編者按:LUNA、3AC、FTX此前的加密巨人都相繼倒下,與之相關的參與各方都損失慘重。無數案例都在告訴我們:Web3存在黑暗森林,始終有人會作惡。此時的我們,等不到監管的明確,更不能指望陌生人的善意,唯一可行的辦法是提升自身認知,進行自救。本文為舊文重發,是慢霧創始人余弦編撰的《區塊鏈黑暗森林自救手冊》導讀部分。
前言
區塊鏈是個偉大的發明,它帶來了某些生產關系的變革,讓「信任」這種寶貴的東西得以部分解決。但,現實是殘酷的,人們對區塊鏈的理解會存在許多誤區。這些誤區導致了壞人輕易鉆了空子,頻繁將黑手伸進了人們的錢包,造成了大量的資金損失。這早已是黑暗森林。
基于此,慢霧科技創始人余弦傾力輸出——區塊鏈黑暗森林自救手冊。
本手冊大概3萬7千字,由于篇幅限制,這里僅羅列手冊中的關鍵目錄結構,也算是一種導讀。完整內容可見:
https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook
我們選擇GitHub平臺作為本手冊的首要發布位置是因為:方便協同及看到歷史更新記錄。你可以Watch、Fork及Star,當然我們更希望你能參與貢獻。
好,導讀開始...
引子
如果你持有加密貨幣或對這個世界有興趣,未來可能會持有加密貨幣,那么這本手冊值得你反復閱讀并謹慎實踐。本手冊的閱讀需要一定的知識背景,希望初學者不必恐懼這些知識壁壘,因為其中大量是可以“玩”出來的。
慢霧:Uwerx遭受攻擊因為接收地址會多銷毀掉from地址轉賬金額1%的代幣:金色財經報道,Uwerx遭到攻擊,損失約174.78枚ETH,據慢霧分析,根本原因是當接收地址為 uniswapPoolAddress(0x01)時,將會多burn掉from地址的轉賬金額1%的代幣,因此攻擊者利用uniswapv2池的skim功能消耗大量WERX代幣,然后調用sync函數惡意抬高代幣價格,最后反向兌換手中剩余的WERX為ETH以獲得利潤。據MistTrack分析,黑客初始資金來自Tornadocash轉入的10 BNB,接著將10 BNB換成1.3 ETH,并通過Socket跨鏈到以太坊。目前,被盜資金仍停留在黑客地址0x605...Ce4。[2023/8/2 16:14:10]
在區塊鏈黑暗森林世界里,首先牢記下面這兩大安全法則:
零信任:簡單來說就是保持懷疑,而且是始終保持懷疑。
持續驗證:你要相信,你就必須有能力去驗證你懷疑的點,并把這種能力養成習慣。
關鍵內容
一、創建錢包
Download
1.找到正確的官網
a.Google
b.行業知名收錄,如CoinMarketCap
慢霧創始人發布MetaMask瀏覽器插件失效解決法方案:2月16日,慢霧創始人在回復社區成員問題時,分享 MetaMask 瀏覽器插件無法啟動解決法方案,在沒有備份過助記詞/私鑰,同時重啟插件/電腦均無法解決的情況下,可在電腦本地全局搜索 nkbihfbeogaeaoehlefnkodbefgpgknn,這是 MM 擴展 id,如這個目錄下:
C:\\Users\\[User]\\AppData\\Local\\Google\\Chrome\\User Data\\Default\\Local Extension Settings
kbihfbeogaeaoehlefnkodbefgpgknn 找到 ldb/log 這些文件,在這些文件里找到如圖目標內容。
后用 metamask.github.io/vault-decryptor/解開這段目標內容,Password 就是目標 MetaMask 擴展的密碼。
若 MM 的任意擴展頁面可以打開,比如:chrome-extension://nkbihfbeogaeaoehlefnkodbefgpgknn/home.html,則用下面的方式也有得到待解密的內容:
chrome.storage.local.get('data', result => {
var vault = http://result.data.KeyringController.vault
console.log(vault)
})[2023/2/16 12:10:14]
c.多問一些比較信任的人
defil智能合約已通過慢霧科技安全審計:據官方消息,Filecoin去中心化借貸平臺defil智能合約已通過慢霧科技SlowMist的安全審計。此次審計的智能合約包括礦工算力質押mFIL合約、以太坊映射eFIL合約、用戶權益質押StakingDFL合約等多項均全部通過,投資者可至慢霧科技官網slowmist輸入編號:NO. 0X002011230001 查詢。
defil是基于Ethereum的Filecoin去中心化借貸協議。截止目前,平臺已存入超過160萬枚FIL,資產存入量約2.4億美元,用戶參與存FIL可獲取利息收益以及平臺治理通證DFL,DFL可繼續進行Staking挖礦.[2021/5/19 22:18:35]
2.下載安裝應用
a.PC錢包:建議做下是否篡改的校驗工作
b.瀏覽器擴展錢包:注意目標擴展下載頁面里的用戶數及評分情況
c.移動端錢包:判斷方式類似擴展錢包
d.硬件錢包:從官網源頭的引導下購買,留意是否存在被異動手腳的情況
e.網頁錢包:不建議使用這種在線的錢包
MnemonicPhrase
創建錢包時,助記詞的出現是非常敏感的,請留意你身邊沒有人、攝像頭等一切可以導致偷窺發生的情況。同時留意下助記詞是不是足夠隨機出現
Keyless
1.Keyless兩大場景
慢霧:Spartan Protocol被黑簡析:據慢霧區情報,幣安智能鏈項目 Spartan Protocol 被黑,損失金額約 3000 萬美元,慢霧安全團隊第一時間介入分析,并以簡訊的形式分享給大家參考:
1. 攻擊者通過閃電貸先從 PancakeSwap 中借出 WBNB;
2. 在 WBNB-SPT1 的池子中,先使用借來的一部分 WBNB 不斷的通過 swap 兌換成 SPT1,導致兌換池中產生巨大滑點;
3. 攻擊者將持有的 WBNB 與 SPT1 向 WBNB-SPT1 池子添加流動性獲得 LP 憑證,但是在添加流動性的時候存在一個滑點修正機制,在添加流動性時將對池的滑點進行修正,但沒有限制最高可修正的滑點大小,此時添加流動性,由于滑點修正機制,獲得的 LP 數量并不是一個正常的值;
4. 隨后繼續進行 swap 操作將 WBNB 兌換成 SPT1,此時池子中的 WBNB 增多 SPT1 減少;
5. swap 之后攻擊者將持有的 WBNB 和 SPT1 都轉移給 WBNB-SPT1 池子,然后進行移除流動性操作;
6. 在移除流動性時會通過池子中實時的代幣數量來計算用戶的 LP 可獲得多少對應的代幣,由于步驟 5,此時會獲得比添加流動性時更多的代幣;
7. 在移除流動性之后會更新池子中的 baseAmount 與 tokenAmount,由于移除流動性時沒有和添加流動性一樣存在滑點修正機制,移除流動性后兩種代幣的數量和合約記錄的代幣數量會存在一定的差值;
8. 因此在與實際有差值的情況下還能再次添加流動性獲得 LP,此后攻擊者只要再次移除流動性就能再次獲得對應的兩種代幣;
9. 之后攻擊者只需再將 SPT1 代幣兌換成 WBNB,最后即可獲得更多的 WBNB。詳情見原文鏈接。[2021/5/2 21:17:59]
a.Custody,即托管方式。比如中心化交易所、錢包,用戶只需注冊賬號,并不擁有私鑰,安全完全依托于這些中心化平臺
