ما هي الاختلافات بين هجمات المحفظة الساخنة والباردة؟ ما هي طرق الصيد الشائعة؟

مقدمة:

خططت OKX Web3 خصيصًا لعمود "الإصدار الخاص بالأمان" الذي يستهدف أنواعًا مختلفة سوف نقدم إجابات خاصة لقضايا الأمان على السلسلة. من خلال الحالات الأكثر واقعية التي تحدث حول المستخدمين، نعمل جنبًا إلى جنب مع الخبراء أو المؤسسات في مجال الأمان لمشاركة الأسئلة من وجهات نظر مختلفة والإجابة عليها، وبالتالي فرز وتلخيص قواعد المعاملات الآمنة من السطحية إلى الأعمق، بهدف تعزيز سلامة المستخدم التعليم ومساعدة المستخدمين على تعلم كيفية حماية أمان المفاتيح الخاصة وأصول المحفظة من أنفسهم.

في أحد الأيام، فجأة يمنحك شخص ما مفتاحًا خاصًا لعنوان المحفظة بقيمة مليون دولار. هل تريد تحويل الأموال على الفور؟

إذا كان الأمر كذلك، فهذه المقالة مصممة خصيصًا لك.

هذه المقالة هي العدد الأول من "الإصدار الخاص بالأمن" الخاص بـ OKX Web3. وهي تدعو بشكل خاص فريق SlowMist Security، وهو وكالة أمنية معروفة في صناعة التشفير لقد شهدت "مئات من عمليات الاحتيال"، يبدأ فريق أمان OKX Web3 من الحالات الأكثر واقعية التي يواجهها المستخدمون ويشاركها، مليئة بالمعلومات المفيدة!

فريق أمان SlowMist: شكرًا جزيلاً لك على الدعوة من OKX Web3. باعتبارها شركة رائدة في مجال أمن blockchain، تخدم SlowMist العملاء بشكل أساسي من خلال عمليات التدقيق الأمني ​​وتتبع مكافحة غسيل الأموال، وقد قامت ببناء شبكة قوية للتعاون في مجال استخبارات التهديدات. في عام 2023، ساعدت SlowMist العملاء والشركاء والمتسللين العامين في تجميد الأموال التي يبلغ مجموعها أكثر من 12.5 مليون دولار. آمل أن أستمر في إنتاج الأشياء القيمة مع رهبة الصناعة والسلامة.

OKX Web3فريق الأمان:مرحبًا بالجميع، أنا سعيد جدًا بمشاركة هذا. يتولى فريق أمان OKX Web3 المسؤولية بشكل أساسي عن بناء القدرات الأمنية لمحفظة OKX Web3، وتوفير خدمات حماية متعددة مثل أمان المنتج، وأمن المستخدم، وأمن المعاملات، بينما يساهم أيضًا في حماية أمان محافظ المستخدم على مدار الساعة طوال أيام الأسبوع الحفاظ على النظام البيئي الأمني ​​لسلسلة الكتل بأكملها.

س1: هل يمكنك مشاركة بعض حالات السرقة الحقيقية؟

فريق SlowMist Security:أولاً، تحدث معظم الحالات بسبب نقل المستخدمين للمفاتيح الخاصة أو أساليب تقوية الكلمات. المحفوظة على الانترنت. على سبيل المثال، خدمات التخزين السحابية مثل Google Docs وTencent Docs وBaidu Cloud Disk وWeChat Collection وMemo التي يستخدمها المستخدمون غالبًا مفاتيح تخزين خاصة أو أساليب تقوية. بمجرد جمع حسابات النظام الأساسي هذه بواسطة المتسللين ونجاح "حشو بيانات الاعتماد"، المفاتيح الخاصة مسروقة بسهولة.

ثانيًا، بعد أن قام المستخدمون بتنزيل التطبيق المزيف، تم تسريب المفتاح الخاص. على سبيل المثال، تعد عملية احتيال التوقيع المتعدد إحدى الحالات الأكثر شيوعًا حيث يقوم المحتال بحث المستخدم على تنزيل محفظة مزيفة وسرقة المحفظة التذكيرية، ثم يقوم على الفور بتغيير أذونات حساب محفظة المستخدم: تغيير أذونات حساب المحفظة من ملكية المستخدم مملوكة للمستخدم، احتفظ بها بالاشتراك مع المحتال للسيطرة على حساب المحفظة. يميل هؤلاء المحتالون إلى التحلي بالصبر والانتظار حتى تقوم حسابات المستخدمين بتجميع قدر معين من الأصول المشفرة قبل نقلها جميعًا مرة واحدة.

