以太坊安全及防诈骗指南
以太坊安全及防诈骗指南
随着人们对加密货币的兴趣日益浓厚,诈骗者和黑客带来的风险也在增加。本文将详细介绍以太坊的安全性和防诈骗指南,帮助用户更好地保护自己的数字资产安全。
以太坊安全性及防诈骗指南
人们对加密货币的兴趣日益浓厚,诈骗者和黑客带来的风险也随这增加。本文列出了一些降低此类风险的最佳案例。
记住:ethereum.org的人员绝不会主动联系你。切勿回复任何声称来自以太坊官方支持的电子邮件。
加密货币安全性入门
提升你的知识
不了解加密货币的运作方式,可能导致代价可观的错误。例如,如果不知道以太坊是一个去中心化网络且未提供客服功能,当有人伪装成客服人员,谎称返还丢失的以太币以借此索取你的私密金钥,就很容易落入圈套。增加对以太坊运作方式的知识,是一项很值得的投资。
钱包安全性
不要泄露你的私密金钥
无论任何原因,绝对不要分享你的私密金钥!
钱包的私密金钥,就如同开启以太坊钱包的密码。这是唯一阻止别人从你的钱包地址提取所有账户资产的方法!
不要拍摄你的种子助记词/私密金钥的屏幕截图
拍摄种子助记词或私密金钥的屏幕截图,有同步到云端数据提供者的风险,为黑客开方便之门。从云端获取私密金钥是黑客常用的攻击手法。
使用硬件钱包
硬件钱包让人能离线储存私密金钥。硬件钱包被视作储存私密金钥最安全的钱包选择:私密金钥永不联网且完全储存在本地装置上。
让私密金钥保持在离线状态,即使黑客掌握你的电脑,也能大幅减少黑客入侵的风险。
试试硬件钱包:
发送交易前仔细检查
不小心将加密货币发送到错误的钱包地址是一种常见错误。以太坊上发送的交易是不可逆的。除非你知道该地址的拥有者,并能说服他们将资金退回,否则你将无法找回你的资金。
发送交易之前,务必确保发送的地址与接收人的地址完全匹配。此外,与智能合约进行互动时,在签名前阅读交易信息是一种良好的实践。
设定智能合约支出限额
与智能合约进行互动时,不允许可无支出限额。如果无支出限额,智能合约将能掏空你的钱包。相反,将支出限额仅设定为交易需要的金额。
许多以太坊钱包提供限额保护,以防止账户被掏空。
常见的诈骗手法
完全阻止诈骗者是不可能的,但若了解其常用的手法,就能降低其成功率。虽然骗局层出不穷,但通常本质相同。唯一的应对方法是,请记住:
- 始终保持怀疑态度
- 没有人会给你免费或打折的以太币
- 没有人需要获取你的私密金钥或个人信息
推特广告钓鱼
有一种方法可以骗过推特(现在叫 X)的链接预览功能,潜在地欺骗用户,让他们误以为存取的是正版官网。此技术利用推特的机制来产生推文中的预览超链接,并显示来自 ethereum.org(如上例所示),但该链接事实上会重新导向到恶意网站。
请一律检查网域是否正确,特别是点击链接之后。
点此查看更多信息(opens in a new tab)。
赠奖诈骗
加密货币中最常见的骗局之一是赠奖诈骗。赠奖诈骗有多种形式,但一般手法大概都是,如果你将以太币传送到提供的钱包地址,你会收到双倍返还的以太币。因此,它也称为买一送一诈骗。
这类诈骗通常会限制领取赠奖的时间,以制造一种虚假的紧迫感。
社交媒体黑客攻击
最出名的一次发生在 2020 年 7 月,当时很多知名人士和组织的 Twitter 账户被破解。黑客同一时间使用被盗的账户发布了比特币赠送活动。虽然这些欺骗性推文很快被察觉并且删除,但黑客仍侥幸逃脱,取走了 11 个比特币(或截至 2021 年 9 月的 500,000 美元)。
名人赠奖活动
名人赠奖活动是赠奖诈骗的另一种常见形式。诈骗者会录制名人的采访视频或会议演讲,并在 YouTube 上进行直播 — 看起来好像名人正在接受直播采访视频,支持加密货币赠送活动。
这类骗局中最常使用的是 Vitalik Buterin,但是也使用了加密货币相关的许多其他知名人士(例如 Elon Musk 或 Charles Hoskinson)。在直播中加入知名人士,会让骗局看起来感觉合法(虽然值得怀疑,但有 Vitalik 参与,肯定没问题!)。
赠奖活动从来都是一场骗局。如果你把资金转到这些账户,永远要不回来。
支持服务骗局
加密货币是一种相对年轻且被误解的技术。有一种常见的骗局就是利用这一点,称为支持服务骗局,诈骗者针对受欢迎的加密货币钱包、交易所或区块链,冒充成支持人员。
