Quai之家
中文资讯网

加密安全主指南:加密钱包、智能合约、DeFi 和 NFT

目前不清退的交易所推荐:

1、全球第二大交易所OKX欧意

国区邀请链接: https://www.mnftinqq.com/zh-hans/join/1837888   币种多,交易量大!

国际邀请链接:https://www.okx.com/join/1837888 注册简单,交易不需要实名,新用户能开合约,币种多,交易量大!

2、老牌交易所比特儿现改名叫芝麻开门 :https://www.gate.win/signup/649183  注册成功之后务必在网页端完成 手机号码绑定,大陆号码输入+086即可 ,实名认证。推荐在APP端实名认证初级+高级更方便上传。网页端也可以实名认证。

2、全球最大交易所币安

国区邀请链接:https://accounts.bitechan.pub/zh-CN/register-person?ref=16003031&registerChannel=goose 支持86手机号码,网页直接注册。

国际邀请链接https://accounts.binance.com/zh-CN/register?ref=16003031币安注册不了IP地址用香港,居住地选香港,认证照旧,邮箱推荐如gmail、outlook。支持币种多,交易安全!

币安最新国区域名,哪个能用用哪个

更新日期 网址 备注
2022/09/15

www.hzbian.com

验证
2022/09/06

www.bian168.net

验证
2022/08/31

www.bianreggroup.com

验证

其余域名受到不同程度的污染,导致部分区域无法访问,因此建议使用上面的可用域名

买好币上KuCoinhttps://www.kucoin.com/r/af/1f7w3CoinMarketCap前五的交易所,注册友好操简单快捷!

TraderWagon币安带单:https://www.traderwagon.com/zh-CN/register?ref=zoh4gfu

Bybit最高 $1,020 等您领取 $20 体验金和价值最高 $1,000 的福利卡:https://www.bybit.com/zh-CN/invite?ref=K7WX7V

规范与虚假客户支持分享种子短语的日子已经一去不复返了。(只能希望!)从那时起,加密用户已经变得聪明起来,但这并不意味着诈骗者很快就会消失。是的,最近黑客和诈骗的替代品一直在扩大加密货币市场。然而,现在总是讨论加密安全的好时机。 

如果网上有一个专家聚集的空间,那就是 Crypto Twitter。因此,我们认为我们会收集来自 Twitter 的最佳专家片段,并在此处与您分享。

在本教程中,我们将介绍如何在使用时保持安全……

  • 加密钱包
  • 智能合约
  • 去中心化金融
  • NFT

准备好?让我们回顾一下来自密码世界知名专家的一些推文。

唧唧喳喳!

1. 加密货币钱包

使用 Jump Crypto 了解托管

让我们从一些基本的东西开始:理解监护权的概念。

托管涉及如何确保您的加密资产安全的问题。每个加密资产都与一个私钥相关联。任何可以访问您的私钥的人也可以访问您的加密资产。

然而,谁有监护权?

这取决于您愿意承担多少安全风险和责任。许多规范选择将他们的加密资产保留在交易所,至少一开始是这样。但是,将数字资产留在加密货币交易所的用户可能会受到其他风险的影响。它们包括暂停提款、交易所停机时间和黑客攻击。

content_seed_phrase© regularguy.eth | 不飞溅

自我保管是下一个安全级别,但它也有其自身的风险。这些风险包括在不知不觉中分发您的助记词或将资金发送到错误的地址。其他托管解决方案可用,例如多重签名甚至机构托管服务。但是,后者是集中式服务。

使用 Korpi 进行网络钓鱼攻击

规范和经验丰富的投资者都容易受到网络钓鱼攻击。当不良行为者欺骗您采取损害您的加密资产的行动时,就会发生网络钓鱼攻击,例如单击链接或打开电子邮件。但要使网络钓鱼攻击成功,这些不良行为者需要您的批准。

批准是区块链的核心概念。未经批准,您无法与智能合约进行交互。未经您的批准,任何协议都无法访问您的令牌。但是,如果他们确实得到了您的批准,您能做什么?在撤销批准之前,协议和不良行为者可以访问您的加密资产。

