安全特刊 4｜OKX Web3 与 OneKey 对谈：给设备安全加点「Buff」

本期是安全特刊第 4 期，特邀加密硬体钱包商 OneKey 安全团队与 OKX Web3 钱包安全团队，从实操指南的角度出发，教你给设备安全加点「Buff」。

OKX Web3 钱包特别策划了《安全特刊》栏目，针对不同类型的链上安全问题进行专期解答。通过最发生在用户身边最真实案例，与安全领域专家人士或者机构共同联合，由不同视角进行双重分享与解答，从而由浅入深梳理并归纳安全交易规则，旨在加强用户安全教育的同时，帮助用户从自身开始学会保护私钥以及钱包资产安全。

在 Web3 世界冲浪，有两笔钱不能省

一笔是链上交 Gas；一笔是链下买装备

但无论链上还是链下，安全同样重要

本期是安全特刊第 4 期，特邀加密硬体钱包商 OneKey 安全团队与 OKX Web3 钱包安全团队，从实操指南的角度出发，教你给设备安全加点「Buff」。

OneKey 安全团队：OneKey 成立于2019 年，是一家专注安全的开源的硬体钱包与软体钱包公司，并设有安全攻防实验室，已获得Coinbase、 Ribbit Capital、 Dragonfly 等一线机构支持。当前，OneKey 硬体钱包，正成为亚洲最畅销的硬体钱包品牌之一。

OKX Web3 钱包安全团队：大家好，非常开心可以进行本次分享。 OKX Web3 钱包安全团队主要负责OKX 在Web3 领域内各类安全能力的建设，比如钱包的安全能力建设，智能合约安全审计，链上项目安全监控等，为用户提供产品安全、资金安全、交易安全等多重防护服务，为维护整个区块链安全生态贡献力量。

Q1：能否分享几个用户真实的设备风险案例

OneKey 安全团队：Web3 用户涉及的设备风险案例具有多样性特征，我们举例几个比较常见的案例。

案例一、用户 Alice 离开自己的设备后，在不知情的情况下被身边人物理入侵了设备，并盗走了资产。这在电脑安全领域常常被称为「邪恶女仆攻击（Evil maid attack）」，也是用户遭遇的最常见设备风险类型之一。

从「撸毛工作室」的同事、打扫房间的阿姨甚至是到亲密无间的枕边人，都有可能是见财起意的攻击者。此前我们曾经有协助用户追查硬体钱包内资产被盗情况，用户报案后，申报交易所获取了攻击者所使用的交易所帐户KYC，最终发现竟是身边人所为，所谓「千防万防，家贼难防」。

案例二、用户Bob 被物理胁迫，不得已交出自己的有资产控制权限的设备，这在加密圈内有个哭笑不得的名字——「五美元扳手攻击（$5 Wrench Attack ）」。

近年来随着 Crypto 财富效应的出圈，针对高净值人群的绑架勒索情况似乎愈演愈烈，尤其是在犯罪率偏高的国家。在 2023 年初，就有媒体报道一则线下交易虚拟货币遭抢劫的消息。受害者系参与线下数位货币投资者聚会，饭后在车内被控制，不法分子强行利用受害人面部识别解锁手机与钱包软体，将钱包内加密货币兑换为410 万枚USDT 后，旋即转移资金并离开。近期在推特上，也热传一位加密矿业 OG 表示自己在遭遇了国际犯罪集团的抢劫，被勒索了毕生积累的大部分加密资产。

OKX Web3 钱包安全团队：今天这个主题很好，此前我们聊了私钥安全、 MEME 交易安全、以及撸毛安全等很多链上安全的主题，实际上设备安全也非常重要，我们分享一些比较经典的案例。

案例一：被篡改过的硬体钱包

用户 A 从未经授权的平台购买了一个硬体钱包，未经验证便开始使用。实际上该钱包固件遭受篡改，已经预先生成过多套助记词。最终用户存放于该硬体钱包的加密资产被骇客完全控制，损失惨重。

