搜索 收起
您的位置  > 互联网

白话区块链从入门到精通,看我就够了!

chanong 发布于 2024-04-30 22:04:56 阅读()

从入门到精通,看我就行!

黑客昨晚在币安上所做的事情扰乱了整个市场。 不少媒体立即发表报道,称:“币安被黑了”、“币安被盗了”、“币安被黑了”。 xxx”……大部分头条都在说币安有多糟糕,好像这是币安的错,为什么这么容易被攻击,为什么不受到保护?

说到这里,我发现了一个问题。 事实上,大家都关注错了事情。 很多时候安全问题并不在于交换。 我们可以看到,币安上的黑客遵循了正常流程,并没有攻击币安的系统。 币安 币安的安全机制没有问题。 黑客刚刚窃取了用户的 API Key。 其实问题出在用户自身的安全措施上。 依赖币安是没有用的! 我们真正应该关注的是如何防止类似事件的发生以及我们能做什么。

媒体作者都可能会出错,更不用说普通用户了。 很多人并不关心自己缺乏网络安全知识,认为这不是我的错,我的电脑没有坏,我不应该被感染。 是的,正是这种心态,给了黑客可乘之机。 你的私钥和你的API Key很容易被拿走,他们只是等待机会关闭网络。 这不,币安发生的事情出来了,我想如果不注意安全问题的话,接下来的事件还会继续发生。

以下是我之前的一些安全提醒和措施(这次补充)。 币圈有多少人关注过他们? 只要网络继续存在,安全问题就永远不会停止! 再次发送,再次提醒您! 安全提醒,永远不要吃太多!

=========我是分割线==========

币圈的人都知道吗?忽略这些,黑客至少有100种方法来清空你的钱包和兑换账户

随着区块链潮流的兴起,很多人都用自己的一定比例的财富换取了数字货币资产,放到了互联网上。 尽管网络安全技术不断迭代,但黑客问题始终是令全世界头疼的问题。 确实,它具有匿名性、转账方便等一定的特点。 此外,互联网还是黑客的“大本营”。 在这片“沃土”中,没有人的数字资产能够绝对安全。 但更可怕的是,大多数人对网络安全知识,甚至对自己的操作系统的熟悉程度还不如黑客。 这直接导致黑客在很多情况下就像从袋子里掏东西一样窃取数字资产。 总的来说,小编在这里绝非危言耸听,提醒大家:如果忽视这些网络安全知识,黑客至少有100种方法可以掏空你的钱包和兑换账户。

1、看似更安全的去中心化交易平台可能更受黑客欢迎

去中心化交易所主要规避中心化交易所的自盗风险。 和中心化钱包一样,你是自己账户的真正所有者,任何人都无法篡改账户,也没有办法提币。 风险。

不过小编提醒大家,去中心化平台相当于一个不记名资产账户,持有密钥的人就是所有者。 当平台生成密钥并下发到页面展示时,你手中就握有唯一的凭证。 无论丢失、被盗、泄漏等情况,任何责任均由您承担。

然而,将密钥掌握在个人手中有时并不像将密钥放在集中平台上那么安全。 毕竟,黑客窃取个人密钥的程度远远超过从具有严格安全措施的大型中心化交易所窃取数字资产。 容易多了。 这一个就像抢劫一个无助的路人,另一个就像抢劫一个全副武装的银行金库。

众所周知,黑客攻击,从重要的政府机构到普通的PC,根本无法防范。 前段时间,亿德遭到黑客攻击(不是第一次)。 黑客只是利用了一个漏洞,通过非常简单的基本方法插入一段上传代码,就将用户的密钥收入囊中。

如果这是一个中心化交易所,在这种情况下,可能不会那么容易被盗,至少不会那么容易获取用户的账户。

因此,无论使用去中心化还是中心化,都需要认真对待安全性。

2、黑客是如何闯入交易所并成功盗取数字资产的?