疯狂的部分?是否使用冷钱包都没关系!一旦你给予批准,如果没有施加任何限制,那些有权访问的人将无限期地拥有它。

我们以 MetaMask 为例。当 MetaMask 弹出批准请求时,您可以…

content_Check_on_Etherscan© 科尔皮 | 推特

  1. 查看地址。

  2. 保存受信任的地址并分配昵称。

content_Review_address_on_Etherscan© 科尔皮 | 推特

  1. 在“数据”选项卡下检查您正在批准的集合。

content_Ethereum_Token_Approval© 科尔皮 | 推特

  1. 撤销不必要的批准。(您可以在此处的 Etherscan 上执行此操作。)

在 NFT 方面有点不同,但我们稍后会介绍。

使用 CryptoCat 的 MetaMask 批准卫生

你会在现实生活中把你的钱包给陌生人,并相信他们可以拿走他们想要的任何金额而不施加任何限制吗?这基本上就是您对默认批准所做的事情。所以这里是如何保护自己免受批准问题。

  1. 知道你批准的是什么。单击“编辑权限”,然后手动检查数据。您应该注意的一些事情:合同的年龄、合同所有者以及资金的来源。

content_Edit_permission© 加密猫 | 推特

2. 了解您批准的金额。在“权限请求”旁边,单击“编辑”并输入自定义支出限额。这样,即使协议被黑客入侵,它也永远无法访问超过您批准的数量。

3. 知道批准与特定令牌相关联。这意味着只有已获批准的特定代币存在风险。

content_custom_spend_limit© 加密猫 | 推特

知道无限批准是您的默认设置……但它们不应该是。他们授予合同无限制的批准以访问您的代币。这是无限批准的样子:

content_Infinite_approvals© 加密猫 | 推特

如果您在末尾看到f字符串,则表明您正在批准协议要求的无限制支出限制。要更改它,只需编辑“权限请求”,然后输入您想要的支出限额。

2. 智能合约

智能合约漏洞利用在协议级别执行。在本节中,我们将讨论在智能合约审计中要查找的内容、如何阅读智能合约以及如何使用 Etherscan。

使用 thirdweb 进行智能合约审计

智能合约容易受到黑客攻击,原因有两个:

  1. 它们包含有价值的资产

  1. 智能合约代码是开源的,因此任何人都可以查看,包括黑客。

带有漏洞的智能合约可能会耗尽所有加密资产。他们还冒着破坏开发商良好声誉的风险。智能合约审计的目的是防止安全漏洞。此外,审计确保代码按预期运行。

作为用户,很高兴了解智能合约审计是如何执行的。

以下是智能合约审计的 3 个简单步骤:

  1. 了解用例是关键的第一步。所以第 1 步提出了一个问题,“智能合约的目的是什么?”

  2. 一旦我们确定了智能合约的意图,我们就会手动审查合约。合同是否在其预期用例的范围内运作?换句话说,审计旨在识别任何意外行为。

  3. 在最后阶段,我们运行自动验证工具来识别潜在的漏洞。我们通过用尽合同并完整执行合同来实现这一点。这样,我们可以最大限度地减少任何潜在的令人讨厌的意外。

如果您对使用协议有点担心,您可以随时向@0xMacroDAO 团队请求审核。另外,请注意,数据经过审查的协议通常被认为比未经过审查的协议安全得多。最后,如果协议团队正在运行一个赏金计划,这些计划也有助于大大提高协议的安全性。

另外,这是您作为第一道防线可以做的事情。您可以轻松执行此安全检查。只需在CoinGecko上找到您正在探索的相关代币或协议的页面。然后,在“概述”部分下,您将看到“安全”选项卡。

content_CoinGecko_security_tab© CoinGecko

点击它会显示不同智能合约审计公司给出的详细审计报告和安全评分。这应该可以帮助您相对快速地确定协议或令牌是否可以安全交互。谈论一种快速简便的方法来审查协议的安全风险!