OKX Web3فريق الأمان: حدد Slow Mist فئتين لسرقة المفتاح الخاص. الوضع، والنوع الثاني، هو أن المحتالين يستخدمون تطبيقات مزيفة لسرقة المفاتيح الخاصة للمستخدمين. والجوهر هو أن برامج حصان طروادة تسرق المفاتيح الخاصة للمستخدمين من خلال الوصول إلى طرق إدخال المستخدم والصور وما إلى ذلك. بالمقارنة مع مستخدمي IOS، يواجه مستخدمو Android المزيد من هجمات فيروسات طروادة. فيما يلي حالتان بسيطتان:

الحالة 1: أبلغ المستخدمون عن سرقة أصول محفظتهم، وبعد أن تواصل فريقنا مع المستخدم والتحقيق فيه، وجدنا ذلك كان ذلك لأنه سبق أن مررت بعد البحث على Google، وقمت بتنزيل وتثبيت برنامج منصة البيانات المقنعة. هذا البرنامج هو برنامج حصان طروادة. ومع ذلك، عندما بحث المستخدمون عن برنامج المنصة، ظهر رابطه في TOP5 من عمليات بحث Google، مما جعل المستخدمين يعتقدون خطأً أنه برنامج رسمي. في الواقع، لا يتعرف العديد من المستخدمين على الروابط التي تقدمها Google، لذلك من السهل مواجهة هجمات طروادة بهذه الطريقة. نوصي المستخدمين بتنفيذ حماية أمنية يومية من خلال جدران الحماية وبرامج مكافحة الفيروسات وتكوين المضيفين.

الحالة 2: أبلغ المستخدمون عن سرقة أصول المحفظة عند الاستثمار في مشروع DeFi. ومع ذلك، من خلال تحليلنا وتحقيقنا، وجدنا أنه لا توجد مشكلة في مشروع DeFi نفسه، حيث تمت سرقة أصول محفظة المستخدم B لأنه تم استهدافه من قبل خدمة العملاء الرسمية التي تظاهرت بأنها مشروع DeFi عندما علق على المشروع على تويتر. دليل خدمة العملاء المزيف، قام بالنقر على الرابط الخاطئ وإدخاله وإدخال العبارة التذكيرية، مما أدى إلى سرقة أصول المحفظة.

يمكن ملاحظة أن أساليب المحتالين ليست ذكية، ولكن يحتاج المستخدمون إلى تحسين وعيهم بتحديد الهوية ولا يمكنهم بسهولة تسريب مفاتيحهم الخاصة تحت أي ظروف. بالإضافة إلى ذلك، أصدرت محفظتنا تحذيرًا من المخاطر الأمنية لاسم النطاق الضار هذا.

س2: هل هناك أفضل طريقة للاحتفاظ بالمفاتيح الخاصة؟ ما هي البدائل المتاحة حاليًا لتقليل الاعتماد على المفاتيح الخاصة؟

فريق SlowMist Security:المفتاح الخاص أو العبارة التذكيرية هي في الواقع نقطة فشل واحدة بمجرد سرقتها سيكون من الصعب استردادها إذا فقدت. في الوقت الحالي، تساعد التقنيات الجديدة مثل تقنية MPC للحوسبة الآمنة متعددة الأطراف، وتقنية المصادقة الاجتماعية، وSeedless/Keyless، والتنفيذ المسبق وتقنية إثبات المعرفة الصفرية، المستخدمين على تقليل اعتمادهم على المفاتيح الخاصة.

خذ MPC كمثال أولاً، تعني تقنية MPC أن جميع المشاركين يقومون بإجراء حسابات مشتركة معقدة من أجل إكمال المهمة، بينما تظل بياناتهم خاصة وآمنة. لا يتم مشاركتها مع أطراف أخرى. ثانيًا، تستخدم محافظ MPC بشكل عام تقنية MPC لتقسيم المفتاح الخاص بشكل آمن إلى أجزاء متعددة، والتي تتم إدارتها بشكل مشترك من قبل أطراف متعددة؛ أو ببساطة تقوم أطراف متعددة بشكل مشترك بإنشاء مفتاح افتراضي، لأنه لم يسبق لأحد أن رأى ذلك المفتاح الخاص الكامل في هذا الوقت. باختصار، الفكرة الأساسية لـ MPC هي تحقيق اللامركزية في حقوق التحكم لتحقيق غرض توزيع المخاطر أو تحسين الاستعداد للكوارث، وتجنب المشكلات الأمنية بشكل فعال مثل نقاط الفشل الفردية.

