前言
區塊鏈是個偉大的發明,它帶來了某些生產關系的變革,讓「信任」這種寶貴的東西得以部分解決。但,現實是殘酷的,人們對區塊鏈的理解會存在許多誤區。這些誤區導致了壞人輕易鉆了空子,頻繁將黑手伸進了人們的錢包,造成了大量的資金損失。這早已是黑暗森林。
基于此,慢霧科技創始人余弦傾力輸出——區塊鏈黑暗森林自救手冊。
本手冊大概3萬7千字,由于篇幅限制,這里僅羅列手冊中的關鍵目錄結構,也算是一種導讀。完整內容可見:
https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook
我們選擇GitHub平臺作為本手冊的首要發布位置是因為:方便協同及看到歷史更新記錄。你可以Watch、Fork及Star,當然我們更希望你能參與貢獻。
好,導讀開始...
引子
如果你持有加密貨幣或對這個世界有興趣,未來可能會持有加密貨幣,那么這本手冊值得你反復閱讀并謹慎實踐。本手冊的閱讀需要一定的知識背景,希望初學者不必恐懼這些知識壁壘,因為其中大量是可以“玩”出來的。
在區塊鏈黑暗森林世界里,首先牢記下面這兩大安全法則:
零信任:簡單來說就是保持懷疑,而且是始終保持懷疑。
上海:到2025年區塊鏈核心技術攻關、標準體系建設取得突破進展:金色財經報道,上海市發布推進城市區塊鏈數字基礎設施體系工程實施方案(2023—2025年),到2025年,浦江數鏈“1+1+1+X”數字基礎設施體系全面建成,提供快速上鏈、跨鏈部署能力,有力支撐本市政務、公共服務及行業應用,帶動形成一批行業級、城市級示范場景。區塊鏈核心技術攻關、標準體系建設取得突破進展,帶動形成創新動能強勁的產業生態,引育一批具有行業影響力的領軍企業和創新型企業。推動長三角區塊鏈網絡資源協同,打造國際區塊鏈交換樞紐鏈接,為全面推進城市數字化轉型提供基礎支撐,形成內外聯通、多方共贏發展格局。[2023/7/31 16:08:56]
持續驗證:你要相信,你就必須有能力去驗證你懷疑的點,并把這種能力養成習慣。
關鍵內容
一、創建錢包
Download1.?找到正確的官網
?a.Google
?b.行業知名收錄,如CoinMarketCap
?c.多問一些比較信任的人
2.?下載安裝應用
??a.?PC?錢包:建議做下是否篡改的校驗工作
?b.瀏覽器擴展錢包:注意目標擴展下載頁面里的用戶數及評分情況
?c.移動端錢包:判斷方式類似擴展錢包
CoinMarketCap集成區塊鏈安全公司CertiK的安全評分功能:金色財經報道,加密貨幣排名平臺CoinMarketCap宣布已完成區塊鏈安全機構CertiK旗下安全評分功能的集成,使用戶能夠快速了解其平臺上列出的加密項目安全性。另據披露數據顯示,在CoinMarketCap上排名前500的Web3項目中, 截至目前CertiK已完成了約70%的審計工作。(globenewswire)[2023/5/22 15:19:07]
?d.硬件錢包:從官網源頭的引導下購買,留意是否存在被異動手腳的情況
?e.網頁錢包:不建議使用這種在線的錢包
MnemonicPhrase創建錢包時,助記詞的出現是非常敏感的,請留意你身邊沒有人、攝像頭等一切可以導致偷窺發生的情況。同時留意下助記詞是不是足夠隨機出現
Keyless1.Keyless兩大場景
?a.?Custody,即托管方式。比如中心化交易所、錢包,用戶只需注冊賬號,并不擁有私鑰,安全完全依托于這些中心化平臺
?b.Non-Custodial,即非托管方式。用戶唯一掌握類似私鑰的權力,但卻不是直接的加密貨幣私鑰
2.?MPC為主的Keyless方案的優缺點
二、備份錢包
助記詞/私鑰類型1.明文:12個英文單詞為主
DexGuru新增支持Arbitrum交易:8月23日消息,DEX聚合交易平臺和工具DexGuru宣布新增支持Arbitrum交易。[2022/8/23 12:43:57]
2.帶密碼:助記詞帶上密碼后會得到不一樣的種子,這個種子就是之后拿來派生出一系列私鑰、公鑰及對應地址
