数字钱包,如MetaMask、xDeFi甚至Frame,是与加密货币世界,特别是去中心化金融(DeFi)互动的关键。但这些浏览器扩展也非常容易受到黑客攻击。这里有7种最佳做法,即使不能完全消除这种风险,也能最好地保护你的资产免遭潜在的盗窃。
保护你的加密货币钱包的基本预防措施
。
将你的数字钱包连接到实体钱包
如果你使用MetaMask这样的钱包,你就是你私钥的所有者,这被称为非托管钱包。这有一个主要优点和一个主要缺点:
。
- 优势:你要对你的加密货币负全责。
- 缺点:你要对你的加密货币全权负责。
这种讽刺的剂量实际上是为了让你思考所有的问题。当然,你不必对任何人负责,这也是我们生态系统的魅力之一。但如果你犯了最轻微的错误,也没有客户服务来弥补。
第一个也是最重要的提示是在使用数字钱包的同时使用硬件钱包。最简单的模型可以以60欧元左右的价格购买,最复杂的模型则需要几百欧元。
当你的加密货币资本开始增长时,不要忽视这项投资。事实上,前段时间我们又有证据表明,作为浏览器扩展的钱包并不完全安全。
大多数数字钱包提供 “连接硬件钱包 “功能。这将使你能够用Ledger或Trezor钥匙来使用它们,仅举几例。
图1:将硬件钱包连接到MetaMask
这些工具的优势在于,即使有人远程控制了你的电脑,他们也无法进行交易。事实上,将有必要直接从连接的硬件钱包对该交易进行物理验证。
当然,你不应该为任何地址在你的电脑上保存任何私钥、短语或恢复文件。这包括一个硬件钱包,这种行为就像把你的信用卡放在你的Facebook个人照片里一样有意义。
从CoinGecko或CoinMarketCap检索平台链接
当第一次访问一个协议时,选择通过CoinGecko或CoinMarketCap访问它。这肯定会给你正确的地址,而不是通过你的搜索引擎找到的欺诈性链接。除非CoinGecko或CoinMarketCap自己被黑了,但那是另外一回事…
然后,你可以把这个链接保存在你的收藏夹中,以便将来使用,和/或使用你的搜索栏中的自动条目来获得正确的地址。
这种方法的一个变种是使用有关协议的官方Twitter。确保该账户有 “已验证 “的标志,这样你就不会被一个假的资料所困。
最后一项建议对浏览器钱包也有效,如下图所示。事实上,我们搜索 “MetaMask Wallet “的第一个结果是一个广告,重定向到一个假的MetaMask网站,这从URL中多了一个 “A “和错误的域名(.co而不是.io)可以看出。如果你在这个问题上输入你的恢复短语,你就可以确定和你的加密货币说再见了。
图2:MetaMask第一个搜索结果中的欺诈性广告
MetaMask的真实地址是metamask.io,而不是metamaask,或.com,或其他变体。xDeFi、Frame、Keplr或Phantom等也是如此,它们经常在这种恶搞中受到影响。
寻找网络钓鱼的尝试
这里的机制很简单:他们会玩弄你的情绪,以陷害你。在这种情况下,往往利用的是恐惧,就像这封冒充MetaMask官方消息的欺诈性电子邮件一样
。
图3:企图用MetaMask的伪装邮件进行钓鱼
根据所写的内容,安全行动应该被执行。然而,如果你复制并粘贴按钮上的地址,你可以看到它并没有指向MetaMask的官方网站。其目的是再次窃取私钥。
假设真的有安全漏洞,项目组不会给你发邮件,他们会直接在他们的官方社交网络如Twitter上进行沟通。
此外,想想看,在KYC之外,如果不需要使用他们的服务,去中心化的应用程序怎么可能在他们的数据库中拥有你的电子邮件地址?
