何看点?
- 3 种有望在 2024 年轻松翻倍的山寨币
- Web3 安全入门避坑指南|钱包被恶意多签风险
- 复盘德国政府抛售比特币:空军如何借势煽动市场情绪?
- 让社区驱动增长,Monad & Mad Lads 做对了什么?
- 比特币突涨至68000美元,又是因为一句可能的谣言?比特币可能成为美国的战略储备资产
- 2024 年最佳加密交易机器人等级列表(排名从 D 到 S)
- IOSG Weekly Brief|ETH 和 Solana 观点的碰撞 - 经济安全研究 #235
- Footprint Analytics 助力 Core 区块链实现数据效率突破
观点
项目
比推热门文章
- Bitcoin 2024第二日:1BTC涨到4900万美元的多头号角;小肯尼迪承诺在美国建立比特币战略储备
- 【比推每日新闻精选】美SEC批准灰度比特币迷你信托的19b-4 表格;CryptoQuant创始人:本轮比特币牛市可能持续到 2025 年中期;Michael Saylor:比特币到 2045 年将达到 1300 万美元,牛市情况下可能达到 4900 万美元
- 小罗伯特·肯尼迪:若当选总统将要求美国建立 400 万枚比特币储备,美元和比特币间的转账无需报告和交税
- Michael Saylor:比特币到 2045 年将达到 1300 万美元,牛市情况下可能达到 4900 万美元
- 美SEC批准灰度比特币迷你信托的19b-4 表格
- Bitcoin 2024:大咖齐聚,行业拐点将至?
- 前 FTX 高管 Ryan Salame 因被德国牧羊犬咬伤而要求推迟入狱日期
- 以太坊团队负责人:以太坊正在失去其“主线”,研究团队似乎接受了将一切中心化的想法
- BTC突破68000美元
- 美国法官批准推迟没收 FTX 的 PAC 政治捐款