日常用户安全运维：安全指南 - 第一部分

Three Sigma
发布于 2025-04-10 13:40
阅读 20

本文是关于加密货币OpSec的实践指南的第一部分，强调了保护私钥、防范网络钓鱼和社会工程攻击的重要性。文章详细介绍了如何安全地存储私钥，包括使用硬件钱包、多重签名和离线设备，以及如何识别和避免常见的网络钓鱼和社交工程手段，以确保加密资产的安全。

像专业人士一样保护你的加密资产。学习如何保护私钥，避免硬件钱包的陷阱，并防御网络钓鱼和社交工程攻击。

![日常用户安全运维：安全指南 - 第一部分](https://img.learnblockchain.cn/2025/06/26/84443186_image.png)

### 简介

你进入加密领域不是为了因为一个愚蠢的错误而失去一切。

但这种情况每天都在发生。不是因为有人用量子技术破解了冷钱包，而是因为有人点击了错误的链接。两次使用了相同的密码。信任了错误的人。

操作安全 (OpSec) 不是可选项。它决定了你是保住你的币，还是醒来后一文不名。本指南摒弃了繁琐的内容，向你展示如何真正地保护自己：

- 保护你的私钥免受日常陷阱的影响。
- 发现并规避网络钓鱼和社交工程的伎俩。
- 建立一个足够有弹性的安全态势，以抵御从 petty thieves 到国家级对手的一切攻击。

无论你是加密货币新手还是经验丰富的持有者，这里的策略都将帮助你始终领先于不断演变的威胁。到最后，你不仅会拥有更强大的钱包设置，而且还会安心地管理你的资产，而无需 постоянно 环顾四周。

### 1. 私钥卫生

保护大量的加密货币资产——无论是几个币还是众所周知的 10 亿美元——首先要保护你的私钥免受数字和物理威胁。真正的安全需要**多层**防御：硬件、安全备份、air-gapped 设备和经过良好测试的恢复程序。下面，我们将分解最佳实践和硬件钱包及其他方法如何被破坏的真实示例，以便你可以避免类似的陷阱。

### 1.1 冷钱包、硬件设备和多重签名

#### 1.1.1 为什么选择硬件？

- **离线生成和存储：** 硬件钱包（例如，Trezor、Ledger、Coldcard、Lattice）会离线创建和存储你的私钥。这大大降低了暴露于基于网络的漏洞（如键盘记录器、网络钓鱼和恶意软件）的风险。
- **减少攻击面：** 因为密钥永远不会离开设备，所以攻击者无法直接从你的 PC 或智能手机上获取它们。交易在钱包内签名，然后由你的在线设备广播。

![image](https://img.learnblockchain.cn/2025/06/26/39123331_image.png)

#### 1.1.2 已知的硬件钱包破解：示例和教训

尽管硬件钱包享有盛誉，但它们并非**无敌**。许多有记录的黑客攻击需要物理访问或高度专业的攻击，但它们突出了需要**分层安全**（例如，使用 BIP39 passphrase 或多重签名）。以下是改编自 [_The Charlatan’s List of Hardware Wallet Hacks_](https://thecharlatan.ch/List-Of-Hardware-Wallet-Hacks/) 的几个示例：

![image](https://img.learnblockchain.cn/2025/06/26/83505174_image.png)

> 关键要点：硬件钱包的破解需要物理访问权和高级技能。强大的 passphrase 或多重签名设置使得提取种子几乎不可能。

#### 1.1.3 多重签名和 Air-Gapped 设置

- **多重签名（例如，2-of-3）：** 将密钥分散到多个设备上可确保攻击者无法仅通过入侵一个设备来耗尽你的钱包。即使被盗的硬件钱包也不足以在没有其他密钥的情况下使用。
  - **权衡：** 更多的复杂性意味着更多的故障点 - 请务必在信任大量资金之前**测试**少量资金的多重签名。
- **Air-Gapped 计算机：** 为了实现最终的隔离，请在从不接触互联网的 PC 上生成密钥并签署交易（例如，旧笔记本电脑或 Raspberry Pi）。然后，你通过 USB 或二维码传输已签名的交易。
  - **物理安全仍然很重要：** 即使是 air-gapped 设备，如果无人看管或事先感染，也可能会受到威胁。像保护硬件钱包一样保护它们。

