比特币持有人要当心:从网络钓鱼到伪造品,这是罪犯窃取加密货币的前五种方法
HodlX访客留言 提交您的帖子
尽管2020年比特币和其他加密货币价格大幅增长,但黑客入侵导致的加密货币被盗数量实际上少于2019年。 密码跟踪报告,估计被盗资金总额达4.68亿美元.
2020年的大多数攻击都是在DeFi项目上进行的,这说明了这一快速增长的细分市场还不成熟。然而,从集中式服务中窃取的加密货币数量仍然高得多。例如,由于Kucoin黑客,加密货币被盗相当于2.75亿美元。 DeFi黑客大约占2020年加密货币黑客和盗窃量的21%.
尽管如此,黑客不仅攻击加密货币平台,还攻击用户。每天,互联网上都会发布有关黑客如何通过访问其钱包或交换帐户来窃取用户的加密货币的故事。有些用户不知道黑客入侵其帐户或钱包的风险有多高.
本文介绍了用户可以丢失加密货币的五种最受欢迎的方法.
假冒网络钓鱼网站
网络钓鱼是一种社交工程攻击,通常用于窃取用户数据,包括助记词,私钥和加密货币平台的登录凭据。通常,网络钓鱼攻击利用欺诈性电子邮件诱使用户将敏感信息输入欺诈性网站。然后,诱骗收件人单击恶意链接,这可能导致网络钓鱼网站或安装恶意软件。.
成功进行网络钓鱼攻击的最简单示例是 MyEtherWallet案 从2017年开始。网络罪犯向MyEtherWallet用户的潜在客户群发送了一封电子邮件,并宣布他们需要同步其钱包以符合以太坊硬分叉。单击链接后,该用户被带到一个仿冒网站,该网站看起来合法,但URL中包含一个几乎看不到的附加字符。不专心的用户输入了他们的秘密短语,私钥和钱包密码,从而将其数据提供给攻击者并丢失了其加密货币.
最新的例子是成功的攻击莱杰 钱包用户。该骗局使用了网络钓鱼电子邮件,将用户定向到Ledger网站的伪造版本,该伪造版本使用MyEtherWallet替换了URL中的同形文字,就像以前的情况一样。在伪造的网站上,毫无戒心的用户被骗去下载冒充安全更新的恶意软件,然后从他们的Ledger钱包中耗尽余额。从此示例得出的结论是,即使是硬件钱包用户也无法免受网络钓鱼攻击.
对加密货币交换用户也进行了类似的攻击。也就是说,用户会收到一封信,该信带有指向该网站的链接,该链接与原始网站相同,但URL稍有修改。因此,攻击者会窃取用户名和密码,并且在某些情况下,他们可以从交换钱包中窃取加密货币。尽管如此,由于交易所提供了额外的保护工具,即使在成功的攻击案例中,用户也有机会为自己辩护.
API密钥盗窃
一些交易者使用称为“交易机器人”的交易自动化工具。使用此类软件,用户必须创建API密钥并允许某些权限,以便漫游器可以与其资金进行交互.
通常,当用户创建API密钥时,交换会要求以下权限.
- 查看–允许查看与用户帐户有关的任何数据,例如交易历史记录,订单历史记录,提款历史记录,余额,某些用户数据等。.
- 交易–允许下订单和取消订单.
- 提款–允许提款.
- IP白名单–仅允许执行来自指定IP地址的任何操作.
对于交易机器人API密钥,交易所必须具有查看,交易权限,有时还必须具有提款权限.
黑客可以通过多种方式来窃取用户的API密钥。例如,网络犯罪分子经常创建免费的恶意“高利润”交易机器人,以诱使用户输入其API密钥。如果API密钥有权撤回而不受IP限制,则黑客可能会立即从用户的余额中撤出所有加密货币.
根据币安官方 评论,黑客收集了API密钥,2FA和其他数据后,可能发生7,000个比特币黑客事件.
即使没有提款许可,黑客也可能通过激增策略(某种低流动性的加密货币交易对)来窃取用户的加密货币。这种攻击最常见的例子是 Viacoin泵 和Syscoin泵。黑客在使用用户资金的泵期间,积累了这些加密货币并以明显高估的价格出售了它们。.