预防措施：1）用户尽量从官方或可信渠道购买硬体钱包。 2）使用钱包前，进行官方的完整验证流程以确保固件安全。

案例二：钓鱼攻击

用户 B 收到来自「钱包安全中心」的邮件说明用户钱包存在安全问题并要求用户输入钱包的恢复短语以进行安全更新。实际上这是一场精心设计的钓鱼攻击，用户最终损失全部资产。

预防措施：1）用户永远不要在任何未经验证的网站上输入私钥或恢复短语。 2）使用硬体钱包来验证所有交易和操作资讯。

案例三：软体安全

用户 C 从未经验证的渠道下载了恶意软体，当用户进行钱包操作时，因软体存在恶意逻辑导致资产损失。

预防措施：1）用户从官方渠道下载软体并定期更新相关软体和固件。 2）使用防毒软体和防火墙保护你的设备。

Q2：用户常用的物理设备和设施以及风险类型

OneKey 安全团队：涉及用户资产安全的设备的话，通常包括用户的手机、电脑、硬体钱包、 USB 储存设备以及网络通讯设备（如 WIFI）。

除了我们前面提到了离开设备时会遇到的「邪恶女仆攻击（Evil Maid Attack）」和，以及暴力犯罪「5 美元扳手攻击（$5 Wrench Attack）」，以下我们再补充还需特别注意的几个方面。

一、社会工程学与钓鱼攻击

社会工程学与钓鱼攻击是目前非常普遍且有效的攻击手段，攻击者利用人性的弱点来诱骗用户执行危险操作。例如，恶意钓鱼链接和附件，攻击者可能会发送含有恶意链接的电子邮件、简讯或社交媒体消息，伪装成可信来源，如银行通知或社交媒体平台的提醒。一旦用户点击这些链接或下载附件，恶意软体就会植入设备中，导致设备被远程入侵。

又例如，冒充技术支持人员，攻击者可能假装成技术支持人员，通过电话或电子邮件联系用户，声称他们的设备存在问题，需要立即采取行动。他们可能会诱导用户提供设备远程访问权限或泄漏敏感资料。目前推特上只要你提到了加密货币相关的术语，很快就会有机器人大军过来冒充技术支持「服务」你。

二、供应链攻击

供应链攻击是指攻击者在设备的生产或运输过程中进行恶意植入。具体表现为以下三点：

1. 硬体篡改：攻击者可能在硬体钱包或 USB 储存设备的制造过程中植入恶意软体。例如，如果用户从不可靠的来源购买硬体设备，可能会收到已被篡改的设备，这些设备可能被预装了能够窃取资讯或允许远程访问的恶意软体。
2. 软体篡改：攻击者可能在设备的软体供应链中进行攻击，篡改软体或固件更新包。当用户下载和安装这些更新时，设备可能被植入后门程序或其他类型的恶意代码。
3. 物流攻击：在设备运输过程中，攻击者可能会拦截并篡改设备。例如，在快递途中，硬体设备可能被替换或篡改，以便于攻击者实施后续攻击。

中间人攻击（Man-in-the-Middle Attack，MITM）是指攻击者在两方通讯中进行拦截和篡改的数据传输。

比如，当用户使用未加密的网络通讯时，攻击者可以轻松截取并篡改传输中的数据。也就是在使用未加密的 HTTP 网站时，攻击者可以截取并修改用户发送和接收的数据。

再比如公共 WIF，在使用公共 WIFI 时，用户的数据传输更容易被攻击者拦截。甚至攻击者可以设置恶意的公共 WIFI 热点，一旦用户连接，攻击者就可以监视并窃取用户的敏感资料，如登录凭证和银行交易记录。自家的 WIFI 在极端情况下也有可能会被入侵安装恶意软体。

四、第三方内部攻击和软体漏洞

第三方内部攻击和软体漏洞，对于用户来说是难以控制的风险，但对物理设备安全有重大影响的因素。

最常见的就是软硬体安全漏洞。这些漏洞可能被攻击者利用，进行远程攻击或者物理旁路攻击。例如，某些插件或应用程序可能存在未被发现的漏洞，攻击者可以通过这些漏洞获取设备的控制权。这个通常保持安全更新就能解决。同时硬体要考虑使用最新的加密晶片。