![image](https://img.learnblockchain.cn/2025/06/26/43245390_image.png)

### 1.2 脑钱包及其风险

脑钱包从你记住的 passphrase 中派生出一个私钥。虽然方便，但除非你使用**真正随机的**、长的、非字典短语，否则这些短语极易受到**暴力破解**攻击。各种机器人会监视区块链上的弱 passphrase，并立即夺取任何发现的资金。

- **高熵或破解失败：** 人类选择的短语——歌曲歌词、诗歌、引语——很少有足够的随机性来承受破解。
- **没有出错的余地：** 如果你忘记或稍微拼错你的短语，你的资金将永远丢失。
- **推荐：** 避免使用脑钱包，除非你有使用它们的高级、特殊原因。即使那样，也要使用强大的方法（例如，硬件 RNG 或大气噪声）验证随机性，并在存储真实资产之前练习恢复它。

![image](https://img.learnblockchain.cn/2025/06/26/49858883_image.png)

### 1.3 纸钱包或金属钱包

#### 1.3.1 单个密钥与 BIP39 种子

![image](https://img.learnblockchain.cn/2025/06/26/54429632_image.png)

- **纸钱包：** 你打印或写下私钥（或 BIP39 种子）。从定义上讲，它是 air-gapped 的，但很容易丢失或损坏。
- **金属钱包：** 激光蚀刻或冲压的金属板可以防火、防水和一般磨损。

#### 1.3.2 离线生成和存储

- **没有在线生成器：** 许多“纸钱包生成器”网站都是彻头彻尾的骗局，提供预先生成的地址，将存款输送给攻击者。使用受信任的**离线**生成器（例如，运行开源软件的 air-gapped 设备，如 \[ _Ian Coleman’s BIP39_\]) 或依赖于硬件钱包的内置种子生成。
- **多个备份，多个位置：** 至少保留两个副本，分别存储（例如，一个放在家庭保险箱中，另一个放在保险箱中）。如果一个丢失或损坏，你可以使用另一个恢复。

#### 1.3.3 加密和隐写术

- **可选加密：** 有些人喜欢存储种子的**加密**版本（例如，通过 GnuPG、VeraCrypt），这样即使有人找到你的纸张，他们仍然需要加密 passphrase。但是，在连接的设备（笔记本电脑、台式机等）上解密会带来**风险**：恶意软件可能会在此过程中捕获你的种子。
- **隐写术：** 将你的种子隐藏在图像或其他媒体中是额外的模糊处理层。但是，在连接的设备上提取该隐藏数据会带来风险：如果你的系统受到攻击，种子仍然可能会暴露。另请注意，隐写过程中的任何小错误都可能会损坏隐藏的数据，使其无法恢复。

### 1.4 永不复用种子和定期验证

- **每个用例的唯一密钥：** 在多个钱包（热钱包或冷钱包）中重复使用种子会增加你的攻击面。一个钱包的破坏现在会危及与该种子相关联的所有资金。
- **消防演习：** 至少每年一次，练习在新的设备或单独的钱包软件实例上**恢复**你的种子。这确保你的备份正确、是最新的，并且**你**也记住了这些步骤。
- **种子轮换：** 如果你持有大量资金或你的威胁模型发生变化（例如，你移居到风险较高的司法管辖区），请考虑轮换到**新的**种子并转移资金。这可以防范对你的旧种子的隐藏或延迟攻击。

![image](https://img.learnblockchain.cn/2025/06/26/61087989_image.png)

### 1.5 实践要点

1. **分层安全规则**
   - 硬件钱包大大降低了在线风险 - - 但并非神奇地无法破解。将它们与强大的 passphrase、安全购买以及（在必要时）多重签名结合使用。
2. **防御物理威胁**
   - 锁定你的设备，限制谁知道你持有加密货币，并了解拥有**物理**访问权限的攻击者有时会利用高级漏洞。
3. **备份尽职调查**
   - 使用多个备份（纸质或金属），存储在单独的安全位置。定期**测试**它们，以确保恢复有效。
4. **避免脑钱包陷阱**
   - 除非你具备生成真正随机、可记忆的 passphrase 的高级知识，否则不要依赖脑钱包。
5. **持续警戒**
   - 关注固件更新、安全公告和加密社区中的最佳实践。攻击者会不断演变，因此你的安全措施也必须如此。

