如何確保你正在用的平臺和錢包 APP 是安全的？_APP

資產安全一直以來都是加密行業老生常談的重要話題，然而根據白話區塊鏈觀察，盡管經常做安全科普，但真正關注安全問題的并不多，因為很多人普遍的心態是：「這完全是概率事件，輪不上我這『仨瓜倆棗』」，反而往往卻認為比這概率更低的彩票中獎一定會輪到自己。

事實上，隨著加密資產的主流化，針對個人用戶資產的安全事件頻發，而且不論大戶還是散戶，很多時候，這些事件就發生在我們身邊，已經不是小概率事件了。

那么從近來最常見的個人用戶資產安全事件出發，一起來捋一捋那些和我們息息相關的安全問題吧，最首當其沖的就是：如何確保你正在用的平臺和錢包APP是安全的？

01?「官方渠道」就一定安全嗎？

大部分人都覺得確保平臺和錢包APP安全很簡單，認準「官方渠道」不就行了？其實也未必……

1.比官網更像官網的「官網」

大家都知道找「官網」，但以常見的主流錢包為例，你能馬上列出它們準確的官網地址嗎？馬上「做題」檢測：

大部分人可能會選A和B，根據日常慣例，很多人會認為品牌名+.com或者io后綴的才是「具有品牌實力」的官網，可事實上很多團隊早期都是創業小團隊起家，當時注冊的官網域名很是「潦草」，正確答案其實是C。

SellToken即將上線首個DEX做空聚合交易平臺:據官方消息，SellToken即將上線首個DEX做空聚合交易平臺 ，SellToken是一個基于智能合約的去中心化做空交易所，它的運行完全基于不可修改的智能合約代碼，根據用戶提交的做空請求，由智能合約全自動的執行，完成用戶做空操作，SellToken與傳統中心化交易所合約有很大的區別，區別在于SellToken開空永不爆倉，避免了巨鯨惡意操控代幣價格。

SellToken提供用戶極佳的安全性和可信度，所有交易直接在智能合約執行，避免了資金被攻擊和失竊的風險，目前，平臺支持BNB Chain網絡BNB和USDT交易對，以太坊網絡稍后開放。此外，平臺幣SELLC 5%用于空投。[2023/3/25 13:26:05]

還是同樣的原因，這些錢包官方團隊起家時可能連商標都沒有考慮注冊……然后品牌商標被別人搶注了，接著別人拿著商標就可以在某些搜索引擎上購買品牌保護服務，在搜索結果上打上「品牌官方」的認證標簽，或者購買推廣服務，永遠排在前面，這就極具迷惑性了，這個事也就發生在前兩年。至今在某些主流搜索引擎搜索「xxx錢包官網」前幾頁結果大概率都是假貨。

這些比官網還官網的「官網」，著實「坑」了不少人，因為對于黑客來說也是成本較低、成功率較高的方式之一。

數據：超過95%的AI代幣持有者目前處于盈利狀態:金色財經報道，盡管最近幾天大多數加密貨幣市場都出現虧損，但基于人工智能平臺ChatGPT的流行重新激發了人工智能(AI)的炒作，幫助了很大一部分Fetch.ai(FET)持有者保持盈利。根據Finbold的最新信息，多達96%的FET持有者在當前價格（貨幣）中獲利，而只有4%處于虧損狀態。Fetch.ai代幣持有者中，99%被認為是長期持有者，持有AI代幣超過一年，而只有1%的人持有1到12個月。[2023/3/3 12:41:16]

2.知道官網地址又如何？

很多人覺得，確保輸入正確的官方域名，下載的app一定是安全的。不過，依然還是會出事。這不近期的Bitkeep錢包安全事故中，BitKeep發布公告稱，經過團隊初步排查，疑似部分APK包下載被黑客劫持，安裝了被黑客植入代碼的包。

簡單的說，就是部分用戶下載的APK包過程中被黑客「劫持」，下載成了黑客特殊加工過的「錢包」進行安裝，我們暫且把它納入一個非官方「假錢包」行列吧。

公告提到的主要原因是「劫持」，由于「劫持」方法和環節眾多，目前暫不清楚是什么環節出的問題，但我們可以聊聊黑客通常是怎樣讓一個用戶明明輸入的是「官網」域名，卻下載到假錢包的：

華爾街日報：Tether稱審計還需要幾個月時間:金色財經報道，Tether 表示，隨著加密貨幣市場的下滑，審計還有幾個月的時間。許多加密貨幣公司缺乏有助于保護傳統銀行投資者的基本金融護欄。 公司通常不發布財務報表，或讓任何人檢查他們的賬簿。 即使經過審計，也沒有公認的數字資產會計準則，許多加密貨幣公司缺乏基本的財務護欄； “Tether 需要類似于公司結腸鏡檢查的審計”。[2022/8/27 12:52:45]

