Arthur：NFT防黑指南

文章作者：翻译公会 Zhiyuan 

文章来源：The SeeDAO

翻译: Zhiyuan Qi  |  校对: Roy  |  排版: Anthony

摘 要

关于如何防范黑客攻击、保障加密资产安全，作者给出了若干建议，对个人和组织都有很好的参考价值。

作者简介

About Arthur

01.

Arthur（@Arthur_0x)

DeFi & Web3 投资人；

Azuki（红豆）收藏家；

恢复之中的网络攻击受害者。

推文译文

Threads

02.

以下内容最初仅是为我们 portcos 和合作伙伴撰写的，但经过考虑，我认为将其公开是有益的。

1/ 

根据我们的研究，并与权威网络安全专家交流后，我们认为 BlueNorOff 正在有组织地展开针对加密领域所有知名组织的攻击活动。

2/

鉴于他们的社交工程攻击的复杂程度，我相信，他们已经绘制了整个加密货币领域的关系图谱，并且知道哪种钓鱼邮件最有可能击穿我们的心理防御。

3/

强烈建议阅读本文以深入了解这种攻击是如何进行的，并采纳文中的建议。这是他们发送的钓鱼邮件示例。

网址:  www.kaspersky.com/about/press-releases

/2022_snatch-that-crypto-bluenoroff-threat-actor-drains-cryptocurrency-startups-accounts

4/ 

至关重要的是，业内要高度意识到，我们正在被一个国家资助的网络犯罪组织积极地盯上。该组织极其机智老练。将来他们甚至可能改变工具和攻击模式。

5/ 

一旦当前的攻击方法变得不那么有效，例如最近发现的 DeFi App 木马和钱包攻击，由于从以往的成功攻击中尝到甜头，朝鲜很可能会为该组织投入更多资源，以扩大袭击的强度。

网址:  https://securelist.com/lazarus-trojanized-defi-app/106195/

6/ 

除了所有标准的网络安全建议，在我的朋友 ── 网络安全意识很强的 @junhaotan_ 的协助下，我提出了一些虽不详尽但很具体的加密货币安全建议。希望能防止类似事件发生在我们任何人身上。

7/ 

将链上加密资产存储在企业级托管方案上：仅由一个硬件钱包保护的 EOA 是不够的。因为他们可以通过注入假的小狐狸 (Metamask) 浏览器扩展，来导致非预期交易的批准。

8/ 

至少应当使用一个多重签名钱包：例如由数个硬件钱包提供安全防护的 Gnosis Safe。我强烈建议使用 Fireblocks、Copper、Qredo 等更高级别的托管方案，因为它们采用原生的 2FA 验证多重签名来批准交易。

9/ 

在聘用远程团队，尤其是软件工程师/开发人员时，要进行额外的尽职调查: Lazarus APT 集团（译注：臭名昭著的黑客组织）甚至开设虚假的加密货币软件公司。

10/ 

我们从自己的投资组合公司那里听说过这么个案例：一个申请软件工程师职位的人在面试中表现得很可疑，而且他简历中的个人资料也对不上号。

11/ 

用来加密交易的计算机应专机专用：应该用专门的计算机进行加密交易，该设备不参与任何电子邮件、互联网链接、消息应用程序、打开 Word / PDF 文档等交互。

12/ 

所有登录操作都要进行 2FA 验证：该步骤不仅针对加密货币，但其重要性完全值得一提。云存储、电子邮件、Telegram 等消息应用的登录操作都应该开启 2FA 验证。不要用短信 2FA， 使用 Google 身份验证器。

13/ 

应该尽可能使用像 YubiKey 这样的硬件 2FA。可同时适用于公司和个人帐户。

14/ 

将常用的 DApp（加密货币应用程序）网址加入书签。钓鱼网站会不时被搜索引擎引用。搜索过程中如果不细心，可能到头来你访问的是钓鱼网站。最好通过书签列表访问它们。

15/ 

撤销不必要的代币授权。代币授权允许另一方移动你的资产，大多数的智能合约交互都需要它。避免无限制的代币授权并定期撤销不必要的授权。你可以使用 revoke.cash 来做到这一点。

网址:  https://revoke.cash/

16/ 

使用地址监控系统：应密切监控内部加密钱包地址，以便发生未经授权的交易时，团队可以立即得知，并尽快采取行动。Etherscan 和 Nansen 都有这样的解决方案。

17/ 

定期对团队成员进行网络安全培训：应要求所有团队成员在入职时接受网络安全培训。随着组织的发展，这件事往往会被忽视。

18/ 

通过正确配置电子邮件的 DNS 设置来改进网络钓鱼和垃圾邮件检测。尽可能为 SPF、DKIM 和 DMARC 使用 hard fail 或 strict mode。

19/ 

信任浏览器，不要信任网站：浏览器地址栏下方的任何内容都应视为不安全，可能成为潜在攻击的媒介。如果你没有登录，某些 DApp 可能会弹出一个窗口要求你登录加密钱包扩展，这种情况下不要输入你的密码。