慢霧余弦撰文：區塊鏈黑暗森林自救手冊_DAI

編者按：LUNA、3AC、FTX此前的加密巨人都相繼倒下，與之相關的參與各方都損失慘重。無數案例都在告訴我們：Web3存在黑暗森林，始終有人會作惡。此時的我們，等不到監管的明確，更不能指望陌生人的善意，唯一可行的辦法是提升自身認知，進行自救。本文為舊文重發，是慢霧創始人余弦編撰的《區塊鏈黑暗森林自救手冊》導讀部分。

前言

區塊鏈是個偉大的發明，它帶來了某些生產關系的變革，讓「信任」這種寶貴的東西得以部分解決。但，現實是殘酷的，人們對區塊鏈的理解會存在許多誤區。這些誤區導致了壞人輕易鉆了空子，頻繁將黑手伸進了人們的錢包，造成了大量的資金損失。這早已是黑暗森林。

基于此，慢霧科技創始人余弦傾力輸出——區塊鏈黑暗森林自救手冊。

本手冊大概3萬7千字，由于篇幅限制，這里僅羅列手冊中的關鍵目錄結構，也算是一種導讀。完整內容可見：

https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook

我們選擇GitHub平臺作為本手冊的首要發布位置是因為：方便協同及看到歷史更新記錄。你可以Watch、Fork及Star，當然我們更希望你能參與貢獻。

好，導讀開始...

引子

如果你持有加密貨幣或對這個世界有興趣，未來可能會持有加密貨幣，那么這本手冊值得你反復閱讀并謹慎實踐。本手冊的閱讀需要一定的知識背景，希望初學者不必恐懼這些知識壁壘，因為其中大量是可以“玩”出來的。

慢霧：從Multichain流出的資金總額高達2.65億美元，分布在9條鏈:金色財經報道，自7月7日以來，從 Multichain 流出的資金總額高達 2.65 億美元，分布在 Ethereum、BNB Chain、Polygon、Avalanche、Arbitrum、Optimism、Fantom、Cronos、Moonbeam 鏈。其中 6582 萬美元已經被 Circle 和 Tether 凍結，1,296,990.99 ICE（約 162 萬美元） 被 Token 發行方 Burn。流出的資金中，包括：

1）從 Multichain: Old BSC Bridge 轉出的 USDT；

2）從 Multichain: Fantom Bridge 轉出的 USDC、DAI、LINK、UNIDX、USDT、WOO、ICE、CRV、YFI、TUSD、WETH、WBTC；

3）從 Anyswap: Bridge Fantom 轉出的 BIFI；

4）從 Multichain: Moonriver Bridge 轉出的 USDC、USDT、DAI、WBTC；

5）從 MultiChain: Doge Bridge 轉出的 USDC；

6）從 Multichain: Executor 轉出的 DAI、USDC、BTCB、WBTC、WETH、Dai.e、WBTC.e、Bridged USDC、BTC、fUSDT、ETH 等；

7）從被 Etherscan 標記為 Fake_Phishing183873 的 0xe1910...49c53 轉出的 WBTC、USDT、ETH，同時我們認為該標記（Fake Phishing183873）或許是 Etherscan 上的虛假標記，地址可能以前屬于 Multichain 官方賬戶。[2023/7/11 10:48:30]

在區塊鏈黑暗森林世界里，首先牢記下面這兩大安全法則：

慢霧：Solana公鏈上發生大規模盜幣，建議用戶先將熱錢包代幣轉移到硬件錢包或知名交易所:8月3日消息，據慢霧區情報，Solana公鏈上發生大規模盜幣事件，大量用戶在不知情的情況下被轉移SOL和SPL代幣，慢霧安全團隊對此事件進行跟蹤分析：

已知攻擊者地址：

Htp9MGP8Tig923ZFY7Qf2zzbMUmYneFRAhSp7vSg4wxV、CEzN7mqP9xoxn2HdyW6fjEJ73t7qaX9Rp2zyS6hb3iEu、5WwBYgQG6BdErM2nNNyUmQXfcUnB68b6kesxBywh1J3n、GeEccGJ9BEzVbVor1njkBCCiqXJbXVeDHaXDCrBDbmuy

目前攻擊仍在進行，從交易特征上看，攻擊者在沒有使用攻擊合約的情況下，對賬號進行簽名轉賬，初步判斷是私鑰泄露。不少受害者反饋，他們使用過多種不同的錢包，以移動端錢包為主，我們推測可能問題出現在軟件供應鏈上。在新證據被發現前，我們建議用戶先將熱錢包代幣轉移到硬件錢包或知名交易所等相對安全的位置，等待事件分析結果。[2022/8/3 2:55:22]