**请记住：** 有效的 OpSec 是关于**最大限度地减少**每次攻击途径。即使有一层失败（例如，有缺陷的硬件钱包固件），你的其他安全措施（如 BIP39 passphrase 或多重签名要求）也可确保单个漏洞不会造成灾难。

### 2. 网络钓鱼和社会工程意识

网络钓鱼和社会工程攻击仍然是加密领域中一些**最有效和最具破坏性的攻击媒介**。与针对智能合约或交易所漏洞的技术漏洞不同，**社会工程会操纵人**——利用人类心理学、信任和紧迫性来窃取资产。

与传统金融不同，**加密货币交易是不可逆转的**，这使得网络钓鱼尤其危险。一个简单的失误——在欺诈网站上输入私钥、签署恶意交易或批准不安全的合同——会导致资金的完全和**永久损失**。

下面，我们将探讨常见的网络钓鱼策略、真实案例研究以及**防御策略**，这些策略应成为每个用户的操作安全的一部分。

### 2.1 黑客如何引诱受害者

#### 2.1.1 网络钓鱼电子邮件和链接

黑客利用各种攻击媒介来定位加密货币用户。下表概述了最普遍的技术：

![image](https://img.learnblockchain.cn/2025/06/26/43108213_image.png)

#### 2.1.2 心理操纵策略

社会工程依赖于人类心理来欺骗受害者。下表概述了最常被利用的心理触发因素：

![image](https://img.learnblockchain.cn/2025/06/26/52397531_image.png)

### 2.2 缓解策略

![image](https://img.learnblockchain.cn/2025/06/26/46193848_image.png)

#### 2.2.1 采用零信任安全模型

**零信任**原则假定所有传入的消息、链接和请求**都可能具有恶意**，除非经过独立验证。

##### 实施步骤

- **默认怀疑：** 假定所有**未经请求的消息**（电子邮件、社交媒体 DM）都是**网络钓鱼尝试**。
- **独立验证：** 如果你收到来自公司或个人的紧急消息，请通过**官方通信渠道**对其进行验证。
- **限制公开暴露：** 避免公开讨论**加密货币持有量**，因为这会增加被定位的可能性。

![image](https://img.learnblockchain.cn/2025/06/26/45710427_image.png)

#### 2.2.2 加强身份验证层

- **避免基于 SMS 的 2FA：** SIM 交换攻击允许黑客劫持基于 SMS 的身份验证代码。
- **使用基于时间的一次性密码 (TOTP)：** 像 **Aegis** 或 **Authy** 这样的应用程序生成无法远程拦截的离线 2FA 代码。
- **利用硬件安全密钥：** 像 **YubiKey** 或 **SoloKey** 这样的物理设备可确保身份验证**在本地**设备上进行。
- **采用密码管理器：** 存储或重复使用密码是有风险的。使用信誉良好的密码管理器（例如，**KeePass**、**Bitwarden** 或 **1Password**）为每个帐户生成强大、唯一的密码。此做法最大限度地降低了单个泄露的密码导致多个帐户泄露的可能性。

#### 2.2.3 增强社交媒体和电子邮件安全

##### 电子邮件安全措施

- **在域电子邮件上启用 DMARC、SPF 和 DKIM** 这些协议可防止电子邮件欺骗。
- **使用加密电子邮件服务（ProtonMail、Tutanota）** 防止第三方拦截消息。

##### 社交媒体保护

- **将 DM 限制为已知联系人** 攻击者通常通过 **Twitter (X)、Telegram 或 Discord** 联系。
- **启用登录通知** 提醒你未经授权的登录尝试。

![image](https://img.learnblockchain.cn/2025/06/26/64123060_image.png)

