以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads
首頁 > 幣贏 > Info

余弦:區塊鏈黑暗森林自救手冊_ADI:區塊鏈卡鏈是什么意思

Author:

Time:1900/1/1 0:00:00

前言

區塊鏈是個偉大的發明,它帶來了某些生產關系的變革,讓「信任」這種寶貴的東西得以部分解決。但,現實是殘酷的,人們對區塊鏈的理解會存在許多誤區。這些誤區導致了壞人輕易鉆了空子,頻繁將黑手伸進了人們的錢包,造成了大量的資金損失。這早已是黑暗森林。

基于此,慢霧科技創始人余弦傾力輸出——區塊鏈黑暗森林自救手冊。

本手冊大概3萬7千字,由于篇幅限制,這里僅羅列手冊中的關鍵目錄結構,也算是一種導讀。完整內容可見:

https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook

我們選擇GitHub平臺作為本手冊的首要發布位置是因為:方便協同及看到歷史更新記錄。你可以Watch、Fork及Star,當然我們更希望你能參與貢獻。

好,導讀開始...

引子

如果你持有加密貨幣或對這個世界有興趣,未來可能會持有加密貨幣,那么這本手冊值得你反復閱讀并謹慎實踐。本手冊的閱讀需要一定的知識背景,希望初學者不必恐懼這些知識壁壘,因為其中大量是可以“玩”出來的。

在區塊鏈黑暗森林世界里,首先牢記下面這兩大安全法則:

零信任:簡單來說就是保持懷疑,而且是始終保持懷疑。

Radix Trading為CFTC對幣安訴訟中提到的三家量化公司之一:金色財經報道,總部位于芝加哥的交易公司Radix Trading表示,它就是美國商品期貨交易委員會(CFTC)周一對幣安訴訟中提到的身份不明的“交易公司A”。在訴訟中,CFTC提到了至少三家總部位于美國的量化交易公司。盡管美國客戶本應被禁止在幣安交易,但這三家交易所仍然活躍于幣安。Radix聯合創始人Benjamin Blander表示,Radix通過離岸子公司和一家主要經紀商在幣安交易了幾年,該公司在加密連接方面的所有事情都經過了法律審查。Blander還表示,Radix在起訴前正與CFTC合作,他不認為Radix是任何調查的目標。[2023/3/29 13:32:08]

持續驗證:你要相信,你就必須有能力去驗證你懷疑的點,并把這種能力養成習慣。

關鍵內容

一、創建錢包

Download1.?找到正確的官網

?a.Google

?b.行業知名收錄,如CoinMarketCap

?c.多問一些比較信任的人

2.?下載安裝應用

??a.?PC?錢包:建議做下是否篡改的校驗工作

?b.瀏覽器擴展錢包:注意目標擴展下載頁面里的用戶數及評分情況

數據:2499枚比特幣從未知地址轉入幣安:金色財經報道,Whale Alert 監測數據顯示,北京時間 16:30:26,2499 枚比特幣從未知地址轉移到幣安。[2023/3/15 13:06:05]

?c.移動端錢包:判斷方式類似擴展錢包

?d.硬件錢包:從官網源頭的引導下購買,留意是否存在被異動手腳的情況

?e.網頁錢包:不建議使用這種在線的錢包

MnemonicPhrase創建錢包時,助記詞的出現是非常敏感的,請留意你身邊沒有人、攝像頭等一切可以導致偷窺發生的情況。同時留意下助記詞是不是足夠隨機出現

Keyless1.Keyless兩大場景

?a.?Custody,即托管方式。比如中心化交易所、錢包,用戶只需注冊賬號,并不擁有私鑰,安全完全依托于這些中心化平臺

?b.Non-Custodial,即非托管方式。用戶唯一掌握類似私鑰的權力,但卻不是直接的加密貨幣私鑰

2.?MPC為主的Keyless方案的優缺點

二、備份錢包

助記詞/私鑰類型1.明文:12個英文單詞為主

2.帶密碼:助記詞帶上密碼后會得到不一樣的種子,這個種子就是之后拿來派生出一系列私鑰、公鑰及對應地址

研究:加密采用率大幅放緩,但仍高于2021年之前的水平:金色財經報道,根據區塊鏈分析公司Chainalysis的一項新研究,自今年熊市開始以來,加密貨幣的采用率大幅放緩,但仍高于2021年之前的水平。根據Chainalysis的全球指數得分,與2021年第二和第四季度的高點相比,2022年前兩個季度的加密貨幣采用速度有所放緩。但是,采用率仍然高于牛市前至2021年第一季度(包括第一季度)的水平。

Chainalysis的2022年加密貨幣地理報告還發現,在加密采用率最高的20個國家中,有18個是中低收入國家,這些國家使用加密貨幣進行匯款和保護儲蓄免受高通脹的影響。相比之下,去中心化金融 (DeFi) 的采用在北美和西歐最為普遍,分別占所有加密交易量的37%和31%。[2022/10/21 16:33:23]