相关:11 家最佳智能合约审计公司

使用@CroissantEth 掌握 Etherscan

content_Etherscan_dashboard© 以太扫描

你现在应该知道,学习如何阅读 Etherscan 可以让你比那些不学习的人拥有巨大的优势。以下是您可以使用 Etherscan 执行的一些强大操作。

  1. 使用 Etherscan 最明显的方法是跟踪加密钱包。您所要做的就是在搜索字段中输入钱包地址,您就可以访问与他们的钱包相关的区块链数据,包括交易历史。这可以让您了解地址是合法的还是恶意的。

  2. 由于区块链会留下痕迹,因此您可以追踪智能合约,一直到源头。在审查和验证合同是合法的还是潜在的恶意时,这一点至关重要。

content_Etherscan_Filter©@croissant.eth | 推特

  1. Etherscan 具有强大的过滤器。您甚至可以按地址过滤特定的 tx 交易。从长远来看,这将在检查安全性时为您节省时间。

content_Etherscan_results©@croissant.eth | 推特

  1. 您还可以深入探索特定的钱包,包括浏览他们的分析和评论(即 ENS 聊天)。有时,即使只是简单地查看交易历史记录也可能会发现某些事情发生了变化(例如,代币销毁的历史记录)。

content_Read_smart_contract©@croissant.eth | 推特

  1. 您也可以通过 Etherscan 阅读智能合约,并学习如何搜索特定的智能合约,这也可以节省时间。(说实话:没有人愿意花大量时间审查安全程序。)

如果您能够阅读 Solidity,那么作为高级用户,您还可以做一些其他事情:

content_Dethcode© 以太扫描

  • 您可以将智能合约 URL 从“etherscan.io”更改为“etherscan.deth.net”(如上图所示),但不更改搜索查询的其余部分,因此包括从“/address/”开始的所有内容. 这样做会揭示您正在查看的智能合约的实际代码。

  • 您可以解码输入数据。只需访问包含注释的 tx 页面。在输入数据下,单击“查看为 UTF-8”。您可以留下自己的笔记以防发现任何问题,或者您也可以在此处阅读有关合约部署的信息,这在您选择使用智能合约之前可能会有所帮助。

练习使用 Etherscan 并自行探索一些智能合约和地址。最终,你会掌握它并获得流利的!

3. 去中心化金融

Quantstamp 的 DeFi 安全基础知识

DeFi发展迅速,有时以牺牲安全为代价。编码和逻辑错误可以为潜在的漏洞利用开辟道路,从而吸引来自 DeFi 各个角落的恶意行为者。如果采取适当的安全措施,了解这些情况可以帮助您避免这些情况。

同样的原则也适用于可组合性,这是一把双刃剑。可组合性是 dApp 和 DAO 能够相互通信和工作的能力。用于描述可组合性的最常见类比是乐高积木。

当然,将协议堆叠在协议之上有明显的好处。但是多个协议相互交互也为漏洞利用开辟了更多机会。

价格操纵也是一个反复出现的问题。由于智能合约必须与预言机交互才能访问准确的链下数据,因此这里的任何妥协都可能导致严重后果。

一旦涉及到闪电贷,这个问题可能会进一步复杂化,因为它们会导致大量流动性在一个区块中通过杠杆转移。闪电贷允许任何人借入任何数量的资产,而无需借款人提供任何流动性——只要总和在同一个区块内返回。

但是,即使您可以判断一个协议已经过审核,它也不一定是 100% 安全的。这是因为开发人员负责审查审计结果并实施建议的更改,而他们可能并不总是这样做。此外,每次更新代码时,都会引入新的潜在漏洞。

因此,了解开发人员最终面临的挑战对您来说非常重要,这样您就可以更好地驾驭空间,而无需踏入流沙之中。

@puntium 在 DeFi 中的 9 种攻击模式

让我们来看看认真的加密用户应该熟悉的 DeFi 中的 9 种常见攻击模式。

  1. 神谕。预言机向区块链提供真实数据,因此它们传递准确的信息至关重要。由于区块链依赖预言机进行现实定价,攻击者可以寻找可利用的弱点,然后操纵他们报告的价格。之后,攻击者可以利用这种虚假的价格错配进行交易以获取利润。

