一

未知網(wǎng)頁錢包授權(quán)簽名被盜取 NFT https://www.youtube.com/watch?v=daroZDmDX9A

看到了這個(gè)有講述許多項(xiàng)目的discord是如何被hack的，分享一下,增強(qiáng)一下防范意識(shí) https://twitter.com/SerpentAU/status/1485002643370037254?s=20

Crypto安全運(yùn)作守則 https://github.com/OffcierCia/Crypto-OpSec-SelfGuard-RoadMap

最近推特上這種詐騙的類型井噴了，一般都是某個(gè)大V號(hào)或者項(xiàng)目方相關(guān)人員賬號(hào)被黑，瘋狂@一堆人，告訴你空投、中獎(jiǎng)等等。然后會(huì)給一個(gè)鏈接注冊(cè)，點(diǎn)進(jìn)去就跳出錢包來，大家一定一定別看到大佬或者很火的項(xiàng)目就上頭。我已經(jīng)收到兩個(gè)以上了。

區(qū)塊鏈黑暗森林自救手冊(cè) https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook

常見的騙局 - 點(diǎn)連結(jié)被盜取錢包中的資料 https://jacobmei.blogspot.com/2022/03/blog-post_23.html

Google 廣告顯示的網(wǎng)址可以調(diào)整，他就只是偽裝成 x2y2.io 而已，如果你直接輸入 x2y2.io 或是 www.x2y2.io 兩者是沒什麼差的，都是在同個(gè)域名下。但如果是點(diǎn)那些廣告，就會(huì)被導(dǎo)去其他詐騙域名。

不是 Opensea 新合約的問題，是那些人之前 sign 過有問題的東西，現(xiàn)在駭客發(fā)現(xiàn) Opensea 合約要過期不能用了，所以現(xiàn)在一次用 https://twitter.com/0xfoobar/status/1495208279210876930?s=21

二

Q:請(qǐng)問一下各位冷錢包都用哪個(gè)牌子? Trezor 還是 ledger使用起來有甚麼差別嗎?

A:原文（個(gè)人覺得寫得很好！） https://twitter.com/punk6529/status/1461742366696652809?s=21

還有請(qǐng)?jiān)诠俜骄W(wǎng)站上購買，基本上硬體錢包沒有授權(quán)經(jīng)售商… 如果您在其他網(wǎng)站上購買 會(huì)有風(fēng)險(xiǎn)，有心人可能會(huì)標(biāo)記私鑰 然后當(dāng)你轉(zhuǎn)入資產(chǎn)后登錄轉(zhuǎn)走… 務(wù)必小心

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-sw5y2fBk-1652203737404)(https://media.discordapp.net/attachments/917713090357915658/922157497928802314/IMG_5854.png?width=744&height=816)]

三

Q:這個(gè)也太恐怖 請(qǐng)問如果冷錢包曾經(jīng)簽過詐騙的smart contract的話 有需要洗掉重新灌嗎?

A:debank上可以看授權(quán)過什麼合約，可以取消，需付gas fee

四

分享一下Bayc群一樣有人被詐騙了

主要是discord被駭,剛才進(jìn)了一個(gè)被hack的discord…這是之前有和BAYC/MAYC合作開發(fā)故事的 discord…結(jié)果我自己沒檢查清楚 虧了0.1 Eth … discord: Jenkins The Valet 如果有MAYC/BAYC,先不要進(jìn)入Jenkins The Valet這個(gè)discord…他整個(gè)被駭了… 分享一下它們的手法, 駭客會(huì)先開個(gè)AMA線上說明會(huì), 然後把general chat 關(guān)閉一陣子, 說會(huì)在AMA說明會(huì)後開啟(目的就是不讓別人警告 (moon laugh))…然後裡面一堆人在聽線上說明會(huì)…但在voice channel都不理你) …總之自己太粗心了…我有檢查錢包沒有簽署奇怪的東西…但就是0.1 Eth 飛了…這邊把這個(gè)案例告訴大家

