以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads
首頁 > 世界幣 > Info

區塊鏈黑暗森林自救手冊_HAI:區塊鏈

Author:

Time:1900/1/1 0:00:00

前言

區塊鏈是個偉大的發明,它帶來了某些生產關系的變革,讓「信任」這種寶貴的東西得以部分解決。但,現實是殘酷的,人們對區塊鏈的理解會存在許多誤區。這些誤區導致了壞人輕易鉆了空子,頻繁將黑手伸進了人們的錢包,造成了大量的資金損失。這早已是黑暗森林。

基于此,慢霧科技創始人余弦傾力輸出——區塊鏈黑暗森林自救手冊。

本手冊大概3萬7千字,由于篇幅限制,這里僅羅列手冊中的關鍵目錄結構,也算是一種導讀。完整內容可見:

https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook

我們選擇GitHub平臺作為本手冊的首要發布位置是因為:方便協同及看到歷史更新記錄。你可以Watch、Fork及Star,當然我們更希望你能參與貢獻。

好,導讀開始...

引子

如果你持有加密貨幣或對這個世界有興趣,未來可能會持有加密貨幣,那么這本手冊值得你反復閱讀并謹慎實踐。本手冊的閱讀需要一定的知識背景,希望初學者不必恐懼這些知識壁壘,因為其中大量是可以“玩”出來的。

在區塊鏈黑暗森林世界里,首先牢記下面這兩大安全法則:

區塊鏈游戲初創公司Star Sharks獲Binance Labs戰略投資:11月7日消息,區塊鏈游戲初創公司 Star Sharks 獲 Binance Labs 戰略投資,投資金額未披露。Star Sharks 是一款以海洋世界為背景的 3D NFT 游戲,用戶可以通過持有、繁殖、交易其鯊魚寵物 NFT 來獲取收益。[2021/11/7 6:36:07]

零信任:簡單來說就是保持懷疑,而且是始終保持懷疑。

持續驗證:你要相信,你就必須有能力去驗證你懷疑的點,并把這種能力養成習慣。

關鍵內容

創建錢包

Download

找到正確的官網

Google

行業知名收錄,如CoinMarketCap

多問一些比較信任的人

下載安裝應用

PC錢包:建議做下是否篡改的校驗工作

瀏覽器擴展錢包:注意目標擴展下載頁面里的用戶數及評分情況

移動端錢包:判斷方式類似擴展錢包

硬件錢包:從官網源頭的引導下購買,留意是否存在被異動手腳的情況

動態 | 區塊鏈初創公司SpaceChain獲得歐洲航天局(ESA)的60,000歐元資助:區塊鏈初創公司SpaceChain獲得歐洲航天局(ESA)的60,000歐元資助,用于調查其基于衛星的區塊鏈錢包系統的使用案例。據悉,這筆資助將支持SpaceChain將安全、多重簽名的分布式衛星網絡投入軌道。該公司已在太空中對經過飛行測試的區塊鏈節點進行了測試。[2019/9/18]

網頁錢包:不建議使用這種在線的錢包

MnemonicPhrase

創建錢包時,助記詞的出現是非常敏感的,請留意你身邊沒有人、攝像頭等一切可以導致偷窺發生的情況。同時留意下助記詞是不是足夠隨機出現

Keyless

Keyless兩大場景

Custody,即托管方式。比如中心化交易所、錢包,用戶只需注冊賬號,并不擁有私鑰,安全完全依托于這些中心化平臺

Non-Custodial,即非托管方式。用戶唯一掌握類似私鑰的權力,但卻不是直接的加密貨幣私鑰

MPC為主的Keyless方案的優缺點

備份錢包

助記詞/私鑰類型

明文:12個英文單詞為主

帶密碼:助記詞帶上密碼后會得到不一樣的種子,這個種子就是之后拿來派生出一系列私鑰、公鑰及對應地址

聲音 | 區塊鏈研究員:Gemini Dollar可以隨時凍結其美元掛鉤的數字貨幣:據CCN報道,區塊鏈研究員Alex Lebed在技??術出版物《Good Audience》上表示,在對Gemini Dollar(GUSD)智能合約進行代碼審查后,發現與比特幣等去中心化數字貨幣的精神和技術規范相反,GUSD包含允許其“托管人”(即 Gemini)凍結任何帳戶的條款。GUSD使用ERC20Proxy合同,讓Gemini作為托管人每48小時升級一次合同,使其擁有使所有代幣不可轉讓的權力。[2018/9/15]

