慢霧:駭客防範指南|區塊鏈黑暗森林自救手冊

區塊鏈是個偉大的發明,它帶來了某些生產關係的變革,讓「信任」這種寶貴的東西得以部分解決。但,現實是殘酷的,人們對區塊鏈的理解會存在許多誤區。這些誤區導致了壞人輕易鑽了空子,頻繁將駭客伸進了人們的錢包,造成了大量的資金損失。這早已是黑暗森林。

基於此,慢霧科技創始人餘弦傾力輸出——區塊鏈黑暗森林自救手冊

本手冊(當前V1 Beta)大概 3 萬 7 千字,由於篇幅限制,這裡僅羅列手冊中的關鍵目錄結構,也算是一種導讀。完整內容可見:https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook

原文作者:慢霧安全團隊

我們選擇 GitHub 平台作為本手冊的首要發布位置是因為:方便協同及看到歷史更新記錄。你可以Watch、Fork 及 Star,當然我們更希望你能參與貢獻。

如果你持有加密貨幣或對這個世界有興趣,未來可能會持有加密貨幣,那麼這本手冊值得你反覆閱讀並謹慎實踐。本手冊的閱讀需要一定的知識背景,希望初學者不必恐懼這些知識壁壘,因為其中大量是可以“玩”出來的。

在區塊鏈黑暗森林世界裡,首先牢記下面這兩大安全法則:
零信任:簡單來說就是保持懷疑,而且是始終保持懷疑。
持續驗證:你要相信,你就必須有能力去驗證你懷疑的點,並把這種能力養成習慣。


一、創建錢包

下載

1.找到正確的官網

  • Google(不要點擊廣告網頁)
  • 行業知名收錄,如 CoinMarketCap
  • 多問一些比較信任的人
  • Twitter

2.下載安裝應用

  • PC 錢包:建議做下是否篡改的校驗工作(文件一致性校驗)
  • 瀏覽器擴展錢包:注意目標擴展下載頁面裡的用戶數及評分情況
  • 手機錢包:判斷方式類似擴展錢包
  • 硬體錢包:從官網源頭的引導下購買,留意是否存在被異動手腳的情況
  • 網頁錢包:不建議使用這種在線的錢包

助記詞

創建錢包時,助記詞的出現是非常敏感的,請留意你身邊沒有人、鏡頭等一切可以導致偷窺發生的情況。同時留意下助記詞是不是足夠隨機出現

Keyless

1.Keyless 兩大場景(此處區分是為了方便講解)

  • Custody,即託管方式。比如中心化交易所、錢包,用戶只需註冊帳號,並不擁有私鑰,安全完全依託於這些中心化平台
  • Non-Custodial,即非託管方式。用戶唯一掌握類似私鑰的權力,但卻不是直接的加密貨幣私鑰(或助記詞)

2.MPC 為主的 Keyless 方案的優缺點

二、備份錢包

助記詞/私鑰類型

  • 純文本:12 個英文單詞為主
  • 帶密碼:助記詞帶上密碼後會得到不一樣的種子,這個種子就是之後拿來派生出一系列私鑰、公鑰及對應地址
  • 多簽:可以理解為目標資金需要多個人簽名授權才可以使用,多簽很靈活,可以設置審批策略
  • Shamir’s Secret Sharing:Shamir 秘密共享方案,作用就是將種子分割為多個分片,恢復錢包時,需要使用指定數量的分片才能恢復

加密

1.多處備份

  • Cloud:Google/Apple/微軟,結合 GPG/1Password 等
  • Paper:將助記詞(明文、SSS 等形式的)抄寫在紙卡片上
  • Device:電腦/iPad/iPhone/隨身硬碟等
  • Brain:注意記憶遺漏的風險(記憶/意外)

2.加密

  • 一定要做到定期不定期地驗證
  • 採用部分驗證也可以
  • 注意驗證過程的機密性及安全性

三、使用錢包

反洗錢

  • 鏈上凍結
  • 選擇口碑好的平台、個人等作為你的交易對手

冷錢包

1.冷錢包使用方法

  • 接收加密貨幣:配合觀察錢包,如 imToken、Trust Wallet 等
  • 發送加密貨幣:QRCode/USB/Bluetooth

2.冷錢包風險點

  • 所見即所簽這種用戶交互安全機制缺失
  • 用戶的有關知識背景缺失

熱錢包

1.與 DApp(DeFi、NFT、GameFi 等)交互
2.惡意代碼或後門作惡方式

  • 錢包運行時,惡意代碼將相關助記詞直接打包上傳到駭客控制的服務端裡
  • 錢包運行時,當用戶發起轉帳,在錢包後台偷偷替換目標地址及金額等訊息,此時用戶很難察覺
  • 破壞助記詞生成有關的隨機數熵值,讓這些助記詞比較容易被破解

