黑客如何窃取数字资产？

回顾钱包被盗案例，总结8条安全建议，助你实现网络资产安全3.0

黑客使用这些方法窃取数字资产，看看你是否被骗？

当前区块链技术和应用还处于快速发展的初级阶段，面临着从区块链生态应用的安全，到智能合约的安全，共识机制的安全和底层基础组件 安全性，安全问题分布广泛且危险性强，对生态系统的整体发展、安全审计、技术架构、隐私数据保护和基础设施提出了新的考验。

黑客如何窃取钱包资金呢？

“假装客服骗取私钥”

1.攻击者冒充客户潜伏在社区中

2.当有用户转账或提款寻求帮助时，攻击者及时联系用户协助处理。

3.通过耐心解答，发送变相的专业工单系统，让用户输入助记词解决问题。异常交易

4.攻击者获取私钥后窃取资产，并封杀用户

“扫描恶意二维码被盗”

1.攻击者将预先准备好的恶意二维码发送给用户；

3.用户输入小额或指定金额后，确认转账交易（实际操作为用户批准攻击者USDT的过程）；

4. 那么大量的USDT丢失在用户的钱包中（攻击者调用TransferFrom转移用户的USDT）。

“贪小便宜，免收空投被盗”

1.攻击者伪造各种交易平台、DeFi、NFT等区块链项目；

2. 攻击者通过媒体社区发起空投活动，明显能破羊毛；攻击者USDT的过程）；

5. 然后从受害者的账户中转移了大量的 USDT（攻击者调用 TransferFrom 转移用户的 USDT）

“在线云平台账号“被盗”

大部分人截屏、拍照，或者复制粘贴秘钥/助记词，然后同步保存到云端，比如通过邮件、QQ、微信、网盘、笔记等方式传输或存储，攻击者会通过攻击这些云平台账号窃取私钥/助记词。

目前，零时科技安全团队收到大量用户反馈，私钥/助记词存于网盘或笔记中，钱包资产因钱包被盗而被盗平台帐号。

“热钱包服务器被攻击”

很多区块链应用都使用热钱包，热钱包里有大量的数字资产。由于热钱包服务器是为了安全加固，或者运维不当，缺乏安全意识，导致热钱包服务器被黑，导致热钱包中的数字资产被盗，甚至将热钱包服务器用作攻击其他钱包的跳板。

“私钥被你身边的人偷走了”

日夜防贼难。钱包私钥/助记词不慎被身边的熟人偷走，最终导致资产损失。

“网络钓鱼窃取私钥”

攻击者克隆了一个知名区块链项目，并精心设计了一个与原始真实项目一模一样的假项目钓鱼网站。对于这个钓鱼网站，普通用户无法辨别真假，通过各种渠道发布信息以假乱真，让用户很容易引诱用户访问钓鱼网站，引导用户输入账号密码或密钥窃取用户钱包中的数字资产。

“电信欺诈”

近年来，电信诈骗事件突如其来，诈骗手段也越来越高明。诈骗，比如打着区块链幌子的中心化诈骗项目、屠宰猪项目、高收益投资项目等，引诱受害者投资，最终导致资金全部流失。

“恶意软件”

黑客以某些加密货币资源的名义将应用程序添加到 Google Play 商店，或使用网络钓鱼诱骗用户下载修改后的应用程序，该应用程序实际上是一个恶意软件。当应用程序下载启动后，攻击者可以控制受害者的手机或手机，进而让攻击者窃取账户凭证、私钥等信息，从而导致钱包被盗。

“通过公共 Wi-Fi 进行攻击”

在火车站、机场、酒店等人流量大的公共区域，Wi-Fi网络尤其不安全，受害者用户的设备可以与黑客连接到同一个Wi-Fi网络，甚至黑客会建立一些恶意的Wi-Fi热点供大家使用。此时，受害用户通过网络下载或发送的所有信息，在特定情况下，都可以被攻击者截获和查看，包括加密货币钱包私钥/助记词等。

第02部分

万一钥匙丢了怎么办？

1、是否还有备用助记词私钥，尽快重新导入助记词，将资产转移到其他钱包；

2、确认丢失钱包中是否有抵押或锁定资产，计算时间，等这部分资产一解锁就转移；

3、如果丢失的钱包资产已经转移，使用专业的资金监控小程序实时监控资金，第一时间了解资金状况，同时寻求帮助。

4、您可以联系专业的安全团队寻求帮助以找回密钥和丢失的资产。

针对被盗钱包的 Web3 安全指南摘要

活动

2022年元旦假期的一天早上，小C准备写代码，继续测试Web3js的链上合约交易。突然发现我的测试账户（Bsc链）在MetaMask里被清零了，前一天晚上账户里还有100usd，查看转账后发现：

钱没了，钱去哪儿了？

背景

科技出身的小C，目前正在学习区块链开发。我是一名专业的开发人员，我一直非常谨慎。我通常在测试网络上运行它。运行之后，我会在官网上部署，但没想到整个行业还处于比较混乱的阶段。得心应手的习惯会导致损失。

