安全特刊 6｜OKX Web3 与 GoPlus 对谈：链上安全监控与事后抢救

先前几期内容，我们从用户真实案例出发，花费了大量的篇幅去介绍风险识别与安全防护，涵盖私钥安全、 MEME 交易安全、链上撸毛安全、设备安全、 DeFi 交互安全等等，已经非常全面。俗话常说，亡羊补牢未为晚也。本期是安全特刊第 6 期，特邀区块链安全新锐 GoPlus 安全团队，从实操指南的角度出发，分享链上安全监控与事后急救相关内容，仅供大家学习与交流。

OKX Web3 钱包特别策划了《安全特刊》栏目，针对不同类型的链上安全问题进行专期解答。透过发生在用户身边最真实案例，与安全领域专家人士或机构共同联合，由不同视角进行双重分享与解答，从而由浅入深梳理并归纳安全交易规则，旨在加强用户安全教育的同时，帮助用户从自身开始学会保护私钥以及钱包资产安全。

链上安全攻与防，就像一场永不停歇的「躲猫猫」。用户要随时藏好自己资产、做好安全防护。就算被「骇客抓到」，也不能慌张、要学会速速补救

GoPlus 安全团队：感谢邀请，我们致力于建立 Web3 用户安全网络，专注于提供无需许可的安全资料和终端用户服务环境。在技​​术架构上，GoPlus 整合了先进的人工智慧模组，目前已服务超过 10,000 名合作伙伴，日均调用用户安全资料超过 2,100 万次，支援 20 多种公链。

OKX Web3 钱包安全团队：大家好，非常开心可以进行这次分享。 OKX Web3 Security 团队主要负责OKX 在Web3 领域内各类安全能力的建设，例如智慧合约安全审计，钱包的安全能力建设，链上项目安全监控等，为用户提供产品安全、资金安全、交易安全等多重防护服务，为维护整个区块链安全生态贡献力量。

分享一些用户真实的、链上成功安全防护或抢救案例

GoPlus 安全团队：这类案例很多，我们分享两个。

案例一：一位来自 GoPlus 社群的用户回馈，他的 EVM 地址遭遇了骇客投毒手法的攻击。骇客透过发送少量代币到目标用户的钱包中，并伪造前 5 位和后 3 位字元相同的地址，诱使用户误认为这是自己常用的转帐地址。但由于采用了链上防护和监控的安全服务，成功阻止了超过 20K 美金的损失，

主要的事件经过是：使用者在进行一笔以太坊转帐时，安全监控和链上拦截服务发挥了关键作用。监控服务检测到有一个可疑的投毒地址向用户钱包发送了少量代币，并将该地址拉入了黑名单。但此刻用户对此并不知情，并且已经尝试将一部分资金转移到这个伪造地址，好在用户在钱包中使用了安全RPC 的服务，在交易被发出后，拦截服务立即介入，成功阻止了这笔交易。系统自动发出警报，通知用户此交易地址与常用地址不符，可能有风险。

用户收到通知后，暂停了此转帐交易，并使用相关检查工具进行核查，确认该地址是已知的投毒地址。系统显示，该地址在过去几天内与多个诈欺活动相关联。用户及时取消了此次转账，避免了将资金转入骇客控制的地址中。事后，用户清理了自己的常用转帐地址列表，删除了所有不明来源的地址，以防止类似事件再次发生。

案例二：利用 Front Running 实现链上抢跑成功转移资产

另一位我们的用户，发现其EVM 私钥被盗，骇客已经将所有的ETH 转移至其他的钱包，并且骇客设定了监控和自动化的程序，使得每当该用户向被盗地址中转ETH 作为Gas 时，该Gas 都会被骇客自动立刻转走。但最终透过及时利用抢车服务，成功抢走其余的 NFT 以及剩余 Token 资产，将它们全部转移到安全的新地址。

在我们的帮助下，用户利用抢跑技术进行抢救。透过抢跑服务，准备了一系列高优先级的交易，利用监控以及拉高 Gas 费提高交易速度，确保这些交易在黑客的监控程序监控并下单之前被矿工打包。使用者首先分批次地将帐户中的 NFT 和剩余的 Token 资产迅速转移到多个中间地址，最终成功将剩余资产抢救。阻止了超过 10K 美金资产的损失。