从更广泛的角度来看,但仍然本着同样的精神,在 Discord 等社交网络上要特别警惕,在 Telegram 上更是如此。假的项目渠道很多,被转到一个骗局
而上当受骗就变得非常容易。
不要凭空摸出代币
。
当我们在区块链浏览器上看我们的地址时,我们的钱包里都有代币,但我们不知道它们来自哪里。
图4:BSC上的诈骗代币实例
指示很简单:不要碰它。这些代币可能有也可能没有所谓的价值,但往往它们都有相同的目的:抽走你的账户。
在这种类型的骗局中,心怀叵测的人将随机向多个地址发送代币,希望有人会试图出售它。
然后,未来的受害者将寻求把有关的代币换成更传统的资产,例如ETH。这将从一个分散的交易所或从 “项目现场 “进行。在这两种情况下,它都会在不知情的情况下允许智能合约清空其账户。
有关的代币甚至可能有一个与更著名的加密货币相似的名字,以达到混淆视听的目的。只需记住,如果你没有以某种方式对令牌到达你的地址负责,那么它可能是一个骗局。
为了增加这些预防措施,避免在你不在最佳情绪状态下处理你的加密货币。即使是我们中最有经验的人也会因为疲劳、压力或不注意而落入简单的陷阱。现在让我们来看看一些更高级的预防措施,这些措施将帮助你尽可能地避免风险。
其他预防措施
管理你的投资组合权限
当你与智能合约互动时,你必须授权它花费你的代币。为了说明这一点,假设你想在你选择的去中心化交易所为ETH-USDT池增加流动性。你将需要给予3个权限:
- 一个给你的ETH。
- 一个给你的USDT。
- 一个用于产生的LP令牌,使其产生。
这些批准通常以 “解锁 “或 “批准 “按钮为标志,如下面的例子中,TUSD必须先解锁才能兑换MATIC:
。
图5:在平衡器上解锁TUSD
在这个例子中,通过点击 “批准TUSD”,99%的人注册了无限授权。
如果协议被黑或出现某种问题,这种做法的危险就会出现。考虑到这里,如果你给Balancer无限的权限来花费你的TUSD,那么有关的智能合约的问题会使你钱包里的所有TUSD在它所在的网络上面临风险。
下面的截图向你展示了一个地址上资产给予的所有权限的列表,以及在Polygon网络上暴露的令牌数量。
图6:Polygon网络上给予智能合约的权限
例子中的31美元代表暴露在授权下的投资组合的总价值。你还可以看到,这个地址的16个USDC在4个不同的协议上有活跃的授权。
有关的授权是无限的,这意味着无论账户里有多少钱,潜在的后果都是一样的:在4个智能合约中的一个失败的情况下,Polygon网络上地址的所有USDC都会暴露。因此,如果你在这个地址上发送1000美元,如果Curve上授权的智能合约被黑客攻击,那将是1016美元,可能被盗。
你可以通过将你的钱包连接到DeBank网站并进入 “批准 “选项卡,找到你在不同以太坊虚拟机(EVM)兼容网络上的不同详细授权。要取消批准,你需要点击 “拒绝”。
一个变化是直接进入有关网络的区块链浏览器的 “代币批准 “标签,在这种情况下,PolygonScan:
。
图7:PolygonScan上的令牌审批菜单
在不同的EVM兼容的区块链浏览器上,逻辑是相同的。使用搜索栏进入你的地址,然后使用 “连接到Web3 “按钮进行连接。这将显示你授予
的所有权限。
图8:查看PolygonScan上一个地址的不同权限
右边的 “撤销 “选项允许你删除一项授权。然而,请注意,无论你使用这种方法还是DeBank方法,每次撤销都需要进行交易。如果说成本在Polygon网络上并不显著,那么在以太坊上则完全不同。然后由你来确定根据暴露的资本删除授权是否符合你的财务利益。
另一种可能性不是授予无限的授权,而是限制在你想在操作中使用的加密货币数量的授权:
。
图9:通过MetaMask定制授权
当批准一个智能合约时,例如用MetaMask,在验证交易之前点击 “编辑权限”。你会看到,在默认情况下,”建议的批准限额 “选项被选中,它代表了几乎无限的代币数量。通过选择 “自定义支出限额”,你可以只输入交易所需的资金,保持你其余资金的安全。
