各位亲爱的007小伙伴,大家晚上好,又到了长老周一见的时间。因为长老周一见的时间,刚好跟世界杯的球赛冲突了。我今天争取用相对比较简短简洁的方式跟大家分享,今天晚上的主题是关于数字货币,你真的用好了吗?也是最近有太多的小伙伴跟我反馈,遇到了在使用数字货币方面的一些坑,那么长老借今天晚上的时间跟大家分享一下。讲的可能没有那么全面,只是结合自身的一些经验跟大家做分享。
围绕数字货币的使用,我重点会介绍两点。第一方面就是介绍几次比较出名的数字货币的事件。第二部分,就是跟大家分享一下如何防盗。
第一部分:比较出名的被盗事件。
第一个:MtGox
应该是在2014年2月的时候,当时全世界最大的、也是最早的一个数字货币交易所。叫做MtGox,这家数字货币交易所大概是在一四年的2月7号的时候,官方报出来说他们的软件存在漏洞紧急暂停了所有的交易。这个事件最后在两个星期后,就以官方宣布交易所破产,用户总共损失了85万个比特币。
当时的比特币还没现在这么值钱,但在一四年85万枚的比特币也高达大概4.7亿美金。在比特币发展的初期,遇到这么一个事件比特币的价值一下子暴跌了百分之三四十。他的创始人Mark,在一五年在日本被捕。罪名就是跟交易所的被盗有关,涉嫌诈骗及挪用公款以及超重用户余额。但后续怎么样,长老没有去关注。只是说这个作为有史以来,最大的一笔金额。如果放到今天,你们可以去算一下这个价值多少。
第二次比较大的事件,Coincheck
也是一家日本的交易所,叫做Coincheck。2018年这家交易所,一下子被盗了5亿个NEM的币。这个可能是一个小币种,但是这个币种当时的价值也是高达5.3亿美金。5.3亿美金就超过了MtGox的损失。这个是在一八年的时候发生。我刚才介绍这两家都是属于数字货币交易所。
大陆原来国内比较熟悉的,像火币,像OKEx,像币安这三家交易所,其实在去年也相继曝出被黑客入侵,被盗币的情况。具体可能损耗损失没那么大,很多交易所他们内部有防盗基金,利用防盗基金去赔付损失的一些用户。所以相对来讲,可能损失也大。长老的建议大家尽量不要去用交易所。
第三个案例,周杰伦。
2022年4月1号愚人节这一天,周杰伦的数字货币的钱包,也给人家撸了一把。大概价值人民币300万的NFT被盗。后面好像找回了一部分,但也造成了一部分的损失。后面了解到的信息,就可能怀疑误点了一些钓鱼链接。这种情况,我想数字货币的这些坑在明星圈,也不仅仅是周杰伦的这个事情。包括无印良品的,林俊杰都发生过类似的事件,不一定是盗U,也有可能是炒币完了被平台打网线或者说插针。当然他也有可能利用他在娱乐圈的一些影响力,POS平台做出了赔付。但是我们普通老百姓,没有这种条件,没有这种影响力,只能乖乖的认栽。我也是提醒大家尽量的不要去用数字货币交易所。
第二,最近FTX破产事件。
这个事件我不知道大家有没有去关注,也借这个机会跟大家分享。实际上FTX的破产,可能跟赵长鹏有一定的关系。本来想说全世界第一名的交易所准备收购第二名的交易所,到后面又反悔不收购了。在推特上爆料说FTX存在挪用用户的资产。FTX就出现严重的挤兑。一下子挤兑,储备金不够,没有办法去偿付这些请求退出的用户。一下子就出现资金的断裂,然后在这个月11号申请破产。当天又宣布说遭遇黑客攻击,造成资产外流影响到里边很多的用户。所以交易所他有这样的风险,基于这么FTX的事件跟大家提个醒。
接下来,我就会重点围绕七个方面去跟介绍如何做好我们数字资产的防盗。
第一条,硬件。
首先来讲,我们的硬件主要就是手机跟电脑,基本上就这两个。那么我还是要给苹果做个代言,当然我没收他钱。苹果的安全性相对还是比较好,不管你是用Windows系统还是安卓系统,我认为或多或少还是有一些坑。所以我现在基本上,个人的电脑存放资产的设备。一定是用苹果,而且绝对是不会用那些越狱的。因为现阶段,尤其是我们出海的这个圈大部分是在TG上面去联络业务。那么TG他有很多东西是属于开源的,既然是开源就会造成容易给人家去做很多山寨的软件出来。
最普遍的就是Telegram,用谷歌搜索telegram,然后去下载,排名前几的你都有可能下载到山寨。你下载你没有看清楚,就可能是人家故意埋的雷。甚至人家花成本去投放广告,那他的排名就排在很前面了。你下载了结果是山寨的,也可以跟telegram的生态去对接。但是你的号是完全在别人家的掌控之下,行业叫劫持。而且他一劫持的话,你是完全不知情的,你还是正常的用你的PC电脑在跟客户联系。所以我建议尽量可以不用电脑,就不要用电脑,实在要用电脑就用苹果电脑。
