余弦：區塊鏈黑暗森林自救手冊_UST:trustwallet中國能用嗎

前言

區塊鏈是個偉大的發明，它帶來了某些生產關系的變革，讓「信任」這種寶貴的東西得以部分解決。但，現實是殘酷的，人們對區塊鏈的理解會存在許多誤區。這些誤區導致了壞人輕易鉆了空子，頻繁將黑手伸進了人們的錢包，造成了大量的資金損失。這早已是黑暗森林。

基于此，慢霧科技創始人余弦傾力輸出——區塊鏈黑暗森林自救手冊。

本手冊大概3萬7千字，由于篇幅限制，這里僅羅列手冊中的關鍵目錄結構，也算是一種導讀。完整內容可見：

https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook

我們選擇GitHub平臺作為本手冊的首要發布位置是因為：方便協同及看到歷史更新記錄。你可以Watch、Fork及Star，當然我們更希望你能參與貢獻。

好，導讀開始...

引子

如果你持有加密貨幣或對這個世界有興趣，未來可能會持有加密貨幣，那么這本手冊值得你反復閱讀并謹慎實踐。本手冊的閱讀需要一定的知識背景，希望初學者不必恐懼這些知識壁壘，因為其中大量是可以“玩”出來的。

在區塊鏈黑暗森林世界里，首先牢記下面這兩大安全法則：

零信任：簡單來說就是保持懷疑，而且是始終保持懷疑。

許正宇：香港金管局擬年內進行“穩定幣”第二輪公眾咨詢:金色財經報道，據香港財庫局局長許正宇接受中國基金報采訪透露，香港金管局正在擬訂關于穩定幣的規管框架，并計劃于今年內進行第二輪公眾咨詢。我們期望在2023/2024年度落實監管安排。此外，許正宇還表示香港金融科技生態相關企業數目已超過800家，業務涵蓋移動支付、跨境理財、虛擬資產、人工智能金融服務顧問、財富及投資管理、合規科技等，當中包括8家虛擬銀行、4家虛擬保險公司和兩家持牌虛擬資產交易平臺。?證券市場方面，今年三月香港推出了廣受市場支持的特專科技公司上市機制，為國內外從事云端服務、人工智能等特專科技公司，帶來新的便利的融資渠道，同時助力國家的核心科技研發。?[2023/7/18 11:01:28]

持續驗證：你要相信，你就必須有能力去驗證你懷疑的點，并把這種能力養成習慣。

關鍵內容

一、創建錢包

Download1.?找到正確的官網

?a.Google

?b.行業知名收錄，如CoinMarketCap

?c.多問一些比較信任的人

2.?下載安裝應用

??a.?PC?錢包：建議做下是否篡改的校驗工作

?b.瀏覽器擴展錢包：注意目標擴展下載頁面里的用戶數及評分情況

日本著名企業DMM.com將基于Oasys推出自己的Layer2:12月14日消息，日本著名企業 DMM.com 將基于 Oasys 打造自己的Layer2 公鏈，并發布自己的第一個區塊鏈游戲 Kanpani Girls RE:BLOOM。

據悉，Oasys 是由多家游戲巨頭支持，并專為游戲而生的公鏈。[2022/12/14 21:44:55]

?c.移動端錢包：判斷方式類似擴展錢包

?d.硬件錢包：從官網源頭的引導下購買，留意是否存在被異動手腳的情況

?e.網頁錢包：不建議使用這種在線的錢包

MnemonicPhrase創建錢包時，助記詞的出現是非常敏感的，請留意你身邊沒有人、攝像頭等一切可以導致偷窺發生的情況。同時留意下助記詞是不是足夠隨機出現

Keyless1.Keyless兩大場景

?a.?Custody，即托管方式。比如中心化交易所、錢包，用戶只需注冊賬號，并不擁有私鑰，安全完全依托于這些中心化平臺

?b.Non-Custodial，即非托管方式。用戶唯一掌握類似私鑰的權力，但卻不是直接的加密貨幣私鑰

2.?MPC為主的Keyless方案的優缺點

二、備份錢包

助記詞/私鑰類型1.明文：12個英文單詞為主

香港金管局：快速支付系統與數字人民幣的錢包增值技術測試已進入第二階段:金色財經報道，香港金管局副總裁李達志9日在《匯思》撰文表示，轉數快（香港的快速支付系統FPS）出近4年，截至8月底，已達1090萬個登記，使用量持續穩定增長，特區政府有關部門與中國人民銀行數字貨幣研究所合作，香港成為數字人民幣在內地以外首個跨境試點，進行技術測試。 技術測試已進入第二階段，主要測試通過轉數快為數字人民幣錢包增值，測試范圍和規模亦有擴大，參與的銀行由1間增至4間，目前進展良好，會適時引入更多數字人民幣營運機構與本地銀行參與測試，以便香港居民將來在內地使用數字人民幣。[2022/9/13 13:25:58]