  2. 闪贷攻击。但是,如果甲骨文攻击者获得了一笔闪电贷款,事情可能会很快变得更糟。

content_Smart_contract_code© 阿尔杰特 | 不飞溅

闪电贷攻击就是这样工作的。攻击者在不提供任何抵押品的情况下借入大量特定代币。然后,攻击者操纵交易所的价格,之后他们将代币转储到另一个交易所,从而获得了巨大的利润。这一切都发生在一个区块内。

  1. 治理攻击。攻击者可以购买足够的治理令牌并操纵整个协议并以他们的方式扭曲关键投票。

  2. 前跑。设计不佳的协议可能会在事务提交和执行之间提供漏洞利用机会。

  3. 管理员密钥。如果不采取足够的安全措施,协议钱包的私钥可能会被泄露——就像任何钱包一样。

  4. 不安全的前端。链接到协议智能合约的网站,充当用户的图形用户界面,可能会受到攻击和破坏。

  5. 社会工程学。恶意行为者可以在 Discord、Twitter 或其他平台上伪装成团队成员,并诱骗用户分享私人信息或参与恶意合同。

  6. 社交账户接管。一个著名的加密用户的 Twitter 帐户可能会被黑客入侵,并且在您知道之前,它正在宣传虚假信息(例如,发送追随者与钱包流失者互动)。

  7. 第 1 层攻击。无论协议多么安全,如果它存在于不安全的第 1 层上,那么它就有可能被破坏。

正如您可能知道的那样,新的攻击向量一直在被发现。

4. NFT

content_NFTs© 存钱罐 | 不飞溅

使用@DCLBlogger 防止 NFT 诈骗

诈骗并不局限于 DeFi 领域。许多类型的 NFT 骗局总是被利用。这些包括…

  • Discord DM,例如免费的限时薄荷糖或提供帮助的人

  • 狡猾的品牌电子邮件(例如,“嘿,单击此处并登录您的 OpenSea 帐户!”,也称为网络钓鱼)

  • Google 上的付费广告诈骗

  • 假 NFT 卖家

  • 加密交换黑客

  • 假空投

  • 促进地毯项目的影响者

  • NFT 卖家出售 100% 零价值复制项目

  • SIM 卡交换和电子邮件黑客,绕过 2FA 移动验证

  • Youtube 频道黑客和虚假赠品流

  • 来自 Ledger 电子邮件数据库黑客的网络钓鱼电子邮件

  • 有人要钱为你投资

  • 耗尽你钱包的假薄荷糖

那么,您能做些什么来保护自己免受所有这些骗局的侵害呢?这里有一些提示:

  • 如果有什么感觉不对劲,那可能是。躲开它。(比抱歉更安全!)

  • 确认确实是朋友在给您发送消息,而不是某些笨蛋骗子复制了您朋友的 ID。(检查您的消息历史记录。)

  • 不要将您的私钥存储在任何数字设备上。(没有截图,没有 Word 文档,nada。)

  • 使用硬钱包来存储您最有价值的加密资产。对于日常交易,请使用单独的钱包。

关于使用@punk6529 保护您的 NFT

有时我们忘记了我们的 NFT 也是代币,所以当我们购买、交易或出售它们时,它们实际上并没有改变位置。实际情况是这样的:在区块链上,账本注册表只是简单地更新以表示新所有者是谁。实际的 NFT 数据存储在服务器上,无论该服务器是集中式(例如 AWS)还是分散式(例如 Arweave)。

您的公钥就像您的电子邮件地址,而您的私钥就像您的密码。(所以不要分享它!)您可以将种子短语视为您的密码恢复方法。

如果有人可以访问您的私钥和/或助记词和密码,那么游戏就结束了。那么如何保护自己呢?

punk6529 的一般规则:如果您打算在 NFT 上花费 500 美元或更少,请使用 MetaMask 之类的软钱包。但是,如果您打算投资 1000 美元或更多,请使用硬件钱包。以百万计?使用Gnosis Safe,一个多重签名钱包。

