在Web3世界畅游的10条安全建议_WEB:Agrolot

原文:《十点建议,助你在 Web3 安全摸索》

如果你初来乍到 Web3 的世界,你要学习的第一件事是:保持怀疑,保持敬畏,保持求知欲;路途自由美好,但路边也险象环生。

目前来看,Web 3 还只是一个方向,一场需要不断试错的试验,一个很长时间才能完成的构想;加密世界尚在摸索阶段,自由和去中心化代表着所有权在你手中,你的所有操作选择决定了你的资产归属。资产安全,一直都是 Web3 世界最难以去杜绝的问题;也有人戏称:Web2 - Web3 转型最成功的就是黑客。

自由的另一面是安全问题,有光亮的地方就会有黑暗和影子,但如果路上有灯照亮黑暗,那路途会更平坦。希望下面几点,可以帮到各位,让各位最大程度上避免安全问题的侵犯。

钱包中的助记词和私钥就像是打开你钱包的钥匙,一旦泄漏整个钱包都会完全被别人掌控(基本上虚假链接等也都是为了获取你的私钥);而联网状态下,一直都很难做到 100% 安全和信息不泄漏。

北京朝阳与香港在Web3.0领域合作深化,共建Web3 hub(北京)数字中心:9月6日消息,在2023服贸会朝阳两区建设新闻发布会上,中关村朝阳园表示在互联网3.0等数字经济细分产业领域已领跑北京,朝阳区推动北京数字经济算力中心建设,北京国际大数据交易所数据资产登记中心率先在全市揭牌。

朝阳区与香港在Web3.0领域也已开始布局,已启动香港Web3.0协会与朝阳区的京港互联网3.0数字产业共建合作。朝阳区将在香港Web3.0协会的牵头下、与香港数码港、香港科技大学、高诺国际等协会、高校、企业等,围绕互联网3.0产业发展开展合作共建,主要合作内容有:共同推动建设Web3 hub(北京)数字中心,联合开展互联网3.0前沿课题攻关等,双方还将共同举办京港互联网3.0峰会。[2023/9/6 13:20:58]

因此,尽可能不要把你的私钥、助记词或其他敏感信息保存在联网的移动设备中,尽可能用手抄写、备份在不联网的手机(不常用的设备)等方式来隔开可能存在的风险。甚至有可能的话,不要把你的电脑和移动设备连入公用 Wifi。

WeMade在Wemix 3.0主网上推出新质押服务WONDER Stake:6月26日消息,韩国游戏公司WeMade在其Wemix 3.0主网上推出新质押服务WONDER Stake,参与者可获得PMP(永久铸币奖励)。WONDER Stake是Grand Stake和NCP Stake合并而诞生的新项目,此前Grand Stake质押服务现已正式结束,质押者需要尽快提取Grand Stake质押资产和奖励。用户可以选择WONDER并质押WEMIX参与WONDER Stake。[2023/6/26 22:00:43]

强如 FTX 都会出现如此事件,相信大家都会明白资产分散配置的重要性。在此之前,大家都觉得放在交易所最为安全;这也是 FTX 事件后冷钱包销量激增的原因。

从钱包来说,热钱包和冷钱包各有优势。Metamask 作为人气最高的热钱包安全性饱受诟病,但是胜在方便,操作性强;冷钱包对于大额资产是一个不错的选择,但是便利性不高,适合长期持有的资产。

Wemade宣布在WEMIX3.0主网上推出新的DeFi服务:金色财经报道,韩国游戏公司Wemade宣布将于2023 年 6 月 9 日在 WEMIX3.0 主网上推出新的 DeFi 服务 Kurrency 和 Konverter 。Kurrency 允许其参与者存入代币作为抵押品来铸造WEMIX加密货币美元 (WCD) 以进行质押和交换。[2023/6/2 11:54:09]

没有绝对的安全,但可以尽量规避掉风险。如果资金量比较大,那么根据自己的需求按照比例分散放置是非常重要的。

经常会有各种各样的「福利链接」「空投链接」,以及每个热门项目也都会有很多和官方链接相似的钓鱼链接,如果没有细心分辨,点进去后很容易就把钱包授权或是泄漏一些信息。

美众议院金融服务委员会主席:MiCA法规通过后,欧洲在Web3中领先:金色财经报道,美国众议院金融服务委员会主席Patrick McHenry表示,欧盟新的加密法规MiCA使该地区在Web3技术方面处于领先地位。McHenry认为,欧洲正在通过Web3向人们展示他们领先于美国,这应该会让美国人脊背发凉,因为经济增长来自技术的独创性。他说:这表明美国是多么落后,在技术部署方面,我们应该成为世界领先者,而不是仅次于欧洲。

此前报道,欧洲议会投票通过了加密资产市场监管法规MiCA。[2023/4/26 14:27:03]