2.帶密碼：助記詞帶上密碼后會得到不一樣的種子，這個種子就是之后拿來派生出一系列私鑰、公鑰及對應地址

3.多簽：可以理解為目標資金需要多個人簽名授權才可以使用，多簽很靈活，可以設置審批策略

4.Shamir'sSecretSharing：Shamir秘密共享方案，作用就是將種子分割為多個分片，恢復錢包時，需要使用指定數量的分片才能恢復

Encryption1.多處備份

?a.Cloud：Google/Apple/微軟，結合GPG/1Password等

?b.Paper：將助記詞抄寫在紙卡片上

美國律所Bragar Eagel & Squire代表投資者向TerraForm Labs等提起集體訴訟:7月25日消息，美國律師事務所Bragar Eagel & Squire宣布在加利福尼亞北區美國地方法院對TerraForm Labs Ptd、Jump Crypto、Jump Trading LLC、Three Arrows Capital、Tribe Capital、DFinance Capital、Do Kwon、Nicholas Platias等提起集體訴訟。

Bragar Eagel & Squire聲稱，其代表所有于2021年5月20日至2022年5月25日購買或以其他方式獲得Terra代幣（包括UST、LUNA、KRT、ANC、WHALE、ASTRO、APPOLO、 XDEFI、MINE、aUST、vUST、MIR）、鏡像資產（如mBTC、mETH、mVIXY、mTSLA等）、流動性池代幣（如UST-mVIXY-LP、bLUNA-LUNA-LP、XDEFI-UST-LP等）、抵押資產（如bLUNA和bETH）的個人和實體提起該訴訟。投資者可以在2022年8月19日之前向法院申請成為該訴訟的主要原告。（Businesswire）[2022/7/25 2:35:48]

?c.Device：電腦/iPad/iPhone/移動硬盤/U盤等

?d.Brain：注意腦記風險

歐易OKX將支持LUNA空投與代幣遷移:據官方消息顯示，歐易OKX將支持Terra官方LUNA 空投與代幣遷移計劃，原LUNA和UST將分別更名為LUNC和USTC，并將平臺收到的空投代幣全部分發給用戶。

歐易OKX將對2022年5月7日22:59:37 (HKT) 的OKX平臺內LUNA持幣用戶進行快照；歐易OKX將在LUNA區塊高度7790000附近（時間預計約為：2022年5月27日03:59:51 (HKT) ）對OKX平臺內LUNA與UST持幣用戶進行快照。

具體規則詳見官網公告。[2022/5/26 3:43:38]