其实小编在标题里就已经说过了。 黑客方法太多了,有的还涉及到比较专业的词汇。 下面小编就不提了。 大家只需要知道大概的原则和需要注意的事项就可以了。 小编先举几个典型例子,用通俗易懂的语言解释一下:

多个钓鱼网站

那么,你经常在新闻中听到的就是“钓鱼网站”。 一些有经验的人不得不说一下。 不就是做个假网站吗,然后网址很相似。 不小心输入账号和密码后,就会被盗。 这很简单,我们只需要记住网站地址即可。

是的,这些老司机说的都对。 最简单的网络钓鱼就是类似的URL,然后人们点击它,输入自己的账号和密码,就被黑客获取了。 这也是因为大多数使用它的人不会记住URL,因此他们不会找到假网站和假网站。

当然,如果这么简单的话,我就不用说这么多了吧?

有几种情况,即使你能一字不差地记住网站网址,但当你在浏览器中输入并打开它时,它仍然是一个假网站:

网站劫持演示

我们先看一个测试视频,然后再讲:

视频中,小编直接用上面提到的一德的例子来模拟我们平时的习惯。 假设小编记住了亿德的网址并输入了正确的网址,然后打开了网页。 我们可以发现一个警告页面:表示当前网站受到黑客攻击,账户已被锁定,需要输入正确的密钥才能提取数字货币并转移到安全的地方。 因为网址必须是正确的,所以如果你在这里钓鱼,你能猜出被骗的概率吗? 如果不是编辑时间有限,如果把这个页面做得和一德一模一样会怎样? 小编又测试了另一个中心化交易所的URL,也是一样的。

见此,众人心想,这些交流的内容很丰富,应该做好充分的准备。 为什么他们这么容易被别人劫持? 其实小编告诉你,这些只是计算机网络的一些基础知识。 小编这里使用的劫持手段黑客们都很了解,交易所和钱包网站也无法阻止。

3. 100多种方法

1.本地劫持

小编这里的演示中使用的是本地劫持。 本地劫持主要是黑客传播木马造成的。

第一种是让木马劫持本地系统的hosts文件(这个文件在等各种系统中都会找到)。 当你在浏览器中输入一个URL时,浏览器会首先检查文件中是否有该URL的记录。 如果有,则根据记录查找对应的服务器IP地址。 这里,小编使用了临时搭建的本地服务器IP地址。 然后我们输入记录中的地址,就会被劫持到这个临时服务器的网页。 至于服务器上的内容,黑客可以为所欲为。 肯定有很多人相信该网址是正确的,钓鱼成功率也很高。 的。

第二种仍然是木马,它允许木马修改本地网络配置DNS地址。

这里的DNS通常默认为本地运营商的DNS服务器地址。 DNS服务器的作用主要是与URL和服务器相对应。 例如,如果您在浏览器中输入CCTV.COM,那么您的本地主机文件不会告诉浏览器IP地址。 地址时,会向 DNS 发送请求,询问该服务器,该 URL 对应的服务器 IP 是什么? 然后本地DNS查询本地缓存列表,直接返回。 如果没有,则从上级DNS服务器中检索并返回给您。 然后就可以在对应的服务器上看到页面了。 但是,如果这个DNS地址被修改为黑客设置的假DNS服务器地址,那么你访问的任何URL都将由黑客的服务器决定。 如果它允许你进入假网站,你就进入,而且URL也是一样的。 的。

第三种,本地劫持,就是路由器的DNS。 是的,路由器也可以设置 DNS。 原理与上面相同。 近年来,由各种路由漏洞引发的安全事件时有发生。 黑客使用各种工具来扫描 IP 段。 一旦发现存在漏洞的路由器,他们就可以获得路由器控制权限等,这使得局域网中所有PC的网络连接都面临着被黑客直接控制的风险。 这使得范围非常广泛。

本地劫持的第四种方法:浏览器插件。 如下图,只需在浏览器中打开一个流行插件即可。 你可以看一下这个插件的权限,这个插件可以做什么。 看,第一个,读取并更改您访问的网站上的所有数据。 也就是说,即使我访问了正确的地址,进入后的网页仍然可以被修改,账户密码甚至我输入的密钥在发送之前都可以被读取。 同时,该插件可以让你跳转到他们的假网站,还可以修改网页上的钱包APP下载地址,让你下载假钱包。 很多人在浏览器中打开淘宝等购物网站时,都会自动跳转到返利淘宝客户的地址。 用过的人都知道,大部分火车票抢插件、比价插件都可以直接修改打开页面的内容。 的。

(著名技术交流网站V2EX网友举报页面被劫持)