透过这两个案例可以看出，无论是在事中或事后，合理的利用工具和安全服务，都可以及时的减少资金损失，抵御风险。

OKX Web3 钱包安全团队：由于用户遭遇了钓鱼、私钥泄漏等事件，我们提供了非常多的协助，来帮助他们成功挽回了损失。

案例一： 使用者 A 不慎在钓鱼网站输入了自己的私钥，导致其持有的以太坊（ETH）被窃。幸运的是，用户的其他 ERC20 代币，如 USDC，尚未被偷走。在用户 A 寻求协助后，我们进行了深入的沟通、并组织团队对其展开帮助。透过使用 Flashbots 进行交易捆绑，我们将支付 Gas 的交易和转出价值代币的交易一并提交，在同一区块中处理，成功抢救了用户的剩余资产。

案例二： 用户 B 在查询空投资讯时误入钓鱼网站，该网站要求使用者对一个已知的风险位址进行授权。 OKX Web3 钱包识别出该地址属于黑名单，并成功拦截了授权请求，防止了潜在的资产风险。

案例三： 某协议 C 遭到攻击，所有授权给该协议的地址均面临资产风险。 OKX Web3 钱包安全团队对此事件进行了迅速回应，将协议涉及漏洞合约列为风险地址，在用户进行授权时会进行提醒，有效避免了更大的损失。

以上这些案例表明，使用者不仅要更新应对网路钓鱼和协议攻击的紧急措施，还可以借助安全工具、以及向专业的安全团队寻求协助。但最重要的是，使用者首先需要从自身开始，学会保护自己的钱包和资产。

使用者如何更了解自己的钱包安全状态，管理钱包的安全状况？

GoPlus 安全团队：为了更了解并管理自己的钱包安全状态，使用者可以采取以下详细措施。

一、定期检查授权

1. 使用授权管理工具

•借助授权管理工具：利用一些常用的授权管理工具，使用者可以定期检查已授权的智慧合约。这些工具可以帮助使用者列出所有已授权的合约，并标记那些不常使用或可能有风险的合约。

•合约风险评估：使用这些工具对合约进行风险评估，查看合约代码的安全性和历史记录，识别潜在的风险。

2. 取消不必要的授权

•简单取消授权：透过授权管理工具，使用者可以方便地取消那些不再需要的合约授权。这不仅减少了潜在的安全风险，还可以防止恶意合约利用已授权的权限进行操作。

•定期维护：定期进行授权维护，保持授权清单的简洁和安全，确保只有必要的合约具有权限。

二、钱包监控

1. 使用监控工具

•即时监控：使用一些钱包监控工具，如 Etherscan 的地址监控服务、 GoPlus 的安全监控工具，即时监控钱包的活动。这样使用者可以在授权变更、异常交易、地址被投毒或其他安全事件发生时及时收到提醒。

