探索链上世界,安全第一,使用者需谨记这3条安全规则:不要在任何网页填写助记词、私钥;谨慎点选钱包交易介面确认按钮;以及在推特、Discord、搜寻引擎获得的连结也有可能是钓鱼连结。进入新周期,链上互动风险随著使用者活跃度的增加而日益暴露。钓鱼者通常会采用假冒钱包网站、窃取社交软体帐号、建立恶意浏览器外挂、传送钓鱼邮件和讯息以及释出虚假应用程式等方式,诱使使用者泄露敏感资讯,导致资产损失,钓鱼形式和场景呈现多样性、复杂性和隐匿性等特征。比如,钓鱼者一般透过建立与正规钱包网站外观相似的假冒网站,诱使使用者输入其私钥或助记词,这些假冒网站通常会使用社交媒体、电子邮件或广告进行推广,误导使用者认为他们正在访问正规的钱包服务,从而盗取使用者的资产。此外,还有钓鱼者可能会利用社交媒体平台、论坛或即时通讯应用程式,伪装成钱包客服或社群管理员,向用户传送虚假讯息,要求他们提供钱包资讯或私钥,这种方式利用了使用者对官方的信任,诱使他们泄露私人资讯等等。总之,这些案例突出了钓鱼行为对Web3钱包使用者的威胁。为帮助使用者提高Web3钱包使用安全意识,并保护资产安全免受损失,OKXWeb3深入社群调研,并收集了众多Web3钱包使用者遭遇过的钓鱼事件,从而提炼出使用者最常遇到的4大典型钓鱼场景,并透过不同场景下的细分案例,采用图文案例结合的方式,撰写了Web3使用者该如何进行安全交易的最新指南,供大家学习参考。恶意资讯来源1、热门专案推特回复透过热门专案推特回复是恶意资讯的主要方式之一,钓鱼推特帐号可以从Logo、名字、认证标识等都做到和官方号一模一样,甚至连Follower数量也可以是几万人,而唯一能区别两者的就是——推特handle(注意相似字符),请使用者务必擦亮眼睛。此外,很多时候,假帐号会在官推讯息下面故意回复,但回复内容中带有钓鱼连结,很容易让使用者以为是官方连结,从而上当受骗。目前,有些官方帐号会在推文结尾增加「EndofTweet」推文,提醒使用者防范后续回复中可能包含钓鱼连结的风险。
2、盗取官方推特/Discord为增加可信性,钓鱼者还会盗取专案方或者KOL的官方推特/Discord,以官方名义释出钓鱼连结,所以很多使用者很容易上当。比如,VitalikButerin的推特帐号以及TON专案官方推特就曾被盗取,钓鱼者借机释出了虚假资讯或者钓鱼连结。3、谷歌搜寻广告钓鱼者有时会使用谷歌搜寻广告发布恶意连结,使用者从浏览器显示的名字看为官方域名,但点选后跳转到的连结为钓鱼连结。4、虚假应用钓鱼者还会透过虚假应用从而诱导使用者。比如当用户下载安装了钓鱼者释出的假钱包,会导致其私钥泄漏和资产丢失。有钓鱼者曾修改过的Telegram安装包,从而改变了接收和传送代币的链上地址,导致了使用者资产的损失。5、应对措施:OKXWeb3钱包支援钓鱼连结检测及风险提醒当前,OKXWeb3钱包透过支援钓鱼连结检测及风险提醒,为帮助使用者更好地应对上述问题。比如,使用者透过OKXWeb3外挂钱包使用浏览器访问网站时,如果该域名为已知恶意域名,则会第一时间收到警告提醒。此外,如果使用者使用OKXWeb3APP在Discover介面访问第三方DAPP时,OKXWeb3钱包将会自动针对域名进行风险检测,如果其为恶意域名,则会进行拦截提醒,禁止使用者访问。钱包私钥安全1、进行专案互动或者资格验证钓鱼者会在使用者在进行专案互动或者资格验证时候,伪装成外挂钱包弹窗的页面或者其他任何网页,要求使用者填写助记词、私钥,这类一般都是都是恶意网站,使用者应该提高警惕意识。
2、冒充专案方客服或者管理员钓鱼者经常会冒充专案方客服或者Discord管理员,并提供网址让使用者输入助记词或者私钥,这种情况说明对方是钓鱼者。3、其他助记词/私钥泄漏可能路径使用者助记词和私钥泄漏可能路径有很多,常见的包括电脑被植入木马病毒软体、电脑使用了撸毛用的指纹浏览器、电脑使用了远端控制或代理工具、助记词或私钥截图储存相簿,但被恶意APP上传、备份到云端,但云端平台被入侵、输入助记词或私钥的过程被监控、身边人物理获取到助记词私钥档案/纸、以及开发人员推送包括私钥程式码到Github等等。总之,使用者需要安全地储存和使用助记词/私钥,从而更好的保证钱包资产安全。比如,当前作为去中心化的自托管钱包,OKXWeb3钱包上线iCloud/GoogleDrive云端、手动、硬体等多种助记词/私钥备份方式,已成长为市面上支援私钥备份方式较为全面的钱包,为使用者提供较为安全的私钥储存方式。在使用者私钥被盗问题上,OKXWeb3钱包已支援Ledger、Keystone、Onekey等较为全面的主流硬体钱包功能,硬体钱包的私钥储存在硬体钱包装置里,由使用者自己掌握,从而保障资产安全。OKXWeb3钱包让使用者透过硬体钱包安全管理资产的同时,又可以自由参与链上代币交易、NFT市场和各类dApp专案互动等。此外,OKXWeb3钱包现已上线MPC无私钥钱包、以及AA智慧合约钱包,帮助使用者进一步简化私钥问题。4大经典钓鱼场景场景1、窃取主链代币钓鱼者往往会给恶意合约函式起名为Claim,SeurityUpdate等具有诱导性名字,而实际函式逻辑为空,从而只转移使用者主链代币。当前OKXWeb3钱包已上线交易预执行功能,显示该交易上链后资产及授权变化,从而进一步提醒使用者注意安全。另外,如果其互动合约或授权地址为已知恶意地址,则会进行红色安全提醒。
