再怎么强调也不为过(一):确保加密资产安全的10个步骤
作者:William M. Peaster
编译: H+H@InfoFlow
排版:ZaynR@InfoFlow
今天,我们介绍如何加强防御网络钓鱼诈骗及其他诈骗的能力。让我们深入探讨10个简单的步骤,你可以使用这些步骤来确保你的资产保持安全,并确保你的加密货币前沿之旅畅通无阻。
成功的网络钓鱼攻击取决于三个要素:
1.一个看起来足够真实的虚假机会(通常是所谓的空投领取网站或NFT铸造页面)
2.受害者误信虚假机会,签署了恶意交易
3.受害者的感染钱包中价值代币有过批准(Approve)操作,攻击者可以通过恶意交易利用这些代币批准
在精美的宣传和网站前,我们中的任何人都可能被网络钓鱼者欺骗。
幸运的是,我们可以将一系列实践和资源组合在一起,消除对恶意交易签名的机会或有效地将这样做的影响降至最低。
以下是2023年提高加密资产防御的10个重要步骤
创建保险库
策略:为长期持有的加密货币创建一个多签钱包!
推荐工具:Safe{Wallet}
多签钱包通常被称为“保险库”(vault),类似于加密货币版本的银行保险柜。它需要多个私钥(即钱包)来授权任何交易,从而为你的加密货币提供更高的安全性。多重签名就像一座数字堡垒,即使你的其中一个私钥泄露,你的长持资产也能受到保护。
现在创建多重签名最简单的方法之一就是创建一个Safe帐户。你可以添加任何你想要的地址作为签名者,不过从2-of-3多签策略开始会很简单。另外,请考虑使用Ledger等硬件钱包作为你的一些签名者,这可以提高安全层次!
创建风险钱包
策略:创建一个专门用于日常活动的风险钱包!
推荐工具:Delegate
切勿将你的保险库(vault)用于常规加密货币活动,例如空投申领或NFT铸造。对于此类事情,请设置一个单独的专用钱包,你只需根据需要充值ETH等加密货币即可。
经常使用的钱包不应该装满所有的链上资产。你可以考虑像Delegate这样的服务,将你的保险库钱包的权限委托给风险钱包,它不会移动或危及任何资产。例如,你保险库中的NFT让你有了白名单铸造资格,你就可以使用Delegate服务帮你铸造。这样,即使你不小心用风险钱包对一笔恶意交易签名了,你的长期储蓄也不会受到影响。
使用交易预览工具
策略:下载交易预览工具,提醒自己注意恶意交易尝试!
推荐工具:Fire、Pocket Universe、Stelo
等一下???我不是想将60,000 USDC和我所有的NFT转移到这个随机地址?!?!预览工具能在你批准任何内容之前帮助你可视化信息。
这些工具是免费的浏览器扩展,它们会弹出窗口,解释所有建议的交易。这些扩展程序是抵御网络钓鱼事件的神奇屏障,因此请确保针对所有交易运行其中一个扩展程序!
审核代币支出权限(allowance)
策略:取消你无限的代币支出批准(approve)!
推荐工具:Revoke.cash
许多基于以太坊的应用程序(例如DeFi)会要求你批准“无限制”的代币支出,这样你就不必不断地重新批准而花费资金。问题是如果你的钱包被盗,并且你有一堆无限制代币批准,攻击者就可以卷走其中所有资产。
因此,你希望定期监控你的未结清配额,并在可能的情况下撤销或最大程度地减少无限批准。revoke.cash平台让修改你的代币配额变得轻而易举,所以不用担心。
使用前研究
策略:在使用你感兴趣的项目之前先研究一下它!
推荐网站:DeFiLlama(当前资源)、CryptoWiki(历史信息)
永远不要在加密货币领域盲目飞行,一定要做好功课!
例如,最近我正在探索Ajna协议,这是一种较新的无治理DeFi借贷协议。我直接查看了它的文档、常见问题解答、白皮书等,这样我就可以开始深入了解它,衡量它的细节和风险状况。
深入研究是必要的:在深入研究任何事情之前花时间了解基础知识。不要鲁莽地模仿,这样就不会将自己置于危险的境地。如果你无法为某个项目找到好的文档和类似的教学资源,那这本身就是一个很大的危险信号。
监控你的仓位
策略:使用投资组合跟踪器来关注你的加密货币头寸!
推荐工具:DeBank、MetaMask Portfolio、Zapper、Zerion
在加密货币领域,密切关注你的资产至关重要,而投资组合跟踪器是你在这方面最好的朋友。它们提供你在各种钱包和平台上持有的资产概览,使你可以轻松实时监控你的加密货币。
请记住,及时了解你的仓位不仅仅是为了观察收益,这也是风险管理的重要组成部分。通过定期监控你的资产,你可以发现可能存在安全漏洞的异常活动,并有机会采取行动保护你的剩余资产。
及时了解生态系统新闻
策略:及时了解加密货币新闻,例如最近的黑客攻击!
推荐资源:Bankless、DeFiLlama Roundup
有时,对DeFi协议等项目的攻击可能会间接或直接影响你的加密货币头寸。为了赶在潜在影响前,及时了解情况至关重要。
不过,无需自己完成所有工作。例如,Bankless在攻击开始后数小时内就在Twitter thread中解析了Curve的重入攻击。Bankless始终努力让你及时了解情况。这里也有许多其他很棒的资源可以帮助你,例如Telegram上DeFiLlama的新闻聚合聊天。
封锁你的web2个人信息
策略:依靠良好的OpSec(操作安全)实践来保护您的web2活动!
推荐资源:Officer’s Blog
即使在web3之外,也不给攻击者留任何余地。不法分子可能会侵入你的电子邮件或社交帐户,试图诱骗信任你的人点击诈骗网站。别让他们到那种地步!根据安全研究人员ficialcia.eth的说法,强大的操作安全基础包括:
- 使用安全的email提供商,例如Protonmail
- 使用不同的强密码,切勿在多个地方重复使用
- 切勿将你的电话号码和加密平台产生联系
- 使用2FA备份你的帐户,但不要使用基于短信的2FA
- 要求你手机的运营商锁定你手机的SIM卡
- 使用最新的防病毒软件
创建逃脱策略
策略:为你的资产制定一个逃脱策略,以防出现最坏的情况!
推荐工具:Webacy、Spotter
即使使用了上述所有工具和实践,仍然要考虑为最坏的情况做好准备。Webacy是一个web3安全提供商,可以让你创建自定义备份钱包+紧急按钮(Panic Button)系统;如果你受到了攻击或者感受到安全威胁,你可以使用平台的“Panic”功能将所有或任何剩余资产转移到预先指定的备份钱包中。
对于更高级的用户,还有其他监控和保护服务,例如Spotter,旨在帮助你在几毫秒内检测和逃避链上攻击。
拉响警报
策略:一旦遇到网络钓鱼诈骗,请迅速拉响警报!
推荐资源:CryptoScamDB
如果你看到什么,请说出来!
如果你确实遇到了加密货币网络钓鱼,请发出警报,以便其他人远离。你可以在群聊中发消息,也可以在社交媒体发帖子,或者是在CryptoScamDB等数据库上传报告。你只需花30秒就可以帮助其他人保护他们的加密资产!