Don’t wait until you get hacked: A guide to Web3 security

作者：Ye Su

Bybit 被steal 15 亿美金后，信用良好的 infini 又被黑客攻击。

我在几年前也曾因黑客遭受重大损失。今早公司正在做内部Safety培训，分享一下亲身教训和防范指南：

近两年的新兴作案方式

1. 好友冒充（Social Engineering）

黑客常通过伪装客服、知名人士、朋友、投资机会等方式获取你的私钥或助记词，保持警惕，不点击陌生链接。

这是最难防范的攻击，我们公司被黑客仿冒 Twitter/Tg 进行私信诈骗，黑客通常冒充，以约电话会，聊投资机会为由，发送假冒的 deck，zoom 链接和网址向你植入病毒。

2. 内部渗透

朝鲜黑客的终极杀招，由某头部 cex 的创始人的亲身分享。黑客通过投简历，进入公司潜伏工作，通常在资产管理，Safety架构或者财务部门。在半年之后，实施内部作案。

3. 相似地址Xiaobai Navigation

黑客可以在几秒钟内生成前 5 位和后 5 位完全相同的地址，比如 10 个以 0x1234 开头，56abc 结尾的地址。

黑客通常模仿大额wallet的交易，用相似地址钓鱼，务必转账核对 Txid 和地址中间至少 5-6 位，最好每一步核对。

4. 公共 WiFi

避免使用公共 Wi-Fi，防止因恶意软件、木马导致资产被盗。Wi-Fi 可以直接黑进设备，酒店，派对甚至别人家的 wifi 都要谨慎。尽量多用自己的热点。

原则建立

1. 零信任原则

existBlockchain世界中，不要轻易相信任何人或工具，所有交易和签名操作都应经过独立验证，确保来源可信。

即使你 homie 私信找你垫付一笔钱，也要跟他电话/视频/线下确认。

2. 君子不立危墙之下

有传言（被盗/亏空），第一时间远离风险发生的位置，保证Safety的情况下， 再考虑其他问题。

永远不要相信“大而不倒”。FTX 倒闭，ArkStream 和我都因为第一天提款躲过一劫。

剩下的基本防范操作，大家可以参考慢雾的区块链黑暗森林自救手册.

The article comes from the Internet:Don’t wait until you get hacked: A guide to Web3 security

相关推荐: 特朗普上任在即，加密公司为就职委员会倾囊捐助超千万美元，市场会如何演绎？

特朗普带来的行情上涨是否会再次出现？ 撰文：Weilin，PANews 随着美国候任总统特朗普在 1 月 20 日的就职典礼临近，加密和科技行业的领袖们纷纷准备参与一场盛大的庆祝活动。其中，1 月 17 日将在华盛顿举办加密舞会，白宫人工智能和cryptocurrency主管 D…