OKX Web3 y WTF Academy: ¿Trabajando duro en un momento, y al siguiente siendo "hackeado" por un Hacker?

引言: OKX Monedero Web3 ha planeado especialmente la sección “Edición Especial de Seguridad”, que responde a problemas de seguridad en la cadena para diferentes tipos. A través de casos reales que ocurren más comúnmente entre los usuarios y la colaboración con expertos o instituciones en el campo de la seguridad, se comparten y se responden desde diferentes perspectivas, con el fin de analizar y resumir las reglas de seguridad de las transacciones, desde lo básico hasta lo avanzado. El objetivo es fortalecer la educación en seguridad de los usuarios y ayudarles a aprender a proteger sus llaves privadas y activos en la billetera desde el principio.

El funcionamiento del cabello es tan feroz como el de un tigre, y el factor de seguridad es menos 5 ?

作为链上交互的高频用户，对于撸毛人来说，安全永远是第一位的

Hoy, dos grandes expertos en seguridad en la cadena te enseñarán estrategias de protección segura.

Esta edición es el número 03 del boletín de seguridad. Hemos invitado al conocido experto en seguridad de la industria, 0x AA, y al equipo de seguridad de la billetera Web3 de OKX para que expliquen los riesgos de seguridad comunes y las medidas de prevención desde la perspectiva de una guía práctica.

WTF Academy: Muchas gracias por la invitación de OKX Web3. Soy 0x AA de WTF Academy. WTF Academy es una universidad de código abierto de Web3 que ayuda a los desarrolladores a iniciarse en el desarrollo de Web3. Este año hemos incubado un proyecto de rescate de Web3 llamado RescuETH (equipo de rescate on-chain), que se enfoca en rescatar los activos restantes de las billeteras robadas de los usuarios. Hasta ahora, hemos logrado rescatar más de 3 millones de yuanes en activos robados en Ethereum, Solana y Cosmos.

Equipo de seguridad de la billetera OKX Web3: Hola a todos, estamos muy contentos de poder compartir esta información. El equipo de seguridad de la billetera OKX Web3 se encarga principalmente de construir diversas capacidades de seguridad para OKX en el campo de Web3, como la construcción de capacidades de seguridad de la billetera, auditoría de seguridad de contratos inteligentes, monitoreo de seguridad de proyectos en la cadena, etc. Brindamos a los usuarios servicios de protección múltiple para la seguridad de productos, fondos y transacciones, y contribuimos a mantener la seguridad del ecosistema de blockchain en su conjunto.

P1: Comparte algunos casos reales de riesgos enfrentados por los usuarios de Gate.io

WTF Academy: La filtración de la llave privada es uno de los principales riesgos de seguridad que enfrentan los usuarios de Gate.io. Básicamente, la llave privada es una cadena de caracteres utilizada para controlar los activos de criptografía. Cualquier persona que tenga la llave privada puede tener control total sobre los activos de criptografía correspondientes. Una vez que se filtra la llave privada, los atacantes pueden acceder, transferir y administrar los activos del usuario sin autorización, lo que resulta en pérdidas económicas para el usuario. Por lo tanto, compartiré algunos casos de robo de llaves privadas de manera destacada.

Alice (alias) fue inducida por un hacker a descargar malware en las redes sociales, lo que resultó en el robo de su llave privada después de ejecutar dicho malware. Actualmente, el malware adopta diversas formas, que incluyen, pero no se limitan a: scripts de minería, juegos, software de reuniones, scripts de chantaje y robots de clip, entre otros. Los usuarios deben aumentar su conciencia de seguridad.

Bob (alias) accidentally uploaded his private key to GitHub, which was obtained by others, resulting in his assets being stolen.

Carl (alias) trusted the fake customer service who contacted him proactively when he consulted questions in the official Telegram group of the project party, and disclosed his mnemonic phrase. As a result, his wallet assets were stolen.

Equipo de seguridad de la billetera OKX Web3: Hay muchos casos de riesgo como este, hemos seleccionado algunos casos clásicos que los usuarios han experimentado mientras están rascándose.

La primera categoría es la publicación de falsos airdrops en cuentas de alta imitación. El usuario A estaba navegando por Twitter de un proyecto popular y encontró un anuncio de actividad de airdrop en la parte inferior de la última publicación en Twitter. Hizo clic en el enlace del anuncio para participar en el airdrop, lo que finalmente resultó en ser víctima de phishing. Actualmente, muchos estafadores utilizan cuentas de alta imitación de las oficiales y publican anuncios falsos en Twitter oficial para atraer a los usuarios. Los usuarios deben prestar atención para discernir y no tomarlo a la ligera.

La segunda categoría es el secuestro de cuentas oficiales. Las cuentas oficiales de Twitter y Discord de un proyecto fueron atacadas por hackers. Posteriormente, los hackers publicaron un enlace falso de actividad de airdrop en la cuenta oficial del proyecto. Debido a que el enlace se publicó a través de canales oficiales, el usuario B no sospechó de su autenticidad y hizo clic en el enlace para participar en el airdrop, pero terminó siendo víctima de phishing.

