前一陣子,Defiance Capital 創辦人 Arthur 的熱錢包遭駭客入侵,導致資產遭轉移,大量 NFT 珍貴收藏也被無情拋售,這無疑對加密貨幣市場敲響了警鐘,就連對加密貨幣有多年經驗的 Degen 都無法避免網路安全問題了,那加密新手又該如何在這個黑暗森林中保護好自己呢?Zombit 這次很榮幸地針對該問題訪問了 Amber Group 的區塊鏈安全專家—吳家志,來替社群朋友們解答。
目錄
Defiance Capital 創辦人 Arthur 熱錢包遭遇駭客入侵的原因為何?
根據 Arthur Cheong 的 tweet ,他遭受到的是一種稱為『魚叉式網路釣魚』的社會工程學攻擊。受害人開啟了一封電子郵件裡頭的 PDF 附件,在 PDF 被解析過程中系統被植入了惡意程式,駭客便可以實時監控這台電腦的各種操作。以常見的 Metamask 瀏覽器插件為例,私鑰會被加密存在瀏覽器的存儲裡,如果惡意程式偵測到系統漏洞沒有修補,執行了本地提權程式,加上鍵盤輸入監控獲取用戶密碼,就有機會可以拿到私鑰,進而竊取如受害人描述價值 170 萬美金的資產。
一般人應該如何防範類似的攻擊?
這類攻擊通常不會針對『一般人』實施,基本上就是不要開啟來路不明的電子郵件,尤其是裡頭的附件,不管是 word 檔案,pdf 檔案,甚至圖片,都有可能藏有惡意程式。如果加密資產比較多,可以考慮使用冷錢包或是單獨的設備操作簽名,避免日常用的電腦被入侵之後被輕易獲取私鑰。
剛進入區塊鏈領域的新手在資產管理上應該遵守哪些原則?
我覺得新手首先要搞清楚私鑰或助記詞,只要丟失其中一個,就等於把錢包丟了,裡頭所有的資產都可能會瞬間被竊,因此這兩個東西的保存及備份是需要特別注意的。第二是『授權』,這是從以太坊的 ERC-20 標準衍生出來的隱患,新手需要特別注意所有的授權操作(approve),時常檢查自己錢包曾經授權給哪些地址,否則就等於你拿著一個不上鎖的錢包,一旦裡頭有錢,就會被拿走。第三是很多 NFT 交易平台會使用的『簽名』操作,因為簽名這件事情不會在區塊鏈上留下紀錄,沒有手續費,很多新手不理解他的意義。以 OpenSea 為例,你要以某個價格賣某個 NFT ,實際上是把這些資訊做個簽名而已,買方只要拿著簽過名的資訊付了錢就能成交。因此,如果某個釣魚網站彈窗一個 metamask 簽名操作,帶著一個極低價格的 NFT 賣單,你簽了之後可能 NFT 馬上就被偷了。總結一下,新手需要好好保存私鑰或助記詞,不要隨便授權,不要隨便簽名。
建議新手將加密資產存放在交易所還是自託管錢包?
我其實建議新手放在交易所,因為大部分操作加密資產的新手應該都有操作網銀的經驗,交易所跟網銀其實比較類似,只要密碼強度足夠,開啟了 2FA,是相對安全的。自託管錢包有比較多新的概念需要理解,例如私鑰,助記詞,及各種不同的鏈的基本概念等,對於新手來說會有較多風險點與攻擊面。
Amber 交易所在資產託管方面有哪些安全措施?
Amber Group 使用多方計算(MPC)生成用戶私鑰及地址,防止單點風險;Amber 執行嚴格交易授權策略,每一筆交易都會通過兩個以上被授權的人員確認與審批。此外,Amber 與業界領先的服務商 Fireblocks, BitGo 合作,保障加密資產的安全性;採用多因素驗證(MFA)確保用戶帳戶安全;參考安全領域標準,如 ISMS,NIST 建立了公司級的安全管理體系建設;並且通過外部獨立鑑證 SOC2 審計,保證公司的一系列 IT 與安全管控的有效性。
自託管錢包又分為冷錢包與熱錢包,有沒有辦法能夠讓用戶在安全與便利方面取得
平衡?
我個人認為通過藍芽交互的冷錢包使用起來相對是比較方便的,也有一定的安全性。
若用戶選擇自託管,有沒有推薦的工具與註記詞保存方式?
不連網的冷錢包還是目前比較安全的工具。與冷錢包概念一樣,助記詞也需要避免存在任何連網的設備上,例如金屬助記詞板。
常常聽到有人因為與區塊鏈應用或智能合約互動而遭遇釣魚攻擊,要怎麼做才能預
防這樣的情況發生?
釣魚網站現在做的越來越擬真,確實是很難避免的。我覺得這問題分兩個層面,首先是要避免通過搜尋引擎,垃圾郵件,IM 訊息的方式取得網址,而是通過官方渠道(例如 Twitter)或是可信任的聚合工具找到每個項目的網址。第二個層面就是觀察釣魚網站的行為,例如很多釣魚網站會讓你輸入助記詞,一旦輸入,你的資產馬上就會被盜走。比較進階的手法會給你一串看不懂的數字讓你簽名,這可能是一個 OpenSea 的訂單確認,讓你低價賣掉某些 NFT。可以考慮在操作新的項目時使用新的錢包地址小額測試,降低已有資產被盜取的風險。
有沒有額外的安全建議能夠提供給新手參考?
DYOR 可能是每個新手都聽過的一個詞,然而 DYOR 的技術門檻其實是很高的。對於新手而言,我的建議是從最多人使用的交易所及應用開始,一方面是較大的交易所或應用有比較完善的防護機制及審計流程,另一方面是如果真的出了問題也會有較大機率能夠賠付。
關於 Amber Group
Amber Group 是一家領先全球的加密金融服務提供商,全球 24 小時全天候營運,業務遍及香港、首爾、溫哥華及全球各大主要城市。成立於 2017 年的 Amber Group 為 1,000 多家知名大型機構客戶提供服務,在 100 多個電子交易所中累計交易總額已超過 1 兆美元,資產管理規模超過 50 億美元。作為一家綜合的加密金融服務提供商,Amber Group 幫助客戶獲得流動性,賺取收益並管理各種加密資產的風險,透過提供投資靈活性和最大化回報來優化長期價值。
如欲瞭解更多,請參訪官方網站 | WhaleFin官方網站
若有產品相關問題,請聯繫 Amber 客服團隊
