OKX Web3 \u0026 WTF Academy: зусилля зловмисників з червоною стрічкою: наступної секунди вони здобудуть доступ до вашого будинку?

Вступ: Гаманець OKX Web3 спеціально розробив розділ “Безпека”, в якому надається спеціальна інформація щодо безпеки на ланцюжку. За допомогою реальних прикладів, що трапляються навколо користувачів, спільно з експертами з безпеки та організаціями, ми розглянемо різні перспективи і надамо відповіді на запитання, з метою послідовної узагальнення правил безпечної торгівлі та посилення освіти користувачів з питань безпеки. Наша мета - допомогти користувачам вивчити, як забезпечити безпеку свого приватного ключа та активів у гаманці.

Експлуатація волосяного покриву люта, як у тигра, а коефіцієнт запасу міцності мінус 5 ?

Як активний користувач у блокчейні, безпека завжди є важливою для любителів торгівлі.

Сьогодні два провідних учасника блокчейну розкажуть вам про стратегії безпеки, які допоможуть уникнути пасток.

Цей випуск є третім номером спеціального випуску з безпеки, в якому запрошений відомий експерт з безпеки 0x AA і команда з безпеки Гаманця Web3 OKX розглядають поширені ризики безпеки та заходи захисту від них з практичного погляду на керівництво з виконання.

WTF Academy: Дуже дякую OKX Web3 за запрошення, я - 0x AA з WTF Academy. WTF Academy - це університет з відкритим вихідним кодом Web3, який допомагає розробникам увійти в розробку Web3. Цього року ми запустили проект з рятування Web3 RescuETH (у блокчейні рятувальний загін), спрямований на рятування залишкових активів користувачів зі зламаних гаманців. Наразі ми успішно врятували понад 3 мільйони юанів викрадених активів на Ethereum, Solana, Cosmos.

Команда з безпеки гаманця OKX Web3: Всім привіт, ми дуже раді поділитися з вами цією інформацією. Основним завданням команди з безпеки гаманця OKX Web3 є розробка різноманітних можливостей безпеки OKX в галузі Web3, таких як розвиток можливостей безпеки гаманця, аудит безпеки смарт-контрактів, моніторинг безпеки проектів на ланцюжку тощо, надаючи користувачам послуги з багатократного захисту продуктів, фінансів та угод для забезпечення загальної безпеки блокчейн-екосистеми.

Q1: Будь ласка, поділіться кількома реальними випадками ризику, з якими стикаються люди, які займаються майнінгом.

**WTF Academy：**Закритий ключ - один із серйозних ризиків безпеки, з яким стикаються користувачі, які займаються майнінгом. Суттєво, закритий ключ є послідовністю символів, що використовуються для контролю зашифрованих активів, і будь-яка особа, яка володіє закритим ключем, може повністю контролювати відповідні зашифровані активи. Якщо закритий ключ стає відомим стороннім особам, зловмисник може несанкціоновано отримувати доступ, переміщати та керувати активами користувача, що може призвести до економічних втрат. Тому я хотів би поділитися кількома випадками крадіжки закритих ключів.

Аліса (псевдонім) була змушена завантажити шкідливе програмне забезпечення на соціальній мережі хакером, і після запуску цього шкідливого програмного забезпечення був викрадений приватний ключ, форма цього шкідливого програмного забезпечення різноманітна, включаючи, але не обмежуючись: скрипти для видобутку, ігри, конференційне програмне забезпечення, скрипти для злому, роботи-підщепи та інші, користувачам потрібно підвищити свідомість про безпеку.

Bob (псевдонім), необачно завантажив свій закритий ключ на GitHub іншим людям, що призвело до крадіжки його активів.

Carl (псевдонім) звернувся до офіційної групи проекту Tegegram для отримання консультації, довірився підробленим службовим представникам, які самі зв’язалися з ним, і розкрив свою початкову фразу, в результаті чого його кошти в гаманці були вкрадені.

Команда з безпеки гаманця OKX Web3: Цей тип ризикових випадків відбувається досить часто, ми вибрали кілька класичних випадків, з якими користувачі стикаються під час зняття коштів.

Перший тип - поширення фейкових розбродів. Користувач A, переглядаючи Twitter популярного проекту, помітив оголошення про розбродництво у найновішому твіті, і негайно натиснув посилання, щоб прийняти участь у розбродництві, що призвело до шахрайства. Зараз багато шахраїв створюють фейкові офіційні акаунти і публікують підроблені оголошення в офіційному Twitter, щоб залучити користувачів. Користувачам слід бути уважними і не приймати все з легкістю.

Друга категорія - викрадення офіційного облікового запису. Облікові записи офіційного Twitter і Discord проекту стали жертвами хакерських атак, після чого хакери опублікували посилання на шахрайську роздачу на офіційному обліковому записі проекту. Оскільки посилання було опубліковано через офіційний канал, користувач Б не підозрював його автентичність і натиснув на нього, щоб долучитися до роздачі, але потім його зачепили на риболовлю.