五

啊 大家 我要提醒大家一件事 基本上所有項(xiàng)目都會(huì)開一個(gè)叫做 official link的channel 建議大家要買NFT的時(shí)候 都務(wù)必透過那個(gè)channel這是我自身的經(jīng)驗(yàn) 雖然沒被騙 但也差點(diǎn)，就是之前很紅的SOLchicken，他們?cè)谫u完小雞之後 有一天晚上官方DC被hack，在General裡面PO了一則看起來非常官方的 special sale，那時(shí)候二級(jí)市場(chǎng)的雞已經(jīng)10 SOL+，然後他的special sale是 3SOL，我真的差點(diǎn)就買了 而且我連錢包都接好了，好險(xiǎn)我後來神智清醒沒買，但安全起見我也只能拋棄那個(gè)錢包了大群裡面滿多人被騙的 所以真的要小心再小心，以上～～

對(duì)的所以要非常小心，所以項(xiàng)目方之間都有一個(gè)共識(shí) 不會(huì)主動(dòng)私信各位 以防假冒 而且每個(gè)鏈接也得再三確認(rèn)！感謝分享 Sharon

項(xiàng)目方改網(wǎng)站、改價(jià)格是一件很大的事。通常會(huì)提前公告在Discord 或是Twitter，請(qǐng)各位務(wù)必注意網(wǎng)址正確性

六

我剛才目睹了一次DC中的詐騙，分享一下 https://discord.gg/ezekclub 這個(gè)頻道，主要是和周杰倫NFT相關(guān)，剛剛五分鐘之前，在公告欄，有個(gè)名字設(shè)置成官方名字 +機(jī)器人的名稱，發(fā)布一條突然信息，可以搶購限量版道具。請(qǐng)大家不要突然FOMO，騙局無處不在。舉個(gè)例子，如果管理的賬號(hào)被盜，突然在公告中突然宣布我們開啟第二輪 白名單活動(dòng)，限時(shí)限量鑄造，這種情況大家一定要小心.我們不會(huì)發(fā)布這樣的消息。剛才統(tǒng)計(jì)了一下，大概十分鐘，大約20eth被騙，而且 錢包的安全也受到了很大的威脅

七

以下資訊來自 Benson Sun的Telegram (我不知道這樣搬資訊會(huì)不會(huì)以問題…管理員如果覺得不妥我就砍掉…) (有獲得同意轉(zhuǎn)貼） 在 Solana 近期滿有名的 NFT 項(xiàng)目，先是 pre-sale 出問題，後來 Discord 被 hack 導(dǎo)致社群損失了 7000 多個(gè) SOL，簡(jiǎn)短分析一下到底出了什麼問題。 這件事情主要有三個(gè)原因： 1）白名單篩選機(jī)制有問題 Monkey Kingdom 選擇用網(wǎng)頁前端去過濾白名單，結(jié)果被科學(xué)家鎖定智能合約後，直接跳過前端 call 智能合約，導(dǎo)致在 pre-sale 階段就被 mint 完所有的 NFT，間接導(dǎo)致了後面一系列的混亂。 2）面對(duì)短時(shí)間爆增的流量，網(wǎng)站沒有做好 Load Balance 還在 pre-sale 階段流量就暴增，官方顯然沒有做 Load Balance 的準(zhǔn)備，導(dǎo)致官網(wǎng)不斷回傳 rate-limit 的錯(cuò)誤，這給了駭客導(dǎo)引到假網(wǎng)站的機(jī)會(huì) 3）Discord webhook 外流 任何有 Discord Webhook url 的人都可以透過 restful API 去假傳公告，駭客先是掌握了 webhook，再假藉官方名義發(fā) public mint 的公告導(dǎo)流到假官網(wǎng)。 社群有不少人當(dāng)了冤大頭，把 SOL 打到假的地址，目前看起來項(xiàng)目方願(yuàn)意承擔(dān)害受害者的損失，具體就看怎麼處理了。 那麼，我們?cè)撛觞N避免這種事件呢？ 1）mint 任何 NFT，建議都另創(chuàng)一個(gè)空白錢包去 mint，這樣就算真的被 rug，最多也就是損失 mint 的錢，不會(huì)損失主要錢包的所有資產(chǎn)。 2）慎防釣魚網(wǎng)站，每次需要輸入帳號(hào)密碼/與智能合約交互時(shí)，都要看網(wǎng)址是否正確，通常網(wǎng)址帶有 - (dash)的都是釣魚詐騙網(wǎng)站。譬如昨天真正的官網(wǎng)是 (https://baepes.monkeykingdom.io/)https://baepes.monkeykingdom.io/，而詐騙網(wǎng)址是 https://baepes-monkeykingdom.io/ 。 3）通常駭客為了取信於人，會(huì)做一個(gè)完全一樣的推特去散佈假網(wǎng)址，而且通常都還有一定的 follower 人數(shù)。像昨天駭客就做了一個(gè)假官方推特 https://twitter.com/Raay212 。判別的方法很簡(jiǎn)單，看推特有沒有大V追蹤，如果你發(fā)現(xiàn)一個(gè)熱門項(xiàng)目完全沒有大V追蹤，那很可能就是假的。 以上希望有幫到大家，保護(hù)好資產(chǎn)永遠(yuǎn)都是最重要的一步

