由於區塊鏈(產業)的不可篡改和不可逆、缺乏監管、匿名性,大量的黑客瞄準進入了這個行業。近年來,區塊鏈產業成為了資產被盜的重災區,大量的用戶/專案虛擬貨幣被駭客盜取,造成巨大的金錢損失。
筆者擁有多年的網絡安全工作經驗,結合網上用戶反饋的賬號/資金被盜事件,總結提煉了賬號使用過程中的一些“不安全行為”,以供我們用戶“避坑”,保護BingX用戶帳號和資產無恙。

 

一、密碼

1. 使用弱密碼
弱密碼(Weak passwords)即是容易破解的密碼,多為簡單的數字組合、與帳號相同的數字組合、鍵盤上的臨近鍵等都屬於弱密碼範疇。 常見的弱密碼如 Abcd1234、Qwer1234、Admin123 。

風險描述:弱密碼很容易被他人猜到或破解(例如撞庫攻擊)。

專家建議:使用複雜度夠強的密碼(大寫、小寫字母、數字、特殊字元組合,長度超過10位數)。

 

2. 所有帳號相同密碼
人們為了方便記憶,往往將不同網站上的密碼統一設定為同一個密碼。這種情況一旦網站的帳號密碼被洩漏(例如網站資料庫被攻擊),那麼其他網站的帳號都會受損。同時,另一個事實是互聯網世界中網站帳號批量洩漏事件也是頻頻發生,即使是那些幾千萬上億人在使用的郵箱/社交網站/購物網站也是時有發生,更不要提那些小站了。

風險描述:一個網站帳號/密碼被洩漏,您使用該帳號的所有網站都可被攻擊。

專家建議:為您的BingX帳號使用一個全新的密碼。

 

3. 明文儲存密碼
使用者為了避免忘記設定的帳號密碼,會將密碼簡單明文記在一些手機/電腦的檔案中,例如備忘錄、Excel表格。

風險描述:

  • 如果您的手機/電腦被駭客攻擊或借用他人,則會導致您所記錄的帳號密碼被洩漏。
  • 備忘錄等雲端檔案將內容同步至雲端上,雲端帳號洩漏會導致您所記錄的帳號密碼洩漏。

專家建議:建議不要把帳號密碼明文記在文件上。在這裡,強烈建議使用 1password 等密碼管理軟件來保管密碼,您只需要記住一個密碼就可以輕鬆的管理所有的站點各式各樣的密碼。

 

二、MFA

1. 不設定2FA
帳號註冊之後就迫不及待的預付入金進行交易,全然不顧網站的安全風險警示,這是一大禁忌!需要強調一下,虛擬貨幣交易所帳號資金被竊的案例中,有一半以上的帳號是未綁定2FA的。

風險描述:信箱帳號洩漏,駭客綁定2FA就可以將帳號內的資金提走。

專家建議:一定要為您的帳號設定好2FA(Google authticator、信箱/手機號碼)再入金交易。

 

2. 非知名軟件保存Google Secret
Google authenticator是一款保存Google Secret即時產生OTP驗證碼的軟件,由於網絡隔離等原因有些用戶無法下載到Google authenticator,這個時候其會選擇下載一些取代軟件。

風險描述:下載使用了一些非知名的軟件(可能是惡意軟件),則有可能會被這些軟件中的後門將您的Google Secret洩露。

專家建議:優先使用Google authenticator,其次是Microsoft、Binance 等產業廠的authenticator軟件。

unsafe behaviors 01.pngunsafe behaviors 02.pngunsafe behaviors 03.png

 

3. Google authenticator 開啟雲端同步
Google authenticator在2023年出了一個新功能:Google Account Cloud Synchronization,也就是將Authenticator上的Google Secret備份到雲端上,可以跨裝置遷移驗證碼。

unsafe behaviors 04.png

風險描述:Cloud Sync這個功能在帶來方便的同時也帶來了一個安全風險:Google賬號被盜,則保存的Google驗證碼都可能被洩漏(取決於Google賬號設備是否有2FA保護)。

專家建議:

  • 建議1:Google Authenticator離線(不觸網)。
  • 建議2:(如做不到建議1)不要開啟Google Account Cloud Sync功能。
  • 建議3:(如果有需要開啟Cloud Sync)那麼一定要為你的Google帳號設定2FA。


三、KYC

1. 不進行KYC
帳號不進行KYC正常情況下沒有安全風險,但在某些異常情況下可協助駭客攻下帳號提走帳號資產提供可能性。

風險描述:盜號被盜,駭客登錄BingX帳號做KYC,接著使用KYC資訊申請移除綁定的其餘安全項(如信箱、手機號碼、Google authenticator)。

專家建議:第一時間做高級KYC認證。

 