•详细报告：这些监控工具通常提供详细的报告和日志，记录钱包的所有活动，方便使用者进行审查和分析。

2. 自订警报

•设定警报参数：根据交易金额、频率等参数，设定自订警报。使用者可以定义不同类型的警报，例如大额交易警报、频繁交易警报、授权变更警报等。

•及时回应：一旦触发警报，使用者应及时检查并采取必要措施，防止进一步的损失。这些警报可以透过邮件、简讯或应用程式内通知的方式发送给使用者。

三、其他安全措施

1. 定期备份和恢复

•备份私钥和助记词：定期备份钱包的私钥和助记词，并将其安全存放在多个地点，如离线储存装置、加密 USB 磁碟或纸本备份。确保备份不被未授权人员存取。

•测试复原流程：定期测试钱包的复原流程，确保在需要时能够快速有效地恢复钱包。这包括导入私钥或助记词、恢复钱包的全部功能，以及验证恢复后的钱包能够正常使用。

2. 使用硬体钱包

•硬体钱包的安全性：使用硬体钱包储存大笔资产，硬体钱包可以提供更高的安全性，因为其私钥永远不会离开设备，防止被骇客窃取。

•定期更新韧体：确保硬体钱包的韧体保持最新版本，厂商会定期发布安全更新和补丁，以应对最新的安全威胁。

OKX Web3 钱包安全团队：通常，使用者可以用以下几个方面来加强钱包的安全管理

1. 使用钱包安全工具

许多钱包和安全工具可以帮助用户管理授权和提高安全性

1）常用的浏览器钱包插件，允许使用者管理 DApp 的权限。可以查看和撤销已授权的 DApp，定期查看已经授权的 dapp 网站，对不需要的网站解除授权

2）使用检查和撤销钱包授权网站。使用者可以透过连接钱包，查看所有已授权的智慧合约，并选择撤销不再需要的权限。

2. 定期检查钱包授权

定期检查自己的钱包授权状态，确保没有多余或可疑的授权

1）连接到 Revoke.cash 或类似工具。

2）查看所有已授权的智能合约清单。

3）对不再使用的 DApp 或可疑的授权进行撤销。

4）确保钱包软体始终保持最新版本，以获得最新的安全更新和漏洞修复。

3. 提高个人安全意识

1）警惕钓鱼攻击: 不要点击来历不明的连结或下载不明文件。

2）使用强密码和双重认证: 为钱包帐户设定强密码，并启用双重认证（2FA）来增加安全性。

使用者如何感知链上安全事件，并及时保护自己的资产

GoPlus 安全团队：使用者应该尽可能学会即时监控、并及时阻断恶意的链上交易。

为什么需要即时监控？即时监控链上交易对于保护用户资产至关重要。随着越来越多的骇客和诈骗集团涉足链上诈骗，识别交易中的隐藏风险变得异常困难。许多使用者缺乏必要的安全知识和技术能力，无法全面理解和防范这些威胁。即时监控可以帮助使用者及时识别异常活动，例如未经授权的交易、大额转帐或频繁的交易操作，并迅速采取措施防止损失。此外，即时监控能够侦测并阻止恶意操作，如钓鱼、骇客入侵和智慧合约漏洞，保障用户的资产安全。当发生安全事件时，即时监控能够立即通知用户，使其迅速采取行动，例如冻结帐户、取消授权或报告事件，从而最大限度地减少损失。透过提供透明的环境，即时监控还可以增强用户对钱包和平台的信任，使用户随时查看交易和授权状态，提升使用体验。

为了实现对链上交易的即时监控和阻断恶意交易，用户可以采取以下措施：

首先，采用监控和回应系统。使用者可以设定自订交易警报，根据交易金额、频率等参数设定警报，并透过邮件、简讯或应用程式内通知及时接收警报讯息。这不仅能帮助用户精确监控钱包活动，还能在发现异常交易时第一时间发出警报，让用户迅速采取措施，防止损失进一步扩大。

利用区块链分析工具也是重要手段。透过使用公链网路浏览器等区块链分析平台，用户可以监控钱包的交易历史和活动，深入分析交易模式和对手方。这些平台提供的详细数据和分析功能，可以帮助用户识别潜在的风险交易，并及时采取行动。此外，区块链分析工具还可以帮助用户追踪资金流向，发现并防止可能的诈欺行为。

此外，使用无感的风控保护可以显著提升使用者的安全体验。安全 RPC 或安全钱包产品能够帮助用户实现无感的风控保护，透过后台即时分析用户的交易行为和环境，自动识别和评估潜在的安全威胁。这种保护机制无需使用者进行复杂操作，自动运作并提供保护，降低使用者操作难度。例如，一些进阶的安全 RPC 服务可以帮助用户分析每一笔交易的安全风险，智慧地拦截危险交易。用户只需要将自己的钱包绑定到相应的监控和阻断服务，系统就会自动保护用户的资产安全。

结合这些措施，用户可以实现对链上交易的全面即时监控，有效阻断恶意交易，并保障自己的资产安全。透过无感的风控保护、即时监控和智慧阻断技术，用户能够在一个更便利、更安全的环境中进行链上交易。无论是普通用户还是专业投资者，这些技术都为他们提供了强有力的安全保障，使他们能够更安心地参与区块链生态系统。

