編者按:LUNA、3AC、FTX此前的加密巨人都相繼倒下,與之相關的參與各方都損失慘重。無數案例都在告訴我們:Web3存在黑暗森林,始終有人會作惡。此時的我們,等不到監管的明確,更不能指望陌生人的善意,唯一可行的辦法是提升自身認知,進行自救。本文為舊文重發,是慢霧創始人余弦編撰的《區塊鏈黑暗森林自救手冊》導讀部分。
區塊鏈是個偉大的發明,它帶來了某些生產關系的變革,讓「信任」這種寶貴的東西得以部分解決。但,現實是殘酷的,人們對區塊鏈的理解會存在許多誤區。這些誤區導致了壞人輕易鉆了空子,頻繁將黑手伸進了人們的錢包,造成了大量的資金損失。這早已是黑暗森林。
基于此,慢霧科技創始人余弦傾力輸出——區塊鏈黑暗森林自救手冊。
本手冊(當前 V1 Beta)大概 3 萬 7 千字,由于篇幅限制,這里僅羅列手冊中的關鍵目錄結構,也算是一種導讀。完整內容可見:
https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook
我們選擇 GitHub 平臺作為本手冊的首要發布位置是因為:方便協同及看到歷史更新記錄。你可以 Watch、Fork 及 Star,當然我們更希望你能參與貢獻。
好,導讀開始...
如果你持有加密貨幣或對這個世界有興趣,未來可能會持有加密貨幣,那么這本手冊值得你反復閱讀并謹慎實踐。本手冊的閱讀需要一定的知識背景,希望初學者不必恐懼這些知識壁壘,因為其中大量是可以“玩”出來的。
在區塊鏈黑暗森林世界里,首先牢記下面這兩大安全法則:
慢霧創始人:網傳MetaMask發生大規模被盜事件并不屬實:4月18日消息,針對社區傳言 MetaMask 不安全的言論,慢霧創始人余弦表示,今日 MetaMask 錢包開發人員 Taylor Monahan 的一條盜幣攻擊長推文(thread)在加密社區廣泛傳播,但實際其并未特指是 MetaMask 存在漏洞導致,唯一共同點是在 2014 年-2022 年期間創建密鑰。有人沒仔細看 Taylor 這個 thread,開始傳播 MetaMask 不安全的謠言,煽風點火讓大家棄用 MetaMask。可見大家是多么的容易恐慌,也有人在帶節奏,平時養好安全習慣才是關鍵。[2023/4/18 14:11:29]
零信任:簡單來說就是保持懷疑,而且是始終保持懷疑。
持續驗證:你要相信,你就必須有能力去驗證你懷疑的點,并把這種能力養成習慣。
關鍵內容
一、創建錢包
Download
1.找到正確的官網
a. Google
b. 行業知名收錄,如 CoinMarketCap
c. 多問一些比較信任的人
2.下載安裝應用
a.PC 錢包:建議做下是否篡改的校驗工作(文件一致性校驗)
b. 瀏覽器擴展錢包:注意目標擴展下載頁面里的用戶數及評分情況
慢霧AML與Go+ Security將針對惡意地址庫數據方面進行合作:金色財經消息,近日,慢霧AML與Go+ Security達成合作,雙方將針對惡意地址庫數據方面進行合作。
根據合作協議,慢霧將向Go+ Security提供AML惡意地址庫中 EVM 代幣的惡意地址數據(主要在 ETH 和 BNB 網絡上),Go+ Security的惡意地址數據也會同步到慢霧的地址庫中。同時,若是惡意地址數據來自慢霧,Go+ Security 會在接口響應中體現數據來源。
Go+ Security作為Web3的“安全數據層”,通過提供開放、無需許可、用戶驅動的安全服務,努力打造“每個人的安全工具”。Go+ Security安全引擎覆蓋多條主鏈,針對加密項目和普通用戶進行多維度風險檢測,打造更安全的加密生態。[2022/6/8 4:11:22]
c. 移動端錢包:判斷方式類似擴展錢包