损失是怎么造成的？

2021年的最后一天，小C碰巧看到了一个有趣的账户（这个账户有很多活跃交易），所以他跟踪了他的一些链上交易，然后看到了一个非常有趣的项目（年化率很高） rate of return)，然后通过magic连接到自己的MetaMask，然后通过magic进行approval，因为这是一般Web3项目的流程，approved然后转账就结束了。

但是却出现了令人震惊的一幕：点击后，整个网站突然卡住了（其实就是卡住期间，小偷把钱转走了），没有任何反应。 ，小C当时没当回事，关掉网站去做别的事了。

大约过了一天，小C回来开发的时候，发现账户里的钱都花光了。他查看了历史记录，发现账户里的余额已经被转移了。

审核过程

小偷是怎么把小C账户里的钱全部转走的？

现象：只要你批准，理论上你可以在没有私钥的情况下转移所有相应的钱。

小C追查源头，可能是钓鱼网站的审批有问题，所以追查了转账记录。

如图，可以看到先批准了一个合约，授权钓鱼合约操作账户中的BUSD，没有数量限制。

为什么选择 BUSD？小C回忆，当他进入这个钓鱼网站时，默认选择了BUSD。估计小偷在浏览了网站的链接钱包后，已经把账户里钱最多的代币筛选出来了。

那么当小C认为这是一个年化收益高的新掉期合约，准备先试一试时，他会按照正常流程批准。审批结束后，网站直接卡住了。

回溯后，授权后约几十秒，合约直接触发转账操作，直接转账BUSD代币。

后来我查了授权信息

基本上MetaMask的默认授权是：

转换为一个数字，我们知道是 1.157920892373162 乘以 10 的 59 次方。基本上可以理解为无限制转账，也就是这个授权操作让合约可以无限制地操纵我账户的代币。看到这个我觉得有点冷，因为我之前已经多次下令批准，我不会看。

然后黑客操纵一个可以控制合约方式的钱包地址，启动合约转账方式，将钱转走。所以以后点击metamask进行授权的时候一定要小心。

小C查了一下，小偷可能在这个账户里已经有3w USD的代币了，而且还有源源不断的受害者转账。但是没有办法面对区块链，也不可能查出这个黑客是谁。

问题发生在哪里

问题出在哪里？

因为我最近在学习区块链。小C大致想到了钓鱼的逻辑方法。害人之心不可少，防备之心不可少。有兴趣的可以详细了解一下：

正常传输

案例一：用户间直接转账 A用户向B用户转账BUSD

合约通常会检查以下逻辑

1）判断用户A的账户余额是否足够； 2）是否是用户A发起的转账

流程如下

普通合约交换

这是我们平时使用pancakeswap、uniswap等进行兑换时的流程

案例2：通过swap用户A进行代币交换（BUSD to WBNB）流程合约判断：

1）用户A的账户余额是否有足够的BUSD，（假设掉期合约已经被授权操作账户A的BUSD代币）

2）掉期合约将A账户下的500BUSD放入掉期合约池中（假设汇率为1:500）

3）成功后，合约会将1BNB转入A账户。

注意2、3 点，合约控制代币运行。这意味着合约可以绕过我们并直接对我们发起交易。账户下token的操作。

钓鱼合约

先看这个溯源图

正常转账，转账方和执行合约的转账方应该是同一个人，也就是上图（1）和（2）应该是同一个人发起） .而我转账的交易，这两个不是同一个地址，推测是一个可以执行钓鱼合约的钱包地址控制了合约的执行，然后将我授权的BUSD转给了钓鱼合约。

去查看钓鱼合约，钓鱼合约是加密合约也就不足为奇了。但是想想也不难。稍微学过Solidity的人都知道，合约定义好的时候，多设置几个Admin或者Owner就可以了。

所以以后一定要注意项目方的背书黑客卖比特币钱包，不要给不认识的项目授权！！！

安全建议

因为在这件事上，小C搜索了一些有用的建议和方法，也看到了很多血淋淋的教训。

这里有一些方法，大家可以根据自己的需要选择。

1）不要共享密钥

我之前读过一篇文章，说一个助记符生成多个帐户。我不推荐这个，因为它很可能是一个锅。

2）密钥离线保存

因为现在剪贴板工具输入法很多，你的剪贴板记录会上传到云端，如果你直接复制，如果云端泄露黑客卖比特币钱包，你的key就会丢失。

我的建议是生成后尽快复制到notebook中。当然，复制到笔记本上，也可以参考我自己的字典加密密钥，比如把a换成1，把b换成2，把1换成a，这样可以保证即使有人看到你的纸钥匙，你也不能动你的数字资产。

3）开发和测试分离（空投和主账号隔离）

安装2个浏览器，一个可以是chrome，一个是brave。一个管理你的主钱包。另一个可以参与接收空投，各种链上操作等。

4）不要下载不明来源的软件

不要用百度下载不明来源的软件，我看到一个下载盗版metamask并破产的案例。一定要去官方地址下载，可以的话可以参考google play。 chrome网上商店等

