前言
區塊鏈是個偉大的發明,它帶來了某些生產關系的變革,讓「信任」這種寶貴的東西得以部分解決。但,現實是殘酷的,人們對區塊鏈的理解會存在許多誤區。這些誤區導致了壞人輕易鉆了空子,頻繁將黑手伸進了人們的錢包,造成了大量的資金損失。這早已是黑暗森林。
基于此,慢霧科技創始人余弦傾力輸出——區塊鏈黑暗森林自救手冊。
本手冊大概3萬7千字,由于篇幅限制,這里僅羅列手冊中的關鍵目錄結構,也算是一種導讀。完整內容可見:
https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook
我們選擇GitHub平臺作為本手冊的首要發布位置是因為:方便協同及看到歷史更新記錄。你可以Watch、Fork及Star,當然我們更希望你能參與貢獻。
好,導讀開始...
引子
如果你持有加密貨幣或對這個世界有興趣,未來可能會持有加密貨幣,那么這本手冊值得你反復閱讀并謹慎實踐。本手冊的閱讀需要一定的知識背景,希望初學者不必恐懼這些知識壁壘,因為其中大量是可以“玩”出來的。
在區塊鏈黑暗森林世界里,首先牢記下面這兩大安全法則:
動態 | 日本區塊鏈公司ALIS推出區塊鏈業務咨詢及開發支持服務:日本區塊鏈公司ALIS宣布已推出面向企業客戶的新服務,為有意開展區塊鏈業務的公司提供咨詢及開發支持。[2019/4/24]
零信任:簡單來說就是保持懷疑,而且是始終保持懷疑。
持續驗證:你要相信,你就必須有能力去驗證你懷疑的點,并把這種能力養成習慣。
關鍵內容
創建錢包
Download
找到正確的官網
行業知名收錄,如CoinMarketCap
多問一些比較信任的人
下載安裝應用
PC錢包:建議做下是否篡改的校驗工作
瀏覽器擴展錢包:注意目標擴展下載頁面里的用戶數及評分情況
移動端錢包:判斷方式類似擴展錢包
硬件錢包:從官網源頭的引導下購買,留意是否存在被異動手腳的情況
網頁錢包:不建議使用這種在線的錢包
MnemonicPhrase
創建錢包時,助記詞的出現是非常敏感的,請留意你身邊沒有人、攝像頭等一切可以導致偷窺發生的情況。同時留意下助記詞是不是足夠隨機出現
動態 | 區塊鏈使得資產證券化業務在多個方面得到優化:據央行觀察消息,引入區塊鏈后,資產證券化業務在效率、成本、信任、監管四個方面得到優化。一是效率提升。區塊鏈分布式賬本技術在各交易方間達成業務信息共識,流程清晰化,提高交易方之間的協同效率。二是成本降低。區塊鏈分布式賬本提供完整可觸摸數據,打破“數據孤島”。對融資方而言,有助于降低操作及合規成本;對投資方而言,動態實時的信息驗證渠道能提升投資者信心,減少溝通成本。三是信任建立。在資產包形成階段,通過對信貸歷史表現、資產違約情況、多頭借貸等數據進行分析,精細化地對每筆資產進行風險評分,實時更新上鏈,達到優化資產增信效果。對資產穿透式的管理,可有效解決信息不對稱問題,不可篡改、可溯源的技術特點大大降低信用風險、定價風險。四是監管便捷。穿透資產信息同樣有利于監管穿透、實時監控,降低監管難度。[2018/12/24]
Keyless
Keyless兩大場景
Custody,即托管方式。比如中心化交易所、錢包,用戶只需注冊賬號,并不擁有私鑰,安全完全依托于這些中心化平臺
Non-Custodial,即非托管方式。用戶唯一掌握類似私鑰的權力,但卻不是直接的加密貨幣私鑰
MPC為主的Keyless方案的優缺點
備份錢包
助記詞/私鑰類型
明文:12個英文單詞為主
迪拜首個物流領域區塊鏈解決方案問世:阿聯酋港口開發商迪拜港口公司(Abu Dhabi Ports)的全資子公司Maqta Gateway LLC開發并推出了基于區塊鏈技術的解決方案Silsal,旨在提高船運和物流領域的效率,成為迪拜首個運用自由區塊鏈解決方案的實體。作為對現有Maqta港口社群系統mPCS的輔助工具,Silsal將首先用于貨運代理及其客戶,然后在向其他貿易領域的參與者推廣。迪拜港口希望用一種內部區塊鏈減少文書工作,促進實時狀態更新,加快信息交流。[2018/6/4]