即时监控不仅能够帮助使用者应对当前的安全威胁，还能提升他们对未来潜在风险的防范能力。随着区块链技术的不断发展和应用场景的扩大，安全问题也日益复杂和多样化。透过不断学习和应用最新的安全技术和工具，使用者可以保持对新型威胁的高度警觉，及时调整和优化自己的安全策略。最终，即时监控、智慧阻断和无感风控将成为用户在链上交易中不可或缺的安全工具，为他们的数位资产保驾护航。

OKX Web3 钱包安全团队：链上安全事件频发，用户需要了解如何及时感知这些事件并保护自己的资产。以下是一些具体的方法和工具，希望可以帮助使用者提高链上安全感知能力，并采取适当的资产保护措施。

1. 关注安全厂商的安全事件推特

•安全厂商推特: 关注区块链安全厂商的推特帐号，了解最新的链上安全动态和攻击手法。

•关注最新攻击手法： 特别是对同一类型协定的最新攻击手法保持关注，防止骇客使用通用漏洞对其他协定进行攻击，导致用户资金损失。因此必要时撤出相关类型协议的投资，避免因同类型安全漏洞造成资金损失。

2. 使用链上监控工具

•即时监控工具: 使用链上监控工具如的地址余额监控，即时关注协议TVL（总锁仓量）的变化，或使用一些安全厂商提供的协议监控工具，对主流协议的安全性进行实时监控，并在发现问题时及时提醒用户。

3. 关注项目方的赔偿动态

•赔偿计画: 对于已经发生的攻击事件，使用者可以关注项目方的赔偿动态。

•追踪公告: 有些项目方会在其官网、社群媒体和公告管道发布赔偿计画的资讯。

•申报损失: 受损用户应及时申报损失，并根据项目方的指引参与赔偿计画。

4. 对漏洞合约进行取消授权

•Revoke.cash：使用相关工具检查并撤销漏洞合约的授权，防止资金二次被盗

在进行链上交易时，如何避免轻易地成为钓鱼者攻击目标？

GoPlus 安全团队：在链上交易时，使用者应该尽量避免成为钓鱼者的攻击目标，可以从以下几个方面，来加强防护。

OKX Web3 钱包安全团队：随着链上生态发展，用户链上互动逐渐活跃，更需要提高安全防护意识。尽量采取多种措施，来降低成为钓鱼攻击目标的风险，并保护钱包和资产安全。

链上交易时，用户如何尽量避免参与诈骗型项目

GoPlus 安全团队：首先，我们需要了解什么是诈骗代币。诈骗型代币是由恶意行为者创建的加密货币代币。它们创建之初的目的就是为了实施 Rug pull，这些代币通常被设计用来骗取投资者的资金，而代币本身没有实际价值或用途。一旦投资者购买了这些代币，他们往往会发现这些代币因为各种原因而无法出售，或者在交易过程中遭受巨大损失。常见的诈骗代币包括那些透过限制出售功能、交易冷却、隐藏交易费用或以其他方式欺骗用户的代币。用户可以透过以下措施避免买到诈骗型代币。

•保持理性和谨慎：不要被短期高收益所诱惑，始终进行充分的调查和风险评估。投资决策应基于详细的分析和理性的判断，而不是情绪驱动。

•分散投资：不要将所有资金投入单一世代币或项目中，分散投资可以降低整体风险，确保即使部分投资失败也不会造成重大损失。

OKX Web3 钱包安全团队：链上项目方 Rug pull 事件屡见不鲜、用户应该提高警觉意识。比如：

1. 研究项目背景：在购买任何代币之前，务必深入研究该项目。了解项目的愿景、团队成员、白皮书、路线图等方面的资讯。寻找项目的社群讨论，了解其他人对项目的看法。

2. 注意警讯：一些警讯可能表示代币是诈骗或不可信的。例如，匿名团队、过度夸张的承诺、缺乏透明度等。如果你发现任何警告信号，最好保持警惕，不要轻易购买这类代币。

3. 使用代币扫描工具：可使用OKX Web3 钱包等提供的代币扫描功能，代币扫描工具从合约代码、链上行为、社群回馈等多个层面进行综合分析，能一定程度上侦测出代币是否具有诈骗行为。

4. 审查合约：在以太坊或其他智慧合约平台上，你可以查看代币合约的程式码。审查合约可以帮助你确定代币是否具有可信度。如果合约程式码包含可疑逻辑或未开源，需要更加小心。

