14
000:55 安全部分
08:38 合规部分
1. 个人资产安全:谨记“四不”口诀
针对目前针对新人和从业者的高发攻击(如钓鱼、地址投毒),请死守“四不大法”:
• 不点(Don't Click): 不轻信 Telegram/Discord 私信的链接,哪怕对方头像是官方人员。现在甚至有黑客利用 AI Deepfake(深度伪造) 在视频会议中伪装成投资人或面试官,诱导你下载带毒软件。
• 不签(Don't Sign): 拒绝“盲签”。在钱包弹出签名请求时,必须看懂它在请求什么权限(是转账?还是授权代币?)。如果不确定,绝对不要点确认。
• 不装(Don't Install): 不要随意安装别人发来的“内测 App”或“会议软件”。黑客常通过虚假的工作邀请植入木马。
• 不转(Don't Transfer): 转账前逐字核对地址。现在的“地址投毒”攻击会生成和你常用转账地址首尾相同、中间不同的伪造地址,诱导你从历史记录里复制错的地址。
2. 求职与职业合规:避开“红线”
入行web3需要识别项目的法律风险,保护自己不被卷入刑事案件(特别是在中国大陆语境下):
• 业务红线(坚决不碰):
◦ ICO/非法集资: 任何面向公众的非法融资行为都是高压红线。
◦ 涉赌/传销: 涉及“拉人头”层级返利或博彩性质的项目,风险极高。
◦ 面向大陆展业: 检查项目官网是否屏蔽了大陆 IP,是否允许 +86 手机号注册。如果项目方明知故犯专门收割大陆用户,作为员工极易被牵连。
• 入职尽调:
◦ 不要只看对方是否有“美国牌照”(可能只是入门级的 MSB 牌照,含金量低)。
◦ 警惕纯虚拟币发工资,这在中国法律下不受劳动法完整保护。如果公司涉及非法业务,虚拟币工资更容易被定性为脏款。
3. 出入金安全:防止“冻卡”
这是 Web3 从业者最头疼的日常问题:
• 最大的风险是收到“黑钱”: 只要你收到的资金源头涉嫌诈骗或赌博(即使你不知情),你的银行卡就可能被冻结。
• 安全建议:
◦ 首选合规通道: 如果条件允许,办理香港银行卡,通过香港合规交易所出金。
◦ 熟人 OTC: 尽量在信任圈内进行交易,避免和陌生人进行 C2C 交易。
◦ 专卡专用: 将 Web3 相关的资金卡与生活主卡(房贷、工资卡)物理隔离,避免一张卡被冻结影响全家生活
————————————————————
以下是提到的故事文字版:
1. Bybit 被盗案:潜伏在工具里的“隐形人”
• 故事背景: 交易所通常使用多签钱包(如 Safe)来管理巨额资金。
• 作案手法: 黑客没有直接攻击 Bybit 的防火墙,而是渗透了多签钱包服务商 Safe 的开发人员。黑客非常耐心,没有进行大规模攻击以免暴露,而是实施了“精准猎杀”。
• 惊魂一刻: 当 Bybit 高管进行日常资金调拨时,黑客通过被篡改的前端,让交易界面看起来一切正常。高管以为自己在签一笔普通转账,实际上签名的是黑客伪造的恶意交易。
• 结局: 损失高达 15 亿美元(历史上最大金额之一)。好在因应急响应及时,冻结了部分资金,,。
2. UXLink 案:视频会议里的“AI 假人”
• 故事背景: 2025年,AI 深度伪造(Deepfake)技术爆发。
• 作案手法: 北朝鲜黑客从9月份就开始布局,在 Telegram 上冒充投资人或合作伙伴与 UXLink 管理员聊天,建立信任。
• 关键陷阱: 黑客邀请管理员进行视频会议。在会议中,黑客使用 AI 换脸技术 伪装成管理员熟悉的人。为了开会,黑客发来一个虚假的“Zoom 会議链接”或安装包。
• 结局: 管理员以为是正常安装会议软件,实则中了木马,导致权限被盗。这也引发了社区对项目方“监守自盗”的误解,直到真相大白,,。
3. 5000万美金转错账:不知疲倦的“笨机器”
• 故事背景: 针对大户的“地址投毒”(Address Poisoning)。
• 作案手法: 黑客生成了一个和受害者常用转账地址首尾字符完全相同的伪造地址。黑客不断往受害者账户里打小额代币(如 0.01 USDT),把伪造地址“挤”进受害者的交易历史记录里。
• 悲剧发生: 受害者某次转账时,习惯性地从历史记录里复制了地址,没仔细核对中间字符,直接转出了 5000 万美金。
• 黑色幽默: 讲者提到一个细节:受害者转错 5000 万美金后,黑客的程序还在继续往那个地址投毒。因为黑客用的是全自动机器人,机器根本不知道自己已经“中大奖”了,还在傻傻地干活,。
4. Balancer 案:AI 挖掘出的“深海炸弹”
• 故事背景: Balancer 是一个运行多年的老牌 DeFi 协议,代码曾被认为非常安全。
• 作案手法: 随着 AI 代码审计技术的发展,黑客利用 AI 挖掘出了人类审计员多年未发现的深层逻辑漏洞。
• 结局: 这个潜伏多年的“零日漏洞”被引爆,造成 1.28 億美金损失。这警示我们:以前安全的代码,在 AI 时代可能不再安全,。
5. EIP-7702 钓鱼案:天上掉下的“诱饵”
• 故事背景: 以太坊升级引入 EIP-7702,允许普通地址拥有合约功能。
• 作案手法: 黑客故意泄露一个私钥,并在该地址里放了一些钱。普通用户看到后,以为捡到了“无主钱包”,想导入私钥把里面的钱转走。
• 技术陷阱: 黑客利用 7702 协议,给这个地址绑定了一个恶意的“委托代码(Delegate)”。虽然地址看起来正常,但一旦用户转入 Gas 费试图操作,背后的恶意代码会自动运行,瞬间转走用户转入的 Gas 或其他资产。
• 结局: 这是一个专门针对“贪小便宜”心态的新型技术钓鱼