而软体方的内部人员活动：软体开发者或服务提供者的内部人员可能滥用其访问权限，进行恶意活动，窃取用户数据或在软体中植入恶意代码。或者是由于外部因素导致了恶意活动。

例如，此前曾有「撸毛工作室」因为使用某款多开指纹浏览器导致资产被盗的案例，可能就是软体或插件的内部作恶导致的。这表明即便是合法软体，如果其内部控制不严，也可能对用户的资产安全构成威胁。

又例如，Ledger 之前有一次引起恐慌的攻击——很多 dapp 在用的 Connect Kit 出问题了。攻击的原因是一名前员工成为网络钓鱼攻击的受害者，攻击者在 Connect Kit 的 GitHub 库中插入了恶意代码。还好 Ledger 的安全团队在被告知问题后的 40 分钟内部署了修复措施，Tether 也及时冻结了袭击者的 USDT 资金。

OKX Web3 钱包安全团队：我们归纳一些用户常用的物理设备，并对其可能产生的潜在风险进行展开。

当前用户常用的物理设备主要包括：1）电脑（桌机、笔电），用于访问去中心化应用（dApps）、管理加密货币钱包、参与区块链网络等。 2）智能手机和平板电脑，用于访问 dApps、管理加密钱包和进行交易。 3）硬体钱包，专用设备（如 Ledger、 Trezor），用于安全储存加密货币私钥，防止被骇客攻击。 4）网络基础设施，路由器、交换机、防火墙等设备，确保网络连接的稳定和安全。 5）节点设备，运行区块链节点的软体设备（可以是个人电脑或专用伺服器），参与网络共识和数据验证。 6）冷储存设备，用于离线储存私钥的设备，例如 USB 驱动器、纸钱包等，防止线上攻击。

当前物理设备，可能产生的潜在风险主要有以下几种：

1）物理设备风险

• 设备丢失或损坏：硬体钱包或电脑等设备如果丢失或损坏，可能导致私钥丢失，从而无法访问加密资产。
• 物理入侵：不法分子通过物理手段入侵设备，直接获取私钥或敏感资料。

2）网络安全风险

• 恶意软体和病毒：通过恶意软体攻击用户设备，窃取私钥或敏感资料。
• 钓鱼攻击：伪装成合法服务诱骗用户提供私钥或登录凭证。
• 中间人攻击（MITM）：攻击者拦截和篡改用户与区块链网络之间的通讯。

3）用户行为风险

• 社工攻击：攻击者通过社会工程手段诱骗用户泄漏私钥或其他敏感资料。
• 操作失误：用户在交易或管理资产时操作失误，可能导致资产丢失。

4）技术风险

• 软体漏洞：dApps、加密钱包或区块链协议中的漏洞可能被骇客利用。
• 智能合约漏洞：智能合约代码中的漏洞可能导致资金被盗。

5）监管和法律风险

• 法律合规性：不同国家和地区对加密货币和区块链技术的监管政策不同，可能影响用户的资产安全和交易自由。
• 监管变化：政策的突然变化可能导致资产冻结或交易受限。

Q3：硬体钱包是私钥安全的必选项吗？私钥安全防护措施类型有哪些

OneKey 安全团队：当然，硬体钱包虽然不是私钥安全的唯一选择，但它确实是增强私钥安全的一种非常有效的方法。其最大的优势在于，它能将私钥从生成、记录到日常储存都与网路隔离开来，并在执行任何交易时要求用户在物理设备上直接验证和确认交易细节。这一特性有效地阻断了私钥被恶意软体或骇客攻击所窃取的风险。

