原文標題:《安全特刊04 | OKX Web3 & OneKey:給裝置安全加點「Buff」》
原文來源:OKX
引言| OKX Web3 錢包特別策劃了《安全特刊》欄目,針對不同類型的鏈上安全問題進行專期解答。透過最發生在用戶身邊最真實案例,與安全領域專家人士或機構共同聯合,由不同視角進行雙重分享與解答,從而由淺入深梳理並歸納安全交易規則,旨在加強用戶安全教育的同時,幫助用戶從自身開始學會保護私鑰以及錢包資產安全。
在Web3 世界衝浪,2 筆錢不能省
一筆是鏈上交Gas;一筆是鏈下買裝備
但無論鏈上或鏈下,安全同樣重要~
p>
本期是安全特刊第04 期,特邀加密硬體錢包商OneKey 安全團隊與OKX Web3 錢包安全團隊,從實操指南的角度出發,教你給設備安全加點“Buff”。
OneKey 安全團隊:OneKey 成立於19年,是一家專注安全的開源的硬體錢包與軟體錢包公司,並設有安全攻防實驗室,已獲得Coinbase、Ribbit Capital、Dragonfly 等第一線機構支援。目前,OneKey 硬體錢包,正成為亞洲最暢銷的硬體錢包品牌之一。
OKX Web3 錢包安全團隊:大家好,非常開心可以進行本次分享。 OKX Web3 錢包安全團隊主要負責OKX 在Web3 領域內各類安全能力的建設,例如錢包的安全能力建設,智能合約安全審計,鏈上項目安全監控等,為用戶提供產品安全、資金安全、交易安全等多重防護服務,為維護整個區塊鏈安全生態貢獻力量。
OneKey 安全團隊:Web3 使用者涉及的設備風險案例具有多樣性特徵,我們舉例幾個較常見的案例。
案例一,用戶 Alice 離開自己的設備後,在不知情的情況下被身邊人物理入侵了設備,並盜走了資產。這在電腦安全領域常被稱為「邪惡女僕攻擊(Evil maid attack)」,也是使用者遭遇的最常見設備風險類型之一。
從「擼毛工作室」的同事、打掃房間的阿姨甚至是到親密無間的枕邊人,都有可能是見財起意的攻擊者。此前我們曾經有協助用戶追查硬體錢包內資產被盜情況,用戶報案後,申報交易所獲取了攻擊者所使用的交易所帳戶KYC,最終發現竟是身邊人所為,所謂「千防萬防,家賊難防」。
案例二,用戶Bob 被物理脅迫,不得已交出自己的有資產控制權限的設備,這在加密圈內有個哭笑不得的名字—— 「五美元扳手攻擊($5 Wrench Attack)」。
近年來隨著 Crypto 財富效應的出圈,針對高淨值人士的綁架勒索情況似乎愈演愈烈,尤其是在犯罪率偏高的國家。在 2023 年初,就有媒體報導一則線下交易虛擬貨幣遭搶劫的消息。受害者係參與線下數位貨幣投資者聚會,飯後在車內被控制,不法分子強行利用受害人面部識別解鎖手機與錢包軟體,將錢包內加密貨幣兌換為410 萬枚USDT 後,旋即轉移資金並離開。近期在推特上,也熱傳一位加密礦業 OG 表示自己在遭遇了國際犯罪集團的搶劫,被勒索了畢生累積的大部分加密資產。
OKX Web3 錢包安全團隊:今天這個主題很好,此前我們聊了私鑰安全、MEME 交易安全、以及擼毛安全等很多鏈上安全的主題,其實設備安全也非常重要,我們分享一些比較經典的案例。
案例一:被竄改的硬體錢包
用戶A 從未經授權的平台購買了一個硬體錢包,未經驗證就開始使用。實際上該錢包韌體遭受篡改,已經預先生成過多套助記詞。最終用戶存放於該硬體錢包的加密資產被駭客完全控制,損失慘重。
預防措施:1)用戶盡量從官方或可信任管道購買硬體錢包。 2)使用錢包前,進行官方的完整驗證流程以確保韌體安全。
