錢包,造成了大量的資金損失。這早已是黑暗森林。
基于此,慢霧科技創始人余弦傾力輸出——區塊鏈黑暗森林自救手冊。
本手冊大概3萬7千字,由于篇幅限制,這里僅羅列手冊中的關鍵目錄結構,也算是一種導讀。
我們選擇GitHub平臺作為本手冊的首要發布位置是因為:方便協同及看到歷史更新記錄。你可以Watch、Fork及Star,當然我們更希望你能參與貢獻。
好,導讀開始...
貨幣或對這個世界有興趣,未來可能會持有加密貨幣,那么這本手冊值得你反復閱讀并謹慎實踐。本手冊的閱讀需要一定的知識背景,希望初學者不必恐懼這些知識壁壘,因為其中大量是可以“玩”出來的。
在區塊鏈黑暗森林世界里,首先牢記下面這兩大安全法則:
零信任:簡單來說就是保持懷疑,而且是始終保持懷疑。
持續驗證:你要相信,你就必須有能力去驗證你懷疑的點,并把這種能力養成習慣。
Download
1.?找到正確的官網
?a.Google
?b.行業知名收錄,如CoinMarketCap
?c.多問一些比較信任的人
2.?下載安裝應用
元界DNA主鏈代碼已通過慢霧科技安全審計:元界DNA(Metaverse Dualchain Network Architecture)主鏈代碼已通過慢霧科技安全審計。慢霧科技采用“白盒為主,黑灰為輔”的策略,以最貼近真實攻擊的方式對Metaverse DNA主鏈代碼的隨機數生成算法安全、密鑰存儲與內存安全、密碼學組件調用、加密強度安全、交易延展性、交易重放安全性、代幣“假充值”漏洞、RPC“黑人節”漏洞、代碼合規性共9個維度進行了全面的安全審計,審計報告顯示Metaverse DNA主鏈代碼通過慢霧科技公鏈安全審計標準。
元界DNA主網(Helix 1.0)已于2020年8月5日正式上線,其基礎代幣DNA目前已上線包括OKEx、ZB、Bittrex(B網)等全球19家主流交易平臺。[2020/8/10]
a.?PC錢包:建議做下是否篡改的校驗工作
?b.瀏覽器擴展錢包:注意目標擴展下載頁面里的用戶數及評分情況
?c.移動端錢包:判斷方式類似擴展錢包
?d.硬件錢包:從官網源頭的引導下購買,留意是否存在被異動手腳的情況
?e.網頁錢包:不建議使用這種在線的錢包
MnemonicPhrase
創建錢包時,助記詞的出現是非常敏感的,請留意你身邊沒有人、攝像頭等一切可以導致偷窺發生的情況。同時留意下助記詞是不是足夠隨機出現
聲音 | 慢霧科技余弦:Blockchain.info等錢包的安全性不值得相信:巨鯨zhoufujian在被黑客盜走價值2.6億元的加密資產后,慢霧科技創始人余弦表示,有一些錢包的安全性不值得相信,例如IOTA的Trinity錢包、BTC的Electrum錢包、支持BTC/BCH的CoPay錢包、Blockchain.com/.info在線錢包、MyEtherWallet在線錢包等。[2020/2/22]
Keyless
1.Keyless兩大場景
?a.?Custody,即托管方式。比如中心化交易所、錢包,用戶只需注冊賬號,并不擁有私鑰,安全完全依托于這些中心化平臺
?b.Non-Custodial,即非托管方式。用戶唯一掌握類似私鑰的權力,但卻不是直接的加密貨幣私鑰
2.?MPC為主的Keyless方案的優缺點
助記詞/私鑰類型
1.明文:12個英文單詞為主
2.帶密碼:助記詞帶上密碼后會得到不一樣的種子,這個種子就是之后拿來派生出一系列私鑰、公鑰及對應地址
3.多簽:可以理解為目標資金需要多個人簽名授權才可以使用,多簽很靈活,可以設置審批策略
4.Shamir'sSecretSharing:Shamir秘密共享方案,作用就是將種子分割為多個分片,恢復錢包時,需要使用指定數量的分片才能恢復
聲音 | 慢霧科技余弦:數字貨幣行業缺乏國家相關的監管背書,有很多的亂象:據《每日經濟新聞》消息,區塊鏈生態安全公司慢霧科技創始人余弦在接受采訪時分析,簡單來說,幣圈的風險主要有兩個。第一個風險是地下黑客,當前的幣圈,無論是基礎設施還是上層建筑都比較脆弱,相對互聯網來說,攻擊者的攻擊成本很低。通過這些攻擊手法,地下黑客能夠盜取很多數字貨幣。第二個風險是這個行業缺乏監管,缺乏國家相關的監管背書,有很多的亂象,比如說各種資金盤、等,這些行為其實都是打著區塊鏈噱頭的非法集資。而針對如何保護數字貨幣的安全,余弦表示,這是一個新的行業,小白投資者應該多學習這個行業的知識,不要只看表面。隨著知識的加深,對很多表面上的包裝、噱頭,自己就會有一些判斷。另外,存儲數字貨幣的手機、電腦,要安裝殺軟件。不使用通過不明渠道下載的軟件來存儲數字貨幣,這是最基本的安全防范。[2019/8/30]