我们先来说说硬体钱包的优势：

1. 物理隔离：硬体钱包将私钥储存在专用设备中，与连结网路的电脑和行动设备完全隔离。这意味着，即使用户的电脑或手机被恶意软体感染，私钥依然是安全的，因为它们从未接触到网路。
2. 交易验证：在使用硬体钱包进行交易时，用户必须在设备上直接确认和验证交易细节。这一过程使得攻击者即使获得了用户的线上帐户资料，也无法未经授权地转移资产。
3. 安全晶片：许多硬体钱包使用专用的安全晶片来储存私钥。这些晶片经过严格的安全认证，如 CC EAL6+（例如 OneKey Pro 和 Ledger Stax 等新款硬体钱包采用的标准），能够有效防护物理旁路攻击。安全晶片不仅防止了未经授权的访问，还能抵御多种高级攻击手段，如电磁分析和电力分析攻击。

三、中间人攻击

中间人攻击（Man-in-the-Middle Attack，MITM）是指攻击者在两方通讯中进行拦截和篡改的数据传输。

比如，当用户使用未加密的网络通讯时，攻击者可以轻松截取并篡改传输中的数据。也就是在使用未加密的 HTTP 网站时，攻击者可以截取并修改用户发送和接收的数据。

再比如公共 WIF，在使用公共 WIFI 时，用户的数据传输更容易被攻击者拦截。甚至攻击者可以设置恶意的公共 WIFI 热点，一旦用户连接，攻击者就可以监视并窃取用户的敏感资料，如登录凭证和银行交易记录。自家的 WIFI 在极端情况下也有可能会被入侵安装恶意软体。

四、第三方内部攻击和软体漏洞

第三方内部攻击和软体漏洞，对于用户来说是难以控制的风险，但对物理设备安全有重大影响的因素。

最常见的就是软硬体安全漏洞。这些漏洞可能被攻击者利用，进行远程攻击或者物理旁路攻击。例如，某些插件或应用程序可能存在未被发现的漏洞，攻击者可以通过这些漏洞获取设备的控制权。这个通常保持安全更新就能解决。同时硬体要考虑使用最新的加密晶片。

而软体方的内部人员活动：软体开发者或服务提供者的内部人员可能滥用其访问权限，进行恶意活动，窃取用户数据或在软体中植入恶意代码。或者是由于外部因素导致了恶意活动。

例如，此前曾有「撸毛工作室」因为使用某款多开指纹浏览器导致资产被盗的案例，可能就是软体或插件的内部作恶导致的。这表明即便是合法软体，如果其内部控制不严，也可能对用户的资产安全构成威胁。

又例如，Ledger 之前有一次引起恐慌的攻击——很多 dapp 在用的 Connect Kit 出问题了。攻击的原因是一名前员工成为网络钓鱼攻击的受害者，攻击者在 Connect Kit 的 GitHub 库中插入了恶意代码。还好 Ledger 的安全团队在被告知问题后的 40 分钟内部署了修复措施，Tether 也及时冻结了袭击者的 USDT 资金。

OKX Web3 钱包安全团队：我们归纳一些用户常用的物理设备，并对其可能产生的潜在风险进行展开。

当前用户常用的物理设备主要包括：1）电脑（桌机、笔电），用于访问去中心化应用（dApps）、管理加密货币钱包、参与区块链网络等。 2）智能手机和平板电脑，用于访问 dApps、管理加密钱包和进行交易。 3）硬体钱包，专用设备（如 Ledger、 Trezor），用于安全储存加密货币私钥，防止被骇客攻击。 4）网络基础设施，路由器、交换机、防火墙等设备，确保网络连接的稳定和安全。 5）节点设备，运行区块链节点的软体设备（可以是个人电脑或专用伺服器），参与网络共识和数据验证。 6）冷储存设备，用于离线储存私钥的设备，例如 USB 驱动器、纸钱包等，防止线上攻击。

当前物理设备，可能产生的潜在风险主要有以下几种：

1）物理设备风险

• 设备丢失或损坏：硬体钱包或电脑等设备如果丢失或损坏，可能导致私钥丢失，从而无法访问加密资产。
• 物理入侵：不法分子通过物理手段入侵设备，直接获取私钥或敏感资料。

2）网络安全风险

• 恶意软体和病毒：通过恶意软体攻击用户设备，窃取私钥或敏感资料。
• 钓鱼攻击：伪装成合法服务诱骗用户提供私钥或登录凭证。
• 中间人攻击（MITM）：攻击者拦截和篡改用户与区块链网络之间的通讯。