3.多簽:可以理解為目標資金需要多個人簽名授權才可以使用,多簽很靈活,可以設置審批策略
4.Shamir'sSecretSharing:Shamir秘密共享方案,作用就是將種子分割為多個分片,恢復錢包時,需要使用指定數量的分片才能恢復
Encryption1.多處備份
?a.Cloud:Google/Apple/微軟,結合GPG/1Password等
?b.Paper:將助記詞抄寫在紙卡片上
?c.Device:電腦/iPad/iPhone/移動硬盤/U盤等
?d.Brain:注意腦記風險
2.?加密
??a.?一定要做到定期不定期地驗證
?b.?采用部分驗證也可以
?c.?注意驗證過程的機密性及安全性
三、使用錢包
AML1.鏈上凍結
巴西成立加密專屬調查組:金色財經報道,巴西聯邦區檢察院宣布成立加密專屬犯罪調查組,其主要職責是幫助檢察官處理加密貨幣案件,并且針對加密產品的消費者,就加密貨幣資產的安全使用向他們發出警告和教育。巴西檢察官 Frederico Meinberg 表示,該機構員工必須接受專業培訓,同時還要與市場積極互動,因為處理數字資產問題的最佳培訓就是在市場中實踐。(bitcoin.com)[2022/7/5 1:51:21]
2.?選擇口碑好的平臺、個人等作為你的交易對手
ColdWallet1.?冷錢包使用方法
?a.接收加密貨幣:配合觀察錢包,如imToken、TrustWallet等
?b.發送加密貨幣:QRCode/USB/Bluetooth
2.冷錢包風險點
?a.所見即所簽這種用戶交互安全機制缺失
?b.?用戶的有關知識背景缺失
Hot?Wallet1.與?DApp交互
2.?惡意代碼或后門作惡方式
?a.錢包運行時,惡意代碼將相關助記詞直接打包上傳到黑客控制的服務端里
?b.錢包運行時,當用戶發起轉賬,在錢包后臺偷偷替換目標地址及金額等信息,此時用戶很難察覺
?c.破壞助記詞生成有關的隨機數熵值,讓這些助記詞比較容易被破解
奢侈時尚品牌菲拉格慕紐約概念店開設NFT展位:金色財經報道,奢侈時尚品牌(Salvatore Ferragamo)已宣布在紐約市 Soho 區開業的全新概念店中推出一個 NFT 展位,該展位將融合 Web3 和實體零售世界的“多感官”體驗,客戶可以在其中創建和鑄造自己的以太坊 NFT,在菲拉格慕 NFT 展位上創建的所有 NFT 都是免費的,但總共只能鑄造 256 個。據悉,本次推出的 NFT 與藝術家 Shxpir 合作設計,Shxpir 本月初還與 Coach 合作開發了基于手袋的彩色全息 NFT系列 。(inferse)[2022/6/26 1:32:25]
DeFi安全到底是什么1.智能合約安全
??a.權限過大:增加時間鎖/將admin多簽等
?b.?逐步學會閱讀安全審計報告
2.區塊鏈基礎安全:共識賬本安全/虛擬機安全等
3.前端安全
??a.內部作惡:前端頁面里的目標智能合約地址被替換/植入授權釣魚腳本
?b.第三方作惡:供應鏈作惡/前端頁面引入的第三方遠程JavaScript文件作惡或被黑
4.通信安全
??a.?HTTPS安全
?b.舉例:MyEtherWallet安全事件
?c.安全解決方案:HSTS
5.人性安全:如項目方內部作惡
6.金融安全:幣價、年化收益等
7.合規安全
??a.AML/KYC/制裁地區限制/證券風險有關的內容等
??b.?AOPP
NFT安全1.?Metadata?安全
2.簽名安全
小心簽名/反常識簽名1.?所見即所簽
2.?OpenSea?數起知名NFT被盜事件
?a.用戶在OpenSea授權了NFT
?b.黑客釣魚拿到用戶的相關簽名
3.?取消授權
??a.?TokenApprovals
?b.?Revoke.cash
?c.?APPROVED.zone
?d.?Rabby擴展錢包
4.?反常識真實案例
一些高級攻擊方式1.針對性釣魚
2.廣撒網釣魚
3.?結合XSS、CSRF、ReverseProxy等技巧
四、傳統隱私保護
操作系統1.重視系統安全更新,有安全更新就立即行動
