前言
區塊鏈是個偉大的發明,它帶來了某些生產關系的變革,讓「信任」這種寶貴的東西得以部分解決。但,現實是殘酷的,人們對區塊鏈的理解會存在許多誤區。這些誤區導致了壞人輕易鉆了空子,頻繁將黑手伸進了人們的錢包,造成了大量的資金損失。這早已是黑暗森林。
基于此,慢霧科技創始人余弦傾力輸出——區塊鏈黑暗森林自救手冊。
本手冊(當前 V1 Beta)大概 3 萬 7 千字,由于篇幅限制,這里僅羅列手冊中的關鍵目錄結構,也算是一種導讀。完整內容可見:
https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook
我們選擇 GitHub 平臺作為本手冊的首要發布位置是因為:方便協同及看到歷史更新記錄。你可以 Watch、Fork 及 Star,當然我們更希望你能參與貢獻。
好,導讀開始...
如果你持有加密貨幣或對這個世界有興趣,未來可能會持有加密貨幣,那么這本手冊值得你反復閱讀并謹慎實踐。本手冊的閱讀需要一定的知識背景,希望初學者不必恐懼這些知識壁壘,因為其中大量是可以“玩”出來的。
聲音 | 原交通運輸部副部長徐祖遠:要應用區塊鏈在航運交易平臺系統中:據澎湃新聞消息,11月28日,國際海事組織(IMO)海事大使、原交通運輸部副部長徐祖遠在2019上海航運交易論壇上演講表示,區塊鏈有兩個基本的特征,一是去中心化,一是安全性。正因為區塊鏈有這兩個特征和行業應用上的優勢,這三年來,應用區塊鏈技術的項目越來越多,而且大家積極主動地發起項目。集裝箱企業的表現尤為突出。談及航運業在數字化進程中的風險,徐祖遠表示,網絡攻擊、信息安全、系統故障、操作失誤、數據壟斷等風險目前呈高頻的上升趨勢。而針對風險防范,他指出,要應用區塊鏈的技術,在航運交易平臺系統中,構建一個全新的身份管理系統,讓篡改難以隱匿。區塊鏈的分布式存儲架構,也可以使航運企業的網絡系統、調度系統、結算系統更加干凈透明,令黑客無所適從。區塊鏈技術在數據存儲、區塊鏈之間的互為連接,某一處的數據篡改,也能找到篡改的地方和來源。[2019/11/29]
在區塊鏈黑暗森林世界里,首先牢記下面這兩大安全法則:
零信任:簡單來說就是保持懷疑,而且是始終保持懷疑。
持續驗證:你要相信,你就必須有能力去驗證你懷疑的點,并把這種能力養成習慣。
關鍵內容
Download
動態 | 多家區塊鏈項目入駐廣州市粵港澳臺青年創業孵化器:據大公網報道,18日,由番禺區政府、香港海富國金集團以及力合科創集團打造的粵港澳臺青年創業孵化器正式入駐廣州。廣州市粵港澳臺青年創業孵化器有限公司負責人介紹,項目啟動50日以來,已接到50多個創業團隊的入駐申請,其中11家創業團隊的獲得審核通過,其中包括在線問診的線上醫療、零食+區塊鏈、動漫IP+區塊鏈、智能硬件等。[2019/1/18]
找到正確的官網
行業知名收錄,如 CoinMarketCap
多問一些比較信任的人
下載安裝應用
PC 錢包:建議做下是否篡改的校驗工作(文件一致性校驗)
瀏覽器擴展錢包:注意目標擴展下載頁面里的用戶數及評分情況
移動端錢包:判斷方式類似擴展錢包
硬件錢包:從官網源頭的引導下購買,留意是否存在被異動手腳的情況
網頁錢包:不建議使用這種在線的錢包
Mnemonic Phrase
創建錢包時,助記詞的出現是非常敏感的,請留意你身邊沒有人、攝像頭等一切可以導致偷窺發生的情況。同時留意下助記詞是不是足夠隨機出現
Keyless
Keyless 兩大場景(此處區分是為了方便講解)
聲音 | 日本東北大學教授:行政組織和選舉委員或難以引入區塊鏈投票系統:據cryptovest消息,此前日本當地媒體稱筑波市政府已經完成了區塊鏈測試,并獲得了119張選票。筑波市市長在使用過投票系統后表示:“我原以為這會涉及更多更復雜的程序,但后來發現這非常簡單”。但日本東北大學教授Kazunori Kawamura指出基于區塊鏈技術的選舉面臨著挑戰,他表示:由于擔心出現錯誤,行政組織和選舉委員可能會發現難以引入這些系統。另外他還稱,為了在日本獲得更廣泛的認可,基于區塊鏈的投票系統首先需要通過外籍人士相關使用經歷來獲得支持。[2018/9/4]
