quentangle

Posted on Apr 11, 2022Read on Mirror.xyz

你的小狐狸(Metamask)是如何被黑掉的

翻译:团长(https://twitter.com/quentangle\_

我承认我喜欢DeFi加密货币投资 — 寻找新的产生收益的项目,并从一堆垃圾项目和庞氏骗局中识别出合法项目,这是一个让人乐在其中并且有利可图的挑战。但是,DeFi有一个明显的缺点 — 你必须使用像Metamask这样的非托管钱包来与DeFi交易所互动。Metamask做的很棒,并且准确执行了你想做的操作,但可惜在安全性方面严重不足。Crypto Facebook小组、Reddit、Discord和Telegram上有很多人讲述了他们的钱包被黑和被财产被全部转走的故事,很多都是价值数千美元的加密货币。我在网上认识一个人,尽管他是一个受过高等教育的、在其领域内全国知名的专业人士,但他犯了一些愚蠢的错误,将他的Metamask安全信息暴露给黑客。他在这次黑客攻击中损失了超过10万美元,可悲的是,即使这么大的数额也不足以让任何在线取证公司或执法机构对挽回损失感兴趣。使用Metamask这样的非托管钱包,你确实要靠自己来保护你的资金。

如果你在网上读到这些故事,你可能会认为每个使用Metamask的人都会被黑。但其实不是— 只有一小部分Metamask用户确实被黑了。此外,大多数被黑的用户都是对DeFi交易相当陌生的用户,他们还没有学会为保护Metamask钱包而必须采取的所有重要步骤。尽管被黑的事件经常会发生在老手身上,但这些情况更加罕见,通常是因为黑客利用的一个用户错误。从这个意义上说,使用Metamask很像从事跳伞或滑翔等冒险运动 — 你必须确保100%的时间做正确的事情。一个错误就会使你的账户自己消失。

是的,这也发生在我身上,因为我犯了一个愚蠢的错误。稍后再谈这个问题。

为了避免被黑客攻击(或者如果你已经被黑客攻击,则再次被黑客攻击),必须采取的措施来保护你的账户:什么该做,什么不该做,以及如何防止骗子接近你的账户。因此,让我们看看Metamask用户被黑的最常见方式,以及如何避免它们。

下载Metamask的钓鱼版本

这实际上是有点罕见的,但它确实发生了,当然必须避免。Metamask的官方网站是https://metamask.io。这是你应该下载和安装Metamask的唯一网站。众所周知,黑客会创建虚假的Metamask网站,并使用谷歌广告将这些网站显示在谷歌搜索结果的顶部。假网站有一个黑客版本的Metamask,让用户创建一个钱包并添加资金,就像真的一样,但随后将用户的资金发送到黑客的钱包。所以一定要使用官方版本的Metamask!

暴露你的助记词

人们被黑客攻击的最常见方式,无论如何都不能做的事,是允许钱包的助记词暴露。如你所知,当你创建Metamask钱包时,Metamask会向你展示一个12个单词的助记词,让你在紧急情况下恢复你的钱包。这12个单词的助记词实际上是保护这个钱包的私钥的可读性的展示方式。为了保护你的钱包,你必须绝对肯定地确定,你永远不会向任何人展示这个。这意味着以下几点。

  • 当Metamask向你展示种子短语时,你要把它写在一张纸上,安全地存放在你居住的地方,或安全的地方。你可以把它存放在保险箱里,或存放在银行的保险箱里,或存放在只有你知道它在哪里的地方。如果你有其他人住在你的住所,如果你对他们没有100%的信任,不要让他们接近你的助记词。

  • 不要以数字方式存储你的种子短语,即在你的电脑或手机上。黑客只要进入你的文件系统或云端备份,你的助产冲刺就会暴露。

  • 不要用手机拍照你的助记词。黑客可以(而且已经)进入手机的照片集(通过黑进手机或黑进在线备份),只需搜索任何带有种子词的照片。一旦找到助记词,Game Over。

  • 不以数字形式存储助记词的唯一例外是一个值得信赖的高度安全的密码管理器或密码管理器服务,如Dashlane或1Password。这可能是可以的,尽管有许多业内行家不赞成使用这种方法。但我认为这可能是可以的,但这取决于你。

但是,仅仅在创建钱包时保护你的助记词是不够的!你必须不断地警惕黑客和钓鱼欺诈者试图窃取你的助记词。用户被黑的一个常见方式是,当他们为他们发现的一些新项目加入一个Discord或telegram服务器。有大量的骗子潜伏在这些地方,只是在等待一个新人(你)开始问问题。他们一看到你,就会以最快的速度给你发DM,甚至给你打电话,为你提供 “技术支持”。他们的账户名称让他们看起来像是项目的官方技术支持,经常窃取和使用真正项目创始人的名字。你必须记住,**任何官方的技术支持或项目创始人都不会给你发私信!**郑重得说,永远不要回应。永远不要回应任何假装是某个项目方的人 — 只要删除信息并继续做你的事(或者随时告诉骗子滚开,这取决于你)。