聲音 | 慢霧:采用鏈上隨機數方案的 DApp 需緊急暫停:根據近期針對EOS DApp遭遇“交易排擠攻擊”的持續性威脅情報監測:EOS.WIN、FarmEOS、影骰、LuckBet、GameBet、Fishing、EOSDice、STACK DICE、ggeos等知名DAPP陸續被攻破,該攻擊團伙(floatingsnow等)的攻擊行為還在持續。在EOS主網從根本上解決這類缺陷之前,慢霧建議所有采用鏈上隨機數方案的DAPP緊急暫停并做好風控機制升級。為了安全起見,強烈建議所有競技類DAPP采用EOS官方很早就推薦的鏈下隨機種子的隨機數生成方案[2019/1/16]
b.Non-Custodial,即非托管方式。用戶唯一掌握類似私鑰的權力,但卻不是直接的加密貨幣私鑰
2.MPC為主的Keyless方案的優缺點
二、備份錢包
助記詞/私鑰類型
1.明文:12個英文單詞為主
2.帶密碼:助記詞帶上密碼后會得到不一樣的種子,這個種子就是之后拿來派生出一系列私鑰、公鑰及對應地址
3.多簽:可以理解為目標資金需要多個人簽名授權才可以使用,多簽很靈活,可以設置審批策略
4.Shamir'sSecretSharing:Shamir秘密共享方案,作用就是將種子分割為多個分片,恢復錢包時,需要使用指定數量的分片才能恢復
Encryption
1.多處備份
a.Cloud:Google/Apple/微軟,結合GPG/1Password等
b.Paper:將助記詞抄寫在紙卡片上
c.Device:電腦/iPad/iPhone/移動硬盤/U盤等
d.Brain:注意腦記風險
2.加密
a.一定要做到定期不定期地驗證
b.采用部分驗證也可以
c.注意驗證過程的機密性及安全性
三、使用錢包
AML
1.鏈上凍結
2.選擇口碑好的平臺、個人等作為你的交易對手
ColdWallet
1.冷錢包使用方法
a.接收加密貨幣:配合觀察錢包,如imToken、TrustWallet等
b.發送加密貨幣:QRCode/USB/Bluetooth
2.冷錢包風險點
a.所見即所簽這種用戶交互安全機制缺失
b.用戶的有關知識背景缺失
HotWallet
1.與DApp交互
2.惡意代碼或后門作惡方式
a.錢包運行時,惡意代碼將相關助記詞直接打包上傳到黑客控制的服務端里
b.錢包運行時,當用戶發起轉賬,在錢包后臺偷偷替換目標地址及金額等信息,此時用戶很難察覺
c.破壞助記詞生成有關的隨機數熵值,讓這些助記詞比較容易被破解
DeFi安全到底是什么
1.智能合約安全
a.權限過大:增加時間鎖/將admin多簽等
b.逐步學會閱讀安全審計報告
2.區塊鏈基礎安全:共識賬本安全/虛擬機安全等
3.前端安全
a.內部作惡:前端頁面里的目標智能合約地址被替換/植入授權釣魚腳本
b.第三方作惡:供應鏈作惡/前端頁面引入的第三方遠程JavaScript文件作惡或被黑
4.通信安全
a.HTTPS安全
b.舉例:MyEtherWallet安全事件
c.安全解決方案:HSTS
5.人性安全:如項目方內部作惡
6.金融安全:幣價、年化收益等
7.合規安全
a.AML/KYC/制裁地區限制/證券風險有關的內容等
b.AOPP
NFT安全
1.Metadata安全
2.簽名安全
小心簽名/反常識簽名
1.所見即所簽
2.OpenSea數起知名NFT被盜事件
a.用戶在OpenSea授權了NFT
b.黑客釣魚拿到用戶的相關簽名
3.取消授權
a.TokenApprovals
b.Revoke.cash
c.APPROVED.zone
d.Rabby擴展錢包
4.反常識真實案例
一些高級攻擊方式
1.針對性釣魚
2.廣撒網釣魚
3.結合XSS、CSRF、ReverseProxy等技巧
四、傳統隱私保護
操作系統
1.重視系統安全更新,有安全更新就立即行動
2.不亂下程序
3.設置好磁盤加密保護
手機