La tercera categoría es encontrarse con un proyecto malicioso. El usuario C participa en la actividad de minería de cierto proyecto y, para obtener mayores recompensas, invierte todos sus activos de USDT en el contrato de staking del proyecto. Sin embargo, este contrato inteligente no ha sido sometido a una auditoría rigurosa y no está disponible en código abierto. Como resultado, el proyecto se aprovecha de una puerta trasera dejada en el contrato para robar todos los activos depositados por el usuario C.

Para los usuarios de criptomonedas, tener decenas o incluso cientos de billeteras es común. Proteger la seguridad de las billeteras y los activos es un tema muy importante que requiere estar siempre alerta y aumentar la conciencia de seguridad.

Q2: Como usuario frecuente, los riesgos comunes de seguridad y las medidas de protección en la interacción on-chain de los usuarios de Gate.io

WTF Academy: Para los usuarios de Web3, incluidos los usuarios de Llave privada, los dos riesgos de seguridad más comunes son los ataques de phishing y la filtración de la Llave privada.

El primer tipo son los ataques de phishing: los piratas informáticos generalmente se hacen pasar por sitios web o aplicaciones oficiales, engañan a los usuarios para que hagan clic en las redes sociales y los motores de búsqueda, y luego engañan a los usuarios en transacciones o firmas en sitios web de phishing para obtener autorización de token y robar activos de usuario.

Las medidas de seguridad: en primer lugar, se recomienda a los usuarios que solo accedan al sitio web y la aplicación oficial a través de canales oficiales (como enlaces en la descripción de Twitter oficial). En segundo lugar, los usuarios pueden utilizar complementos de seguridad para bloquear automáticamente algunos sitios web de phishing. En tercer lugar, cuando los usuarios ingresen a sitios web sospechosos, pueden consultar a profesionales en seguridad para que les ayuden a determinar si se trata de un sitio web de phishing.

La segunda categoría es la filtración de la llave privada: ya se ha explicado en la pregunta anterior, por lo que no se profundizará aquí.

防范措施: En primer lugar, si el ordenador o el teléfono del usuario tiene una billetera instalada, se debe evitar descargar software sospechoso de fuentes no oficiales. En segundo lugar, los usuarios deben saber que el servicio de atención al cliente oficial generalmente no les enviará mensajes privados de forma activa, y mucho menos les pedirá que envíen su llave privada o frase de recuperación en sitios web falsos. En tercer lugar, si el proyecto de código abierto del usuario requiere el uso de una llave privada, asegúrese de configurar el archivo .gitignore para evitar que la llave privada se cargue en GitHub.

Equipo de seguridad de la billetera Web3 de OKX: Hemos resumido los 5 tipos comunes de riesgos de seguridad que los usuarios enfrentan al interactuar en la cadena, y hemos enumerado algunas medidas de protección para cada tipo de riesgo.

1. Estafa de Airdrop

Riesgo de introducción: Algunos usuarios a menudo se encuentran con una gran cantidad de tokens desconocidos en sus direcciones de billetera, y estos tokens generalmente fallan en las transacciones DEX comunes. La página web les pedirá a los usuarios que los intercambien en su sitio web oficial. Sin embargo, cuando los usuarios realizan transacciones de autorización, a menudo otorgan permisos a los contratos inteligentes para transferir los activos de sus cuentas, lo que finalmente resulta en el robo de activos. Por ejemplo, el fraude de airdrop de Zape, muchos usuarios repentinamente recibieron una gran cantidad de monedas Zape en sus billeteras, con un valor aparente de decenas de miles de dólares. Esto hizo que muchas personas pensaran que habían tenido una gran fortuna por accidente. Sin embargo, esto es en realidad una trampa cuidadosamente diseñada. Debido a que no se pueden encontrar estos tokens en plataformas regulares, muchos usuarios ansiosos por convertirlos en efectivo buscarán el supuesto “sitio web oficial” según el nombre del token. Siguiendo las instrucciones y conectando la billetera, creen que pueden vender estos tokens, pero una vez que otorgan la autorización, todos los activos en la billetera serán robados de inmediato.

Medidas de protección: Para evitar el lavado de ojos de airdrops, los usuarios deben mantenerse alerta, verificar la fuente de información y obtener siempre información sobre los airdrops a través de canales oficiales (como el sitio web oficial del proyecto, las cuentas oficiales en redes sociales y los anuncios oficiales). Proteja su llave privada y frase semilla, no realice ningún pago y utilice la comunidad y herramientas para verificar e identificar posibles estafas.

2. Contrato inteligente malicioso

Riesgo de Introducción: Muchos contratos inteligentes no auditados o no de código abierto pueden contener vulnerabilidades o puertas traseras, lo que no garantiza la seguridad de los fondos del usuario.

防护措施：Los usuarios deben interactuar solo con contratos inteligentes que hayan sido estrictamente auditados por empresas de auditoría regulares, o prestar atención a los informes de auditoría de seguridad del proyecto. Además, por lo general, los proyectos que cuentan con bug bounty ofrecen una mayor garantía de seguridad.

