跳至主要内容

强烈建议你:关注本网站,有重要信息!

如何掌握你的加密货币安全?当你足够强时,没人可以轻易欺负你。

 区块链是个巨大的发明,它带来了某些生产关系的革新,让「信赖」这种宝贵的东西得以部分解决。但,现实是残酷的,人们对区块链的理解会存在许多误区。这些误区导致了坏人轻易钻了空子,频繁将黑手伸进了人们的钱包,造成了很多的资金丢失。这早已是漆黑森林。

基于此,慢雾科技创始人余弦倾力输出——区块链漆黑森林自救手册

用户

本手册(当前 V1 Beta)大概 3 万 7 千字,因为篇幅限制,这里仅罗列手册中的要害目录结构,也算是一种导读。完好内容可见:

https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook

咱们挑选 GitHub 渠道作为本手册的首要发布方位是因为:便利协同及看到前史更新记录。你能够 Watch、Fork 及 Star,当然咱们更期望你能参加奉献。

好,导读开始...

引子

假如你持有加密钱银或对这个国际有爱好,未来可能会持有加密钱银,那么这本手册值得你重复阅读并慎重实践。本手册的阅读需求一定的知识背景,期望初学者不必恐惧这些知识壁垒,因为其间很多是能够“玩”出来的。

在区块链漆黑森林国际里,首要牢记下面这两大安全法则:

零信赖:简单来说便是保持置疑,而且是始终保持置疑。

持续验证:你要信赖,你就必须有能力去验证你置疑的点,并把这种能力养成习气。

要害内容

用户

一、创立钱包

  • Download

1. 找到正确的官网

 a. Google

 b. 职业闻名录入,如 CoinMarketCap

 c. 多问一些比较信赖的人

2. 下载装置运用

  a. PC 钱包:主张做下是否篡改的校验工作(文件一致性校验)

 b. 浏览器扩展钱包:留心方针扩展下载页面里的用户数及评分状况

 c. 移动端钱包:判断方法相似扩展钱包

 d. 硬件钱包:从官网源头的引导下购买,留心是否存在被异动四肢的状况

 e. 网页钱包:不主张运用这种在线的钱包

  • Mnemonic Phrase

创立钱包时,助记词的呈现是非常敏感的,请留心你身边没有人、摄像头号全部能够导致偷窥产生的状况。一起留心下助记词是不是足够随机呈现

  • Keyless

1. Keyless 两大场景(此处区别是为了便利解说)

 a. Custody,即保管方法。比方中心化买卖所、钱包,用户只需注册账号,并不具有私钥,安全完全依托于这些中心化渠道

 b. Non-Custodial,即非保管方法。用户唯一掌握相似私钥的权力,但却不是直接的加密钱银私钥(或助记词)

2. MPC 为主的 Keyless 计划的优缺点

二、备份钱包

  • 助记词/私钥类型

1. 明文:12 个英文单词为主

2. 带暗码:助记词带上暗码后会得到不一样的种子,这个种子便是之后拿来派生出一系列私钥、公钥及对应地址

3. 多签:能够理解为方针资金需求多个人签名授权才能够运用,多签很灵敏,能够设置批阅策略

4. Shamir's Secret Sharing:Shamir 秘密共享计划,作用便是将种子分割为多个分片,康复钱包时,需求运用指定数量的分片才能康复

  • Encryption

1. 多处备份

 a. Cloud:Google/Apple/微软,结合 GPG/1Password 等

 b. Paper:将助记词(明文、SSS 等方法的)抄写在纸卡片上

 c. Device:电脑/iPad/iPhone/移动硬盘/U 盘等

 d. Brain:留心脑记危险(回忆/意外)

