區塊鏈黑暗森林自救手冊_區塊鏈

前言

區塊鏈是個偉大的發明，它帶來了某些生產關系的變革，讓「信任」這種寶貴的東西得以部分解決。但，現實是殘酷的，人們對區塊鏈的理解會存在許多誤區。這些誤區導致了壞人輕易鉆了空子，頻繁將黑手伸進了人們的錢包，造成了大量的資金損失。這早已是黑暗森林。

基于此，慢霧科技創始人余弦傾力輸出——區塊鏈黑暗森林自救手冊。

本手冊大概3萬7千字，由于篇幅限制，這里僅羅列手冊中的關鍵目錄結構，也算是一種導讀。完整內容可見：

https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook

我們選擇GitHub平臺作為本手冊的首要發布位置是因為：方便協同及看到歷史更新記錄。你可以Watch、Fork及Star，當然我們更希望你能參與貢獻。

好，導讀開始...

引子

如果你持有加密貨幣或對這個世界有興趣，未來可能會持有加密貨幣，那么這本手冊值得你反復閱讀并謹慎實踐。本手冊的閱讀需要一定的知識背景，希望初學者不必恐懼這些知識壁壘，因為其中大量是可以“玩”出來的。

在區塊鏈黑暗森林世界里，首先牢記下面這兩大安全法則：

動態 | 日本區塊鏈公司ALIS推出區塊鏈業務咨詢及開發支持服務:日本區塊鏈公司ALIS宣布已推出面向企業客戶的新服務，為有意開展區塊鏈業務的公司提供咨詢及開發支持。[2019/4/24]

零信任：簡單來說就是保持懷疑，而且是始終保持懷疑。

持續驗證：你要相信，你就必須有能力去驗證你懷疑的點，并把這種能力養成習慣。

關鍵內容

創建錢包

Download

找到正確的官網

Google

行業知名收錄，如CoinMarketCap

多問一些比較信任的人

下載安裝應用

PC錢包：建議做下是否篡改的校驗工作

瀏覽器擴展錢包：注意目標擴展下載頁面里的用戶數及評分情況

移動端錢包：判斷方式類似擴展錢包

硬件錢包：從官網源頭的引導下購買，留意是否存在被異動手腳的情況

網頁錢包：不建議使用這種在線的錢包

MnemonicPhrase

創建錢包時，助記詞的出現是非常敏感的，請留意你身邊沒有人、攝像頭等一切可以導致偷窺發生的情況。同時留意下助記詞是不是足夠隨機出現

動態 | 區塊鏈使得資產證券化業務在多個方面得到優化:據央行觀察消息，引入區塊鏈后，資產證券化業務在效率、成本、信任、監管四個方面得到優化。一是效率提升。區塊鏈分布式賬本技術在各交易方間達成業務信息共識，流程清晰化，提高交易方之間的協同效率。二是成本降低。區塊鏈分布式賬本提供完整可觸摸數據，打破“數據孤島”。對融資方而言，有助于降低操作及合規成本；對投資方而言，動態實時的信息驗證渠道能提升投資者信心，減少溝通成本。三是信任建立。在資產包形成階段，通過對信貸歷史表現、資產違約情況、多頭借貸等數據進行分析，精細化地對每筆資產進行風險評分，實時更新上鏈，達到優化資產增信效果。對資產穿透式的管理，可有效解決信息不對稱問題，不可篡改、可溯源的技術特點大大降低信用風險、定價風險。四是監管便捷。穿透資產信息同樣有利于監管穿透、實時監控，降低監管難度。[2018/12/24]