Третій тип - зустріч зловмисними розробниками. Користувач C брав участь у добуванні в рамках певного проекту, і для отримання вищого прибутку від нагород, він вклав всі свої активи USDT у контракт затримки цього проекту. Однак цей смарт-контракт не був підданий строгій перевірці і не був оприлюднений, в результаті чого розробники проекту використали задні ворота, залишені в цьому контракті, і вкрали всі активи, внесені користувачем C до контракту.

Для користувачів криптовалют, які часто мають десятки або навіть сотні гаманців, дуже важливо дбати про безпеку гаманців та активів. Потрібно завжди бути настороже і підвищувати рівень свідомості щодо безпеки.

Q2: як частий користувач, зв’язок людини з ланцюжком має типові види ризиків безпеки та заходи захисту

**WTF Academy：**Для користувачів Web3, включаючи майнерів, два типи поширених безпекових ризиків - це фішинг і витік приватного ключа.

Перший тип – це фішингові атаки: хакери зазвичай видають себе за офіційні веб-сайти чи програми, обманом змушують користувачів натискати соціальні мережі та пошукові системи, а потім обманом змушують користувачів здійснювати транзакції або підписи на фішингових веб-сайтах, щоб отримати Токен авторизацію та викрасти активи користувачів.

Функції захисту: По-перше, рекомендується користувачам входити на офіційний веб-сайт та додатки лише через офіційний канал (наприклад, посилання у описі офіційного Twitter). По-друге, користувачі можуть використовувати безпечні розширення, щоб автоматично блокувати деякі сайти-фішингу. По-третє, при вході на підозрілий сайт користувачі можуть звернутися до професійних фахівців з безпеки, які допоможуть визначити, чи є це сайт-фішингом.

Другий тип - це витік приватного ключа: я вже розповідав про це в попередньому запитанні, тут не буду розгортати.

Фінансові заходи: По-перше, якщо користувач має гаманець на комп’ютері чи смартфоні, слід утримуватися від завантаження підозрілого програмного забезпечення з неофіційних джерел. По-друге, користувачі повинні знати, що офіційна служба підтримки зазвичай не буде надсилати особисті повідомлення, і тим більше, не буде просити надсилати приватний ключ чи мнемонічну фразу на підроблених веб-сайтах. По-третє, якщо в проекті з відкритим кодом користувачеві потрібно використовувати приватний ключ, спочатку слід налаштувати файл .gitignore, щоб гарантувати, що приватний ключ не буде завантажено на GitHub.

OKX команда безпеки гаманця Web3: Ми склали загальну інформацію про 5 типових безпекових ризиків, з якими користувачі можуть зіштовхнутися під час взаємодії зі ланцюжком, і надали заходи захисту для кожного типу ризику.

1. Аірдроп шахрайство

Ризики: Деякі користувачі часто помічають, що в їх гаманці з’являється велика кількість незрозумілих токенів, які, як правило, не вдаються до обміну на популярних DEX-платформах, і сторінки порадять користувачам перейти на офіційний сайт для обміну. При авторизованій угоді зазвичай передається дозвіл на зняття активів з рахунку через смарт-контракт, що в результаті призводить до крадіжки активів. Наприклад, шахрайство з аірдропом Zape, багато користувачів раптово отримують велику кількість монет Zape в своєму гаманці, які, здається, мають вартість десятки тисяч доларів США. Це змушує багатьох людей помилково вважати, що вони несподівано збагатіли. Однак це насправді ретельно спланована пастка. Оскільки ці токени неможливо виявити на офіційних платформах, багато користувачів, які поспішають зняти готівку, знаходять так звані “офіційні” сайти за назвою токена. При підключенні гаманця вони сподіваються продати ці токени, але як тільки надають дозвіл, весь актив у гаманці негайно крадеться.

Заходи захисту: щоб уникнути шахрайства з аірдропами, користувачам потрібно бути вкрай обережними, перевіряти джерело інформації, завжди отримувати інформацію про аірдроп від офіційних джерел (таких як офіційний веб-сайт проекту, офіційний акаунт у соціальних мережах та офіційні оголошення). Зберігайте свій закритий ключ і початкову фразу у безпеці, не сплачуйте жодних витрат та використовуйте спільноту та інструменти для перевірки та виявлення потенційних шахрайств.

2. Смарт-контракт злого наміру

Ризики: багато невідомих аудиту або невідкритих смарт-контрактів можуть містити вади або таємні проходи, не гарантується безпека коштів користувачів.

Заходи захисту: користувачі повинні спілкуватися тільки зі смарт-контрактами, які пройшли строгу аудиторську перевірку від акредитованих аудиторських компаній, або переконатися у наявності звіту про безпеку проекту. Крім того, проекти з програмою bug bounty зазвичай мають більшу гарантію безпеки.

