编者按:本文来自微信公众号白话区块链,作者:WJ,36氪经授权转载,
昨晚黑客在币安上捣鼓那些事,把整個市场都给搅乱,很多媒体就马上发文报道,纷纷表达:“币安被黑客攻击” 、“币安被盗” 、“币安被xxx” .....大一部分标题都是在说币安如何如何,好像这就是币安错,怎么那么容易被攻击,怎么没防住呀?
这里,我发现一個难题,其实大家都Follow错,很多时候保障难题并非在交易所,咱们可以看到币安上黑客是根据正常流程在走,并未攻击币安系统,币安保障机制也没有难题,黑客只是盗窃运用者API Key,其实这個难题在于运用者自己保障措施身上,靠币安是没用!咱们真正应该Follow是如何防止类似大事发生,咱们能做什么,
媒体作者们尚且会错意,更不用说普通运用者,很多人对于自己网络保障知识缺失,并非在意,感觉这事轮不上我,我电脑没坏应该不会中毒,是,就是这种心态,让黑客们有可乘之机,你们私钥你们API Key人家轻松收走,就等待一個收网时机,这不,币安事出现,我想倘若不注意保障难题,下一個下下個大事还会继续冒出现,
下文是早前我一些关于保障提醒、措施〔本次有所补充〕,币圈人们有多少注意呢?只要网络连续,保障难题,就不会停!再发一次,再提醒一次!保障提醒,请永远都要嫌多!
=========我是分割线==========
币圈人都晓得吗?忽视这些,黑客至少有100种方法掏空你钱包、交易所账户
区块链大潮兴起,很多人把自己一定比例财富换成数字货币资产放到互联网上,纵然网络保障技术连续迭代,黑客难题始终是全世界都为之头疼不止,确实,有一定匿名属性、方便转移等特性,再加上互联网是黑客“大本营”,在这“肥沃土壤”里,任何人数字资产都别想绝对保障,反而更要命是,大一部分人对网络保障知识、甚至对自己操作系统熟悉层次,还达不到黑客们百分之一,这直接导致黑客在很多时候盗取数字资产如同探囊取物一般,小编在这里绝非危言耸听提醒大家:忽视这些网络保障知识,黑客至少有100种方法掏空你钱包、交易所账户,
一、看似更保障去腹地化交易平台,也许黑客更爱
去腹地化交易所,最先选是防止腹地化交易所坚守自盗风险,、区腹地化钱包一样,自己是自己账户真正归属人,同时没有人能篡改账户,也没有提不出币风险,
但小编提醒各位,去腹地化平台,就相当于不记名资产账户,持有密钥人就是主人,当平台把密钥生成并交付到页面显示那一刻,你手里捏着就是唯一凭证,任凭丢失、被盗、泄漏等损失,任何责任百分之百由你個人承担,
反而個人手里保存密钥时而候却没有放在腹地化平台里来保障,到底黑客们从個人手里盗取密钥远比层层保障措施严格腹地化大型交易所里盗取数字资产容易得多,这一個就像拦路抢劫手无缚鸡之力路人,一個就像抢劫全副武装银行金库,
大家晓得,黑客攻击,上至政府要紧机构,下至普通PC,简直是防难以防,前段时间以德被黑客攻击大事〔不是最先個次〕,黑客只是利用一個漏洞,并经由很简单基石手法插入一段上传代码,把运用者密钥进账囊中,
倘若这边是腹地化交易所,这個情况下,就未必有那么容易被盗,至少不会那么容易获得运用者账户,
所以,你任凭用去腹地化还是腹地化,保障都须要看重,
二、黑客是如何攻破交易所顺利盗走数字资产?