八

近期出現(xiàn)了不少釣魚的信息，包括咱們鯊魚群，作為一個(gè)釣過不少魚的安全從業(yè)人員，想來給大家分享一些常見的釣魚方式及防范意識(shí)，避免大家上當(dāng)受騙 我主要從四個(gè)方面來聊聊： 1. 發(fā)信方式 2. 釣魚內(nèi)容 3. 利用手段及防范 4. 錢包防護(hù) 我盡可能寫的豐富詳細(xì)一點(diǎn)，所以內(nèi)容可能就有點(diǎn)多，需要分開談，這次就先聊聊發(fā)信方式。 一、發(fā)信方式 發(fā)信方式故名思義就是如何將釣魚信息傳遞到你，就我目前接觸和猜測(cè)的（如果有其他的歡迎補(bǔ)充），在幣圈主要有三種方式： 1. 社交媒體的私信（Discord/Twitter 等） 2. 社交媒體的公告 3. 發(fā)送郵件 (已編輯)

其中私信是最常見的，舉個(gè)我收到的例子：

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-9v1XqHpg-1652203737405)(https://media.discordapp.net/attachments/917713090357915658/923118966770135040/Screen_Shot_2021-12-22_at_15.16.14.png)]

這個(gè)人偽裝成 Psychedelic 項(xiàng)目官方給我發(fā)私信，所以通常都推薦關(guān)掉 Dis 私信，其他社交媒體同理，關(guān)不掉的就一定要仔細(xì)核對(duì) id 而不是昵稱。

公告是可信度和危害最大的，這種常見的方式包括 1. 官方管理員內(nèi)鬼，惡意攻擊者混到了管理員職位展開釣魚。 2. 管理員賬號(hào)被黑，通常因?yàn)槿趺艽a或者密碼泄露且未設(shè)置 2FA，密碼泄露包括根據(jù)已泄露的密碼撞庫；根據(jù)管理員的 id，查找社工庫。 3. 社交媒體自身漏洞或工作人員。比如 Twitter 今天 7 月被黑客社工操縱了一部分員工，獲得了訪問內(nèi)部系統(tǒng)的權(quán)限，接管了多個(gè)高知名度賬戶發(fā)布了向他的 BTC 賬戶轉(zhuǎn)錢的消息。（此處推薦一部黑客電影 《我是誰：沒有絕對(duì)安全的系統(tǒng)》） 4. Webhook 的 key 泄露。具體可以往上翻閱 @MarsKaO 發(fā)的消息。 5. 偽裝身份公頻發(fā)言，剛剛有人試圖在鯊魚群通過這樣的手法釣魚就是很好的例子。

最后是發(fā)送郵件，但我還沒遇見過，但如果讓我來釣魚我還會(huì)加上這個(gè)方法，比如某些項(xiàng)目官方會(huì)有一個(gè)訂閱郵件的渠道，然后我會(huì)獲取 discord 服務(wù)器內(nèi)成員的昵稱，id 及關(guān)注了 twitter 官方賬號(hào)的人的 id，再在后面拼接常見的郵件后綴如 @gmail @outlook 等，最后利用可信度高的發(fā)件人發(fā)件，關(guān)于如何偽造可信度高的發(fā)件人后面再談。

接著分享

二、釣魚內(nèi)容 釣魚內(nèi)容重點(diǎn)就在魚餌，通常有兩種：鏈接和附件。目前看到的通常都是鏈接，我就著重說下這種。 鏈接還可以稱為 URL，一個(gè)常見的 URL 的格式如下： (已編輯)