5）立即检查您的授权

看图，基本无限制。

每次调用MetaMask一定要看授权，不要像我现在这样想下一步。

6）授权前确认合约安全

您可以使用慢雾的合约审计功能。

您还可以检查合约是否开源。如果是开源的，需要确认合约是否为可升级合约等。

7）空投和福利注意安全

使用小号获取，不要使用大号，授权时可以设置配额！ ！ ！

8）警惕社工的闯入，小心在Discord上私聊你的陌生人

例如，在 Discord 或 Telegram 上，有人认识你几天，并说他们想带你赚钱。空投，让你安装他发给你的软件并登录，这种99.99%你会失去一切。帐号被盗。

特别是在Discord中，当你进入NFT官方Discord时，会有人私聊你，告诉你获得了白名单，并附有造币厂链接。骗子会把头像和名字改成官方的。事实上，他和你是在一个团队中实现这一目标的。

其实，只要你不贪心，这种骗局还是很容易识破的。一般来说，你会被告知在几个小时内铸币，数量为 1-10。许多受欢迎的项目都有一个或两个薄荷糖的白名单。这个有10个时间限制。

还有骗子模仿项目官网做假网站，私信给项目服务器的人，让他们造币。

也有朋友在opensea NFT买假网站，后来发现不是官方的，过了几天，NFT从账户里消失了却被扣掉了……（怎么找到的？看看链和官方discord发Opensea官网）

还有一个伪造的 collab.land 骗取了钱包密码，将其空投给 Da V，并声称 Da V 购买了该 NFT/token。

新的一年快到了，大家一定要注意安全，希望看到这篇文章的朋友可以平安无事！

为了防止硬币被盗，数字货币钱包，你需要知道的都在这里

首先大家都知道，比特币最早的市场定位是支付，钱包是用来存放比特币的，类似于支付宝不同。我们将财产的安全委托给支付宝，但比特币的安全完全是我们自己的责任。

比特币钱包对大多数人来说既熟悉又陌生。他们熟悉，因为他们听过很多，但他们知道的不多，因为钱包里的公钥、私钥、地址等很多概念很难理解。理解。我们来看看数字货币钱包的种类：

全节点客户端

全节点客户端也叫（重钱包），是由比特币核心开发团队（Bitcoin Core）设计开发的比特币全节点客户端，是一个拥有完整区块链账本的节点。全节点需要占用内存来同步所有区块链数据，并且可以独立验证区块链上的所有交易并实时更新数据。区块链分布式账本中节点的主要作用是负责区块链交易的广播和验证。

但由于比特币网络数据量大，首次下载和同步需要较长时间，对网络带宽和硬盘有一定要求。根据比特币官方数据，它占用了20G以上的硬盘空间。

因此，比特币全节点客户端不适合普通用户使用，一般被一些专业矿工、组织或机构使用。

根据bitnodes数据，全球有10556个比特币全节点客户端，主要分布在北美和欧洲。

轻钱包

轻钱包不存储所有比特币交易数据，主要用于支付和收款，只需连接全节点即可检索交易信息。因此，轻钱包也被称为（SPV）

简单支付验证，是比特币早期快速支付方式之一。

在线钱包

一般情况下，我们将钱包和私钥交给第三方管理。我们常用的交易所和各种钱包应用都是一种在线钱包。比如比特币钱包Biether钱包、多链钱包imtoken等，它们也是轻钱包的一种。但是imtoken也是一个多重签名钱包，私钥在用户手中。

硬件钱包（冷钱包）

硬件钱包一般是存储加密数字货币的硬件设备，可以是电脑、硬盘、手机、U盘等。

但它们也有一定的风险。目前安全系数最高的专业硬件钱包设备，也是币圈最安全的加密货币存储方式。

专业的硬件钱包设备之所以安全可靠，主要是因为这些设备配备了专业的芯片。比如部分硬件钱包使用军用级芯片CC EAL6+。

区块链钱包的核心是私钥，私钥本质上是一串随机数。随机数的安全性直接影响到私钥的安全性。

安全性较好的芯片是真随机数发生器产生的随机数。真随机数生成器通常从热噪声中生成随机数。随机性强，安全性高，很难预测，这从源头上保证了私钥的机密性，即钱包的安全性。

专业的硬件钱包适合大多数普通用户。非专业硬件钱包需要掌握一定的技术，才能更安全地存储用户的加密货币。

纸钱包

纸质钱包是复制或打印私钥进行存储，也可以是生成的二维码。

这种方法又叫“冷库”，技术含量低，安全系数高。这也是早期离线存储加密货币的方式之一。

钱包只是一个软件，钱包的选择并不重要，重要的是钱包里的加密货币需要安全。

网络不安全，只有离线保存私钥才是最安全的存储方式。

但货币硬件钱包设备并不适合大多数用户，因为普通用户不仅有比特币资产，还有以太坊网络的各种资产。

他们需要的是一个可以安全存储多种加密货币的钱包。这时候就需要一个多链性能的钱包来支持用户存储不同加密资产和日常使用的需求。