第一種，本地Localhost文件動手腳

本地PC設備被誘導或者通過漏洞安裝了惡意軟件、病后，通過修改本地主機Localhost文件，這種方法可將指定的域名直接指向非官方服務器的IP，也就是說，瀏覽器打開后，輸入準確的域名，訪問的去卻是黑客提供的網站，下載的也是假APP。

第二種，直接在本地瀏覽器或App打開的頁面動手腳

當你打開某些平臺網站、錢包網頁時，通過瀏覽器插件直接修改特定網頁展示的內容，例如將APP下載按鈕指向的APP下載鏈接地址替換成黑客準備的地址、將資產充提地址替換成黑客的，也可以讀取和修改剪貼板中的錢包地址或者私鑰。至于瀏覽器插件是否有修改網頁的權限，這點不要擔心，因為幾乎大部分瀏覽器插件都有這樣的權限，如果你有仔細觀察的話，你會發現即便我們常用的小狐貍錢包也有這樣的權限……不久前也有因下載了頭部CEX的會發現即便我們常用的假APP導致充提地址被替換導致資產丟失的事件發生。

報告：比特幣、以太坊和Solana活躍貢獻者數量自2018年1月以來年均增加71.6%:8月3日消息，技術投資機構Telstra Ventures發布的一份報告顯示，盡管加密市場動蕩，比特幣、以太坊和Solana生態頂級項目的活躍貢獻者自2018年1月以來平均每年增加71.6%。

其中Solana的月度活躍貢獻者的年度增長最為顯著，自2018年1月1日以來的復合年增長率為173%。以太坊排名第二，自2018年以來每月貢獻者的復合年增長率為24.9%，比特幣排名第三，“緩慢而穩定”的年增長率為17.1%。

報告還指出，以太坊在三者中擁有“最大和最強”的開發者社區。該網絡在4月份有近2500名月度活躍貢獻者，在7月份下降到2000多名貢獻者，這與幣價的下跌相吻合。（Cointelegraph）[2022/8/3 2:56:08]

第三種、遠程DNS劫持、域名解析記錄修改、APP廠商服務器被黑

這種屬于遠程互聯網服務商的問題了，很少出現，成本和難度系數也非常高，但確實出現過，也是通過類似「投」的方式，讓你訪問的域名解析到黑客的地址。另外是服務商自己的域名服務商賬戶被盜導致域名解析被修改等均可能造成輸入官方網址，卻進入黑客網站的情況。另外APP廠商自己被黑那就沒話說了，這些都是我們無法左右的情況。

薩爾瓦多比特幣城由墨西哥建筑師Fernando Romero設計:金色財經報道，薩爾瓦多近日發布比特幣城的發展計劃細節。其中火山比特幣城由FR-EE建筑工作室創始人、墨西哥建筑師Fernando Romero設計。建筑師根據比特幣的符號形狀，將這座城市設計成了圓形。比特幣城的規劃結構為單中心同心圓狀，圓心是一座帶有比特幣標志的中心廣場，上面印有一個巨大的“B”代表比特幣。圍繞圓心是一系列采用最新技術的智能建筑，并有展示人類貨幣史的博物館、多功能大型體育場、NFT 畫廊等。

孔查瓜火山的地熱能為整個比特幣城市電網供電，包括加密貨幣的開采，這將為處理加密貨幣的科技公司提供空間。比特幣城將以綠色（樹木）和藍色（海洋）為主，火山上還會建一座凌空圓形觀景臺。城內交通以輕軌為主，一條特快列車連接起擬建的機場、海港和其他鄰近城市。[2022/6/27 1:32:54]

02?白話區塊鏈的安全提示

在得知黑客連官網都能劫持，就不得不感嘆「防不勝防」了，那如何是好？實際上這些安全問題并不僅僅存在加密領域中，進入數字化時代，任何APP都存在安全問題，包括銀行、第三方支付APP都存在不少假「APP」的現象，因此我們結合過去的經驗總結了一些對應的安全防范提示供大家參考：

1.使用HTTPS防劫持

輸入正確官方域名時，務必在域名開頭加上https://，它的作用很大，打開網址時，如果有本地劫持、遠程DNS劫持風險，通常瀏覽器地址欄上方會有「不安全」的紅色警示以及頁面安全隱患等多種警示，具體原理就不展開了，簡單的說這也是非對稱加密的一個廣泛應用之一，用于防劫持，通過加密簽名的不對稱驗證來確保訪問的是官方提供的網頁。

這里插一句題外話，事實上很多項目方的網站，甚至DeFi網站都沒有使用或者強制使用Https來部署網站，這完全說不過去，很難感受到團隊上心的態度和專業度。

2.檢查APK文件哈希

由于某些特殊原因，國內安卓手機用戶無法直接通過GooglePlay下載APP，只能下載APK安裝包，而大部分假APP安全事件就出在APK被替換、下載了假APK的問題上，那么就我們就一定要確保APK是官方提供的才行。