3. Управління повноваженнями:

Резюме ризиків: надання надмірних повноважень взаємодіючим контрактам може призвести до втрати коштів. Ось декілька прикладів: 1) якщо контракт є модифікованим контрактом, і ключ привілейованого облікового запису відкривається, зловмисник може використати цей ключ для оновлення контракту на зловмисну версію і викрасти активи, до яких вже надано повноваження користувачів. 2) Якщо контракт має невиявлені уразливості, надмірні повноваження можуть дозволити зловмисникам використовувати ці уразливості у майбутньому для крадіжки коштів.

Заходи захисту: в принципі, надавати необхідні повноваження тільки для взаємодіючих контрактів і регулярно перевіряти та відкликати непотрібні повноваження. При підписанні дозволу permit поза блокчейном, обов’язково з’ясовуйте цільовий контракт/тип активу/обсяг повноважень, діючи після ретельного обміркування.

4. Риболовний дозвіл

Ризиковий опис: натискання на шкідливі посилання та надання дозволу на шкідливий розумний контракт або користувача.

Фільтри безпеки:

1. Уникайте сліпої підписки: Перед підписанням будь-якої угоди, переконайтеся, що ви розумієте зміст угоди, яку ви збираєтесь підписати, і переконайтеся, що кожен крок є зрозумілим і необхідним.
2. Будьте обережні з авторизованими адресами: Якщо авторизована адреса належить зовнішньому власному обліковому запису (EOA) або неперевіреному контракту, будьте обережні. Неперевірені контракти можуть містити шкідливий код.
3. Використовуйте гаманці з захистом від фішингу: Використовуйте гаманці, які мають захист від фішингу, наприклад, гаманці OKX Web3, які допомагають виявляти та блокувати шкідливі посилання.
4. Захищайте фрази для відновлення та приватні ключі: Всі веб-сайти, які вимагають фрази для відновлення або приватні ключі, є шахрайськими посиланнями. Ніколи не вводьте цю чутливу інформацію на будь-якому веб-сайті або додатку.

5. Шкідливі скрипти для розпушування

Ризики: використання шкідливого скрипта може призвести до встановлення троянського коня на комп’ютері та, отже, до крадіжки закритого ключа.

Заходи захисту: обережно виконуйте невідомі скрипти або програмне забезпечення для майнінгу.

Коротше кажучи, ми сподіваємося, що користувачі, взаємодіючи з ланцюжком, будуть обережні, захистять свій гаманець та безпеку своїх активів.

Q3: Просуньтесь через классические типы и методы рыбалки, а также узнайте, как их распознать и избежать?

**WTF Academy：**Я хочу переформулювати це питання з іншого кута зору: якщо користувач виявляє, що його активи були вкрадені, як відрізнити атаку методом «фішинг» від витоку закритого ключа? Користувачі зазвичай можуть розрізнити ці два типи атак за їхніми характеристиками.

Особливості фішингових атак: зловмисники, зазвичай, отримують дозволи на один або кілька активів з одного гаманця користувача через фішинговий веб-сайт, щоб викрасти активи. Зазвичай, кількість активів, які вкрали, відповідає кількості дозволів, які користувач надав на фішинговому веб-сайті.

Друге, ознаки витоку приватного ключа / мнемонічної фрази: хакер повністю отримує контроль над всіма активами усіх ланцюгів, що належать користувачу в одному або декількох гаманцях. Тому, якщо є одна або кілька з наведених нижче ознак, ймовірно, виникла витік приватного ключа:

1）Нативний токен був викрадений (наприклад, ETH на мережі ETH), оскільки нативний токен не може бути авторизований.

2. Мультиланцюгові активи зламано.

3. Розкрадання лонг Гаманець активів.

4. Однією гаманцю було вкрадено кілька активів, і я чітко пам’ятаю, що не давав дозволу на ці активи.

5. Немає авторизації перед крадіжкою токенів або в одній транзакції (подія схвалення).

6）Передача газу буде негайно перенесена хакером.

Якщо не відповідає вищезазначеним ознакам, ймовірно, це атака фішингом.

OKX Група з безпеки гаманця Web3: Щоб уникнути фішингу, спочатку слід звернути увагу на 2 моменти: 1) обов’язково пам’ятайте, що не слід вводити свої мнемонічні слова / приватний ключ на будь-якій веб-сторінці; 2)

Переконайтеся, що посилання, на яке ви переходите, є офіційним посиланням, і будьте обережні при натисканні кнопки підтвердження на інтерфейсі гаманця.

наступного разу ми поділимося деякими класичними стратегіями риболовлі, щоб допомогти користувачам краще зрозуміти.

1. Фішинг на підробленому веб-сайті: підроблений веб-сайт офіційного DApp, що спонукає користувачів до введення приватного ключа або мнемонічної фрази. Тому головний принцип для користувача полягає в тому, що необхідно утриматися від надання свого приватного ключа або мнемонічної фрази будь-якій особі або веб-сайту. Ви також повинні перевірити правильність URL-адреси та намагатися використовувати офіційні закладки для доступу до популярних DApp та використовувати надійні популярні гаманці, наприклад, OKX Web3 Wallet, який попереджає про виявлені фішингові веб-сайти.

