网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　来源：星球日报

　　SeeDAO IR导言：据安全数据显示，今年以来有记录的因诈骗和安全漏洞带来的加密领域损失已近30亿美元。每一个区块链行业的参与者都无异于身处“大西部”，无时不刻受到隐私、财产损失的风险。

　　虽然业内已经有部分对区块链诈骗、安全漏洞进行分析的工作，但大多只是针对某些案例，或者对背后机制的讨论不够深入。因此，我们很高兴为大家带来这篇由两位网络安全领域的专家所撰写的万字长文，为大家全面且深入的分析当前几乎所有安全隐患并提供应对策略。

　　自网络诞生以来，攻防领域就一直是研究的热点；区块链诞生之后由于其巨大的财富效应与用户对安全的认识不足，吸引了无数的黑客挖空心思进行攻击。在近几年Defi与NFT高速发展的环境下，利用区块链网络实施的钓鱼诈骗攻击更是越来越多，各类攻击场景及攻击方法层出不穷。

　　本文前半部分阐述了区块链安全基础知识，重点阐述了用户在使用区块链相关应用时应重点关注的安全要素。后半部分整理常见的利用区块链欺骗用户资产的攻击案例，通过对黑客攻击手法进行分析，引出针对特定攻击手段的防护方案。

　　根据柯克霍夫原则，即使已掌握了密码系统的运作步骤，但是在密钥未被泄露的前提下，密码系统仍然是安全的。在区块链环境下，保护钱包私钥，是保护链上数字资产的重要措施和前提。

　　区块链钱包软件所管理的私钥通常是256bit长的随机字符串，为便于展示区块链钱包工具会将256bit数据转换为32字节长的16进制编码。“0x40e667191f4497cc3ab018ceb524a32c2f4875fbfb0103322767f46f5b319244”即为区块链钱包软件生成的钱包私钥。通过将私钥导入区块链钱包，用户即可掌握钱包内对应的数字资产。利用椭圆曲线密码框架，开发者可以利用私钥数据便捷的计算出与之对应的公钥信息，通过对公钥进行keccak256运算[7]并取运算结果的最后20字节，即获得区块链钱包地址。使用以太坊ethers工具库生成公私钥，并根据公钥信息计算钱包地址的代码运行结果如下图所示：

　　考虑到哈希运算具有抗强碰撞和弱碰撞特性，因此在不掌握钱包私钥的前提下攻击者难以通过随机碰撞的方式构造出两个完全一致的区块链钱包地址。为便于用户记忆及保存，在BIP39提升改进计划中引入了使用助记词表示区块链钱包私钥的方法。为便于理解，读者可以认为一组由12、15、18、21或24个单词组成的助记词列表即对应一组区块链钱包私钥。在助记词处于保密状态时，用户的钱包私钥及数字资产是安全的。

　　在创建区块链钱包时，助记词及私钥数据是异常敏感的，在进行敏感操作前用户检查周边环境是否有可疑人物、高清摄像头等可能产生窥屏事件的不安全因素。用户通常需要使用纸笔或助记词钢板记录钱包助记词并妥善保存（如锁入保险箱）。在使用区块链网络时，用户应当做到不向任何人透露与助记词及私钥相关的任何信息，切实保障用户数字资产的安全性。

　　智能合约的出现使以太坊网络相较比特币网络具备了更好的延展性，开发者可通过以太坊提供的SDK开发工具编写智能合约代码便捷的开发DAPP。在以太坊中，智能合约是一种部署后则代码逻辑无法被篡改的计算机程序。待智能合约部署后，区块链用户即可以按照智能合约对应的代码逻辑与合约进行交互。

　　用户在与智能合约交互前，应检查：1）智能合约代码是否已通过区块链浏览器完成了开源操作；2）对智能合约代码关键逻辑（例如要调用的智能合约方法）进行审计，待确保代码不存在恶意使用或转移用户数字资产的敏感行为后，再调用智能合约方法。

　　调用经过合约开源认证或已通过知名智能合约审计公司安全性审计的智能合约方法，能够在一定程度上保障用户持有数字资产的安全性。

　　区块链钱包软件为其用户提供了私钥管理，钱包账户管理，远程过程调用（RPC）节点管理、交易签名、交易管理、与智能合约交互及硬件钱包连接等功能。区块链钱包软件存在的重要作用就是为用户提供了一个界面友好的私钥容器、密钥管理系统及交易签名代理工具，确保用户能够在不具备管理私钥及区块链交易广播工具能力的基础上，能够便捷的与区块链网络进行交互。

　　从钱包是否与互联网存在直接连接进行分类，区块链钱包划分为1）冷钱包；2）热钱包。

　　从钱包运行平台进行分类，钱包可以划分为1）PC主机钱包；2）浏览器插件钱包；3）移动手机端钱包；4）硬件钱包；5）网页钱包等。

　　优先选择从官方渠道分发的区块链钱包软件。以浏览器插件钱包为例，用户可以从官方网站，浏览器应用商店，插件钱包官方Github仓库等渠道下载并安装浏览器插件钱包。在日常使用过程中，需要定期更新区块链钱包、底层操作系统、浏览器并保持其版本总是处于最新状态，以此来保护用户持有的数字资产安全。

　　在使用区块链钱包软件时，用户应设置强解锁口令以避免遭受口令爆破攻击。在离开电脑前，应主动锁定屏幕和钱包，以避免遭遇因电脑钱包处于未锁定状态导致数字资产被滥用。Metamask钱包提供的自动锁定定时功能如下所示。