2. 加密

  a. 一定要做到定时不定时地验证

 b. 采用部分验证也能够

 c. 留心验证进程的机密性及安全性

三、运用钱包

  • AML

1. 链上冻住

2. 挑选口碑好的渠道、个人等作为你的买卖对手

  • Cold Wallet

1. 冷钱包运用方法

 a. 接纳加密钱银:配合观察钱包,如 imToken、Trust Wallet 等

 b. 发送加密钱银:QRCode/USB/Bluetooth

2. 冷钱包危险点

 a. 所见即所签这种用户交互安全机制缺失

 b. 用户的有关知识背景缺失

  • Hot Wallet

1. 与 DApp(DeFi、NFT、GameFi 等)交互

2. 恶意代码或后门作恶方法

 a. 钱包运行时,恶意代码将相关助记词直接打包上传到黑客操控的服务端里

 b. 钱包运行时,当用户发起转账,在钱包后台偷偷替换方针地址及金额等信息,此刻用户很难发觉

 c. 损坏助记词生成有关的随机数熵值,让这些助记词比较容易被破解

  • DeFi 安全到底是什么

1. 智能合约安全

  a. 权限过大:添加时间锁(Timelock)/将 admin 多签等

 b. 逐渐学会阅读安全审计报告

2. 区块链基础安全:一致账本安全/虚拟机安全等

3. 前端安全

  a. 内部作恶:前端页面里的方针智能合约地址被替换/植入授权垂钓脚本

 b. 第三方作恶:供应链作恶/前端页面引进的第三方远程 JavaScript 文件作恶或被黑

4. 通讯安全

  a. HTTPS 安全

 b. 举例:MyEtherWallet 安全事情

 c. 安全解决计划:HSTS

5. 人道安全:如项目方内部作恶

6. 金融安全:币价、年化收益等

7. 合规安全

  a. AML/KYC/制裁地区限制/证券危险有关的内容等

  b. AOPP

  • NFT 安全

1. Metadata 安全

2. 签名安全

  • 当心签名/反知识签名

1. 所见即所签

2. OpenSea 数起闻名 NFT 被盗事情

 a. 用户在 OpenSea 授权了 NFT(挂单)

 b. 黑客垂钓拿到用户的相关签名

3. 取消授权(approve)

  a. Token Approvals

 b. Revoke.cash

 c. APPROVED.zone

 d. Rabby 扩展钱包

4. 反知识实在案例

  • 一些高级攻击方法

1. 针对性垂钓

2. 广撒网垂钓

3. 结合 XSS、CSRF、Reverse Proxy 等技巧(如 Cloudflare 中间人攻击)

四、传统隐私维护

  • 操作体系

1. 注重体系安全更新,有安全更新就立即行动

2. 不乱下程序

3. 设置好磁盘加密维护

  • 手机

1. 注重体系的安全更新及下载

2. 不要越狱、Root 破解,除非你玩安全研讨,否则没必要

3. 不要从非官方商场下载 App

4. 官方的云同步运用的前提:账号安全方面你坚信没问题

  • 网络

1. 网络方面,尽量挑选安全的,比方不乱连陌生 Wi-Fi

2. 挑选口碑好的路由器、运营商,切勿贪心小便宜,并祈求路由器、运营商层面不会有高级作恶行为呈现

  • 浏览器

1. 及时更新

2. 扩展如无必要就不装置

3. 浏览器能够多个共存

4. 运用隐私维护的闻名扩展

  • 暗码管理器

1. 别忘记你的主暗码

2. 保证你的邮箱安全

3. 1Password/Bitwarden 等

  • 双要素认证

Google Authenticator/Microsoft Authenticator 等

  • 科学上网

科学上网、安全上网

  • 邮箱

1. 安全且闻名:Gmail/Outlook/QQ 邮箱等

2. 隐私性:ProtonMail/Tutanota

  • SIM 卡

1. SIM 卡攻击

2. 防护主张

 a. 启用闻名的 2FA 工具

 b. 设置 PIN 码

  • GPG

1. 区别

 a. PGP 是 Pretty Good Privacy 的缩写,是商用加密软件,发布 30 多年了,现在在赛门铁克麾下

 b. OpenPGP 是一种加密标准,衍生自 PGP

 c. GPG,全称 GnuPG,基于 OpenPGP 标准的开源加密软件

  • 阻隔环境

1. 具备零信赖安全法则思维

2. 良好的阻隔习气

3. 隐私不是拿来维护的,隐私是拿来操控的

五、人道安全

  • Telegram
  • Discord
  • 来自“官方”的垂钓
  • Web3 隐私问题


六、区块链作恶方法

  • 盗币、恶意挖矿、勒索病毒、暗网买卖、木马的 C2 中转、洗钱、资金盘、博彩等
  • SlowMist Hacked 区块链被黑档案库


七、被盗了怎么办

  • 止损第一
  • 维护好现场
  • 剖析原因
  • 追寻溯源
  • 结案


八、误区

  • Code Is Law
  • Not Your Keys, Not Your Coins
  • In Blockchain We Trust
  • 暗码学安全便是安全
  • 被黑很丢人
  • 立即更新