2, викрадення токенів основного ланцюжка: зловмисні функції контракту з назвами Claim, SeurityUpdate, AirDrop та інші з провокативними назвами, фактично мають порожню логіку функцій та лише перекладають токени користувачів основного ланцюжка.

3, подібний переказ адреси: шахраї створюють адреси з деякими спільними першими та останніми символами, що пов’язані з адресою користувача, використовуючи transferFrom для переказу нульової суми для забруднення історії транзакцій користувача, або використовуючи фальшивий USDT для переказу певної суми, сподіваючись, що користувач скопіює неправильну адресу з історії транзакцій.

4. Підроблений сервіс підтримки: хакер підроблює сервіс підтримки та зв’язується з користувачем через соціальні медіа або електронну пошту, вимагаючи надати особистий ключ або мнемонічну фразу. Офіційна служба підтримки не вимагає надання особистого ключа, тому проігноруйте такі запити.

Q4: Професійний гравець, який займається добуванням криптовалюти, повинен дотримуватися певних заходів безпеки при використанні різних інструментів.

WTF Академія: Оскільки користувачі, що займаються “подрібненням вовни”, використовують різноманітні інструменти, необхідно посилити заходи безпеки при використанні цих інструментів, наприклад.

1. Гаманець безпеки: переконайтеся, що закритий ключ або мнемонічна фраза не розголошуються, не зберігайте закритий ключ у небезпечних місцях та уникайте вводу закритого ключа на невідомих або недовірених веб-сайтах та інше. Користувач повинен резервувати та зберігати закритий ключ або мнемонічну фразу в безпечному місці, такому як пристрої для збереження офлайн або зашифрованому хмарному сховищі. Крім того, для користувачів гаманця з великою вартістю активів використання мультисигнального гаманця може збільшити безпеку.

2. Захист від фішингових атак: при відвідуванні будь-якого пов’язаного веб-сайту, обов’язково перевіряйте його URL-адресу, уникайте клікання по посиланнях невідомого походження. Намагайтеся отримувати посилання для завантаження та інформацію з офіційного веб-сайту проекту або офіційних соціальних мереж, уникайте використання сторонніх джерел.

3, безпека програмного забезпечення: користувач повинен забезпечити встановлення та оновлення антивірусного програмного забезпечення на пристрої, щоб запобігти шкідливим програмам та вірусним атакам. Крім того, регулярно оновлюйте гаманець та інші інструменти, пов’язані з блокчейном, щоб забезпечити використання останніх патчів безпеки. Оскільки раніше були виявлені проблеми безпеки з відбитками пальців та віддаленими робочими столами, не рекомендується їх використання.

За допомогою зазначених заходів користувач може подальшим чином знизити ризики безпеки при використанні різних інструментів.

OKX Гаманець Web3 Безпека Команди: Давайте спочатку розглянемо відкритий випадок в індустрії.

Наприклад, браузер відбитків пальців Біт надає такі функції, як багатокористувацьке входу, запобігання асоціації вікон та моделювання незалежної інформації про комп’ютер, що знаходиться під певним впливом користувачів. Проте, серія подій з безпеки в серпні 2023 року розкрила його потенційні ризики. Зокрема, функція “Синхронізація даних плагіна” браузера Біт дозволяє користувачам завантажувати дані плагіна на хмарний сервер і швидко мігрувати їх на новий пристрій, введенням пароля. Хоча ця функція була розроблена для зручності користувачів, вона також має потенційні проблеми з безпекою. Хакери отримали доступ до даних гаманця, вторгнувшись на сервер. Шляхом насильного злому, хакери зламали пароль гаманця користувача і отримали доступ до його кошелька. Записи сервера показують, що сервер, на якому зберігаються кеш-розширення, був незаконно завантажений в початковій частині серпня (останній запис в журналі - 2 серпня). Цей випадок нагадує нам, що, насолоджуючись зручністю, ми також повинні бути пильними щодо потенційних ризиків безпеки.

Таким чином, користувачам дуже важливо переконатися, що використовувані ними інструменти є безпечними й надійними, щоб уникнути ризику хакерських атак та витоку даних. Зазвичай користувачі можуть підвищити рівень безпеки з наступних позицій.

Один, використання апаратного гаманця: 1) Регулярно оновлюйте прошивку, купуйте через офіційний канал. 2) Використовуйте на безпечному комп’ютері, уникайте підключення в громадських місцях.

Друге, використання розширень браузера: будьте обережні при використанні сторонніх розширень та інструментів, намагайтеся вибирати надійні продукти, такі як гаманець OKX Web3. Уникайте використання розширень гаманця на ненадійних веб-сайтах.

Три. Використання інструментів аналізу угод: 1) Використання надійної платформи для угод та взаємодії з контрактами. 2) Уважно перевіряйте адресу контракту та методи виклику, уникайте помилкових операцій.