这個其实小编已经在标题里说,黑客方法太多,有一些涉及相对专业词汇,小编下文不会提到它们,大家只要晓得大致什么原理,须要注意什么就好,小编先列举几個典型例子同时用大白话来解释把:
几种钓鱼网站
嗯,大家新闻经常听到,“钓鱼网站”,一些老司机要说,不就是做個假网站,而后网址很像,大家不小心进去后输入帐号密码这些就被盗嘛,这种小儿科,咱们只要记住网址就行,
是,这些老司机说都是对,最简单钓鱼就是类似网址,而后人们点进去输入帐号密码被黑客获取,这也是利用大一部分人都不会去记网址,于是不会发现假网站、假网站,
显然,倘若只有那么简单话,小编就不用说那么多是吧,
有这么几种情况,就使你能够一字不漏背下网站网址,输入浏览器打开后依然是個假网站:
假设小编记得以德网址,同时输入是正确网址,而后打开网页,咱们可以发现进入一個警告页面:表达当前网站正在遭受黑客攻击,账户已经被锁定,须要输入正确密钥来提取数字货币转移到保障地方去, 因网址绝对是对,所以这里钓鱼话,大家可以猜猜上当概率是多少?倘若不是小编时间有限,这個页面做、以德百分之百一模一样又会如何?小编同时也测试另外一個腹地化交易所网址,也是一样,
看到这里,大家心想,这些交易所财大气粗,应该做好百分之百准备才是呀,为什么那么轻易就被他人個劫持呢?其实小编告诉大家,这些只是一些计算机网络基石知识而已,小编这里用到劫持方法,黑客们融汇贯通,同时交易所、钱包网站们也是防不行,
三、100种以上方法
1. 当地劫持
小编这里演示用是当地劫持,当地劫持最先选是黑客经由传播木马,
最先個种,让木马去劫持当地系统hosts文件〔windows、安卓等各类系统都会有这個文件〕,你在浏览器输入网址时候,浏览器先说会检查这個文件里是否有这個网址记录,倘若有,则会根据记录探寻对应服务器IP地址,在这里,小编用上临时搭建当地服务器IP地址,而后咱们输入记录中地址,就会被劫持到这個临时服务器网页上来,至于服务器内容,就黑客自己随心所欲,网址都是正确深信不疑人必然多,钓鱼成功率也是很高,
第二种,依然是木马,让木马修改当地网络配置DNS地址,
这里DNS往往默认是当地运作商DNS服务器地址,DNS服务器起到作用,最先选是实行网址、服务器对应,比方说你在浏览器输入CCTV.COM ,那么你当地hosts文件没有告诉浏览器ip地址话,就会向DNS发出一個请求,询问这個服务器,cctv.com这個网址所对应服务器iP是多少?而后当地DNS查询当地缓存列表里倘若有,就直接反回,倘若没有,那就向上一级DNS服务器实行索取,再返回给你,而后你就能看到对应服务器上页面,反而,倘若这個DNS地址被修改成黑客架设假DNS服务器地址,那么你访问任何网址,将由黑客这台服务器说算,它让你进入假网站,你也就进去,网址也是一样,
第三种,当地劫持,就是路由器DNS,是,路由器也可以设置一個DNS,原理同上,近年来各类路由漏洞造成保障事故频发,黑客利用各类工具扫描ip段,一旦发现漏洞路由器,可以获得路由器控制权限等;这让局域网内所有PC网络连接都有直接被黑客控制风险,这样范围就非常广,
第四种当地劫持方法:浏览器插件,如下图,随手打开浏览器里一個流行常用插件,你可以看一下,这個插件权限,就是这個插件可以做事,看看,最先個個,读取、更改,您在访问网站上所有数据, 也就是说,我访问就算是正确地址,进去后网页依然可以被修改,我输入帐号密码,甚至密钥,也是可以在发送之前被读取,同时插件可以让你跳转他们假网站,也可以修改网页上钱包APP下载地址,让你下载一個假钱包,很多人浏览器打开淘宝之类购物网站,会自动跳转到返利淘客地址,用过都晓得,大一部分火车票抢票插件、比价插件,都是可以直接修改打开页面内容,