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-M6dOqw4e-1652203737406)(https://media.discordapp.net/attachments/917713090357915658/923145173100281896/Screen_Shot_2021-12-22_at_16.18.57.png)]

而需要重點(diǎn)關(guān)注的就是其中紅色的部分，也就是域名。攻擊者通常會(huì)注冊(cè)一個(gè)類似的域名進(jìn)行欺騙，以 alphashark.club 為例： * alpha-shark.club（中間添加 -） * alphashak.club（刪除/增加/修改一個(gè)字符） * alphashark.space（用另一個(gè)頂級(jí)域名注冊(cè)） 在修改字符進(jìn)行釣魚上，還有一些文章可以做，那就是 Punycode 編碼。 首先介紹下什么事 Punycode 編碼。URL 在 03 年以前都是只支持純英文拉丁字母、數(shù)字、符號(hào)之類的，不支持其他語言，比如中文。而后就出現(xiàn)了國(guó)際化域名（IDN），IDN 使用 Punycode 將對(duì)應(yīng)語言的域名轉(zhuǎn)換成了純英文的拉丁字母，比如 易名.com 經(jīng)過 Punycode 編碼后轉(zhuǎn)換成 xn–eqr523b.com。 于是，通過利用其他語言的字母構(gòu)造跟項(xiàng)目域名看起來一模一樣的域名就可以用來釣魚了。比如 а 和 a 看似相同，但前者是俄文，后者是英文。感興趣的可以訪問一下 www.арр?е.com ，這個(gè)是一個(gè)中國(guó)安全人員做的測(cè)試頁面，五個(gè)字母全是來源于其他語言。 在上面提到的那位安全研究人員反饋這個(gè)問題后，Chrome 就積極跟進(jìn)做了一系列措施，比如中文等形體字域名不太可能會(huì)被用來釣魚，就按照對(duì)應(yīng)語言顯示，而對(duì)類似拉丁字母的語言，瀏覽器統(tǒng)一轉(zhuǎn)換成 Punycode 編碼后的域名，也就是 xn--xxxx 的模式，大家可以訪問我上面發(fā)的兩個(gè)網(wǎng)站看看地址欄是不是這樣。 雖然通過地址欄能發(fā)現(xiàn)其是不是釣魚網(wǎng)站，但結(jié)果上還是打開了這個(gè)網(wǎng)站，一旦打開就有可能承受風(fēng)險(xiǎn)，具體留在后續(xù)的利用手段去講。所以盡管目前還沒看到有人這么去做，但如果你實(shí)在是想點(diǎn)開一個(gè)網(wǎng)頁，可以嘗試 Punycode 解碼看看（https://www.dute.org/punycode） ，如果沒有任何變化則代表是正確的。 再說說附件，附件的危害往往比釣魚鏈接大，常見的格式如 exe、bat 大家肯定知道不能隨便亂點(diǎn)，但其他的諸如 word、excel 文件，其實(shí)打開了也極有可能被攻擊者控制電腦。同樣能不下載就盡量別下載，如果無法避免，比如突然收到做過的項(xiàng)目的郵件，附件是白名單列表的 Excel（其實(shí)基本都用的在線文檔），實(shí)在好奇，建議先放到在線沙箱里跑一跑，看看結(jié)果，殺殺毒。這里給出兩個(gè)我常用的在線沙箱

https://s.threatbook.cn/

https://www.virustotal.com/

鴿了蠻久，繼續(xù)聊

三、利用手段及防范 因?yàn)樯瞎?jié)提到了附件類型的利用方式，就在這里著重談一下鏈接類型的。 鏈接類型的釣魚借助的主要是瀏覽器，其存在下面幾個(gè)方面的利用方式： 1. 瀏覽器漏洞。當(dāng)瀏覽器內(nèi)核存在高危漏洞時(shí)，受害者打開網(wǎng)頁鏈接，便會(huì)立馬被攻擊者控制。如今年 4 月份披露的 Chrome 內(nèi)核漏洞，下圖是漏洞發(fā)現(xiàn)者給出的測(cè)試驗(yàn)證，打開其本地的 exploit.html 頁面，即執(zhí)行打開計(jì)算器的命令。 (已編輯)

