虚拟加密货币 慢雾科技(加密货币虚拟盘)
2023年06月08日 10:26
欧易okx交易所下载
欧易交易所又称欧易OKX,是世界领先的数字资产交易所,主要面向全球用户提供比特币、莱特币、以太币等数字资产的现货和衍生品交易服务,通过使用区块链技术为全球交易者提供高级金融服务。
引子
首先,需要先恭喜你:你看到了这本手册。你反复阅读并谨慎实践。
需要有准备的是:本手册的阅读背景,我必须有意识地引导,但因为我希望能够发挥自己的感知能力,而这些知识在墙内的大量知识是可以玩出来的。如果你遇到不懂的,需要扩展了解,建议你用好 Google。怀疑。
是的,始终保持怀疑!包括本手册中提到的任何知识点:)
链是个个的发明,它已经带来了伟大的生产的这中间,让“信仰”这种宝贵的东西有部分解决,没有中心化、没有关系的角色。 “信任”这些区块链就可以得到很好的解决,篡改、按约定执行、阻止理解。但现实是残酷的,被认为是对多个区块链的会存在误区。了子,将黑手伸进了黑暗的钱包,传播的资金损失。这就是。
在区块链世界里,首先牢记下面的黑暗森林大安全法则:
- 零信任。简单来说就是保持怀疑,而且是永远保持怀疑。
- 这种持续验证。你要,你就必须有能力去验证你怀疑的点,并把能力养成习惯。
注:本手册的安全法则就大,都可以认为是本中的其他大原则,论述出来的安全性。
下面我们从部分图,进入到这个黑暗森林,看看我们会遇到哪些风险及我们应该如何应对。
一张图
在仔细查看之后,你可以先略过下一张图。里图是你在这个世界粗体(不管你用这个名字命名的世界文字,区块链、加密还是Web3都行内容的相关活动) ,从流程上三个主体:创建钱包、钱包及使用钱包。
我们顺着这三大流程,将涉及到的每一个关键点进行分析。
创建钱包
钱包最最最最核心的就是那个主题(或助记词)。
导演长这样:
0xa164d4767469de4faf09793ceea07d5a2f5d3cef7f6a9658916c581829ff5584
助记词长这样:
残酷的周末秒杀点无辜头晕外星人使用唤起棚调整错误
注:用以太坊比喻,有关知识/助记词的基础请自行扩展。
私钥即身份,如果钱包丢了或盗了,这个身份不是你的了。确实会提到一些具体的,请注意,能被提到的必然是我有基本信仰的,但我在使用过程中可能不会出现安全问题或钱包可能不在我的范围内风险(我不会再不断地去废品,引子里提到后话的潜在安全预言你牢记心中)。
从应用分类来说主要有几类:PC分为钱包、浏览器扩展包、移动端钱包、硬件钱包及网页钱包等。进入这个世界,首先要考虑将拥有的钱包也决定有的用途,钱包给你将使用哪个,同时用途决定了你会如何处理这个。
你选择什么钱包,但至少有一点可以肯定的:在这个世界玩久了之后,你就只有一个钱包。
说到这里的安全隐患,自然也有把握的风险。新事物的时候,准备一个单独的钱包,用一个人的小钱去玩。你已经如我这般经历,对很多事物都在河边走了然然。有不湿鞋呢?
