前言
目前,区块链技术和应用仍处于快速发展的初级阶段,面临着广泛的安全风险,从区块链生态应用的安全到智能合约安全、共识机制安全和底层基础设施组件安全。安全问题分布广泛,风险高。对于生态系统、安全审计和技术架构,隐私数据保护和基础设施的整体发展提出了新的考验
第一部分 黑客如何窃取钱包资金?
“伪装客服骗取私钥”
1.攻击者假装是客户并潜伏在社区中
2.当用户转账或取款求助时,攻击者应及时与用户联系,协助用户处理
3.通过患者应答,发送伪装的专业工单系统,让用户输入助记符,解决交易异常
4.在获得私钥后,攻击者窃取资产并攻击用户
“扫描恶意二维码**”
1.攻击者将事先准备好的恶意二维码发送给用户;
2.攻击者诱使用户使用钱包扫描二维码进行小额测试转账;
3.用户输入小额或指定金额后,确认转账交易(实际运行用户审批授权攻击者USDT的流程);
4.随后,大量USDT丢失在用户的钱包中(攻击者致电transferfrom转移用户的USDT)。
“贪小便宜,免费接受空投被盗”
2.攻击者发起空投活动,明显可以通过媒体社区收集羊毛;
3.攻击者诱使用户使用钱包扫描二维码接收空投;
4.扫描代码后,用户点击接收空投(实际上也是用户批准授权攻击者USDT的过程);
5.随后,受害者帐户中的大量USDT被转移(攻击者调用transferfrom转移用户USDT)
“在线云平台帐户被盗”
大多数人拍摄截图、拍照或**并粘贴密钥/助记符,然后将它们同步保存到云中。例如,他们通过电子邮件、QQ、微信、在线磁盘、笔记等传输或存储这些信息。攻击者将通过攻击这些云平台帐户来窃取私钥/助记符。
目前,零小时技术安全团队已收到大量用户反馈,私钥/助记符保存在在线磁盘或笔记中,钱包资产因平台账户被盗而被盗。
“热钱包服务器被攻击”
许多区块链应用程序使用热钱包。在热门钱包中有大量的数字资产。由于热钱包服务器的安全加固导致安全意识不足,或操作维护不当,热钱包服务器受到黑客攻击,导致热钱包中的数字资产被盗,甚至以热钱包服务器为跳板攻击其他钱包。
“被盗私钥”
日夜提防小偷是很难的。钱包私钥/助记符被熟人无意中偷走,导致资产损失。
“窃取私钥的网络钓鱼”
就像两颗豌豆一样,一个设计师已经能够向精心设计的网络钓鱼网站说出真假信息。这可以很容易地吸引用户访问钓鱼网站,并引导他们输入帐户密码或密钥,从用户钱包中窃取数字资产。
“电信欺诈”
近年来,电信欺诈事件不断发生,欺诈手段也越来越复杂。由于互联网上大量信息的泄露,攻击者通过电子邮件、短信、电话等方式欺骗受害者,如以区块链为幌子的中心化欺诈项目、杀猪项目、高收益投资项目等,诱使受害者投资,导致无利回报。
“恶意软件”
黑客以加密货币资源的名义向Google play商店添加应用程序,或者通过网络钓鱼欺骗用户下载和更改应用程序。事实上,该应用程序是恶意软件。下载并启动应用程序后,攻击者可以控制受害者的手机或移动电话,然后允许攻击者窃取帐户凭据、私钥和其他更多信息,从而导致钱包被盗。
“通过公共Wi-Fi进行攻击”
在交通繁忙的公共区域,如火车站、机场和酒店,Wi-Fi网络尤其不安全。受害者用户的设备可以与黑客连接到同一个Wi-Fi网络。甚至黑客也会设置一些恶意Wi-Fi热点供所有人使用。此时,在某些情况下,受害者用户通过网络下载或发送的所有信息都可能被攻击者截获和查看,包括加密货币钱包、私钥/助记符等。
第二部分 如果钥匙丢了怎么办?
1、 是否有备用助记符私钥,尽快重新导入助记符并将资产转移到其他钱包;
2、 确认丢失钱包中是否有抵押或锁定的资产,计算时间,解锁后立即转移;
3、 如果丢失的钱包资产已经转移,请使用专业的资金监控小程序实时监控资金,第一时间了解资金状况,同时寻求帮助。
4、 您可以联系专业安全团队寻求帮助,以恢复密钥和丢失的资产。
第三部分 关于数字钱包**的安全的建议
- 请勿扫描和传输不受信任的二维码;
- 不要轻易授权未经审核的项目;
- 警惕陌生来电,在身份不明的前提下及时挂断;
- 不要将私钥导入未知的第三方网站;
- 不贪小便宜,在收到空投时确认项目的真实性;
- 不要仅仅依靠电子设备来记录记忆私钥;
- 保存多份副本,以避免物理损坏和丢失造成不可预知的后果;
- 不要轻易安装不常用的移动应用程序;
- 为智能手机上的所有应用程序添加双因素授权ID,并开始两步验证
- 确认与官网应用链接是否一致(**从官网下载手机应用)
文章标题:看看黑客们是用什么手段盗取数字资产的?
文章链接:https://www.btchangqing.cn/307130.html
更新时间:2021年08月01日
本站大部分内容均收集于网络,若内容若侵犯到您的权益,请联系我们,我们将第一时间处理。