以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads
首頁 > TUSD > Info

慢霧科技創始人余弦:區塊鏈黑暗森林自救手冊_WALL:區塊鏈

Author:

Time:1900/1/1 0:00:00

錢包,造成了大量的資金損失。這早已是黑暗森林。

基于此,慢霧科技創始人余弦傾力輸出——區塊鏈黑暗森林自救手冊。

本手冊大概3萬7千字,由于篇幅限制,這里僅羅列手冊中的關鍵目錄結構,也算是一種導讀。

我們選擇GitHub平臺作為本手冊的首要發布位置是因為:方便協同及看到歷史更新記錄。你可以Watch、Fork及Star,當然我們更希望你能參與貢獻。

好,導讀開始...

貨幣或對這個世界有興趣,未來可能會持有加密貨幣,那么這本手冊值得你反復閱讀并謹慎實踐。本手冊的閱讀需要一定的知識背景,希望初學者不必恐懼這些知識壁壘,因為其中大量是可以“玩”出來的。

在區塊鏈黑暗森林世界里,首先牢記下面這兩大安全法則:

零信任:簡單來說就是保持懷疑,而且是始終保持懷疑。

持續驗證:你要相信,你就必須有能力去驗證你懷疑的點,并把這種能力養成習慣。

Download

1.?找到正確的官網

?a.Google

?b.行業知名收錄,如CoinMarketCap

?c.多問一些比較信任的人

2.?下載安裝應用

慢霧科技合伙人啟富:區塊鏈技術驅動的數字貨幣有很強的共識 未來應用場景很大:金色財經現場報道,9月20日,由金色財經主辦,水橋區塊鏈總冠名的“共為·創業者大會”在廈門舉辦。在主題為《區塊鏈如何推動數字經濟時代的發展》的圓桌對話環節,慢霧科技合伙人啟富表示,區塊鏈技術從誕生起就有財富再分配的功能。大家對區塊鏈的認知可能比較多在早期,大家對超主權或者非主權的貨幣的共識,使大家認為加密貨幣有很多使用場景。雖然目前加密貨幣的應用場景還不是很多,但是整個趨勢是非常明顯的,未來它會有更好的發展空間,尤其在泡沫或者通貨膨脹的時候有很好的優勢。[2020/9/20]

a.?PC錢包:建議做下是否篡改的校驗工作

?b.瀏覽器擴展錢包:注意目標擴展下載頁面里的用戶數及評分情況

?c.移動端錢包:判斷方式類似擴展錢包

?d.硬件錢包:從官網源頭的引導下購買,留意是否存在被異動手腳的情況

?e.網頁錢包:不建議使用這種在線的錢包

MnemonicPhrase

創建錢包時,助記詞的出現是非常敏感的,請留意你身邊沒有人、攝像頭等一切可以導致偷窺發生的情況。同時留意下助記詞是不是足夠隨機出現

Keyless

慢霧科技創始人余弦:安全的預算需要占到全年預算的20%左右:針對最近出現的安全問題,慢霧科技創始人余弦在微博上表示:給加密貨幣行業一個中肯建議:這個行業,自帶金融屬性,無國家安全力量保障,盜幣溯源有很難。安全的預算需要占到全年預算的20%左右,這比例一部分(可能是大部分)是內部安全成本消耗,一部分是給第三方職業安全團隊(如慢霧),一部分是給社區的白帽黑客。另外,做個安全應急準備金,黑天鵝出來后,可以拿來做些彌補及挽救支持的。既然喊了安全第一,既然安全也是區塊鏈三大必備基礎元素之一,那就這樣干,不應該有任何的猶豫和幻想。[2020/4/20]

1.Keyless兩大場景

?a.?Custody,即托管方式。比如中心化交易所、錢包,用戶只需注冊賬號,并不擁有私鑰,安全完全依托于這些中心化平臺

?b.Non-Custodial,即非托管方式。用戶唯一掌握類似私鑰的權力,但卻不是直接的加密貨幣私鑰

2.?MPC為主的Keyless方案的優缺點

助記詞/私鑰類型

1.明文:12個英文單詞為主

2.帶密碼:助記詞帶上密碼后會得到不一樣的種子,這個種子就是之后拿來派生出一系列私鑰、公鑰及對應地址

3.多簽:可以理解為目標資金需要多個人簽名授權才可以使用,多簽很靈活,可以設置審批策略

HBTC霍比特交易所與慢霧科技達成安全戰略合作:今日,HBTC 霍比特交易所(原BHEX交易所)與慢霧科技達成安全戰略合作,雙方針對數字貨幣行業中的底層公鏈安全研究、鏈上數據分析、威脅情報同步、OTC 反洗錢(AML)等多個環節保持密切合作,共同維護區塊鏈生態安全。

