盗币事件频出，关于加密资产保护我们需要知道什么？

如何识别假钱包地址？为什么冷钱包仍然存在被黑客攻击的风险？这些攻击是如何发生的？什么样的人会成为黑客的目标？如何避免此类问题发生？

最近Web3频繁发生盗币事件，特别是备受关注的“ 1155 枚 WBTC 被盗事件”，引起了公众的广泛关注。加密资产的保护问题也成为了大家关注的焦点。针对这一事件，PoPP 和 OneKey 共同举办了一场场 Space 旨在向社区分享关于链上安全的问题,干货满满，给缺乏防范意识的新人们做了一场科普。

嘉宾：

• PoPP CTO ：Neo

• OneKey Eco head：Cavin

主持：JY

本场 Space 主要围绕以下几个问题开展讨论：

1、如何识别假钱包地址？

2、Crypto 放在交易所和钱包，哪个更安全？

3、为什么冷钱包仍然存在被黑客攻击的风险？这些攻击是如何发生的？

4、什么样的人会成为黑客的目标？交易避坑/踩坑分享？

5、目前 PoPP 也聚集了很多用户，关于资产安全这块是怎么做的呢？

1. 如何识别假钱包地址？

关于如何识别假钱包地址的问题，Cavin 提到了两种方法。首先是在转账时仔细校对每一位数字和字母，避免被仿冒。其次，现在的主流的软件钱包它都有这个地址库的功能，包括 OKX、OneKey Classic，你可以把你常用的地址可以去放到这个地址库里，以便快速选择正确地址。提醒大家在转账前务必确保环境安全，避免从交易记录上面去复制地址。

Neo 在分享中进行了一些其他补充。Neo 分享了他们团队的一个开发人员，他从来不信任何的热钱包，他只用他自己节点钱包来进行所有转账，用 mini 行来控制，当然这种我们普通人是做不到的。普通人可以从以下 4 个方面进行防范：

• a、首先，确保安全环境，包括网络、VPN、手机和电脑环境。

• b、其次，选择安全设备，如苹果设备或硬件钱包。

• 毋庸置疑的一个点是可能苹果的设备它会相对安全点，然后就是一些硬件钱包。当我们必须要 Android 安装其他一些软件的时候，建议使用一至两个主流的钱包即可。如果需要频繁的导入助记词的时候避免使用粘贴板。提醒大家不要下载太多钱包，仅在 APP 内进行更新。

• c、再者，养成良好习惯，确认交易前进行小额测试转账。建议最好用扫码的形式向对方转账，转账前后彼此进行确认。

• d、最后，每次转账后查看区块链浏览器确认转账细节。

• 如果你发现数额不对，或者是目标地址不对，那这个时候是还可以马上进行补救措施。你还可以马上去发起一笔新的交易，以更高的 gas 费去把你之前那笔交易给冲掉。还有可能挽回，但是如果一旦你转出成功了，或者你点了钓鱼软件，就可能真的没办法了。

2. Crypto 放在交易所和钱包，哪个更安全？

主持人 JY：

感谢 Neo 和 Cavin 的分享。想问一个问题，交易所和钱包哪个更安全？

Cavin：

从安全等级的角度来看，硬件钱包的安全等级是最高的。虽然硬件钱包的使用门槛和操作难度比热钱包高一些，但它不像热钱包那样方便。

交易所和热钱包安全性稍差，但应用性很好。建议将一部分资金放在可靠的交易所，如币安或 OKX，短期内不会出现大问题，但也不能完全信任。

建议在靠谱的交易所放置部分资金，不要放太多。对不常见协议，可以使用新的热钱包隔离管理。

Neo：

在研技术层面，安全永远是相对的，没有绝对安全，只是一个成本问题。

钱包：

如果放在钱包里，在你不触网的情况下，它是相对安全的。但是，在你涉及到和其他 dApp 的交互、链接的交互比较频繁之后，在这个过程中你的安全指数就会持续的下降。

交易所：

Crypto 在交易所里面较比热钱包而言安全是相对的，交易所没有单点故障。你去交易、买卖、划转都不会造成资产丢失。并且交易所能提供的优势——赔付的能力。就即便是你在交易所里面的钱丢了，那交易所是可以进行赔付的。

主持人 JY：例如，我的钱包互动和授权次数多，当我完成 NFT 销售后，我可以取消之前的授权吗？

Cavin：是的。如果没有定期检查合约授权是否取消的习惯，风险会逐渐增加。

3. 为什么冷钱包仍然存在被黑客攻击的风险？这些攻击是如何发生的？

主持人 JY：

明白了。我之前有一个朋友在将资金从 OKX 交易到 OKX 钱包时丢失了 126 万 USDT，工作人员表示可以冻结两小时，但后来他提到他的钱之前是存在冷钱包里的。请问为什么冷钱包仍然存在被黑客攻击的风险？这些攻击是如何发生的？

Cavin：

我认为这与冷钱包无关，可能是在资金转移过程中发生了问题。硬件钱包通常通过在芯片内存储私钥或助记词来保障安全。但当使用硬件钱包时需要联网，私钥存储在浏览器缓存或数据文件中，因此容易受到黑客攻击。

硬件钱包必须与软件钱包一起使用，签名过程在硬件钱包完成，您的私钥自始至终都不会接触互联网。

实际上是把这个过程转移到了物理设备上，它实际上有一个安全芯片（Secure ），通过使用芯片里面的私钥完成签名，签完名之后它会把这个签名传入到软件钱包，软件钱包获得钱包之后会把交易发到链上。所以签名过程是在您不联网的情况下在硬件钱包上完成的。