案例二:釣魚攻擊
用戶B 收到「錢包安全中心」的郵件說明用戶錢包有安全性問題並要求用戶輸入錢包的恢復短語以進行安全性更新。實際上這是一場精心設計的釣魚攻擊,用戶最終損失全部資產。
預防措施:1)使用者永遠不要在任何未經驗證的網站上輸入私鑰或復原短語。 2)使用硬體錢包的螢幕來驗證所有交易和操作資訊。
案例三:軟體安全性
使用者C 從未經驗證的管道下載了惡意軟體,當使用者進行錢包操作時,因軟體存在惡意邏輯導致資產損失。
預防措施:1)使用者從官方管道下載軟體並定期更新相關軟體和韌體。 2)使用防毒軟體和防火牆保護你的設備。
OneKey 安全團隊:涉及用戶資產安全的設備的話,通常包括用戶的手機、電腦、硬體錢包、USB 儲存設備以及網路通訊設備(如WIFI)。
除了我們前面提到了離開設備時會遇到的“邪惡女僕攻擊(Evil Maid Attack)”和,以及暴力犯罪“5 美元扳手攻擊( $5 Wrench Attack)」,以下我們再補充還需特別注意的幾個面向。
一、社會工程與釣魚攻擊
社會工程與釣魚攻擊是目前非常普遍且有效的攻擊手段,攻擊者利用人性的弱點來誘騙使用者執行危險操作。例如,惡意釣魚連結和附件,攻擊者可能會發送含有惡意連結的電子郵件、簡訊或社交媒體訊息,偽裝成可信任來源,如銀行通知或社交媒體平台的提醒。一旦使用者點擊這些連結或下載附件,惡意軟體就會植入裝置中,導致裝置被遠端入侵。
又例如,冒充技術支援人員,攻擊者可能假裝成技術支援人員,透過電話或電子郵件聯繫用戶,聲稱他們的設備有問題,需要立即採取行動。他們可能會誘導用戶提供設備遠端存取權限或洩漏敏感資訊。目前推特上只要你提到了加密貨幣相關的術語,很快就會有機器人大軍過來冒充科技支援「服務」你。
二、供應鏈攻擊
供應鏈攻擊是指攻擊者在設備的生產或運送過程中進行惡意植入。具體表現為以下三點。
第 1 個是硬體篡改。攻擊者可能在硬體錢包或 USB 儲存裝置的製造過程中植入惡意軟體。例如,如果用戶從不可靠的來源購買硬體設備,可能會收到已被篡改的設備,這些設備可能被預先安裝了能夠竊取資訊或允許遠端存取的惡意軟體。
第 2 個是軟體竄改。攻擊者可能在設備的軟體供應鏈中進行攻擊,篡改軟體或韌體更新包。當使用者下載和安裝這些更新時,裝置可能被植入後門程式或其他類型的惡意程式碼。
第 3 個是物流攻擊:在設備運輸過程中,攻擊者可能會攔截並篡改設備。例如,在快遞途中,硬體設備可能被替換或篡改,以便於攻擊者實施後續攻擊。
三、中間人攻擊
中間人攻擊(Man-in-the-Middle Attack, MITM)是指攻擊者在兩方通訊中進行攔截和篡改的資料傳輸。
例如,當使用者使用未加密的網路通訊時,攻擊者可以輕鬆截取並竄改傳輸中的資料。也就是在使用未加密的 HTTP 網站時,攻擊者可以截取並修改使用者傳送和接收的資料。
再例如公共 WIF,在使用公共 WIFI 時,使用者的資料傳輸更容易被攻擊者攔截。甚至攻擊者可以設定惡意的公共 WIFI 熱點,一旦用戶連接,攻擊者就可以監視並竊取用戶的敏感訊息,如登入憑證和銀行交易記錄。自家的 WIFI 在極端情況下也有可能會被入侵安裝惡意軟體。
四、第三方內部攻擊及軟體漏洞
第三方內部攻擊與軟體漏洞,對於使用者來說是難以控制的風險,但對實體設備安全有重大影響的因素。