3.多簽:可以理解為目標資金需要多個人簽名授權才可以使用,多簽很靈活,可以設置審批策略

4.Shamir'sSecretSharing:Shamir秘密共享方案,作用就是將種子分割為多個分片,恢復錢包時,需要使用指定數量的分片才能恢復

Encryption1.多處備份

?a.Cloud:Google/Apple/微軟,結合GPG/1Password等

?b.Paper:將助記詞抄寫在紙卡片上

中國移動董事長:離開運營商,元宇宙沒法實現:7月8日消息,中國移動、中國電信、中國聯通今日舉行電信行業投資者交流活動。中國移動董事長楊杰表示,元宇宙最近幾年很火,中國移動也在關注和研究,但元宇宙還處于初階階段。

?他表示,離開運營商,元宇宙沒法實現。算力網絡是支撐元宇宙的重要基石,元宇宙要用到網絡,要用到算力,沒有基礎設施,元宇宙就無從談起。[2022/7/8 2:00:46]

?c.Device:電腦/iPad/iPhone/移動硬盤/U盤等

?d.Brain:注意腦記風險

2.?加密

??a.?一定要做到定期不定期地驗證

?b.?采用部分驗證也可以

?c.?注意驗證過程的機密性及安全性

三、使用錢包

AML1.鏈上凍結

2.?選擇口碑好的平臺、個人等作為你的交易對手

ColdWallet1.?冷錢包使用方法

?a.接收加密貨幣:配合觀察錢包,如imToken、TrustWallet等

?b.發送加密貨幣:QRCode/USB/Bluetooth

2.冷錢包風險點

?a.所見即所簽這種用戶交互安全機制缺失

韓國金融監管局在積極審查與穩定幣和DeFi相關的新加密貨幣法規:金色財經報道,韓國金融監管機構周二一起討論如何解決本月 TerraUSD 穩定幣崩盤的后果。?據當地新聞報道,在國民議會召開緊急會議后,金融監管局 (FSS)、公平貿易委員會 (FTC) 和金融服務委員會 (FSC) 分享了最新消息。?FSS 透露,在 Terra 區塊鏈倒閉后,它計劃檢查提供與 Terra 區塊鏈相關的金融服務的公司的場所。

此外,FSS 將開發一項研究服務,旨在分析在國內交易所流通的加密貨幣和數字資產的風險。然后,該服務將根據這些資產的風險特征對其進行分類。FSC還宣布正在積極審查與穩定幣和DeFi相關的新加密貨幣法規。?[2022/5/25 3:39:23]