3. Gestión de autorización:

Introducción de riesgo: otorgar demasiados privilegios a contratos interactivos puede llevar al robo de fondos. Aquí se presenta un ejemplo: 1) Si el contrato es actualizable y la clave privada de la cuenta privilegiada se filtra, un atacante puede utilizar esa clave privada para actualizar el contrato a una versión maliciosa y así robar los activos autorizados de los usuarios. 2) Si el contrato tiene vulnerabilidades no identificadas, otorgar demasiados privilegios puede permitir que un atacante robe fondos en el futuro aprovechando esas vulnerabilidades.

Medidas de protección: En principio, solo se autoriza una cantidad necesaria de contratos interactivos y se debe verificar periódicamente y revocar las autorizaciones innecesarias. Al firmar una autorización de permiso fuera de la cadena, asegúrese de tener claro el contrato de destino, el tipo de activo y el límite de autorización antes de proceder.

4. Autorización de pesca

Haga clic en el enlace malicioso y se le induce a autorizar contratos o usuarios maliciosos.

Medidas de protección: 1) Evitar firmar a ciegas: Antes de firmar cualquier transacción, asegúrese de comprender el contenido de la transacción que está a punto de firmar, asegurándose de que cada paso sea claro y necesario. 2) Tener precaución con los destinos de autorización: Si el destino de la autorización es una dirección EOA (Cuenta Propiedad Externa) o un contrato no verificado, debe estar alerta. Los contratos no verificados pueden contener código malicioso. 3) Utilizar una billetera con protección contra phishing: Utilice una billetera con un complemento de protección contra phishing, como la billetera web OKX Web3, que puede ayudar a identificar y bloquear enlaces maliciosos. 4) Proteger las palabras de recuperación y la llave privada: Todos los sitios web que soliciten palabras de recuperación o llaves privadas son enlaces de phishing, no ingrese esta información confidencial en ningún sitio web o aplicación.

5. Scripts de esponjamiento maliciosos

Riesgo de introducción: ejecutar un script malicioso puede resultar en la inserción de un troyano en su computadora y, por lo tanto, en el robo de su llave privada.

防护措施：谨慎运行未知的撸毛脚本或者撸毛软件。 -> Medidas de protección: tenga cuidado al ejecutar scripts o software de rizado desconocidos.

总之，我们希望用户在进行链上交互时候，可以谨慎再谨慎、保护好自己的Billetera和资产安全。

Q3: Revisar los tipos clásicos de phishing y sus métodos, así como cómo identificarlos y evitarlos?

WTF Academy: Me gustaría responder a esta pregunta desde otra perspectiva: ¿Cómo distinguir entre un ataque de phishing y una filtración de clave privada una vez que el usuario descubre que sus activos han sido robados? Los usuarios suelen poder distinguir entre estos dos tipos de ataques según las características siguientes:

Una de las características del ataque de phishing es que los hackers suelen obtener acceso a uno o varios activos de una única billetera de usuario a través de sitios web de phishing para robar esos activos. Por lo general, el tipo de activos robados es igual al número de veces que el usuario otorgó autorización en el sitio web de phishing.

二、私钥/助记词泄漏的特点：Hacker完全取得用户单一或largo个钱包下的所有链的全部资产的控制权。因此，如果出现以下特征中的一个或多个，大概率判断为私钥泄漏：

1）Los tokens nativos fueron robados (como ETH en la cadena de ETH), ya que los tokens nativos no pueden ser autorizados.

2）Los activos de múltiples cadenas son robados.

3. Robo de largo Billetera bienes.

4）La billetera única ha sido hackeada y se han robado varios activos, y recuerdo claramente que no he autorizado estos activos.

5. No hay autorización antes de robar Tokens o en la misma transacción (Evento de aprobación).

6）El Gas transferido será robado por un Hacker de inmediato.

Si no cumple con las características anteriores, es muy probable que sea un ataque de phishing.

**Equipo de seguridad de la billetera web3 de OKX: ** Intente evitar el phishing en la medida de lo posible, primero debe prestar atención a 2 puntos: 1) Recuerde no ingresar la frase mnemotécnica / llave privada en ninguna página web; 2)

Asegúrese de que el enlace al que accede sea un enlace oficial y tenga cuidado al hacer clic en el botón de confirmación en la interfaz de la billetera.

A continuación, compartiremos algunas estrategias clásicas para la pesca, que ayudarán a los usuarios a comprender de manera más intuitiva.

1、Sitio web falso de phishing: Sitio web falso de DApp oficial, induciendo a los usuarios a ingresar su llave privada o frase mnemotécnica. Por lo tanto, el principio fundamental para los usuarios es no proporcionar su llave privada o frase mnemotécnica a nadie o a ningún sitio web. En segundo lugar, verifique si la URL es correcta, intente utilizar marcadores oficiales para acceder a DApp comunes y use billeteras principales regulares, como la billetera web OKX Web3, que alertará sobre sitios web de phishing detectados.

2, Robo de tokens de la cadena principal: las funciones maliciosas del contrato se llaman Claim, SeurityUpdate, AirDrop, entre otros nombres con intenciones engañosas. En realidad, la lógica de estas funciones está vacía y solo transfieren los tokens de la cadena principal del usuario.