#### 2.2.4 事件响应和恢复

如果你**怀疑**或**确认**你的凭据或加密货币持有受到威胁：

1. **立即转移剩余资金** 将资产转移到**安全钱包**。
2. **撤销活动会话** 检查交易所或钱包帐户上**已登录的设备**。
3. **检查已批准的智能合约交互** 使用 **Revoke.cash** 等工具删除未经授权的批准。
4. **报告攻击**
   - 向交易所或钱包提供商提交报告。
   - 向 **Twitter/X、Discord 或 Telegram** 报告冒充行为。

### 最后想法

网络钓鱼和社会工程攻击是加密领域中**最危险和最有效的**威胁之一。随着黑客改进其策略，**用户必须通过实施**零信任安全模型**、利用**基于硬件的身份验证**和进行**定期安全审核持续调整**。

通过应用这些最佳实践，你可以显着降低成为网络钓鱼计划受害者的风险，并**确保你的资产在日益恶劣的数字环境中保持安全**。

### 结论

你现在已经了解了适当的私钥管理和防范网络钓鱼的重要性。从使用带有强 passphrase 的硬件钱包到识别社会工程策略，这些基本步骤有助于确保你的资产牢牢地掌握在你的控制之下。

然而，即使是最安全的钱包，如果用于访问它的设备受到攻击，也容易受到攻击。

在**下一节**中，我们将探讨**设备安全**——涵盖从系统强化和网络隔离到恶意软件预防和恢复计划的所有内容。通过应用这些额外的保护层，你将完善你的加密 OpSec 并关闭攻击者喜欢利用的漏洞。

### 常见问题 (FAQ)

#### 1. 什么是 OpSec？为什么它对加密货币用户很重要？

**答：** OpSec（操作安全）包括为保护敏感信息（如你的私钥）免受潜在对手侵害而采取的策略和预防措施。在加密领域，由于交易是不可逆转的，因此强大的 OpSec 是保护你的资产与因黑客攻击、诈骗或盗窃而丢失资产之间的区别。

#### 2. 硬件钱包真的有必要吗？还是我可以直接将币存储在交易所中？

**答：** 虽然在交易所中存储资金更方便，但也更具风险，因为交易所可能会受到黑客攻击或受到政府的没收。硬件钱包通过将私钥离线保存来大大降低你的风险。它是防御恶意软件、网络钓鱼或数据泄露等数字攻击媒介的最有效的方法之一。

#### 3. 如果黑客仍然可以破解硬件钱包，那么硬件钱包有多安全？

**答：** 没有设备是 100% 无敌的，但硬件钱包比软件钱包或交易所托管**更**安全。已知的硬件钱包攻击通常需要高级技能和物理访问你的设备。通过添加图层（如强大的 BIP39 passphrase、例行固件更新或多重签名），你可以使攻击者更难成功。

#### 4. 什么是“BIP39 passphrase”，我应该使用一个吗？

**答：** BIP39 passphrase 是添加到你的种子短语中的可选“第 25 个单词”，有效地创建了第二层保护。即使有人提取或窃取了你的硬件钱包的种子，如果没有单独的 passphrase，他们也无法访问你的真实资金。使用**强大**、令人难忘的 passphrase 是提高钱包安全性最简单的方法之一。

#### 5. 多重签名和 air-gapped 设置是否仅适用于高级用户？

**答：** 它们比单个硬件钱包更复杂，但并非专门为专家设计。许多用户采用 2-of-3 多重签名（例如，两个硬件钱包加上一个受信任的第三方备份密钥）来减少单点故障。Air-gapped 设置可以使用基本技术知识来完成：离线生成密钥，并在从未连接到互联网的设备上签署交易。

#### 6. 使用脑钱包有哪些风险？

**答：** 脑钱包从用户生成的 passphrase 派生私钥。人类选择的短语——歌曲歌词、引语或典型的词典词语——很容易被机器人暴力破解。如果你忘记或稍微输入错误，你的资金将永远丢失。除非你有经过验证的方法来创建真正随机、高熵的短语，否则脑钱包通常**风险太大**。