?b.?用戶的有關知識背景缺失

Hot?Wallet1.與?DApp交互

2.?惡意代碼或后門作惡方式

?a.錢包運行時,惡意代碼將相關助記詞直接打包上傳到黑客控制的服務端里

?b.錢包運行時,當用戶發起轉賬,在錢包后臺偷偷替換目標地址及金額等信息,此時用戶很難察覺

?c.破壞助記詞生成有關的隨機數熵值,讓這些助記詞比較容易被破解

DeFi安全到底是什么1.智能合約安全

??a.權限過大:增加時間鎖/將admin多簽等

?b.?逐步學會閱讀安全審計報告

2.區塊鏈基礎安全:共識賬本安全/虛擬機安全等

3.前端安全

??a.內部作惡:前端頁面里的目標智能合約地址被替換/植入授權釣魚腳本

?b.第三方作惡:供應鏈作惡/前端頁面引入的第三方遠程JavaScript文件作惡或被黑

4.通信安全

??a.?HTTPS安全

?b.舉例:MyEtherWallet安全事件

?c.安全解決方案:HSTS

5.人性安全:如項目方內部作惡

6.金融安全:幣價、年化收益等

7.合規安全

??a.AML/KYC/制裁地區限制/證券風險有關的內容等

??b.?AOPP

NFT安全1.?Metadata?安全

2.簽名安全

小心簽名/反常識簽名1.?所見即所簽

2.?OpenSea?數起知名NFT被盜事件

?a.用戶在OpenSea授權了NFT

?b.黑客釣魚拿到用戶的相關簽名

3.?取消授權

??a.?TokenApprovals

?b.?Revoke.cash

?c.?APPROVED.zone

?d.?Rabby擴展錢包

4.?反常識真實案例

一些高級攻擊方式1.針對性釣魚

2.廣撒網釣魚

3.?結合XSS、CSRF、ReverseProxy等技巧

四、傳統隱私保護

操作系統1.重視系統安全更新,有安全更新就立即行動

2.?不亂下程序

3.?設置好磁盤加密保護

手機1.?重視系統的安全更新及下載

2.?不要越獄、Root破解,除非你玩安全研究,否則沒必要

3.?不要從非官方市場下載App

4.官方的云同步使用的前提:賬號安全方面你確信沒問題

網絡1.網絡方面,盡量選擇安全的,比如不亂連陌生Wi-Fi

2.選擇口碑好的路由器、運營商,切勿貪圖小便宜,并祈禱路由器、運營商層面不會有高級作惡行為出現

瀏覽器1.?及時更新

2.?擴展如無必要就不安裝

3.?瀏覽器可以多個共存

4.使用隱私保護的知名擴展

密碼管理器1.?別忘記你的主密碼

2.?確保你的郵箱安全

3.?1Password/Bitwarden等

雙因素認證GoogleAuthenticator/MicrosoftAuthenticator等

科學上網科學上網、安全上網

郵箱1.安全且知名:Gmail/Outlook/QQ郵箱等

2.隱私性:ProtonMail/Tutanota

SIM卡1.?SIM卡攻擊

2.?防御建議

?a.啟用知名的2FA工具

?b.?設置PIN碼

GPG1.區分

?a.PGP是PrettyGoodPrivacy的縮寫,是商用加密軟件,發布30?多年了,現在在賽門鐵克麾下

?b.OpenPGP是一種加密標準,衍生自PGP

?c.GPG,全稱GnuPG,基于OpenPGP標準的開源加密軟件

隔離環境1.?具備零信任安全法則思維

2.?良好的隔離習慣

3.?隱私不是拿來保護的,隱私是拿來控制的

五、人性安全

TelegramDiscord來自“官方”的釣魚Web3隱私問題

六、區塊鏈作惡方式

盜幣、惡意挖礦、勒索病、暗網交易、木馬的C2中轉、洗錢、資金盤、等SlowMistHacked區塊鏈被黑檔案庫

七、被盜了怎么辦

止損第一保護好現場分析原因追蹤溯源結案

八、誤區

CodeIsLawNotYourKeys,NotYourCoinsInBlockchainWeTrust密碼學安全就是安全被黑很丟人立即更新

總結

當你閱讀完本手冊后,一定需要實踐起來、熟練起來、舉一反三。如果之后你有自己的發現或經驗,希望你也能貢獻出來。如果你覺得敏感,可以適當脫敏,匿名也行。其次,致謝安全與隱私有關的立法與執法在全球范圍內的成熟;各代當之無愧的密碼學家、工程師、正義黑客及一切參與創造讓這個世界更好的人們的努力,其中一位是中本聰。最后,感謝貢獻者們,這個列表會持續更新,有任何的想法,希望你聯系我們。

導讀到此,完整版本,歡迎閱讀并分享:)

https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook

Tags:加密貨幣區塊鏈RADADIhtb幣加密貨幣嗎區塊鏈卡鏈是什么意思TradeStarsRadix

幣贏
NFT流動性困局下,哪種解決方案更具潛力?_NFT:vethor-token

對于加密資產領域的大多數人來說,資金的流動性十分重要。在Defi項目中有流動性挖礦,為交易對提供流動性就可以獲得Token獎勵,在歐易這類中心化交易所中有賺幣服務,如同定期存款把資產鎖定一定時期.

1900/1/1 0:00:00
盤點跨鏈橋攻擊事件,跨鏈橋有哪些常見漏洞?_ETH:Chain

隨著區塊鏈和鏈上項目的增長,對多鏈項目的需求正在變多,跨鏈橋業務也相應的在增加。哪里有生意,哪里就會有安全問題.

1900/1/1 0:00:00
讀懂最熱跨鏈項目Stargate:為什么它值得關注_ERO:ZER

作者:RichardLee,鏈捕手 首發時間|3月26日 上線一周多后,跨鏈橋協議Stargate總鎖倉量今日中午正式突破30億美元大關.

1900/1/1 0:00:00
一文縱覽 ZK 方案全明星項目_STA:arkm幣怎么樣

隱私性在加密貨幣社區一直被視為非常有價值的特性之一,因為對于大多數加密資產持有者而言,他們不希望自己的資產和交易記錄被完全公開.

1900/1/1 0:00:00
漫談游戲領域,從5個層次探索Web2過渡到Web3意味著什么?_WEB:到底什么是區塊鏈

作者:DerekLau,Medium作者編譯:東尋,DeFi之道回顧從Web1.0到Web2.0的過渡情況。新技術在剛被發現時從未被正確使用.

1900/1/1 0:00:00
Jump Crypto:詳解各類區塊鏈擴容解決方案_區塊鏈:Wolf Pups

作者:RahulMaganti,JumpCrypto合伙人原標題:《AFrameworkforAnalyzingL1s》 編譯:胡韜,鏈捕手 介紹 在上一篇文章中,我們建立了一個分析L1的框架.

1900/1/1 0:00:00
ads