对话imToken社区负责人:如何保障你的数字资产安全 | 合集
imToken 是一款全球领先的区块链数字资产管理工具[ZB],帮助你安全管理BTC, ETH, ATOM, EOS, TRX, CKB, BCH, LTC, DOT, KSM, FIL, XTZ 资产,同时支持去中心化币币兑换功能 ...
以下是完整对话:
1、区块链媒体群:作为数字资产用户,如何才能更好的保障自己的数字资产安全?有哪些策略可以选择?
Simon:这个问题可以说是数字资产行业永恒的话题,在分享具体策略之前,我一般会先跟大家解释两个问题:
1、了解中心化钱包与去中心化钱包的区别;
2.安全是相对的,没有绝对的安全,每个人不同的情况可能有不同的安全策略。
那么我先跟大家分享一下什么是中心化钱包,什么是去中心化钱包,他们之间的根本区别是什么?其实他们之间最根本的区别就是私钥是否自持。
去中心化钱包有几个特点:首先私钥是用户自己掌握的,当然密码也是用户自己掌握的。其次资产是存放在区块链上,而不是托管在中心化的服务器上。然后目前生成钱包不需要实名认证,生成钱包的成本也很低。同时无法实现“账户冻结”、“交易回滚”等操作。
在传统的互联网技术中,使用中心化钱包时,我们会看到注册、登录等功能,用户不会与私钥打交道。同时,如果用户忘记密码,也可以通过注册的邮箱或者手机号获得密码找回服务。
然而,上述服务在去中心化钱包中并不存在。这使得去中心化钱包很难受到黑客的攻击,用户不用担心钱包服务提供商窃取钱包资金。
钱包安全的本质就是“防盗”和“防丢”,我们所有的安全策略其实都是围绕这两点展开的。我之前提出过一套钱包安全的10条原则,具体如下:
1. 不要使用没有后台的钱包
2. 不要使用电子邮件传输或存储私钥
3.不要使用微信收藏或云备份来存储私钥
4. 不要截图或拍照来保存私钥
5. 不要使用微信或转移私钥
6. 不要与周围的人分享你的私钥
7. 不要将你的私钥发送给群组
8. 不要使用第三方提供的来源不明的钱包应用
9.不要使用他人提供的Apple ID
10. 不要将私钥导入未知的第三方网站
我想普通用户只要保证以上几点,并且运用到其他场合,就能够确保自己的钱包是安全的。
2、区块链媒体群:例如有用户发现,自己钱包里的ETH名称前可以加一个空格冒充真正的ETH,而钱包的交易记录中也会显示这个假的ETH,但其实并没有进行过任何ETH交易,如何解决这个问题?
Simon:前段时间确实出现过这种现象。不仅有假 ETH,还有假 BTC 以及一系列同名的其他代币。因为以太坊上可以运行智能合约,工程师可以以极低的成本发行代币,而且在以太坊上发行代币时,唯一标识符并不是我们看到的代币名称,而是合约地址。
ETH本身并不是ERC20标准的代币,但是以太坊上发行的假ETH、BTC代币都是ERC20代币,通过类似这款的区块链浏览器,我们可以一眼就分辨出哪些是真ETH,哪些是假ETH。
它是一个去中心化的钱包,我们的服务器会自动识别用户收到的或者新添加的代币,并不像交易所那样审核每一个代币项目然后展示在资产列表中。
但是我们团队内部也讨论过这个问题,对于一些带有欺骗性、误导性或者名称不当的代币,我们会自动识别,并标注给用户,提醒他们该代币可能存在风险,从而帮助他们。
但另一方面,我们也希望用户能够提高对区块链数字资产的认识,不要贪小便宜,吃大亏。之前就听说过一个事情,有人在以太坊上发行了一个叫BTC的代币,就是假的比特币,然后在一些社区里传播,说他有BTC打折出售,比市场价便宜80%。很多人都被这种手段骗了。但其实我们大多数人都知道,比特币和以太坊是不同的链,通过以太坊钱包是不可能转出真正的比特币的。
3、区块链媒体集团:如果用户在转账过程中偶尔输入了错误的字母或数字,一般可以恢复已转出的数字资产吗?
Simon:这个不可能,这也是区块链的不可逆性,用户的交易一旦广播到区块链网络之后,就处于等待矿工打包的状态,一旦矿工成功打包,就意味着交易成功。
客户端没有办法回滚交易,这也是我上面说的去中心化钱包的一个特点。除非双方通过链下沟通解决,也就是线下找到收款人,沟通协调,但因为区块链的匿名性,已经转移的资产几乎不可能被追回。
4、区块链媒体群:目前支持EOS映射吗?