所以,你不能说其他交易所和电商网站没有采取良好的安全防范措施。 事实上,很多时候,问题发生在我们本地的电脑和设备上。 无论他们采取多么好的预防措施,他们都无法控制您的设备。 。 说到底,还是要捂住自己的小口袋。

2、其他

原理很多很复杂,所以我只挑出重要的来简单解释一下。

2.1 攻击相关网站的DNS缓存服务器:这也称为缓存中毒。 原理与上面提到的劫持类似。 将缓存记录更改为黑客想要的记录,然后通过此DNS访问的人就会被劫持到黑客的网站。 。

2.2 运营商DNS污染:这个大家肯定都遇到过。 运营商可以为您访问的任何网站添加燃料。 当然,黑客也可以做到,或者运营商机房的鬼魂也可以做到。 当然,当大多数网站启用加密传输协议时,这种情况比较少见。

2.3 利用各种漏洞。 我们来谈谈黑客可以利用的漏洞数量。 存在着无数的漏洞。 甚至还有一些漏洞已经很长时间没有被发现了。 世界上没有密不透风的墙,也没有没有漏洞的操作系统。

在上述所有方法中,他们主要通过向您提供虚假网站和虚假钱包来获取您的信息。 当然,假网站、假钱包获取数字资产的方式不仅限于上述方式,也不限于以下方式:

1、黑客创建一个像中心化交易所一样的网站,然后当你输入账号和密码的时候,黑客也同时输入你在真实网站上的账号和密码,包括短信两步验证和谷歌两步验证验证码。

2、黑客做假去中心化交易所,你进去时得到的密钥是假的,账户充值地址是黑客的。 然后黑客在这个假交易所中设定一个有吸引力的价格来引诱你快速转账。 投入大量数字货币,高高兴兴地进来抄底。 然后,当你提币的时候,却发现提不出来。 更令人毛骨悚然的情况是,你已经在上面交易了很长时间,而且你可能只是在玩虚拟交易。 盘子,你转的币早就被清空了,而你却浑然不觉,开心地玩着黑客为你做的交易游戏。

3.假钱包,呃...和上面类似。 钱包地址属于黑客,存入的币依然会显示给你,但最终你会发现,你一直存放着巨额资产的钱包其实是一只只能进进出出的老虎。

4.假冒网站。 相信今天很多人都看过这篇文章——高仿网站欺骗用户私钥,抢走用户钱包。 永远不要忘记最基本的一点:不要交出你的私钥或助记词,不要将你的钱包密码放在同一个地方,更重要的是,加强安全意识,不要被利用。

第四,面对上述诸多潜在的黑客风险,我们该怎么办?

面对黑客,目前我们无能为力。 当然,并不是说如果不能预防的话,我们就不应该去处理。 至少我们可以利用已知的网络安全知识来改造我们的投资环境和资产存储环境。 更安全。 即使是普通的黑客也惹不起你,而真正熟练的黑客也不会小看你所拥有的。 好了,闲话少说,我们来说说如何最大程度地避免:

1、重要网站网址必须观察是否有HTTPS并确认是否正常:

对于上面输入正确的网址可能是假网站的情况,如果我们在确认网址正确后注意使用HTTPS来访问,如果当时编辑输入的网址不是直接输入的话,那么这里显示的网页绝对不是假网站。 因为HTTPS除了加密传输数据内容之外,还具有认证功能。 网站开通https服务需要申请证书。 当域名对应的认证服务器拥有正确的证书时,浏览器通常会提示安全访问,否则浏览器会提示您当前访问的服务器不接受该证书,不是安全网站。 所以你会发现一些重要的网站、银行、交易所、钱包,都使用https安全链接。 就是为了应对这种情况。

(遇到域名访问或者DNS劫持的情况下,访问网站会提示不安全,拒绝显示网页)

(恢复正常后即可看到安全提示并显示正确的网页)

2.最好记住重要的URL并使用HTTPS

如果您忘记了网址,欢迎使用大白宝盒。 我们的设计初衷之一是安全地访问重要网站。 如下图,我们展示了宝箱的重要工具以及官网的HTTPS安全链接。 每次访问时请记住它。 检查安全的URL,风险自然就会降低。

