MetaMask教程:小狐狸钱包常见骗局解析

2021-12-16 / 0 评论 / 379 阅读

随着 Web3.0的采用加速,生态系统蓬勃发展,以及更多的加密资产被交换,诈骗和黑客攻击的数量也相应增加。虽然遵循使用 MetaMask的关键安全规则将确保您的钱包安全,但了解您可能遇到的诈骗类型是有益的。知道要注意什么将大大提高您在 Web3 上的安全性。
小狐狸钱包常见骗局解析
需要明确的是,本文将侧重于预防,而不是如何应对被黑客入侵或被骗。这是因为区块链交易的不可逆性意味着您找回被盗资金的机会几乎为零。相反,值得将您的精力集中在建立健全的安全习惯上,并首先防止达到这一点。
如果您担心自己被黑客入侵,请参阅我们的指南。
切入正题,即这些骗局的关键安全含义:
永远,永远不要分享你的秘密恢复短语。
请记住,MetaMask 绝不会就官方渠道以外的客户支持问题与您联系。
考虑购买硬件钱包。
欺骗
什么是欺骗?
欺骗涉及隐藏或伪装身份以启用恶意活动,从字面上欺骗 恶意方的身份以使其可信并看起来值得信赖。
欺诈者经常将此方法与密切相关的网络钓鱼实践结合使用,他们试图通过这种方式直接从您那里获取个人信息。携手并进,这两种方法很容易欺骗,并且随着加密货币和数字资产的流行,越来越多的潜在受害者进入 Web3 空间,这些黑客攻击的复杂程度也在不断提高。
欺骗攻击会是什么样子?
欺骗黑客将针对您的秘密恢复短语(也称为种子短语),因为这可用于恢复您的钱包,并使黑客可以访问您的私钥和钱包的内容。MetaMask 是一个非托管钱包,这意味着 您有责任确保您的秘密恢复短语安全。
在实践中,对 MetaMask 钱包的经典欺骗攻击可能是这样的:
您在回复推文时向 MetaMask 提出支持问题。(注意这是不可取的 - 始终使用我们的官方渠道,在这里找到。)
由于您需要 MetaMask 支持,恶意帐户(可能是机器人,或至少使用机器人将您排除在外)将您识别为目标,并将回复您的推文或发送 DM。该帐户将被配置为类似于官方 MetaMask 支持频道,并且可能包含我们的狐狸标志、一个模糊令人信服的 Twitter 句柄以及专业阅读的内容和回复。另一种方法可能是让攻击者冒充 MetaMask 支持工程师,甚至包括头像和姓名。
使用他们伪造的身份,坏人将依靠您相信他们是官方的 MetaMask 支持渠道/工程师,并说服您交出您的秘密恢复短语/私钥来解决您的问题。例如,如果您的问题是缓慢或待处理的事务,他们可能会主动提出调查问题,但要求您提供秘密恢复短语来这样做。
通过掌握您的秘密恢复短语,坏人可以访问您的私钥并将您的钱包资金转移到他们选择的地址。
此场景只是一个示例,类似事件可能会在您公开共享信息的任何社交媒体平台、消息服务、论坛或其他地方发生。
如何保护自己免受欺骗攻击?
虽然使用 MetaMask 与 Web3 服务(如 DeFi)互动会带来回报和兴奋,但您需要始终保持警惕。防止和识别欺骗的黄金规则包括:
请记住,MetaMask 绝不会在我们的支持渠道之外与您联系,这些渠道可通过我们的帮助中心访问。任何在这些渠道之外要求您提供联系信息、您的秘密恢复短语或您的支持问题的详细信息的人都是潜在的骗子,应该被忽略和/或报告。
保持警惕。如果看起来它可能是一个骗局,它可能是。始终保持观察并留意可疑的、明显的迹象。这些可能包括:
索取个人信息,包括您的姓名、钱包资产的价值,甚至您的私钥,您永远不应将这些信息提供给任何人。
看起来非官方的 Twitter 使用下划线、双字母和数字来模仿官方帐户(即@MetaMask)。
请求寻求支持、联系或发送 DM。
不专业的语言。
最重要的是,请妥善保管您的秘密恢复短语,无论此人/实体的说服力如何,都不要将其分发出去。
扫地机
什么是扫地?
清除(也称为清理)涉及恶意方将脚本分配到您的钱包,该脚本监控向网络广播的交易,以及临时存储待处理交易的mempool或txpool(交易池)。一旦这些清除脚本从目标钱包识别出传入或传出交易,它们就会在原始交易完成之前进行干预以签署新交易。然后可以拦截资金并将其转移到由其所有者写入脚本的钱包中。
如果您与坏人分享您的秘密恢复短语,您的钱包只会受到清扫脚本的影响。
它们之所以特别麻烦,有两个原因:
代码的反应速度比人类快得多。以比脚本更快的速度将资金转移到钱包中的竞赛总是会导致您排名第二。