3. Transferencia de direcciones similares: los estafadores generarán direcciones con un número de bits inicial o final idéntico al de una dirección asociada a un usuario mediante colisiones de direcciones, y utilizarán transferFrom para realizar transferencias de 0 tokens con el fin de envenenar, o utilizarán tokens USDT falsos para realizar transferencias de cierta cantidad, contaminando así el historial de transacciones del usuario, con la esperanza de que el usuario copie la dirección incorrecta del historial de transacciones al realizar transferencias posteriores.

4、Suplantación de servicio al cliente: Los hackers se hacen pasar por el servicio de atención al cliente y contactan a los usuarios a través de redes sociales o correo electrónico, solicitando la provisión de la llave privada o la frase mnemotécnica. El servicio de atención al cliente oficial no solicitará la provisión de la llave privada, por lo que se debe ignorar directamente este tipo de solicitudes.

Q4: Precauciones de seguridad a tener en cuenta al usar varias herramientas para aquellos que son expertos en el peinado de alta calidad.

WTF Academy： Debido a la amplia variedad de herramientas utilizadas por los usuarios, se debe reforzar la seguridad al usar diferentes tipos de herramientas, por ejemplo, “01928374656574839201”.

1、Billetera segura: asegúrese de que la llave privada o la frase de recuperación no se filtren. No guarde la llave privada en lugares inseguros y evite ingresarla en sitios web desconocidos o no confiables, etc. Los usuarios deben hacer una copia de seguridad de la llave privada o la frase de recuperación en un lugar seguro, como un dispositivo de almacenamiento sin conexión o un almacenamiento en la nube encriptado. Además, para los usuarios de billeteras que contienen activos de alto valor, el uso de una billetera de firma múltiple puede aumentar la seguridad.

2. Protección contra ataques de phishing: al visitar cualquier sitio web relacionado, asegúrese de verificar cuidadosamente la dirección del sitio web y evite hacer clic en enlaces de origen desconocido. Intente obtener enlaces de descarga e información del sitio web oficial del proyecto o de las redes sociales oficiales, evitando fuentes de terceros.

3、Seguridad del software: Los usuarios deben asegurarse de instalar y actualizar el software antivirus en sus dispositivos para evitar ataques de malware y virus maliciosos. Además, también se debe actualizar regularmente la billetera y otras herramientas relacionadas con blockchain para garantizar el uso de las últimas parches de seguridad. Dado que muchos navegadores de huellas dactilares y escritorios remotos han tenido vulnerabilidades de seguridad en el pasado, no se recomienda su uso.

A través de las medidas anteriores, los usuarios pueden reducir aún más el riesgo de seguridad al utilizar diversas herramientas.

Equipo de seguridad de la billetera Web3 de OKX: Comencemos con un caso público de la industria.

Por ejemplo, el navegador de huella digital Bit ofrece funciones como inicio de sesión con múltiples cuentas, prevención de ventanas relacionadas e información de simulación de computadora independiente, lo que ha sido favorecido por algunos usuarios. Sin embargo, una serie de incidentes de seguridad en agosto de 2023 expusieron sus riesgos potenciales. Específicamente, la función de “sincronización de datos de complementos” del navegador Bit permite a los usuarios cargar datos de complementos a servidores en la nube y migrar rápidamente a nuevos dispositivos ingresando una contraseña. Aunque esta función fue diseñada para la conveniencia de los usuarios, también presenta riesgos de seguridad. Los hackers obtuvieron los datos de la billetera al irrumpir en el servidor. A través de un ataque de fuerza bruta, los hackers descifraron la contraseña de la billetera de los datos y obtuvieron permisos de la billetera. Según los registros del servidor, el servidor que almacenaba la caché de la extensión fue descargado ilegalmente a principios de agosto (los registros más recientes datan del 2 de agosto). Este incidente nos recuerda que, mientras disfrutamos de la conveniencia, también debemos estar alerta ante los riesgos potenciales de seguridad.

Por lo tanto, es crucial que los usuarios se aseguren de utilizar herramientas seguras y confiables para evitar el riesgo de ataques de hackers y filtraciones de datos. En general, los usuarios pueden mejorar su seguridad desde las siguientes perspectivas.

一、 Uso de monedero de hardware: 1）Actualizar regularmente el firmware, adquirir a través de canales oficiales. 2）Usar en una computadora segura, evitar conectar en lugares públicos.

二、Uso de complementos del navegador: :) Utilice con precaución complementos y herramientas de terceros, y elija productos de buena reputación siempre que sea posible, como la billetera OKX Web3. 2) Evite el uso de complementos de billetera en sitios web no confiables.

Tres, uso de herramientas de análisis de transacciones: 1) Realizar transacciones e interacciones de contratos en una plataforma confiable. 2) Verificar cuidadosamente la dirección del contrato y los métodos de llamada para evitar operaciones incorrectas.

Cuatro, uso de equipos informáticos: 1) Actualizar regularmente el sistema de equipos informáticos, actualizar el software y parchear las vulnerabilidades de seguridad. 2) Utilizar software antivirus para proteger el sistema informático y buscar regularmente virus.