Keyless

Keyless兩大場景

Custody，即托管方式。比如中心化交易所、錢包，用戶只需注冊賬號，并不擁有私鑰，安全完全依托于這些中心化平臺

Non-Custodial，即非托管方式。用戶唯一掌握類似私鑰的權力，但卻不是直接的加密貨幣私鑰

MPC為主的Keyless方案的優缺點

備份錢包

助記詞/私鑰類型

明文：12個英文單詞為主

迪拜首個物流領域區塊鏈解決方案問世:阿聯酋港口開發商迪拜港口公司（Abu Dhabi Ports）的全資子公司Maqta Gateway LLC開發并推出了基于區塊鏈技術的解決方案Silsal，旨在提高船運和物流領域的效率，成為迪拜首個運用自由區塊鏈解決方案的實體。作為對現有Maqta港口社群系統mPCS的輔助工具，Silsal將首先用于貨運代理及其客戶，然后在向其他貿易領域的參與者推廣。迪拜港口希望用一種內部區塊鏈減少文書工作，促進實時狀態更新，加快信息交流。[2018/6/4]

帶密碼：助記詞帶上密碼后會得到不一樣的種子，這個種子就是之后拿來派生出一系列私鑰、公鑰及對應地址

多簽：可以理解為目標資金需要多個人簽名授權才可以使用，多簽很靈活，可以設置審批策略

Shamir'sSecretSharing：Shamir秘密共享方案，作用就是將種子分割為多個分片，恢復錢包時，需要使用指定數量的分片才能恢復

Encryption

多處備份

Cloud：Google/Apple/微軟，結合GPG/1Password等

Paper：將助記詞抄寫在紙卡片上

Device：電腦/iPad/iPhone/移動硬盤/U盤等

Brain：注意腦記風險

加密

一定要做到定期不定期地驗證

慧聰進軍區塊鏈領域，利用區塊鏈解決中產階級對于健康的需要:據了解，慧聰集團通過旗下兆信股份和慧嘉構建起“中國制造2025”數據引擎，通過清華大學、浙江大學產學研的力量，構建數據服務全產業鏈體系，并且與當下火熱的區塊鏈技術做結合，快速落地區塊鏈應用場景。同時利用區塊鏈產品“慧鏈”解決中產階級的對于健康的渴望和需求，從食品、藥品都是與健康息息相關的剛需高頻消費場景幫助企業快速完成質檢通關。[2018/4/25]

采用部分驗證也可以

注意驗證過程的機密性及安全性

使用錢包

AML

鏈上凍結

選擇口碑好的平臺、個人等作為你的交易對手

ColdWallet

冷錢包使用方法

接收加密貨幣：配合觀察錢包，如imToken、TrustWallet等

發送加密貨幣：QRCode/USB/Bluetooth

冷錢包風險點

所見即所簽這種用戶交互安全機制缺失

用戶的有關知識背景缺失

Hot?Wallet

與?DApp交互

惡意代碼或后門作惡方式

?錢包運行時，惡意代碼將相關助記詞直接打包上傳到黑客控制的服務端里

何寶宏：“大數據+區塊鏈”聽著高大上其實有點扯:中國信息通信研究院云計算與大數據研究所所長，中國通信標準化協會互聯網與應用工作委員會主席何寶宏認為，說區塊鏈能重構大數據，在目前看來不可能實現。何寶宏表示，目前處于區塊鏈的發展初期，傳統應用場景下落地較難，比較看好技術在數字文化產業等新興領域的落地。信通院從兩年前開始籌備建立可信區塊鏈標準的研究工作。目前已完成第一階段標準研究制定。去年上半年，共9家機構通過評測，符合相關標準要求。今年上半年，會對標準存在的問題進行修改完善。目前，已經有160多家的企業希望進行參與到可信區塊鏈標準的工作中來。[2018/4/4]