Custody,即托管方式。比如中心化交易所、錢包,用戶只需注冊賬號,并不擁有私鑰,安全完全依托于這些中心化平臺
Non-Custodial,即非托管方式。用戶唯一掌握類似私鑰的權力,但卻不是直接的加密貨幣私鑰(或助記詞)
MPC 為主的 Keyless 方案的優缺點
助記詞/私鑰類型
明文:12 個英文單詞為主
帶密碼:助記詞帶上密碼后會得到不一樣的種子,這個種子就是之后拿來派生出一系列私鑰、公鑰及對應地址
多簽:可以理解為目標資金需要多個人簽名授權才可以使用,多簽很靈活,可以設置審批策略
Shamir's Secret Sharing:Shamir 秘密共享方案,作用就是將種子分割為多個分片,恢復錢包時,需要使用指定數量的分片才能恢復
現場 | 新經濟觀察家李光斗:區塊鏈有可能成為負責任的自媒體:金色財經現場報道,8月5日,在首屆中國區塊鏈媒體社會責任論壇上,進行以《大時代、新機遇-媒體責任與擔當》為主題的對話環節,新經濟觀察家李光斗指出:區塊鏈可以用技術保證每個人無法造假,區塊鏈有可能成為負責任的自媒體,在區塊鏈時代,絕對不可能洗稿。所謂的區塊鏈媒體分為兩種,一種是報道區塊鏈的人;一種是用區塊鏈的分布式技術做一個媒體,這個媒體的前景十分廣大,可能會顛覆掉傳統的媒體。區塊鏈媒體可能會形成新的共識,真正的區塊鏈媒體也會產生新的監管難題。[2018/8/5]
Encryption
多處備份
Cloud:Google/Apple/微軟,結合 GPG/1Password 等
Paper:將助記詞(明文、SSS 等形式的)抄寫在紙卡片上
Device:電腦/iPad/iPhone/移動硬盤/U 盤等
Brain:注意腦記風險(記憶/意外)
一定要做到定期不定期地驗證
采用部分驗證也可以
注意驗證過程的機密性及安全性
AML
鏈上凍結
選擇口碑好的平臺、個人等作為你的交易對手
Cold Wallet
愛奇藝戰略規劃部副總裁王世穎:游戲不需要區塊鏈,區塊鏈需要游戲:游戲制作人、愛奇藝戰略規劃部副總裁王世穎認為,游戲不需要區塊鏈,其產業模式已經非常成熟;相反,區塊鏈是需要游戲的。“一個新的產業,想要被別人接受,它需要一個橋梁,可能對于區塊鏈產業來說游戲是一個比較合適的突破口。”但另一方面,技術樂觀者們認為區塊鏈技術在游戲行業中仍大有可為。[2018/4/26]
冷錢包使用方法
接收加密貨幣:配合觀察錢包,如 imToken、Trust Wallet 等
發送加密貨幣:QRCode/USB/Bluetooth
冷錢包風險點
所見即所簽這種用戶交互安全機制缺失
用戶的有關知識背景缺失
Hot?Wallet
與?DApp(DeFi、NFT、GameFi 等)交互
惡意代碼或后門作惡方式
?錢包運行時,惡意代碼將相關助記詞直接打包上傳到黑客控制的服務端里
錢包運行時,當用戶發起轉賬,在錢包后臺偷偷替換目標地址及金額等信息,此時用戶很難察覺
破壞助記詞生成有關的隨機數熵值,讓這些助記詞比較容易被破解
DeFi 安全到底是什么
智能合約安全
權限過大:增加時間鎖(Timelock)/將 admin 多簽等
逐步學會閱讀安全審計報告
區塊鏈基礎安全:共識賬本安全/虛擬機安全等
前端安全
內部作惡:前端頁面里的目標智能合約地址被替換/植入授權釣魚腳本
第三方作惡:供應鏈作惡/前端頁面引入的第三方遠程 JavaScript 文件作惡或被黑
通信安全
HTTPS 安全
舉例:MyEtherWallet 安全事件
安全解決方案:HSTS
人性安全:如項目方內部作惡
金融安全:幣價、年化收益等
合規安全
AML/KYC/制裁地區限制/證券風險有關的內容等
AOPP
NFT 安全
Metadata?安全
簽名安全
小心簽名/反常識簽名
OpenSea?數起知名 NFT 被盜事件
用戶在 OpenSea 授權了 NFT(掛單)
黑客釣魚拿到用戶的相關簽名
取消授權(approve)
Token Approvals
Revoke.cash