零信任：簡單來說就是保持懷疑，而且是始終保持懷疑。

持續驗證：你要相信，你就必須有能力去驗證你懷疑的點，并把這種能力養成習慣。

關鍵內容

慢霧MistTrack：DeFi項目Pickle Finance pDAI池被盜資金再次發生異動，多次使用Uniswap進行兌換:據慢霧MistTrack監測信息顯示，2020-11-22 攻擊 pickle pDAI池的黑客地址（0x701781...7a4E08）繼1月8日異動后，再次于1月14日發生異動。此前黑客地址轉移了1500萬DAI到五個新地址，現除了地址5（0x64bA3e...fF62DB），其余四個地址均發生異動，其中地址1（0x607d65...04e461）和地址2（0x17d4fe...2b7a39）分別向另一個地址3（0x157b0f...862a01）轉入400萬DAI。除此之外，慢霧MistTrack監測到1月9日、11日，黑客均向地址3（0x157b0f...862a01）分別轉入176萬DAI、300萬DAI，緊接著地址3（0x157b0f...862a01）于當天通過Uniswap、1inch將一部分DAI兌換成CORN或COMP，另一部分DAI轉到地址1（0x607d65...04e461）、地址2（0x17d4fe...2b7a39）。

目前地址1（0x607d65...04e461）有1億9千萬cDAI，地址2（0x17d4fe...2b7a39）有4億3千萬cDAI，地址3（0x157b0f...862a01）有32萬DAI，地址5（0x64bA3e...fF62DB）有400萬 DAI。[2021/1/15 16:15:10]

一、創建錢包

聲音 | 慢霧區：Electrum偽造升級提示的釣魚攻擊盜竊至少200個BTC:據慢霧區消息，Electrum偽造升級提示的釣魚攻擊已盜竊至少 200 枚BTC，此次攻擊單靠升級 Electrum無法避免，需要整個生態服務都做對應的改動（因為 Electrum 這個客戶端并不是全節點，然后在交易廣播上和對應的服務端有消息通訊，攻擊者也可以部署惡意服務端）。慢霧區提醒用戶，Electrum這類釣魚攻擊需要長期警惕。慢霧區此前發布Electrum釣魚更新事件預警，對Electrum錢包進行攻擊的黑客利用Electrum的軟件異常構造惡意的軟件更新提示，誘導用戶更新下載惡意軟件使用。[2019/1/4]

Download

1.找到正確的官網

a.Google

b.行業知名收錄，如CoinMarketCap

c.多問一些比較信任的人

2.下載安裝應用

a.PC錢包：建議做下是否篡改的校驗工作

b.瀏覽器擴展錢包：注意目標擴展下載頁面里的用戶數及評分情況

c.移動端錢包：判斷方式類似擴展錢包

d.硬件錢包：從官網源頭的引導下購買，留意是否存在被異動手腳的情況

e.網頁錢包：不建議使用這種在線的錢包

MnemonicPhrase

創建錢包時，助記詞的出現是非常敏感的，請留意你身邊沒有人、攝像頭等一切可以導致偷窺發生的情況。同時留意下助記詞是不是足夠隨機出現

動態 | 慢霧區預警: ETH 存在惡意消耗 Gas 攻擊:根據慢霧區情報，慢霧安全團隊在 Twitter 上關注到以太坊漏洞問題，通過深入分析發現：如果用戶在交易所提幣或者通過錢包轉賬的時候，若沒有設置 GasLimit 上限，當接收地址為合約地址的話將會導致惡意 Gas 消耗，慢霧安全團隊第一時間通知了服務的交易所和錢包用戶并提供了情報和解決方案：

（1）用戶提幣的時候判斷是否是合約地址，如果是合約地址則不允許提幣。

（2）轉賬的時候設置 GasLimit 上限，此處上限需要根據交易所實際業務場景設置如：6 萬? - 10 萬（推薦值 ETH: 90000 token: 150000）

投資有風險，入市須謹慎。

本資訊不作為投資理財建議。[2018/11/14]

