OKX Web3 錢包特別策劃了《安全特刊》專欄,專門回答不同類型的鏈上安全問題。我們通過真實案例和安全專家的合作,從不同角度分享和解答問題,以加強用戶的安全教育,幫助用戶學會保護私鑰和錢包資產的安全。
這是安全特刊第04期,我們特邀加密硬體錢包商OneKey安全團隊和OKX Web3錢包安全團隊,從實踐指南的角度,教你加強設備安全。
OneKey安全團隊成立於19年,是一家專注於安全的開源硬體錢包和軟體錢包公司,並設有安全攻防實驗室。他們已獲得Coinbase、Ribbit Capital和Dragonfly等一線機構的支持,並成為亞洲最暢銷的硬體錢包品牌之一。
OKX Web3錢包安全團隊致力於在Web3領域內建立各種安全能力,包括錢包安全能力建設、智能合約安全審計和鏈上項目安全監控等,為用戶提供多重防護服務,保護產品安全、資金安全和交易安全。
Q1:能否分享幾個用戶真實的設備風險案例?
OneKey安全團隊:
Web3用戶的設備風險案例多種多樣,我們舉幾個常見的例子。
案例一:用戶Alice離開自己的設備後,不知情間被身邊的人物理入侵並盜走資產。這種情況在電腦安全領域中被稱為「邪惡女僕攻擊」,是最常見的設備風險之一。攻擊者可以是同事、打掃房間的阿姨,甚至是親密的伴侶。我們曾經協助用戶追查硬體錢包內資產被盜的情況,最終發現竟然是身邊的人所為。
案例二:用戶Bob在被脅迫的情況下交出自己的設備,這在加密圈內被稱為「五美元扳手攻擊」。近年來,針對高淨值人群的綁架勒索案件有所增加,尤其在犯罪率較高的國家。我們也聽說過一個投資者在參加聚會後被綁架,不法分子利用他的面部識別解鎖手機和錢包軟體,盜取了他的加密貨幣。
OKX Web3錢包安全團隊:
我們之前談過私鑰安全、MEME交易安全和擼毛安全等鏈上安全議題,實際上設備安全也非常重要。我們分享一些經典案例。
案例一:被篡改過的硬體錢包。用戶從未經授權的平臺購買了一個硬體錢包,但該錢包的韌體已被篡改,預先生成了多套助記詞。最終用戶存放在該硬體錢包中的加密資產被駭客完全控制,損失慘重。預防措施包括從官方或可信渠道購買硬體錢包,使用錢包前進行官方的完整驗證流程。
案例二:釣魚攻擊。用戶收到一封來自「錢包安全中心」的郵件,聲稱用戶的錢包存在安全問題,要求用戶輸入恢復短語進行安全更新。實際上這是一場精心設計的釣魚攻擊,最終用戶損失了全部資產。預防措施包括不在未經驗證的網站上輸入私鑰或恢復短語,使用硬體錢包的螢幕驗證交易和操作資訊。
案例三:軟體安全。用戶從未經驗證的渠道下載了惡意軟體,導致資產損失。預防措施包括從官方渠道下載軟體並定期更新相關軟體和韌體,使用殺毒軟體和防火牆保護設備。
Q2:用戶常用的物理設備和設施以及風險類型?