APPROVED.zone
Rabby 擴展錢包
4.?反常識真實案例
一些高級攻擊方式
針對性釣魚
廣撒網釣魚
結合 XSS、CSRF、Reverse Proxy 等技巧(如 Cloudflare 中間人攻擊)
操作系統
重視系統安全更新,有安全更新就立即行動
不亂下程序
設置好磁盤加密保護
手機
重視系統的安全更新及下載
不要越獄、Root 破解,除非你玩安全研究,否則沒必要
不要從非官方市場下載 App
官方的云同步使用的前提:賬號安全方面你確信沒問題
網絡
網絡方面,盡量選擇安全的,比如不亂連陌生 Wi-Fi
選擇口碑好的路由器、運營商,切勿貪圖小便宜,并祈禱路由器、運營商層面不會有高級作惡行為出現
瀏覽器
及時更新
擴展如無必要就不安裝
瀏覽器可以多個共存
使用隱私保護的知名擴展
密碼管理器
別忘記你的主密碼
確保你的郵箱安全
1Password/Bitwarden 等
雙因素認證
Google Authenticator/Microsoft Authenticator 等
科學上網
科學上網、安全上網
郵箱
安全且知名:Gmail/Outlook/QQ 郵箱等
隱私性:ProtonMail/Tutanota
SIM 卡
SIM 卡攻擊
防御建議:啟用知名的 2FA 工具、設置 PIN 碼
GPG
PGP 是 Pretty Good Privacy 的縮寫,是商用加密軟件,發布 30?多年了,現在在賽門鐵克麾下
OpenPGP 是一種加密標準,衍生自 PGP
GPG,全稱 GnuPG,基于 OpenPGP 標準的開源加密軟件
隔離環境
具備零信任安全法則思維
良好的隔離習慣
隱私不是拿來保護的,隱私是拿來控制的
Telegram
Discord
來自“官方”的釣魚
Web3 隱私問題
盜幣、惡意挖礦、勒索病、暗網交易、木馬的 C2 中轉、洗錢、資金盤、等
SlowMist Hacked 區塊鏈被黑檔案庫
止損第一
保護好現場
分析原因
追蹤溯源
結案
Code Is Law
Not Your Keys, Not Your Coins
In Blockchain We Trust
密碼學安全就是安全
被黑很丟人
立即更新
當你閱讀完本手冊后,一定需要實踐起來、熟練起來、舉一反三。如果之后你有自己的發現或經驗,希望你也能貢獻出來。如果你覺得敏感,可以適當脫敏,匿名也行。其次,致謝安全與隱私有關的立法與執法在全球范圍內的成熟;各代當之無愧的密碼學家、工程師、正義黑客及一切參與創造讓這個世界更好的人們的努力,其中一位是中本聰。最后,感謝貢獻者們,這個列表會持續更新,有任何的想法,希望你聯系我們。
Tags:區塊鏈APPPRO加密貨幣wpc幣區塊鏈數字錢包app下載手機版KwikSwap Protocol加密貨幣是什么意思啊
在區塊鏈生態系統中,最令人興奮的領域之一是去中心化金融(DeFi),甚至引發了傳統金融機構的關注和革新。但是,試圖將BNB與ETH進行相互轉換的經歷,實際上并不像看起來的那么簡單.
1900/1/1 0:00:004月20日,Coinbase NFT市場Beta版本上線。特定測試用戶可以購買或出售NFT。金色財經體驗發現,除不能登陸外,大部分頁面可以自由訪問.
1900/1/1 0:00:00摘要 上期分享OTC交易收到贓款容易成為刑事打擊的對象、“幫信罪”與“掩隱罪”在理論上的區分等內容.
1900/1/1 0:00:001.DeFi代幣總市值:1370.61億美元 DeFi總市值 數據來源:coingecko2.過去24小時去中心化交易所的交易量:581.
1900/1/1 0:00:00頭條 ▌Coinbase或暗示即將啟動NFT市場金色財經報道,Coinbase官方社交媒體賬戶發布“Something is coming, probably nothing”(有事要發生了.
1900/1/1 0:00:00最近 Web 3.0 很火,可是看了很多觀點后,我還是沒弄明白 1.0,2.0,3.0 到底是怎么串聯起來的.
1900/1/1 0:00:00