Четверте. Використання обчислювальної техніки: 1) Регулярно оновлюйте систему обладнання комп’ютера, оновлюйте програмне забезпечення, виправляйте вразливості безпеки. 2) Встановіть програмне забезпечення для боротьби з вірусами, регулярно перевіряйте комп’ютерну систему на віруси.

Q 5 : У порівнянні з одним Гаманець, як стрижка може керувати лонг Гаманець та рахунок безпечніше?

WTF Academy: У зв’язку з високою частотою взаємодії користувачів з ланцюжком та одночасним керуванням кількома гаманцями та рахунками, особлива увага повинна бути приділена безпеці активів.

Один, використання апаратного гаманця: апаратний гаманець дозволяє користувачам керувати кількома рахунками гаманця на одному пристрої, приватний ключ кожного рахунку зберігається на апаратному пристрої, що забезпечує більш високий рівень безпеки.

Друге, відокремлення стратегії безпеки та відокремлення середовища виконання: спочатку відбувається відокремлення стратегії безпеки, користувачі можуть розділити гаманці для різних цілей, щоб розподілити ризики. Наприклад, гаманець для розподілу, гаманець для торгівлі, гаманець для зберігання тощо. Наприклад, гарячий гаманець використовується для щоденних торгівельних операцій, а холодний гаманець - для довгострокового зберігання важливого активу, таким чином, навіть якщо один гаманець пошкоджений, інші гаманці не постраждають.

Друге - це роздільне робоче середовище, де користувач може керувати різними гаманцями на різних пристроях (таких як телефон, планшет, комп’ютер і т. д.), щоб уникнути впливу проблем безпеки одного пристрою на всі гаманці.

Три, керування паролями: користувач повинен встановити сильний пароль для кожного гаманця, уникати використання однакових або подібних паролів. Або використовувати менеджери паролів для керування паролями різних облікових записів, щоб забезпечити незалежність та безпеку кожного пароля.

Команда забезпечення безпеки гаманця OKX Web3: Для користувачів, які активно використовують гаманці, безпечне управління кількома гаманцями та рахунками не є легким завданням. Наприклад, можна підвищити рівень безпеки гаманця з таких точок зору:

1, розподіл ризиків: 1) Не тримайте всі активи в одному гаманці, розподіліть їх для зниження ризику. Залежно від типу активів та їх призначення, оберіть різні типи гаманців, такі як апаратний гаманець, програмний гаманець, холодний гаманець та гарячий гаманець тощо. 2) Використовуйте гаманці з багато-підписом для управління великими активами та підвищення безпеки.

**2, Резервне копіювання та відновлення: ** 1) Регулярно резервуйте мнемонічні слова та приватний ключ і зберігайте їх в кількох безпечних місцях. 2) Використовуйте апаратний гаманець для зберігання у холодному режимі, щоб уникнути розкриття приватного ключа.

3、Уникайте повторення паролів: Для кожного гаманця та рахунку встановіть окремий сильний пароль, уникайте використання одного й того ж пароля, щоб зменшити ризик взлому одного рахунку, який може призвести до загрози для інших рахунків одночасно.

**4, Увімкнути двоетапну перевірку: ** У всіх облікових записах, де це можливо, увімкніть двоетапну перевірку (2FA), щоб покращити безпеку облікового запису.

5, автоматизовані інструменти: Зменшіть використання автоматизованих інструментів, особливо тих, які можуть зберігати вашу інформацію в хмарі або на серверах третіх сторін, щоб зменшити ризик витоку даних.

6, обмеження доступу: дозволяйте доступ до свого гаманця та рахунку лише довіреним особам і обмежуйте їхні права на операції.

7、Регулярно перевіряйте безпеку гаманця: використовуйте інструменти для моніторингу транзакцій гаманця, щоб переконатися, що не відбувається жодних аномальних операцій. Якщо виявите витік приватного ключа гаманця, негайно змініть всі гаманці тощо.

Крім зазначених вище кількох вимірів, існує багато, незалежно від того, користувачам слід намагатися забезпечити безпеку гаманця та активів через різні виміри, не покладаючись лише на один.

Питання 6: Які поради з захисту від уразливостей, таких як прослизання торгів та атаки MEV, пов’язані з реальними торгівлями?

WTF Academy: Розуміння та запобігання прослизанню угод та атакам MEV є надзвичайно важливими, оскільки ці ризики безпосередньо впливають на вартість транзакцій та безпеку активів.

Наприклад, для атак MEV існує кілька типів: 1) Викрадення - майнер або торговий робот виконує ту саму угоду перед користувачем, щоб отримати прибуток. 2) Атака сендвічем - майнер вставляє замовлення на купівлю і продаж перед і після угоди користувача, щоб отримати прибуток від коливань цін. 3) Арбітраж - використання різниці в цінах на різних ринках у блокчейні для отримання прибутку.