3）用户行为风险

• 社工攻击：攻击者通过社会工程手段诱骗用户泄漏私钥或其他敏感资料。
• 操作失误：用户在交易或管理资产时操作失误，可能导致资产丢失。

4）技术风险

• 软体漏洞：dApps、加密钱包或区块链协议中的漏洞可能被骇客利用。
• 智能合约漏洞：智能合约代码中的漏洞可能导致资金被盗。

5）监管和法律风险

• 法律合规性：不同国家和地区对加密货币和区块链技术的监管政策不同，可能影响用户的资产安全和交易自由。
• 监管变化：政策的突然变化可能导致资产冻结或交易受限。

Q3：硬体钱包是私钥安全的必选项吗？私钥安全防护措施类型有哪些

OneKey 安全团队：当然，硬体钱包虽然不是私钥安全的唯一选择，但它确实是增强私钥安全的一种非常有效的方法。其最大的优势在于，它能将私钥从生成、记录到日常储存都与网路隔离开来，并在执行任何交易时要求用户在物理设备上直接验证和确认交易细节。这一特性有效地阻断了私钥被恶意软体或骇客攻击所窃取的风险。

我们先来说说硬体钱包的优势：

1. 物理隔离：硬体钱包将私钥储存在专用设备中，与连结网路的电脑和行动设备完全隔离。这意味着，即使用户的电脑或手机被恶意软体感染，私钥依然是安全的，因为它们从未接触到网路。
2. 交易验证：在使用硬体钱包进行交易时，用户必须在设备上直接确认和验证交易细节。这一过程使得攻击者即使获得了用户的线上帐户资料，也无法未经授权地转移资产。
3. 安全晶片：许多硬体钱包使用专用的安全晶片来储存私钥。这些晶片经过严格的安全认证，如 CC EAL6+（例如 OneKey Pro 和 Ledger Stax 等新款硬体钱包采用的标准），能够有效防护物理旁路攻击。安全晶片不仅防止了未经授权的访问，还能抵御多种高级攻击手段，如电磁分析和电力分析攻击。

除了硬体钱包外，还有多种方法可以增强私钥的安全性，用户可以根据自身需求选择适合的方案：

1. 纸钱包：纸钱包是将私钥和公钥打印在纸上的一种离线储存方式。虽然这种方法简单且完全离线，但需要注意防火、防潮、防丢失等物理安全问题。有条件最好买一个金属刻板进行物理记录（市面上选择很多，例如 OneKey 的 KeyTag）。
2. 手机冷钱包：冷钱包是指完全离线储存的私钥或加密资产，比如离线的手机或者电脑。与硬体钱包类似，冷钱包也能有效避免网络攻击，但用户需要自己配置和管理这些设备。
3. 分片加密储存：分片加密储存是一种将私钥分割成多个部分，并分别储存在不同位置的方法。即使攻击者获取了一部分私钥，也无法进行完整的恢复。这种方法通过增加攻击难度来提高安全性，但用户需要管理好各个私钥分片，避免因部分分片丢失而无法恢复私钥。
4. 多重签名（Multisig）：多重签名技术要求多个私钥共同签署交易，才能完成转帐操作。这种方法通过增加签名者数量来提高安全性，防止单个私钥被盗而导致资产被转移。例如，可以设置一个三方签名的多签帐户，只有当至少两个私钥同意时，交易才能被执行。这不仅提高了安全性，还可以实现更灵活的管理和控制。
5. 5）密码学创新技术：现在随着技术的发展，一些新兴的密码学技术也在不断应用于私钥保护中。例如，门限签名（Threshold Signature Scheme, TSS）和多方计算（Multi-Party Computation, MPC）等技术，通过分布式计算和协作方式，进一步提高了私钥管理的安全性和可靠性。这里一般是企业会用得比较多，个人使用极少。