#### 7. 我应该相信在线纸钱包生成器吗**？**

**答：** 请格外小心。一些“纸钱包生成器”网站完全是骗局，预先生成将存款输送给攻击者的地址。如果你想要纸质或金属备份，请使用信誉良好的**离线**工具（如运行开源软件的 air-gapped 设备）或经过验证的硬件钱包上的内置生成功能。

#### 8. 如何避免网络钓鱼和社会工程攻击？

**答：**

- **采取零信任心态**：将每条未经请求的消息或链接都视为可疑。
- **使用强身份验证**：首选基于应用程序的 2FA 或硬件安全密钥，而不是 SMS 代码。
- **行动前验证**：通过已知渠道确认“官方”消息，不要因紧急战术而匆忙行事。
- **保护你的社交媒体**：将 DM 限制为受信任的联系人，并启用登录通知。

#### 9. 如果我怀疑我的钱包或帐户受到威胁，我该怎么办？

**答：** 立即将剩余资金转移到安全钱包，撤销所有交易所或 DApp 权限（例如，通过 Revoke.cash），更改密码并切换到更安全的身份验证方法。如果社交媒体帐户冒充你或你关注的项目，请直接向平台报告。

#### 10. 我应该多久更新一次我的安全实践？

**答：** 安全是一个持续的过程。至少每隔几个月检查一次固件更新、新钱包版本和最佳实践建议。每年进行一次“消防演习”，以确保你可以从备份中恢复你的钱包，并且任何新设备或方法都可以无缝运行。

>- 原文链接： [threesigma.xyz/blog/opse...](https://threesigma.xyz/blog/opsec/crypto-opsec-guide-part-1-private-key-phishing-security)
>- 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

像专业人士一样保护你的加密资产。学习如何保护私钥，避免硬件钱包的陷阱，并防御网络钓鱼和社交工程攻击。

简介

你进入加密领域不是为了因为一个愚蠢的错误而失去一切。

但这种情况每天都在发生。不是因为有人用量子技术破解了冷钱包，而是因为有人点击了错误的链接。两次使用了相同的密码。信任了错误的人。

操作安全 (OpSec) 不是可选项。它决定了你是保住你的币，还是醒来后一文不名。本指南摒弃了繁琐的内容，向你展示如何真正地保护自己：

保护你的私钥免受日常陷阱的影响。
发现并规避网络钓鱼和社交工程的伎俩。
建立一个足够有弹性的安全态势，以抵御从 petty thieves 到国家级对手的一切攻击。

1. 私钥卫生

保护大量的加密货币资产——无论是几个币还是众所周知的 10 亿美元——首先要保护你的私钥免受数字和物理威胁。真正的安全需要多层防御：硬件、安全备份、air-gapped 设备和经过良好测试的恢复程序。下面，我们将分解最佳实践和硬件钱包及其他方法如何被破坏的真实示例，以便你可以避免类似的陷阱。

1.1 冷钱包、硬件设备和多重签名

1.1.1 为什么选择硬件？

离线生成和存储： 硬件钱包（例如，Trezor、Ledger、Coldcard、Lattice）会离线创建和存储你的私钥。这大大降低了暴露于基于网络的漏洞（如键盘记录器、网络钓鱼和恶意软件）的风险。
减少攻击面： 因为密钥永远不会离开设备，所以攻击者无法直接从你的 PC 或智能手机上获取它们。交易在钱包内签名，然后由你的在线设备广播。

1.1.2 已知的硬件钱包破解：示例和教训

尽管硬件钱包享有盛誉，但它们并非无敌。许多有记录的黑客攻击需要物理访问或高度专业的攻击，但它们突出了需要分层安全（例如，使用 BIP39 passphrase 或多重签名）。以下是改编自 The Charlatan’s List of Hardware Wallet Hacks 的几个示例：