لاحظ أن MPC تتضمن كلمة تسمى Keyless، والتي يمكن فهمها على أنها "بدون كلمة للتذكر" أو "بدون مفتاح خاص". لكن هذا "لا شيء" لا يعني أنه لا يوجد مفتاح بالمعنى الفعلي، ولكنه يعني أن المستخدم لا يحتاج إلى عمل نسخة احتياطية من العبارة التذكيرية أو المفتاح الخاص، ولا يدرك وجودهما. لذا، فيما يتعلق بالمحفظة بدون مفتاح، عليك أن تفهم هذه النقاط الثلاث:

1. أثناء عملية إنشاء المحفظة بدون مفتاح، لن يتم إنشاء المفتاح الخاص في في أي وقت أو في أي مكان أو التخزين.

2. عند توقيع معاملة، لا يتم تضمين المفتاح الخاص، ولن يتم إعادة بناء المفتاح الخاص في أي وقت.

3. لن تقوم المحفظة بدون مفتاح بإنشاء أو حفظ المفتاح الخاص الكامل والعبارة الأولية في أي وقت.  

OKX Web3فريق الأمان:لا توجد حاليًا طريقة مثالية لتخزين المفاتيح الخاصة. ومع ذلك، يوصي فريق الأمان لدينا باستخدام محافظ الأجهزة، وحفظ المفاتيح الخاصة يدويًا، وإعداد التوقيعات المتعددة، وتخزين العبارات التذكيرية بشكل لا مركزي لإدارة المفاتيح الخاصة. على سبيل المثال، يعني التخزين اللامركزي للعبارات التذكيرية أنه يمكن للمستخدمين تقسيم العبارات التذكيرية إلى مجموعتين أو أكثر للتخزين، وبالتالي تقليل خطر سرقة العبارات التذكيرية. على سبيل المثال، يعني إعداد التوقيع المتعدد أنه يمكن للمستخدمين تحديد أشخاص موثوق بهم للتوقيع بشكل مشترك لتحديد أمان المعاملة.  

بالطبع، من أجل ضمان أمان المفتاح الخاص لمحفظة المستخدم، لا يمكن الوصول إلى الطبقة السفلية بأكملها من محفظة OKX Web3 من الإنترنت. معلومات حول عبارة المستخدم والمفتاح الخاص، ويتم تخزين كل التشفير محليًا على جهاز المستخدم، كما أن SDK ذي الصلة مفتوح المصدر أيضًا وقد تم التحقق منه على نطاق واسع من قبل المجتمع التقني، مما يجعله أكثر انفتاحًا وشفافية. بالإضافة إلى ذلك، أجرت محفظة OKX Web3 أيضًا عمليات تدقيق أمنية صارمة من خلال التعاون مع وكالات أمنية معروفة مثل Slow Mist.

بالإضافة إلى ذلك، من أجل حماية مستخدمينا بشكل أفضل، يقوم فريق أمان OKX Web3 بتوفير وتخطيط التحديثات لإدارة المفاتيح الخاصة وقدرات الأمان القوية يتم ترقيتها بشكل متكرر باستمرار، واسمحوا لي بمشاركتها بإيجاز هنا:

1. في الوقت الحالي، تستخدم معظم المحافظ عادةً طريقة تذكير مشفرة بكلمة مرور لتخزين المحتوى المشفر محليًا، ومع ذلك، إذا كان المستخدم مصابًا بفيروس طروادة، فسيقوم حصان طروادة بفحص المحتوى المشفر ومعالجة كلمة المرور التي أدخلها المستخدم بمجرد اعتراض المحتال، يمكن فك تشفير المحتوى المشفر ويمكن الحصول على العبارة التذكيرية للمستخدم. في المستقبل، ستستخدم محفظة OKX Web3 طريقة ذات عاملين لتشفير العبارة التذكيرية. وحتى إذا حصل المحتال على كلمة مرور المستخدم من خلال حصان طروادة، فلن يتمكن من فك تشفير المحتوى المشفر.  

2. يعد نسخ المفتاح الخاص آمنًا. ستقوم معظم أحصنة طروادة بسرقة المعلومات الموجودة في حافظة المستخدم عندما يقوم المستخدم بنسخ المفتاح الخاص، مما يتسبب في تسرب المفتاح الخاص للمستخدم. نحن نخطط لمساعدة المستخدمين على تقليل مخاطر سرقة معلومات المفتاح الخاص من خلال زيادة أمان عملية نسخ المفتاح الخاص للمستخدم، مثل نسخ جزء من المفتاح الخاص ومسح معلومات الحافظة في الوقت المناسب.  

س3: ما هي طرق التصيد الاحتيالي الشائعة الحالية بسبب المفاتيح الخاصة المسروقة؟

فريق أمان SlowMist: وفقًا لملاحظاتنا، تتزايد أنشطة التصيد الاحتيالي تدريجيًا كل شهر.