Encryption
1.多處備份
?a.Cloud:Google/Apple/微軟,結合GPG/1Password等
?b.Paper:將助記詞抄寫在紙卡片上
?c.Device:電腦/iPad/iPhone/移動硬盤/U盤等
?d.Brain:注意腦記風險
聲音 | 慢霧科技余弦:攻擊者通過同樣的手機號搞定目標用戶在 Coinbase 上的權限:慢霧科技創始人余弦針對最近數字貨幣交易平臺的 SIM 卡轉移攻擊發文稱,前些天有人的 Coinbase 賬號遭遇了 SIM Port Attack(SIM 卡轉移攻擊),損失了超過 10 萬美金的數字貨幣,很慘痛。攻擊過程大概是:攻擊者通過社會工程學等手法拿到目標用戶的隱私,并到運營商欺騙得到一張新的 SIM 卡,然后通過同樣的手機號輕松搞定目標用戶在 Coinbase 上的權限。SIM 都被轉移了,這就很麻煩了,基本來說我們很多在線服務都是通過手機號來做的二次驗證或直接身份驗證,這是一個非常中心化的認證方式,手機號成為攻擊的弱點。這個攻擊以前在國內也有不少案例,運營商的風控策略也越來越強大,但策略這東西總是有繞過方式,這種方式主要就是社會工程學,當然也不排除其他方式的結合。不是我不信任運營商或中心化服務,而是這種重要的資產,大家要更加謹慎了,大額的數字貨幣是不是應該有更安全的存放方式?相關平臺的安全風控策略是不是也該多琢磨如何再提升提升?[2019/5/27]
2.?加密
a.?一定要做到定期不定期地驗證
?b.?采用部分驗證也可以
?c.?注意驗證過程的機密性及安全性
聲音 | 慢霧科技余弦:所有數字貨幣項目方應完整review所有第三方模塊:據IMEOS報道,慢霧科技余弦提醒所有數字貨幣相關項目(如交易所、錢包、DApp 等)都應該強制至少一名核心技術完整 review 一遍所有第三方模塊,看看是否存在可疑代碼,也可以抓包看看是否存在可疑請求。供應鏈攻擊不計代價,數字貨幣依然炙手可熱。
比如最新發現的: Hacker backdoors popular JavaScript library to steal Bitcoin funds 。[2018/11/27]
AML
1.鏈上凍結
2.?選擇口碑好的平臺、個人等作為你的交易對手
ColdWallet
1.?冷錢包使用方法
?a.接收加密貨幣:配合觀察錢包,如imToken、TrustWallet等
?b.發送加密貨幣:QRCode/USB/Bluetooth
2.冷錢包風險點
?a.所見即所簽這種用戶交互安全機制缺失
?b.?用戶的有關知識背景缺失
Hot?Wallet
1.與?DApp交互
2.?惡意代碼或后門作惡方式
?a.錢包運行時,惡意代碼將相關助記詞直接打包上傳到黑客控制的服務端里
?b.錢包運行時,當用戶發起轉賬,在錢包后臺偷偷替換目標地址及金額等信息,此時用戶很難察覺
?c.破壞助記詞生成有關的隨機數熵值,讓這些助記詞比較容易被破解
DeFi安全到底是什么
1.智能合約安全
a.權限過大:增加時間鎖/將admin多簽等
?b.?逐步學會閱讀安全審計報告
2.區塊鏈基礎安全:共識賬本安全/虛擬機安全等
3.前端安全
a.內部作惡:前端頁面里的目標智能合約地址被替換/植入授權釣魚腳本
?b.第三方作惡:供應鏈作惡/前端頁面引入的第三方遠程JavaScript文件作惡或被黑
4.通信安全
a.?HTTPS安全
?b.舉例:MyEtherWallet安全事件
?c.安全解決方案:HSTS
5.人性安全:如項目方內部作惡
6.金融安全:幣價、年化收益等
7.合規安全
??a.AML/KYC/制裁地區限制/證券風險有關的內容等
b.?AOPP
NFT安全
1.?Metadata?安全
2.簽名安全
小心簽名/反常識簽名
1.?所見即所簽
2.?OpenSea?數起知名NFT被盜事件
?a.用戶在OpenSea授權了NFT