最常見的就是軟硬體安全漏洞。這些漏洞可能被攻擊者利用,進行遠端攻擊或實體旁路攻擊。例如,某些外掛程式或應用程式可能存在未被發現的漏洞,攻擊者可以透過這些漏洞取得裝置的控制權。這個通常保持安全更新就能解決。同時硬體要考慮使用最新的加密晶片。
而軟體方的內部人員活動:軟體開發者或服務提供者的內部人員可能濫用其存取權限,進行惡意活動,竊取使用者資料或在軟體中植入惡意程式碼。或者是由於外部因素導致了惡意活動。
例如,先前曾有「擼毛工作室」因為使用某款多開指紋瀏覽器導致資產被盜的案例,可能就是軟體或插件的內部作惡導致的。這顯示即便是合法軟體,如果其內部控制不嚴,也可能對使用者的資產安全構成威脅。
又例如,Ledger 之前有一次引起恐慌的攻擊——很多 dapp 在用的 Connect Kit 出問題了。攻擊的原因是一名前員工成為網路釣魚攻擊的受害者,攻擊者在 Connect Kit 的 GitHub 庫中插入了惡意程式碼。還好 Ledger 的安全團隊在被告知問題後的 40 分鐘內部署了修復措施,Tether 也及時凍結了襲擊者的 USDT 資金。
OKX Web3 錢包安全團隊:我們歸納一些使用者常用的實體設備,並對其可能產生的潛在風險進行展開。
目前使用者常用的實體設備主要包括:1)電腦(桌上型電腦和筆記本),用於存取去中心化應用程式(dApps)、管理加密貨幣錢包、參與區塊鏈網路等。 2)智慧型手機和平板電腦,用於行動存取 dApps、管理加密錢包和進行交易。 3)硬體錢包,專用設備(如 Ledger、Trezor),用於安全儲存加密貨幣私鑰,防止被駭客攻擊。 4)網路基礎設施,路由器、交換器、防火牆等設備,確保網路連線的穩定與安全。 5)節點設備,運行區塊鏈節點的軟體設備(可以是個人電腦或專用伺服器),參與網路共識和資料驗證。 6)冷儲存設備,用於離線儲存私鑰的設備,例如 USB 隨身碟、紙錢包等,防止線上攻擊。
目前實體設備,可能產生的潛在風險主要有以下幾種
1)實體設備風險
• 裝置遺失或損壞:硬體錢包或電腦等裝置若遺失或損壞,可能導致私鑰遺失,而無法存取加密資產。
• 物理入侵:不法分子以物理方式入侵設備,直接取得私鑰或敏感資訊。
2)網路安全風險
• 惡意軟體與病毒:透過惡意軟體攻擊用戶設備,竊取私鑰或敏感資訊。
• 釣魚攻擊:偽裝成合法服務誘騙使用者提供私鑰或登入憑證。
• 中間人攻擊(MITM):攻擊者攔截與篡改使用者與區塊鏈網路之間的通訊。
3)使用者行為風險
• 社工攻擊:攻擊者透過社會工程手段誘騙用戶洩漏私鑰或其他敏感資訊。
• 操作失誤:使用者在交易或管理資產時操作失誤,可能導致資產遺失。
4)技術風險
• 軟體漏洞:dApps、加密錢包或區塊鏈協定中的漏洞可能被駭客利用。
• 智慧合約漏洞:智慧合約程式碼中的漏洞可能導致資金被竊。
5)監管與法律風險
• 法律合規性:不同國家和地區對加密貨幣和區塊鏈技術的監管政策不同,可能影響用戶的資產安全和交易自由。
• 監管變化:政策的突然變化可能導致資產凍結或交易受限。
OneKey 安全團隊:當然,硬體錢包雖然不是私鑰安全的唯一選擇,但它確實是增強私鑰安全的一種非常有效的方法。其最大的優勢在於,它能將私鑰從生成、記錄到日常儲存都與網路隔離開來,並在執行任何交易時要求用戶在實體設備上直接驗證和確認交易細節。這項特性有效地阻斷了私鑰被惡意軟體或駭客攻擊所竊取的風險。
我們先來談談硬體錢包的優點:
1)物理隔離:硬體錢包將私鑰儲存在專用設備中,與連網的電腦和行動裝置完全隔離。這意味著,即使用戶的電腦或手機被惡意軟體感染,私鑰仍然是安全的,因為它們從未接觸到網路。