下载的文件漏洞
Microsoft Word,Microsoft Excel和Adobe产品有很多零日和一日漏洞,可确保防病毒产品不会检测到恶意软件,并向恶意行为者授予对受害者工作站和内部基础结构的完全访问权限.
零时差是软件,硬件或固件中的缺陷,负责修补或以其他方式修复缺陷的一方或多方不知道。术语“零日”可以指漏洞本身,也可以指从发现漏洞到第一次攻击之间有零天的攻击。零日漏洞公开后,就称为“ n日”或“一日”漏洞。在软件中检测到漏洞之后,便会使用检测到的漏洞感染单个计算机或计算机网络,从而开始开发恶意代码的过程。利用软件中的零日漏洞的最著名的恶意软件是WannaCry勒索软件蠕虫,一种勒索比特币进行解密的病毒.
但是,还有许多其他恶意软件程序可能会访问用户的加密货币钱包,以及使用零时差漏洞的加密货币交换应用程序。近年来,这种攻击最广为人知的案例是WhatsApp漏洞利用;结果,攻击者能够从用户的加密钱包中收集数据.
恶意平台
由于市场的活跃增长,DeFi诈骗者不断推出新项目,这些项目几乎与现有项目完全相同。用户对这些项目进行投资后,诈骗者只需将用户的资金转移到自己的钱包中即可。迄今为止,此类最大的出口骗局是 YFDEX案 该项目启动两天后,入侵者窃取了2000万美元的用户资金。这种骗局很常见,因为在大多数情况下,项目团队成员都是匿名的,并且由于平台不是注册实体,因此没有法律义务。以前,此类欺诈行为主要与ICO项目有关.
但是,在集中式平台上也发生了类似的情况。例如,在QuadrigaCX案中,当中央交易所的创始人去世时,该平台无法访问其钱包并无法处理超过1.71亿美元的客户资金的提款请求。结果,只有3,000万美元的损失资金可以偿还.
这种情况一直在发生,因此您在转账之前需要仔细考虑平台.
假申请
自从存在加密货币以来,已经创建了许多特定平台或钱包的虚假应用程序-用户完成向此类应用程序的存款,并发现资金已消失。入侵者可能会使用恶意代码创建现有应用程序的副本,或者为没有应用程序的平台创建新应用程序的副本-例如,Poloniex案例 2017年.
由于大多数加密钱包都是开源的,因此任何人都可以创建自己的钱包副本并在其中注入恶意代码。有关此类钱包的主题通常会出现在加密货币论坛上,例如,冒充用户的假冒应用程序 信托钱包.
如何保护自己不受入侵者的侵害
如上所述,犯罪分子有各种窃取用户资金和数据的方式。我们建议您遵守以下规定,以最好地保护自己免受入侵者的侵害.
- 始终检查您从中接收电子邮件的域.
- 设置反网络钓鱼代码(如果您使用的平台提供了此类功能).
- 仅存入信誉良好的交易所。您可以使用以下服务查看交易所的评级- 硬币壁虎, CER直播,币市值, 加密比较,等等.
- 设置登录IP白名单(如果您使用的平台提供了此类功能).
- 在决定将其安装到手机上之前,请始终对其进行研究,即使该钱包在您的应用商店列表中排名很高.
- 设置API密钥的IP限制.
- 不要投资于尚未启动的,尚未获得有关团队,投资者等任何信息的项目。在DeFi大肆宣传期间,骗子发起了数十个骗局项目,目的是从投资者那里窃取加密货币.
- 确保您从受信任的来源下载文档和其他文件.
- 始终对操作系统执行定期的安全更新.
- 仅从官方网站下载应用程序和相应的更新.
结论
随着加密货币市场的增长,新方案继续出现,希望窃取用户资金和数据。用户应谨慎对待收到的电子邮件和其他通知.
在本文中,我们描述了用户如何保护自己免受入侵者的10点。如果您采取这些措施,黑客将很难窃取您的数据或资金.
本文最初出现在 哈肯.
Zlata Parasochka是一位技术作家和加密货币信徒。她还在Hacker Noon网站上拥有自己的博客。她的最新文章可以找到 这里.
特色图片:Shutterstock / Alex Volot