1.重視系統的安全更新及下載
2.不要越獄、Root破解,除非你玩安全研究,否則沒必要
3.不要從非官方市場下載App
4.官方的云同步使用的前提:賬號安全方面你確信沒問題
網絡
1.網絡方面,盡量選擇安全的,比如不亂連陌生Wi-Fi
2.選擇口碑好的路由器、運營商,切勿貪圖小便宜,并祈禱路由器、運營商層面不會有高級作惡行為出現
瀏覽器
1.及時更新
2.擴展如無必要就不安裝
3.瀏覽器可以多個共存
4.使用隱私保護的知名擴展
密碼管理器
1.別忘記你的主密碼
2.確保你的郵箱安全
3.1Password/Bitwarden等
雙因素認證
GoogleAuthenticator/MicrosoftAuthenticator等
科學上網
科學上網、安全上網
郵箱
1.安全且知名:Gmail/Outlook/QQ郵箱等
2.隱私性:ProtonMail/Tutanota
SIM卡
1.SIM卡攻擊
2.防御建議
a.啟用知名的2FA工具
b.設置PIN碼
GPG
1.區分
a.PGP是PrettyGoodPrivacy的縮寫,是商用加密軟件,發布30多年了,現在在賽門鐵克麾下
b.OpenPGP是一種加密標準,衍生自PGP
c.GPG,全稱GnuPG,基于OpenPGP標準的開源加密軟件
隔離環境
1.具備零信任安全法則思維
2.良好的隔離習慣
3.隱私不是拿來保護的,隱私是拿來控制的
五、人性安全
Telegram
Discord
來自“官方”的釣魚
Web3隱私問題
六、區塊鏈作惡方式
盜幣、惡意挖礦、勒索病、暗網交易、木馬的C2中轉、洗錢、資金盤、等
SlowMistHacked區塊鏈被黑檔案庫
七、被盜了怎么辦
止損第一
保護好現場
分析原因
追蹤溯源
結案
八、誤區
CodeIsLaw
NotYourKeys,NotYourCoins
InBlockchainWeTrust
密碼學安全就是安全
被黑很丟人
立即更新
總結
當你閱讀完本手冊后,一定需要實踐起來、熟練起來、舉一反三。如果之后你有自己的發現或經驗,希望你也能貢獻出來。如果你覺得敏感,可以適當脫敏,匿名也行。其次,致謝安全與隱私有關的立法與執法在全球范圍內的成熟;各代當之無愧的密碼學家、工程師、正義黑客及一切參與創造讓這個世界更好的人們的努力,其中一位是中本聰。最后,感謝貢獻者們,這個列表會持續更新,有任何的想法,希望你聯系我們。
原文標題:《Web2.0實用商業項目Web3.0》 原文作者:追風Lab Web2指的是眾所周知的互聯網版本。一個在互聯網公司掌控下提供服務來交換個人數據的互聯網.
1900/1/1 0:00:00文/Bloomberg,譯/金色財經xiaozouFTX的關鍵加密貨幣資產價值迅速暴跌,加之在其申請破產后出現未經授權的資金提款,這家盛極一時的交易所的客戶能否收回其存款的大半?機會很是渺茫.
1900/1/1 0:00:00撰文:Cookie,律動BlockBeats有人說,Blur像一個「加強版本」的sudoswap,基因里寫滿了「效率」.
1900/1/1 0:00:00Fusionist引入積分拉新和藍籌NFT“挖礦”的玩法,能成為有效的熊市增長策略嗎?近日ArtGobblers通過獨有的荷蘭式拍賣發行機制,驟增的價格引發了FOMO情緒.
1900/1/1 0:00:0010月31日,香港財政司正式發布《有關香港虛擬資產發展的政策宣言》,就在香港發展蓬勃的虛擬資產行業和生態圈,闡明了港府的政策立場、監管方針及試驗計劃等.
1900/1/1 0:00:00過去48小時,一場因信任導致的“加密雷曼危機”正式爆發,整個加密貨幣行情受到影響,BTC一度跌破17000美元,ETH也跌破1300美元,而處于漩渦最中心的FTT跌超90%,接近崩盤.
1900/1/1 0:00:00