OKX Web3 钱包安全团队：硬体钱包通过将私钥储存在一个独立的、离线的设备上，防止私钥被网络攻击、恶意软体或其他线上威胁所窃取。相比于软体钱包和其他形式的储存，硬体钱包提供了更高的安全保障，特别适用于需要保护大量加密资产的用户。对于私钥安全防护措施大概可以从以下角度出发：

1. 使用安全的储存设备：选择可信赖的硬体钱包或者其他冷储存设备，降低私钥被网络攻击盗取的风险。
2. 建立完善的安全意识教育：加强对私钥安全的重视和保护意识，对任何需要输入私钥的网页或程序保持警惕，在必须复制粘贴私钥时，可以只复制部分，留几位字符手动输入，防止剪贴板攻击。
3. 助记词和私钥的安全储存：避免拍照、截图或线上记录助记词，应尽量写在纸上并存放在安全的地方。
4. 私钥分离储存：将私钥分成多个部分，分别储存在不同的地方， 减少单点故障的风险。

Q4：当前身份验证和访问控制方面存在的漏洞

OneKey 安全团队：区块链并不像 Web2 需要去识别储存我们的身份资料，它是通过密码学来实现资产的自托管和访问。这意味着，私钥就是一切。用户访问控制加密资产的最大风险，一般都来自私钥的储存不当——毕竟用户私钥是访问加密货币资产的唯一凭证。如果私钥丢失、被盗暴露甚至是遭遇自然灾害，就很可能永久丢失资产。

这也是我们 OneKey 等品牌存在的意义，为用户提供安全的私钥自托管方案。不少用户往往在管理私钥时缺乏安全意识，使用不安全的储存方式（如将私钥保存在线上文档、截图中）。最好的方式是采用离线生成和储存的方式，除了手动掷骰子和手抄之外，也可以考虑使用此前提到的硬体钱包配合助记词金属板铭刻。

当然，也有不少用户使用交易所帐户直接储存资产，这时候身份验证和访问控制就比较类似 Web2 了。

这将关乎用户的密码安全意识。弱密码和重复密码的使用是一个常见的问题。用户倾向于使用简单、易猜的密码或在多个平台（比如验证用邮箱）上重复使用相同的密码，增加了被暴力破解或数据泄漏后受攻击的风险。

尽管在这其中多重身份验证（如简讯验证码、 Google Authenticator）可以增加安全性，但如果实施不当或存在漏洞（如简讯劫持），也会成为攻击目标。比如简讯劫持SIM 交换攻击—— 攻击者通过欺骗或贿赂电信营运商的员工，将受害者的电话号码转移到攻击者控制的SIM 卡上，从而接收所有发往受害者手机的简讯验证码。此前 Vitalik 就曾经遭遇「SIM SWAP」攻击，攻击者使用其推特发出钓鱼讯息导致多人资产受损。此外，多重身份验证器如「Google Authenticator」的备份码储存不当也有可能会被攻击者获取并用于攻击帐户。

OKX Web3 钱包安全团队：这是非常值得关注的板块，当前来看需要注意的是

1. 弱密码和密码重用：用户经常使用简单、容易猜测的密码，或在多个服务上重复使用相同的密码，增加了密码被暴力破解或通过其他泄漏渠道获取的风险。
2. 多因素身份验证（MFA）不足：Web2 中多因素身份验证可以显着提高安全性，但web3 钱包中一旦私钥泄漏就意味着攻击者掌握了帐户的全部操作权限，难以建立有效的MFA 机制。
3. 钓鱼攻击和社会工程学：攻击者通过钓鱼邮件、假冒网站等手段诱骗用户泄漏敏感资料。当前针对 web3 的钓鱼网站呈现集团化、服务化的特点，如果没有足够的安全意识很容易上当受骗。
4. API 密钥管理不当：开发者可能将API 密钥硬编码在客户端应用中，或者未对其进行适当的权限控制和过期管理，导致密钥被泄漏后可以被滥用。

Q5：用户应该如何预防 AI 换脸等新兴的虚拟技术所带来的风险？

OneKey 安全团队：在 2015 年的 BlackHat 大会上，全球骇客一致认为人脸识别技术是最不可靠的身份认证方法。近十年后，在 AI 技术进步下，我们已经有近乎完美的替换人脸的「魔法」，果然普通的视觉人脸识别已经无法提供安全的保障。于此，更多的是识别方需要升级算法技术识别和阻止深度伪造内容。