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-LJRJRST2-1652203737406)(https://cdn.discordapp.com/attachments/917713090357915658/925787727964827688/PuzzleMaker_attacks_01.png)]

2. 目標(biāo)網(wǎng)站存在漏洞。這部分涉及了不少專業(yè)知識(shí)，不同漏洞有不同的利用手段，這里就簡(jiǎn)單粗糙的提兩種。 假設(shè)目標(biāo)網(wǎng)站是 ftx.com 且其存在漏洞 漏洞一：當(dāng)你打開發(fā)送給你的鏈接，或在網(wǎng)頁上隨意點(diǎn)了一些其他的超鏈接時(shí)，就可能被攻擊者利用，以你的身份在 ftx 上執(zhí)行一些操作或獲取一些信息。 漏洞二：在上次分享中我提到了攻擊者通常會(huì)注冊(cè)一個(gè)類似的域名，但如果目標(biāo)站點(diǎn)還存在一種所謂 URL 任意跳轉(zhuǎn)漏洞的話，可以再在上面包裹一層，發(fā)送給你如 www.ftx.com?url=attacker_url 的鏈接，其域名是貨真價(jià)實(shí)的 ftx.com，但當(dāng)你點(diǎn)擊鏈接時(shí)便會(huì)給你跳轉(zhuǎn)至 url 參數(shù)中指定的釣魚網(wǎng)站 attacker_url。 3. 純粹的釣魚。制作一個(gè)假的頁面，誘導(dǎo)你授權(quán)錢包，或者輸入密碼之類。如上面分享的 FTX 釣魚。 4. 讀取剪貼板。如果你剛復(fù)制了私鑰或者助記詞，打開鏈接便有可能被讀取到。 (已編輯)

上面三種中 1 和 2 相對(duì)罕見，2 取決于目標(biāo)網(wǎng)站，常見的如 ftx.com 等都做了安全方面的測(cè)試、加固，而小項(xiàng)目網(wǎng)站功能少，能找到漏洞的概率也微乎其微，所以也不用太過擔(dān)心。

對(duì)應(yīng)的防范手段： 1. 及時(shí)更新瀏覽器，防范瀏覽器自身的漏洞。 2. 盡可能首先在瀏覽器的無痕模式下打開，防范漏洞一那樣的類型。 3. 注意瀏覽器上方網(wǎng)址欄的變化，避免出現(xiàn)漏洞二樣式的情況。 4. 時(shí)刻保持懷疑的心態(tài)，連接錢包，輸入密碼等敏感操作一定要小心再小心

九

剛在FB看到有人 FTX帳號(hào) 被 偷幣轉(zhuǎn)出！ 大家注意一下

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-Oqycb9SV-1652203737406)(https://cdn.discordapp.com/attachments/917713090357915658/923896059976114216/unknown.png)]

感覺這種大部分可能是密碼被釣魚騙走的 可能上到假的FTX網(wǎng)站 之前曾經(jīng)Google過 結(jié)果前三個(gè)推薦的都是下廣告的釣魚網(wǎng)站

能被解除，代表至少 email 和 ftx 的帳密都被知道了，而且還要提供 “請(qǐng)?zhí)峁┠殖稚矸葑C的照片以及寫有當(dāng)天日期和“FTX 2FA Reset”的手寫紙條?！?/p>

感覺這個(gè)人是所有的資料都被挖出來耶…

看下面其他人的說明，應(yīng)該是幫你換裝置。只是換裝置的話，就只須要騙到 2FA 即可

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-2I6OTxKw-1652203737407)(https://cdn.discordapp.com/attachments/917713090357915658/924160697665978388/unknown.png)]

十

Q:想請(qǐng)問一個(gè)問題，像The Prime Ape Planet抽獎(jiǎng)需要簽署，有可能會(huì)有什麼風(fēng)險(xiǎn)嗎？或者說要如何判別是合理的簽署（The Prime Ape Planet只是舉例）

A:Sign 相對(duì)沒有風(fēng)險(xiǎn)，要注意有沒有Transaction，如果有就有風(fēng)險(xiǎn)（要付Gas Fee） 目前市場(chǎng)上被hack 的主要是輸入助記詞、私鑰