أولاً، تشكل أدوات استنزاف المحفظة تهديدًا كبيرًا لأنشطة التصيد الاحتيالي الحالية وتستمر في مهاجمة المستخدمين العاديين بأشكال مختلفة.

تعد أدوات تجفيف المحفظة أحد أنواع البرامج الضارة المرتبطة بالعملات المشفرة والتي يتم نشرها على مواقع التصيد الاحتيالي لخداع المستخدمين للتوقيع على معاملات ضارة، وبالتالي سرقة أصول محفظة المستخدم. على سبيل المثال، يشمل لصوص المحفظة الأكثر نشاطًا حاليًا (مصرفو المحفظة) ما يلي:

1. Pink Drainer الذي يحصل على Discord Token ويقوم بالتصيد الاحتيالي من خلال الهندسة الاجتماعية. المفهوم الشائع للهندسة الاجتماعية هو الحصول على معلومات المستخدمين الخاصة من خلال التواصل.

2. هناك أيضًا Angel Drainer، الذي سيقوم بهجمات الهندسة الاجتماعية على موفري خدمة أسماء النطاقات. بعد الحصول على الأذونات ذات الصلة بحساب اسم المجال، سيقوم Angel Drainer بتعديل اتجاه دقة DNS وإعادة توجيه المستخدم إلى موقع ويب مزيف وما إلى ذلك.

ثانيًا، التصيد الاحتيالي الأكثر شيوعًا حاليًا هو التوقيع الأعمى، مما يعني أن المستخدمين لا يعرفون ما إذا كانوا يريدون التوقيع أو التفويض عند التفاعل مع المشروع محتوى الشيء، فضغطت على زر التأكيد بطريقة مرتبكة، ومن ثم سُرقت الأموال. فيما يتعلق بالتصيد الاحتيالي باستخدام الإشارات العمياء، دعنا نعطي بعض الأمثلة:

الحالة 1: على سبيل المثال، eth_sign. eth_sign هي طريقة توقيع مفتوحة تسمح بتوقيع أي تجزئة، مما يعني أنه يمكن استخدامها لتوقيع المعاملات أو أي بيانات، ومع ذلك، فمن الصعب عمومًا على المستخدمين الذين ليس لديهم أساس تقني فهم محتوى التوقيع خطر معين لصيد الأسماك هنا. لحسن الحظ، بدأت المزيد والمزيد من المحافظ في إصدار تذكيرات أمنية لهذا النوع من التوقيع، والتي يمكن أن تتجنب بعض مخاطر خسارة رأس المال إلى حد ما.

الحالة 2: السماح بالتصيد الاحتيالي للتوقيع. نعلم جميعًا أنه في المعاملات بعملات ERC20، يمكن للمستخدمين استدعاء وظيفة الموافقة للحصول على الترخيص، لكن وظيفة التصريح تسمح للمستخدمين بإنشاء توقيعات خارج السلسلة ثم السماح للمستخدمين المعينين باستخدام كمية معينة من الرموز المميزة التي يستخدمها المهاجمون التصيد الاحتيالي: عندما يزور الضحية موقع التصيد الاحتيالي، يطلب المهاجم من المستخدم التوقيع على تصريح تصريح من خلال موقع الويب، وبعد قيام المستخدم بالتوقيع، يمكن للمهاجم الحصول على البيانات الموقعة، ويستدعي وظيفة التصريح الخاصة بعقد الرمز المميز ويمررها بيانات التوقيع ثم بثها إلى السلسلة للحصول على حد ترخيص الرمز المميز، ثم سرقة رمز المستخدم.

الحالة 3: تقنية create2 المخفية. يسمح create2 للمطورين بالتنبؤ بعنوان العقد قبل نشره على شبكة Ethereum. استنادًا إلى create2، يمكن للمهاجم إنشاء عناوين جديدة مؤقتة لكل توقيع ضار. بعد خداع المستخدم لمنح إذن التوقيع، يمكن للمهاجم إنشاء عقد على هذا العنوان ثم نقل أصول المستخدم. نظرًا لأنها عناوين فارغة، يمكن لهذه العناوين تجاوز بعض المكونات الإضافية للتصيد الاحتيالي وتنبيهات المراقبة الخاصة بشركات الأمن، بحيث تكون مخفية للغاية ويمكن خداع المستخدمين بسهولة.  

باختصار، بالنسبة لمواقع التصيد الاحتيالي، يمكن للمستخدمين التعرف على الموقع الرسمي للمشروع قبل التفاعل، والانتباه إلى ما إذا كانت هناك طلبات توقيع ضارة أثناء التفاعل، ويجب الحذر من إرسال عبارات تذكيرية أو مفاتيح خاصة، وتذكر عدم تسريب عبارات تذكيرية أو مفاتيح خاصة في أي مكان.