2)交易驗證:在使用硬體錢包進行交易時,使用者必須在裝置上直接確認並驗證交易細節。這個過程使得攻擊者即使獲得了用戶的線上帳戶訊息,也無法未經授權地轉移資產。
3)安全晶片:許多硬體錢包使用專用的安全晶片來儲存私鑰。這些晶片經過嚴格的安全認證,如 CC EAL6+(例如 OneKey Pro 和
Ledger Stax 等新硬體錢包採用的標準),能夠有效防護實體旁路攻擊。安全晶片不僅防止了未經授權的訪問,還能抵禦多種高級攻擊手段,如電磁分析和電力分析攻擊。
除了硬體錢包外,還有多種方法可以增強私鑰的安全性,使用者可以根據自身需求選擇適合的方案:
1)紙錢包:紙錢包是將私鑰和公鑰印在紙上的一種離線儲存方式。雖然這種方法簡單且完全離線,但需要注意防火、防潮、防丟失等實體安全問題。有條件最好買一個金屬刻板進行實體記錄(市面上選擇很多,例如 OneKey 的 KeyTag)。
2)手機冷錢包:冷錢包是指完全離線儲存的私鑰或加密資產,例如離線的手機或電腦。與硬體錢包類似,冷錢包也能有效避免網路攻擊,但用戶需要自行設定和管理這些裝置。
3)分片加密儲存:分片加密儲存是一種將私鑰分割成多個部分,並分別儲存在不同位置的方法。即使攻擊者取得了一部分私鑰,也無法進行完整的復原。這種方法透過增加攻擊難度來提高安全性,但使用者需要管理好各個私鑰分片,避免因部分分片遺失而無法恢復私鑰。
4)多重簽章(Multisig):多重簽章技術要求多個私鑰共同簽署交易,才能完成轉帳作業。這種方法透過增加簽署者數量來提高安全性,防止單一私鑰被盜而導致資產被轉移。例如,可以設定一個三方簽署的多簽帳戶,只有當至少兩個私鑰同意時,交易才能被執行。這不僅提高了安全性,還可以實現更靈活的管理和控制。
5)密碼學創新技術:現在隨著科技的發展,一些新興的密碼學技術也不斷應用於私鑰保護。例如,閘限簽章(Threshold Signature Scheme, TSS)和多方運算(Multi-Party Computation, MPC)等技術,透過分散式運算和協作方式,進一步提高了私鑰管理的安全性和可靠性。這裡一般是企業會用得比較多,個人使用極少。
OKX Web3 錢包安全團隊:硬體錢包透過將私鑰儲存在一個獨立的、離線的裝置上,防止私鑰被網路攻擊、惡意軟體或其他線上威脅所竊取。相較於軟體錢包和其他形式的存儲,硬體錢包提供了更高的安全保障,特別適用於需要保護大量加密資產的用戶。對於私鑰安全防護措施大概可以從以下角度出發:
1)使用安全的儲存設備:選擇可信賴的硬體錢包或其他冷儲存設備,降低私鑰被網路攻擊盜取的風險。
2)建立完善的安全意識教育:加強對私鑰安全的重視和保護意識,對任何需要輸入私鑰的網頁或程式保持警惕,在必須複製貼上私鑰時,可以只複製部分,留幾位字元手動輸入,防止剪貼簿攻擊。
3)助記詞和私鑰的安全儲存:避免拍照、截圖或線上記錄助記詞,應盡量寫在紙上並存放在安全的地方。
4)私鑰分離儲存:將私鑰分成多個部分,分別儲存在不同的地方,減少單點故障的風險。
OneKey安全團隊:區塊鏈並不像Web2 需要去識別儲存我們的身份訊息,它是透過密碼學來實現資產的自託管和存取。這意味著,私鑰就是一切。用戶存取控制加密資產的最大風險,一般都來自私鑰的儲存不當——畢竟用戶私鑰是存取加密貨幣資產的唯一憑證。如果私鑰遺失、被竊暴露甚至是遭遇天災,就很可能永久失去資產。