关键要点：硬件钱包的破解需要物理访问权和高级技能。强大的 passphrase 或多重签名设置使得提取种子几乎不可能。

1.1.3 多重签名和 Air-Gapped 设置

多重签名（例如，2-of-3）： 将密钥分散到多个设备上可确保攻击者无法仅通过入侵一个设备来耗尽你的钱包。即使被盗的硬件钱包也不足以在没有其他密钥的情况下使用。
- 权衡： 更多的复杂性意味着更多的故障点 - 请务必在信任大量资金之前测试少量资金的多重签名。
Air-Gapped 计算机： 为了实现最终的隔离，请在从不接触互联网的 PC 上生成密钥并签署交易（例如，旧笔记本电脑或 Raspberry Pi）。然后，你通过 USB 或二维码传输已签名的交易。
- 物理安全仍然很重要： 即使是 air-gapped 设备，如果无人看管或事先感染，也可能会受到威胁。像保护硬件钱包一样保护它们。

1.2 脑钱包及其风险

脑钱包从你记住的 passphrase 中派生出一个私钥。虽然方便，但除非你使用真正随机的、长的、非字典短语，否则这些短语极易受到暴力破解攻击。各种机器人会监视区块链上的弱 passphrase，并立即夺取任何发现的资金。

高熵或破解失败： 人类选择的短语——歌曲歌词、诗歌、引语——很少有足够的随机性来承受破解。
没有出错的余地： 如果你忘记或稍微拼错你的短语，你的资金将永远丢失。
推荐： 避免使用脑钱包，除非你有使用它们的高级、特殊原因。即使那样，也要使用强大的方法（例如，硬件 RNG 或大气噪声）验证随机性，并在存储真实资产之前练习恢复它。

1.3 纸钱包或金属钱包

1.3.1 单个密钥与 BIP39 种子

纸钱包： 你打印或写下私钥（或 BIP39 种子）。从定义上讲，它是 air-gapped 的，但很容易丢失或损坏。
金属钱包： 激光蚀刻或冲压的金属板可以防火、防水和一般磨损。

1.3.2 离线生成和存储

没有在线生成器： 许多“纸钱包生成器”网站都是彻头彻尾的骗局，提供预先生成的地址，将存款输送给攻击者。使用受信任的离线生成器（例如，运行开源软件的 air-gapped 设备，如 [ Ian Coleman’s BIP39]) 或依赖于硬件钱包的内置种子生成。
多个备份，多个位置： 至少保留两个副本，分别存储（例如，一个放在家庭保险箱中，另一个放在保险箱中）。如果一个丢失或损坏，你可以使用另一个恢复。

1.3.3 加密和隐写术

可选加密： 有些人喜欢存储种子的加密版本（例如，通过 GnuPG、VeraCrypt），这样即使有人找到你的纸张，他们仍然需要加密 passphrase。但是，在连接的设备（笔记本电脑、台式机等）上解密会带来风险：恶意软件可能会在此过程中捕获你的种子。
隐写术： 将你的种子隐藏在图像或其他媒体中是额外的模糊处理层。但是，在连接的设备上提取该隐藏数据会带来风险：如果你的系统受到攻击，种子仍然可能会暴露。另请注意，隐写过程中的任何小错误都可能会损坏隐藏的数据，使其无法恢复。

1.4 永不复用种子和定期验证

每个用例的唯一密钥： 在多个钱包（热钱包或冷钱包）中重复使用种子会增加你的攻击面。一个钱包的破坏现在会危及与该种子相关联的所有资金。
消防演习： 至少每年一次，练习在新的设备或单独的钱包软件实例上恢复你的种子。这确保你的备份正确、是最新的，并且你也记住了这些步骤。
种子轮换： 如果你持有大量资金或你的威胁模型发生变化（例如，你移居到风险较高的司法管辖区），请考虑轮换到新的种子并转移资金。这可以防范对你的旧种子的隐藏或延迟攻击。

1.5 实践要点

分层安全规则
- 硬件钱包大大降低了在线风险 - - 但并非神奇地无法破解。将它们与强大的 passphrase、安全购买以及（在必要时）多重签名结合使用。
防御物理威胁
- 锁定你的设备，限制谁知道你持有加密货币，并了解拥有物理访问权限的攻击者有时会利用高级漏洞。
备份尽职调查
- 使用多个备份（纸质或金属），存储在单独的安全位置。定期测试它们，以确保恢复有效。
避免脑钱包陷阱
- 除非你具备生成真正随机、可记忆的 passphrase 的高级知识，否则不要依赖脑钱包。
持续警戒
- 关注固件更新、安全公告和加密社区中的最佳实践。攻击者会不断演变，因此你的安全措施也必须如此。