OKX Web3فريق الأمان: لقد أجرينا بحثًا حول طرق التصيد الاحتيالي الشائعة وقمنا بتنفيذها على المنتج الجانب يوفر حماية أمنية متعددة الأبعاد. سأشارك بإيجاز أهم أنواع طرق التصيد التي يواجهها المستخدمون حاليًا:

النوع الأول هو عمليات الإنزال الجوي المزيفة. يقوم المتسللون عمومًا بإنشاء عناوين ذات بداية ونهاية مماثلة لعنوان الضحية، ويقومون بإجراء عمليات نقل صغيرة أو عمليات نقل 0U أو إسقاط جوي لعمليات نقل رمزية مزيفة للمستخدمين. سيتم عرض مثل هذه المعاملات في سجل معاملات المستخدم إذا قام المستخدم بنسخ و المعاجين، العنوان الخاطئ سيؤدي إلى خسارة الأصول. ردًا على هذا النوع من الهجمات، يمكن لـ OKX Web3 Wallet تحديد معاملاتها التاريخية ووضع علامة عليها كمخاطر. وفي الوقت نفسه، عندما يقوم المستخدمون بتحويل الأموال إلى عناوينهم، فسوف يصدرون مطالبات بالمخاطر الأمنية.

الفئة الثانية هي فئة التوقيع المستحث. عادةً ما يعلق المتسللون على المشاريع المعروفة في الأماكن العامة مثل Twitter وDiscord وTG، وينشرون عناوين URL مزيفة لمشروع DeFi أو عناوين URL لتلقي عمليات إسقاط الهواء، مما يحفز المستخدمين على النقر، وبالتالي سرقة أصول المستخدم. بالإضافة إلى eth_sign، السماح، create2 وغيرها من عمليات التصيد الاحتيالي للتوقيع التي ذكرها Slow Mist، هناك طرق أخرى:

الطريقة الأولى: النقل المباشر لسرقة رموز السلسلة الرئيسية. غالبًا ما يقوم المتسللون بتسمية وظائف العقود الضارة بأسماء مضللة مثل Claim وSeurityUpdate، في حين أن منطق الوظيفة الفعلي فارغ، وبالتالي ينقلون فقط رموز السلسلة الرئيسية للمستخدم. حاليًا، أطلقت محفظة OKX Web3 وظيفة ما قبل التنفيذ، والتي يمكنها عرض تغييرات الأصول وتغييرات التفويض بعد تحميل المعاملات إلى السلسلة، وتزويد المستخدمين بتذكيرات بالمخاطر الأمنية.

الطريقة الثانية: الترخيص على السلسلة. عادةً ما يحث المتسللون المستخدمين على التوقيع على معاملات الموافقة/زيادة السماح/خفض السماح/ضبط الموافقة على جميع المعاملات. تسمح هذه المعاملة للمتسلل بنقل أصول الرمز المميز للمستخدم إلى عنوان معين، ومراقبة حساب المستخدم في الوقت الفعلي بعد توقيع المستخدم بمجرد نقل الأصول المقابلة في، سيتم نقلهم على الفور. تعتبر عملية الحماية الأمنية ضد المتصيدين بمثابة مواجهة وعملية ترقية مستمرة.

على الرغم من أن معظم المحافظ ستقوم بالكشف عن المخاطر الأمنية على العناوين المصرح بها للمتسللين، إلا أن أساليب هجوم المهاجمين يتم تحديثها أيضًا، مثل استخدام خصائص create2 لمهاجمة المهاجم سيقوم بحساب العنوان الجديد مسبقًا نظرًا لأن العنوان الجديد غير موجود في قاعدة بيانات العناوين السوداء الآمنة، فيمكنه بسهولة تجاوز الكشف الأمني. سينتظر المهاجم حتى يأخذ شخص ما الطُعم، ثم يذهب إلى العنوان لنشر العقد وتحويل أموال المستخدم بعيدًا. على سبيل المثال، اكتشفنا مؤخرًا أن العديد من المهاجمين سيسمحون للمستخدمين بعقد uniswap.multicall نظرًا لأن هذا العقد عبارة عن عقد مشروع عادي، فيمكنه أيضًا تجاوز اكتشاف المنتجات الأمنية.

