慢霧科技創辦人余弦傾力輸出——區塊鏈黑暗森林自救手冊。本手冊(當前 V1 Beta)大概 3 萬 7 千字,由於篇幅限制,這裡僅列出手冊中的關鍵目錄結構,也算是一種導讀。
區塊鏈是個偉大的發明,它帶來了某些生產關係的變革,讓「信任」這種寶貴的東西得以部分解決。但,現實是殘酷的,人們對區塊鏈的理解會存在許多誤區。這些誤區導致了壞人輕易鑽了空子,頻繁將黑手伸進了人們的錢包,造成了大量的資金損失。這早已是黑暗森林。
基於此,慢霧科技創辦人余弦傾力輸出——區塊鏈黑暗森林自救手冊。
本手冊(當前 V1 Beta)大概 3 萬 7 千字,由於篇幅限制,這裡僅列出手冊中的關鍵目錄結構,也算是一種導讀。完整內容可見:GitHub
我們選擇 GitHub 平台作為本手冊的首要發布位置是因為:方便協同及看到歷史更新記錄。你可以 Watch、Fork 及 Star,當然我們更希望你能參與貢獻。
好,導讀開始…
引言
如果你持有加密貨幣或對這個世界有興趣,未來可能會持有加密貨幣,那麼這本手冊值得你反覆閱讀並謹慎實踐。本手冊的閱讀需要一定的知識背景,希望初學者不必恐懼這些知識壁壘,因為其中大量是可以「玩」出來的。
在區塊鏈黑暗森林世界裡,首先牢記下面這兩大安全法則:
- 零信任:簡單來說就是保持懷疑,而且是始終保持懷疑。
- 持續驗證:你要相信,你就必須有能力去驗證你懷疑的點,並把這種能力養成習慣。
關鍵內容
一、創建錢包
- Download
1. 找到正確的官網
- 行業知名收錄,如 CoinMarketCap
- 多問一些比較信任的人
2. 下載安裝應用
- PC 錢包:建議做下是否篡改的校驗工作(文件一致性校驗)
- 瀏覽器擴展錢包:注意目標擴展下載頁面裡的用戶數及評分情況
- 移動端錢包:判斷方式類似擴展錢包
- 硬體錢包:從官網源頭的引導下購買,留意是否存在被異動手腳的情況
- 網頁錢包:不建議使用線上錢包
- Mnemonic Phrase
創建錢包時,助記詞的出現是非常敏感的,請留意你身邊沒有人、攝像鏡頭等一切可以導致偷窺發生的情況。同時留意下助記詞是不是足夠隨機出現
- Keyless
1. Keyless 兩大場景(此處區分是為了方便講解)
- Custody,即託管方式。比如中心化交易所、錢包,用戶只需註冊帳號,並不擁有私鑰,安全完全依託於這些中心化平台
- Non-Custodial,即非託管方式。用戶唯一掌握類似私鑰的權力,但卻不是直接的加密貨幣私鑰(或助記詞)
2. MPC 為主的 Keyless 方案的優缺點
二、備份錢包
助記詞/私鑰類型
- 明文:12 個英文單詞為主
- 帶密碼:助記詞帶上密碼後會得到不一樣的種子,這個種子就是之後拿來派生出一系列私鑰、公鑰及對應地址
- 多簽:可以理解為目標資金需要多個人簽名授權才可以使用,多簽很靈活,可以設置審批策略
- Shamir’s Secret Sharing:Shamir 秘密共享方案,作用就是將種子分割為多個分片,恢復錢包時,需要使用指定數量的分片才能恢復
Encryption
1. 多處備份
- Cloud:Google/Apple/微軟,結合 GPG/1Password 等
- Paper:將助記詞(明文、SSS 等形式的)抄寫在紙卡片上
- Device:電腦/iPad/iPhone/移動硬盤/硬碟等
- Brain:注意腦記風險(記憶/意外)
2. 加密
- 一定要做到定期不定期地驗證
- 採用部分驗證也可以
- 注意驗證過程的機密性及安全性
三、使用錢包
AML
- 鏈上凍結
- 選擇口碑好的平台、個人等作為你的交易對手
Cold Wallet
1. 冷錢包使用方法
- 接收加密貨幣:配合觀察錢包,如 imToken、Trust Wallet 等
- 發送加密貨幣:QRCode/USB/Bluetooth
2. 冷錢包風險點
- 所見即所簽這種用戶交互安全機制缺失
- 用戶的有關知識背景缺失
Hot Wallet
- 與 DApp(DeFi、NFT、GameFi 等)互動
- 惡意代碼或後門作惡方式
-
- 錢包運行時,惡意代碼將相關助記詞直接打包上傳到駭客控制的服務端裡
- 錢包運行時,當用戶發起轉帳,在錢包後台偷偷替換目標地址及金額等訊息,此時用戶很難察覺
- 破壞助記詞生成有關的隨機數熵值,讓這些助記詞比較容易被破解
DeFi 安全到底是什麼
1. 智能合約安全
- 權限過大:增加時間鎖(Timelock)/ 將 admin 多簽等
- 逐步學會閱讀安全審計報告