P 5 : En comparación con un solo Billetera, ¿cómo puede un cortador de pelo manejar largo Billetera y cuenta de manera más segura?

Academia WTF: Debido a la alta frecuencia de interacción de los usuarios en la cadena y la gestión simultánea de múltiples billeteras y cuentas, es necesario prestar especial atención a la seguridad de los activos.

一、Usar monedero de hardware: El monedero de hardware permite a los usuarios gestionar varias cuentas de billetera en el mismo dispositivo, con la llave privada de cada cuenta almacenada en el dispositivo de hardware, lo que en general garantiza una mayor seguridad.

Dos, separación de estrategias de seguridad y entorno de operación separado: en primer lugar, la separación de estrategias de seguridad permite a los usuarios dividir las billeteras según su uso, con el objetivo de diversificar los riesgos. Por ejemplo, una billetera para airdrops, una billetera para transacciones y una billetera para almacenamiento, entre otras. Además, se puede utilizar una billetera caliente para transacciones diarias y operaciones de lucro, mientras que una billetera fría se utiliza para almacenar activos importantes a largo plazo. De esta manera, si una billetera se ve comprometida, las otras billeteras no se verán afectadas.

El siguiente paso es separar el entorno de operaciones, lo que permite a los usuarios gestionar diferentes billeteras en diferentes dispositivos (como teléfonos móviles, tabletas, ordenadores, etc.) para evitar que los problemas de seguridad de un dispositivo afecten a todas las billeteras.

三、Gestión de contraseñas: Los usuarios deben establecer contraseñas fuertes para cada billetera, evitando el uso de contraseñas similares o idénticas. También pueden utilizar un gestor de contraseñas para administrar las contraseñas de diferentes cuentas, asegurándose de que cada contraseña sea independiente y segura.

Equipo de seguridad de la billetera OKX Web3: Para los usuarios de criptomonedas, gestionar de forma segura múltiples billeteras y cuentas no es una tarea sencilla. Por ejemplo, se puede aumentar la seguridad de la billetera desde las siguientes perspectivas:

1、Diversificar el riesgo: 1）No coloque todos los activos en una billetera, almacene de forma dispersa para soltar el riesgo. Según el tipo y el uso de los activos, elija diferentes tipos de billeteras, como monedero de hardware, software de billetera, monedero frío y monedero caliente, etc. 2）Utilice billeteras de múltiples firmas para administrar activos de gran valor, aumentando la seguridad.

2、备份和恢复： 1）定期备份助记词和私钥，保存在largo个安全地点。2）使用monedero de hardware进行冷存储，避免私钥泄露。

3、Evite contraseñas duplicadas： Establezca contraseñas fuertes para cada billetera y cuenta por separado para evitar el uso de la misma contraseña, reduciendo así el riesgo de que una cuenta comprometida amenace a otras cuentas simultáneamente.

4. Habilitar la autenticación de dos factores: En la medida de lo posible, habilitar la autenticación de dos factores (2FA) para todas las cuentas para aumentar la seguridad de la cuenta.

5、Herramientas de automatización: Reduzca el uso de herramientas de automatización, especialmente aquellas que puedan almacenar su información en la nube o en servidores de terceros, para minimizar el riesgo de fuga de datos.

6, Restricción de acceso: Solo autoriza a personas de confianza a acceder a su billetera y cuenta, y restringe sus permisos de operación.

7、Verificar regularmente la seguridad de la billetera: Utilizar herramientas para monitorear las transacciones de la billetera y asegurarse de que no ocurran transacciones anormales. Si se detecta una filtración de la llave privada de la billetera, cambiar todas las billeteras de inmediato, etc.

Además de las dimensiones mencionadas anteriormente, hay muchas más. De cualquier manera, los usuarios deben asegurar la seguridad de su billetera y activos a través de múltiples dimensiones en la medida de lo posible, y no depender únicamente de una sola dimensión.

P 6: ¿Qué recomendaciones de protección existen para el deslizamiento de transacciones y ataques MEV relacionados con los “lumao” y otros?

WTF Academy: Es crucial comprender y prevenir el deslizamiento de la transacción y los ataques de MEV, ya que estos riesgos afectan directamente el costo de la transacción y la seguridad de los activos.

Para el ataque de MEV, los tipos comunes son: 1) Front-running, donde el minero o el robot de transacciones ejecutan la misma transacción antes que el usuario para obtener beneficios. 2) Ataque del sandwich, donde el minero inserta una orden de compra y una orden de venta antes y después de la transacción del usuario, obteniendo beneficios de la fluctuación de precios. 3) Arbitraje: aprovechar las diferencias de precios entre diferentes mercados en la cadena de bloques para obtener beneficios.

Los usuarios pueden utilizar herramientas de protección de MEV para enviar transacciones a través de un canal exclusivo para los mineros, evitando así la difusión pública en la cadena de bloques. O bien, pueden reducir el tiempo de exposición de las transacciones, es decir, disminuir el tiempo que las transacciones permanecen en la mempool, aumentar las tarifas de gas para acelerar la confirmación de las transacciones, evitar realizar transacciones de gran valor en una única plataforma DEX, y tomar otras medidas para reducir el riesgo de ataques.