请记住： 有效的 OpSec 是关于最大限度地减少每次攻击途径。即使有一层失败（例如，有缺陷的硬件钱包固件），你的其他安全措施（如 BIP39 passphrase 或多重签名要求）也可确保单个漏洞不会造成灾难。

2. 网络钓鱼和社会工程意识

网络钓鱼和社会工程攻击仍然是加密领域中一些最有效和最具破坏性的攻击媒介。与针对智能合约或交易所漏洞的技术漏洞不同，社会工程会操纵人——利用人类心理学、信任和紧迫性来窃取资产。

与传统金融不同，加密货币交易是不可逆转的，这使得网络钓鱼尤其危险。一个简单的失误——在欺诈网站上输入私钥、签署恶意交易或批准不安全的合同——会导致资金的完全和永久损失。

下面，我们将探讨常见的网络钓鱼策略、真实案例研究以及防御策略，这些策略应成为每个用户的操作安全的一部分。

2.1 黑客如何引诱受害者

2.1.1 网络钓鱼电子邮件和链接

黑客利用各种攻击媒介来定位加密货币用户。下表概述了最普遍的技术：

2.1.2 心理操纵策略

社会工程依赖于人类心理来欺骗受害者。下表概述了最常被利用的心理触发因素：

2.2 缓解策略

2.2.1 采用零信任安全模型

零信任原则假定所有传入的消息、链接和请求都可能具有恶意，除非经过独立验证。

实施步骤

默认怀疑： 假定所有未经请求的消息（电子邮件、社交媒体 DM）都是网络钓鱼尝试。
独立验证： 如果你收到来自公司或个人的紧急消息，请通过官方通信渠道对其进行验证。
限制公开暴露： 避免公开讨论加密货币持有量，因为这会增加被定位的可能性。

2.2.2 加强身份验证层

避免基于 SMS 的 2FA： SIM 交换攻击允许黑客劫持基于 SMS 的身份验证代码。
使用基于时间的一次性密码 (TOTP)： 像 Aegis 或 Authy 这样的应用程序生成无法远程拦截的离线 2FA 代码。
利用硬件安全密钥： 像 YubiKey 或 SoloKey 这样的物理设备可确保身份验证在本地设备上进行。
采用密码管理器： 存储或重复使用密码是有风险的。使用信誉良好的密码管理器（例如，KeePass、Bitwarden 或 1Password）为每个帐户生成强大、唯一的密码。此做法最大限度地降低了单个泄露的密码导致多个帐户泄露的可能性。

2.2.3 增强社交媒体和电子邮件安全

电子邮件安全措施

在域电子邮件上启用 DMARC、SPF 和 DKIM 这些协议可防止电子邮件欺骗。
使用加密电子邮件服务（ProtonMail、Tutanota） 防止第三方拦截消息。

社交媒体保护

将 DM 限制为已知联系人 攻击者通常通过 Twitter (X)、Telegram 或 Discord 联系。
启用登录通知 提醒你未经授权的登录尝试。

2.2.4 事件响应和恢复

如果你怀疑或确认你的凭据或加密货币持有受到威胁：

立即转移剩余资金 将资产转移到安全钱包。
撤销活动会话 检查交易所或钱包帐户上已登录的设备。
检查已批准的智能合约交互 使用 Revoke.cash 等工具删除未经授权的批准。
报告攻击
- 向交易所或钱包提供商提交报告。
- 向 Twitter/X、Discord 或 Telegram 报告冒充行为。

最后想法

网络钓鱼和社会工程攻击是加密领域中最危险和最有效的威胁之一。随着黑客改进其策略，用户必须通过实施零信任安全模型、利用基于硬件的身份验证和进行定期安全审核持续调整**。

通过应用这些最佳实践，你可以显着降低成为网络钓鱼计划受害者的风险，并确保你的资产在日益恶劣的数字环境中保持安全。

结论

然而，即使是最安全的钱包，如果用于访问它的设备受到攻击，也容易受到攻击。

在下一节中，我们将探讨设备安全——涵盖从系统强化和网络隔离到恶意软件预防和恢复计划的所有内容。通过应用这些额外的保护层，你将完善你的加密 OpSec 并关闭攻击者喜欢利用的漏洞。