5. 保持警觉：不要轻易相信来自陌生人的推荐或在社群中群发宣传的文案，如果听到某个项目过于美好的承诺，要多加怀疑并保持理性。

用户如何防止被链上 MEV 攻击、避免资金损失

GoPlus 安全团队：为了防止被 MEV（矿工可提取价值）攻击损失资金，使用者可以采取以下详细措施。

1. 使用专用工具

•防 MEV 功能：用户可以在钱包中开启防 MEV 的功能，利用专门设计的交易工具或外挂程式。这些工具能够识别和避免潜在的 MEV 攻击，保护用户的交易不被矿工和其他攻击者利用。

•交易保护服务：有些平台提供交易保护服务，可以将使用者的交易分批发送或混淆，以降低被 MEV 攻击的风险。这些服务可以帮助用户更安全地执行大额交易。

2. 分散交易时间

•避免高峰期：避免在交易高峰期进行大额交易，因为这些时段 MEV 攻击较为活跃。高峰期通常是市场波动较大或有重大新闻发布的时段。选择交易量较低的时段进行交易，可以有效降低被攻击的机率。

•定时交易：使用定时交易功能，将大额交易分散到多个时间点进行，减少单笔交易暴露在 MEV 攻击中的风险。

3. 利用隐私技术

•隐私节点：使用者可以将交易传送到一些隐私节点（如 Flashbots），以确保交易被正常执行。 Flashbots 可以将交易直接发送给矿工，绕过公开的交易池，从而避免被 MEV 攻击。然而，这种方式可能会导致交易确认速度稍慢，因为交易需要等待区块上链才能确认其状态。

•混淆交易：使用交易混淆技术，将交易分拆成多个小额交易并混合发送，增加交易的隐蔽性，降低被攻击的风险。

4. 多样化策略

•分散交易：不要将所有交易集中在同一时间或同一平台，分散风险，减少被针对的可能性。透过分散交易，可以使攻击者难以预测和拦截所有交易，降低整体风险。

•使用多种交易平台：利用多个交易平台和工具，避免在单一平台上进行所有交易，减少被集中攻击的可能性。

5. 选择 LP 充足的交易池

•高流动性池：尽量选择流动性高、 LP（流动性提供者）非常充足的交易代币池，避免因为流动性不足造成的滑点损失和 MEV 攻击。高流动性池能够吸收较大的交易量，减少交易被操纵的风险。

•检视交易深度：在进行交易前，检查交易池的深度和交易对的流动性情况，确保交易能够顺利进行且不会造成大的价格波动。

6. 设定合理的滑点容忍度

•滑点保护：在交易平台上设定合理的滑点容忍度，以防止交易价格偏离预期。过高的滑点设定会增加被 MEV 攻击的风险，而过低的滑点设定则可能导致交易失败。依市场状况，调整滑点容忍度，以达到最佳保护效果。

7. 持续监控与调整策略

•交易监控：持续监控自己的交易活动，及时发现并应对潜在的 MEV 攻击。使用分析工具和监控服务，追踪交易的执行情况和市场反应。

•调整策略：根据交易监控结果和市场变化，及时调整交易策略和保护措施，确保交易始终处于安全状态。

OKX Web3 钱包安全团队：我们提炼了几个核心要点，包括：

1. 专注于交易深度并设定滑点：注意交易深度，可将大额交易分成小额交易，多次执行，并设定滑点保护，减少被攻击的机率。

2. 使用隐私保护的节点：选用具有隐私保护功能的 rbc 节点，防止交易被公开，例如 flashbot 隐私 RPC 节点。

3. 选择可信任钱包和应用程式：使用信誉良好提供 mev 防护的钱包和应用程式（例如 OKX 钱包原生 DAPP），避免使用未知或未经验证的服务。

总之，虽然区块链技术的特性使得追回被盗资产困难重重，但迅速行动和采取多种补救措施有助于最大限度地减少损失和防范未来风险。

最后，感谢大家看完OKX Web3 钱包《安全特刊》栏目的第6 期，我们将在最后一期进行《安全特刊》系列的内容汇总，作为收官的一期，不仅有真实的案例、风险识别、还有安全操作干货，敬请期待！