多簽:可以理解為目標資金需要多個人簽名授權才可以使用,多簽很靈活,可以設置審批策略

Shamir'sSecretSharing:Shamir秘密共享方案,作用就是將種子分割為多個分片,恢復錢包時,需要使用指定數量的分片才能恢復

Encryption

多處備份

Cloud:Google/Apple/微軟,結合GPG/1Password等

Paper:將助記詞抄寫在紙卡片上

Device:電腦/iPad/iPhone/移動硬盤/U盤等

Brain:注意腦記風險

加密

一定要做到定期不定期地驗證

采用部分驗證也可以

注意驗證過程的機密性及安全性

金色財經現場報道 三點鐘發起人之一朱大衛:區塊鏈今年發展很大:金色財經現場報道,在4月3日舉辦的2018年世界區塊鏈峰會現場,三點鐘發起人之一朱大衛表示:“區塊鏈今年的發展整體來說機會還是很大的。我看這個機會大概在哪個地方?第一個特點是過去去年開始的時候,我認為它都是小眾的市場,全世界現在也就是一千到五千萬人才有這種貨幣。現場有20個人,有錢包的舉個手,不足三分之一到四分之一,就是大家都在學習區塊鏈,認知區塊鏈,并且我們做了三點鐘以后,春節回來之后發現兩千多家媒體出現了。但是大家都沒有入場,如果今天沒有數字貨幣錢包,不可能在區塊鏈這個世界入場,這是不可能的,這個點的意思是什么呢?我個人認為目前區塊鏈或者數字貨幣市場都處于初期試用者人群。”[2018/4/3]

使用錢包

AML

鏈上凍結

選擇口碑好的平臺、個人等作為你的交易對手

ColdWallet

冷錢包使用方法

接收加密貨幣:配合觀察錢包,如imToken、TrustWallet等

發送加密貨幣:QRCode/USB/Bluetooth

冷錢包風險點

所見即所簽這種用戶交互安全機制缺失

用戶的有關知識背景缺失

Hot?Wallet

與?DApp交互

菜鳥天貓啟用區塊鏈技術追溯商品信息:菜鳥與天貓國際共同宣布,已經啟用區塊鏈技術跟蹤、上傳、查證跨境進口商品的物流全鏈路信息,這些信息涵蓋了生產、運輸、通關、報檢、第三方檢驗等商品進口全流程,供消費者查詢驗證。目前已經有超過50個國家的3萬種進口商品支持基于區塊鏈技術的物流鏈路查詢。[2018/2/27]