2. 區塊鏈基礎安全:共識帳本安全/虛擬機安全等
3. 前端安全
- 內部作惡:前端頁面裡的目標智能合約地址被替換/植入授權釣魚腳本
- 第三方作惡:供應鏈作惡/前端頁面引入的第三方遠程 JavaScript 文件作惡或被駭
4. 通訊安全
- HTTPS 安全
- 舉例:MyEtherWallet 安全事件
- 安全解決方案:HSTS
5. 人性安全:如項目方內部作惡
6. 金融安全:幣價、年化收益等
7. 合規安全
- AML/KYC/制裁地區限制/證券風險有關的內容等
- AOPP
NFT 安全
- Metadata 安全
- 簽名安全
小心簽名/反常識簽名
1. 所見即所簽
2. OpenSea 數起知名 NFT 被盜事件
- 用戶在 OpenSea 授權了 NFT(掛單)
- 駭客釣魚拿到用戶的相關簽名
3. 取消授權(approve)
- Token Approvals
- Revoke.cash
- APPROVED.zone
- Rabby 擴展錢包
4. 反常識真實案例
一些高級攻擊方式
- 針對性釣魚
- 廣撒網釣魚
- 結合 XSS、CSRF、Reverse Proxy 等技巧(如 Cloudflare 中間人攻擊)
四、傳統隱私保護
操作系統
- 重視系統安全更新,有安全更新就立即行動
- 不亂下程式
- 設置好磁碟加密保護
手機
- 重視系統的安全更新及下載
- 不要越獄、Root 破解,除非你玩安全研究,否則沒必要
- 不要從非官方市場下載 App
- 官方的雲同步使用的前提:帳號安全方面你確信沒問題
網路
- 網路方面,盡量選擇安全的,比如不亂連陌生 Wi-Fi
- 選擇口碑好的路由器、營運商,切勿貪圖小便宜,並祈禱路由器、營運商層面不會有高級作惡行為出現
瀏覽器
- 及時更新
- 擴展如無必要就不安裝
- 瀏覽器可以多個共存
- 使用隱私保護的知名擴展
密碼管理器
- 別忘記你的主密碼
- 確保你的信箱安全
- 1Password/Bitwarden 等
雙因素認證
Google Authenticator/Microsoft Authenticator 等
科學上網
科學上網、安全上網
郵箱
1. 安全且知名:Gmail/Outlook/QQ 郵箱等
2. 隱私性:ProtonMail/Tutanota
SIM 卡
1. SIM 卡攻擊
2. 防禦建議
- 啟用知名的 2FA 工具
- 設置 PIN 碼
GPG
1. 區分
- PGP 是 Pretty Good Privacy 的縮寫,是商用加密軟體,發布 30 多年了,現在在賽門鐵克麾下
- OpenPGP 是一種加密標準,衍生自 PGP
- GPG,全稱 GnuPG,基於 OpenPGP 標準的開源加密軟體
隔離環境
- 具備零信任安全法則思維
- 良好的隔離習慣
- 隱私不是拿來保護的,隱私是拿來控制的
五、人性安全
- Telegram
- Discord
- 來自「官方」的釣魚
- Web3 隱私問題
六、區塊鏈作惡方式
- 盜幣、惡意挖礦、勒索病毒、暗網交易、木馬的 C2 中轉、洗錢、資金盤、博彩等
- SlowMist Hacked 區塊鏈被駭檔案庫
七、被盜了怎麼辦
- 止損第一
- 保護好現場
- 分析原因
- 追踪溯源
- 結案
八、誤區
- Code Is Law
- Not Your Keys, Not Your Coins
- In Blockchain We Trust
- 密碼學安全就是安全
- 被駭很丟人
- 立即更新
總結
當你閱讀完本手冊後,一定需要實踐起來、熟練起來、舉一反三。如果之後你有自己的發現或經驗,希望你也能貢獻出來。如果你覺得敏感,可以適當脫敏,匿名也行。
其次,致謝安全與隱私有關的立法與執法在全球範圍內的成熟;各代當之無愧的密碼學家、工程師、正義黑客及一切參與創造讓這個世界更好的人們的努力,其中一位是中本聰。
最後,感謝貢獻者們,這個列表會持續更新,有任何的想法,希望你聯繫我們。
📍相關報導📍
Azuki 投資者中招!詐騙仔駭入Twitter藍勾勾帳號,假冒官方空投 BEANZ NFT 釣魚
縝密的可怕!以太坊巨鯨自曝遭遇「社交工程詐騙」,1.25 億美元 ETH 險些被盜!
Qubit Finance 遭閃電貸攻擊,駭客得手 8,000 萬美元,為史上第七大 DeFi 盜竊事件
讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。
LINE 與 Messenger 不定期為大家服務
