作者:Arthur,DefianceCapital编译:律动BlockBeats
本文梳理自DefianceCapital创始人Arthur在个人社交媒体平台上的观点。
起初,以下内容仅写给我们的投资组合公司和合作伙伴。一番思考过后,我认为应该将它们开源。
经过研究和与顶尖网络安全专家的沟通,我们相信黑客组织BlueNorOff正在进行一个有组织的筹谋,目标是加密领域的所有知名组织。鉴于他们的社会工程攻击十分高明,我相信他们已绘制了整个加密领域的关系图,知道什么样的钓鱼邮件最有可能通过我们的心理防线。要想进一步了解这种攻击是如何进行的,我强烈建议阅读这篇文章,其中的建议也值得采纳。
金色晚报 | 9月14日晚间重要动态一览:12:00-21:00关键词:区块链投票、Tether、Filecoin、巨鲸、
1.《区块链+党政干部学习读本》在京发布。
2.俄罗斯计划在明年议会大选中使用区块链投票系统。
3.明天Tether将为10亿USDT执行两次链交换。
4.FATF报告:用户分析可以帮助监管机构识别非法加密活动。
5.Deribit报告:2020年底比特币期权价格将飙升至3.6万美元。
6.Filecoin第一轮太空竞赛将于9月15日早上5:59落下帷幕。
7.排名第28的匿名巨鲸以2.14美元费用转移了11230BTC。
8.NEM将于12月大规模更新诞生新链条Symbol(XYM)。
9.高盛前对冲基金经理将50%的资金用于投资比特币。[2020/9/14]
关键我们要高度意识到,加密行业正在成为一个受国家支助的网络犯罪组织的积极目标。这个组织非常机智和老练,他们甚至可能在未来变换工具和攻击模式。一旦目前的攻击方法变得不那么有效,例如最近出现的木马化DeFiApp和钱包攻击。为了成功,朝鲜很可能会为该组织投入更多资源,从而扩大攻击的强度。
金色晚报 | 6月16日晚间重要动态一览:12:00-21:00关键词:海南金融局、哈萨克斯坦、CSW、资金盘
1.海南金融局与金融壹账通签订合作推动法定数字货币应用探索。
2.哈萨克斯坦计划在未来三年吸引7.38亿美元的加密领域投资。
3.CSW称曾购买存储在1Feex地址的比特币 驳斥入侵Mt.Gox的说法。
4.以太坊天价手续费转账地址系资金盘项目GoodCycle热钱包。
5.BitMEX报告:过去18个月比特大陆矿业统治地位大大降低。
6.数据:10.16万份比特币期权将于6月26日到期。
7.四川和云南掉线4万多台矿机设备。
8.山东济南跨境电子商务综合试验区将布局区块链等数字产业。
9.福布斯董事长:未来稳定币的表现将优于投机性加密货币。[2020/6/16]
抛开所有标标准准的网络安全建议不谈,在网络安全意识强的朋友的协助下,我提出了以下这些不完全的加密相关安全建议。希望这将防止类似事件发生在我们任何人身上。
金色晚报 | 6月4日晚间重要动态一览:12:00-21:00关键词:Tether、瑞士央行、CME比特币期货、ETH期权、Fcoin立案
1. Bittrex和Poloniex被列为Tether集体诉讼案件的被告。
2. 瑞士央行候补委员:瑞士央行正在进行央行数字货币可行性研究。
3. 分析:CME比特币期货有望在6月形成黄金交叉。
4. Deribit平台以太坊期权未平仓合约上升至1.4亿美元新高。
5. 美联储主席:基于以太坊的AMERIBOR是LIBOR的一种替代选择。
6. 澳本聪称只有他才能获得“Satoshi”比特币地址。
7. 杭州市局西湖区分局针对Fcoin一事已立案侦查。
8. 欧洲央行维持三大关键利率不变,将PEPP规模进一步扩大6000亿欧元。
9. 江苏南通破获以比特币结算的“暗网”侵犯公民个人信息案。[2020/6/4]
将链上加密资产存储在企业级托管解决方案上
一个硬件钱包不足以保障EOA,因为他们可以插入一个虚假的Metamask浏览器扩展,从而批准非预期的交易。至少它应该是一个GnosisSafe这样由几个硬件钱包保障的多签钱包。我强烈推荐使用Fireblocks、Copper、Qredo等更高级别的托管解决方案,因为它们自带用于交易审批的原生多签2FA钱包。
招聘远程团队要进行额外的尽职调查
招聘远程团队要进行额外的尽职调查,尤其是雇佣软件工程师或开发人员。「LazarusAPT集团甚至参与创建开发加密货币软件的虚假公司。」我们从我们的一个投资组合公司那听说,他们软件工程师职位的申请人面试时很可疑,也与他们简历中的样貌不相符。
配置专用于加密交易的计算机
应该要有专门的计算机,只用于从事加密交易,不与任何电子邮件、互联网链接、消息应用程序、MSword文档、PDF等交互。
为所有登录实施2FA
虽然不是针对加密,但也重要到要提个醒。云存储、电子邮件、Telegram等消息应用程序都应该开启2FA登录。请用Google身份验证代替短信2FA。
应尽可能使用YubiKey这样的硬件2FA钱包,公司和个人账户都是。
将常用加密DApp网站加入书签
有时候搜索引擎会搜出钓鱼网站,要是搜索过程中一个不小心,你可能就会上了一个钓鱼网站。最好通过书签列表访问加密DApp网站。
撤销不需要的Token授权
Token授权允许另一方移动你的资产,是与大多数智能合约交互的必要条件。避免无限制的Token授权,并定期撤销不必要的授权,这可以用Revoke做到。
建立一个地址监控系统
内部的加密货币钱包地址应该被密切监控,以便在未经授权的交易发生时,团队可以立即察觉并尽快采取行动。Etherscan和Nansen都提供这样的解决方案。
为团队成员定期举行网络安全培训
所有团队成员在入职时都应接受网络安全培训,但这往往随着组织发展会被忽略掉。
通过正确配置电子邮件的DNS设置,防范钓鱼和垃圾邮件
尽可能对SPF、DKIM和DMARC使用hard-fail模式或严格模式。
信任浏览器而非网站
任何浏览器栏下方的内容都可能是不安全的,是潜在的攻击媒介。如果你没有登录,一些DApp可能会弹出一个窗口,要求你登录到你的加密钱包。切勿输入密码。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。