錢包運行時，當用戶發起轉賬，在錢包后臺偷偷替換目標地址及金額等信息，此時用戶很難察覺

破壞助記詞生成有關的隨機數熵值，讓這些助記詞比較容易被破解

DeFi安全到底是什么

智能合約安全

權限過大：增加時間鎖/將admin多簽等

逐步學會閱讀安全審計報告

區塊鏈基礎安全：共識賬本安全/虛擬機安全等

前端安全

內部作惡：前端頁面里的目標智能合約地址被替換/植入授權釣魚腳本

第三方作惡：供應鏈作惡/前端頁面引入的第三方遠程JavaScript文件作惡或被黑

通信安全

HTTPS安全

舉例：MyEtherWallet安全事件

安全解決方案：HSTS

人性安全：如項目方內部作惡

金融安全：幣價、年化收益等

合規安全

AML/KYC/制裁地區限制/證券風險有關的內容等

AOPP

NFT安全

Metadata?安全

簽名安全

小心簽名/反常識簽名

所見即所簽

OpenSea?數起知名NFT被盜事件

用戶在OpenSea授權了NFT

黑客釣魚拿到用戶的相關簽名

取消授權

TokenApprovals

Revoke.cash

APPROVED.zone

Rabby擴展錢包

4.?反常識真實案例

一些高級攻擊方式

針對性釣魚

廣撒網釣魚

結合XSS、CSRF、ReverseProxy等技巧

傳統隱私保護

操作系統

重視系統安全更新，有安全更新就立即行動

不亂下程序

設置好磁盤加密保護

手機

重視系統的安全更新及下載

不要越獄、Root破解，除非你玩安全研究，否則沒必要

不要從非官方市場下載App

官方的云同步使用的前提：賬號安全方面你確信沒問題

網絡

網絡方面，盡量選擇安全的，比如不亂連陌生Wi-Fi

選擇口碑好的路由器、運營商，切勿貪圖小便宜，并祈禱路由器、運營商層面不會有高級作惡行為出現

瀏覽器

及時更新

擴展如無必要就不安裝

瀏覽器可以多個共存

使用隱私保護的知名擴展

密碼管理器

別忘記你的主密碼

確保你的郵箱安全

1Password/Bitwarden等

雙因素認證

GoogleAuthenticator/MicrosoftAuthenticator等

科學上網

科學上網、安全上網

郵箱

安全且知名：Gmail/Outlook/QQ郵箱等

隱私性：ProtonMail/Tutanota

SIM卡

SIM卡攻擊

防御建議：啟用知名的2FA工具、設置PIN碼

GPG

區分

PGP是PrettyGoodPrivacy的縮寫，是商用加密軟件，發布30?多年了，現在在賽門鐵克麾下

OpenPGP是一種加密標準，衍生自PGP

GPG，全稱GnuPG，基于OpenPGP標準的開源加密軟件

隔離環境

具備零信任安全法則思維

良好的隔離習慣

隱私不是拿來保護的，隱私是拿來控制的

人性安全

Telegram

Discord

來自“官方”的釣魚

Web3隱私問題

區塊鏈作惡方式

盜幣、惡意挖礦、勒索病、暗網交易、木馬的C2中轉、洗錢、資金盤、等

SlowMistHacked區塊鏈被黑檔案庫

被盜了怎么辦

止損第一

保護好現場

分析原因

追蹤溯源

結案

誤區

CodeIsLaw

NotYourKeys,NotYourCoins

InBlockchainWeTrust

密碼學安全就是安全

被黑很丟人

立即更新

總結

當你閱讀完本手冊后，一定需要實踐起來、熟練起來、舉一反三。如果之后你有自己的發現或經驗，希望你也能貢獻出來。如果你覺得敏感，可以適當脫敏，匿名也行。其次，致謝安全與隱私有關的立法與執法在全球范圍內的成熟；各代當之無愧的密碼學家、工程師、正義黑客及一切參與創造讓這個世界更好的人們的努力，其中一位是中本聰。最后，感謝貢獻者們，這個列表會持續更新，有任何的想法，希望你聯系我們。

https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook

Tags：區塊鏈APP加密貨幣GOO區塊鏈最新騙局曝光元宇宙科技下載app加密貨幣市場行情分析GOON價格

幣安app官網下載