OneKey安全團隊:
涉及用戶資產安全的物理設備通常包括手機、電腦、硬體錢包、USB儲存設備和網路通訊設備(如WIFI)。除了之前提到的「邪惡女僕攻擊」和「五美元扳手攻擊」,還有其他需要注意的風險。
一、社會工程學和釣魚攻擊。攻擊者利用人性的弱點誘騙用戶執行危險操作,如惡意釣魚連結和附件、冒充技術支持人員等。
二、供應鏈攻擊。攻擊者在設備的生產或運輸過程中進行惡意植入,包括硬體篡改、軟體篡改和物流攻擊。
三、中間人攻擊。攻擊者在兩方通訊中進行攔截和篡改數據傳輸,如使用未加密的網路通訊和連接不受信任的公共WIFI。
四、第三方內部攻擊和軟體漏洞。軟硬體安全漏洞可能被攻擊者利用,內部人員也可能濫用訪問權限。這些因素對物理設備安全有重大影響。
我們建議用戶從官方或可信渠道購買設備,定期更新軟體和韌體,使用安全的網路通訊方式,並注意供應鏈攻擊和內部人員活動。保護設備安全是保護資產安全的關鍵。OKX Web3 錢包安全團隊:
用戶可以採取以下措施預防 AI 換臉等新興虛擬技術帶來的風險:
1)加強數字足跡保護:用戶應該減少在網路上分享個人照片和視頻,特別是那些包含個人敏感資訊的。此外,用戶可以定期檢查自己的社交網路隱私設定,確保只與信任的人分享個人資訊。
2)警惕釣魚和社交工程攻擊:用戶應該謹慎對待來自陌生人的連結和附件,避免點擊和下載可能包含惡意軟體的文件。同樣重要的是,用戶應該保持警覺,不隨意提供個人資訊或私鑰給任何人,以免成為社工攻擊的目標。
3)使用可信賴的軟體和平台:用戶應該只下載和使用來自可信賴來源的應用程式和軟體。此外,用戶應該定期檢查並更新自己的軟體和操作系統,以確保自己的設備不易受到惡意軟體和攻擊的侵害。
4)保持安全意識教育:用戶應該定期關注和學習有關數字安全的最新資訊和技巧,以保持對新興虛擬技術所帶來風險的認識。此外,用戶應該與家人和朋友分享相關的安全知識,以提高整體社區的安全意識。
總之,預防 AI 換臉等新興虛擬技術風險需要用戶保持警覺,遵循基本的數字安全原則,並持續學習和更新自己的安全知識。在2015年的BlackHat大會上,全球駭客一致認為人臉識別技術是最不可靠的身份認證方法。近十年後,在AI技術進步下,我們已經有近乎完美的替代人臉的「魔法」,果然普通的視覺人臉識別已經無法提供安全的保障。於此,更多的是識別方需要升級算法技術識別和阻止深度僞造內容。
對於AI換臉這些風險,用戶端除了保護好自己的隱私生物特徵數據之外,能做的確實不多。以下有一些小的建議:
1)謹慎使用人臉識別應用
用戶在選擇使用人臉識別應用時,應選擇那些有良好安全記錄和隱私政策的應用程式。避免使用未知來源或安全性存疑的應用,並定期更新軟體以確保使用最新的安全補丁。此前國內有很多小貸公司App就違規使用用戶的人臉數據倒賣,泄露用戶人臉數據。
2)瞭解多因素認證(MFA)
單一的生物特徵認證存在較大風險,因此結合多種認證方式能夠顯著提升安全性。多因素認證(MFA)結合了多種驗證方法,例如指紋、虹膜掃描、聲紋識別,甚至是DNA數據。對於識別方而言,這種組合認證方式能夠在一個認證方法被攻破時,提供額外的安全層。對於用戶來說,保護自己這方面的隱私數據同樣很重要。
3)保持懷疑謹防詐騙
很顯然,人臉和聲音都被可以被AI模仿的情況下,隔着網路冒充一個人變得簡單了很多。用戶應特別警惕涉及敏感資訊或資金轉移的請求,採取雙重驗證,通過電話或面對面確認對方身份。保持警惕,不輕信緊急要求,識別假冒高管、熟人、客服等常見詐騙手段。現如今假冒名人的也很多,參與一些項目也要小心「假站臺」。
OKX Web3 錢包安全團隊:
一般來說,新興的虛擬技術帶來新的風險,而新的風險事實上也會帶來新的防禦手法研究,新的防禦手法研究則會帶來新的風險控制產品。
一、AI僞造風險