惡意代碼或后門作惡方式

?錢包運行時,惡意代碼將相關助記詞直接打包上傳到黑客控制的服務端里

錢包運行時,當用戶發起轉賬,在錢包后臺偷偷替換目標地址及金額等信息,此時用戶很難察覺

破壞助記詞生成有關的隨機數熵值,讓這些助記詞比較容易被破解

DeFi安全到底是什么

智能合約安全

權限過大:增加時間鎖/將admin多簽等

逐步學會閱讀安全審計報告

區塊鏈基礎安全:共識賬本安全/虛擬機安全等

前端安全

內部作惡:前端頁面里的目標智能合約地址被替換/植入授權釣魚腳本

第三方作惡:供應鏈作惡/前端頁面引入的第三方遠程JavaScript文件作惡或被黑

通信安全

HTTPS安全

舉例:MyEtherWallet安全事件

安全解決方案:HSTS

人性安全:如項目方內部作惡

金融安全:幣價、年化收益等

合規安全

AML/KYC/制裁地區限制/證券風險有關的內容等

AOPP

NFT安全

Metadata?安全

簽名安全

小心簽名/反常識簽名

所見即所簽

OpenSea?數起知名NFT被盜事件

用戶在OpenSea授權了NFT

黑客釣魚拿到用戶的相關簽名

取消授權

TokenApprovals

Revoke.cash

APPROVED.zone

Rabby擴展錢包

4.?反常識真實案例

一些高級攻擊方式

針對性釣魚

廣撒網釣魚

結合XSS、CSRF、ReverseProxy等技巧

傳統隱私保護

操作系統

重視系統安全更新,有安全更新就立即行動

不亂下程序

設置好磁盤加密保護

手機

重視系統的安全更新及下載

不要越獄、Root破解,除非你玩安全研究,否則沒必要

不要從非官方市場下載App

官方的云同步使用的前提:賬號安全方面你確信沒問題

網絡

網絡方面,盡量選擇安全的,比如不亂連陌生Wi-Fi

選擇口碑好的路由器、運營商,切勿貪圖小便宜,并祈禱路由器、運營商層面不會有高級作惡行為出現

瀏覽器

及時更新

擴展如無必要就不安裝

瀏覽器可以多個共存

使用隱私保護的知名擴展

密碼管理器

別忘記你的主密碼

確保你的郵箱安全

1Password/Bitwarden等

雙因素認證

GoogleAuthenticator/MicrosoftAuthenticator等

科學上網

科學上網、安全上網

郵箱

安全且知名:Gmail/Outlook/QQ郵箱等

隱私性:ProtonMail/Tutanota

SIM卡

SIM卡攻擊

防御建議:啟用知名的2FA工具、設置PIN碼

GPG

區分

PGP是PrettyGoodPrivacy的縮寫,是商用加密軟件,發布30?多年了,現在在賽門鐵克麾下

OpenPGP是一種加密標準,衍生自PGP

GPG,全稱GnuPG,基于OpenPGP標準的開源加密軟件

隔離環境

具備零信任安全法則思維

良好的隔離習慣

隱私不是拿來保護的,隱私是拿來控制的

人性安全

Telegram

Discord

來自“官方”的釣魚

Web3隱私問題

區塊鏈作惡方式

盜幣、惡意挖礦、勒索病、暗網交易、木馬的C2中轉、洗錢、資金盤、等

SlowMistHacked區塊鏈被黑檔案庫

被盜了怎么辦

止損第一

保護好現場

分析原因

追蹤溯源

結案

誤區

CodeIsLaw

NotYourKeys,NotYourCoins

InBlockchainWeTrust

密碼學安全就是安全

被黑很丟人

立即更新

總結

當你閱讀完本手冊后,一定需要實踐起來、熟練起來、舉一反三。如果之后你有自己的發現或經驗,希望你也能貢獻出來。如果你覺得敏感,可以適當脫敏,匿名也行。其次,致謝安全與隱私有關的立法與執法在全球范圍內的成熟;各代當之無愧的密碼學家、工程師、正義黑客及一切參與創造讓這個世界更好的人們的努力,其中一位是中本聰。最后,感謝貢獻者們,這個列表會持續更新,有任何的想法,希望你聯系我們。

https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook

Tags:區塊鏈AINARKHAI以下哪項不是區塊鏈目前的分類DAIN TokenSPARK幣blockchain怎么注冊

世界幣
新浪VR+獵聘:元宇宙人才發展白皮書_區塊鏈:元宇宙提現多久到賬

前言 進入2022年,關于元宇宙的討論從質疑轉變為認可,無論是技術、市場,還是政策,都逐漸形成合力,積極推動元宇宙走向成熟.

1900/1/1 0:00:00
新京報:“嘗鮮”元宇宙 這個行業已最先站上了風口_元宇宙:佛薩奇元宇宙騙局大揭秘

“正在建立時空同步……”在虛擬綜藝《2060》中,觀眾跟隨鏡頭瞬間穿越“時空隧道”抵達虛擬空間“星環城”。在這里,數字虛擬人紛紛登上舞臺,成為競演的主角.

1900/1/1 0:00:00
比特幣持倉周報:大型機構逆勢開多 階段止跌拐點到來?_比特幣:akita幣還會暴漲嗎

4?月?16?日公布的最新一期?CFTC?CME?比特幣持倉周報顯示,統計周期內比特幣出現了超過?5000?美元的大幅下跌,幣價時隔近一個月再度跌破?40000?整數關口.

1900/1/1 0:00:00
X To Earn項目大盤點:Web3時代 萬物皆可變現_VER:HEARN價格

專業技能能夠變現,吃喝玩樂也可以賺錢。 過去一個多月,隨著Stepn的大漲,MoveToEarn的模式開始破圈,引起越來越多非加密人士的關注.

1900/1/1 0:00:00
a16z:從底層到實現 Web3 去中心化設計參考指南_數字資產:web3.0幣種有哪些

本文闡述去中心化具體模式和原則,及指導Web3建設者在幾個用例中解決去中心化的實際意義。去中心化的前景被人們大量討論及反復辯論,從它為什么重要到誰將控制驅動互聯網的軟件這一更大的問題.

1900/1/1 0:00:00
企業加快跑馬圈地 AR眼鏡離全面普及還有多遠_加密貨幣:OIN

4月19日,AR企業雷鳥發布智能眼鏡產品雷鳥Air。無獨有偶,就在同一天,華為技術有限公司“一種AR眼鏡”專利獲授權.

1900/1/1 0:00:00
ads