它是微妙的。由于脚本在视线之外运行,因此用户不会立即意识到他们已被黑客入侵。如果您执行了一笔重大交易而您或收款人没有收到资金,您可能首先会认为交易被卡住或未决,或者 MetaMask 出现故障。
这在实践中会如何发挥作用?
骗子的第一步也是关键的一步是获取您的秘密恢复短语。为此,他们可能会部署网络钓鱼攻击,这可能会使用上述欺骗方法。他们可能会伪装成友好的帮助台工程师来帮助您解决问题,或者试图将自己伪装成官方的 MetaMask 支持帐户。另一种可能的途径是建立一个看似值得信赖的 Dapp——或者模仿一个成熟的 Dapp——并要求用户输入他们的私钥或秘密恢复短语来使用它。
如果他们成功,他们将能够访问您的钱包,获取您的私钥,并将其写入清扫脚本。拥有您的私钥允许脚本在您不知情的情况下签署交易,从而完全和不受限制地控制钱包活动。然后脚本将继续监控进出您账户的交易,并 在您可能做出反应之前清除您转入的所有代币。Sweeper 脚本一旦渗入您的钱包就很麻烦,需要您使用非常复杂的方法,甚至招募白帽黑客。例如,如果您试图从受感染的钱包中获取 NFT,您可以采取一些非常具体的方法。
我怎样才能保持安全?
确保您的秘密恢复短语安全是避免成为清扫脚本受害者的最佳和最可靠的方法。没有它,恶意行为者就无法访问您的私钥并签署窃取您资金的交易。
另一种选择——哪个与你对加密资产的价值有多大的相关性——是考虑 购买硬件钱包。流行的选择包括 Ledger 和 Trezor。硬件钱包被称为“冷”钱包,因为它们完全离线存储您的私钥,这对黑客来说是一个相当大的障碍。
与 Web3 的大多数事情一样,您也应该保持怀疑。也就是说,无论何时与 Dapp 互动,都不要以为它们是有信誉和值得信赖的。始终进行研究并确保您对风险感到满意。
剪贴板黑客
什么是剪贴板黑客?
好消息是剪贴板黑客并不意味着您现在需要怀疑携带剪贴板的人。坏消息是,这是一种窃取加密货币的真正且阴险的方法。
由于它们是十六进制 (base16) 并且有许多字符长,因此加密钱包地址不会像您输入电子邮件或用户名那样被手动记住或输入。
进入复制和粘贴,加密交易的无名英雄。许多钱包和交易所,包括 MetaMask,都包含内置的“复制”或“复制到剪贴板”快捷方式,让您只需单击一下即可复制您的钱包地址。例如,这些功能可以简化粘贴到您可能要将令牌转移到的第三方站点的过程。
剪贴板黑客利用复制和粘贴功能来抢劫您。恶意行为者不会依赖用户的经验不足或利用他们的信任,而是会创建和传播恶意软件。
一旦此恶意软件感染了您的计算机,很可能隐藏在看似无害的下载中,它会自动拦截您的剪贴板,扫描加密地址,如果识别出一个,则将其替换为自己的. 因此,当您点击粘贴时,您的地址已被替换,您将要向黑客发送您的交易。
自然,由于区块链交易是不可逆的,因此一旦发送资金,就无法取回您的资金。
我该如何保护自己?
合乎逻辑的第一站是确保您安装了强大的反恶意软件软件,并保持更新。您的软件应识别最有潜力的剪贴板黑客恶意软件程序,通知您并在它们影响您的加密活动之前将其隔离。
但是,由于您的反恶意软件可能无法检测到该程序,因此确保安全的唯一方法是在确认任何交易之前仔细检查地址。一些硬件钱包无论如何可能会提示你这样做,但由于交易是不可逆转的,因此值得养成一个习惯。
关键要点
在现实世界中,我们在很小的时候就被教导要养成能够减少成为犯罪受害者的可能性的习惯:我们学习远离城镇的哪些区域;在进行卡交易时屏蔽我们的密码;检查我们的门是否锁好,并在我们离开时打开房屋警报。这些行为对我们来说是如此熟悉,以至于它们成为我们的第二天性,而我们对它们毫不在意。
同样,我们需要采用 Web3 安全最佳实践并将其内部化。在所有这些骗局类型中,有两件事是一致的。如果你只记得这篇文章的一小部分,那就是这两个方面:
永远,永远不要把你的秘密恢复短语告诉任何人。秘密恢复短语用于在本地访问您的私钥,这意味着任何拥有它的人都可以完全且不受限制地访问您钱包的内容。
请记住,MetaMask 绝不会通过我们的官方支持渠道与您联系,并且绝不会询问您的秘密恢复短语,即使在客户支持互动中也是如此。
MetaMask教程:小狐狸钱包常见骗局解析整理完毕. 如果你觉得MetaMask钱包的文章不错,欢迎和朋友分享 .小狐狸钱包祝您在投资过程捷报连连!

评论一下?

OωO
取消