Equipo de seguridad de la billetera Web3 de OKX: El deslizamiento en el comercio se refiere a la diferencia entre el precio de comercio esperado y el precio de ejecución real, que suele ocurrir cuando hay una gran fluctuación en el mercado o la liquidez es baja. El ataque MEV implica que el atacante obtiene ganancias excesivas al aprovechar la asimetría de la información y los privilegios comerciales. A continuación se presentan algunas medidas de protección comúnmente utilizadas para estos dos escenarios.

1、Establecer la tolerancia al deslizamiento: Debido a la existencia de cierto retraso en las transacciones en la cadena y la posible presencia de ataques MEV, los usuarios deben establecer previamente una tolerancia adecuada al deslizamiento al realizar transacciones, para evitar posibles fallas en las transacciones o pérdidas de fondos debido a la fluctuación del mercado o a ataques MEV.

2、Operaciones escalonadas: Evite las operaciones de gran volumen de una sola vez y realice operaciones por lotes para reducir el impacto en el precio del mercado y soltar el riesgo de deslizamiento.

3、Utilice pares comerciales con alta liquidez: al operar, elija pares comerciales con suficiente liquidez para minimizar el deslizamiento.

4. Utilice herramientas anti-front running: Evite realizar transacciones importantes a través de Memepool. Puede utilizar herramientas profesionales anti-front running para proteger sus transacciones de ser capturadas por robots de MEV.

Q 7 ：¿Los usuarios pueden utilizar herramientas de monitoreo o métodos profesionales para monitorear y detectar de manera regular anomalías en la billetera o cuenta?

Academia WTF: Los usuarios pueden usar varias herramientas de monitoreo y métodos profesionales para monitorear y detectar de forma regular la actividad anormal de la billetera cuenta. Estos métodos ayudan a mejorar la seguridad de la cuenta, evitando el acceso no autorizado y posibles comportamientos fraudulentos. A continuación se presentan algunos métodos efectivos de monitoreo y detección:

1. Servicio de monitoreo de terceros: actualmente muchas plataformas pueden proporcionar a los usuarios informes detallados y alertas en tiempo real sobre las actividades de la billetera.

2）Utilizar complementos de seguridad: algunas herramientas de seguridad pueden bloquear automáticamente algunos sitios web de phishing.

3）Funciones integradas en la billetera: Las billeteras como OKX Web3 pueden detectar y reconocer automáticamente algunos sitios web de phishing y contratos sospechosos, y proporcionar advertencias a los usuarios.

Equipo de seguridad de la billetera Web3 de OKX: Actualmente, muchas empresas u organizaciones ofrecen una gran cantidad de herramientas para monitorear y detectar direcciones de billeteras. Hemos recopilado algunas según la información pública de la industria, como por ejemplo:

1. Herramienta de monitoreo de blockchain: utilizando herramientas de análisis de blockchain, monitorear transacciones anormales de direcciones de billetera, cambios en los fondos y configurar notificaciones de transacciones de direcciones.

2、Billetera segura: utilizando billeteras profesionales como la billetera Web3 de OKX, se puede realizar una preejecución de transacciones para detectar transacciones sospechosas de manera oportuna. También se puede detectar y bloquear la interacción con sitios web y contratos maliciosos.

3、Sistema de alarma（ s）: puede enviar alertas de cambios en transacciones o saldos según las condiciones establecidas por el usuario, incluyendo notificaciones por mensaje de texto, correo electrónico o aplicación, entre otros.

4、OKLink Token autorización de consulta: Verificar la autorización de la billetera para DApps, revocar la autorización innecesaria a tiempo y evitar el abuso de contratos maliciosos.

P 8: ¿Cómo proteger la seguridad de la privacidad en la cadena de bloques?

**WTF Academy：**Aunque las características transparentes y públicas de la cadena de bloques han traído muchos beneficios, también significa que la actividad de transacción y la información de activos de los usuarios pueden ser abusadas, por lo que la protección de la privacidad en la cadena se vuelve cada vez más importante. Sin embargo, los usuarios pueden proteger su identidad personal creando y utilizando múltiples direcciones. No se recomienda el uso de navegadores de huellas dactilares, ya que han habido numerosas vulnerabilidades de seguridad en el pasado.

Equipo de seguridad de billetera Web3 de OKX: Cada vez más usuarios están prestando atención a la protección de la privacidad y hay varias formas comunes de hacerlo.

1、Gestión de múltiples billeteras: distribuir los activos de los usuarios, reducir el riesgo de rastreo o ataques a una sola billetera.

2、Usar Monedero multifirma：requiere firma de largo para ejecutar transacciones, aumentando la seguridad y la protección de la privacidad.

3、Cartera fría：Almacenar activos a largo plazo en una cartera de hardware o almacenamiento sin conexión para evitar ataques en línea.

4、No divulgue su dirección: Evite compartir su dirección de billetera en redes sociales o plataformas públicas para evitar que otros la rastreen.