第二个就是在telegram上面去接收的一些文件。结果他接收了这个文件,很多是带了病毒,尤其是一些压缩包。中毒之后,你的telegram就被劫持掉了。被劫持这两点,一个是下载山寨的,第二个是你的坑被劫持。首先尤其是国内,国内很多的一些APP商城,它本来是没有上架的。结果你一一搜索也能够搜索到,但是这些软件都是山寨的,包括那些打着汉化版,打着直接免翻墙版,通通都是山寨。所以我为什么鼓励大家尽量还是用苹果,因为苹果它有appstore,相对来讲只有一个入口,你犯错的概率会大幅度下降。而且你可以看一下它的下载量,评论。用苹果中招的概率会比较低。
防盗第二条软件。
我刚才其实在讲硬件的时候,有些已经介绍到了,包括你怎么去下载官方软件。而不是去下载一些山寨的,你不要直接在谷歌上去搜。搜完之后你首先你要知道人家的官方网址是什么?通过网址再去跳转相对会安全一些,或者在苹果商城上面去下载。软件这里我刚也分享了,就是尽量不要去用交易所的软件。用什么软件尽量的去用,钱包,冷钱包最好。
钱包也会很多。我接触用的最多的应该是安兔根,但是安兔根报出问题也是最多的。可能也是因为他的用户群体大,这个不排除,我不是说恶意的有意的去抹黑他,只是实话实说。基本上报出有问题的跟我反馈说,我的被盗了或者怎么样,基本上就是三个,一个是Ken,第二个是TP钱包,第三个是比特派。那长老自己用的是什么钱包呢?长老用的是Trust wallet,然后一些小平台,一些不知名的钱包我就不建议了。因为很多钱包它的技术含量不是太高,有很多的钱包做出来,其实最终就是为了割韭菜。并不是说真正的去服务好客户,而且这些钱包最大的问题就是他的技术团队可能没那么强大。技术团队不强大,它就存在被盗的风险或者被甚至内部人出问题。比如说内部人的技技术对某个环节,就是叫监守自盗。这些都是不可控的,所以软件方面我建议大家还是尽量找大的平台。软件的话也有个问题,像有些人用苹果手机他的手机可能没有翻墙。下载不了这些钱包,我之前在我们的官方频道也有分享过,就是你可以将你的地址的ID归属改成香港,或者改成像新加坡这样的地方。那么你就可以去下载到境外的一些APP。那么又有一个问题了,就是有些人的手机没有翻墙。譬如说你装了trust,你是没有办法打开TRC币种或者erc的币种都打不开。因为它限制了中国的网络访问,这种情况我是不建议大家去装VPN。
第三条,网络的问题。
首先各位能够不翻墙尽量不要装翻墙软件,在前面其实也曝光过大陆的一个翻墙工具。应该叫quick,你们很多人也用过。这个软件,它的用户群体很大。它实现能够让你的手机实现VPN,最大的问题就是你使用的软件。他跟服务器的通信协议,通通都得通过这些翻墙软件。如果人家某个技术坚守知道他在中间环节去获取这些包,我所说的包是指这种通讯包,网络包。把这些通讯给他抓到了之后,我刚也提了一个问题,就是国内的一些钱包,它的加密没有那么完善。就造成可以给人家去解密给破解掉了,破解掉的话可能你在使用这个翻墙软件在做转账。你转账的授权直接就泄露了,你的助剂词或者说是泄露了你的token。具体的技术实现怎么实现我不知道,因为老也不是玩这些的人,但是大概的理论逻辑就这样子。就是你在用这些VPN的时候,它是可以将去抓包去获取这些,可能你刚好用他的网络在转账打出去。然后这个包给他抓到了,那你的钱包就被他劫持掉了。
跟前面讲的TG劫持大概原理差不多,尤其是你刚好用的钱包是那种不太安全的钱包,如果说像你用的是trust,可能难度还会大一点。所以网络的这个环节非常重要,如果确实需要去翻墙,我建议就是用境外的流量卡。比如说用香港的或者英国,或者好像有一些用泰国还是哪里这些流量卡,而流量卡它接触的是运营商,运营商他不会去获取你这些网络这些包。而比起这些翻墙软件来讲,尤其是免费的翻墙软件,你更加不要去用。这个环节是很多人非常容易忽略的问题,就是网络的因素。我们要尽量的去规避去做到防盗。一个是VPN尽量不要去用,第二个你要小心这种危机,具体怎么防,我也没有绝对的办法。我也不知道这个到底是不是伪基站,尤其是你在一些敏感的地方,你连接的是不是伪基站。第三个,就是尽量你要用一些比较安全的钱包。
第四条,行为。
首先行为,无非就是转账。就是付钱和收钱这两块,那么转钱我认为大家有些还是太草率了。地址都要核对清楚,而且你所转的地址有没有问题,有没有被投诉过?我想对我们007比较熟的小伙伴可能也清楚,我们都有一套查ID和查地址的机制。如果用的好的话,我相信你们会少掉很多坑。你发现转账转给这个人,他的地址跟他绑定的不一致,那你就要去做核验。搞不好你可能就对方被劫持或者你被劫持,现在劫持的这些人效率太高了,他可以模拟尾数跟你要转的地址一模一样,甚至前面几位都一样。