一般来说,当我们谈论钱包安全时,我们实际上是在讨论这两件事,但目标有些相反:弹性(即如何确保您不会失去对私钥的访问权限)和安全性(即如何确保不丢失私钥)。其他人可以访问您的私钥)。每个有经验的加密用户都应该知道,诀窍在于平衡这两个概念。

  • 切勿重复使用密码。我们中有多少人为多个帐户使用相同的密码?当然,这很方便,但是如果黑客可以找出您的一个帐户的密码,那么多个帐户就会受到损害。

  • 使用密码管理器。使用像样的密码管理器,您将永远不必记住任何密码。奖励:您还可以最大限度地提高密码安全性。这是不费吹灰之力的。

  • 2FA 这一切。在您的设备上启用双重身份验证 (2FA) 会使任何人都更难闯入。2FA 的一个优点是您可以启用通知以在有人尝试登录您的任何帐户时通知您。

  • 使用冷钱包。 Trezor和Ledger是不错的选择。但是,要知道,虽然使用硬件钱包可以为您提供最大的安全性,但它确实是以便利为代价的。因此,将您最有价值的数字资产存储到您的硬钱包中。但是,如果您每天与 web3 交互,请考虑保留一个单独的数字钱包。

  • 不要自己做doxx。这是我的最爱之一。如果你有钱,不要让自己成为目标。因为你的加密钱包地址是匿名的,所以任何人都可以追踪你的整个交易历史。这就是为什么不要自己做doxx很重要。如果你这样做了,请确保它绑在一个对窥探并不那么有趣的钱包上。

Bobby 分享的观点还有很多。但就像我们说的那样,加密安全是一个广泛而快速发展的话题,因为黑客和我们一样有创造力,所以它一直在发展。这就是为什么我们必须跟上并审查最佳实践的原因。

目前不清退的交易所推荐:

1、全球第二大交易所OKX欧意

国区邀请链接: https://www.mnftinqq.com/zh-hans/join/1837888   币种多,交易量大!

国际邀请链接:https://www.okx.com/join/1837888 注册简单,交易不需要实名,新用户能开合约,币种多,交易量大!

2、老牌交易所比特儿现改名叫芝麻开门 :https://www.gate.win/signup/649183  注册成功之后务必在网页端完成 手机号码绑定,大陆号码输入+086即可 ,实名认证。推荐在APP端实名认证初级+高级更方便上传。网页端也可以实名认证。

2、全球最大交易所币安

国区邀请链接:https://accounts.bitechan.pub/zh-CN/register-person?ref=16003031&registerChannel=goose 支持86手机号码,网页直接注册。

国际邀请链接https://accounts.binance.com/zh-CN/register?ref=16003031币安注册不了IP地址用香港,居住地选香港,认证照旧,邮箱推荐如gmail、outlook。支持币种多,交易安全!

币安最新国区域名,哪个能用用哪个

更新日期 网址 备注
2022/09/15

www.hzbian.com

验证
2022/09/06

www.bian168.net

验证
2022/08/31

www.bianreggroup.com

验证

其余域名受到不同程度的污染,导致部分区域无法访问,因此建议使用上面的可用域名

买好币上KuCoinhttps://www.kucoin.com/r/af/1f7w3CoinMarketCap前五的交易所,注册友好操简单快捷!

TraderWagon币安带单:https://www.traderwagon.com/zh-CN/register?ref=zoh4gfu

Bybit最高 $1,020 等您领取 $20 体验金和价值最高 $1,000 的福利卡:https://www.bybit.com/zh-CN/invite?ref=K7WX7V

火必所有用户现在可用了,但是要重新注册账号火币https://www.huobi.com

全球最大交易所币安

国区邀请链接:https://accounts.bitechan.pub/zh-CN/register?ref=16003031 支持86手机号码,网页直接注册。

全球最大交易所币安

国区邀请链接:https://accounts.bitechan.pub/zh-CN/register?ref=16003031 支持86手机号码,网页直接注册。

赞(0)
未经允许不得转载:Quai中文社区 » 加密安全主指南:加密钱包、智能合约、DeFi 和 NFT