2.?不亂下程序
3.?設置好磁盤加密保護
手機1.?重視系統的安全更新及下載
2.?不要越獄、Root破解,除非你玩安全研究,否則沒必要
3.?不要從非官方市場下載App
4.官方的云同步使用的前提:賬號安全方面你確信沒問題
網絡1.網絡方面,盡量選擇安全的,比如不亂連陌生Wi-Fi
2.選擇口碑好的路由器、運營商,切勿貪圖小便宜,并祈禱路由器、運營商層面不會有高級作惡行為出現
瀏覽器1.?及時更新
2.?擴展如無必要就不安裝
3.?瀏覽器可以多個共存
4.使用隱私保護的知名擴展
密碼管理器1.?別忘記你的主密碼
2.?確保你的郵箱安全
3.?1Password/Bitwarden等
雙因素認證GoogleAuthenticator/MicrosoftAuthenticator等
科學上網科學上網、安全上網
郵箱1.安全且知名:Gmail/Outlook/QQ郵箱等
2.隱私性:ProtonMail/Tutanota
SIM卡1.?SIM卡攻擊
2.?防御建議
?a.啟用知名的2FA工具
?b.?設置PIN碼
GPG1.區分
?a.PGP是PrettyGoodPrivacy的縮寫,是商用加密軟件,發布30?多年了,現在在賽門鐵克麾下
?b.OpenPGP是一種加密標準,衍生自PGP
?c.GPG,全稱GnuPG,基于OpenPGP標準的開源加密軟件
隔離環境1.?具備零信任安全法則思維
2.?良好的隔離習慣
3.?隱私不是拿來保護的,隱私是拿來控制的
五、人性安全
TelegramDiscord來自“官方”的釣魚Web3隱私問題
六、區塊鏈作惡方式
盜幣、惡意挖礦、勒索病、暗網交易、木馬的C2中轉、洗錢、資金盤、等SlowMistHacked區塊鏈被黑檔案庫
七、被盜了怎么辦
止損第一保護好現場分析原因追蹤溯源結案
八、誤區
CodeIsLawNotYourKeys,NotYourCoinsInBlockchainWeTrust密碼學安全就是安全被黑很丟人立即更新
總結
當你閱讀完本手冊后,一定需要實踐起來、熟練起來、舉一反三。如果之后你有自己的發現或經驗,希望你也能貢獻出來。如果你覺得敏感,可以適當脫敏,匿名也行。其次,致謝安全與隱私有關的立法與執法在全球范圍內的成熟;各代當之無愧的密碼學家、工程師、正義黑客及一切參與創造讓這個世界更好的人們的努力,其中一位是中本聰。最后,感謝貢獻者們,這個列表會持續更新,有任何的想法,希望你聯系我們。
導讀到此,完整版本,歡迎閱讀并分享:)
https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook
撰寫:Blockworks編譯:TechFLowintern這里有七個資本特別關注的領域:L2跨鏈橋存儲DAO和社交代幣GameFi衍生品借貸L2像Arbitrum、Optimism和Stark.
1900/1/1 0:00:00作者:GaryMa 編輯:ColinWu 在本輪周期,比特幣、加密貨幣與美股、納斯達克的密切關聯是前所未有的,對過去加密貨幣自身周期的刻舟求劍可能不再奏效.
1900/1/1 0:00:00作者:echo_z 公募被SBF旗下的Alameda搶空、0xMaki加持、上線后幣價翻10+倍、近日又獲得1.35億美元估值,LayerZeroLabs無疑是近期最火熱的Web3團隊.
1900/1/1 0:00:00自2016年波卡白皮書正式發布,經歷了幾年低調的測試與開發,波卡的核心功能開發以及生態發展都取得了顯著的進展,平行鏈插槽Auction也成為了常態化.
1900/1/1 0:00:00出品|白澤研究院 美國證券交易委員會在本月早些時候批準了由基金發行商Teucrium申請的比特幣期貨ETF.
1900/1/1 0:00:00關鍵要點 早期的NFT具有與現實世界中的奢侈品類似的功能,因為它們除了提供實際效用之外,還能提供心理上的滿足。具有極高價格的市場領先的NFT為較低層次的NFT的價值提供參考點.
1900/1/1 0:00:00