Користувач може використовувати інструменти MEV захисту, щоб надіслати транзакцію по спеціальному каналу для майнерів, щоб уникнути публікації на блокчейні. Або зменшити час публікації транзакції, тобто скоротити час перебування транзакції у пулі пам’яті, використовуючи високу комісію Gas для прискорення швидкості підтвердження транзакції, а також застосовувати заходи для зменшення ризику атаки, такі як уникнення великих торгів на одній DEX платформі.

OKX Гаманець Web3 команди безпеки: Прослизання угоди - це різниця між очікуваною ціною угоди та фактичною ціною виконання, яка зазвичай виникає при значних коливаннях на ринку або низькій ліквідності. Атака MEV - це використання зловмисником асиметричної інформації та привілеїв угод для отримання надзвичайного прибутку. Нижче наведено деякі поширені захисні заходи для цих двох ситуацій.

1. Налаштування прослизання: через певну затримку в транзакціях на ланцюжку і можливі атаки MEV, користувачам потрібно заздалегідь встановити розумний допуск для прослизання, щоб уникнути невдалих угод або втрати коштів через ринкові коливання або атаки MEV.

2、Часткова торгівля: уникайте великих угод за один раз, робіть торгівлю частинами, це дозволяє зменшити вплив на ринкову ціну та знизити ризик прослизання.

3、Використовуйте торгові пари з високою ліквідністю: при здійсненні угод вибирайте торгові пари з високою ліквідністю, щоб зменшити виникнення прослизання.

4、використання інструментів запобігання передранку: важливі угоди якнайкраще не проходити через Memepool, можна скористатися професійними інструментами запобігання передранку, щоб захистити угоди від захоплення роботами MEV.

Q 7: Чи можуть користувачі використовувати моніторингові інструменти або професійні методи для регулярного контролю та виявлення аномалій у гаманці рахунку?

**WTF Academy：**Користувачі можуть використовувати різноманітні інструменти моніторингу та професійні методи для регулярного контролю та виявлення аномальної активності у гаманці рахунку. Ці методи сприяють підвищенню безпеки рахунку, запобігають несанкціонованому доступу та потенційним шахрайським діям. Ось деякі ефективні методи моніторингу та виявлення:

1. Служби стороннього моніторингу: наразі багато платформ можуть надавати користувачам детальні звіти та миттєві сповіщення про активність гаманців.

2）використовуйте безпечний плагін: деякі безпечні інструменти можуть автоматично заблокувати деякі сайти-фішинги.

3. Вбудовані функції гаманця: гаманці, такі як OKX Web3, можуть автоматично виявляти та розпізнавати підозрілі веб-сайти рибальських схем та контракти, надаючи користувачам попередження.

Команда забезпечення безпеки гаманця OKX Web3: Наразі багато компаній або організацій надають велику кількість інструментів для моніторингу та виявлення адрес гаманців. Ми підготували деякі з них на основі загальнодоступної інформації у галузі, наприклад:

1、Інструмент моніторингу блокчейну: використання аналітичного інструменту блокчейну для відслідковування надзвичайних транзакцій гаманця, зміни фінансових коштів, налаштування сповіщень про транзакції на адресу тощо.

2, Безпечний гаманець: використання професійного гаманця, такого як OKX Гаманець Web3, дозволяє підтримувати передвиконання операцій, щоб вчасно виявляти підозрілі транзакції; також можна вчасно виявляти та блокувати взаємодію зі зловмисними веб-сайтами та контрактами.

3、система сповіщення (s): може надсилати сповіщення про угоди або зміни балансу відповідно до умов, встановлених користувачем, включаючи повідомлення по смс, електронну пошту або сповіщення через додаток тощо.

4, OKLink Токен авторизована перевірка: перевірка авторизації гаманця для DApps, своєчасне скасування непотрібної авторизації, щоб запобігти зловживанню авторизацією зловмисним контрактом.

Q 8: Як захистити приватність та безпеку на блокчейні?

**WTF Academy：**Блокчейн відкритий та прозорий хоча й приносить багато переваг, але також означає, що активність користувачів та інформація про їхнє майно можуть бути зловживані, приватність на ланцюжку стає все більш важливою. Однак користувачі можуть захистити особисту конфіденційність, створюючи та використовуючи декілька адрес. Не рекомендується використання відбитка пальця для браузера, оскільки раніше траплялися численні вразливості безпеки.

Команда забезпечення безпеки гаманця OKX Web3: Зараз все більше користувачів починають звертати увагу на захист конфіденційності та безпеку, звичайні способи включають

1、лонг Гаманець управління: розподілення активів користувачів, Падіння ризику відстеження або атаки на один гаманець.

2、використання Гаманця із кількома підписами：потрібно лонгуючий підпис для виконання угоди, що збільшує безпеку та конфіденційність.

3、Холодний гаманець: зберігання довгострокових активів у апаратному гаманці або офлайн сховищі, щоб уникнути онлайн-атак.

4、Не розголошуйте адресу: уникайте публікації адреси свого гаманця в соціальних мережах або на відкритих платформах, щоб уникнути слідування іншими особами.

