最近的Solana黑客事件是由一个与手机软件钱包Slope相关的私钥漏洞引起的。Slope使用了Sentry,这是一个监控服务,以纯文本形式发送用户的助记符并存储在云端。Crypto用户如何防止他们正在使用的钱包发生这种情况?
以下是我们建立DID钱包的工程师提供的一些预防提示:
切勿对助记词进行截图或通过互联网发送助记词#
助记符种子词在加密货币钱包中经常使用,几乎是事实上的标准。 切勿对助记符进行截图并将其作为照片存储在手机上,切勿通过文本或信使发送。助记符是不受保护的 "种子词",用于生成钱包中的所有私钥。当截图或发送文本/信使时,这些都有被泄露的潜在风险,因此攻击者可以完全控制所有的加密货币。新手钱包用户应该部署更高级的钱包应用程序,自动备份加密的助记词。
为不同目的使用多个钱包 #
部署多个钱包,将每个钱包用于不同的目的,如不同的支票账户。将数字资产分离到多个账户甚至不同的钱包,并将特定账户用于特定的应用,可以降低风险/脆弱性。就像老话说的那样,"不要把所有的鸡蛋放在一个篮子里",对于web3来说也是非常正确的。
不要在多个钱包中重复使用或分享助记词 #
在Solana攻击事件中,很多用户当时并没有使用Slope,但他们中的一些人承认,他们要么从Slope导入助记词,要么用Slope从其他钱包导入。如果在不同的钱包之间重复使用或共享助记词,每个钱包的潜在安全弱点可能会影响到用户的所有加密资产,因为任何能够访问用户助记符的钱包都将完全控制其所有私钥。
使用硬件钱包处理大额资产 #
使用硬件钱包(如Ledger Nano,其价格不到100美元)以进一步确保加密货币的安全。这些都是保障大额资产安全的理想选择,并强烈推荐硬件钱包的一般设计原则是将私钥与电脑和网络完全分离,它们使用USB电缆,或蓝牙,或者有些甚至只使用带摄像头的二维码扫描来为你签署区块链交易,这使得它比任何移动或桌面钱包更安全,这些钱包将你的私钥存储在连接环境中。
切勿将你的硬钱包的助记词导入任何其他钱包中 #
助记词应该只用于备份和恢复,而不应该用于 "导入 "其他钱包。任何其他有问题的钱包如果导入过这些助记词,就会使所有使用这套助记词的钱包不再安全--即使你不再使用那个有问题的钱包。换句话说,硬件钱包通常是非常安全的,但如果你将你的硬件钱包的助记符导入到另一个钱包应用程序,它将无法保护你,而且这彻底失去了使用硬件钱包的意义!
说明:这些提示也在BitcoinInsider上发表了。