الطريقة الثالثة: تغيير الإذن: بما في ذلك تغيير إذن tron، وتغيير إذن solana، وما إلى ذلك. أولاً، في تغيير أذونات tron، يعد التوقيع المتعدد إحدى ميزات سلسلة tron، في العديد من مواقع التصيد الاحتيالي، سيقوم المخادعون بإخفاء معاملة تغيير أذونات الحساب على أنها معاملة نقل، إذا قام المستخدم بالتوقيع على المعاملة عن طريق الخطأ. ومن ثم سيصبح حساب المستخدم حساب متعدد التوقيع، وسيفقد المستخدم السيطرة على حسابه. ثانيًا، أثناء تغيير إذن solana، سيقوم المخادع بتعديل مالك حساب ATA الخاص بالرمز المميز للمستخدم من خلال SetAuthority. بمجرد قيام المستخدم بتوقيع المعاملة، سيصبح مالك حساب ATA هو المخادع، مما يسمح للمخادع بالانتقال إلى. أصول المستخدم.

طرق أخرى: بالإضافة إلى ذلك، نظرًا لمشكلات مثل آلية تصميم البروتوكول نفسه، من السهل أيضًا استغلالها من قبل المخادعين. يسمح استدعاء قائمة الانتظار المستند إلى بروتوكول Ethereum الوسيط EigenLayer بتحديد عناوين أخرى كساحبين، وقد تم تصيد المستخدم لتوقيع المعاملة. بعد سبعة أيام، يحصل العنوان المحدد على الأصول المرهونة للمستخدم من خلال CompleteQueuedWithdrawal.

الفئة الثالثة هي تحميل الكلمات التذكيرية. عادةً ما يقدم المهاجمون مشاريع إسقاط جوي مقنعة أو أدوات جديدة مزيفة لحث المستخدمين على تحميل مفاتيح خاصة أو عبارات تذكيرية. الحالات المحددة موضحة أعلاه. بالإضافة إلى ذلك، يتم أحيانًا إخفاءها على شكل نوافذ منبثقة للمحفظة الإضافية لحث المستخدمين على تحميل كلمات تذكيرية.

السؤال الرابع: الاختلافات بين أساليب الهجوم على المحفظة الساخنة والمحفظة الباردة

< p style="text-align: left;">OKX Web3فريق الأمان:يكمن الفرق بين المحافظ الساخنة والمحافظ الباردة في طرق تخزين المفاتيح الخاصة بشكل عام يتم تخزينها دون الاتصال بالإنترنت، بينما يتم تخزين المحافظ الساخنة عادةً في بيئة شبكية. ولذلك، فإن المخاطر الأمنية للمحافظ الباردة والمحافظ الساخنة ستكون مختلفة. تعتبر المخاطر الأمنية للمحفظة الساخنة المذكورة أعلاه شاملة للغاية ولن يتم التوسع فيها.

تشمل المخاطر الأمنية للمحافظ الباردة بشكل أساسي ما يلي:

أولاً، المجتمع مخاطر الهجوم الهندسي والمادي، ومخاطر عملية المعاملات. إن خطر الهندسة الاجتماعية والهجمات الجسدية يعني أنه نظرًا لأن المحافظ الباردة يتم تخزينها عادةً دون اتصال بالإنترنت، فقد يكون هناك مهاجم يستخدم وسائل الهندسة الاجتماعية للتظاهر بأنه قريب أو صديق للوصول إلى المحفظة الباردة.  

ثانيًا، كجهاز مادي، قد يتعرض للتلف أو الضياع. فيما يتعلق بمخاطر عملية المعاملة، أثناء عملية المعاملة، ستواجه المحفظة الباردة أيضًا طرق هجوم مختلفة مثل الإنزال الجوي والتوقيعات المستحثة المذكورة أعلاه.

السؤال الخامس: كما هو مذكور في البداية"هدية المفاتيح الخاصة للمحفظة ذات القيمة العالية"ما هي مصائد التصيد البديلة الأخرى المتوفرة؟

فريق أمان SlowMist:نعم، "التخلي عمدًا عن المفاتيح الخاصة للمحفظة ذات القيمة العالية" هو أمر كلاسيكي للغاية. ظهرت منذ سنوات عديدة، ولكن حتى الآن لا يزال الناس يتعرضون للخداع. هذا النوع من الاحتيال هو في الواقع قيام المحتال بتسريب العبارة التذكيرية للمفتاح الخاص عمدًا بعد استيراد العبارة التذكيرية للمفتاح الخاص إلى محفظتك، يقوم المهاجم بمراقبة محفظتك في جميع الأوقات بمجرد قيامك بنقل ETH، سيقوم بنقلها إليك على الفور. ويستفيد هذا النوع من التقنية من جشع المستخدمين لتحقيق مكاسب تافهة، فكلما زاد عدد الأشخاص الذين يتم استيرادهم، زادت رسوم المناولة وزادت الخسارة.  