?b.黑客釣魚拿到用戶的相關簽名
3.?取消授權
a.?TokenApprovals
?b.?Revoke.cash
?c.?APPROVED.zone
?d.?Rabby擴展錢包
4.?反常識真實案例
一些高級攻擊方式
1.針對性釣魚
2.廣撒網釣魚
3.?結合XSS、CSRF、ReverseProxy等技巧
操作系統
1.重視系統安全更新,有安全更新就立即行動
2.?不亂下程序
3.?設置好磁盤加密保護
手機
1.?重視系統的安全更新及下載
2.?不要越獄、Root破解,除非你玩安全研究,否則沒必要
3.?不要從非官方市場下載App
4.官方的云同步使用的前提:賬號安全方面你確信沒問題
網絡
1.網絡方面,盡量選擇安全的,比如不亂連陌生Wi-Fi
2.選擇口碑好的路由器、運營商,切勿貪圖小便宜,并祈禱路由器、運營商層面不會有高級作惡行為出現
瀏覽器
1.?及時更新
2.?擴展如無必要就不安裝
3.?瀏覽器可以多個共存
4.使用隱私保護的知名擴展
密碼管理器
1.?別忘記你的主密碼
2.?確保你的郵箱安全
3.?1Password/Bitwarden等
雙因素認證
GoogleAuthenticator/MicrosoftAuthenticator等
科學上網
科學上網、安全上網
郵箱
1.安全且知名:Gmail/Outlook/QQ郵箱等
2.隱私性:ProtonMail/Tutanota
SIM卡
1.?SIM卡攻擊
2.?防御建議
?a.啟用知名的2FA工具
?b.?設置PIN碼
GPG
1.區分
?a.PGP是PrettyGoodPrivacy的縮寫,是商用加密軟件,發布30?多年了,現在在賽門鐵克麾下
?b.OpenPGP是一種加密標準,衍生自PGP
?c.GPG,全稱GnuPG,基于OpenPGP標準的開源加密軟件
隔離環境
1.?具備零信任安全法則思維
2.?良好的隔離習慣
3.?隱私不是拿來保護的,隱私是拿來控制的
Telegram
Discord
來自“官方”的釣魚
Web3隱私問題
盜幣、惡意挖礦、勒索病、暗網交易、木馬的C2中轉、洗錢、資金盤、等
SlowMistHacked區塊鏈被黑檔案庫
止損第一
保護好現場
分析原因
追蹤溯源
結案
CodeIsLaw
NotYourKeys,NotYourCoins
InBlockchainWeTrust
密碼學安全就是安全
被黑很丟人
立即更新
中本聰。最后,感謝貢獻者們,這個列表會持續更新,有任何的想法,希望你聯系我們。
導讀到此,完整版本,歡迎閱讀并分享:)
Tags:數字貨幣SIM區塊鏈COI數字貨幣交易app哪個好一點simpson幣在幾個交易所區塊鏈TEC幣有這種幣嗎CoinMatch Ai
撰文:0x21&0x555,律動BlockBeats4月初,Azuki所帶來的空投,又一次點燃了市場的情緒,以Azuki、CloneX為首的藍籌NFT項目又迎來了一波的上漲.
1900/1/1 0:00:00尊敬的CoinUp用戶:由于系統升級,CoinUp官方網站暫時改為https://www.coin-up.pro/如有疑問,請隨時聯繫在線客服,我們竭誠為您服務.
1900/1/1 0:00:00尊敬的唯客用戶您好!?眾所周知,安全體系中最重要和最薄弱的環節是人,用戶保持警覺最為關鍵:釣魚信息中通常是一些細微的錯誤,如:怪異語法,拼寫錯誤,不通順的語句.
1900/1/1 0:00:00親愛的用戶: 幣安將停止交易並下架UST/BTC交易對,並上架BTC/UST交易對。具體安排如下:幣安槓桿交易平臺將於2022年04月14日11:00暫停UST/BTC逐倉槓桿的借貸業務;幣安槓.
1900/1/1 0:00:00親愛的ZT用戶: ZT創新板即將上線POWR,並開啟POWR/USDT交易對。具體上線時間如下: 充值:已開啟; 交易:2022年4月13日18:00; POWR 項目簡介:PowerLedge.
1900/1/1 0:00:00DearValuedUsers,CandyDropwilllaunchNYM?onApril16,2022Registrationperiod:?NYM:11:00(UTC)onApr16.
1900/1/1 0:00:00