总结

当你阅读完本手册后,一定需求实践起来、娴熟起来、举一反三。假如之后你有自己的发现或经历,期望你也能奉献出来。假如你觉得敏感,能够适当脱敏,匿名也行。其次,称谢安全与隐私有关的立法与执法在全球范围内的老练;各代当之无愧的暗码学家、工程师、正义黑客及全部参加发明让这个国际更好的人们的尽力,其间一位是中本聪。最后,感谢奉献者们,这个列表会持续更新,有任何的想法,期望你联络咱们。


【币安最新福利】使用下面链接注册币安,可得永久20%返佣返现:https://www.binance.com/zh-CN/register?ref=U88IXUOS


三大交易所OKEX欧易安全注册链接:https://www.okex.com/join/14710005 【20%返佣和赠送70USDT】
大交易所很安全,不必担心。

评论

此博客中的热门博文

坐拥12.9万枚比特币的大户如何看待比特币

  微策略(Microstrategy)的创始人和首席执行官Michael Saylor承受Washingtonian的CEO Cathy Merrill的视频采访对话,议论他对比特币的看法和观念。其间有一些比较精彩的问答,摘编、点评如下,以飨读者。 截至采访时,Microstrategy现已购买了12.9万枚大饼(比特币),算得上是单一实体具有大饼数量最多的实体之一。 Cathy问,大饼是一种商品仍是钱银?Saylor答复说,他以为最好是把大饼看作是数字工业。别的,也能够看成是世界上第一个数字商品。 他介绍说:「比特币背面的想法是发明完美的钱银,或许另一种思考办法是发明完美的黄金。假如我能够把一切的黄金供应量削减到 2100 万枚金币,然后假如我能够把它们非物质化,使它们没有分量,并且神奇的是我能够以光速移动它们,组成和分化它们。假如我能把它们分红 1 亿个小元素,咱们称之为“聪”,然后我就能把它们贮存在网络空间。假如我能找到一个牢靠的软件程序来跟踪谁具有这 2100 万枚虚拟钱银,那么你就有了比特币。比特币的概念是咱们把钱放在网络空间,咱们让电脑担任,让软件程序担任,然后咱们分发软件程序,让它在成千上万台不同的电脑上运行,每台电脑都有相同程序和相同的账本,这样就没有人能够诈骗任何人,任何被损坏的节点都将被从网络中移除。所以它是一个分布在网络空间的生物。目的是创立一个共享的、不行更改的账本,记录谁具有什么。」 「你不能再开采这种黄金了,它的上限是 2100 万,你不必担心一些中央银行或托管人把你的黄金卖给别人,而你却不知道,没人能拿走它。而比特币的一切权是通过具有私钥完成的。理论上你能够持有恣意数量的比特币。假如你将私钥转交给网络上的其他人,那么一切权就会从你身上转移到他们身上。因而,咱们第一次得到了能够以光速移动的永存钱银,并且能够在电脑上编程。这是一个巨大的想法。」 Saylor对切割为“聪”的说法仍然是一种比方,其实比特币切割的一个个实体是电子硬币,每一枚硬币上有一个面值。面值是整数,最小是1亿分之一比特币,也便是1聪。 聪还能不能切割?对比特币主网而言,需求晋级代码。不过咱们能够当即转到二层闪电网络上去,在那里能够持续细分到比聪更小的单位。 从理论上讲,比特币能够无限细分。 无限细分而不影响其作为钱银使用的性质,就不会出现所谓钱银不够用的通缩问题。...