5、використовуйте тимчасову електронну пошту: приймаючи участь в аірдропах або інших акціях, використовуйте тимчасову електронну адресу, щоб захистити свою особисту інформацію від розголошення.

Q 9: Як користувач повинен відповісти, якщо його гаманець був зламаний? Чи були зроблені зусилля або створено механізм для допомоги користувачам у відновленні активів та захисту активів користувачів?

WTF Academy: Ми проводимо аналіз нападів типу фішинг та витоку приватного ключа / мнемонічної фрази.

首先, Гаманець, коли стається атака на риболовлю, активи, які користувач авторизував для хакера, будуть перекладені в гаманець хакера, ця частина практично незабезпечена / не може бути відновлена; але залишок активів у гаманці користувача є відносно безпечним. Команда RescuETH рекомендує користувачам вживати наступні заходи захисту:

1）Відкликати надання доступу до активів для Хакера

2）Зв’яжіться зі страховою компанією, щоб відстежити злочини та адреси хакерів, що були пограбовані.

Наступне, коли стається витік приватного ключа / мнемонічної фрази, всі цінні активи з гаманця користувача будуть переведені на гаманець хакера, цю частину практично неможливо відновити / повернути, але активи з гаманця користувача, які не можуть бути переведені зараз, можна врятувати, наприклад, заблоковані активи та ненадані безкоштовні роздачі, це також є нашою основною метою рятування. Команда RescuETH пропонує користувачам прийняти наступні заходи захисту.

1. Перш за все перевірте, чи є активи, які не були перенесені хакером, у вашому гаманці. Якщо є, негайно перекладіть їх на безпечний гаманець. Іноді хакери не помічають активи на менш популярних ланцюжках.

2. Якщо у гаманці є заблоковані активи, які були застейковані, і невидані аірдропи, зверніться до професійної команди для отримання допомоги.

3. Якщо ви підозрюєте, що встановлено шкідливі програми, негайно проскануйте комп’ютер на віруси, видаліть шкідливі програми. За необхідності, перевстановіть систему.

Наразі ми вже спробували багато шляхів для допомоги у відновленні активів вкрадених користувачів.

Перш за все, ми є першою командою, яка масштабно рятує активи з вкрадених гаманців. Під час аірдроп-події Arbitrum у березні 2023 року я зібрав понад 40 приватних ключів витоку грошових гаманців від майже 20 фанів, щоб взяти участь в перегоні за $ARB аірдропом з хакерами. Загалом нам вдалося рятувати більше, ніж $40,000 вартості токенів ARB, що становить успішність на рівні 80%.

Друге, коли гаманець користувача був вкрадений, активи з економічною цінністю будуть переведені хакером, а NFT або ENS з пам’ятною цінністю для користувача залишаються в гаманці. Проте через те, що гаманець контролюється хакером, всі надходження газу будуть одразу переведені, і користувач не зможе перемістити цей актив. Для вирішення цього ми створили додаток для самостійної рятувальної допомоги: RescuETH App, який базується на технології Flashbots bundle MEV, що дозволяє упаковувати транзакції з надходженням газу та виведенням NFT/ENS, щоб запобігти хакерському моніторингу сценаріїв виведення газу та успішно врятувати активи. Наразі RescuETH App знаходиться в стадії внутрішніх тестів, передбачається, що загальнодоступне тестування розпочнеться в червні.

Третє, щодо активів, які можна врятувати зі зламаних гаманців користувачів (незаблокованих застав і невиплачених аірдропів), ми пропонуємо платні індивідуальні послуги з врятування від білих хакерів. Наша команда білих хакерів наразі складається з майже 20 експертів з безпеки та MEV, які вже врятували активи на суму понад 3 мільйони юанів зі зламаних гаманців на ланцюжках, таких як ETH, Solana, Cosmos.

Команда забезпечення безпеки гаманця OKX Web3: Ми розглядаємо це з двох точок зору: заходи користувача та механізм забезпечення безпеки гаманця OKX Web3

Перший, заходи користувача

Коли користувач виявляє, що його гаманець був викрадений, рекомендується негайно вжити наступні заходи:

1. Заходи реагування на надзвичайні ситуації

1. Негайно перекиньте кошти: якщо у гаманці ще залишаться кошти, слід негайно перекинути їх на безпечну нову адресу.

2）Скасування авторизації: негайно відкликайте всі авторизації за допомогою інструменту управління, щоб запобігти подальшим втратам.

3. Відстеження потоку коштів: Слідкуйте за потоком викрадених коштів, систематизуйте деталі викрадення, щоб знайти зовнішню допомогу.

2、Спільнота та підтримка з боку команди проекту

1. Звернення до розробників та спільноти: повідомлення про події розробникам та спільноті. Іноді розробники можуть заблокувати або відновити викрадені активи. Наприклад, USDC має механізм чорного списку, який може блокувати переказ коштів.

2）Приєднайтесь до організації з блокчейн-безпеки: приєднайтесь до відповідної організації або групи з блокчейн-безпеки, щоб вирішувати проблеми колективними зусиллями.

