数字货币反黑客方法：预防黑客多种措施保护好个人资产

加密货币已经席卷全球，而且看起来将会长久存在。加密货币的流行主要是因为数字货币不受任何金融机构的控制，即没有交易中间人。然而，尽管去中心化金融(DeFi)有很多好处，但它也必可避免地更容易受到恶意黑客的攻击。个人用户和数字货币交易所都可能遭受诈骗和各种网络攻击。有两种方法可以解决这个问题：黑客预防和黑客缓解。在本文中，我将对它们进行一些简要的介绍，并就如何保护您的加密货币提供一些建议。

今天非常好学习小编给大家分享一篇关于加密货币反黑客的方法，帮助大家保护号个人资产。

免责声明

本指南无法保证任何内容，并不是从「加密或网络安全专家」的角度编写的，而是基于多个来源和个人经验的不断学习成果。

例如，我自己在刚进入这个领域时就曾因害怕错过（FOMO）和贪婪而受骗（假直播诈骗和假MEV机器人诈骗），因此我花时间认真学习、设置和理解安全性。

不要成为那个因为失去一切或大量资产而被迫学习安全的人。

黑客攻击还是用户错误？

所有类型的钱包、代币或NFT的「黑客攻击」或妥协大致可分为两类：

• 滥用先前授予的代币批准。
• 私钥或助记词泄露（通常发生在热钱包上）。

代币批准

代币批准实际上是允许智能合约访问并移动您钱包中特定类型或数量的代币的权限。

例如：

• 给予OpenSea权限以移动您的NFT，以便您可以出售它。
• 给予Uniswap权限以使用您的代币进行交换。

作为背景信息，基本上以太坊网络上的一切，除了ETH，都是ERC-20代币。

ERC-20代币的一个特性是能够授予其他智能合约批准权限。

如果您想进行核心DeFi交互（如交换或桥接代币），这些批准在某个时候是必需的。

NFT分别是ERC-721和ERC-1155代币；它们的批准机制与ERC-20类似，但适用于NFT市场。

MetaMask(MM)的初始代币批准提示提供了几条信息，其中最相关的是：

• 您正在授予批准的代币
• 您正在与之互动的网站
• 您正在与之互动的智能合约
• 编辑代币权限数量的能力

在完整详情下拉菜单中，我们看到一个额外的信息：批准功能。

所有ERC-20代币必须具有ERC-20标准所概述的某些特性和属性。

其中之一是智能合约可以根据批准的数量移动代币的能力。

这些批准的危险在于，如果您将代币权限授予恶意智能合约，您的资产可能会被盗或耗尽。

无限制与自定义限制批准（ERC-20代币）

许多DeFi应用默认会提示您对ERC-20代币进行无限制批准。

这样做是为了改善用户体验，因为它更方便，不需要未来可能的额外批准，从而节省时间和gas费用。

为什么这很重要？

允许对无限数量的代币进行批准可能会让您的资金面临风险。

手动将代币批准设置为特定数量，可以限制该dApp在未签署新的更大额度批准之前，能够移动的代币最大数量。

这样可以降低您在智能合约被利用时的风险。如果您对某个dApp授予了无限制的批准，而该dApp出现漏洞，您可能会失去所有已批准的代币，这些代币来自持有这些资产并授予该批准的钱包。

例如，MultichainWETH（WETH是ETH的ERC-20代币包装）就曾遭遇过这样的漏洞。

这个常用的桥接因滥用以前的无限制代币权限而被攻击，导致用户资金被盗。

下面是一个示例（使用Zerion钱包），展示如何将默认的无限制批准更改为手动批准。

NFT批准

「setApprovalForAll」用于NFT

这是一个常用但潜在危险的批准，通常在您想出售NFT时授予值得信赖的NFT市场。

这使得市场的智能合约能够转移您的NFT。因此，当您将NFT出售给买家时，市场的智能合约可以自动将NFT移动到买家那里。

此批准授予对特定集合或合约地址的所有NFT代币的访问权限。

这也可能被恶意网站或合约用来窃取您的NFT。

恶意行为者滥用「setApprovalForAll」的示例

经典的「钱包账户缩水」在FOMO免费铸造的情况下是这样的：

• 用户访问一个他们认为是合法的恶意网站。
• 当他们将钱包连接到网站时，网站只能查看钱包的内容。
• 然而，恶意网站会扫描钱包中最高价值的NFT，并提示用户从MetaMask(MM)对该NFT的合约地址进行「设置所有批准」。
• 用户以为自己在铸造NFT，实际上却是在授予恶意合约移动这些代币的权限。
• 随后，骗子盗取代币，并在物品被标记为被盗之前，将其清算到OpenSea或Blur的出价中。

签名与批准

批准需要支付gas费，因为它们涉及交易处理。

签名则无需gas，通常用于登录dApp，以证明您对该钱包的控制权。

签名通常是低风险的操作，但仍可能被用来利用先前授予的对像OpenSea这样的可信网站的批准。

对于ERC-20代币，您还可以通过无gas的签名修改您的批准，因为最近在以太坊上引入了允许功能。

如果您使用像1inch这样的去中心化交易所（DEX），可以看到这一点。

代币批准要点

在给予任何批准时要谨慎，确保您知道自己在批准哪些代币以及对哪个智能合约（可利用etherscan）。

限制您的批准风险：

• 使用多个钱包（批准是特定于钱包的）不要对您的保险库或高价值钱包签署批准。
• 理想情况下，减少或完全避免对ERC-20代币授予无限制批准。
• 定期通过etherscan或revoke.cash检查和撤销批准。

硬件/冷钱包

热钱包通过您的计算机或手机连接到互联网，密钥和钱包凭证在线或本地存储在您的浏览器中。

冷钱包是硬件设备，密钥在完全离线的状态下生成和存储，并且物理上靠近您。

考虑到一个Ledger的价格大约为$120，如果您有超过$1000的加密资产，您可能应该购买并设置一个Ledger。您可以将Ledger钱包连接到您的MetaMask(MM)，以便在保持一定安全性的同时享有与其他热钱包相同的功能。

Ledger和Trezor是最受欢迎的选择。我喜欢Ledger，因为它与浏览器钱包（类似于Rabby和MM）的兼容性最好。

购买Ledger时的最佳实践

始终从官方制造商网站购买，切勿在Ebay或Amazon上购买可能会被篡改或预装恶意软件。

确保您收到物品时包装是密封的。

第一次设置Ledger时，它会生成一个助记词。

只能将助记词写在物理纸上，或者在未来将其写在钢板上，以确保您的助记词短语防火防水。

绝不要拍摄或在任何键盘（包括手机）上输入助记词这会将助记词数字化，您的冷钱包将变成不安全的热钱包。

-->> 1/2 文章未完，请继续阅读

以上就是数字货币反黑客方法：预防黑客多种措施保护好个人资产的全部内容，望能这篇数字货币反黑客方法：预防黑客多种措施保护好个人资产可以帮助您解决问题，能够解决大家的实际问题是非常好学习网一直努力的方向和目标。