若硬件钱包丢失，只需将助记词导入新硬件钱包即可。然而，存在社会工程学攻击风险，黑客可能获取钱包解锁码来窃取资产。

硬件钱包设计原则在交易签名过程中加入二次确认，增加安全性。供应链攻击和内部攻击也是存在的风险，因此建议购买开源硬件钱包。在保证硬件钱包未被篡改的前提下，即使硬件钱包丢失，资产仍安全。

主持人 JY：

硬件钱包虽需联网签名，但并非百分之百安全。如何尽量避免此类情况？是否有其他识别方法？

Cavin：

OneKey 产品已获得 EAL 6+认证，安全性较高。黑客难以从硬件钱包导出私钥，暴力破解难度极高。软件钱包易受网络攻击，硬件钱包可隔离此过程。

Neo：

安全是相对的，私钥体系存在问题。资产管理需谨慎，不要依赖单一设备存储所有资产。做好备份，不要轻信任何看似安全的设备。我们将提出解决方案，如何更好地管理资产。

4. 什么样的人会成为黑客的目标？是满足了什么条件吗？

主持人 JY：什么样的人会成为黑客的目标？是满足了什么条件吗？

Cavin:

从 1155 个 WBTC 的案例中，我们推测黑客在实施攻击之前进行了哈希碰撞和模拟地址，采取了广撒网的方式，大概撒了几万个地址。通过交易会议记录可以发现黑客的习惯动作。用户需要做好防护措施，包括资金分管、在不同场景中隔离钱包、定期检查地址授权情况、养成良好的转账交易习惯。

Neo:

黑客可能通过放置钓鱼链接等方式无差别盗取资产，包括授权方式、模拟转账方式、盗取私钥方式。

黑客也可能针对个人，当发现链上资金较多时会发动攻击，通过社交信息给你发一些链接。或者说找你购买 USDT、给你发送邮件、模拟同事等等很多形式进行盗取。 所以要注意不亲信任何人，点击陌生链接。

对于项目方，黑客可能会针对合约地址寻找漏洞进行攻击，项目方需要做好审计和用户资产校验。此外，黑客很可能攻击项目方的客服人员，通过加好友、发送消息等方式入侵电脑，获取内网信息进行资产盗取。针对企业和持有大额资产的用户，黑客更可能有组织、有预谋的入侵。 团队需要进行培训，建立有效的防范措施。

用户 A 提问

如何识别和防范网络钓鱼和链接这种攻击呢？

Neo：

第一个，无论手机还是 PC 端，当你不确定这个链接是不是有效的时候，你可以利用谷歌浏览器的隐私模式或者匿名模式打开这个链接。

第二，当你需要在电脑端安装软件，我会建议使用像 CMC 这样的集合。你可以在项目方推特或者聚合平台公开的网站使用隐私模式访问，其次，使用一个空钱包链接。肉眼去识别官方的地址，一般情况下，官方的域名不很复杂。

Cavin:

补充：你还可以安装一些安全插件。其次，不建议从谷歌搜索项目网站。

用户 B 提问

加密资产或者现货放在交易所是否安全？

Neo：

任何的都是相对的安全交易所，你要看你放到哪个交易所。某些交易所具备一定的赔付能力，即便是你小额资产丢失了，他也可以赔给你，比如币安。但是合约里面的资产它有可能确实会消失；现货有可能没问题。注意的是小交易所跑路是很正常的，而且小交易所有可能扛不住黑客的攻击也可能会被盗。建议放在主流的、具备赔付能力的交易所。

5. 目前 PoPP 也聚集了很多用户，关于资产安全这块是怎么做的呢？

主持人 JY：目前 PoPP 也聚集了很多用户，关于资产安全这块是怎么做的呢？

Neo:

我们将资产安全放在首要位置，以下是我们所采取的几个重点措施：

首先是整个账号体系的安全管理：

我们目前采用 MPC 方式管理账号体系，并且在 2.0 版本中，即Q2、Q3时，我们将再次进行更新。个人认为目前使用 EOA 账号作为资产管理方式存在一定问题，因此更安全的方式是充分利用 EUA 账号和智能合约账号，将私钥仅用于签名目的。此外，将资产和操作隔离开是比较合理的方式。硬件钱包、软件钱包都可以提高私钥安全程度。资金安全放在智能合约中是更安全的方式。在账号体系中，我们会使用 MPC 的方案，将私钥分成三部分以增加安全性。（例如你自己的私钥泄漏了，或者平台的私钥泄露了，都是无法去完成这个签名过程的。因为还有一部分是给到安全机构的。）

智能合约账户，分为社交账号和虚拟账号。社交账号使用 ERC-6551 协议储存社交资产，在交互过程中可以进行多签和校验。（当你在交易的时候，如果某一个私钥泄露了，你可以更换你的私钥，而不会导致你总的资产丢失。）另外就是热门的 ERC-4337 的虚拟账号。虽然目前使用场景不是很多，但虚拟账号是一个潜在的发展趋势，会让账号体系逐步智能化。目前我们主要使用 ERC-6551 来支持你的社交账号的智能合约化。

其次是交互流程的安全性：

我们注意到更多的资产丢失发生在交互层，因此在 PoPP 2.0 版本中我们将发布社交插件，可以通过该插件访问项目方信息。当进行交互时，我们的社交插件将识别需要授权费白名单的项目并进行预警提示。此外，通过内置的 DEID 和插件，我们在交互流程中提供隔离层，以保护用户的资产和社交身份安全。

最后是我们的 AI 信息源：PoPP 会与安全项目方和数据方合作，披露白名单和黑名单信息，帮助用户获取安全信息。通过这三个层面，我们致力于保障用户的资产和社交体验安全。感谢大家的聆听。