Simon:是的,我们在1.4.2版本就已经支持EOS映射了,开通方式是先选择你的EOS钱包地址,然后点击“发现”频道里的“糖果吧”,你就会看到EOS映射功能了。
这里需要注意的一点是,用户完成映射后,一定要妥善保管 EOS 私钥!因为如果 EOS 私钥丢失,就意味着 EOS 切换主网后,你当前钱包映射的 EOS 资产将会丢失。
在帮助用户完成映射的时候,我们做了一件非常贴心的事情,我们将EOS私钥设计成了“拆分成四个字符”,方便用户复制和备份自己的私钥。
5、区块链媒体集团:您能给我们讲一下自己在数字资产安全方面的一些经典案例吗?
Simon:首先,我上面提到了钱包安全的源头是“防盗”和“防丢失”,我也会从这两个方面讲一些经典的案例。首先我们来说说丢币事件,丢币大概有四种情况:
1. 没有备份
2. 备份丢失
3. 忘记密码
4.备份错误
没有备份。相信大家都知道,使用去中心化钱包,第一件事就是要备份私钥!其实我要讲的案例是,曾经有一个北京的用户联系我,说他在两部手机上都备份了私钥,但是两部手机都掉海里找不到了,里面有大概几十万美金的资产,问我该怎么办。
我问他用的什么手机,有没有开云备份,有没有把助记词备份到实体介质上。他说他用的是安卓手机,没有开云备份,也没有把助记词抄下来。这是典型的备份丢失的情况。这种情况下,首先他不应该把备份放在移动设备上。这是第一个危险点。
其次他的备份过于集中,很容易丢失,没有考虑手机被盗或者损坏无法开机怎么办。最后他没有采用实体介质,即手写助记词进行保管,这可以说是目前最安全的备份方式。如果要修改钱包密码和交易密码,也需要导入助记词,重新设置密码。
我来给大家解释一下什么是备份错误。备份错误有两种,一种是钱包备份目标的错误识别,一种是备份转录错误。
第一种情况是,我有两个钱包,钱包A和钱包B,我的钱包A里面有数字资产,但是钱包B里面没有数字资产,但是我在备份钱包A的时候,却错误地备份了钱包B的私钥。由于钱包地址是42位哈希值字符串,普通用户很难识别,难免会大意,所以很容易出现这种情况。
第二种情况是我备份现在的钱包的时候,把助记词或者私钥复制错了或者记不清楚,导致后续导入钱包的时候无法找回之前的钱包。
曾经有一个60多岁的老人把自己的助记词拍了下来发给我,说是自己输入助记词之后提示错误。按理说我们团队有规定不能向用户索要私钥,也不能看,但是老人的家人说他很着急,非要我帮他们找回来。我跟他核对了一下,发现大部分都是抄错了。当然最后问题完美解决了,我让他立刻换钱包。
其实这两种情况都很容易解决,我们只需要在每次备份后进行二次验证,重新导入备份的钱包,验证有效性即可。
接下来给大家分享一些被盗币的案例。一般来说,被盗币有两种类型:一种是内部人员盗窃,一种是职业黑客盗窃。首先给大家讲两个内部人员盗窃的案例:在广东深圳,一位女性用户某天给我打电话imToken钱包,告诉我她价值约 3 万元的数字资产被盗了。通过沟通,我发现了几条线索。首先,当事人告诉我,她其实是一位普通的家庭主妇,很少与外界交流,大部分时间都待在家里。
其次,她觉得自己对数字资产不太了解,怕忘记私钥和密码,就把私钥告诉了家人,请他们帮忙保管。
而且她当时被盗的资产并不多,价值不到3万元,我想她很难遭受黑客的集中攻击,因为攻击她的成本远远高于“收益”。
而且通过查询地址我发现,盗贼盗走资产后,并没有立刻“卖掉赃款”,而是放在了新地址,没有动。造成这种情况的原因有两点:
1、此人对市场行情很了解,最近市场行情不好imToken电脑版,不想卖;
2、偷钱的人是她亲近的人,怕打草惊蛇,我很快就排除了第一个嫌疑,所以最后所有的“矛头”都指向了她亲近的人,也就是她姐夫;
当然,事情最后还是得到了妥善的解决,她和家人找到了姐夫,好好谈了一番,姐夫主动承认了,并把信物还给了她。
另一起被盗用的情况来自广东东莞,一名用户打电话告诉我,约100万的数字资产被盗。通话中,他告诉我,他的备份在一台断网的电脑上,并且有密码,除了他自己,其他人都无法进入他的电脑。
但他告诉我,他身边懂数字资产的人很多,大家都清楚彼此的账户之间有多少代币。我通过查看地址也发现,这个人的作案手段很低端。
还有一种情况是,新建一个地址,把被盗的代币转到这个地址,但被盗的代币并没有立刻卖掉。结合其他线索,我当时告诉他,可能是他身边的人作案,但他坚持说不可能,身边的人都是值得信任的。
后来通过一系列的调查,涉事人员配合我,帮我收集了他朋友的地址,通过比对,我发现确实是他认识四年的朋友偷走了他的代币。
