如何保证你正在使用的平台和钱包APP是安全的？

Bitget下载

注册下载Bitget下载，邀请好友，即有机会赢取 3,000 USDT

APP下载   官网注册

资产安全一直是加密行业的重要话题。但是，根据大白话区块链的观察，虽然安全科普经常做，但是真正关注安全问题的人并不多，因为很多人'；的普遍心态是："这完全是概率事件，轮不到我。"相反，我常常想，比这更低概率的彩票中奖会轮到我。

事实上，随着主流加密资产的出现，针对个人用户的安全事件'；资产频繁发生，很多时候，无论大户还是散户，这些事件都发生在我们身边。，已经不是小概率事件了。

然后，从最近最常见的个人用户资产安全事件开始，让'；让我们看看那些与我们密切相关的安全问题。第一件事是：如何保证你正在使用的平台和钱包APP是安全的？

是"官方渠道"必然安全？

大部分人认为保证平台和钱包APP的安全是非常简单的事情。为什么唐'；你就不能找一下"官方渠道"？事实上，可能不是.[XY002][XY001]大家都知道找"官方网站"，但以常见的主流钱包为例。你能马上在官方网站上列出他们的确切地址吗？立即进行测试：

大部分人可能会选A和B，根据日常惯例许多人会认为品牌名称。com或io后缀是"有品牌实力的官网"，但其实早期很多团队都是以小型创业团队起家的。当时注册的官网域名是"潦草的"，正确答案实际上是C.

还是同样的原因金钱的官方团队在他们开始的时候甚至可能不会考虑注册这个商标.然后这个品牌商标被别人注册了，然后别人就可以用这个商标在一些搜索引擎上购买品牌保护服务，把"品牌官方"认证标签上的搜索结果或购买推广服务，这将永远排在首位。这是极其混乱的，这是前两年发生的事情。至今，在一些主流搜索引擎中，前几页的"xxx钱包官网"大部分都是赝品。

这些"官方网站"在官方网站，这甚至比官方网站，真的"坑"很多人。因为这也是黑客成本更低，成功率更高的方式之一。

很多人认为下载的app一定要安全，才能保证输入正确的官方域名。然而，还是会发生一些事情。这不是最近的Bitkeep钱包安全事件。BitKeep宣布，经团队初步调查，怀疑部分APK包下载被黑客劫持，安装了黑客植入代码的包。

简单的说也就是说，有些用户下载的APK软件包是"被劫持"被黑客下载到一个经过特殊处理的"钱包"用于安装。让'；把它归入非官方"假钱包"暂时的。公告中提到的主要原因是"劫持"，因为有很多"劫持"目前，我们不'；我不知道问题出在哪里，但我们可以谈谈黑客通常是如何让用户输入"官方网站"域名明明，却下载到一个假钱包：

首先本地的Localhost文件被篡改

本地PC设备通过漏洞被诱导或安装恶意软件或病毒后，通过修改Localhostlocalhost文件，这种方法可以直接将指定域名指向非官方服务器的IP(如"官方"黑客准备的页面)，也就是说，浏览器打开后，输入准确的域名，却访问了黑客提供的网站，下载了假冒的APP。

第二种，直接在本地浏览器或App打开的页面

当你打开一些平台网站和钱包页面时，可以通过浏览器插件直接修改特定页面显示的内容。比如把APP下载按钮指向的APP下载链接地址替换成黑客准备的地址，或者把资产收费地址替换成黑客，也可以读取和修改剪贴板里的钱包地址或私钥。唐'；不要担心浏览器插件是否有权修改网页。因为大部分浏览器插件都有这个权限，如果你仔细看的话。你会发现，就连我们常用的狐狸钱包也有这个权利.前不久有人发现，即使是我们常用的山寨APP，导致充电地址更换，资产流失。

第三个问题，远程DNS劫持，域名解析记录修改，APP厂商被黑'；s服务器

，属于远程互联网服务商，很少发生，成本和难度系数也很高，但是确实发生了，而且也是通过类似"中毒"。，让你访问的域名解析成黑客的地址。此外，服务提供商'；自己的域名服务商账号被盗，可能导致域名解析修改等。可能导致官网进入黑客网站。另外，APP厂商本身就是被黑的，没什么好说的。这些情况我们可以'；t控。

安全提示

在得知黑客甚至可以劫持官网后，不得不感叹"防不胜防"。我们做什么呢事实上，这些安全问题不仅仅存在于加密领域。数字时代，任何APP都有安全问题。有许多假"应用程序"在银行和第三方支付app中，所以我们根据以往的经验总结了一些相应的安全提示供大家参考：

1。使用HTTPS防止劫持

输入正确的官方域名时，，一定要在域名开头加https://，这个作用很大。当打开URL时，如果存在本地劫持或远程DNS劫持的风险，通常会出现各种警告，如"不安全浏览器地址栏上方红色预警和页面安全风险，具体原理就不展开了。简单来说，这也是非对称加密的广泛应用之一，用于防止劫持。通过加密签名的非对称验证，确保访问官方网页。