况且,Web3 的很多黑客都会用一些很朴素的手段——直接黑掉官方或是 Mod 的社交媒体账号,然后登上去发一些钓鱼链接(此举和跨链桥、预言机并称黑客三大提款机);如果没有其他官方人员及时发现,就会导致很多用户资产或者信息被窃取。如果你能够做到不乱点击链接,那么你已经规避掉 80% 的风险了。

除此之外,你需要再三确认你想要购买的 NFT 是否为官方发布的 NFT,不然很容易不慎买成假冒的。

在WEX交易所创始人被捕后 3000万美元的ETH正在流出:金色财经报道,在俄罗斯加密货币交易所Wex创始人Dmitry Vasiliev在波兰华沙被捕后,价值3000万美元的ETH开始从与WEX相关的钱包中流出。然而,资金的实际处理似乎对控制者来说可能存在问题。在截至目前价值2970万美元的9,916枚ETH交易中,发起交易者的订购最高成本为0.00042 ETH,gas价格为20 Gwei。[2021/9/22 0:07:57]

Metamask 在 7 月份的时候做了一个很实用的更新,即会为 NFT 合约授权函数,作出 UI 更新,更清晰的让大家知道签名的操作意图,降低被的风险——在此之前,用户无法较为直观的去判断签名和授权的内容。钱包尽可能只对判断过、觉得安全的项目签名交互;一旦发现交互过的项目有被盗行为,需尽快去 revoke.cash 等取消授权。

总之,在这项更新后,因为签名问题的盗窃事件少了很多,但我们在每次签名时依然要格外注意。

这部分的问题多数出在「剪切板」。私钥和地址这种无规则的字母数字组合恐怕没有人会选择一个一个打出来而有些应用或插件则会读取并记录用户复制的内容,这样就很容易导致私钥泄露。

因此我们在使用一些相关的应用前,一定要了解清楚其背书,以及是否为「官方应用」,打开的是不是「官方网站」——就如同,你真的能记得 Azuki 的官网是 Azuki.com 还是 Azuki.io 吗?

私信你一些所谓的「Airdrop」、抽奖链接,或是冒充官方人员给你发一些福利(他们会改成和官方人员一模一样的 ID 和头像,给你发送虚假链接,或诱导你 withdraw),这种术多发生在 Discord 或 Telegram——基本上不会有官方人员去私信你,世界上也没有白掉的馅饼(项目方 Discord 名言:We will never DM you)。

这种手段成本极低,所以很频繁;我们杜绝这种有隐患最简单的方式就是直接关闭 DM,这也能过滤很多垃圾信息。

钱包一旦有任何一点资产泄露,就应该第一时间舍弃,不应该有任何的侥幸心理。钱包资产泄露的背后原因基本都是某一个时刻泄漏了私钥或助记词,甚至有可能是几个月前,但几个月后才被黑客想起来提走资产。

所以一旦发现风吹草动,不要有任何侥幸心理,最快速度准备一个新的钱包,将资产全部转移走才是当务之急。

Web3 是有门槛的,且难就难在目前还没有一个系统的学习路径。网上是有很多课程,但是课程的质量、主讲的水平鱼龙混杂,很可能就掺假的知识混合着真的学进去了。如果在真实有效的信息中间,夹杂一些虚假的链接或带单行为,很容易使得大批小白用户受。

如何去分辨信息的真实性、有效性,如何去加强自己的信息检索能力,是所有用户来 Web3 都要学习的一课。

整个 Web3 所涉及的细分领域非常多,DID、Gamefi、PFP、DAO 等等,我们很难去将每个领域研究透彻。Web3 热点转移的速度非常快,但是对于不熟悉的领域,我们在追逐热点的时候要做好资金配比,切记不要 All In;同理,对于熟悉的领域我们可以进行更多的资金分配。

只有对一个领域足够熟悉,以及经过多次小规模的实践和试错后,才更有可能看出出一个项目质量的优劣,作出更好的判断。

《从 0 到 1:精通 NFT》可以放在开头,帮助大家对 Web3 圈子有一个初步的概念,提起大家对 NFT 的兴致;也可以放在各位已经踏入 NFT 圈子时,帮助他们进阶一步,完善对整个 NFT 行业,乃至 Web3 生态的认识。

就像我所说,整个圈子还没有一个完整的学习路径;但这个 18w 字的小册子(还在更新中),一定能够帮助各位产生自己的理解。行业中诸多热心人士都在以自己的办法,帮助圈外人打开 Web3 世界的大门,帮助圈内的人爬上高处——如果有一天爬高过程中劳累了, Labs 的社群也可以作为一处绿荫,供诸位 Web3 的朋友憩息。

NFTLabs

媒体专栏

阅读更多

金色早8点

金色财经

去中心化金融社区

CertiK中文社区

虎嗅科技

区块律动BlockBeats

念青

深潮TechFlow

Odaily星球日报

腾讯研究院

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金智博客

[0:62ms0-8:713ms