ثانيًا، سيعتقد بعض المستخدمين "ليس لدي أي شيء يستحق الهجوم". هذه العقلية منخفضة الدفاع ستجعل المستخدمين عرضة للهجوم. تعتبر معلومات أي شخص (مثل البريد الإلكتروني وكلمات المرور والمعلومات المصرفية وما إلى ذلك) ذات قيمة بالنسبة للمهاجم. حتى أن بعض المستخدمين يعتقدون أنه طالما لم ينقروا على الروابط الموجودة في رسائل البريد الإلكتروني العشوائية، فلن يتعرضوا للتهديد، ومع ذلك، قد تقوم بعض رسائل البريد الإلكتروني التصيدية بزرع برامج ضارة من خلال الصور أو المرفقات.

أخيرًا، نحتاج إلى فهم موضوعي لـ "الأمن"، أي أنه لا يوجد أمان مطلق. علاوة على ذلك، تطورت أساليب هجمات التصيد الاحتيالي كثيرًا وتتطور بسرعة، ويجب على الجميع مواصلة التعلم وتحسين الوعي الأمني ​​الخاص بهم ليكونوا الأكثر موثوقية.

OKX Web3فريق الأمان:يعد منع مصائد التصيد الاحتيالي التابعة لجهات خارجية بالفعل مشكلة معقدة نظرًا لأن مهاجمي التصيد الاحتيالي غالبًا ما يستغلون نقاط الضعف النفسية لدى الأشخاص ومراقبة السلامة الشائعة. كثير من الناس عادة ما يكونون حذرين، ولكن عندما يواجهون "فطيرة كبيرة" مفاجئة، فإنهم غالبًا ما يخففون من يقظتهم ويضخمون خصائصهم الجشعة، مما يؤدي إلى خداعهم. وفي هذه العملية، سوف تتفوق نقاط الضعف في الطبيعة البشرية على التكنولوجيا. وحتى لو كان هناك المزيد من التدابير الأمنية، فإن المستخدمين سوف يتجاهلونها لفترة قصيرة من الزمن ولن يدركوا أنهم تعرضوا للخداع. يجب أن نفهم أنه "لا يوجد غداء مجاني" وأن ننتبه دائمًا إلى اليقظة والمخاطر الأمنية، خاصة في غابة blockchain المظلمة.

السؤال السادس: اقتراحات للمستخدمين لتحسين أمان المفتاح الخاص

< p style="text-align: left;">فريق SlowMist Security: قبل الإجابة على هذا السؤال، دعنا أولاً نتعرف على كيفية سرقة الهجمات العامة لأصول المستخدمين. يقوم المهاجمون عمومًا بسرقة أصول المستخدمين بالطريقتين التاليتين:

الطريقة الأولى: خداع المستخدمين للتوقيع على بيانات المعاملات الضارة للأصول المسروقة، على سبيل المثال: خداع المستخدمين للتفويض أو نقل الأصول إلى المهاجمين

الطريقة الثانية: خداع المستخدمين لإدخال أساليب تقوية المحفظة على مواقع الويب أو التطبيقات الضارة، مثل: الخداع وخداع المستخدمين لإدخال وسائل استذكار المحفظة على صفحة المحفظة المزيفة 

بعد معرفة كيفية قيام المهاجم بسرقة أصول المحفظة، نحتاج إلى منع المخاطر المحتملة:

المنع 1: حاول التأكد من أن ما تراه هو ما توقعه. يقال أن المحفظة هي مفتاح الدخول إلى عالم Web3. أهم شيء لتفاعل المستخدم هو رفض التوقيع الأعمى، قبل التوقيع، يجب عليك تحديد بيانات التوقيع ومعرفة الغرض من المعاملة التي قمت بالتوقيع عليها، وإلا ستفعل التخلي عن التوقيع.

الوقاية 2: لا تضع كل بيضك في نفس السلة. يمكن إدارة المحافظ بشكل هرمي بناءً على الأصول المختلفة وتكرار الاستخدام، مع إبقاء مخاطر الأصول تحت السيطرة. يُنصح باستخدام المحافظ التي تشارك في أنشطة مثل الإنزال الجوي لتخزين كميات صغيرة من الأصول نظرًا لتكرار استخدامها. بشكل عام، لا يتم استخدام كميات كبيرة من الأصول بشكل متكرر. يوصى بتخزينها في محافظ باردة والتأكد من أن بيئة الشبكة والبيئة المادية آمنة عند استخدامها. إذا كانت لديك القدرة، فاستخدم محفظة الأجهزة قدر الإمكان نظرًا لأن محافظ الأجهزة بشكل عام لا يمكنها تصدير الكلمات التذكيرية أو المفاتيح الخاصة بشكل مباشر، فقد يؤدي ذلك إلى زيادة عتبة سرقة المفتاح الخاص التذكيري.