这里插一句题外话事实上，很多项目网站，甚至是DeFi网站，都没有使用或者强制使用Https部署网站，这是完全不合理的，很难感受到团队'；的专注态度和专业精神。

2。检查APK文件的哈希

由于一些特殊原因，国内安卓手机用户可以'；t直接通过GooglePlay下载APP，只下载APK安装包，而大部分假APP安全事件都是因为更换APK，下载假APK的问题造成的。那么我们必须确保APK是官方提供的。

首先用Https打开官网，进入下载页面。细心的学生可能会发现，一些下载页面通常会有一个链接，上面写着"验证应用程序安全性或者SHA256。估计80%的人不会看安全提示，90%的人没有点击验证链接查看内容并验证.

点击安全验证链接或SHA256链接后，我们会看到官方发布的APK安装包文件对应的哈希值(如果文件被修改，哈希值会完全改变)。下载APK文件后，我们计算出它的哈希值与官方公布的一致。，就可以说明文件没有被替换掉。

下载完APK，关键的一步来了。打开谷歌'；svirustotal.com禁毒网站，并上传刚刚下载的APK文件。我们可以得到这个文件的哈希值进行比对，同时通过几十个病毒库，搜索这个文件是否携带恶意代码等。可以说是一举两得的神器。

最后，如果要再再严谨一点还要注意的是，在官网打开下载页面，担心哈希值和下载链接被本地病毒和插件篡改，可以通过手机等不同环境下的浏览器两次确认哈希值是否一致。

假设你要下载的钱包的官网下载页面不支持Https。你首先要怀疑的是这是不是真正的官网。另外，如果你不'；不提供APK文件的哈希校验，你也可以怀疑这个钱包团队对安全的严格态度。做出这样的疏漏是非常不恰当的，也是不负责任的。请慎重考虑是否使用此app。

3。如何检查当前安装的平台和钱包APP是否安全？

其实最好的办法就是下载安装Android'sGooglePlay和IOSAppStore通过官网'；的下载页面。因为理论上，谷歌和苹果AppStore的安全系数远高于钱包官方的安全系数。他们的平台拥有世界'；s顶级的安全软硬件和人才储备，而资金或平台与他们相比不是一个量级。

因此，当通过钱包和平台官网下载页面打开GooglePlay和APPStore页面，而开发者'；s公司名称、下载量、评论量(在主流钱包中较大)再次确认，此时我们可以认为下载的app是安全的。。如果当前设备正在使用apk包安装钱包(但一般覆盖安装或更新应用程序不会导致数据丢失)。

4。其他关于钱包安全的建议

如果你没有'；不要用冷钱包或者硬件钱包，喜欢热钱包的朋友。最安全的是iphone设备的安装。第一，只需要一个海外ID，不用像安卓那样各种折腾。第二，iPhone锁定后，没有钥匙无法解锁加密的数据。

很多海外主流app(比如Metamask)都不'；t支持APK单独下载安装，因为安全问题太多，但是很多厂商出于新鲜感、安卓用户太多等原因，无奈开通APK下载。如果安卓想绕过APK问题，，需要GoogleServiceFramework(包括GooglePlay)和GooglePasswordVerifier等必要的软件，由于一些原因现阶段非常难以安装，而且很多人寻找的第三方解决方案的来源也不是官方的，可能不够安全或严谨。

当然必须用安卓手机。可以选择一些仍然支持Google's家水桶框架，比如三星。此外，将钱包安装在支持安全芯片隔离的安全文件夹中，可以成为第二道安全保障。可以达到和苹果一样的附加安全效果'；s手机，丢失后无法解锁获取敏感数据。

5。平台APP上的建议

由于大部分平台CEX采用多重认证，不太受假app影响(黑客很难)，但也要注意确认app里的收费地址是否与官网页面提供的一致。此外，我们必须打开"白名单"功能，并且只向安全白名单地址提及资产。此外CEX平台面临的最大风险就是钓鱼，除了上面提到的两个本地劫持修改地址，因为大部分人'；的应用程序、短信和谷歌验证器实际上安装在同一台设备上，这导致黑客只需要控制或监控一台设备。你可以大概率控制你的三个信息，然后控制你的平台资产。

因此，出于安全考虑，不太建议同时操作多个认证。你可以在另一部安全的手机上安装谷歌验证器。也可以在PC或PC网页上操作平台账号，而不用在手机上安装app，这样可以防止单点"爆破"最大限度地保护资产安全。

总结

安全无小事。白话区块链认为，安全问题是值得谈论的每一天，每时每刻。在日常操作过程中，关注这些细节可能只需要一秒钟，就有可能提高99%的资产安全性。为什么不呢？

相关内容

标签： 下载页面 钱包安全 资产安全