DeFi 安全到底是什麼

1.智能合約安全

  • 權限過大:增加時間鎖(Timelock)/將admin 多籤等
  • 逐步學會閱讀安全審計報告

2.區塊鏈基礎安全:共識帳本安全/虛擬機安全等
3.前端安全

  • 內部作惡:前端頁面裡的目標智能合約地址被替換/植入授權釣魚腳本
  • 第三方作惡:供應鏈作惡/前端頁面引入的第三方遠程 JavaScript 文件作惡或被駭

4.通訊安全

  • HTTPS 安全
  • 舉例:MyEtherWallet 安全事件
  • 安全解決方案:HSTS

5.人性安全:如項目方內部作惡

6.金融安全:幣價、年化收益等

7.合規安全

  • AML/KYC/制裁地區限制/證券風險有關的內容等
  • AOPP

NFT 安全

1.Metadata 安全

2.簽名安全

小心簽名/反常識簽名

所見即所簽
OpenSea 數起知名NFT 被盜事件

a. 用戶在 OpenSea 授權了 NFT(掛單)
b. 駭客釣魚拿到用戶的相關簽名

3.取消授權(approve)

  • Token Approvals
  • Revoke.cash
  • APPROVED.zone
  • Rabby 擴展錢包

4.反常識真實案例

一些高級攻擊方式

  • 針對性釣魚
  • 廣撒網釣魚
  • 結合XSS、CSRF、Reverse Proxy 等技巧(如Cloudflare 中間人攻擊)

四、傳統隱私保護

操作系統

  • 重視系統安全更新,有安全更新就立即行動
  • 不亂下程序
  • 設置好硬碟、電腦加密保護

手機

  • 重視系統的安全更新及下載
  • 不要越獄、Root 破解,除非你玩安全研究,否則沒必要
  • 不要從非官方市場下載 App
  • 雲端同步使用的前提:帳號安全方面你確信沒問題

網絡

  • 網路方面,盡量選擇安全的,比如不亂連陌生Wi-Fi
  • 選擇口碑好的wifi路由器、運營商,切勿貪圖小便宜,並祈禱路由器、運營商層面不會有高級作惡行為出現

瀏覽器

  • 及時更新
  • 擴展如無必要就不安裝
  • 瀏覽器可以多個共存
  • 使用隱私保護的知名擴展

密碼管理器

  • 別忘記你的主密碼
  • 確保你的郵箱安全

雙因素認證

Google Authenticator/Microsoft Authenticator 等

科學上網

科學上網、安全上網

郵箱

  • 安全且知名:Gmail/Outlook等
  • 隱私性:ProtonMail/Tutanota

SIM 卡

  • SIM 卡攻擊
  • 防禦建議

a. 啟用知名的2FA 工具
b. 設置PIN 碼

五、人性安全

  • Telegram 電報
  • Discord
  • 來自“官方”的釣魚
  • Web3 隱私問題

六、區塊鏈作惡方式

  • 盜幣、惡意挖礦、勒索病毒、暗網交易、木馬的 C2 中轉、洗錢、資金盤、博弈等
  • SlowMist Hacked 區塊鏈被駭檔案庫

七、被盜了怎麼辦

  • 止損第一
  • 保護好現場
  • 分析原因
  • 追蹤溯源
  • 結案

總結

當你閱讀完本手冊後,一定需要實踐起來、熟練起來、舉一反三。如果之後你有自己的發現或經驗,希望你也能貢獻出來。如果你覺得敏感,可以適當脫敏,匿名也行。其次,致謝安全與隱私有關的立法與執法在全球範圍內的成熟;各代當之無愧的密碼學家、工程師、正義駭客及一切參與創造讓這個世界更好的人們的努力,其中一位是中本聰。最後,感謝貢獻者們,這個列表會持續更新,有任何的想法,希望你聯繫我們。

完整版本:https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook

— 精選交易所文章 —

從 0 到 1 購買加密貨幣懶人包:加密貨幣新手入門大百科

交易所特色優惠
Max可以使用銀行台幣出入金6 個月內 20% 手續費折扣,質押平台幣 MAX 最高可享 60% 折扣
Binance全球最大交易所,幣種與理財產品齊全終生 20% 手續費折扣
FTX具有豐富的現貨與衍生品產品終生 5%手續費折扣
Bybit豐富的衍生品交易應邀成為 Bybit 用戶,即可獲得 $20 體驗金。還有專屬獎勵 價值高達 $3,230!
Kucoin較多新上線的潛力新幣種終生 20% 手續費折扣
AAX年化報酬率為目前全交易所最高註冊即享 110 USDT,合約贈金和最高 50USDT 新手獎勵

本文不構成投資建議,虛擬貨幣波動大請謹慎小心

掌握虛擬貨幣、區塊鏈大小事

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。