HBTC 霍比特交易所是技術驅動的加密資產交易平臺,由火幣、OKEx 等 56 家優質資本共同投資,主營幣幣、合約、OTC、期權、理財等業務,平臺上主流幣及合約交易擁有行業頂級的流動性和深度。慢霧科技是國內成立最早且國際化的區塊鏈安全公司,主要通過安全審計與防御部署服務了全球許多頭部或知名的項目。[2020/4/13]

4.Shamir'sSecretSharing:Shamir秘密共享方案,作用就是將種子分割為多個分片,恢復錢包時,需要使用指定數量的分片才能恢復

Encryption

1.多處備份

?a.Cloud:Google/Apple/微軟,結合GPG/1Password等

?b.Paper:將助記詞抄寫在紙卡片上

?c.Device:電腦/iPad/iPhone/移動硬盤/U盤等

?d.Brain:注意腦記風險

2.?加密

聲音 | 慢霧科技余弦:Blockchain.info等錢包的安全性不值得相信:巨鯨zhoufujian在被黑客盜走價值2.6億元的加密資產后,慢霧科技創始人余弦表示,有一些錢包的安全性不值得相信,例如IOTA的Trinity錢包、BTC的Electrum錢包、支持BTC/BCH的CoPay錢包、Blockchain.com/.info在線錢包、MyEtherWallet在線錢包等。[2020/2/22]

a.?一定要做到定期不定期地驗證

?b.?采用部分驗證也可以

?c.?注意驗證過程的機密性及安全性

AML

1.鏈上凍結

2.?選擇口碑好的平臺、個人等作為你的交易對手

ColdWallet

1.?冷錢包使用方法

?a.接收加密貨幣:配合觀察錢包,如imToken、TrustWallet等

?b.發送加密貨幣:QRCode/USB/Bluetooth

2.冷錢包風險點

?a.所見即所簽這種用戶交互安全機制缺失

?b.?用戶的有關知識背景缺失

Hot?Wallet

慢霧科技公告慢霧科技:Redis挖礦蠕蟲爆發,中國占比總感染是88%:據慢霧科技公告,近期Redis挖礦蠕蟲爆發,目前中國占比總感染是88%。該蠕蟲通過6379端口直接打crontab,成功后先自行關閉Linux的部分安全策略和其他競爭蠕蟲,并清理痕跡,并在內外網進行傳播。其挖礦算法為CryptoNight,支持此類算法的有門羅幣(XMR),字節幣(BCN)等。[2018/5/21]