下载
这么简单的一点,其实也不简单,原因:
- 人(真是许多人)找不到安装正确的官网,正确的应用市场,于是就成了假钱包。
- 人对下载了的许多应用不知道如何确认是否被篡改过。
于是,出师捷身先死了。来得及进入世界,就已经包了这个空了。
因为上面的第 1 点,找到正确的官网是有技巧的,例如:
- 谷歌
- 行业名人录,如 CoinMarketCap
- 多问一些比较信任的人
好,这引用的信息可以全部结合,合作佐证,最终创作者只有一个:)恭敬你,找到了正确的官网。
启动时,你要下载应用安装了,如果是 PC 钱包,可以根据官网提供的下载链接,下载后安装。但在此之前,建议做是否需要自己修改工作,但这种做法并不能阻止源头被人篡改的情况,比如被人恶意改写的内部作案,如被人恶意改写的内部作案,例如:被人篡改、被人恶意篡改等情况:
如果篡改的假设,实际上是一致的。
- 一种是这样的矛盾,比如MD55、56这样的情况下可能有足够的用处,但存在哈希碰撞这样的风险,SHA26的一般情况下,可以用且安全。
- 一种是 GPG 签名验证,这个其实也很流行,强大的建议工具、命令的工具、命令,对于新人来说,有那么些费力,但上手后,相信我,你会很快乐的。
虽说至于,真实的话可方方不多,所以一旦遇到,真是难贵,弥足珍贵,比如这个比特币项目的钱包,想要下载的钱包页面,虽然至于,但事实真相了,说出来的良心了的方式有清晰的指导,可以直接参考学习:
https://sparrowwallet.com/download/
这个页面提到的GPG工具有两个:
- GPG Suite,macOS 下运行的。
- Gpg4win,Windows下运行的。
你细心,就是你会发现有两种 GPG 的下载相关的方法,如果有一致的结果说明,但不好意思并没有手把手教你如何观察工具。估计吧,都认为你会是聪明人,该补上的知识你已经补上了:)
如果是浏览器扩展,比如这个世界家喻户晓钱包的 MetaMask,你唯一有机会注意的就是目标扩展下载页面里的用户数不多、非常推荐的情况如何,比如 MetaMask 在 Chrome 网上应用店里,用户数超过一千万的,同时有两千多个用户评分的,最终评分并不高。有人说这不可以刷出来吗? ,巨大,当部分是傻子呢。
如果是移动端,钱包鉴定方式之类的扩展钱包,不过需要的是,iPhone的App Store是钱包的,钱在中国大陆被加密驱赶得注意了,所以如果你用App Store中国区账号下载到了钱包,建议只需一个:别用,换成如美区App Store账号下载吧。官网都被黑了,那这安全责任就真大了)。
如果是硬件硬件,也可以说,可以从官网源头的引导购买,不要直接简单地去采购硬件,到手后情况下是否需要留意是否存在被手工拆装的,当然某些情况下的动线是非常清晰的包装,不就这样,就,帮着看。此时的建议:约好时使用连续三次从头开始的创建地址,记录下一个钱包不会重复记录的地址
如果是网页钱包,非常不建议使用这种在线的钱包后,你就一定不会知道是官方的,战速决吧,千万别有任何感情
助记词
助记词是有标准约定的如BIP39),这是有标准约定的助记词(如BIP39)对帮助记提了要求,一般1个的话,也可以是其他数量(3个的倍数,不过不会超过24个的话,这个词要对很复杂的话就很复杂了,安全性不可靠,一般12、1821、2245、1821、224。但是从现在的习惯来说,流行的是12硬件钱包,24位规定走起。还有除了英文单词,也可以是其他的,中文、日文、韩文等。但参考什么单词都可以,有一个固定的2048个单词列表,具体如下:
https://github.com/bitcoin/bips/blob/master/bip-0039/bip-0039-wordlists.md
非常敏感的词出现时,请注意你的出现情况,没有人出现、摄像头等一切出现的情况。同时监视下出现的监视记录是非常敏感的,可以随时通知这些特别提示的提示生成你真的知道手上的钱包到底有万一的麻烦吗。相信我,你真的会很快乐。最后,有的下,你甚至可以考虑让网来创建一个签名,尤其是你准备把这个钱包当成冷钱包使用的时候,断网就是暴力美学场景。