十一

Q:我是谷歌瀏覽器的插件metamask生成的熱錢包 如果電腦被黑了 是不是黑客就可以把我的谷歌瀏覽器的緩存、各個(gè)網(wǎng)站保存的密碼、和metamask錢包盜走了？

A:Chrome 登錄的 Google 賬號(hào)保存的密碼不能，但離線緩存過的密碼可以

metamask 插件我沒測(cè)試研究過它的解鎖密碼是保存在本地還是服務(wù)端的，如果保存在本地的話自然資產(chǎn)就沒了

要是對(duì)自己瀏覽器緩存的有哪些東西感興趣可以玩玩這個(gè)工具 https://github.com/moonD4rk/HackBrowserData

十二

轉(zhuǎn)貼： [CYBAVO安全告警]

於一天部署的智能合約Happy New Year，token名稱 2022 (合約地址在底下)，合約直接將代幣全數(shù)mint到V神(Vitalik Buterin)錢包，接著從合約內(nèi)寫好的abi直接轉(zhuǎn)給各大交易所及機(jī)構(gòu)，利用Etherscan解析交易時(shí)，來源會(huì)顯示資產(chǎn)來源地址而非合約調(diào)用人地址的方式，偽造出像是V神錢包直接對(duì)這些機(jī)構(gòu)空投的錯(cuò)覺，試圖讓人誤以為是V神在為新項(xiàng)目做準(zhǔn)備，同時(shí)此幣已經(jīng)上架Uniswap並創(chuàng)建了多帳號(hào)來對(duì)該幣的流動(dòng)池進(jìn)行交易，試圖營(yíng)造非常多人在轟搶的情況，CYBAVO第一時(shí)間判斷到可疑情況並已將此Uniswap流動(dòng)池加入黑名單，避免有人受害，也請(qǐng)各位多加注意，底下有本次事件相關(guān)地址。 V神錢包地址，進(jìn)入後可以看到十幾筆從V神錢包空投的操作，實(shí)際並非由Ｖ神錢包私鑰簽名轉(zhuǎn)出，而是因?yàn)镋therscan解析交易的方式會(huì)把來源填入資產(chǎn)來源錢包，而非交易發(fā)起錢包

https://etherscan.io/address/0xAb5801a7D398351b8bE11C439e05C5B3259aeC9B#tokentxns

此token(2022)在昨天發(fā)行時(shí)就直接把所有發(fā)行代幣都放在V神錢包，但實(shí)際該合約內(nèi)藏了可以控制所有此代幣的資產(chǎn)轉(zhuǎn)移的邏輯

https://etherscan.io/tx/0x9082ea6a26d1e3036dba783834a56eced9be02216288698eca0f8192b5722e5c

此代幣立即在Uniswap創(chuàng)建流動(dòng)池

https://etherscan.io/tx/0x9999b8a2b2cfeae9abe91d850827b59baf94d9dd02a68788563ceba1338305b4

