安全特刊01｜OKX Web3&慢雾：身经“百诈”的经验分享

引言 ｜ OKX Web3特别策划了《安全特刊》栏目，针对不同类型的链上安全问题进行专期解答。通过最发生在用户身边最真实案例，与安全领域专家人士或者机构共同联合，由不同视角进行双重分享与解答，从而由浅入深梳理并归纳安全交易规则，旨在加强用户安全教育的同时，帮助用户从自身开始学会保护私钥以及钱包资产安全。

某一天，突然有人送你1个价值100万美元的钱包地址私钥，你会想要把钱立刻转走吗？

如果想，那么这篇文章就是为你量身定制的。

本文是OKX Web3《安全特刊》第01期，特邀加密行业身经“百诈”的知名安全机构——慢雾安全团队与OKX Web3安全团队，从用户遭遇的最真实的案例出发，进行分享，干货满满！

慢雾安全团队：非常感谢OKX Web3的邀请。慢雾(SlowMist)作为一家行业领先的区块链安全公司，主要通过安全审计及反洗钱追踪溯源等服务广大客户，并构建了扎实的威胁情报合作网络。2023 年度 SlowMist 协助客户、合作伙伴及公开被黑事件冻结资金共计超过 1250 万美元。希望秉着对行业对安全的敬畏心，继续输出有价值的东西。

OKX Web3安全团队：大家好，非常开心可以进行本次分享。OKX Web3安全团队主要负责OKX Web3钱包的安全能力建设，提供产品安全、用户安全、交易安全等多重防护服务，7X24小时守护用户钱包安全的同时，为维护整个区块链安全生态贡献力量。 Q1：能否分享一些真实的被盗案例？

慢雾安全团队：第一，大部分案例是因为用户把私钥或者助记词存到了网上。比如，用户经常使用到的Google文档、腾讯文档、百度云盘、微信收藏、备忘录等云存储服务进行私钥或者助记词存储，一旦这些平台账号被黑客收集并“撞库”成功，私钥很容易被盗。

第二，用户下载虚假APP后，引发了私钥泄露。比如，多重签名骗局是最为典型的案例之一，欺诈者诱导用户下载假冒钱包并盗取钱包助记词，随后立即修改该用户钱包的账户权限：将钱包账户权限由用户本人，变成用户本人和欺诈者共同持有，从而抢占该钱包账户的控制权。这类欺诈者往往会保持耐心，等待用户账户积累了一定加密资产后，一次性转走。

OKX Web3安全团队：慢雾已经概述了私钥被盗的2类主要情况，而第2种，欺诈者利用虚假APP盗取用户私钥的本质是木马程序，这类木马程序通过获取访问用户输入法、照片等权限，从而盗取用户私钥。相对于IOS用户而言，安卓用户遭遇到的木马病毒攻击更多。这里简单分享两个案例：

案例一，用户反馈钱包资产被盗，经过我们团队与用户沟通排查发现：是由于他此前通过谷歌搜索，下载并安装了被伪装的某数据平台软件，此软件是木马程序。但由于用户在搜索该平台软件时，其链接出现在谷歌搜索的TOP5，导致用户误以为是官方软件。事实上，很多用户对谷歌提供的链接并不进行辨别，所以很容易通过这种方式遭遇到木马攻击，我们建议用户通过防火墙、杀毒软件、以及Hosts配置等多方面进行日常安全防护。

案例二，用户反馈在投资某个DeFi项目时，发生了钱包资产被盗的情况。但通过我们的分析排查发现：该DeFi项目本身并不存在问题，用户B钱包资产被盗是由于其在Twitter上对该项目评论时，被冒充该DeFi项目的官方客服盯上，经该假冒客服的引导，点击并进入该虚假链接输入了助记词，从而导致钱包资产被盗。

由此可见，诈骗者的手段并不高明，但是需要用户提高辨别意识，任何情况都不能轻易泄漏自己的私钥。此外，我们钱包已针对该恶意域名进行了安全风险提示。

Q2：是否存在最佳的私钥保管方法？目前有哪些替代方案可以减少对私钥的依赖？

慢雾安全团队：私钥或者助记词其实是一个单点故障问题，一旦被盗或者丢失就很难挽回。目前，比如安全多方计算MPC、社交认证技术、Seedless/Keyless、预执行和零知识证明技术等等新的技术，正在帮助用户减少对私钥的依赖。

以 MPC 为例，第一，MPC技术是指，所有参与方为了完成一项任务而执行复杂的联合计算，而他们的数据保持私有和安全，不与其他参与方共享。第二， MPC 钱包通俗来讲是，利用MPC技术，将一个私钥安全打碎成多片，由多方共同管理；或者干脆就是多方共同生成一个虚拟的密钥，可能后者的情形更为普遍，因为这时候没有人曾经见过完整的私钥。总之，MPC 的核心思路为分散控制权以达到分散风险或提高备灾的目的，有效避免了单点故障等安全问题。