在AI換臉範疇,已經有許多AI換臉檢測產品的出現,當前工業界已經提出了幾種方法來自動檢測虛假人物視頻,側重於檢測數字內容中因使用deepfake而產生的獨特元素(指紋),用戶也可以通過仔細觀察面部特徵,邊緣處理,音畫不同步等多種方式識別出AI換臉,此外,微軟也推出了一系列工具以教育用戶對於deepfake的識別能力,用戶可以進行學習並加強個人的識別能力。
二、數據與隱私風險
大模型在各種領域的應用也帶來了用戶的數據與隱私風險,在平時在對話機器人的使用中,用戶儘量要關注個人隱私資訊的保護,儘量避免私鑰、key、密碼等關鍵資訊的直接輸入,儘量通過替代、混淆等方法隱藏自己的關鍵資訊,對於開發者而言,Github提供了一系列友好的檢測,如果提交的程式碼中存在OpenAI apikey或者其他有風險的隱私泄露,相應的Push則會報錯。
三、內容生成濫用風險
在用戶日常工作中,可能會遇到很多大模型生成內容的結果,這些內容雖然有效,但是內容生成的濫用也帶來了虛假資訊、知識版權的問題,現在也出現了一些產品,用於檢測文本內容是否為大模型生成,可以降低一些相應的風險。此外,開發者在使用大模型的程式碼生成時,也要關注生成程式碼功能的正確性和安全性,對於敏感或需要開源的程式碼,一定要進行充分的審查和審計。
四、日常的關注以及學習
用戶在日常瀏覽短影音、長影音以及各種文章時,要有意識的去判斷以及識別,記住可能的AI僞造或AI生成的內容,如常見的解說男音、女音、讀音錯誤,以及常見的換臉視頻,在遇到關鍵場景下,有意識的去判斷和識別這些風險。
OKX Web3 錢包安全團隊:
我們分兩個層面來介紹,一個是OKX Web3 APP 層面、另外一個是用戶層面。
1、OKX Web3 APP 層面
OKX Web3 錢包採用了多種手段對App進行加固,包括但不限於算法混淆、邏輯混淆、程式碼完整性檢測、系統庫完整性檢測、應用防篡改以及環境安全檢測等多種加固和檢測手段,最大程度上降低了用戶在使用App時遭受駭客攻擊的概率,同時也能夠最大程度避免黑產對我們的App進行二次打包,降低了下載到假App的概率。
另外,在Web3錢包數據安全層面,我們使用了最先進的硬體安全技術,利用晶片級加密手段,對錢包中的敏感數據進行加密,該加密數據跟設備晶片綁定,加密數據如果被盜,任何人無法解密。
2、用戶層面
針對用戶涉及物理設備包括硬體錢包、常用電腦、以及手機等設備,我們建議用戶可以先從以下幾個方面加強安全意識
1)硬體錢包:使用知名品牌的硬體錢包,從官方渠道購買,並在隔離環境中生成和儲存私鑰。儲存私鑰的介質應防火、防水、防盜。建議使用防火防水的保險櫃,可將私鑰或助記詞分散儲存在不同安全位置以提升安全性。
2)電子設備:安裝軟體錢包的手機與電腦建議選用安全性與隱私性較好的品牌(例如蘋果),同時減少安裝其它不必要的應用軟體,純淨系統環境。使用蘋果身份ID管理系統多設備備份,避免單機故障。
3)日常使用:避免在公共場合進行錢包設備敏感操作,防止攝影鏡頭記錄泄露;定期使用可靠的殺毒軟體對設備環境進行查殺;定期對物理設備存放位置可靠性進行檢查。
最後,感謝大家看完OKX Web3錢包《安全特刊》專欄的第04期,當前我們正在緊鑼密鼓地準備第05期內容,不僅有真實的案例、風險識別,還有安全操作乾貨,敬請期待!
廣編免責聲明:本文內容為供稿者提供之廣宣稿件,供稿者與動區並無任何關係,本文亦不代表動區立場。本文無意提供任何投資、資產建議或法律意見,也不應被視為購買、出售或持有資產的要約。廣宣稿件內容所提及之任何服務、方案或工具等僅供參考,且最終實際內容或規則以供稿方之公布或說明為準,動區不對任何可能存在之風險或損失負責,提醒讀者進行任何決策或行為前務必自行謹慎查核。
相關報導
延遲14個月!Ledger Stax新冷錢包終於出貨,iPod之父操刀設計有何特色?
防止駭客釣魚攻擊:這三個簽名授權原理你一定要了解
Web3安全避坑指南 | 錢包分類及風險
比特幣多簽錢包怎麼用?整理新手入門10大技巧