d. 硬件錢包:從官網源頭的引導下購買,留意是否存在被異動手腳的情況
e. 網頁錢包:不建議使用這種在線的錢包
Mnemonic Phrase
創建錢包時,助記詞的出現是非常敏感的,請留意你身邊沒有人、攝像頭等一切可以導致偷窺發生的情況。同時留意下助記詞是不是足夠隨機出現
Keyless
1. Keyless 兩大場景(此處區分是為了方便講解)
a.Custody,即托管方式。比如中心化交易所、錢包,用戶只需注冊賬號,并不擁有私鑰,安全完全依托于這些中心化平臺
b. Non-Custodial,即非托管方式。用戶唯一掌握類似私鑰的權力,但卻不是直接的加密貨幣私鑰(或助記詞)
聲音 | 慢霧區:Electrum偽造升級提示的釣魚攻擊盜竊至少200個BTC:據慢霧區消息,Electrum偽造升級提示的釣魚攻擊已盜竊至少 200 枚BTC,此次攻擊單靠升級 Electrum無法避免,需要整個生態服務都做對應的改動(因為 Electrum 這個客戶端并不是全節點,然后在交易廣播上和對應的服務端有消息通訊,攻擊者也可以部署惡意服務端)。慢霧區提醒用戶,Electrum這類釣魚攻擊需要長期警惕。慢霧區此前發布Electrum釣魚更新事件預警,對Electrum錢包進行攻擊的黑客利用Electrum的軟件異常構造惡意的軟件更新提示,誘導用戶更新下載惡意軟件使用。[2019/1/4]
2.MPC 為主的 Keyless 方案的優缺點
二、備份錢包
助記詞/私鑰類型
1. 明文:12 個英文單詞為主
2. 帶密碼:助記詞帶上密碼后會得到不一樣的種子,這個種子就是之后拿來派生出一系列私鑰、公鑰及對應地址
3. 多簽:可以理解為目標資金需要多個人簽名授權才可以使用,多簽很靈活,可以設置審批策略
4. Shamir's Secret Sharing:Shamir 秘密共享方案,作用就是將種子分割為多個分片,恢復錢包時,需要使用指定數量的分片才能恢復
Encryption
1. 多處備份
a. Cloud:Google/Apple/微軟,結合 GPG/1Password 等
b. Paper:將助記詞(明文、SSS 等形式的)抄寫在紙卡片上
金色獨家 慢霧安全團隊:有至少6種途徑導致 EOS 私鑰被盜:針對 EOS 私鑰被盜事件,金色財經特邀請慢霧安全團隊對此事進行解讀,慢霧安全團隊表示:EOS 投票關鍵期頻發私鑰被盜問題,慢霧安全團隊綜合 Joinsec Red Team 攻防經驗及地下黑客威脅情報分析,可能的被盜途徑有:
1、使用了不安全的映射工具,映射使用的公私鑰是工具開發者(攻擊者)控制的,當 EOS 主網上線后,攻擊者隨即 updateauth 更新公私鑰;
2、映射工具在網絡傳輸時沒有使用 SSL 加密,攻擊者通過中間人的方式替換了映射使用的公私鑰;
3、使用了不安全的 EOS 超級節點投票工具,工具開發者(攻擊者)竊取了 EOS 私鑰;
4、在不安全的 EOS “主網”、錢包上導入了私鑰,攻擊者竊取了 EOS 私鑰;
5、用戶存儲私鑰的媒介不安全,例如郵箱、備忘錄等,可能存在弱口令被攻擊者登錄竊取到私鑰;
6、在手機、電腦上復制私鑰時,被惡意軟件竊取。
同時,慢霧安全團隊提醒用戶自查資產,可使用公鑰(EOS開頭的字符串)在 https://eosflare.io/ 查詢關聯的賬號是否無誤,余額是否準確。如果發現異常并確認是被盜了,可參考 EOS 佳能社區 Bean 整理的文檔進行操作 https://bihu.com/article/654254[2018/6/14]
c. Device:電腦/iPad/iPhone/移動硬盤/U 盤等
d. Brain:注意腦記風險(記憶/意外)
2.加密
a.一定要做到定期不定期地驗證