3. Зв’яжіться зі службою підтримки гаманця: негайно зверніться до команди служби підтримки гаманця, щоб отримати професійну допомогу та підказки.

Друге. Механізм безпеки Гаманця Web3 OKX

OKX Гаманець Web3 надає високий рівень безпеки активів користувачів та постійно вкладає зусилля в їх захист, надаючи кілька механізмів безпеки для забезпечення безпеки цифрових активів користувачів.

1）Чорний список адрес: Гаманець Web3 OKX створив широкий чорний список адрес, щоб запобігти взаємодії користувачів з відомими зловмисними адресами. Цей список постійно оновлюється для боротьби з постійно змінюючимися загрозами безпеки, забезпечуючи безпеку активів користувачів.

2. Безпечний плагін: Гаманець Web3 OKX надає вбудовану функцію захисту від фішингу, що допомагає користувачам визначати й блокувати потенційно шкідливі посилання та запити на транзакції, що підвищує безпеку облікового запису користувача.

3. 24-годинна онлайн-підтримка: Гаманець OKX Web3 забезпечує 24-годинну онлайн-підтримку для клієнтів, щоб своєчасно реагувати на випадки крадіжок та шахрайства з активами клієнтів, забезпечуючи швидку допомогу та керівництво користувачам.

4）користувальницька освіта: OKX Гаманець Web3 регулярно публікує безпечні поради та навчальні матеріали, щоб допомогти користувачам підвищити свідомість про безпеку, розуміти, як запобігати поширеним безпечним ризикам та захищати свій актив.

Q1 0: Можете поділитися передовими технологіями безпеки, наприклад, чи можна посилити безпеку за допомогою штучного інтелекту?

WTF Academy: Безпека в галузі блокчейну та Web3 - це постійно розвиваючеся поле, в якому безперервно з’являються різноманітні передові технології та методи безпеки. Наразі дуже популярними є наступні:

1. аудит смарт-контрактів: використання штучного інтелекту та машинного навчання для автоматизації безпекового аудиту смарт-контрактів, що дозволяє виявляти вразливості та потенційні ризики в смарт-контрактах і надає швидший та більш повний аналіз, ніж традиційний ручний аудит.

2. Виявлення аномальної поведінки: використовується алгоритм машинного навчання для аналізу ланцюжкових транзакцій та моделей поведінки, виявлення незвичайної активності та потенційних загроз безпеці. Штучний інтелект може розпізнати типові моделі атак (наприклад, атаки MEV, фішингові атаки) та незвичайну транзакційну поведінку, надаючи реальні часові попередження.

3. Виявлення шахрайства: штучний інтелект може аналізувати історію торгів та поведінку користувачів, виявляти та позначати можливі шахрайські дії.

Команда з безпеки гаманця OKX Web3: Наразі штучний інтелект вже має багато практичних застосувань в галузі Web3. Нижче наведені деякі сценарії використання штучного інтелекту для підвищення безпеки Web3:

Перше, виявлення відхилень та виявлення вторгнень: за допомогою штучного інтелекту та моделей машинного навчання аналізуються поведінкові шаблони користувачів для виявлення незвичайної активності. Наприклад, можна використовувати моделі глибинного навчання для аналізу транзакційного поведінки та активності гаманця з метою виявлення потенційно зловмисної діяльності або незвичайної активності.

Друге, визначення фішингових сайтів: штучний інтелект може аналізувати вміст сторінки та характеристики посилань для виявлення та запобігання фішинговим сайтам, захищаючи користувачів від загрози мережевих атак фішингу.

Третє, виявлення шкідливих програм: штучний інтелект може аналізувати поведінку та характеристики файлу для виявлення нових та невідомих шкідливих програм, що запобігає завантаженню та виконанню користувачем шкідливих програм.

Четверте, автоматизована реакція на загрози: штучний інтелект може автоматизувати заходи реагування, наприклад, автоматично заморожувати рахунок або виконувати інші заходи забезпечення.

Наприкінці, дякуємо всім, хто прочитав третій випуск “Особливого випуску” Web3 гаманця OKX, ми активно готуємося до четвертого випуску, в якому будуть реальні випадки, виявлення ризиків та цінні поради з питань безпеки. Слідкуйте за новинами!

Відмова від відповідальності

Цей текст надається виключно для ознайомлення, і не має на меті (i) надавати інвестиційні поради або рекомендації щодо інвестицій; (ii) оголошувати або пропонувати угоди з покупки, продажу або утримання цифрових активів; або (iii) надавати фінансові, бухгалтерські, юридичні або податкові поради. Володіння цифровими активами (включаючи стабільні монети та NFT) пов’язано з високим ризиком, може суттєво коливатися і навіть стати безцінним. Ви повинні ретельно розглянути, чи підходить для вас торгівля або утримання цифрових активів, враховуючи свою фінансову ситуацію. Будь ласка, самостійно ознайомтеся та дотримуйтесь місцевих відповідних законів і правил.