帶密碼:助記詞帶上密碼后會得到不一樣的種子,這個種子就是之后拿來派生出一系列私鑰、公鑰及對應地址
多簽:可以理解為目標資金需要多個人簽名授權才可以使用,多簽很靈活,可以設置審批策略
Shamir'sSecretSharing:Shamir秘密共享方案,作用就是將種子分割為多個分片,恢復錢包時,需要使用指定數量的分片才能恢復
Encryption
多處備份
Cloud:Google/Apple/微軟,結合GPG/1Password等
Paper:將助記詞抄寫在紙卡片上
Device:電腦/iPad/iPhone/移動硬盤/U盤等
Brain:注意腦記風險
加密
一定要做到定期不定期地驗證
慧聰進軍區塊鏈領域,利用區塊鏈解決中產階級對于健康的需要:據了解,慧聰集團通過旗下兆信股份和慧嘉構建起“中國制造2025”數據引擎,通過清華大學、浙江大學產學研的力量,構建數據服務全產業鏈體系,并且與當下火熱的區塊鏈技術做結合,快速落地區塊鏈應用場景。同時利用區塊鏈產品“慧鏈”解決中產階級的對于健康的渴望和需求,從食品、藥品都是與健康息息相關的剛需高頻消費場景幫助企業快速完成質檢通關。[2018/4/25]
采用部分驗證也可以
注意驗證過程的機密性及安全性
使用錢包
AML
鏈上凍結
選擇口碑好的平臺、個人等作為你的交易對手
ColdWallet
冷錢包使用方法
接收加密貨幣:配合觀察錢包,如imToken、TrustWallet等
發送加密貨幣:QRCode/USB/Bluetooth
冷錢包風險點
所見即所簽這種用戶交互安全機制缺失
用戶的有關知識背景缺失
Hot?Wallet
與?DApp交互
惡意代碼或后門作惡方式
?錢包運行時,惡意代碼將相關助記詞直接打包上傳到黑客控制的服務端里
何寶宏:“大數據+區塊鏈”聽著高大上其實有點扯:中國信息通信研究院云計算與大數據研究所所長,中國通信標準化協會互聯網與應用工作委員會主席何寶宏認為,說區塊鏈能重構大數據,在目前看來不可能實現。何寶宏表示,目前處于區塊鏈的發展初期,傳統應用場景下落地較難,比較看好技術在數字文化產業等新興領域的落地。信通院從兩年前開始籌備建立可信區塊鏈標準的研究工作。目前已完成第一階段標準研究制定。去年上半年,共9家機構通過評測,符合相關標準要求。今年上半年,會對標準存在的問題進行修改完善。目前,已經有160多家的企業希望進行參與到可信區塊鏈標準的工作中來。[2018/4/4]
錢包運行時,當用戶發起轉賬,在錢包后臺偷偷替換目標地址及金額等信息,此時用戶很難察覺
破壞助記詞生成有關的隨機數熵值,讓這些助記詞比較容易被破解
DeFi安全到底是什么
智能合約安全
權限過大:增加時間鎖/將admin多簽等
逐步學會閱讀安全審計報告
區塊鏈基礎安全:共識賬本安全/虛擬機安全等
前端安全
內部作惡:前端頁面里的目標智能合約地址被替換/植入授權釣魚腳本
第三方作惡:供應鏈作惡/前端頁面引入的第三方遠程JavaScript文件作惡或被黑
通信安全
HTTPS安全
舉例:MyEtherWallet安全事件
安全解決方案:HSTS
人性安全:如項目方內部作惡
金融安全:幣價、年化收益等
合規安全
AML/KYC/制裁地區限制/證券風險有關的內容等
AOPP
NFT安全
Metadata?安全
簽名安全
小心簽名/反常識簽名
所見即所簽
OpenSea?數起知名NFT被盜事件
用戶在OpenSea授權了NFT
黑客釣魚拿到用戶的相關簽名
取消授權
TokenApprovals
Revoke.cash
APPROVED.zone
Rabby擴展錢包
4.?反常識真實案例
一些高級攻擊方式
針對性釣魚
廣撒網釣魚
結合XSS、CSRF、ReverseProxy等技巧
傳統隱私保護
操作系統
重視系統安全更新,有安全更新就立即行動