b.采用部分驗證也可以
慢霧安全團隊發布 BEC智能合約無限轉幣漏洞分析及預警:據了解,4月22日13時左右,BEC出現異常交易。慢霧安全團隊第一時間分析發現,BEC智能合約(https://etherscan.io/address/0xc5d105e63711398af9bbff092d4b6769c82f793d)中的batchTransfer批量轉賬函數存在漏洞,攻擊者可傳入很大的value數值,使cnt*value后超過unit256的最大值使其溢出導致amount變為0。
通過此次分析,慢霧安全團隊建議智能合約開發者在批量轉賬時嚴格校驗轉出總額amount是否大于0,及在for循環內執行balances[msg.sender].sub(value)操作。
這類漏洞屬于不可逆的破壞型漏洞,慢霧安全團隊建議其他智能合約發布方及時自查。[2018/4/23]
c. 注意驗證過程的機密性及安全性
三、使用錢包
AML
1. 鏈上凍結
2.選擇口碑好的平臺、個人等作為你的交易對手
Cold Wallet
1.冷錢包使用方法
a. 接收加密貨幣:配合觀察錢包,如 imToken、Trust Wallet 等
b. 發送加密貨幣:QRCode/USB/Bluetooth
2. 冷錢包風險點
a. 所見即所簽這種用戶交互安全機制缺失
b.用戶的有關知識背景缺失
HotWallet
1. 與DApp(DeFi、NFT、GameFi 等)交互
2.惡意代碼或后門作惡方式
a. 錢包運行時,惡意代碼將相關助記詞直接打包上傳到黑客控制的服務端里
b. 錢包運行時,當用戶發起轉賬,在錢包后臺偷偷替換目標地址及金額等信息,此時用戶很難察覺
c. 破壞助記詞生成有關的隨機數熵值,讓這些助記詞比較容易被破解
DeFi 安全到底是什么
1. 智能合約安全
a. 權限過大:增加時間鎖(Timelock)/將 admin 多簽等
b.逐步學會閱讀安全審計報告
2. 區塊鏈基礎安全:共識賬本安全/虛擬機安全等
3. 前端安全
a. 內部作惡:前端頁面里的目標智能合約地址被替換/植入授權釣魚腳本
b. 第三方作惡:供應鏈作惡/前端頁面引入的第三方遠程 JavaScript 文件作惡或被黑
4. 通信安全
a.HTTPS 安全
b. 舉例:MyEtherWallet 安全事件
c. 安全解決方案:HSTS
5. 人性安全:如項目方內部作惡
6. 金融安全:幣價、年化收益等
7. 合規安全
a. AML/KYC/制裁地區限制/證券風險有關的內容等
b.AOPP
NFT 安全
1.Metadata安全
2. 簽名安全
小心簽名/反常識簽名
1.所見即所簽
2.OpenSea數起知名 NFT 被盜事件
a. 用戶在 OpenSea 授權了 NFT(掛單)
b. 黑客釣魚拿到用戶的相關簽名
3.取消授權(approve)
a.Token Approvals
b.Revoke.cash
c.APPROVED.zone
d.Rabby 擴展錢包
4.反常識真實案例
一些高級攻擊方式
1. 針對性釣魚
2. 廣撒網釣魚
3.結合 XSS、CSRF、Reverse Proxy 等技巧(如 Cloudflare 中間人攻擊)
四、傳統隱私保護
操作系統
1. 重視系統安全更新,有安全更新就立即行動
2.不亂下程序
3.設置好磁盤加密保護
手機
1.重視系統的安全更新及下載
2.不要越獄、Root 破解,除非你玩安全研究,否則沒必要
3.不要從非官方市場下載 App
4. 官方的云同步使用的前提:賬號安全方面你確信沒問題
網絡
1. 網絡方面,盡量選擇安全的,比如不亂連陌生 Wi-Fi
2. 選擇口碑好的路由器、運營商,切勿貪圖小便宜,并祈禱路由器、運營商層面不會有高級作惡行為出現
