這次比特瀏覽器的駭客攻擊事件是一個警鐘,提醒所有涉足加密貨幣的個人和機構,特別是管理眾多帳戶地址的空投獵人或工作室,必須更加嚴格地註意自己的資訊安全和私鑰管理。本文源自 DODOResearch,由 PANews 整理、編譯和撰文。
(前情提要:擼毛黨哭慘!空投神器「比特瀏覽器」遭駭私鑰外洩,社群疑自導自演)
(背景補充:空投工作室「惡性競爭」受夠了?項目埋伏數年、轉向其他業務 )
上週發生一起駭客攻擊事件,位元瀏覽器的許多使用者於社群反應其私鑰被盜,有猜測稱該情況因使用位元指紋瀏覽器所致,開啟了擴充套件資料同步的使用者錢包有被盜風險,建議立即採取措施,轉走錢包資產。位元瀏覽器是一款多帳戶管理工具,允許使用者輕易建立多個 IP 的瀏覽器視窗分頁。
目前單一使用者最高被盜資產高達 6 萬美金,並有超過 3,000 個錢包遭到資產損失,總損失高達 41 萬美元。位元瀏覽器官方表示目前位元服務端快取資料遭到駭客入侵導致使用者的私鑰外洩和資產被不法轉移,已經報案,並聯系 MetaMask 凍結駭客錢包。然而,由於缺乏透明度和即時的危機處理,部分使用者對其採取的措施表示質疑和不信任。
而根據昨日 8/29 最新訊息,慢霧首席資訊安全官 23pds 在推特上表示:「關於位元瀏覽器大量使用者被盜的情況,目前我們已經聯合合作伙伴成功攔截了一部分在洗的資金。位元瀏覽器正在立案,立案成功慢霧會正式介入。」
指紋瀏覽器與空投獵人
對於空投獵人來說,如何防止多帳號關聯一直是重點研究的一件事,除了最基礎的隔離鏈上地址之間的關聯外,IP 隔離也是很多人在意的點,而指紋瀏覽器便是為了這需求誕生的產品。指紋瀏覽器可以模擬不同的瀏覽器指紋,防止帳號關聯和被封禁,這對於多帳戶操作如跨境電商、社交媒體、廣告投放等業務來說相當有用。
瀏覽器與錢包安全問題
但同時需要注意的是,無論是位元瀏覽器還是其他第三方修改的瀏覽器,或是其他類似的多帳戶管理工具,使用者都需要高度警覺以下幾個安全問題:
- 瀏覽器或外掛本身的安全性:由於此型別為了特殊需求衍生的瀏覽器大多在 Chrome 核心基礎上修改,但在版本更新上可能因此會無法第一時間便更新至最新版本,以至於駭客能利用和新版本與第三方版本不同步的更新時差,在這段時間內找出漏洞攻擊。因此,使用者應選擇信譽良好和安全性高的工具,並定期更新到最新版本。
- 使用者自身的操作安全:私鑰管理是大多是加密貨幣使用第一堂便需要學習的課程,但久而久之有許多使用者因為被黑這件事自己從未遇過便忽視了其重要性,私鑰是必須備份且絕對不建議聯網儲存的或與他人分享的,儘管許多平臺皆保證皆會加密處理,但將自己財務風險暴露在其他人的軟體上,仍不是個明智之舉。
- 與第三方服務的互動:在鏈上與 Dapps 互動時需特別注意,是否為官方管道避免被仿冒的釣魚網站騙走資產,而在與新協議互動式需要花費更多的時間來確保此專案是否有人背書或是團隊是否正規,切勿一股腦上頭便急忙的操作。
筆者觀點
這次位元瀏覽器的駭客攻擊事件是一個警鐘,提醒所有涉足加密貨幣的個人和機構,特別是管理眾多帳戶地址的空投獵人或工作室,必須更加嚴格地注意自己的資訊安全和私鑰管理,在這型別的第三方伺服器下最好是使用無私鑰的 AA 錢包,或是使用 wallet connect /coinbase wallet 等利用手機掃碼操作的錢包,避免私鑰直接曝露在第三方公司運營的平臺上。
從位元瀏覽器官方的迴應便可以知曉其團隊對於區塊鏈安全的瞭解有待提高,竟表示聯絡 MetaMask 凍結駭客錢包令人啼笑皆非。當資料洩漏一事發生在其他 Web2 使用者佔多數的平臺可能後果不是如此巨大,但當你的使用者大多是 Web3 使用者時便不是這麼一回事了。而對於使用者來說只有建立全面的安全機制和緊急應對計劃,才能在這個高風險但高報酬的領域中長期生存,畢竟為了空投獎勵而損失本金便有些本末倒置了。