许多关于以太坊的讨论,都在 Discord 上发生。支持服务诈骗者发掘下手目标的方式,通常是在公开的 Discord 频道中搜寻支持问题,然后向询问者发送提供支持服务的私人信息。诈骗者会建立信任,试图诱使你透露私密金钥或将资金发送到他们的钱包。
一般来说,员工绝不会通过非官方私人管道与你交流。处理支持事宜时,记住几个简单的要点:
- 永远不要分享私密金钥、种子助记词或密码
- 绝不允许任何人远程存取你的电脑
- 切勿以非官方指定管道来交流
请注意:支持服务型骗局常发生在 Discord 平台上,但在任何讨论加密货币的聊天应用程式上也可能很盛行,包括电子邮件。
“以太坊 2”代币骗局
在合并的准备阶段,诈骗者曾试图利用“以太坊 2”这个词制造混淆,让用户将以太币兑换成“以太坊 2”代币。但根本没所谓“以太坊 2”,合并后也未导入任何其他合法代币。合并前拥有的以太币,和现在是同一以太币。在从工作量证明过渡到权益证明时,无需采取任何与以太币有关的行动。
诈骗者可能会伪装成“支持团队”,告诉你如果存入以太币,将会收到“以太坊 2”代币。其实并没有以太坊官方支持团队,也不存在新的代币。切勿和任何人分享钱包的种子助记词。
注意:有些衍生的代币/行情指示器可能代表被质押的以太币(即 Rocket Pool 的 rETH、Lido 的 stETH、Coinbase 的 ETH2),但这些都不需要“迁移过去”。
网络钓鱼诈骗
网络钓鱼诈骗是另一种越来越常见的诈骗手段,诈骗者会利用它试图窃取钱包中的资金。
一些网络钓鱼电子邮件要求用户点击链接,将其重新定向至仿冒的网站,要求他们输入种子助记词、重设密码或发送以太币。有些可能会要求你在不知情的情况下安装恶意软件,使电脑被感染,并使诈骗者能存取你的电脑文件。
如果你收到来历不明的电子邮件,请记住:
- 对于不熟悉的电子邮件地址,切勿打开其中的链接或附件
- 切勿向任何人泄露你的个人信息或密码
- 删除来历不明的电子邮件
更多避免网络钓鱼诈骗的相关信息(opens in a new tab)
加密货币交易经纪人诈骗
假冒的加密货币交易经纪人自称为专业的加密货币经纪人,他们提议收取资金并代表你投资。诈骗者收到钱后可能会诱导你,要你拿出更多资金以免错过更多投资收益,他们也可能完全销声匿迹。
这些骗子经常利用 YouTube 上的虚假账户寻找目标,然后开始看似自然地展开有关“经纪人”的交谈。这些对话通常会有许多点赞数,以增加真实性,但都是来自机器人账户。
别相信网路上的陌生人、让他们代你投资。你的加密货币将付诸东流。
加密矿池诈骗
2022 年 9 月起,已再也无法在以太坊上挖矿。但是,矿池骗局仍然存在。矿池骗局中,有人会主动联系你,声称加入以太坊矿池就能获得丰厚的回报。诈骗者会提出要求,并一直与你保持联系,不善罢甘休。基本上,诈骗者会试图让你相信,当你加入以太坊矿池时,你的加密货币将用以建立以太币,而你将获得以太币形式的红利。接着你会发现你的加密货币获得了微薄的回报。这只是为了引诱你投入更多的资金。最终,所有资金会传输到不明的地址,诈骗者要么人间蒸发,要么在某些情况下继续保持联系,就像最近一个案例一样。
总之,务必警惕那些在社交媒体上联系你、要求你加入矿池的人。一旦失去加密货币,就永远回不来了。
牢记以下几件事:
- 警惕任何与你联系、谈及如何使用加密货币赚钱的人
- 针对质押、流动性池或其他加密货币投资方式做做功课
- 这种方式即使是合法的,也非常少见。否则早就成为主流、为人所知。
有人在矿池骗局中损失了 20 万美元(opens in a new tab)
空投诈骗
空投诈骗是指诈骗者设局将某个资产(非同质化代币、代币)空投到你的钱包里,然后发送一个诈骗性网站,让你领取这些空投的资产。当你尝试领取资产,会提示你使用自己的以太坊钱包登录,并“核准”一笔交易。但这笔交易会损害你的账户,将公开金钥和私密金钥都发送给诈骗者。另一种形式,可能是请你确认一笔能将资金转移到诈骗者账户的交易。
更多空投诈骗的相关信息(opens in a new tab)
网络安全基础知识
使用强式密码
80%以上被黑客攻击的账户,都由于密码不够强或密码被盗用(opens in a new tab)。由字元、数字和符号组合成的足够长度的密码,能为你的账户提供足够的安全性。
一个常见的错误是,使用几个常见、相关字词的组合作为密码。此类型的密码是不安全的,因为容易受到一种被称为字典攻击的黑客技术所破解。
弱密码范例:CuteFluffyKittens!