並且在過去24小時(shí)營(yíng)造大量交易現(xiàn)象，企圖讓人誤會(huì)並搶購，目前已有多人受騙以ETH換購無用的2022 token

https://etherscan.io/address/0x01c2173a1dfcb23c644959a5c3f57920ecd5b847

十三

一些建議請(qǐng)大家參考： 1. 買賣時(shí)熱錢包和冷錢包使用時(shí)機(jī)？ 冷錢包最好不要拿來頻繁當(dāng)交易錢包使用，將它當(dāng)作「金庫鑰匙」的概念，重要的 NFT 和加密貨幣，放在有冷錢包當(dāng)鑰匙的保管。 一般的交易（特別是買、mint）用熱錢包，每週稍微盤點(diǎn)一下裡面的水位，不夠的時(shí)候再打開冷錢包搬一點(diǎn)過去，買到比較有價(jià)值的 NFT（或短期不會(huì)出手的 NFT）就放回冷錢包。 2. 另外電腦需要哪些安全設(shè)定？ 3. 可否建議使用何種電腦來進(jìn)行買賣比較安全？ A. 有些人會(huì)建議常用加密貨幣的電腦可以用 Mac。因?yàn)閷ｉT為 Mac OS 寫的惡意病毒、監(jiān)聽木馬比較少，因此以機(jī)率來說，不小心中標(biāo)的可能性比較少。 B. 養(yǎng)成平日使用電腦的資安基本好習(xí)慣（不分作業(yè)系統(tǒng)和瀏覽器） B1. 能安裝反毒軟體，就還是要安裝，這是基本的保障。 B2. 使用無線網(wǎng)路，一定要設(shè)定嚴(yán)謹(jǐn)?shù)拿艽a，家中的基地臺(tái)要留意不要使用內(nèi)定的管理帳號(hào)密碼（例如 Admin , 1234 這種） B3. 出門在外，不要貪圖方便使用店家提供的免費(fèi)網(wǎng)路（不管有沒有登錄機(jī)制），最好用自己的手機(jī)分享連網(wǎng)，若是不得已要使用，記得不要亂點(diǎn)任何平常沒用過的網(wǎng)站，一些特殊網(wǎng)站更是不要亂點(diǎn)，避免中了有些透過網(wǎng)頁程式碼互動(dòng)的惡意蟲。 下面則是一些和加密貨幣圈使用有關(guān)的提醒： 1. 不開啟私訊功能：當(dāng)新手對(duì)於區(qū)塊鏈的知識(shí)還不足的時(shí)候，若正好遇上主動(dòng)「祛寒問暖的陌生人」，往往會(huì)很快被其熱心所影響，就點(diǎn)進(jìn)詐騙的網(wǎng)站或是參與偽冒交易，因此任何透過社群軟體主動(dòng)私訊的聯(lián)繫都不要相信或加入。 2. 不傳遞私鑰紀(jì)錄：在去中心化的區(qū)塊鏈網(wǎng)絡(luò)，必須更加留意謹(jǐn)守良好的網(wǎng)路習(xí)慣，因?yàn)榧用茇泿诺腻X包私鑰等都是自己保管，一但遺失或被有心人士取得，將會(huì)造成相關(guān)資產(chǎn)的損失。 而透過電腦剪貼簿工具複製、雲(yún)端備份等行為，往往會(huì)讓惡意軟體有側(cè)錄的可能性，故儘量定期更換新的錢包私鑰，並將重要資料妥善保管（有人建議謄寫在紙本，保存在保險(xiǎn)箱?，我自己採折衷方式，用 Bidwarden 軟體工具生成和管理密碼等） 3. 不盲目跟從投資：如同一般財(cái)富管理需要審慎評(píng)估自己能承受的風(fēng)險(xiǎn)，加密貨幣與NFT 更是如此，新手也必須檢視自己的財(cái)務(wù)能力，不要將雞蛋都放在同一個(gè)籃子，避免因市場(chǎng)震盪或遭遇詐騙時(shí)，而影響生活。

十四

小狐貍(MetaMask)官方推特發(fā)了一篇安全提醒

如果iPhone用戶有開啟iCloud雲(yún)端備份，這將會(huì)包含你的Metamask的密碼，如果你的密碼不夠強(qiáng)，而有人駭入你的iCloud，將可能導(dǎo)致Metamask資產(chǎn)一併被駭。 你可以通過設(shè)定將關(guān)閉iCloud對(duì)Metamask的備份 設(shè)定>個(gè)人資料(Apple ID)>iCloud>管理儲(chǔ)存空間>備份 (Settings > Profile > iCloud > Manage Storage > Backups) 如果你想避免未來iCloud突然備份你不想備份的東西 您可以照以下步驟關(guān)閉iCloud備份 設(shè)定>個(gè)人資料(Apple ID)>iCloud>iCloud備份 (Settings > Apple ID/iCloud > iCloud > iCloud Backup)

https://twitter.com/MetaMask/status/1515727239391809536?s=20&t=BdLmQuIoKNzPOtY2wDlsLg