〔著名技术交流网站V2EX网友反应页面被劫持情况〕
所以说,你无法够说人家交易所、电商网站们没有做好保障防范,实际上很多时候,出难题是咱们当地PC、设备上,人家再怎么防备,也管不到你设备呀,归根结底,自己小荷包,还是得自己捂好,
2. 其它
有很多原理相对复杂,我挑要紧简单说把,
2.1 攻击相关网站DNS缓存服务器:这也叫做缓存投毒,原理、前面说劫持接近,缓存记录改成黑客想要记录,而后经由这個DNS访问人就会被劫持到黑客网站上去,
2.2 运作商DNS污染:这個应该每個人都遇到过吧,运作商可以在你访问任何网站里添油加料,显然黑客也可以,或者运作商机房内鬼也可以,显然这种情况,在大一部分网站都开启加密传输协议情况下,是相对臻稀,
2.3 利用各类各类漏洞,就说黑客能利用漏洞数量吧,多得数不清,甚至有一些漏洞,存在并未被发现时间长得让人发指,世界上没有密不透风墙,也不会有没漏洞操作系统,
如上那么多方法,最先选还是经由给你一個假网站、假钱包获取你信息,显然,假网站假钱包套取数字资产手段,并非仅限于如上方法,也不光限于如下方法:
1. 黑客做一個腹地化交易所一样网站,而后你输入帐号密码同时黑客也同步在真正网站上输入帐号密码,涵盖二次验证短信以及谷歌二次认证码,
2. 黑客做一個假去腹地化交易所,而后你进去获得密钥是假,而后账户充币地址是黑客,而后黑客设置这個假交易所里诱人价格,引诱你赶紧转入大量数字货币,很开心进来实行大抄底,而后,你提币时候才发现,并非能提出,同时让人毛骨悚然情况是,你在上面交易很久,大概只是玩一個虚拟交易盘子,你转进去币早就被搬空,而你一直不知情,不亦快哉玩着黑客给你做交易游戏,
3. 假钱包,额... 类似上面,钱包地址是黑客,充进去币照样给你显示,只是你最后会发现,你一直存有巨额资产钱包竟然是一只只进不出老虎,
4. 假网站,相信今天很多人都看到这篇文章——震惊:一個朋友被骗走将近400万区块链资产,高仿网站骗取运用者私钥,于是将运用者钱包洗劫一空,永远别忘记最基石那一点:别交出你私钥或者助记词,别把你keystore、钱包密码储存在同一处,「地址、密码、私钥、助记词、Keystore 」那些事,更更要紧是增强保障意识,别图便宜,
四,面对如上那么多潜在黑客风险,咱们应该做什么?
面对黑客,目前来说真是毫无办法事情,显然,也不是说无法杜绝就不去管,至少咱们可以利用已知网络保障知识,把自己投资环境、资产储存环境变得更保障,随随便便黑客也搞不行你,真有水平黑客,也瞧不上你那点东西,嗯,不多说,还是说说如何最大层次防止吧:
1. 要紧网站网址一定要观察是否有Https并确认是否正常:
针对上面输入正确网址都大概是假网站情况,咱们倘若注意在确认网址是正确情况下,用HTTPS来访问,倘若小编当时输入网址是https://xxxxx.com 而不是直接输入 xxxx.com 那么我这边显示网页绝对不会是假网站,因HTTPS除加密传输数据内容之外,还有一個功能就是认证功能,一個网站要开通https服务,须要申请一個证书,当一個域名对应认证过服务器带证书正确情况下,浏览器往往会提示保障访问,否则浏览器会提示你当前访问服务器与证书不服不是保障网站,所以你会发现一些要紧网站,银行、交易所、钱包、一律用额https保障链接,就是为应对这种情况,
〔域名访问或者DNS被劫持情况下,访问网站会提示不保障,并拒绝显示网页〕
〔恢复正常后,可以看到保障提示,并显示正确网页〕
2. 最卓著记住要紧网址,同时运用HTTPS
倘若你无法记住网址,欢迎运用大白百宝箱,咱们设计初衷之一,就是为保障访问要紧网站,如下图,咱们已经把百宝箱要紧工具、网址官网HTTPS保障链接展示出现,每次访问记得核对保障网址,这样风险自然就降低,