這也是我們 OneKey 等品牌存在的意義,為使用者提供安全的私鑰自託管方案。不少用戶往往在管理私鑰時缺乏安全意識,使用不安全的儲存方式(如將私鑰保存在線上文件、截圖中)。最好的方式是採用離線產生和儲存的方式,除了手動擲骰子和手抄之外,也可以考慮使用先前提到的硬體錢包配合助記詞金屬板銘刻。
當然,也有不少使用者使用交易所帳戶直接儲存資產,這時候身分驗證和存取控制就比較類似 Web2 了。
這將關乎使用者的密碼安全意識。弱密碼和重複密碼的使用是一個常見的問題。使用者傾向於使用簡單、易猜的密碼或在多個平台(例如驗證用郵箱)上重複使用相同的密碼,增加了被暴力破解或資料外洩後受攻擊的風險。
儘管在這其中多重身份驗證(如短信驗證碼、Google Authenticator)可以增加安全性,但如果實施不當或存在漏洞(如短信劫持) ,也會成為攻擊目標。例如簡訊劫持 SIM 交換攻擊——攻擊者透過欺騙或賄賂行動電信業者的員工,將受害者的電話號碼轉移到攻擊者控制的 SIM 卡上,從而接收所有發往受害者手機的簡訊驗證碼。先前 Vitalik 就曾經遭遇「SIM SWAP」攻擊,攻擊者使用其推特發出釣魚訊息導致多人資產受損。此外,多重身分驗證器如「Google Authenticator」的備份碼儲存不當也有可能會被攻擊者取得並用於攻擊帳號。
OKX Web3 錢包安全團隊:這是非常值得關注的板塊,目前來看需要注意的是
1)弱密碼和密碼重用:使用者經常使用簡單、容易猜測的密碼,或在多個服務上重複使用相同的密碼,增加了密碼被暴力破解或透過其他洩漏管道獲取的風險。
2)多因素身份驗證(MFA)不足:Web2 中多因素身份驗證可以顯著提高安全性,但web3 錢包中一旦私鑰洩漏就意味著攻擊者掌握了帳戶的全部操作權限,難以建立有效的MFA 機制。
3)釣魚攻擊與社會工程:攻擊者透過釣魚郵件、假網站等方式誘騙使用者洩露敏感資訊。目前針對 web3 的釣魚網站呈現集團化、服務化的特點,如果沒有足夠的安全意識很容易上當受騙。
4)API 金鑰管理不當:開發者可能將API 金鑰硬編碼在客戶端應用中,或未對其進行適當的權限控制和過期管理,導緻密鑰洩露後可以被濫用。
OneKey 安全團隊:在2015 年的BlackHat 大會上,全球駭客一致認為人臉辨識技術是最不可靠的身份認證方法。近十年後,在 AI 技術進步下,我們已經有近乎完美的替換人臉的「魔法」,果然普通的視覺人臉辨識已經無法提供安全的保障。於此,更多的是識別方需要升級演算法技術來識別和阻止深度偽造內容。
對於 AI 換臉這些風險,使用者端除了保護好自己的隱私生物特徵資料之外,能做的確實不多。以下有一些小的建議:
1)謹慎使用人臉辨識應用
用戶在選擇使用人臉辨識應用程式時,應選擇那些有良好安全記錄和隱私權政策的應用程式。避免使用未知來源或安全性存疑的應用,並定期更新軟體以確保使用最新的安全性修補程式。先前國內有許多小貸公司 App 就違規使用用戶的人臉資料倒賣,洩漏用戶人臉資料。
2)了解多因子認證(MFA)
單一的生物特徵認證存在較大風險,因此結合多種認證方式能夠顯著提升安全性。多因素認證(MFA)結合了多種驗證方法,例如指紋、虹膜掃描、聲紋識別,甚至是 DNA 數據。對於識別方而言,這種組合認證方式能夠在一個認證方法被攻破時,提供額外的安全層。對使用者來說,保護自己這方面的隱私資料同樣重要。
3)保持懷疑謹防詐騙