Keyless

1.Keyless兩大場景

a.Custody，即托管方式。比如中心化交易所、錢包，用戶只需注冊賬號，并不擁有私鑰，安全完全依托于這些中心化平臺

b.Non-Custodial，即非托管方式。用戶唯一掌握類似私鑰的權力，但卻不是直接的加密貨幣私鑰

2.MPC為主的Keyless方案的優缺點

二、備份錢包

助記詞/私鑰類型

1.明文：12個英文單詞為主

2.帶密碼：助記詞帶上密碼后會得到不一樣的種子，這個種子就是之后拿來派生出一系列私鑰、公鑰及對應地址

3.多簽：可以理解為目標資金需要多個人簽名授權才可以使用，多簽很靈活，可以設置審批策略

4.Shamir'sSecretSharing：Shamir秘密共享方案，作用就是將種子分割為多個分片，恢復錢包時，需要使用指定數量的分片才能恢復

Encryption

1.多處備份

a.Cloud：Google/Apple/微軟，結合GPG/1Password等

b.Paper：將助記詞抄寫在紙卡片上

c.Device：電腦/iPad/iPhone/移動硬盤/U盤等

d.Brain：注意腦記風險

2.加密

a.一定要做到定期不定期地驗證

b.采用部分驗證也可以

c.注意驗證過程的機密性及安全性

三、使用錢包

AML

1.鏈上凍結

2.選擇口碑好的平臺、個人等作為你的交易對手

ColdWallet

1.冷錢包使用方法

a.接收加密貨幣：配合觀察錢包，如imToken、TrustWallet等

b.發送加密貨幣：QRCode/USB/Bluetooth

2.冷錢包風險點

a.所見即所簽這種用戶交互安全機制缺失

b.用戶的有關知識背景缺失

HotWallet

1.與DApp交互

2.惡意代碼或后門作惡方式

a.錢包運行時，惡意代碼將相關助記詞直接打包上傳到黑客控制的服務端里

b.錢包運行時，當用戶發起轉賬，在錢包后臺偷偷替換目標地址及金額等信息，此時用戶很難察覺

c.破壞助記詞生成有關的隨機數熵值，讓這些助記詞比較容易被破解

DeFi安全到底是什么

1.智能合約安全

a.權限過大：增加時間鎖/將admin多簽等

b.逐步學會閱讀安全審計報告

2.區塊鏈基礎安全：共識賬本安全/虛擬機安全等

3.前端安全

a.內部作惡：前端頁面里的目標智能合約地址被替換/植入授權釣魚腳本

b.第三方作惡：供應鏈作惡/前端頁面引入的第三方遠程JavaScript文件作惡或被黑

4.通信安全

a.HTTPS安全

b.舉例：MyEtherWallet安全事件

c.安全解決方案：HSTS

5.人性安全：如項目方內部作惡

6.金融安全：幣價、年化收益等

7.合規安全

a.AML/KYC/制裁地區限制/證券風險有關的內容等

b.AOPP

NFT安全

1.Metadata安全

2.簽名安全

小心簽名/反常識簽名

1.所見即所簽

2.OpenSea數起知名NFT被盜事件

a.用戶在OpenSea授權了NFT

b.黑客釣魚拿到用戶的相關簽名

3.取消授權

a.TokenApprovals

b.Revoke.cash

c.APPROVED.zone

d.Rabby擴展錢包

4.反常識真實案例

一些高級攻擊方式

1.針對性釣魚

2.廣撒網釣魚

3.結合XSS、CSRF、ReverseProxy等技巧

四、傳統隱私保護

操作系統

1.重視系統安全更新，有安全更新就立即行動

2.不亂下程序

3.設置好磁盤加密保護

手機

1.重視系統的安全更新及下載

2.不要越獄、Root破解，除非你玩安全研究，否則沒必要

3.不要從非官方市場下載App

4.官方的云同步使用的前提：賬號安全方面你確信沒問題

網絡

1.網絡方面，盡量選擇安全的，比如不亂連陌生Wi-Fi

2.選擇口碑好的路由器、運營商，切勿貪圖小便宜，并祈禱路由器、運營商層面不會有高級作惡行為出現

瀏覽器

1.及時更新

2.擴展如無必要就不安裝

3.瀏覽器可以多個共存

4.使用隱私保護的知名擴展

密碼管理器

1.別忘記你的主密碼

2.確保你的郵箱安全

3.1Password/Bitwarden等

雙因素認證

GoogleAuthenticator/MicrosoftAuthenticator等

科學上網

科學上網、安全上網

郵箱

1.安全且知名：Gmail/Outlook/QQ郵箱等

2.隱私性：ProtonMail/Tutanota

SIM卡

1.SIM卡攻擊

2.防御建議

a.啟用知名的2FA工具

b.設置PIN碼

GPG

1.區分

a.PGP是PrettyGoodPrivacy的縮寫，是商用加密軟件，發布30多年了，現在在賽門鐵克麾下

b.OpenPGP是一種加密標準，衍生自PGP

c.GPG，全稱GnuPG，基于OpenPGP標準的開源加密軟件

隔離環境

1.具備零信任安全法則思維

2.良好的隔離習慣

3.隱私不是拿來保護的，隱私是拿來控制的

五、人性安全

Telegram

Discord

來自“官方”的釣魚

Web3隱私問題

六、區塊鏈作惡方式

盜幣、惡意挖礦、勒索病、暗網交易、木馬的C2中轉、洗錢、資金盤、等

SlowMistHacked區塊鏈被黑檔案庫

七、被盜了怎么辦

止損第一

保護好現場

分析原因

追蹤溯源

結案

八、誤區

CodeIsLaw

NotYourKeys,NotYourCoins

InBlockchainWeTrust

密碼學安全就是安全

被黑很丟人

立即更新

總結

當你閱讀完本手冊后，一定需要實踐起來、熟練起來、舉一反三。如果之后你有自己的發現或經驗，希望你也能貢獻出來。如果你覺得敏感，可以適當脫敏，匿名也行。其次，致謝安全與隱私有關的立法與執法在全球范圍內的成熟；各代當之無愧的密碼學家、工程師、正義黑客及一切參與創造讓這個世界更好的人們的努力，其中一位是中本聰。最后，感謝貢獻者們，這個列表會持續更新，有任何的想法，希望你聯系我們。

Tags：DAIAINHAIChainDaikokuten SamaSABAKAINU幣star kay Chainprmichain

BTC