1.及時更新
2.擴展如無必要就不安裝
3.瀏覽器可以多個共存
4. 使用隱私保護的知名擴展
密碼管理器
1.別忘記你的主密碼
2.確保你的郵箱安全
3.1Password/Bitwarden 等
雙因素認證
Google Authenticator/Microsoft Authenticator 等
科學上網
科學上網、安全上網
1. 安全且知名:Gmail/Outlook/QQ 郵箱等
2. 隱私性:ProtonMail/Tutanota
SIM 卡
1.SIM 卡攻擊
2.防御建議
a. 啟用知名的 2FA 工具
b.設置 PIN 碼
1. 區分
a. PGP 是 Pretty Good Privacy 的縮寫,是商用加密軟件,發布 30多年了,現在在賽門鐵克麾下
b. OpenPGP 是一種加密標準,衍生自 PGP
c. GPG,全稱 GnuPG,基于 OpenPGP 標準的開源加密軟件
隔離環境
1.具備零信任安全法則思維
2.良好的隔離習慣
3.隱私不是拿來保護的,隱私是拿來控制的
五、人性安全
Telegram
Discord
來自“官方”的釣魚
Web3 隱私問題
六、區塊鏈作惡方式
盜幣、惡意挖礦、勒索病、暗網交易、木馬的 C2 中轉、洗錢、資金盤、等
SlowMist Hacked 區塊鏈被黑檔案庫
七、被盜了怎么辦
止損第一
保護好現場
分析原因
追蹤溯源
結案
八、誤區
Code Is Law
Not Your Keys, Not Your Coins
In Blockchain We Trust
密碼學安全就是安全
被黑很丟人
立即更新
當你閱讀完本手冊后,一定需要實踐起來、熟練起來、舉一反三。如果之后你有自己的發現或經驗,希望你也能貢獻出來。如果你覺得敏感,可以適當脫敏,匿名也行。其次,致謝安全與隱私有關的立法與執法在全球范圍內的成熟;各代當之無愧的密碼學家、工程師、正義黑客及一切參與創造讓這個世界更好的人們的努力,其中一位是中本聰。最后,感謝貢獻者們,這個列表會持續更新,有任何的想法,希望你聯系我們。
慢霧科技
個人專欄
閱讀更多
金色早8點
比推 Bitpush News
Foresight News
PANews
Delphi Digital
區塊鏈騎士
深潮TechFlow
鏈捕手
區塊律動BlockBeats
DeFi之道
R3PO深度調研了當前的Web3錢包賽道,不僅從行業研究者的角度對錢包市場進行仰觀俯察,也回歸到用戶角度來關注錢包本身的使用體驗.
1900/1/1 0:00:0010月18日凌晨,新一代公鏈Aptos官宣上線。隨著Aptos的官宣,市面上的主流大所第一時間發布公告開啟沖提,并在19日開放交易.
1900/1/1 0:00:00或許Coindesk沒能想到,自己的一篇報道在帶崩FTX后,也讓這把火燒到了自己母公司Digital Currency Group(DCG)身上.
1900/1/1 0:00:00作者:Chloe 蘇富比今年2月原先要拍賣一組被分割成104份的CryptoPunks NFT,估價高達2-3千萬美元,但后來買家突然反悔導致這場交易失敗.
1900/1/1 0:00:00作者:Leno GameFi已經成為繼DeFi之后的又一大行業熱詞,那么該怎么理解GameFi概念、GameFi又具有什么優勢呢?GameFi的爆火是區塊鏈在項目創新和概念創新方面具有先天優勢的.
1900/1/1 0:00:00作者:Leo Lau 比特幣礦工現在處境艱難,尤其是杠桿礦工。最近的 FTX 和 Alameda 暴雷導致整個加密貨幣市場下滑。比特幣價格從 2 萬美元下跌了約 20%.
1900/1/1 0:00:00