2. 購買他人證件進行KYC
用戶基於規避地區限製或使用多賬號等原因,在網上購買他人證件進行賬號KYC認證。

風險描述:

  • 由於KYC資料來自他人,出售KYC者可能會向交易平台申訴帳號歸屬於它,這會導致資產方面的糾紛和損失。
  • BingX平台有專門的系統來偵測KYC買賣的違規行為,一旦發現將會限制該帳號的使用-這將為您的使用帶來極大的不便,也會讓您損失掉購買KYC的資金。

專家建議:

  • 用自己的證件、人像來做高級KYC認證。
  • 一定不要在網上購買KYC認證服務。

 

3. 賣出自己證件為他人KYC
某些人為了蠅頭小利在網上賣出自己的證件資訊為其他人進行帳號KYC認證,殊不知這可能會為你帶來無妄之災。

風險描述:

  • 購買KYC者可能會使用帳號進行諸如洗錢、涉黑交易等違反法律的活動,這些活動輕則會為您帶來繁複的澄清工作,重則會給您帶來牢獄之災。
  • 證件、人像資訊被洩漏在其他站點重複使用。

專家建議:一定要保護自己的證件、人像訊息,更不要在網路上販售。

 

四、被騙

1. 聽信網友賺錢誘惑而交出賬號
用戶被騙而導致賬號資金被盜是交易所用戶賬號被盜案例中Top2的類型!
有些用戶在網路上聽信詐騙者天花亂墜的獲利吹噓和保證,將自己的帳號交與詐騙者去交易,以期可以獲得到高額的投資回報。殊不知,這種情況下您不但無法獲利,還會100%損失掉你的本金。

風險描述:您一旦將帳號密碼和即時驗證碼交給詐騙者,其可以登錄帳號,您帳號內的資金就不受保護了(對敲、提幣、法幣出金等)。

專家建議:

  • 凡是承諾可以為您賺取高額回報的一定是騙子!
  • 凡是讓你提供帳號/密碼的一定是騙子!
  • 凡是讓你提供驗證碼的一定是騙子!

 

2. 安裝惡意軟件/瀏覽器插件
用戶因某些原因(如不願購買正版軟件、接受網友安裝檔案、瀏覽詐騙網站)安裝了破解軟件、惡意軟件、惡意插件等,這會為您使用的裝置帶來極大的風險。如,前段時間的惡意瀏覽器外掛程式 aggr trade 就在加密圈掀起了很大波瀾,盜取許多用戶的帳號和資金。

風險描述:

  • 惡意軟件監控竊取您的裝置上重要資訊。
  • 惡意軟件遠端控制您的裝置。

專家建議:

  • 一定要到官方網站下載正版軟件。
  • 警惕軟件/插件對重要權限的申請,小心授權。

 

3. 造訪釣魚網站
網上有很多與BingX 網域、UI極其類似的釣魚網站、仿冒山寨網站,雖然我們積極的與外部安全機構全網掃描仿冒BingX的釣魚網站/App,一旦發現立刻走法律程序進行下架,但是還是會有新的網站出現,請使用時一定要細心鑑別。

風險描述:如果您不慎輸入了您的帳號/密碼、驗證碼等,會導致您的這些帳號密碼資訊外洩。

專家建議:

  • 請認準官方網站 https://bingx.com。
  • 如果您發現有仿冒BingX的釣魚網站/App,請回報給我們,我們將第一時間進行處理。

 

五、其他

1. 關閉郵件/簡訊通知
有些用戶因為郵箱/簡訊經常到垃圾郵件/短信,不甚其擾,而將郵件/短信通知靜默。

風險描述:錯過BingX偵測到您帳號的異常行為而發出的訊息通知。

專家建議:

  • 開啟綁定BingX帳號的郵件信箱/手機號碼簡訊通知。
  • 即時查看BingX寄給你的通知。

 

2. 公共設備登錄帳號且不登出
限於硬件設備條件,或緊急情況,需要在公共設備上登錄BingX賬號,這個時候您的賬號已處於風險之中。

風險描述:

  • 公用裝置可能會被安裝惡意軟件,可竊取您的帳號資訊。
  • 忘記退出帳號,您的帳號可被其他人操作。

專家建議

  • 請勿在公用裝置上登入BingX帳號。
  • (如果一定需要)請在公共設備使用完帳號後及時logout。