随后,小偷交代了自己的作案手法,原来是和客户吃饭的时候,客户当众备份了助记词,他无意中拍了照,等待了一会儿,就将他的数字货币盗走了。
如果窃贼没有描述自己的作案手法,他很难记得当时发生了什么。可以说,作为数字资产持有者,我们不能掉以轻心,必须时刻保持安全意识。有时一个小小的疏忽可能会造成无法挽回的损失。
关于专业黑客攻击,我想跟大家分享一下目前最常见的几种黑客攻击手段:
第一种攻击方式是“钓鱼网站”,这是常见的作案手法,黑客会模仿一些知名的钱包网站、交易所、项目官网,域名也极其相似,比如把后缀由标准的.com改成.cn或者.io,或者改变某个单词的样式,把a改成e,或者加一个点。
最可怕的是,黑客付出了足够多的钱,让他们的恶意链接排名高于他们模仿的网站的正确版本,以至于我们使用搜索功能找到的网站很可能是钓鱼网站。减少这种攻击方式的一个有效方法是在仔细确认后将这些常用网站添加到我们的浏览器书签中。
第二种攻击方式是“社会工程学攻击”。这种攻击方式比较“花招”,黑客会冒充社区知名人士,或者冒充官方人员,向你要代币或者私钥。我曾经遇到过一个黑客冒充区块链社区知名人士的案例,黑客居然模仿这个知名人士发了半年的朋友圈,每条朋友圈发的时间、内容都一模一样,微信账号也非常相似。所以当他冒充别人向用户要代币的时候,别人一时之间很难判断。
但其实这类攻击主要利用的是人性的弱点,只要我们提高警惕,不贪图小利,还是可以避免的,当然,我们也可以借助微信笔记来预防上述事件的发生。
第三种攻击方式是供应链攻击,供应链攻击是指黑客通过向用户提供被篡改或植入木马的应用程序,从而入侵用户系统,获取信息的方法。
许多未经授权的第三方下载网站、云服务、共享资源、破解的盗版软件等可能存在供应链攻击,因此我们始终建议您从我们官方推荐的渠道或官方网站下载产品。
同时一些购买硬件钱包的用户也要注意这一点,不要购买二手硬件钱包,或者在不知名的网站或商家购买硬件钱包,这样很容易被别人留下“后手”。
最后一种常见的攻击方式是中间人攻击,这种攻击方式常见于硬件钱包或者更改电脑、手机的操作功能,比如复制粘贴。黑客会监视你的操作,比如你想发起一个ETH转账操作,你复制了目标钱包的地址,但当你粘贴的时候,这个地址可能就变成了黑客的地址,在你还不知道的时候,黑客已经“偷梁换柱”了。
当然,我上面描述的几种集中攻击方式并不是独立的,黑客经常会使用组合攻击手段,我最近就发现一个黑客将第一种攻击方式和第二种攻击方式结合起来,骗取了用户的私钥。
黑客冒充客服人员,提供客服服务,然后诱导用户进入钓鱼网站,输入私钥。在这里重申一下,我们团队不会以任何理由向用户索要私钥,用户也不要主动把私钥发给我们的客服人员。
6、区块链媒体集团:刚刚看到2.0公测正在进行中,请问和1.0版本最大的区别是什么?
Simon:首先我先纠正一下,我们进行2.0国际版的公测,因为我们一直都是一个全球化的数字资产钱包品牌,目前我们30%以上的用户都来自海外。
然后,关于你提到的问题,这次2.0国际版和之前的版本升级是不一样的,对于所有用户,甚至对于我们团队来说,这都是一次“质的飞跃”。
大家都认为比特币是区块链的1.0版本,以太坊是区块链的2.0版本。相比之下,1.x版本是去中心化钱包的1.0版本,只具备管理私钥、发送交易等基本功能。但2.0国际版的想象力和创造力已经摆脱了1.x版本的限制。
从安全角度来说,原乌云社区CTO Blue的加入,让我们对产品的安全性更加有信心。
在用户体验上,我们的新版本更加人性化,交互更加流畅;在功能上,我们增加了数字身份、闪兑功能、基于0x协议的原子币兑换功能等。
这里我重点说一下我们的闪兑功能,我们的闪兑功能是基于Kyber协议的,用户可以通过这个功能进行快速的换币,比如用ETH兑换KNC代币。
在公测期间,我们还联合 Kyber 为大家带来了“玩转闪兑赢 KNC 空投奖励”活动,本次活动将持续 6 周,每周都会评选出当周活动交易量排名前 5 位的用户,并送出大量 KNC 奖励,活动结束后,还会进行活动总交易量排名,并送出丰厚奖励。
愿意学习、对区块链感兴趣的朋友可以加入VIP社区。
主要分享我们喜爱的项目、数字货币以及最新行业解读,定期会送出一些福利,不定期会有线上高手分享,由于人数有限,只允许50人,所以想加入的请尽快加入,与碳链价值共同成长!
加入方式:长按下方二维码即可加入。
适合人群:对区块链感兴趣的人群。
结尾
欢迎扫描二维码关注区块链深度媒体《碳链价值》
发表评论:
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。