怎么保護我們的加密資產？_SEC

Author：

Time：1900/1/1 0:00:00

最近業內最受關注的安全方面的新聞恐怕就是Solana錢包Slope出現了安全漏洞。

據目前的信息，在這次事故中，有大概9000多個錢包受到牽連，這些錢包持有者大概被盜了超過400萬美元的資產。

這次安全事故是怎么發生的呢？其最根本的原因還是在錢包對密鑰的處理上出現了問題。

人們發現當用戶使用Slope錢包的移動版產生地址時，地址對應的私鑰被發送到了Slope的服務器Sentry上，并且是被明文直接發送到服務器的。

派盾：jimbos protocol被攻擊是由于缺乏對流動性轉移操作的滑點控制:5月28日消息，派盾（PeckShield）監測顯示，今日遭遇攻擊損失 4090 枚 ETH（約 750 萬美元）的 jimbos protocol 是由于缺乏對流動性轉移操作的滑點控制，協議擁有的流動性被投入到一個傾斜 / 不平衡的價格范圍，這在反向交換中被攻擊以獲利。

金色財經此前報道，jimbos protocol 項目疑似遭受攻擊，累計損失約 750 萬美元[2023/5/28 9:47:09]

這種做法本身就存在兩大致命問題：

安全公司：目前SED項目資金池流動性幾乎為0，SED代幣失去價值:10月5日消息，NUMEN實驗室根據鏈上數據監測，發現SED項目發生跑路事件，項目方先用大量的SED代幣向池子進行兌換，換出一部分USDT，然后又移除了之前添加的流動性，目前資金池流動性幾乎為0，相應的SED代幣也失去了價值。

據悉，SED是異性社交平臺SexDao發行的Token，該項目創始人由于與Token2049 網紅小作文作者同名而在近期受到大量關注，目前官網和官方twitter已經無法訪問。[2022/10/5 18:40:09]

第一，敏感信息的通信一般都需要經過加密后才能傳輸。

SEC無法確認或否認Ripple引用的Bill Hinman相關視頻真實性:5月20日消息，針對Ripple法律團隊引用的YouTube視頻，美國證券交易委員會（SEC）無法確認或否認視頻中的Bill Hinman是否真的是其本人。據悉，Bill Hinman又名William Hinman，是美國SEC公司財務部前主任，他已成為美國SEC與Ripple Labs訴訟案的關鍵因素。Hinman在2018年金融科技周會議上發言時表示，出售ETH并不構成“證券交易”。根據Ripple Labs法律團隊Debevoise & Plimpton于5月18日提交的一項強制受理申請（RFA）的動議，SEC“未能按照適用規則對53份關于重要主題的RFA做出回應。”Ripple正在尋求法院下令要么接受RFA，要么SEC提供修改后的回應。據此前報道，Ripple指責美SEC使用拖延策略以避免披露William Hinman相關內部文件。（Cointelegraph）[2022/5/20 3:30:14]

第二，照理說錢包的私鑰應該只在用戶手里，而不應該被傳送到第三方設備上。

所以當Slope以這樣的方式外泄用戶的錢包密鑰時就為后來的悲劇留下了致命的隱患。

而接下來便是Sentry服務器被黑客攻破，導致服務器上存儲的所有這些用戶的私鑰被全部竊取。這樣黑客便開始挨個盜取用戶錢包中的資產。

在這場重大事故中，目前暫未發現硬件錢包受影響。

在這個事故中，我認為最根本的要害是錢包的私鑰在產生時就被外泄了。

通常，還有一種更為普遍的錢包被盜的方式就是用戶安裝錢包的設備不安全，使得當該設備在聯網時黑客能夠通過互聯網掃描設備上的信息，盜取錢包的私鑰或者助記詞，從而盜取錢包中的資產。

從這些場景中我們發現，無論采取什么方式，設備的聯網是錢包助記詞或者密鑰被盜的一個必備條件。如果設備不聯網，則黑客再有本事，也無法通過盜取私鑰或者助記詞盜取用戶的資產。