5. Utilice un correo electrónico temporal: al participar en una airdrop u otras actividades, utilice una dirección de correo electrónico temporal para proteger su información personal y evitar su exposición.

Q 9: ¿Cómo debe responder un usuario si su billetera cuenta ha sido hackeada? ¿Se han realizado esfuerzos o establecido un mecanismo para ayudar a los usuarios afectados a recuperar sus activos y protegerlos?

Academia WTF: Nos enfocamos en ataques de phishing y revelación de llave privada/frase de recuperación respectivamente.

Primero, cuando ocurre un ataque de phishing, los activos que el usuario autoriza al hacker se transfieren a la billetera del hacker, lo cual es casi imposible de recuperar o rescatar. Sin embargo, los activos restantes en la billetera del usuario son relativamente seguros. El equipo de RescuETH recomienda que los usuarios tomen las siguientes medidas:

1）Revocar la autorización de activos para Hacker

2）联系安全公司，对被盗资产和黑客地址进行追踪。

En segundo lugar, cuando se produce una filtración de la llave privada/frase de recuperación, todos los activos valiosos en la billetera del usuario se transferirán a la billetera del hacker. Esta parte es prácticamente irrecuperable, pero los activos en la billetera del usuario que no pueden ser transferidos actualmente pueden ser recuperados, como los activos de stake no desbloqueados y los airdrops no distribuidos. Este también es nuestro objetivo principal de rescate. El equipo de RescuETH recomienda a los usuarios que tomen las siguientes medidas:

1）Compruebe de inmediato si hay activos en la billetera que no hayan sido transferidos por hackers. Si los hay, transfiéralos de inmediato a una billetera segura. A veces, los hackers pueden pasar por alto algunos activos de cadenas menos conocidas.

2. Si hay activos de stake bloqueados y airdrops no distribuidos en la billetera, puedes contactar al equipo profesional para recibir ayuda.

3）Si sospecha que se ha instalado malware, escanee y elimine el malware de su computadora lo antes posible. Si es necesario, puede reinstalar el sistema.

目前，我们已经为被盗用户的资产做出了许多救援尝试。

Primero, somos el primer equipo en realizar un rescate a gran escala de activos de billeteras robadas. Durante la actividad de airdrop de Arbitrum en marzo de 2023, recopilé más de 40 claves privadas filtradas de billeteras de alrededor de 20 seguidores y logré adelantarme a los hackers para obtener el airdrop de $ARB. Finalmente, logramos rescatar exitosamente más de $40,000 en tokens ARB, con una tasa de éxito del 80%.

Segundo, cuando la billetera del usuario es hackeada, los activos de valor económico son transferidos por el hacker, mientras que los NFT o ENS sin valor económico pero con valor sentimental para el usuario permanecen en la billetera. Sin embargo, debido a que la billetera está siendo monitoreada por el hacker, el gas transferido se desvía de inmediato y el usuario no puede transferir estos activos. Para abordar este problema, hemos desarrollado una aplicación de rescate automático llamada RescuETH App, basada en la tecnología MEV de Flashbots bundle, que permite empaquetar las transacciones de gas recibido y los NFT/ENS transferidos, evitando que los scripts de monitoreo del hacker desvíen el gas y logrando así el rescate exitoso de los activos. Actualmente, RescuETH App se encuentra en fase de prueba interna y se espera que comience la fase beta en junio.

Tercero, para los activos rescatables (stake no desbloqueado y airdrops no distribuidos) en las billeteras hackeadas de los usuarios, ofrecemos un servicio de rescate de sombrero blanco personalizado y remunerado. Actualmente, nuestro equipo de sombreros blancos está compuesto por casi 20 expertos en seguridad/MEV y ha recuperado más de 3 millones de yuanes en activos de billeteras hackeadas en cadenas como ETH, Solana y Cosmos.

Equipo de seguridad de la billetera Web3 de OKX: Abordamos esto desde dos perspectivas: medidas de seguridad para el usuario y mecanismos de seguridad de la billetera Web3 de OKX.

一、用户措施 -> Medidas del usuario

Una vez que un usuario descubra que su billetera ha sido robada, se recomienda tomar las siguientes medidas de manera urgente:

1. Medidas de respuesta de emergencia

1）Transferir fondos de inmediato: Si hay fondos en la billetera, transfiera de inmediato a una nueva dirección segura.

2. Revocar autorizaciones: Revoca inmediatamente todas las autorizaciones a través de la herramienta de gestión para evitar mayores pérdidas.

3. Seguimiento de los flujos de fondos: Rastrear de manera oportuna la dirección de los fondos robados, recopilar información detallada sobre el proceso de robo para buscar ayuda externa.

2、Apoyo de la comunidad y del equipo del proyecto

1）Buscar ayuda del equipo del proyecto y de la comunidad: Informar al equipo del proyecto y a la comunidad sobre el incidente, a veces el equipo del proyecto puede congelar o recuperar los activos robados. Por ejemplo, USDC tiene un mecanismo de lista negra que puede bloquear la transferencia de fondos.

2）Unirse a organizaciones de seguridad de blockchain: Unirse a organizaciones o grupos de seguridad de blockchain relevantes para resolver problemas utilizando la fuerza colectiva.

