我们今天还需要区块链吗
Crypto自我防护手册,学会这几招保住百万美元
原创 | Odaily星球日报
作者 | 南枳
昨日,X 用户@CryptoNakamao 发文表示,因 Chrome 恶意插件 Aggr 导致其浏览器 Cookies 被挟持,黑客通过此方式操纵其币安账户,通过对敲造成损失达 100 万美元。
针对该事件,币安发文回应,事件发生的原因是该用户的电脑本身被黑客攻破,安全客服用时 1 分 19 秒处理了该用户的冻结需求,平台排查对敲交易、确认嫌疑人账户,跨平台提出冻结需求需要时间,截至目前的排查结果,币安在本事件之前并未注意到 AGGR 插件的相关信息。因此对于此类事件无法进行赔偿。
该事件再一次为广大用户敲响了安全警钟,由于黑客的专业化程度不断提升,出现安全事件后往往是神仙难救。因此如何做好安全防范虽是老生常谈的话题,但值得以最高优先级对待,Odaily 将于本文汇总常见的攻击与防范手段。
一键冻结账户
首先针对该事件,如果发现遭到了黑客攻击,但账户内资金还没被完全转移时,如何最快速保护剩余资金?除了向其他账户转移资金外,还可以通过一键禁用账户来保护账户,禁用后需要联系客服方可解冻。
禁用账户需要通过币安 App 进行,首先进入设置界面,然后在界面底部将有“账户安全”板块,最后再进入板块底部的“管理账户”,点进禁用账户并确认。币安当前的官方指引为 2018 年版本,具体执行流程与记者当前实操大不相同,建议用户提前确认和熟悉具体位置。
Chrome 插件
Chrome 插件对于 Crypto 用户来说不可或缺,因此不使用插件并不现实,那么如何做好 Chrome 的安全使用?用户可以通过以下几个方面:
检查浏览器插件权限,不常用的浏览器插件可以选择禁用;
多开浏览器,对于不同安全等级需求的业务分配不同的浏览器;
所有的 Chrome 插件建议都通过官方 X 账户所提供的链接进行跳转,不建议使用 Google 搜索,更不建议使用 X 度搜索,通过以上渠道搜索容易遇到付费置顶的钓鱼链接,从而遭受损失。官方有义务保持 X 账户链接正确,甚至受到攻击事件时需要对用户做出赔偿。
已安装插件权限查看
关于 Chrome 扩展的原理和安全问题,慢雾已撰文进行了说明,慢雾首席安全官 23 pds 指出,最关键的在于 manifes.json 文件,该文件决定了插件了权限范围。
如何查看权限范围?用户可进入 chrome://extensions 界面,该界面包括了所有在浏览器上安装的插件,点进详情后能够看到插件的权限范围,对于权限为“在所有网站上读取和改变您的所有数据(Read and change all your data on all websites)”的插件需要慎之又慎。
浏览器多开
用户可通过对不同安全等级需求的业务分配不同的浏览器进行安全防护,例如在登陆交易所的浏览器上不安全任何插件,对于涉及链上资金的浏览器仅安全钱包等基础工具。
常见的 Chrome 浏览器多开有两种方式:
第一种方式是通过官方的账户切换方式进行多开,在 Chrome 的右上角的账户界面,用户可选择添加临时的访客账户或者 Google 账户,添加完毕后点击新增账户即可开启全新的浏览器界面,不同账户开启的浏览器独立运行,插件不能跨浏览器作恶。并且相较下一种方法,具备插件可云端同步的优势。
另一种常见的批量创建方法为基于电脑的快捷方式进行多开。
用户可在电脑端复制一个或者任意数量的 Chrome 快捷方式,然后在快捷方式上右键进入属性界面,在目标地址的末端输入
--user-data-dir=“目标文件夹地址”
即可创建全新的独立 Chrome 浏览器(注意最前面有一个空格),该方法相较前一种方法更加快捷,但需要注意数据都保存在本地,需要做好钱包秘钥等关键数据的备份。
剪切板权限