这些假的技术支持骗子的操作方式是,首先给你一个印象,他们是官方的,然后说服你连接到一些特殊的网站,以 “验证你的钱包”或采取一些类似的听起来的行动。千万不要这样做! 当然,如果你读了前一段,你就会知道首先不要和这些人聊天,但如果由于你的判断失误,你确实与这样的人进行了对话,千万不要连接到他们给你的任何网站,并且永远不要出于任何原因给出或输入你的助记词!这是很重要的。有很大比例的Metamask黑客是由于没有经验的用户被这样的方式欺骗的结果。

请注意,这类钓鱼诈骗可以通过几种通信渠道发生,包括电子邮件、Telegram和Discord。Telegram和Discord的风险尤其大,因为这些平台的匿名性质使其成为无良骗子的理想平台。在这些服务上聊天,讨论合法的项目问题并提出问题是可以的,只是千万不要点击任何链接或回答和DM,因为看起来一点都明智。我很少回答Telegram上的DM,而且只回答在Telegram聊天中与我有过互动的人的DM。我绝对不会在 Discord 上回答任何形式的 DM。

恶意软件和键盘记录器

确保你的电脑免受病毒、恶意软件和键盘记录器的侵害也是非常重要的。我们大多数人使用电脑的目的是多种多样的,其中一些目的(让我们直接点说)会更阴暗一些。电脑是工作、教育、写文件、给家人发邮件等的好工具,但它也是玩游戏、看色情片、分享文件等的好平台。后面的一些网站可能试图用病毒或恶意软件感染你的电脑。使用杀毒软件和反恶意软件,如Malwarebytes,以保持你的电脑始终干净,这是至关重要的。有些甚至有许多硬核的加密货币投资者甚至会有一台电脑完全专门用于加密货币交易,而将另一台电脑用于所有这些其他风险用途。

被感染的电脑有几种方式可以导致你的钱包被黑:

  • 骗子可以在你的机器上安装键盘记录软件,可以记录你的击键,包括你的密码。如果用户能够获得你的密码,你的钱包现在就可以被骗子利用,并且很可能被掏空。

即使骗子不使用键盘记录器来获取你的密码,骗子也有可能获得存储你的助记词和私人密钥的加密文件。如果骗子把这个文件下载到他/她自己的机器上,而你没有选择一个非常安全的密码,就可以使用暴力密码猜测软件来获取你的密码。有多少人使用 “12345”或 “Joe123”这样容易猜到的弱密码,仍然让我不能理解。

关键的一点是,必须使你的密码变得不可猜测 — 应该使用一个长密码,其中包括大写和小写字母、数字和符号的组合。始终确保你的密码是12个或更多的字符,越多越好。密码中每增加一个字符,都会使密码的猜测难度成倍增加。正如你在下面的图表中所看到的,即使同时使用大小写字母、数字和符号,要破解一个7或8个字符长的密码也很容易,但要破解一个15个字符长的密码则需要很长时间。始终使用一个复杂密码 !

暴力破解密码所需的时间

诈骗交易

一些诈骗网站使用的另一个伎俩是首先让你连接到他们的网站,然后要求你签署一个或多个交易,让他们可以花费你的token。所有合法的去中心化交易所(DEXes)也会要求你这样做。但你要知道,这些请求中的每一个都默认要求你授权该网站从你的钱包中花费无限数量的token。一些诈骗网站利用这一点掏空你的钱包,并将你的token发送到他们自己的钱包。有些诈骗网站欺骗你,让网站花费你钱包里的所有其他token,而不仅仅是你试图兑换的那个币。

为了避免这种情况,你必须首先确保你是在与一个官方网站进行操作。如果该网站看起来有任何问题,不要签署任何交易,直到你彻底研究了它,并确信该网站是可信的。你也可以随时编辑交易,允许该网站只花费你可用硬币的一小部分。twitter上的这个专业提示更详细地解释了这个过程,但在Youtube和其他地方也有大量关于这个的教程。如果你提供这样的自定义消费限制,至少你限制了黑客对你造成的损害。

Discord或Telegram上假的空投推广活动

当你发现一个你可能有兴趣投资的新DeFi项目时,你通常会加入项目的Discord或Telegram频道以获得更多信息。这些可能是一个很好的信息来源,但它们也使你暴露在大量潜在的骗局中,除非你很小心。我可以保证,日复一日,你会打开你的Discord应用程序,看到一堆DM宣传一些 “空投”或 “代币赠与”或其他推广活动,要求你将你的钱包连接到一些网站,以索取你的免费奖励。私信推广和假网站的域名将与你项目的域名相似,但不相同。这些私信和推广活动是一个骗局!太多的人仍然被这些东西所骗。对于这些私信,你唯一应该做的是立即删除它们。我从不在 Discord 上打开DM(私信),除非我与某人在主频道上聊天,知道他们是真的,他们要求给我发私信。当他们开始要求我进入随机链接或连接到其他网站时,我就会停止并删除对话。Telegram的情况也是如此。不要打开随机的DM,也不要将你的钱包连接到任何空投或赠品网站!否则你会被骗!

