区块见闻 区块见闻
Ctrl+D收藏区块见闻
首页 > OKB > 正文

Defiance Capital创始人:60枚NFT被盗之后 我是如何防的?

作者:

时间:

本文梳理自 Defiance Capital 创始人 Arthur 在个人社交媒体平台上的观点,律动 BlockBeats 对其整理翻译如下:

起初,以下内容仅写给我们的投资组合公司和合作伙伴。一番思考过后,我认为应该将它们开源。

经过研究和与顶尖网络安全专家的沟通,我们相信黑客组织 BlueNorOff 正在进行一个有组织的筹谋,目标是加密领域的所有知名组织。鉴于他们的社会工程攻击十分高明,我相信他们已绘制了整个加密领域的关系图,知道什么样的钓鱼邮件最有可能通过我们的心理防线。

关键我们要高度意识到,加密行业正在成为一个受国家支助的网络犯罪组织的积极目标。这个组织非常机智和老练,他们甚至可能在未来变换工具和攻击模式。一旦目前的攻击方法变得不那么有效,例如最近出现的木马化 DeFi App 和钱包攻击。为了成功,朝鲜很可能会为该组织投入更多资源,从而扩大攻击的强度。

以太坊研发者:ETH2.0存款合约或于1月27日达成 也可能提前一周:11月20日,以太坊研发者Philippe Castonguay发推称,说实话,很惊讶以太坊2.0阶段0的存款一直都很稳定。使用线性回归来看,1月27日似乎可以达到启动门槛,比我预期的要早。如果会有最后的冲刺,可能会提前一周左右。昨日消息,CryptoQuant团队称,通过计算得出,按目前进度ETH2.0主网将在2021年1月15日上线。[2020/11/20 21:27:42]

抛开所有标标准准的网络安全建议不谈,在网络安全意识强的朋友的协助下,我提出了以下这些不完全的加密相关安全建议。希望这将防止类似事件发生在我们任何人身上。

JFB交易所即将上线金色算力云FileCoin算力产品:据官方消息,JFB平台将于本09月16日 20:00(UTC+8)正式上线IPFS云算力租赁服务,首期开放100T 算力。

JFB ( Jin Fan Bowl )交易所,中文名为“金饭碗”是领先的数字资产积分交易平台,平台专注于落地生态系统里的区块链积分交易兑换,让区块链积分在全球范围内得到真实的价值锚定,实现全球范围无摩擦交易兑换。

金色算力云是由金色财经推出的算力销售平台,公司与行业领先的矿机厂商合作,为用户提供便捷安全的挖矿服务。基于团队的专业性,公司先后获得节点资本、ChainUP Capital百万美元的投资。[2020/9/15]

将链上加密资产存储在企业级托管解决方案上

Gate.io已上线Curve (CRV) 交易并将开通杠杆理财服务:据官方公告,Gate.io已于今日13:30开通Curve(CRV)交易,并将开通其杠杆理财等服务。Gate.io官方提醒,Curve总供应量很大,当前刚发布,流通量严重不足,且去中心化项目具有代码漏洞、项目方离开、资金被劫持等风险,请务必在完全了解风险并能承担风险的情况下参与。[2020/8/14]

一个硬件钱包不足以保障 EOA(Externally owned account),因为他们可以插入一个虚假的 Metamask 浏览器扩展,从而批准非预期的交易。至少它应该是一个 Gnosis Safe 这样由几个硬件钱包保障的多签钱包。我强烈推荐使用 Fireblocks、Copper、Qredo 等更高级别的托管解决方案,因为它们自带用于交易审批的原生多签 2FA 钱包。

招聘远程团队要进行额外的尽职调查

招聘远程团队要进行额外的尽职调查,尤其是雇佣软件工程师或开发人员。「Lazarus APT 集团甚至参与创建开发加密货币软件的虚假公司。」我们从我们的一个投资组合公司那听说,他们软件工程师职位的申请人面试时很可疑,也与他们简历中的样貌不相符。