很顯然,人臉和聲音都被可以被 AI 模仿的情況下,隔著網路冒充一個人變得簡單了很多。使用者應特別警惕涉及敏感資訊或資金轉移的請求,採取雙重驗證,透過電話或面對面確認對方身分。保持警惕,不輕信緊急要求,辨識假冒高階主管、熟人、客服等常見詐騙手段。先如今假冒名人的也很多,參與一些專案也要小心「假站台」。
OKX Web3 錢包安全團隊:一般來說,新興的虛擬技術帶來新的風險,而新的風險事實上也會帶來新的防禦手法研究,新的防禦手法研究則會帶來新的風險控制產品。
一、AI 偽造風險
在AI 換臉範疇,已經有許多AI 換臉部檢測產品的出現,當前工業界已經提出了幾種方法來自動檢測虛假人物視頻,側重於檢測數字內容中因使用deepfake 而產生的獨特元素(指紋),用戶也可以通過仔細觀察面部特徵,邊緣處理,音畫不同步等多種方式識別出AI 換臉,此外,微軟也推出了一系列工具以教育用戶對於deepfack 的識別能力,用戶可以進行學習並加強個人的識別能力
二、資料與隱私風險
大模型在各種領域的應用也帶來了使用者的資料與隱私風險,在平時在對話機器人的使用中,用戶盡量要關注個人隱私信息的保護,盡量避免私鑰,key,密碼等關鍵信息的直接輸入,盡量通過替代,混淆等方法隱藏自己的關鍵信息,對於開發者而言,Github 提供了一系列友好的檢測,如果提交的程式碼中存在OpenAI apikey 或其他有風險的隱私洩露,相應的Push 則會報錯。
三、內容產生濫用風險
在使用者日常工作中,可能會遇到許多大模型產生內容的結果,這些內容雖然有效,但是內容生成的濫用也帶來了虛假信息,知識版權的問題,現在也出現了一些產品,用於檢測文本內容是否為大模型生成,可以降低一些相應的風險。此外,開發者在使用大模型的程式碼產生時,也要注意生成程式碼功能的正確性和安全性,對於敏感或需要開源的程式碼,一定要進行充分的審查和審計
四、日常的關注以及學習
用戶在日常瀏覽短視頻,長視頻以及各種文章時,要有意識的去判斷以及識別,記住可能的AI 偽造或AI 生成的內容,如常見的解說男音,女音,讀音錯誤,以及常見的換臉視頻,在遇到關鍵場景下,有意識的去判斷和識別這些風險。
OneKey 安全團隊: 根據前面提到的各種風險,我們把防護措施簡單總結一下。
1、謹防連網設備的入侵風險
在我們日常生活中,連網設備已經無所不在,但這也帶來了潛在的入侵風險。為了保護我們的高風險資料(如私鑰、密碼、MFA 備份碼),我們應該使用強加密方法,並盡量選擇隔絕網路的儲存方式,避免將這些敏感資訊直接以明文形式儲存在裝置上。此外,我們需要時時保持防範釣魚和木馬攻擊的警覺心態。可以考慮分開使用加密資產操作的專用設備和其他普通用途的設備,以降低被攻擊的風險。例如,我們可以將日常使用的筆記型電腦和用於管理加密資產的硬體錢包分開,這樣即使一台設備遭到攻擊,另一台設備仍能保持安全。
2、維持物理的監控與保護
為了進一步保障我們的高風險設備(如硬體錢包)的安全,我們需要採取嚴格的實體監控和保護措施。家中的這些設備應該存放在高標準的防盜保險箱中,並配備綜合智慧安防系統,包括視訊監控和自動警報功能。如果我們需要出行,選擇有安全儲存設施的飯店尤其重要。許多高檔飯店提供專門的安全儲存服務,這能為我們的設備提供額外的保護層。此外,我們還可以考慮隨身攜帶便攜式保險箱,確保在任何情況下都能保護我們的重要設備。
3、降低風險敞口及預防單點故障