المنع الثالث: تظهر تقنيات وحوادث التصيد الاحتيالي المختلفة بشكل لا نهاية له. يجب أن يتعلم المستخدمون كيفية التعرف على تقنيات التصيد الاحتيالي المختلفة بأنفسهم، وتحسين الوعي الأمني، وإجراء التعليم الذاتي تجنب التعرض للخداع، وإتقان القدرة على الإنقاذ الذاتي.

الاحتياط 4: لا تقلق، ولا تكن جشعًا، وتحقق من الأمر مع أطراف متعددة. بالإضافة إلى ذلك، إذا أراد المستخدمون معرفة حلول أكثر شمولاً لإدارة الأصول، فيمكنهم الرجوع إلى "حل أمان الأصول المشفرة" الذي تنتجه Slow Mist. لمعرفة المزيد حول الوعي الأمني ​​والتعليم الذاتي، يمكنهم الرجوع إلى "Blockchain Dark Forest دليل الإنقاذ الذاتي".

OKX Web3فريق الأمان:تعمل المفاتيح الخاصة بمثابة بيانات الاعتماد الوحيدة للوصول إلى التشفير الخاص بالمحفظة والتحكم فيه الأصول، وحماية أمن المفاتيح الخاصة للمحفظة أمر بالغ الأهمية.

المنع 1: فهم تطبيقك اللامركزي. عند الاستثمار في DeFi على السلسلة، يجب أن يكون لديك فهم شامل للتطبيق اللامركزي الذي تستخدمه لمنع خسائر الأصول الناجمة عن الوصول إلى التطبيقات اللامركزية المزيفة. على الرغم من أن محفظة OKX Web3 الخاصة بنا قد نفذت العديد من عمليات الكشف عن المخاطر الإستراتيجية والمطالبات للتطبيقات اللامركزية، إلا أن المهاجمين سيستمرون في تحديث أساليب الهجوم الخاصة بهم وتجاوز الكشف عن المخاطر الأمنية. يجب على المستخدمين إبقاء أعينهم مفتوحة عند الاستثمار.

الوقاية 2: تعرف على توقيعك. عند التوقيع على معاملة على السلسلة، يجب على المستخدمين تأكيد المعاملة والتأكد من فهمهم لتفاصيل المعاملة، ويجب عليهم توخي الحذر بشأن المعاملات التي لا يمكنهم فهمها وعدم التوقيع عليها بشكل أعمى. ستقوم محفظة OKX Web3 بتحليل المعاملات عبر السلسلة والتوقيعات غير المتصلة بالإنترنت، ومحاكاة التنفيذ، وعرض نتائج تغييرات الأصول وتغييرات التفويض. يمكن للمستخدمين التركيز على النتائج لمعرفة ما إذا كانت تلبي التوقعات قبل التداول.

الوقاية الثالثة: فهم البرنامج الذي تقوم بتنزيله. عند تنزيل برنامج التداول والاستثمار المساعد، تأكد من تنزيله من المنصة الرسمية، واستخدم برنامج مكافحة الفيروسات لفحصه فورًا بعد التنزيل. إذا تم تنزيل برنامج ضار، فسيحصل حصان طروادة على العبارة التذكيرية للمستخدم أو المفتاح الخاص من خلال مراقبة الحافظة من خلال لقطات الشاشة، ومسح الذاكرة، وتحميل ملفات ذاكرة التخزين المؤقت.

المنع 4: تحسين الوعي الأمني ​​والاحتفاظ بالمفاتيح الخاصة بشكل صحيح. حاول عدم نسخ العبارات التذكيرية والمفاتيح الخاصة والمعلومات المهمة الأخرى، ولا تلتقط لقطات شاشة ولا تحفظ هذه المعلومات على منصات سحابية خارجية.

المنع الخامس: كلمات المرور القوية والتوقيعات المتعددة. عند استخدام كلمات المرور، يجب على المستخدمين زيادة تعقيد كلمات المرور قدر الإمكان لمنع المتسللين من الحصول على المعلومات الشخصية. بعد تشفير الملف بالمفتاح، قم بتفجيره. أثناء عملية المعاملة، إذا كانت هناك آلية متعددة التوقيع، فيجب استخدام التوقيع المتعدد بهذه الطريقة، إذا تم تسريب عبارة تذكيرية أو مفتاح خاص لأحد الأطراف، فلن يؤثر ذلك على المعاملة الإجمالية.