最近遇到一位朋友,他發的FB內容如下
各位有持沒持幣的朋友晚安這裡要跟各位說一個 血淚真實的痛,請各位一定要謹記,在區塊鏈的世界,最重要的不是項目活多久,投報率有多高,而是你的「資訊安全」
我有一個朋友他有一個ImToken的錢包,他把私鑰寫在紙上,放在家裡儲存好,去年他把一筆資金打進去錢包裡,往後的400多天裡都沒有使用這個錢包,就在近期,他想把裡面的貨幣一部分拿出來使用,但他電腦的「MetaMask」沒有他這Imtoken的錢包,所以他用手機,打開她的錢包,並且打開私鑰透過蘋果手機複製,準備匯入他電腦上「MetaMask」的錢包當他按下貼上並且確認後,「MetaMask」成功的匯入了她的錢包。(備註:蘋果的手機按複製後,電腦按貼上會是一樣的通西,兩者裝置資訊會同步。)然後他暫時沒有轉幣,而是先忙手邊的事情,當三天後他再打開錢包後發現,他錢包裡面的資產全部歸零了!後來透過轉出紀錄發現,在他匯入錢包後沒幾分鐘,他的資產就已經被駭客所植入的機器人轉移的,你可能會想,他可能亂點什麼網站,被植入病毒或是木馬程式等等事情沒有你想得這麼複雜,各位開啟網站,許多網站都會跑出一個按鈕,「為了提升你的體驗,網站將搜集你的資料….Xoxooxo,需要你同意搜集您的cookie.」這看似不起眼的動作,使得他的「MetaMask」因授權而被監控,不知道何時,這機器人就潛伏於「MetaMask」之中,待你有複製類似私鑰的結構時,機器人同時將這資料也copy一份了,在區塊鏈的世界,曝光私鑰 = 交出金庫鑰匙任誰都能開啟你的金庫大門,奪走你辛苦積攢的積蓄。所以最後協助我朋友追查的白帽駭客寫了一篇並且把避免被盜被監控的發法教給大家,請大家一定要記得做一遍:最近有很多的釣魚網站會用cookies植入監控去讀取metamask的使用路徑 如果你們有用網頁版的metamask錢包 請務必做以下動作1、移除,重新安裝並新建錢包2、將資產移入新錢包3、新錢包的私鑰用紙鈔起來這不是唐的轉貼,這是本人親眼所見的切身之痛;特別請我白帽朋友,寫一篇文讓各位得以預先防範。
以上文章轉載自此,且經作者同意轉載
內容目錄
資訊安全初級防護
由上一篇提到說基本資訊安全的部分,基本上很多都是不知道哪根筋不對犯下的,可參考這一篇文章:
資訊安全大魔王
這一次看到了網友的這一篇貼文, 發現事情的嚴重性,這一次被盜,是屬於【神不知鬼不覺】,經過與白帽駭客的詢問,發現了有兩種攻擊方式,確實能夠讀取各位的cookie,讀取註記詞後並將資產一次性盜光。
那我先來介紹什麼是cookie
根據維基百科所解釋的應用方式:
因為HTTP協定是無狀態的,即伺服器不知道使用者上一次做了什麼,這嚴重阻礙了互動式Web應用程式的實現。在典型的網路購物場景中,使用者瀏覽了幾個頁面,買了一盒餅乾和兩瓶飲料。最後結帳時,由於HTTP的無狀態性,不通過額外的手段,伺服器並不知道使用者到底買了什麼,所以Cookie就是用來繞開HTTP的無狀態性的「額外手段」之一。伺服器可以設定或讀取Cookie中包含的資訊,藉此維護使用者跟伺服器對談中的狀態。
在剛才的購物場景中,當使用者選購了第一項商品,伺服器在向使用者傳送網頁的同時,還傳送了一段Cookie,記錄著那項商品的資訊。當使用者存取另一個頁面,瀏覽器會把Cookie傳送給伺服器,於是伺服器知道他之前選購了什麼。使用者繼續選購飲料,伺服器就在原來那段Cookie里追加新的商品資訊。結帳時,伺服器讀取傳送來的Cookie即可。
Cookie另一個典型的應用是當登入一個網站時,網站往往會請求使用者輸入使用者名稱和密碼,並且使用者可以勾選「下次自動登入」。如果勾選了,那麼下次存取同一網站時,使用者會發現沒輸入使用者名稱和密碼就已經登入了。這正是因為前一次登入時,伺服器傳送了包含登入憑據(使用者名稱加密碼的某種加密形式)的Cookie到使用者的硬碟上。第二次登入時,如果該Cookie尚未到期,瀏覽器會傳送該Cookie,伺服器驗證憑據,於是不必輸入使用者名稱和密碼就讓使用者登入了。
攻擊手段
簡單的來說攻擊手段可以參考下列兩篇文章,手法分別為CSRF 攻擊以及Self-XSS攻擊:
CSRF 攻擊
可參考此CSRF 攻擊原理,其中就有講述到