扫描二维码进入大白宝箱,领取这个安全又实用的工具箱。

3、不要随意点击不明链接、安装来源不明的软件应用、打开不明邮件中的附件。

传播木马的主要手段通常是上面的字幕。 不要打开任何人发送的不明链接或附件,或冒充电子邮件系统升级、客户报价等的电子邮件链接和附件,不要下载软件或应用程序。 请前往安全的地方,例如Apple App Store和 App Store。 如果您确实需要从官方网站下载类似的钱包应用程序,请记住确保您访问的是如上所述的HTTPS安全地址。

4、不要安装来历不明的浏览器插件或者不要随意安装插件。

一般来说,我们从插件市场下载的插件问题不大,但谁知道,很多人下载插件都是从不知名的第三方那里下载的。 这些插件基本上会一直监视您上网,并且它们会监视您浏览的任何网页。 他们都看到了。

5.检查本地hosts文件以及PC的DNS网络设置和路由器设置

主机文件路径为:C:rsetc。 打开该文件夹后,可以找到hosts文件。 您可以右键单击并用记事本打开它。

对于网络配置,通常在控制面板==>网络和==>网络连接中找到宽带或路由器的连接图标,右键单击,属性,然后双击“协议版本4(tcp/ipv4)” ”来检查 DNS 设置。 这里我们可以使用小编的两个地址:一个是阿里巴巴提供的,另一个是百度提供的免费DNS地址,比较靠谱。 它还可以减少一些 DNS 污染情况。

对于路由器来说,访问管理页面的方法以及账号和密码一般都标注在路由器的背面。 然后进去找到DNS设置选项。

6. 用于交易的电脑不应是盗版系统

盗版系统通常内置有广告软件、流氓插件等不安全因素。

7.不要对手机进行root、越狱,不要随意安装来历不明的应用程序。

root和越狱意味着获得最高权限。 第三方应用程序可能会修改一些安全设置,甚至监听、监视和远程控制。 安装重要钱包应用的手机必须干净且无第三方APP。

8.大量数字资产需要冷存储

小额可以使用兑换,但一定要保证安全。

9、重要手机、电脑不要随意使用不明第三方免费Wi-Fi。

这可能是一个诱饵。 经常使用 WiFi Key等应用程序的人也应该注意。 如果您从未知来源连接到路由器,则您传输的数据可能会受到监控。 那么你的设备安全性就低,别人就可以直接入侵你。 的设备. 哦,对了,还有一个假基站的问题。 在谈论此事之前,请先验证您手机上收到的短信和链接。 伪基站可以模拟任意号码,向你的手机发送消息。

10、如网页或APP出现异常,及时确认并终止重大操作。

例如,网页突然跳转到另一个链接,弹出提示框要求填写账户信息(由于各种原因),地址栏中的URL发生变化,当鼠标移动到钱包应用的下载地址链接时,状态栏显示的域名不是当前域名。 官网域名,或者是否是安全地址。 这些情况必须反复确认,避免因一时的疏忽而造成不可挽回的错误。

11.重新审视你的个人电脑和手机的安全环境

如果你很少关心安装来源不明的软件或应用程序,那么你需要找出那些来源不明的常用软件或应用程序,尤其是小众工具。 人不多,爆料的人也少,自然不会有人知道有问题。 或许,你的电脑或者手机多年来一直是别人的“肉鸡”,而你却根本不知道。 如果你的PC和手机不需要进行重要的交易或访问重要的网站,而只是玩游戏,那也可以。 但如果你存储数字货币资产并登录重要网站,那么安全的环境是必须的。

12、不要裸奔,还是要有必要的防护。

几年前的3Q大战时,很多人表示必须把它们都卸载,不安装任何防护和杀毒软件。 裸奔又快又好,所以只要注意它就可以了。 这样一来,即使你平时小心使用,注意安全,很多新漏洞、新病毒也无法完全防护,而且病毒变种千变万化,潜入你PC的方式有上千种。 所以不要以为裸奔很酷。

以上是一些常见的预防方法。 可能还有一些缺失。 欢迎大家留言弥补。 安全无小事。 每个人都必须了解这些网络安全知识,才能保护自己的数字资产。 当然,不要觉得麻烦。 有时候小编懒得去确认,但想想就忽略了安全问题只是为了节省几秒钟。 最终,你失去的比你得到的更多。

- 结尾 -

标签:
打赏 点赞( )

相关文章