不亂下程序
設置好磁盤加密保護
手機
重視系統的安全更新及下載
不要越獄、Root破解,除非你玩安全研究,否則沒必要
不要從非官方市場下載App
官方的云同步使用的前提:賬號安全方面你確信沒問題
網絡
網絡方面,盡量選擇安全的,比如不亂連陌生Wi-Fi
選擇口碑好的路由器、運營商,切勿貪圖小便宜,并祈禱路由器、運營商層面不會有高級作惡行為出現
瀏覽器
及時更新
擴展如無必要就不安裝
瀏覽器可以多個共存
使用隱私保護的知名擴展
密碼管理器
別忘記你的主密碼
確保你的郵箱安全
1Password/Bitwarden等
雙因素認證
GoogleAuthenticator/MicrosoftAuthenticator等
科學上網
科學上網、安全上網
郵箱
安全且知名:Gmail/Outlook/QQ郵箱等
隱私性:ProtonMail/Tutanota
SIM卡
SIM卡攻擊
防御建議:啟用知名的2FA工具、設置PIN碼
GPG
區分
PGP是PrettyGoodPrivacy的縮寫,是商用加密軟件,發布30?多年了,現在在賽門鐵克麾下
OpenPGP是一種加密標準,衍生自PGP
GPG,全稱GnuPG,基于OpenPGP標準的開源加密軟件
隔離環境
具備零信任安全法則思維
良好的隔離習慣
隱私不是拿來保護的,隱私是拿來控制的
人性安全
Telegram
Discord
來自“官方”的釣魚
Web3隱私問題
區塊鏈作惡方式
盜幣、惡意挖礦、勒索病、暗網交易、木馬的C2中轉、洗錢、資金盤、等
SlowMistHacked區塊鏈被黑檔案庫
被盜了怎么辦
止損第一
保護好現場
分析原因
追蹤溯源
結案
誤區
CodeIsLaw
NotYourKeys,NotYourCoins
InBlockchainWeTrust
密碼學安全就是安全
被黑很丟人
立即更新
總結
當你閱讀完本手冊后,一定需要實踐起來、熟練起來、舉一反三。如果之后你有自己的發現或經驗,希望你也能貢獻出來。如果你覺得敏感,可以適當脫敏,匿名也行。其次,致謝安全與隱私有關的立法與執法在全球范圍內的成熟;各代當之無愧的密碼學家、工程師、正義黑客及一切參與創造讓這個世界更好的人們的努力,其中一位是中本聰。最后,感謝貢獻者們,這個列表會持續更新,有任何的想法,希望你聯系我們。
https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook
頭條 ▌SBF提出推文上鏈等多條建議以去中心化Twitter4月14日消息,FTX創始人SBF對去中心化Twitter提出了一些想法:1.推文上鏈,加密:發文者選擇誰有權訪問它們.
1900/1/1 0:00:00亞馬遜新任首席執行官AndyJassy對加密貨幣和非同質代幣的未來持樂觀態度。他在CNBC采訪中透露,個人不持有任何比特幣,亞馬遜近期可能不會將加密貨幣作為零售業務的支付方式,但很有可能在未來銷.
1900/1/1 0:00:00今年1月下旬,美國證券交易委員會主席根斯勒在記者會上宣告,加密貨幣交易所2022年將面臨SEC的更多監督,喊話加密資產交易平臺在未來幾個月內月采取措施,以接受金融監管機構更直接的監管.
1900/1/1 0:00:00利潤=總收入-總費用 有些人認為這個公式不適用于區塊鏈。“區塊鏈不是企業——它們沒有利潤空間” 我認為這是錯誤的.
1900/1/1 0:00:00“元宇宙的開拓者”是我們針對元宇宙的發展而設立的專欄,主要面向那些深挖元宇宙產業或者在元宇宙進行“淘金”的從業者,分享這些企業或者創業者們的故事.
1900/1/1 0:00:00原文標題:《TheFourPillarsoftheMergeToProofofStake:HowEthereumWillEvolve》以太坊轉向權益證明(PoS)的合并將是其迄今為止最重要的升級.
1900/1/1 0:00:00