配置专用于加密交易的计算机

应该要有专门的计算机,只用于从事加密交易,不与任何电子邮件、互联网链接、消息应用程序、MS word 文档、PDF 等交互。

为所有登录实施 2FA

虽然不是针对加密,但也重要到要提个醒。云存储、电子邮件、Telegram 等消息应用程序都应该开启 2FA 登录。请用 Google 身份验证代替短信 2FA。

应尽可能使用 YubiKey 这样的硬件 2FA 钱包,公司和个人账户都是。

将常用加密 DApp 网站加入书签

有时候搜索引擎会搜出钓鱼网站,要是搜索过程中一个不小心,你可能就会上了一个钓鱼网站。最好通过书签列表访问加密 DApp 网站。

撤销不需要的 Token 授权

Token 授权允许另一方移动你的资产,是与大多数智能合约交互的必要条件。避免无限制的 Token 授权,并定期撤销不必要的授权,这可以用 Revoke 做到。

建立一个地址监控系统

内部的加密货币钱包地址应该被密切监控,以便在未经授权的交易发生时,团队可以立即察觉并尽快采取行动。Etherscan 和 Nansen 都提供这样的解决方案。

为团队成员定期举行网络安全培训

所有团队成员在入职时都应接受网络安全培训,但这往往随着组织发展会被忽略掉。

通过正确配置电子邮件的 DNS 设置,防范钓鱼和垃圾邮件

尽可能对 SPF(发件人策略框架)、DKIM(域密钥识别邮件)和 DMARC 使用 hard-fail 模式或严格模式。

信任浏览器而非网站

任何浏览器栏下方的内容都可能是不安全的,是潜在的攻击媒介。如果你没有登录,一些 DApp 可能会弹出一个窗口,要求你登录到你的加密钱包。切勿输入密码。

原文作者:Arthur,Defiance Capital

原文编译:0x9F、0x22,律动 BlockBeats

标签:ITHRIFFSTEOINBitholdStewieGriffinMASTERCoin98

OKB热门资讯
多链生态百花齐放 速览新晋崛起的DEX协议

2020-2021年去中心化金融(DeFi)爆发,而DeFi的价值主要沉淀在DEX。根据defillama最新的数据显示,截至2022年4月DeFi市场的总锁仓价值为2095.2亿美元,环比去年4月增长近290%。数据上来讲,整个DEX行业的趋势是向上的,但影响交易活动活跃度的因素仍然存在。

欧易OKX Blockdream Ventures月报:加码元宇宙与GameFi 持续关注跨链及EVM兼容领域

欧易OKX Blockdream Ventures 长期致力于推动加密生态系统的繁荣,已投资数百个项目,涵盖NFT、GameFi、DeFi、Layer2、Web3.0等核心赛道,积极参与项目的生态系统建设。 同时,我们与?Solana、NEAR、Polygon?和 Avalanche 等流行的公链合作,建立生态基金来支持建立在这些链上的项目。

一文论述元宇宙、NFT及不可回避的Web3 时代

原标题:The Metaverse, NFTs And The Inevitability Of Web3 像Steve Aoki和Gary Vee这样的名人,亦或者是迪士尼和耐克这样的品牌他们有什么共同点?答案是他们都在利用科技和数字资产世界中的新兴领域,价值数十亿美元的NFT市场似乎在一夜之间就实现了。

V神呼吁宽大处理 以太坊开发者Virgil Griffith被判入狱63个月

在加密货币市场逐渐步入寒冬时,曾在币圈大肆流传的 Virgil Griffith 被捕事件也终于在近日迎来了最终审判。

揭秘朝鲜黑客组织 Lazarus Group:Ronin、KuCoin 等多起事故幕后黑手

原文标题:《起底朝鲜黑客组织 Lazarus Group:Ronin、KuCoin 等多起行业事故幕后黑手,擅长社会工程》 黑客攻击如今已然成为加密生态中的常态化事件,据 Chainalysis 2022 年 Q1 报告显示,黑客在 2021 年盗取价值 32 亿美元的加密资产,但在 2022 年前三个月。

金色Web3.0日报 | 中国互金协会等三大金融协会:坚决遏制NFT金融化证券化倾向

1.DeFi代币总市值:1223.17亿美元DeFi总市值 数据来源:coingecko 2.过去24小时去中心化交易所的交易量:51.95亿美元过去24小时去中心化交易所的交易量 数据来源:coingecko 3.DeFi中锁定资产:2098.5亿美元DeFi项目锁定资产前十排名及锁仓量 数据来源:defillama 1.NFT总市值:410。