对于 AI 换脸这些风险，用户端除了保护好自己的隐私生物特征数据之外，能做的确实不多。以下有一些小的建议：

1）谨慎使用人脸识别应用

用户在选择使用人脸识别应用时，应选择那些有良好安全纪录和隐私政策的应用程序。避免使用未知来源或安全性存疑的应用，并定期更新软体以确保使用最新的安全补丁。此前国内有很多小贷公司 App 就违规使用用户的人脸数据倒卖，泄漏用户人脸数据。

2）了解多因素认证（MFA）

单一的生物特征认证存在较大风险，因此结合多种认证方式能够显着提升安全性。多因素认证（MFA）结合了多种验证方法，例如指纹、虹膜扫描、声纹识别，甚至是 DNA 数据。对于识别方而言，这种组合认证方式能够在一个认证方法被攻破时，提供额外的安全层。对于用户来说，保护自己这方面的隐私数据同样很重要。

3）保持怀疑谨防诈骗

很显然，人脸和声音都被可以被 AI 模仿的情况下，隔着网络冒充一个人变得简单了很多。用户应特别警惕涉及敏感资料或资金转移的请求，采取双重验证，通过电话或面对面确认对方身份。保持警惕，不轻信紧急要求，识别假冒高管、熟人、客服等常见诈骗手段。先如今假冒名人的也很多，参与一些项目也要小心「假站台」。

OKX Web3 钱包安全团队：一般来说，新兴的虚拟技术带来新的风险，而新的风险事实上也会带来新的防御手法研究，新的防御手法研究则会带来新的风险控制产品。

一、 AI 伪造风险

在AI 换脸范畴，已经有许多AI 换脸检测产品的出现，当前工业界已经提出了几种方法来自动检测虚假人物影片，侧重于检测数位内容中因使用deepfake 而产生的独特元素（指纹），用户也可以通过仔细观察面部特征，边缘处理，音画不同步等多种方式识别出AI 换脸，此外，微软也推出了一系列工具以教育用户对于deepfack 的识别能力，用户可以进行学习并加强个人的识别能力

二、数据与隐私风险

大模型在各种领域的应用也带来了用户的数据与隐私风险，在平时在对话机器人的使用中，用户尽量要关注个人隐私资料的保护，尽量避免私钥、 key、密码等关键资料的直接输入，尽量通过替代，混淆等方法隐藏自己的关键资讯，对于开发者而言，Github 提供了一系列友好的检测，如果提交的代码中存在OpenAI apikey 或者其他有风险的隐私泄漏，相应的Push 则会报错。

三、内容生成滥用风险

在用户日常工作中，可能会遇到很多大模型生成内容的结果，这些内容虽然有效，但是内容生成的滥用也带来了虚假资讯，知识版权的问题，现在也出现了一些产品，用于检测文本内容是否为大模型生成，可以降低一些相应的风险。此外，开发者在使用大模型的代码生成时，也要关注生成代码功能的正确性和安全性，对于敏感或需要开源的代码，一定要进行充分的审查和审计

四、日常的关注以及学习

用户在日常浏览影片以及各种文章时，要有意识的去判断以及识别，记住可能的AI 伪造或AI 生成的内容，如常见的解说男音、女音、读音错误，以及常见的换脸影片，在遇到关键场景下，有意识的去判断和识别这些风险。

Q6：从专业的角度，分享一下物理设备安全建议

OneKey 安全团队：根据前面提到的各种风险，我们把防护措施简单总结一下。

1、谨防网路设备的入侵风险

在我们日常生活中，网路设备已经无处不在，但这也带来了潜在的入侵风险。为了保护我们的高危数据（如私钥、密码、 MFA 备份码），我们应该使用强加密方法，并尽量选择隔绝网络的储存方式，避免将这些敏感资料直接以明文形式储存在设备上。此外，我们需要始终保持防范钓鱼和木马攻击的警惕心态。可以考虑分开使用加密资产操作的专用设备和其他普通用途的设备，以降低被攻击的风险。例如，我们可以将日常使用的笔记本电脑和用于管理加密资产的硬体钱包分开，这样即使一台设备遭到攻击，另一台设备仍能保持安全。