首先用Https打開官網后，進入下載頁面，細心的同學可能會看到一些下載頁面通常會有一個「驗證應用安全性」或者SHA256等字樣鏈接，預計80%的人不會看安全提示，90%的人沒有點開驗證鏈接查看過里面的內容并進行驗證…

點開安全驗證鏈接或者SHA256鏈接后，我們會看到官方公布的APK安裝包文件對應的哈希值，我們在下載APK文件后，計算它的哈希值與官方公布的一致，就可以說明文件沒有被替換掉。

下載APK后，關鍵的一步來了，打開谷歌旗下的virustotal.com查網站，上傳剛剛下載APK文件，我們可以獲得這個文件的哈希值進行對比的同時通過數十個病庫以及進行檢索這個文件是否攜帶惡意代碼等情況，可以說是一箭雙雕的神器。

最后，如果要再再嚴謹一點，也要注意打開官網下載頁面時擔心哈希值和下載鏈接被本地病、插件同時篡改，那么可以通過手機等不同環境瀏覽器二次確認哈希值是否一致。

假如，你準備下載的錢包官網下載頁面不支持Https，你首先要懷疑的是這是不是真的官網，另外如果不提供APK文件哈希值核對，同樣你可以懷疑這個錢包團隊對安全性的嚴謹態度，出現如此疏漏是非常不應該、不負責任的，請謹慎考慮是否要使用該APP。

3.如何檢查當前安裝的平臺、錢包APP是否安全？

事實上，最好的方法就是通過官網的下載頁面進入安卓的GooglePlay、IOSAppStore下載安裝，因為理論上谷歌和蘋果應用商店的安全系數比錢包官方的安全系數高太多了，它們平臺具有世界頂尖級別的安防軟硬件和人才儲備，錢包或者平臺和它們比起來完全不是一個量級的。

因此通過錢包、平臺官網下載頁面打開GooglePlay、AppStore頁面，再次確認開發者公司名稱、下載量、評論量沒有問題的情況下，此時我們可以認為下載的APP是安全的。

如果當前設備正在使用的apk包安裝應用不確定是否安全，可以按照前面2個安全提示的方法，確定官方并驗證哈希以后下載到手機覆蓋安裝即可，不過千萬不要忘了先備份好助記詞，以防覆蓋過程出錯導致丟失數據無法恢復錢包。

4.關于錢包安全的其它建議

如果不用冷錢包、硬件錢包，喜歡熱錢包的朋友，最安全的是iphone設備安裝，一來只需要一個海外ID不需要安卓這樣的各種折騰，二來iPhone鎖定后加密數據沒有密鑰無法解鎖。

海外很多主流APP都是不支持APK單獨下載安裝的，就是因為安全問題太多，但很多廠商為了拉新迫于無奈、安卓用戶太龐大等原因才開放APK下載，安卓如果要繞開APK問題，需要谷歌服務框架、谷歌密碼驗證器這些必備軟件，現階段因為某些原因已經非常難安裝了，很多人找的第三方解決方案來源本身就非官方可能也不安全，也不夠嚴謹。

當然一定要用安卓手機，可以選擇一些目前尚且還原生支持谷歌全家桶框架的廠商，比如三星，另外將錢包安裝到支持安全芯片隔離的安全文件夾的設備可以成為第二重安全保障，可以達到和蘋果手機一樣丟失后無法解鎖獲取敏感數據的額外安全效果。

5、關于平臺APP的建議

由于大部分平臺CEX都采用了多重驗證，不太受假APP的影響，但也要注意確認APP中的充提地址是否與官網頁面提供的一致，另外一定要開啟平臺內的「白名單」功能，只能將資產提到安全的白名單地址。

另外，平臺CEX面臨最大的風險除了前文中的兩個本地劫持修改充提地址外，就是釣魚了，因為大多數人的APP、短信、谷歌驗證器，實際上是安裝在同一設備上的，這就造成了，黑客只要控制或者監聽一臺設備，即可大概率掌控你這三個信息進而操控你的平臺資產。

因此安全起見不是非常建議一個設備同時操作多重驗證，可以把谷歌驗證器安裝在另一臺安全手機上，也可以不在手機上安裝app而通過在PC或者PC網頁端操作平臺賬戶，這樣可以防止單點「爆破」，最大限度保護資產安全。

03?小結

安全無小事，白話區塊鏈認為安全問題值得每天講、是時時刻刻講，在日常操作過程中，或許只需要多1秒鐘時間留意這些細節，就能夠做到為資產提升99%安全的可能性，何樂而不為？

Tags：APPAPK比特幣SEL門羅幣appbybit下載apk比特幣sv和比特幣區別Selfdrop Token

DOT