所以無辜的你,只是登入了A銀行的帳戶,同時逛逛網拍、找找資料,突然間就損失了10萬塊! 這就是CSRF可怕的地方。
Self-XSS攻擊
可參考此文章一种结合了点击劫持、Self-XSS、复制粘贴劫持的新型XSS攻击,一文也提到
當用戶在你的網站上註冊時,大多數人會先輸入一遍郵箱,然後復制第一欄中的郵箱再粘貼到第二欄中(小編默默躺槍)。
就在這個過程中,用戶剪切板中的內容已經神不知鬼不覺地被插入到那個正常網站設置頁面中。
如果這家正常網站相應表單字段存在XSS漏洞,則攻擊代碼就能發揮作用。
受害者根本就不知道整個過程是怎麼進行、何時進行的。
攻擊中所利用的粘貼劫持技術,是將XSS payload粘貼到其他域名的文本欄框架。
由於這些框架的位置可以改變,並且不可見,因此可以利用點擊劫持讓用戶覺得他還在訪問他“正在”訪問的那個網站。
事實上,他已經觸發了Self-XSS漏洞,黑客可得到他的敏感信息。
通過XSS劫持攻擊,黑客可以盜取該用戶的cookie、收件箱信息、配置詳情,修改配置文件設置(比如手機號、郵箱號)或是執行其他惡意操作。
以上的內容有沒有很熟悉,明明使用上很小心,卻還是被盜,在幣圈發生的頻率非常之高,很多人也不明白為什麼,資產就這樣不見了!然後也非常確定自己沒有犯蠢,以下教大家幾招防範於未然:
啟動防禦
原則上,若要做到資產安全,其實最簡單的方式就是,將錢包與電腦主機分成兩個不同的單位,不要將錢包內置於主機內部,這樣的話駭客就無法從主機內部操作錢包,盜取資產了,所以根據上述邏輯,我可以準備兩台主機,一台專門操作錢包,裡面除了錢包外,不會有任何用途,另外一台正常操作。所以另外一台主機,可以是電腦主機、筆電、平板、手機或是冷錢包,我認為最便宜有效的方式,非冷錢包莫屬。
使用冷錢包
使用冷錢包的原因是因為要把電腦主機跟錢包分開,若電腦主機有問題,則並不影響冷錢包的使用,輸入密碼以及確認皆是在冷錢包上操作,較不會因為電腦的漏洞而影響。
我再說一次
注意事項:
1、購買冷錢包最好是在官方網站購買,非官方網站有可能有改機之嫌疑,資產亦非常容易被不肖業者盜取。
2、購買最好是選擇DHL運送,不然真的 很久 很久 才會到手上(從法國原廠送來台灣約3-5週到達,DHL3-5天)
3、冷錢包有兩種型號,一般S系列就 非常 非常 非常 夠用,因為目前大多都是以ETH鏈為大宗,BSC、MATIC、AVAX…鏈全部都是同一個地址,除非用途多元且想隨身攜帶才會建議X系列。
比較兩種型號的差異:
品項 | Ledger Nano S Plus™ | Ledger Nano X |
USB接頭 | USB-C | USB-C |
可安裝的apps數量 | 100種以上 | 100種以上 |
藍芽連接 | 無 | 可與手機版Ledger Live連接 |
獨立電源 | 無 | 可待機8小時 |
大小 | 56.95 × 17.4 × 9.1 | 72 × 18.6 × 11.75 |
重量 | 21 g | 34g |
價格 | NT$2,503 | NT$5,258 |
使用Brave瀏覽器
Brave 瀏覽器:作為一個快速、開源、以隱私為導向的瀏覽器,Brave 要構建的是一個透明的廣告交易平台。對標已經被廣泛使用的谷歌 Chrome、蘋果 Safari,Brave 連接發行商、用戶、廣告主,可以做到在保護用戶隱私的情況下精確度量用戶的注意力(團隊因此創建了名為 BAM 的注意力度量系統)。同時,Brave 去除了第三方跟踪器和中間人,消除了數據洩露、惡意軟件以及過度收費的風險。
有關Brave之介紹:
註記詞以紙本方式收藏好
不要拍照、隨意上傳至雲端,請收好、保存好。
以冷錢包串聯Metamask
是不是覺得用冷錢包很麻煩,沒有!!Metamask有內建連接冷錢包的選項,且地址可以記憶10多個以上,讓我們分門別類,就算點到不該點的,損失也會最小。
總結
在區塊鏈的世界,最重要的不是項目活多久,投報率有多高,而是你的資產保存的有多好,就算是10年基業也會被一個不經意的意外而瓦解,而冷錢包絕對會是能保住資產最佳的方式。
另外若你已經買了,可以參考這篇文章:
【開箱】Ledger nano S 跟Ledger nano X的購買流程與設定教學
想要得到最新文章資訊、Bybit、FTX IEO通知的,請到此連結