3）Contactar con el equipo de soporte de la billetera: Ponte en contacto con el equipo de soporte al cliente de la billetera para obtener ayuda y orientación profesional.

Dos, mecanismo de seguridad de la billetera web3 de OKX

OKX Monedero Web3 se preocupa mucho por la seguridad de los activos de los usuarios y sigue invirtiendo en la protección de los activos de los usuarios, proporcionando múltiples mecanismos de seguridad para garantizar la seguridad de los activos digitales de los usuarios.

1）Biblioteca de etiquetas de direcciones negras: La billetera Web3 de OKX ha establecido una amplia biblioteca de etiquetas de direcciones negras para evitar que los usuarios interactúen con direcciones maliciosas conocidas. Esta biblioteca de etiquetas se actualiza continuamente para hacer frente a las amenazas de seguridad en constante cambio y garantizar la seguridad de los activos de los usuarios.

2）安全插件：Monedero Web3 OKX proporciona una función integrada de protección contra phishing, que ayuda a los usuarios a identificar y bloquear posibles enlaces maliciosos y solicitudes de transacciones, mejorando la seguridad de las cuentas de los usuarios.

3. Soporte en línea las 24 horas: OKX Web3 Wallet proporciona soporte en línea las 24 horas del día para los clientes, haciendo un seguimiento oportuno de los casos de robo o fraude de activos de los clientes, asegurando que los usuarios puedan obtener ayuda y orientación rápidamente.

4）Educación del usuario: La billetera web3 de OKX publica regularmente consejos de seguridad y materiales educativos para ayudar a los usuarios a aumentar su conciencia de seguridad, comprender cómo prevenir riesgos de seguridad comunes y proteger sus activos.

Q1 0: ¿Puede compartir las últimas tecnologías de seguridad, como si es posible utilizar la inteligencia artificial para mejorar la protección de seguridad?

**WTF Academy: **La seguridad en el campo de la tecnología blockchain y Web3 es un área en constante desarrollo, donde constantemente surgen diversas tecnologías y métodos de seguridad avanzados. Actualmente, algunos de los más populares incluyen:

1）auditoría de contratos inteligentes：Utilizando inteligencia artificial y aprendizaje automático para automatizar la auditoría de seguridad de contratos inteligentes, se pueden detectar vulnerabilidades y riesgos potenciales en los contratos inteligentes, lo que proporciona un análisis más rápido y completo que la auditoría manual tradicional.

2）Detección de comportamientos anómalos: utilizando algoritmos de aprendizaje automático para analizar transacciones en la cadena y patrones de comportamiento, se detectan actividades anómalas y posibles amenazas de seguridad. La IA puede identificar patrones de ataque comunes (como el ataque MEV, el phishing) y comportamientos de transacción anómalos, proporcionando alertas en tiempo real.

3）Detección de fraude: la IA puede analizar el historial de transacciones y el comportamiento del usuario para identificar y marcar posibles actividades fraudulentas.

Equipo de seguridad de billetera Web3 de OKX: Actualmente, la IA ya ha tenido muchas aplicaciones en el campo de Web3, a continuación se presentan algunos escenarios en los que se utiliza la IA para aumentar la protección de seguridad de Web3.

Primero, detección de anomalías e intrusiones: utilizando modelos de IA y aprendizaje automático, se analizan los patrones de comportamiento del usuario para detectar actividades inusuales. Por ejemplo, se pueden utilizar modelos de aprendizaje profundo para analizar el comportamiento de las transacciones y la actividad de la billetera, y así identificar posibles comportamientos maliciosos o actividades anormales.

Segundo, detección de sitios web de phishing: la IA puede analizar el contenido de la página y las características de los enlaces para detectar y bloquear sitios web de phishing, protegiendo a los usuarios de la amenaza de los ataques de phishing en línea.

En tercer lugar, la detección de malware: la inteligencia artificial puede detectar malware nuevo y desconocido mediante el análisis del comportamiento y las características de los archivos, evitando que los usuarios descarguen y ejecuten programas maliciosos.

第四，respuesta automatizada a amenazas: la inteligencia artificial puede automatizar las medidas de respuesta, como congelar automáticamente la cuenta o realizar otras operaciones de protección después de detectar actividades anómalas.

Finalmente, gracias a todos por leer la edición número 03 de la sección “Especial de Seguridad” de la billetera Web3 de OKX. Actualmente, estamos trabajando arduamente en la preparación del contenido para la edición número 04, que incluirá casos reales, detección de riesgos y consejos prácticos de seguridad. ¡Manténganse atentos!

Descargo de responsabilidad

本文仅供参考，本文无意提供 (i) 投资建议或投资推荐；(ii) 购买、出售或持有activo digital的要约或招揽；或 (iii) 财务、会计、法律或税务建议。 持有的activo digital（包括稳定币和 NFTs）涉及高风险，可能会大幅Fluctuación，甚至变得毫无价值。您应根据自己的财务状况仔细考虑交易或持有activo digital是否适合您。请您自行负责了解和遵守当地的有关适用法律和法规。