3. 别随意点击不明链接、不安装来路不明软件APP或者打开不明邮件附件
木马最先选传播方法,往往就是如上小标题这几种方法,任何人发来不明链接或者假装成邮件系统升级、客户报价之类邮件链接、附件都别随便去打开,下载软件或者应用,请到保障地方,比方说苹果应用商店,安卓应用商店,确实须要到官网下载类似钱包应用,请记得上面提到确保访问是HTTPS保障地址,
4.别安装来路不明浏览器插件或者别随便安装插件
一般咱们在插件市场下载插件难题不太,但是谁晓得呢,很多人下载插件还在第三方不明来路地方下载,插件基本是是全程看着你上网,你浏览任何网页它们都看在眼里,
5.检查当地hosts文件、PCDNS网络设置、路由器设置
hosts文件路径,windows话是在:C:WindowsSystem32driversetc 打开文件夹后找到这個hosts文件,可以右键用记事本打开编,
网络配置,往往在 控制面板==》网络、 Internet===》网络连接 找到连接宽带或者路由器连接图标,右键,属性,而后双击“internet 协议版本4 〔tcp/ipv4〕”进入检查DNS设置,这里咱们可以按小编这两個地址:一個是阿里供应一個是百度供应全民免单DNS地址,相对权威,也可以减少一些DNS污染情况,
路由器,访问管理页面方法、帐号密码一般在路由器背面有标识,而后进去找到DNS设置选项设置,
6. 操作交易PC最卓著不是盗版系统
盗版系统往往会内置一些广告流氓插件等不保障因素,
7. 手机,别root、越狱不随意安装不明来路APP
root、越狱表达获得最高权限,第三方应用大概修改一些保障设置、甚至监听、监控、远程操控,安装要紧钱包应用手机,务必干净,无第三方APP,
8. 数字资产量大必需冷钱包
量少可以用交易所,但是必需确保保障前提下,
9. 要紧手机PC别随意运用第三方不明全民免单Wifi
这大概是個诱饵,经常用万能wifi钥匙这类应用也要注意,接入来路不明路由器,你传输数据都可以被监听,而后你设备保障性较低,人家可以直接入侵你设备,哦,对还有個伪基站难题,手机收到短信、链接请核实后再说,伪基站可以模拟任何号码往你手机发信息,
10. 网页、APP发生异常情况火速确认、终止重大操作
比方说网页突然跳转到另外一個链接,突然弹出一個提示框要求填写帐号资料〔各类理由〕,地址栏网址变、鼠标移动到钱包应用下载地址链接时看状态栏显示域名不是当前官网域名,或者是不是保障地址,这些情况都必需反复确认,别一时疏忽酿成无法挽回错误,
11.重新审视你個人电脑、手机保障环境
倘若你平时很少在意是否安装来路不明软件、app,那么你此刻就要找出那些常用但是来路又说不清楚软件或者App,极具是那种小众一点工具,用人不多,爆料人也少,就自然不会有人晓得有难题,也许,你pc或者手机已经是他人“肉鸡”好多年,而你全然不知,倘若你PC、手机不须要做要紧交易上要紧网站,只是玩玩游戏,那没事,但是倘若你有存放数字货币资产、登录要紧网站,那么保障环境是必须要有,
12.别裸奔,该有防护还是要有
前几年3q大战时候,很多人曾说两個都卸载,什么防护杀毒软件都不安装,裸奔就挺好,速度又快,平常注意点就行,这样一来就算你平常很小心运用,注意保障,可是很多新漏洞、新病毒没办法百分之百被防护,况且病毒变种千变万化,潜入你PC方法也有千百种,难免百密一疏,所以别以为裸奔很酷,
以上就是一些常见防备方法,也许有遗漏,欢迎大家留言补上,保障无小事,大家务必解这些网络保障知识,才干自己呵护好自己数字资产,显然,别嫌麻烦,小编时而候也一样懒得去确认,但是想想仅仅为节省这几秒钟时间忽略保障难题,最后得不偿失还是自己。