2、保持物理的监控与保护

为了进一步保障我们的高风险设备（如硬体钱包）的安全，我们需要采取严格的物理监控和保护措施。家中的这些设备应该存放在高标准的防盗保险箱中，并配备综合智能安防系统，包括影片监控和自动报警功能。如果我们需要出行，选择带有安全储存设施的酒店尤为重要。许多高档酒店提供专门的安全储存服务，这能为我们的设备提供额外的保护层。此外，我们还可以考虑随身携带便携式保险箱，确保在任何情况下都能保护我们的重要设备。

3、降低风险敞口和预防单点故障

将设备与资产分散储存是降低风险的关键策略之一。我们不应该将所有高权限设备和加密资产储存在一个地方或一个钱包中，而应考虑分散储存在不同地理位置的安全地方。例如，我们可以在家中、办公室以及信任的亲友处分别存放一些设备和资产。此外，使用多个热钱包和硬体冷钱包也是一种有效的方法，每个钱包可以存放一部分资产，降低单点故障的风险。为了增加安全性，我们还可以使用多重签名钱包，这需要多个授权签名才能进行交易，从而大幅提升我们的资产安全水平。

4、假设最坏情况的应急措施

在面对潜在的安全威胁时，制定最坏情况的应急措施至关重要。对于高净值人士来说，保持低调行事是避免成为目标的有效策略。我们应避免在公开场合炫耀自己的加密资产，尽量保持低调。此外，制定设备丢失或被盗的应急计划也是必要的。我们可以设置诱饵加密钱包，临时应付可能的劫匪，同时确保重要设备的数据可以远程锁定或擦除（在有备份的情况下）。在高风险地区公开出行时，雇佣私人安保团队可以提供额外的安全保障，并使用特殊贵宾安全通道和高安全性的酒店，确保我们的安全和隐私。

OKX Web3 钱包安全团队：我们分两个层面来介绍，一个是 OKX Web3 APP 层面、另外一个是用户层面。

1、 OKX Web3 APP 层面

OKX Web3 钱包采用了多种手段对App 进行加固，包括但不限于算法混淆、逻辑混淆、代码完整性检测、系统库完整性检测、应用防篡改以及环境安全检测等多种加固和检测手段，最大程度上降低了用户在使用App 时遭受骇客攻击的概率，同时也能够最大程度避免黑产对我们的App 进行二次打包，降低了下载到假App 的概率。

另外，在Web3 钱包数据安全层面，我们使用了最先进的硬体安全技术，利用晶片级加密手段，对钱包中的敏感数据进行加密，该加密数据跟设备晶片绑定，加密数据如果被盗，任何人无法解密。

2、用户层面

针对用户涉及物理设备包括硬体钱包、常用电脑、以及手机等设备，我们建议用户可以先从以下几个方面加强安全意识

1. 硬体钱包：使用知名品牌的硬体钱包，从官方渠道购买，并在隔离环境中生成和储存私钥。储存私钥的介质应防火、防水、防盗。建议使用防火防水的保险柜，可将私钥或助记词分散储存在不同安全位置以提升安全性。
2. 电子设备：安装软体钱包的手机与电脑建议选用安全性与隐私性较好的品牌 (例如苹果)，同时减少安装其它不必要的应用软体，纯净系统环境。使用苹果身份 ID 管理系统多设备备份，避免单机故障。
3. 日常使用：避免在公共场合进行钱包设备敏感操作，防止摄像头记录泄漏；定期使用可靠的防毒软体对设备环境进行查杀；定期对物理设备存放位置可靠性进行检查。

最后，感谢大家看完OKX Web3 钱包《安全特刊》栏目的第4 期，当前我们正在紧锣密鼓地准备第5 期内容，不仅有真实的案例、风险识别、还有安全操作干货，敬请期待！