场景2、相似地址转帐当监测到有大额转帐时,钓鱼者会透过地址碰撞生成和接收地址首位若干位相同的地址,利用transferFrom进行0金额转帐,或利用假USDT进行一定金额转帐,污染使用者交易历史,期望使用者后续转帐从交易历史复制错误地址,完成诈骗。https://www.oklink.com/hk/trx/address/TT3irZR6gVL1ncCLXH3PwQkRXUjFpa9itX/token-transferhttps://tronscan.org/#/transaction/27147fd55e85bd29af31c00e3d878bc727194a377bec98313a79c8ef42462e5f场景3、链上授权钓鱼者通常会诱导使用者签署approve/increaseAllowance/decreaseAllowance/setApprovalForAll交易,以及升级使用Create2生成预先计算好的新地址,绕过安全检测,从而骗取使用者授权相关。OKXWeb3钱包会针对授权交易进行安全提醒,请使用者注意该交易为授权相关交易,注意风险。另外,如果交易授权地址为已知恶意地址时,会进行红色资讯提醒,避免使用者上当受骗。场景4、链下签名除了链上授权外,钓鱼者还会透过诱导使用者进行链下签名的方式进行钓鱼。比如,ERC20代币授权允许使用者授权给另外一个地址或合约一定额度,被授权地址可以透过transferFrom转移使用者资产,钓鱼者就是利用这种特点进行诈骗。当前OKXWeb3钱包正在针对此类场景开发风险提示功能,当用户签署离线签名时,透过解析签名授权地址,如果命中已知恶意地址,会对使用者进行风险提示。其他钓鱼场景场景5、TRON帐号许可权这类场景比较抽象,一般是钓鱼者透过获取使用者TRON帐号许可权来控制其资产。TRON帐号许可权设定和EOS类似,分为Owner和Active许可权,并可以设定类似多签形式进行许可权控制,如下许可权设定Owner门限为2,两个地址权重分别为1和2,第一个地址为使用者地址,权重为1无法单独操作帐号。https://tronscan.org/#/wallet/permissionshttps://www.oklink.com/trx/tx/1fe56345873425cf93e6d9a1f0bf2b91846d30ca7a93080a2ad69de77de5e45f场景6、Solana代币及帐号许可权钓鱼者透过SetAuthroity修改代币ATA帐户Ownership,相当于代币转给了新的Owner地址。
使用者被该方法钓鱼后,资产转移给钓鱼方等等。此外,如果使用者签署了Assign交易,其正常帐号的Owner将从SystemProgram被修改为恶意合约。场景7、EigenLayer呼叫queueWithdrawal由于协议本身的设计机制等问题,也很容易被钓鱼者利用。基于以太坊的中介软体协议EigenLayer的queueWithdrawal呼叫,允许指定其他地址作为withdrawer,使用者被钓鱼签署了该交易。七天后,指定地址透过completeQueuedWithdrawal获得使用者的质押资产。探索链上世界,安全第一安全使用Web3钱包是保护资产的关键措施,使用者应切实采取预防措施以防范潜在的风险和威胁。可以选择行业知名的、经过安全审计的OKXWeb3钱包、更安全便捷地探索链上世界。作为行业最先进以及功能最全面的钱包,OKXWeb3钱包完全去中心化、且自托管,支援使用者一站式玩转链上应用,现已支援85+公链,App、外挂、网页三端统一,涵盖钱包、DEX、DeFi、NFT市场、DApp探索5大板块、并支援Ordinals市场、MPC和AA智慧合约钱包、兑换Gas、连线硬体钱包等。此外,使用者还可以透过安全地保护私钥和助记词、定期更新钱包应用和作业系统、谨慎处理连结和资讯以及启用多重身份验证功能,从而增加钱包的安全性。总之,在链上世界,资产安全大于一切。使用者需要谨记这3条Web3安全规则:不要在任何网页填写助记词、私钥;谨慎点选钱包交易介面确认按钮;以及推特、Discord、搜寻引擎获得的连结可能是钓鱼连结。