粉尘攻击

人们受骗的另一种方式被称为 “粉尘攻击”,即骗子向你发送一些你从未听说过的狗屎代币。这些代币与恶意的智能合约代码有关,当你试图出售这些狗屎币或试图以任何其他方式处理它们时,这些代码会掏空你的钱包。我猜这就是为什么Metamask不在你的账户中显示代币的原因之一,除非你明确添加它们。你只有在适当的区块链探索器(etherscan、bscscan、snowtrace等)中输入你的钱包地址,才会看到它们。如果你在你的钱包里发现了未知的或不熟悉的代币,最好是忽略它们,除非你确定这些代币是来自合法的项目。

用硬件钱包避免这些问题

当然,任何严肃的加密货币投资者都会告诉你,通过将硬件钱包连接到你的账户,上述问题几乎可以完全消除。值得注意的是,在Metamask中使用的钱包地址是硬件钱包地址,而不是Metamask地址。将一个新的硬件钱包连接到现有的Metamask钱包提供了非常小的额外保护 — 始终将硬件钱包地址导入Metamask并使用该地址。同样,在Youtube和其他地方有许多关于如何正确这样做的教程。我更喜欢的硬件钱包是Trezor Model T。是的,它比它的主要竞争对手(Ledger Nano X)稍贵,但我发现它的用户友好程度是无限的。Ledger很笨重,经常不能正常工作,而Trezor却能正常工作。

保持警觉

可悲的是,骗子们会不断设计新的方法来黑你,你应该及时了解如何最好地保护你的钱包。我也想说,如果采取上述所有行动,你的钱包永远不会被黑掉,但可惜我只能说,上述步骤使其可能性大大降低。在黑客和安全专家(和用户)之间有一场永无止境的升级战争,所以你必须继续保持谨慎,确保你永远不会做任何蠢事。

这让我想到…

当我做了傻事而被黑客攻击时

是的,这发生在我身上,因为我做了一件蠢事。我是一个长期的软件开发者,现在是区块链开发者,去年我通过Udacity区块链开发者微学位项目来磨练我的技能。作为这个项目的一部分,我们创建了几个涉及区块链技术的项目。我实际上为合法大麻行业创建了一个基于区块链的供应链跟踪系统,或者至少是一个框架版本。在所有这些Udacity项目中,学生必须将他们的项目文件上传到Github。因为我没有太注意,只用了一个Testnet钱包,我上传的一个文件包含了我在开发电脑上用于开发的Metamask钱包的种子词组。这里面从来没有任何资金,所以我并不担心。

但一年后,由于一些我不记得的原因,我决定向那台电脑上的Metamask钱包发送一些真正的AVAX。我早就忘记了这是我的开发钱包和开发机器,钱包可能已经被破坏了。在我上传那个文件和发送AVAX之间的一年左右的时间里,一个黑客发现了暴露的助记词,并将一些软件连接到那个钱包地址。黑客软件只是检查那个钱包地址,以防我做一些愚蠢的事情,比如向它发送真正的AVAX。黑客的耐心当然得到了回报,我确实做了一些蠢事,发送了一些AVAX。AVAX到了,但在到达后的几分钟或几秒钟内迅速消失在某个陌生的钱包地址中。我花了几分钟的时间去了解发生了什么,我很尴尬地承认是我自己的愚蠢行为导致了黑客攻击。

发现你做错了什么的重要性

这让我想到了最后一点 — 如果你确实被黑了,重要的是把你的自我放在一边,找出你做错了什么。我在网上看到太多想要责怪Metamask和/或责怪除自己之外的所有人的人被黑。这些人没有弄清楚他们做错了什么,最后又被黑了。帮你自己和加密货币社区的其他人一个忙 — 永远花精力去弄清楚你做错了什么。我们越是共同努力弄清楚这些黑客是如何发生的,就越容易帮助对方和自己避免在第一时间被黑。


原文:https://medium.com/coinmonks/how-your-metamask-got-hacked-probably-795abca4534a

译注:

除了以上方法,你还需要时刻留意你的钱包授权,对于不常操作的协议网站,取消对于你钱包里的币的授权。你不应该过多的展示你的ENS,这会让你面临非技术方面的攻击,比如去人肉到你的个人信息。你最好有多个钱包地址并定期更换新的地址。