强式密码范例:ymv\*azu.EAC8eyp8umf
另一个常见的错误是,使用容易通过社交工程(opens in a new tab)猜中或发现的密码。在密码中使用母亲娘家姓、子女或宠物的名字或出生日期,都会增加密码被破解的风险。
良好密码实践:
- 只要密码生成器或填写的表单允许,密码越长越好
- 混用大小写字母、数字及符号
- 别在密码中加入个人细节,例如姓氏
- 避免使用常见的字词
更多建立强式密码的相关信息(opens in a new tab)
各账户使用不同的密码
在数据外泄事件中被揭露的强式密码,已不再是强式密码。Have I Been Pwned(opens in a new tab)这个网站可以让你查询你的账户是否涉入任何公开的数据外泄事件。若涉入数据外泄,请立即更改你的密码。为每个账户使用不同的密码,这样在其中一个密码遭泄露时,可降低黑客存取你所有账户的风险。
使用密码管理器
使用密码管理器能帮你建立独特的强式密码,并且记住密码!我们非常建议使用密码管理器,而且大多数免费!
记住每个账户独特的强式密码,并不是最理想的方式。密码管理器为你的所有密码提供一个安全的加密储存位置,只要通过一个强效的主密码就能取用。注册新的服务时,密码管理器也会自动建议强式密码,无需自己创建。许多密码管理器也会告知你是否涉入数据外泄事件,方便提前更换密码,以免遭受恶意攻击。
试试密码管理器:
使用双因素验证
有时候,你可能被要求通过特别的证据来验证你的身份。这些证据被称为因素。主要有三种因素:
- 你知道的资料(例如密码或安全性问题)
- 你的身份(例如指纹,或虹膜或脸部扫描器)
- 你拥有之物(安全金钥,或手机上的验证应用程序)
使用双因素验证 (2FA)时,可以为你的在线账户提供一层额外的安全因素。双因素验证保障了即使取得你的密码,仍不足以存取你的账户。最常见的是一种随机的 6 位数代码,称为基于时间的一次性密码 (TOTP),可通过 Google Authenticator 或 Authy 等验证工具应用程序来获取。这些因素取材自“你拥有之物”,因为产生定时码的种子,储存在你的装置上。
注意:使用基于短信的双因素验证容易受到 SIM 卡交换攻击(opens in a new tab),因此并不安全。为了获得最佳安全性,请使用 Google Authenticator(opens in a new tab)或 Authy(opens in a new tab)等服务。
安全金钥
安全金钥是双因素验证的进阶版,且更加安全。安全金钥是一种实体硬件验证装置,运作方式与验证工具应用程序相似。使用安全金钥是双因素验证最安全的方式。许多这些金钥都使用 FIDO 通用第二因素 (U2F) 标准。深入了解 FIDO U2F(opens in a new tab)。
观看视频,深入了解双因素验证:
解除安装浏览器扩展功能
浏览器扩展功能,如 Chrome 扩展功能或 Firefox 附加功能能增强浏览器功能,但也伴随着风险。大多数浏览器扩展功能,都默认请求“读取和更改网站数据”的存取权限,如此一来,其几乎能对你的数据为所欲为。Chrome 扩展功能总会自动更新,因此原本安全的扩展元件,之后可能会更新并加入恶意程式码。大多数浏览器扩展功能都不会试图窃取你的数据,但你应该知道它是办得到的。
使用以下方式维持安全性:
- 安装浏览器扩展功能时,只接受信任的来源
- 移除不使用的浏览器扩展功能
- 在本地安装 Chrome 扩展功能,以停止自动更新(进阶)
更多浏览器扩展功能风险的相关信息(opens in a new tab)
衍生阅读
网络安全
- 高达 3 百万台装置被含有恶意软件的 Chrome 与 Edge 附加元件所感染(opens in a new tab)-Dan Goodin
- 如何建立一个永远记得住的强式密码(opens in a new tab)-AVG
- 什么是安全金钥?(opens in a new tab)-Coinbase
加密货币安全
- 保护自己,保护资金(opens in a new tab)-MyCrypto
- 区块链通讯软件之共同资安问题(opens in a new tab)-Salus
- 全民必修安全指南(opens in a new tab)-MyCrypto
- 加密货币安全性:密码与验证(opens in a new tab)-Andreas M. Antonopoulos
防诈骗指引
- 指南:如何识别诈骗性代币
- 保障安全:常见骗局(opens in a new tab)-MyCrypto
- 防范诈骗(opens in a new tab)-Bitcoin.org
- 从 Twitter 对话一探常见的加密货币网络钓鱼电邮与讯息(opens in a new tab)-Taylor Monahan