十五

我回顧下早上和@MikeFOMO | GG Dino Club 一起經(jīng)歷的這一幕，和大家一起分享： GANGSTER ALL ★ STAR這個(gè)項(xiàng)目，之前有所耳聞，目前還沒有開放DC，關(guān)注度也比較高（twitter已經(jīng)5w+人） 早上看到推送消息說這個(gè)項(xiàng)目開放DC了， 經(jīng)常沖項(xiàng)目的朋友，都知道遇到這種情況，能進(jìn)都是先進(jìn)，一會(huì)兒可能就進(jìn)不去了， 進(jìn)去后會(huì)發(fā)現(xiàn)一個(gè)比較特別的的驗(yàn)證方式， 需要連接到官網(wǎng)，將驗(yàn)證按鈕收藏到網(wǎng)頁地址，然后回到discord，點(diǎn)擊這個(gè)收藏地址進(jìn)行驗(yàn)證。 雖然心理掠過一絲疑惑，但是覺得這類大牌項(xiàng)目可能是項(xiàng)目方有所創(chuàng)新之類，一氣呵成就做完了。 整個(gè)流程所到之處，頁面都做的精細(xì)，驗(yàn)證完還在discord內(nèi)提示了驗(yàn)證成功。心想：搞定。 如果就此離開去忙別的，那么，你的discord賬號(hào)的權(quán)限token已經(jīng)流到黑客手上了，黑客已經(jīng)可以使用你的賬號(hào)到處scam了。 好在MikeFomo兄弟馬上發(fā)出了提醒， 我們立即反應(yīng)過來，重新登錄，并修改了密碼。 此時(shí)大家還只是猜疑可能是scam，出于對(duì)這個(gè)方式的好奇，于是我又回去冒險(xiǎn)重新操作了一遍，這次我監(jiān)控了網(wǎng)絡(luò)狀態(tài)： 首先，連接到官網(wǎng)，收藏一個(gè)驗(yàn)證按鈕，其實(shí)是收藏了一段簡(jiǎn)易的js代碼。 然后，回到discord服務(wù)器，點(diǎn)擊這個(gè)收藏地址，實(shí)際上是執(zhí)行了這斷js代碼，這段代碼做兩件事，1：去下載了一個(gè)discord里某人上傳的文本messages.txt，這個(gè)文本是一個(gè)加密得非常厲害js文件，內(nèi)容不??；2：運(yùn)行這個(gè)文件，并產(chǎn)生一個(gè)網(wǎng)絡(luò)請(qǐng)求發(fā)送給另一個(gè)遠(yuǎn)端服務(wù)器（黑客通過discord的webhook隱藏了真實(shí)服務(wù)器地址）。當(dāng)我捕獲到這個(gè)網(wǎng)絡(luò)請(qǐng)求，看到body里面的數(shù)據(jù)，赤裸裸的寫著我的discord鑒權(quán)token時(shí)，這個(gè)scam已經(jīng)原形畢露。 最后也發(fā)現(xiàn)官網(wǎng)的域名是.com，這個(gè)scam的域名用的是.net，對(duì)于這種未上線的項(xiàng)目，沖的時(shí)候真的不會(huì)留意去比對(duì)。 挺感嘆這個(gè)scam設(shè)計(jì)者的構(gòu)思，選擇項(xiàng)目上利用了大家沖項(xiàng)目的心理， 流程設(shè)計(jì)上也是很精妙。 以上過程也許不是每個(gè)人都能感同身受，我簡(jiǎn)化成以下兩點(diǎn)： 1：凡是要你去外站收藏一個(gè)地址（或代碼），再回到discord進(jìn)行點(diǎn)擊的，一律不要去做。管他可能是多牛逼的項(xiàng)目。 2：如果你已經(jīng)在discord上運(yùn)行了，那么馬上退出重新登錄，系統(tǒng)會(huì)給你生成一個(gè)新的token，修改密碼更為穩(wěn)妥 最后有鯊友提出舊的token依然可以被使用，這個(gè)我無法確認(rèn)，因?yàn)槲疫@邊token更新后，舊token在機(jī)器人上是立馬失效的，discord也沒理由做這樣的緩存設(shè)計(jì)。但如果真的有這回事，會(huì)很麻煩，請(qǐng)有知道的大大，繼續(xù)指明。

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-Lsnsfhe2-1652203737407)(https://media.discordapp.net/attachments/917713090357915658/958761915704819752/unknown.png)]

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-ODD6UuW2-1652203737407)(https://cdn.discordapp.com/attachments/917713090357915658/958761915981635654/Image.png)]

十六

如果不確定自己有沒有簽過有問題的東西，解決方法：文章來源地址http://www.zghlxwxcb.cn/news/detail-414042.html

1. 取消 Opensea 舊合約的授權(quán)
2. 把 NFT 轉(zhuǎn)到其他錢包

到了這里，關(guān)于區(qū)塊鏈安全防范方法整理的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！