Crypto自己防衛マニュアル、これらのテクニックを学んで百万ドルを守る
去中心化の世界では、自分自身を守れるのは自分だけです。著者:南枳,Odaily 星球日报
昨日、X ユーザー @CryptoNakamao が投稿し、Chrome の悪意のあるプラグイン Aggr によりブラウザの Cookies がハイジャックされ、ハッカーがこの方法で彼のバイナンスアカウントを操作し、対敲によって 100 万ドルの損失を被ったと述べました。
この事件に対して、バイナンスは声明を発表し、事件の原因はそのユーザーのコンピュータ自体がハッカーに攻撃されたためであり、安全サポートはそのユーザーの凍結要求を処理するのに 1 分 19 秒を要したと説明しました。プラットフォームは対敲取引を調査し、疑わしいアカウントを確認しましたが、クロスプラットフォームでの凍結要求には時間がかかるため、現在の調査結果では、バイナンスはこの事件の前に AGGR プラグインに関する情報に気づいていなかったとのことです。したがって、このような事件に対しては賠償ができないとしています。
この事件は再び多くのユーザーに安全警鐘を鳴らしました。ハッカーの専門性が向上する中で、安全事件が発生した後に救済するのは非常に困難です。したがって、安全対策を講じることは古くからの話題ですが、最高の優先度で取り組むべきです。Odaily はこの記事で一般的な攻撃と防止手段をまとめます。
ワンクリックでアカウントを凍結
まず、この事件に関連して、ハッカー攻撃を受けた場合、アカウント内の資金が完全に移動されていない時に、残りの資金を迅速に保護する方法は何でしょうか?他のアカウントに資金を移動することに加えて、ワンクリックでアカウントを無効にすることでアカウントを保護することができます。無効にした後は、カスタマーサポートに連絡して解凍する必要があります。
アカウントを無効にするには、バイナンスアプリを使用する必要があります。まず設定画面に入り、画面の下部に「アカウントの安全」セクションがあります。最後に、そのセクションの下部にある「アカウント管理」に進み、アカウントを無効にして確認します。バイナンスの現在の公式ガイドは 2018 年版であり、具体的な実行手順は記者の現在の実践とは大きく異なるため、ユーザーは事前に確認し、具体的な位置を把握することをお勧めします。
Chrome プラグイン
Chrome プラグインは Crypto ユーザーにとって不可欠であるため、プラグインを使用しないことは現実的ではありません。では、Chrome の安全な使用をどう確保するか?ユーザーは以下のいくつかの点に注意できます:
- ブラウザのプラグイン権限を確認し、あまり使用しないブラウザプラグインは無効にすることを選択できます;
- 複数のブラウザを使用し、異なる安全レベルのニーズに応じて異なるブラウザを割り当てます;
- すべての Chrome プラグインは公式の X アカウントが提供するリンクを通じてアクセスすることをお勧めします。Google 検索や X 度検索を使用することはお勧めしません。これらの方法で検索すると、料金が発生するフィッシングリンクに遭遇する可能性が高く、損失を被ることがあります。公式は X アカウントのリンクを正確に保つ義務があり、攻撃事件が発生した場合にはユーザーに対して賠償を行う必要があります。
インストール済みプラグインの権限確認
Chrome 拡張機能の原理と安全性に関して、慢雾は説明を行っています。慢雾の最高安全責任者 23 pds は、最も重要なのは manifest.json ファイルであり、このファイルがプラグインの権限範囲を決定すると指摘しています。
権限範囲を確認するには?ユーザーは chrome://extensions インターフェースにアクセスできます。このインターフェースには、ブラウザにインストールされているすべてのプラグインが含まれており、詳細に入るとプラグインの権限範囲を見ることができます。「すべてのウェブサイトであなたのすべてのデータを読み取り、変更する(Read and change all your data on all websites)」という権限を持つプラグインには注意が必要です。
ブラウザの複数開き
ユーザーは異なる安全レベルのニーズに応じて異なるブラウザを割り当てて安全対策を行うことができます。たとえば、取引所にログインするブラウザにはプラグインをインストールせず、チェーン上の資金に関わるブラウザには安全なウォレットなどの基本ツールのみを使用します。
一般的な Chrome ブラウザの複数開きには二つの方法があります:
一つ目の方法は、公式のアカウント切り替え機能を使用して複数開きを行うことです。Chrome の右上隅のアカウントインターフェースで、ユーザーは一時的なゲストアカウントまたは Google アカウントを追加することができます。追加が完了したら、新しいアカウントをクリックして新しいブラウザインターフェースを開くことができます。異なるアカウントで開かれたブラウザは独立して動作し、プラグインはブラウザ間で悪用されることはありません。また、次の方法に比べて、プラグインのクラウド同期の利点があります。
もう一つの一般的なバッチ作成方法は、コンピュータのショートカットを使用して複数開きを行うことです。
ユーザーはコンピュータ上で Chrome のショートカットを一つまたは任意の数だけコピーし、ショートカットを右クリックしてプロパティ画面に入り、ターゲットアドレスの末尾に
--user-data-dir=「ターゲットフォルダのアドレス」
を入力することで、新しい独立した Chrome ブラウザを作成できます(最初にスペースが必要です)。この方法は前の方法よりも迅速ですが、データはすべてローカルに保存されるため、ウォレットの秘密鍵などの重要なデータのバックアップを行う必要があります。
クリップボードの権限
TG Bot の普及により、多くのユーザーが秘密鍵を直接コピーする操作を行うことがよくあります。このシーンでは、完全な秘密鍵を一度にコピーするのではなく、いくつかの文字を残して手動で入力することをお勧めします。これにより、クリップボードの監視リスクを回避できます。また、アプリとウェブのクリップボード読み取り権限を無効にすることも非常に重要です。ウェブユーザーは以下のリンク chrome://settings/content/clipboard にアクセスし、このインターフェースでウェブサイトの読み取り権限を無効にし、特別な必要がある場合にのみ再度有効にすることで、安全性を大幅に向上させることができます。
X プラットフォームの偽アカウント詐欺
ここ数ヶ月、X プラットフォームで公式を偽装した悪意のあるフィッシングリンクが頻繁に発生しています。これらのアカウントは通常、金マークアカウントで、ユーザー名は公式と一致し、アカウントハンドルには一つまたは二つの文字の違いがあるだけで、一目では見分けがつきません。
このような詐欺に対しては、ユーザーに Scam Sniffer プラグインのインストールをお勧めします。このプラグインは X プラットフォームのアカウントをスキャンし、コメント欄に出没する偽の公式アカウントを警告します。
その他の基本的な安全意識
上記の手動で確認および切り替え可能な安全操作に加えて、基本的な意識レベルの安全要素も多数あります。これには以下が含まれます:
- TG や DC での私信リンクを信じないこと。公式アカウントが発表するリンクと情報のみを信じる;
- ニーモニックフレーズや秘密鍵はできるだけネットに触れないようにし、特にスマートフォンで写真を撮って記録しない;
- 大額資金を扱うコンピュータには、todesk や向日葵などのリモート操作ソフトウェアをインストールしない;
- 大額資金を扱う取引所アカウントには 2FA を設定し、使用後はアカウントからログアウトする;
分散化は安全問題が決して消えないことを意味し、損失は回復困難です。ハッカーの攻撃手段は常に進化しており、自己防衛が最も重要です。基本的な安全対策を講じることが「生き残る」ための根本です。