常见问题 (FAQ)

1. 什么是 OpSec？为什么它对加密货币用户很重要？

答： OpSec（操作安全）包括为保护敏感信息（如你的私钥）免受潜在对手侵害而采取的策略和预防措施。在加密领域，由于交易是不可逆转的，因此强大的 OpSec 是保护你的资产与因黑客攻击、诈骗或盗窃而丢失资产之间的区别。

2. 硬件钱包真的有必要吗？还是我可以直接将币存储在交易所中？

答：虽然在交易所中存储资金更方便，但也更具风险，因为交易所可能会受到黑客攻击或受到政府的没收。硬件钱包通过将私钥离线保存来大大降低你的风险。它是防御恶意软件、网络钓鱼或数据泄露等数字攻击媒介的最有效的方法之一。

3. 如果黑客仍然可以破解硬件钱包，那么硬件钱包有多安全？

答：没有设备是 100% 无敌的，但硬件钱包比软件钱包或交易所托管更安全。已知的硬件钱包攻击通常需要高级技能和物理访问你的设备。通过添加图层（如强大的 BIP39 passphrase、例行固件更新或多重签名），你可以使攻击者更难成功。

4. 什么是“BIP39 passphrase”，我应该使用一个吗？

答： BIP39 passphrase 是添加到你的种子短语中的可选“第 25 个单词”，有效地创建了第二层保护。即使有人提取或窃取了你的硬件钱包的种子，如果没有单独的 passphrase，他们也无法访问你的真实资金。使用强大、令人难忘的 passphrase 是提高钱包安全性最简单的方法之一。

5. 多重签名和 air-gapped 设置是否仅适用于高级用户？

答：它们比单个硬件钱包更复杂，但并非专门为专家设计。许多用户采用 2-of-3 多重签名（例如，两个硬件钱包加上一个受信任的第三方备份密钥）来减少单点故障。Air-gapped 设置可以使用基本技术知识来完成：离线生成密钥，并在从未连接到互联网的设备上签署交易。

6. 使用脑钱包有哪些风险？

答：脑钱包从用户生成的 passphrase 派生私钥。人类选择的短语——歌曲歌词、引语或典型的词典词语——很容易被机器人暴力破解。如果你忘记或稍微输入错误，你的资金将永远丢失。除非你有经过验证的方法来创建真正随机、高熵的短语，否则脑钱包通常风险太大。

7. 我应该相信在线纸钱包生成器吗？

答：请格外小心。一些“纸钱包生成器”网站完全是骗局，预先生成将存款输送给攻击者的地址。如果你想要纸质或金属备份，请使用信誉良好的离线工具（如运行开源软件的 air-gapped 设备）或经过验证的硬件钱包上的内置生成功能。

8. 如何避免网络钓鱼和社会工程攻击？

答：

采取零信任心态：将每条未经请求的消息或链接都视为可疑。
使用强身份验证：首选基于应用程序的 2FA 或硬件安全密钥，而不是 SMS 代码。
行动前验证：通过已知渠道确认“官方”消息，不要因紧急战术而匆忙行事。
保护你的社交媒体：将 DM 限制为受信任的联系人，并启用登录通知。

9. 如果我怀疑我的钱包或帐户受到威胁，我该怎么办？

答：立即将剩余资金转移到安全钱包，撤销所有交易所或 DApp 权限（例如，通过 Revoke.cash），更改密码并切换到更安全的身份验证方法。如果社交媒体帐户冒充你或你关注的项目，请直接向平台报告。

10. 我应该多久更新一次我的安全实践？

答：安全是一个持续的过程。至少每隔几个月检查一次固件更新、新钱包版本和最佳实践建议。每年进行一次“消防演习”，以确保你可以从备份中恢复你的钱包，并且任何新设备或方法都可以无缝运行。

原文链接： threesigma.xyz/blog/opse...

登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

本文参与登链社区写作激励计划，好文好收益，欢迎正在阅读的你也加入。