1.與?DApp交互

2.?惡意代碼或后門作惡方式

?a.錢包運行時,惡意代碼將相關助記詞直接打包上傳到黑客控制的服務端里

?b.錢包運行時,當用戶發起轉賬,在錢包后臺偷偷替換目標地址及金額等信息,此時用戶很難察覺

?c.破壞助記詞生成有關的隨機數熵值,讓這些助記詞比較容易被破解

DeFi安全到底是什么

1.智能合約安全

a.權限過大:增加時間鎖/將admin多簽等

?b.?逐步學會閱讀安全審計報告

2.區塊鏈基礎安全:共識賬本安全/虛擬機安全等

3.前端安全

a.內部作惡:前端頁面里的目標智能合約地址被替換/植入授權釣魚腳本

?b.第三方作惡:供應鏈作惡/前端頁面引入的第三方遠程JavaScript文件作惡或被黑

4.通信安全

a.?HTTPS安全

?b.舉例:MyEtherWallet安全事件

?c.安全解決方案:HSTS

5.人性安全:如項目方內部作惡

6.金融安全:幣價、年化收益等

7.合規安全

??a.AML/KYC/制裁地區限制/證券風險有關的內容等

b.?AOPP

NFT安全

1.?Metadata?安全

2.簽名安全

小心簽名/反常識簽名

1.?所見即所簽

2.?OpenSea?數起知名NFT被盜事件

?a.用戶在OpenSea授權了NFT

?b.黑客釣魚拿到用戶的相關簽名

3.?取消授權

a.?TokenApprovals

?b.?Revoke.cash

?c.?APPROVED.zone

?d.?Rabby擴展錢包

4.?反常識真實案例

一些高級攻擊方式

1.針對性釣魚

2.廣撒網釣魚

3.?結合XSS、CSRF、ReverseProxy等技巧

操作系統

1.重視系統安全更新,有安全更新就立即行動

2.?不亂下程序

3.?設置好磁盤加密保護

手機

1.?重視系統的安全更新及下載

2.?不要越獄、Root破解,除非你玩安全研究,否則沒必要

3.?不要從非官方市場下載App

4.官方的云同步使用的前提:賬號安全方面你確信沒問題

網絡

1.網絡方面,盡量選擇安全的,比如不亂連陌生Wi-Fi

2.選擇口碑好的路由器、運營商,切勿貪圖小便宜,并祈禱路由器、運營商層面不會有高級作惡行為出現

瀏覽器

1.?及時更新

2.?擴展如無必要就不安裝

3.?瀏覽器可以多個共存

4.使用隱私保護的知名擴展

密碼管理器

1.?別忘記你的主密碼

2.?確保你的郵箱安全

3.?1Password/Bitwarden等

雙因素認證

GoogleAuthenticator/MicrosoftAuthenticator等

科學上網

科學上網、安全上網

郵箱

1.安全且知名:Gmail/Outlook/QQ郵箱等

2.隱私性:ProtonMail/Tutanota

SIM卡

1.?SIM卡攻擊

2.?防御建議

?a.啟用知名的2FA工具

?b.?設置PIN碼

GPG

1.區分

?a.PGP是PrettyGoodPrivacy的縮寫,是商用加密軟件,發布30?多年了,現在在賽門鐵克麾下

?b.OpenPGP是一種加密標準,衍生自PGP

?c.GPG,全稱GnuPG,基于OpenPGP標準的開源加密軟件

隔離環境

1.?具備零信任安全法則思維

2.?良好的隔離習慣

3.?隱私不是拿來保護的,隱私是拿來控制的

Telegram

Discord

來自“官方”的釣魚

Web3隱私問題

盜幣、惡意挖礦、勒索病、暗網交易、木馬的C2中轉、洗錢、資金盤、等

SlowMistHacked區塊鏈被黑檔案庫

止損第一

保護好現場

分析原因

追蹤溯源

結案

CodeIsLaw

NotYourKeys,NotYourCoins

InBlockchainWeTrust

密碼學安全就是安全

被黑很丟人

立即更新

中本聰。最后,感謝貢獻者們,這個列表會持續更新,有任何的想法,希望你聯系我們。

導讀到此,完整版本,歡迎閱讀并分享:)

Tags:區塊鏈加密貨幣BTCWALL區塊鏈運用的技術中不包括哪一項a共識算法加密貨幣市場分析報告btc官網商城blockchain.infowallet恢復

TUSD
平安銀行電話服務發揮關鍵作用 支持實體經濟發展_區塊鏈:人工智能

2022年,中國經濟增長總目標設定在5.5%,“穩增長”依然是今年經濟政策的總基調。對于經濟發展活水的金融業而言,加強金融對實體經濟的有效支持,自然成為主要任務與目標.

1900/1/1 0:00:00
Join the Primebox x Easter Eggs-travaganza: $1,000,000 prize pool, NFTs and more!

DearValuedUsers,Let’skickofftheEasterholidaysinaneggs-citingwaywithHuobiGlobal!FromApr17.

1900/1/1 0:00:00
Huobi Global will be launching Prudent for XTZ ZIL ALGO ONE WAVES_Huobi:TER

DearValuedUsers,HuobiGlobalwillbelaunchingPrudentfor?XTZZILALGOONEWAVES.Makeyourdepositstoearnint.

1900/1/1 0:00:00
IOSG Ventures:預言機的黃金時代要來了嗎?_EFI:APH

原文作者:Bryan 原文來源:IOSGVentureDeFi的應用:PriceFeeds并不簡單在DeFi中被廣泛采用的預言機主要有兩種.

1900/1/1 0:00:00
關于MSHOT各項功能即將開放的公告_ART:MSHOT幣

親愛的BitMart用戶:?MSHOT的智能合約升級已完成。各項功能開放時間請參照:充值功能:2022年4月12日凌晨03:00交易功能:2022年4月12日上午06:00提現功能:2022年4.

1900/1/1 0:00:00
Hotcoin關於恢復Vechain(VET)充提業務的公告_TCOIN:hotcoin熱幣交易所怎么下載

尊敬的用戶:Vechain節點升級已完成,Hotcoin現已恢復Vechain的充值、提現業務.

1900/1/1 0:00:00
ads