然而,请记住,这些授权管理操作并非没有限制。因为如果你取消了一个授权,你就必须把它还给它,把资产放回合同中,如果你给了一个有限的授权,也是如此。
如前所述,如果你的资本规模有限,这些方法会对以太坊网络产生限制。没有正确或错误的答案,要看你如何判断灵活性、成本和风险之间的权衡,并承担每个选项可能带来的后果。
拥有一个硬件钱包理论上可以保护你免受智能合约授权的风险。但是,在某一时刻是真实的,不一定是无限期的真实,这就是为什么仍然有必要关注。
此外,如果一个协议被黑客攻击,你的LP代币很可能在你的地址上是安全的,但不再有任何价值,因为底层已经被清空到违约的应用程序的流动性池中。这就是为什么还需要在上游做一些研究,以消除有问题的协议。
与区块链探索者一起验证一个智能合约
。
如果你回到允许你从区块链资源管理器中看到已批准的智能合约的截图,你会看到一个 “合约 “列。让我们以USDC为例,你可以通过点击智能合约来确保它被验证,在相应的标签中应该有这个绿色的小标志:
。
图10:Paraswap在Polygon的USDC的智能合约
小的 “警告 “标志也会让你看到已经发现了哪些错误,但这部分只对你们中更有技术含量的人有意义。这列出了可能的缺陷、其严重程度和可能造成的后果的摘要:
。
图11:Paraswap USDC智能合约的潜在漏洞清单
在签署智能合约的授权之前,你也能直接访问该合约的页面。在MetaMask的合同地址上点击一次,然后在页面右侧的方框内点击第二次,你将被转到该页面。这将把你带到与USDC例子相同的地方,进行必要的检查:
。
图12:签署前检查智能合约
这是典型的小习惯,可以保护你免受某些类型的黑客攻击,正如OpenSea网络钓鱼攻击中的情况一样。
咨询审计和潜在的黑客历史
例如,在与DeFi协议互动之前,首先要检查的是它是否已经被黑掉了。对于这一点,rekt.news网站提供了一个不是很令人满意的分类,也通过法语的详细文章告知你利用该漏洞的方法。然后查明该缺陷是否已被修复。
其次,了解该协议的智能合约审计情况。
一般来说,项目会在其主页(即其 “展示 “网站的主页,而不是其应用程序的主页)推荐你进入其GitBook,在那里寻找 “Doc “或 “文档 “标签。以Aave协议为例,如果你在搜索栏中搜索 “审计”,你就可以看到该平台的所有智能合约审计。
图13:Aave V2智能合约审计清单
在这种情况下,如果你点击PeckShield审计,例如,你将被引导到Github,并将看到它在 “信息 “类别中揭示了两个项目,即它们并不代表任何特定的危险。
错误或其他不规范行为通常按严重程度降序分类:
- 批评。
- 高。
- 中。
- 低。
- 信息性。
对于一个新手来说,审计可能是复杂的,难以阅读。但是,如果你阅读了哪怕是关于所发现的问题、可能涉及的危险以及团队所采取的任何纠正措施的摘要,那么你将比99%的人做得更多。
不过要记住两点,首先,不是所有的智能合约审计公司都是一样的,对有些公司来说,只要 “写支票 “就能获得认证。
本指南的目的不是要做举报人,但在不指名道姓的情况下,你可以到推特上输入 “”+某家专业公司的名字。看看什么样的项目在吹嘘自己被这个审计了。当你在短时间内看到大量的狗屎币,这可以给你一个提示。
第二,无论审计公司多么认真,它只能依靠过去的经验。你永远无法确定,一个有天赋的黑客会发现一个别人没有想到的缺陷。
也就是说,如果这些实体本身也被审计,一个由几家公司审计的同一智能合约的项目仍将是一个严肃的保证。
如果你在项目的网站上找不到相关信息,你可以直接询问创始人。如果团队是认真的,他们会对你诚实地说明审计的进展情况,不会有兴趣 “淹死鱼”,试图用美好的语言哄你入睡。
关于你的数字组合安全的结论
。
尽管有这些建议,但请记住,没有人可以免遭黑客或其他骗局。任何声称不这样做的人都会被毁掉。
除了技术上的缺陷,人类的轻信往往是方程式中最薄弱的环节。也就是说,虽然没有零风险这回事,但通过遵循本指南中概述的一系列最佳做法,将有可能在一定程度上限制这种风险,并更平静地驾驭加密货币和区块链这个复杂的生态系统。