这也是为什么最近有一个骗术,就是当你转出一笔钱之后,你就会收到另外一个相类似的地址给你打进来的0.01或者0.001。说白了就是人家在给你钓鱼,因为你一看尾数一样,下次转账直接复制。那你就中招了,这个就叫行为。就是你要发生转账的这个行为,你要去做一些审核校验,要去查他的ID,要去查他的地址,我们现在是做了应该前后五位。前面五位后面五位都要去核验,核验清楚之后再去转,甚至你要做的再细一点,你要让对方语音说一下尾数。骗子的话基本上他不敢说,但是你让你的收款的要说一下这个我认为是合理的。
行为里边的一条,就是授权问题。很多人用自己的钱包的这台手机,莫名其妙他可能没有跟工作机去做切割。就这台手机既有钱包又有T,又有日常的一些联系,然后可能收到一些莫名其妙的网址的时候。他也没有过多的去校验,去核验,然后很快打开他的网址。这个网址其实是是在激活你的钱包,激活完钱包之后,他下一步就指引你要授权,要按个二维码或者怎么样,很多人没有留意,直接一按授权了,完了之后钱包就被劫持掉了。这种情况非常多,这个机制是我认为也是很多钱包在加密这一层做得不够细致。我上个星期也曝光了,有六七个大大小小的钱包都存在这种问题。我推荐trustwallet不在行列里面,相对还是安全一些。所以我建议大家,既然这台机是用来存放你的钱包,那么你就尽量跟你的日常办公的生活的分开。所以你要管理好你的行为,一定要尽量的去避免犯错,你可能小小的一个动作,直接就造成你的钱包资产被劫持。
第五个保密。
保密,我想很多人会去用一些钱包。一个钱包,一个地址,然后多台手机,财务搞一个,另外一个谁搞一个,结果到底是谁出了问题,你是无从追查。所以,你现在根本就不需要多个钱包去登录在多台设备上面。最终只有一个人登录就行了,然后你要查看它到不到账。就用我们007查到账功能就行了,这个很方便了。当然查到账这样的功能,有时候网络卡或者接口的一些问题,没那么实时。
我们007tg.com下面有那个查询的功能,可以直接查询他的一些清单,所有的交易都是基于公链的。公链都是公开的,也不存在说我去劫持你的钱包,还有一些人觉得说我们绑定的地址可能会被我们盗了。这种人基本上就是无知,所以我建议大家在保密这条还是很重要。仅仅是提供一个地址是没有办法去盗你的,一般被盗都是做了授权。比如说输入密码,或者按了指纹,这种可能会存在被盗。或者说你的助剂词泄露了,所以注剂时一定要手抄出来,手抄完之后这张纸条还要保密。一般数据我不建议大家用数字化去保存,因为你数字化保存的东西一定是有痕迹的,有记录的。所以助剂词非常的重要,这是第五条叫保密。
第六条,规则。
规则其实跟刚才讲的行为差不多,就是我们在使用钱包这里一定要制定一些规则,哪些东西可以做,哪些东西一定不能做,一定要写的很明白,然后要让内部要形成一个使用的规范。一定不要去犯错,而且这个规则不仅仅是钱包的使用规则,包括TG的使用规则也非常重要。因为很多时候TG一旦被盗,跟着不是转错账就是收不到款。
因为你的TG被盗,你的地址就容易被篡改。所以日常在使用钱包和使用TG的时候,一定要制定一些规则细节,让每一个用的人要非常的清楚。举一个例子,我们每天都要求杀毒,所有电脑每天都要杀毒。而且杀完之后,还要上报杀的情况。然后一些常用的注意事项,发地址要干嘛,不能扫码,通通我们都有一些打印出来的字条,时刻提醒着很多我们的小伙伴,不要犯错。这些都非常的重要,要制定一些规则,让每个人都去遵守。
最后一个叫人。
你要防盗,人也非常的重要。人的话就是首先团队每个人要开展培训,大家一定要有这种意识。因为数字资产这种去中心化,不像你在银行开了开了一张卡,这张卡被盗你还可以找银行说事。数字资产你是没有办法追究的,你没了就没了。那么对内部团队的培训非常重要,跟着我们作为老板作为责任人,一定自己也要有这方面的防范的心理。因为数字资产它是一个数字化的东西,它可以代表一定的价值,它也可以快速变成一文不值。我前面也讲过,不要让你的数字资产成为数字遗产,遗失的遗,因为数字资产遗失非常容易。所以我们一定要时刻要有这种戒备心防范心。
长老今天晚上大概讲了七条,感兴趣的大家可以多听几遍回顾一下。反思一下你们现在自己日常在这方面的运用,看看有没有存在一些问题。包括长老自身,我也不敢说百分百没有存在这些风险点。只是说我们能够尽量做的更加完善。好,今天的分享到此结束,现在好像世界杯的比赛还在进行当中。长老也要去看球赛了,感谢各位的支持。我们下周一同一时间再见,拜拜。
相关文章
