网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　用户应当优先选择官方渠道购买的硬件钱包。待收到钱包后，需要访问硬件钱包官方网站对钱包完整性及固件版本进行验证，以避免遭受供应链攻击。针对硬件钱包实施的攻击层出不穷：在使用硬件钱包签名交易时，用户需查看待签名交易的完整内容，并对交易合法性进行认证，避免进行盲签名，以避免遭受非法交易签名攻击进而丢失数字资产。

　　用户在收到硬件钱包并创建区块链账户时，应当多次执行创建钱包生成助记词功能。通过记录硬件钱包生成的助记词与之及对应取得区块链钱包地址，比对不同创建钱包操作所生成的助记词差异，确保硬件钱包生成私钥所使用的随机数种子足够安全，创建钱包操作所生成的私钥足够随机。

　　盲签名 又名 Blind Signing 起源于一个问题：如果给我们提供了一份内容完全密封的合同，只留下签名页可见，你会愿意签署这份合同吗？我的答案是否认的：不会签署这份合同，避免签署对自己不利的合同内容。

　　在区块链环境中，应用硬件钱包与智能合约进行交互与 Blind Signing 很像，因为签署智能合约交互交易时，用户无法通过硬件钱包获取智能合约的底层行为逻辑。Ledger的屏幕是非常小的，无法向用户与智能合约交互交易的全貌。用户若 enable Blind Signing 时，就代表其已经接受尽管 Ledger 无法向用户展示智能合约全貌的前提下，任然利用 Ledger 批准与智能合约进行交互的交易：此时，用户已经同意信任其发送的交易，而不是选择对交易合法性及行为进行校验。

　　更多关于 Blind Signing 的资料可参考如下链接：

　　以太坊中知名的RPC节点服务主要包括Infura、Alchemy、Moralis等，BSC链的RPC节点服务商主要由BSC链官方提供。

　　近年来受到关注的新公链解决方案如Polygon、Optimism、Avalanche及Fantom的RPC节点服务主要由Ankr提供，区块链用户在使用特定公链时，需要通过在钱包内添加RPC节点地址链接的方式与对应的区块链RPC节点建立连接，以便通过RPC远程调用的方式实现与区块链的通信及交互。RPC节点的作用是重要的，如果没有RPC节点，用户个人将难以接入区块链网络。

　　下图给出了 Conflux eSpace 区块链网络对外公开的 RPC 节点信息，通过钱包连接RPC节点，在用户发起转账和智能合约交互时，由RPC代理将交易打包发送至区块链网络，最终使交易以区块形式进上链。

　　用户应当选择安全性经过验证的RPC节点服务商，以保障其钱包数据来源的可靠性及与区块链网络交互的稳定性。恶意的RPC节点提供商可能会恶意显示不正确的区块链状态并记录用户的链上活动数据，严重危害用户数据安全。

　　部分攻击者会通过使用社交网络私信或发送电子邮件等方式向目标用户发起攻击，通过精心设计钓鱼场景的方式使受害者确信：只要按照攻击者指示进行操作（访问特定站点、与特定智能合约进行交互或将助记词导入至区块链钱包），即可获得奖励：当受害者选择相信攻击者时，其已进入了由攻击者精心构造的钓鱼诈骗陷阱。由于区块链交易具有不可篡改和不可逆的特性：大量区块链钓鱼攻击受害者在发现资产因为自身疏忽而被转移至攻击者持有的区块链账户后，丢失的资产早已无法挽回。

　　下图给出了一封以盗取区块链数字资产为目标的钓鱼邮件：用户需要在特定截止日期（DDL）前在平台处登记区块链钱包，不然就冻结（威胁）账户。在收到这类电子邮件时，不点击邮件或私信中包含的任何超链接信息或按钮，待与官方核实确认邮件内容合法性后，再对邮件进行处理。