將設備與資產分散儲存是降低風險的關鍵策略之一。我們不應該將所有高權限設備和加密資產儲存在一個地方或一個錢包中,而應考慮分散儲存在不同地理位置的安全地方。例如,我們可以在家中、辦公室以及信任的親友處分別存放一些設備和資產。此外,使用多個熱錢包和硬體冷錢包也是一種有效的方法,每個錢包可以存放一部分資產,降低單點故障的風險。為了增加安全性,我們還可以使用多重簽名錢包,這需要多個授權簽名才能進行交易,從而大幅提升我們的資產安全水準。
4、假設最壞情況的應急措施
在面對潛在的安全威脅時,制定最壞情況的應急措施至關重要。對於高淨值人士來說,保持低調行事是避免成為目標的有效策略。我們應避免在公開場合炫耀自己的加密資產,盡量保持財產資訊低調。此外,制定設備遺失或被竊的緊急應變計畫也是必要的。我們可以設定誘餌加密錢包,臨時應付可能的劫匪,同時確保重要設備的資料可以遠端鎖定或擦除(在有備份的情況下)。在高風險地區公開出遊時,僱用私人保全團隊可以提供額外的安全保障,並使用特殊貴賓安全通道和高安全性的飯店,確保我們的安全和隱私。
OKX Web3 錢包安全團隊:我們分兩個層面來介紹,一個是 OKX Web3 APP 層面、另外一個是使用者層面。
1、OKX Web3 APP 層面
OKX Web3 錢包採用了多種手段對App進行加固,包括但不限於演算法混淆、邏輯混淆、程式碼完整性檢測、系統庫完整性檢測、應用防篡改以及環境安全檢測等多種加固和檢測手段,最大程度上降低了用戶在使用App 時遭受駭客攻擊的機率,同時也能夠最大程度避免黑產對我們的App 進行二次打包,降低了下載到假App 的機率。
另外,在Web3 錢包資料安全層面,我們使用了最先進的硬體安全技術,利用晶片級加密手段,對錢包中的敏感資料進行加密,該加密資料跟裝置晶片綁定,加密資料如果被盜,任何人無法解密。
2、使用者層面
針對使用者涉及實體設備包括硬體錢包、常用電腦、以及手機等設備,我們建議用戶可以先從以下幾個方面加強安全意識
1)硬體錢包:使用知名品牌的硬體錢包,從官方管道購買,並在隔離環境中產生和儲存私鑰。儲存私鑰的媒體應防火、防水、防盜。建議使用防火防水的保險箱,可將私鑰或助記詞分散存放在不同安全位置以提升安全性。
2)電子設備:安裝軟體錢包的手機與電腦建議選用安全性與隱私性較好的品牌(例如蘋果),同時減少安裝其它不必要的應用軟體,純淨系統環境。使用蘋果身分 ID 管理系統多裝置備份,避免單機故障。
3)日常使用:避免在公共場合進行錢包設備敏感操作,防止攝影機記錄外洩;定期使用可靠的防毒軟體對設備環境進行查殺;定期對實體設備存放位置可靠性進行檢查。
最後,感謝大家看完OKX Web3 錢包《安全特刊》欄目的第04 期,當前我們正在緊鑼密鼓地準備第05 期內容,不僅有真實的案例、風險識別、還有安全操作乾貨,敬請期待!
免責聲明:
本文僅供參考,本文無意提供(i) 投資建議或投資推薦;(ii) 購買、出售或持有數位資產的要約或招攬;或(iii) 財務、會計、法律或稅務建議。持有的數位資產(包括穩定幣和 NFTs)涉及高風險,可能會大幅波動,甚至變得毫無價值。您應根據自己的財務狀況仔細考慮交易或持有數位資產是否適合您。請您自行負責了解並遵守當地有關適用的法律和法規。
本文來自投稿,不代表 BlockBeats 觀點。
欢迎加入律动 BlockBeats 官方社群:
Telegram 订阅群:https://t.me/theblockbeats
Telegram 交流群:https://t.me/BlockBeats_App
Twitter 官方账号:https://twitter.com/BlockBeatsAsia