Web3革命:逃离、信仰、大迁徙

  唯一一个还在快速增长且存在很大时机的互联网大厂,字节跳动不少职工却挑选了自动抛弃“跳动”,开端探究新的职业。他们有的是负责飞书的技能职工、有的是视觉设计师、有的负责TikTok事务、有的是2014年就参加字节的“技能大佬”......都是90后,大部分是95后,他们享受着字节的18薪、坐拥巨大增值潜力的期权、吃着变着把戏的免费三餐以及管饱的零食饮料。 可是,这一系列国内乃至全球企业的顶配待遇,却留不住他们转行的决心。 和章北海不同,腾讯的高档产品经理Plato连年终奖都不乐意等。“我现已不小了,不想过一眼看到头的日子。”2021年年底,Plato从腾讯总部辞去职务,选中了最近大火的创造者经济赛道,正式敞开了自己的Web3创业之路。 虎嗅观察到,阿里、蚂蚁、腾讯、字节、网易、美团,至少六家互联网大厂有“高P”(高档办理者或高档技能人才),抛弃了安稳的高薪和可观的期权,自动探究Web3国际。 参加Web3赛道的前大厂“高P”正在变得更多,其间便包含:美团联合创始人王慧文、蚂蚁技能总监赵峰、2014年参加字节2020年便拿到近亿期权退休的90后程序员郭宇等。 王慧文本年4月将立刻App签名改为:正在学习Crypto。同为美团的创始者,他比王兴重视Crypto要迟许久,早在2013年,王兴就现已看好比特币并进行了出资。可是“闻DAO无先后”,王慧文对Web3有一些新的认知,他认为区块链撕裂了我国互联网,我国互联网的主要对立从巨子与创业公司的对立转变成古典互联网与区块链之间的对立。2020年他从美团退休,开端新的赛道。 郭宇则是最早一批Web3从业者,从2011年入职支付宝时就现已重视到Web3并在支付宝体验技能部周末分享会上分享经历,2020年他从字节跳动离职后,就很少再研讨古典互联网,而开端专心研讨区块链的技能和运用。赵峰则和郭宇相同 all in Web3。作为前腾讯手机QQ架构师、支付宝产品总监,他2018年便已入局,并拉上不少蚂蚁、腾讯的搭档。 从大厂高管,到大厂年轻人,Web3职业正在源源不断地招引互联网的人才。而在21世纪前20年,互联网或许是对绝大部分我国年轻人最友好的职业,尽管人们现在更多的是抱怨它的各种问题。 Web3是指基于区块链技能的去中心化在线生态体系,许多人认为它代表了互联网的下一个阶段。一名传统出资安排合伙人向虎嗅表明:“现...

比特币带领市场阴跌,5W触发逃顶计划,当你们在往里杀的时候我已经开始往外撤了

  01 比特币冲高回落带崩币市 昨天文章说了现在市场的隐忧,虽然比特币目前的估值水平没有达到顶峰,泡沫非常大的程度。但行情也有隐忧,那就是涨速过快的比特币。 昨天和今天凌晨的行情也验证了这点。 比特币昨天吸血上涨,再次创下了历史新高,达到了5万美元。 但很快就冲高回落了,50000美元就是浅尝辄止,完全没站稳,直接就下来了。 这个冲高回落就带着整个市场阴跌。 这是今天凌晨的行情表现,大部分币都因为比特币的下跌而失血,连续阴跌,前天大反弹也被侵蚀掉了不少。也就是波卡系表现比较强势,昨天波卡生态好几个币都大爆发,KSM和DOT继续刷新着新高,尤其是KSM,蹭蹭地涨。 其实最近市场一直都在这种怪圈里,比特币上涨时吸血,其他币都阴跌。而比特币冲高必回落,比特币一但回落,整个市场就跟着走低,而且幅度还不小。幅度之所以大,主要还是之前涨幅太高了。 可以发现,前期那些暴涨的DeFi币,大部分最近都回调了不少。 现在的山寨币(包括一些主流币)正在接受着比特币的双重煎熬,吸血跌,冲高回落继续跌,被摧残得挺惨。 雷神觉得根本原因还是在于涨速过快,价格和资金还有市场情绪上并不匹配,比特币之所以总是吸血,和市场资金不充沛是有莫大的关系。市场无法维持比特币在已经50000美元左右的价格下,还能让山寨币暴涨的状态。还是要怪马斯克,这家伙不喊单,比特币维持在30000多美元,啥事没有,一切好好的。他这一嗓子喊出来,无脑的散户都冲向了比特币,之前节奏就被破坏了。 但也不需要害怕,形势比人强,情绪始终拗不过收益,市场还是会重新回到正轨的。山寨季的环境还在,等待比特币的企稳吧,或者是比特币回调后的企稳。洗一洗也不是没可能,洗一洗更健康。 只不过5万美元的比特币,带来了雷神的另一个问题。 02 5万美元的比特币,逃顶计划要启动了 比特币已经5万美元了,触发了雷神1年多之前就制定的逃顶计划。2019年觉得比特币顶点应该达到10万美元,觉得5万美元的时候比特币应该是要到末期了,那时候涨得比较快,5万美元到10万美元应该类似于2017年年末那种速度,可能几个周就完成了。 因此当时制定的逃顶计划就是以5万美元开始的。 5万美元开始卖,然后比特币每涨1万美元卖一些。越高卖得越多,5万美元卖一点。2019年想的是10万美元卖光,没办法,那时候是2019年下半年,比特币还只有7000多美元,还是相当煎熬的时...