2.?加密

??a.?一定要做到定期不定期地驗證

?b.?采用部分驗證也可以

?c.?注意驗證過程的機密性及安全性

三、使用錢包

AML1.鏈上凍結

2.?選擇口碑好的平臺、個人等作為你的交易對手

ColdWallet1.?冷錢包使用方法

?a.接收加密貨幣：配合觀察錢包，如imToken、TrustWallet等

?b.發送加密貨幣：QRCode/USB/Bluetooth

2.冷錢包風險點

?a.所見即所簽這種用戶交互安全機制缺失

?b.?用戶的有關知識背景缺失

Hot?Wallet1.與?DApp交互

2.?惡意代碼或后門作惡方式

?a.錢包運行時，惡意代碼將相關助記詞直接打包上傳到黑客控制的服務端里

?b.錢包運行時，當用戶發起轉賬，在錢包后臺偷偷替換目標地址及金額等信息，此時用戶很難察覺

?c.破壞助記詞生成有關的隨機數熵值，讓這些助記詞比較容易被破解

DeFi安全到底是什么1.智能合約安全

??a.權限過大：增加時間鎖/將admin多簽等

?b.?逐步學會閱讀安全審計報告

2.區塊鏈基礎安全：共識賬本安全/虛擬機安全等

3.前端安全

??a.內部作惡：前端頁面里的目標智能合約地址被替換/植入授權釣魚腳本

?b.第三方作惡：供應鏈作惡/前端頁面引入的第三方遠程JavaScript文件作惡或被黑

4.通信安全

??a.?HTTPS安全

?b.舉例：MyEtherWallet安全事件

?c.安全解決方案：HSTS

5.人性安全：如項目方內部作惡

6.金融安全：幣價、年化收益等

7.合規安全

??a.AML/KYC/制裁地區限制/證券風險有關的內容等

??b.?AOPP

NFT安全1.?Metadata?安全

2.簽名安全

小心簽名/反常識簽名1.?所見即所簽

2.?OpenSea?數起知名NFT被盜事件

?a.用戶在OpenSea授權了NFT

?b.黑客釣魚拿到用戶的相關簽名

3.?取消授權

??a.?TokenApprovals

?b.?Revoke.cash

?c.?APPROVED.zone

?d.?Rabby擴展錢包

4.?反常識真實案例

一些高級攻擊方式1.針對性釣魚

2.廣撒網釣魚

3.?結合XSS、CSRF、ReverseProxy等技巧

四、傳統隱私保護

操作系統1.重視系統安全更新，有安全更新就立即行動

2.?不亂下程序

3.?設置好磁盤加密保護

手機1.?重視系統的安全更新及下載

2.?不要越獄、Root破解，除非你玩安全研究，否則沒必要

3.?不要從非官方市場下載App

4.官方的云同步使用的前提：賬號安全方面你確信沒問題

網絡1.網絡方面，盡量選擇安全的，比如不亂連陌生Wi-Fi

2.選擇口碑好的路由器、運營商，切勿貪圖小便宜，并祈禱路由器、運營商層面不會有高級作惡行為出現

瀏覽器1.?及時更新

2.?擴展如無必要就不安裝

3.?瀏覽器可以多個共存

4.使用隱私保護的知名擴展

密碼管理器1.?別忘記你的主密碼

2.?確保你的郵箱安全

3.?1Password/Bitwarden等

雙因素認證GoogleAuthenticator/MicrosoftAuthenticator等

科學上網科學上網、安全上網

郵箱1.安全且知名：Gmail/Outlook/QQ郵箱等

2.隱私性：ProtonMail/Tutanota

SIM卡1.?SIM卡攻擊

2.?防御建議

?a.啟用知名的2FA工具

?b.?設置PIN碼

GPG1.區分

?a.PGP是PrettyGoodPrivacy的縮寫，是商用加密軟件，發布30?多年了，現在在賽門鐵克麾下

?b.OpenPGP是一種加密標準，衍生自PGP

?c.GPG，全稱GnuPG，基于OpenPGP標準的開源加密軟件

隔離環境1.?具備零信任安全法則思維

2.?良好的隔離習慣

3.?隱私不是拿來保護的，隱私是拿來控制的

五、人性安全

TelegramDiscord來自“官方”的釣魚Web3隱私問題

六、區塊鏈作惡方式

盜幣、惡意挖礦、勒索病、暗網交易、木馬的C2中轉、洗錢、資金盤、等SlowMistHacked區塊鏈被黑檔案庫

七、被盜了怎么辦

止損第一保護好現場分析原因追蹤溯源結案

八、誤區

CodeIsLawNotYourKeys,NotYourCoinsInBlockchainWeTrust密碼學安全就是安全被黑很丟人立即更新

總結

當你閱讀完本手冊后，一定需要實踐起來、熟練起來、舉一反三。如果之后你有自己的發現或經驗，希望你也能貢獻出來。如果你覺得敏感，可以適當脫敏，匿名也行。其次，致謝安全與隱私有關的立法與執法在全球范圍內的成熟；各代當之無愧的密碼學家、工程師、正義黑客及一切參與創造讓這個世界更好的人們的努力，其中一位是中本聰。最后，感謝貢獻者們，這個列表會持續更新，有任何的想法，希望你聯系我們。

導讀到此，完整版本，歡迎閱讀并分享:)

https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook

Tags：USTLUNUNALUNAtrustwallet中國能用嗎luna幣還能漲回來嗎Kizuna Global Tokenlunar幣歸零

以太坊