撸毛过程中的钱包安全性问题成重点,如何应对策略指南讲解
主流一级市场项目评级,遴选全球最新优质项目,每日更新进展
了解圈内打新项目,抢占先机添加Q群761113465,邀您进VX社区共享额度。
钱包安全性问题是一个老生常谈的话题,可谓是年年有人讲,年年都有人因此而损失资产,一方面是人们的粗心大意,另一方面是没有做好安全防护,当然随着这几年安全教育的不断加强,实际上不少币圈老手们基本已经懂得如何安全使用钱包。但是随着薅空投的崛起,以往的方法可能对于特定场景并不适合,因此有必要对撸羊毛场景下钱包的安全性进行重视。
撸毛普遍使用的钱包现状
目前使用最多的钱包就是metamask钱包插件,因为在电脑上操作多个浏览器进行撸毛是非常常见的,而手机钱包用的人相对较少,因为手机中安装钱包的数量有限,且操作时相对比较麻烦一些,因此大部分人还是比较习惯电脑操作钱包。
使用最少的是硬件钱包,硬件钱包一般是配合浏览器插件来使用的,但是因为成本比较高,因此一般撸毛的用户也不太会去考虑购买百十来个硬件钱包来使用,大部分购买硬件钱包的都是用于长期保管资产,少数人也只有几个钱包来做为常用钱包使用。
虽然硬件钱包的安全性最高,但是一方面因为成本因素,另一方面是不少撸毛的用户在群控远程操作的时候也比较难用到硬件钱包连接远程机器,因此在这个情况下硬件钱包的功能并没有发挥出来,因此这也是有必要注意钱包安全性的重要原因。
假网站、合约后门、恶意授权问题
前段时间网上闹得沸沸扬扬的撸羊毛教程遇到假网站,用户数十万资产被黑客盗取的事件,具体细节大家可以网上搜,这件事情给很多依赖教程的薅羊毛小白提了个醒,那就是一定要注意网站的字母拼写,核实交互网站的真实性是很有必要的。
因为假网站的制作成本相对比较低,只要使用软件镜像过去,然后买个相似的域名,就可以开张营业了,因此我们需要对常见的字母进行识别,当遇到这些字母组成的网站时,一定要睁大眼睛细心看,这里主要有以下几个:
1——l——i——I
0——o——O
g——9(特定字体情况下)
b——6
2——z——Z
另外也需要中间夹带英文句号“.”以及空格“ ”等这种标点符号
合约后门是一个比较高端的盗取用户代币方法,主要是作恶者故意在合约中留有一个比较高级别的权限,或者漏洞,然后用户通过与合约交互,特别是产生授权,或者恶意签名之后,都有可能导致用户的资产被盗,而这种方式下,用户可能很难察觉,因为技术问题往往大部分人都搞不懂,因此对此只能求助于一些对代码熟悉的人。
当然一般来说,对于初级的问题合约来说,也有相应的检测工具,比如下面是对于钓鱼网站和签名授权的安全检测类网站,这样可以检测一些初级的造假问题。
https://revoke.cash/zh/extension
有些合约授权之后,先开始你的币可能没有任何损失,而是等到一定时间之后,比如半年之后,你的币被盗了,这种情况下一般都是黑客放长线钓大鱼,对于这种情况,一般需要经常取消授权,然后过段时间换个钱包这种策略来解决,下面是几个查看和取消授权的网站,可以取消一些不必要的授权。
如何选择安全的钱包
对于群控或者远程操作的人来说,钱包安全性主要表现在自己的服务器安全性之上,比如当你批量购买服务器的时候,一般情况下,你的ip地址都是连号,而如果你的一个服务器登录密码泄露,那么可能会导致其他更多的服务器登录密码被泄露,这时候就会造成重大损失。
之前就有工作室远程主机被盗取密码,半夜钱包插件里资金被转走的案例,这个案例也在币圈中广为流传,简单来说,就是工作室自己的服务器密码被泄露,然后导致自己批量的服务器被半夜登录,最后数千万资产被盗的事情,影响也颇大,同时也有代表性。
这里我们需要注意的是:
1、针对远程操作服务器的,尽量不要都设置同一个密码
2、Metamask钱包插件不要选择记住密码,如果你招人来帮你操作,下班之后记得自己改一下新密码
3、服务器晚上不用的时候尽量关掉,除非你半夜还在跑脚本
4、设置好登录安全提醒(有的云服务商会提供这种服务),一旦异地ip登录,立即短信提示,或者添加安全ip,只允许某个ip来登录(前提是那个ip的电脑是安全的),如果还担心安全性,那么尽量先考虑不用的时候关机
5、向日葵别用,这一点不少人已有提醒,迫不得已要用时,也要使用最新版,因为老版的一般都会有漏洞,官方会偷偷修补漏洞,但是却不让大家知道。
6、群控软件选择大家都熟知的,收费没关系,如果不放心群控软件,那么可以自己用电脑自带的远程控制软件
远程群控的电脑一般硬件钱包基本没法用,除非你的老板财大气粗,使用专用设备和玩命砸钱保证安全,一般的工作室只要保证不用的时候关机,基本上就能防止80%的盗窃案件,剩下的20%可能除非自己团队里有内鬼(一般这种可能性极低)
另外对于小规模的个人撸羊毛用户来说,搞不了那么高大上的服务器ip来撸的时候,又担心指纹浏览器的安全性,刚好自己的钱包数量又比较小,那么这时候可以考虑使用walletconnect的方式授权浏览器dapp来使用。
Walletconnect其实是一个很好的工具,用户通过手机端扫二维码即可授权浏览器页面操作,过程中不需要传递私钥,同时私钥也不会保存在电脑上,这种方式比较适合招来的临时工干活的人,当他们需要授权时,你只要扫码即可,这种方式可以避免临时工接触到插件密码,因此有比较高的安全性,当然带来的就是操作相对麻烦些,你需要准备多个手机来进行钱包切换,以提高授权效率,当然手机的安全性我们也需要关注,核心就是:
1、手机不能root或越狱
2、尽量是新手机,不要安装来历不明的软件app
3、选择品牌手机,不要选择不知名或二手手机
4、离线导入私钥或助记词,然后再打开网络连接
总结
安全无小事,对于普通加密资产用户来说,遇到被盗的几率会低一些,而对于经常交互和频繁操作钱包的人来说,钱包和资产的安全性是非常重要的,因此即使可能操作上麻烦一点,或者花费的成本可能高一点,那都没关系,一定要保证资产和私钥都掌握在自己手里,而不是辛辛苦苦最后发现原来是给黑客打工,这样就得不偿失了。
关注我们
小狐狸社区是一个多元化的综合型社区,目标是为社区用户提供需要的信息,互利共赢。目前专注的几个赛道分别是优质一级项目投研、IDO打新、优质羊毛筛选以及操作指导、潜力二级项目长短线投资建议、不定期社区福利等。
QQ群:761113465
**微博:小狐狸社区
推特:FoxCommunity_io **