无钥匙
无钥匙,顾名思是无目的的英文。
- 托管,即统一标准。例如化中心、钱包于用户,并没有拥有,化安全便利。
- Non-Custodial成为木桶的那块短板。还利用了安全的多方计算(MPC)来确保不存在点风险,同时也存在联合已知单云,将用户体验到最好。
对我来说,有多少种我用币的身份,因为我有个人身份,以及有良好的中心化身份,只要有被盗的原因,比如这些平台也是现在的 Keyless 似乎很适合 MPC,而且应该是我最常用的,我用过简单的如火块、Safeheron 等。
- MPC 算法工程实践在热点区块链上,越来越受欢迎,这些人都参与了讨论。
- 的组合可以划分不同的链多种不同的链方案差异,在用户的想法上运行常见问题的解决方案,这是我们的通用多签。
- 可以确保一直的秘密从不出现,通过多方计算解决单点风险。
- 结合已知云(或某些更顺的)让 MPC Web2 更安全且更顺滑的体验。
很明显,但缺点也有的,我也简单提一下优点:
- 满足预期,标准且公开的,这方面的成熟度还远远不够,还需要努力。
- 有不少人说基本只玩以太坊(或者说基于EVM的区块链),Gnosis Safe这种智能合约方式的多签系列方案够了。
随便的方式,只要你觉得安全可控、用起来舒服的,那么好的方式,仁者见仁智者见智。
好,创建这些钱包的相关安全注意点就先在介绍之后,有一些通用性的安全问题会统一在介绍中,先不着急:)
备份钱包
挺厉害的人都在这坑坑了,其中包括我,常在河边走,湿鞋我也认了,好在这不是个大钱包,而且最终我在慢雾的兄弟帮我破解了这也是厉害但的地方,我没备份好,我坑了,能帮我解决这个坑。不过我也冒冷汗,人之常情。也冒冷汗的感觉你肯定,就喜欢集中精力学习下如何安全地备用钱包吧。
助记词/类型
我们说过的备份,其实根本就归结为备用助词记(后文词方便介绍,一般情况下只是帮助记述)。 :
- 明文
- 带密码
- 多签
- 沙米尔的秘密分享,简称 SSS
这几种类型,我的描述很简单。
明文很好的理解,那12个单词你拿到了,里面的资产就是你的。对于,但你对人来说,但如果这个“规律”忘记了,就轮到你头疼了。千万不要觉得你的头疼是完美的,相信我,我,地球,地球的未来几年前,我玩了 Ledger 的助手时,坑了,记了 24 个单词,我抄写备份时打乱了顺序,几年后我忘记了样例规则,且不记得自己不是替换了其中的单词。如说的,我最近的问题解决了,是正确的破解程序的首要任务是正确的帮助记录单词并且能够修复其中的一个顺序把单词。
密码,根据标准,记词是密码的,之后的词还是那样的记词,只是上密码后会得到不一样的种子,这个种子就是拿来记派生出帮助带任何帮助,就像忘记了这个标准也好说下一样,密码除了匹配相关的记词助记词,也有其他地址。(BIP38) ),还有如以太坊系列常见的Keystore文件。
多,可以理解为目标资金需要多人签名授权才能使用,多签很灵活,可以设置审核策略,比如3个人关键(助记或者可以签),需要满足2个人的签名审核,资金才可以使用。各个地区的签合同有自己的多签解决方案,通过比特币系列的好意,知道的比特币钱包都可以理解智能目标多多支持。不过以太坊系列的,主要的合同约定来实现多方计算,如 Gnosis,除了普遍的多签方案,而且比较安全的多签协议:MPC(Secure Multi-Multi-Computation),即安全多方计算,但原则上比较安全却很不一样,通过MPC,可以实现通用多签,不需不同链不同的多签方式。
SSS,Shamir 秘密共享,,每个人的种子分割为多个分片(通常有 20 个单词),钱包需要指定数量的分片才能恢复。 :
https://support.keyst.one/v/chinese/gao-ji-gong-neng/zhu-ji-ci/chuang-jian-dao-ru-fen-pian-zhu-ji-ci
https://wiki .trezor.io/Shamir_backup
用了多签、SSS这样的方案,其实会放心很多,免去单点风险,但管理上也复杂了,而且这时候会涉及到很多人对多签和安全是永恒的一些,具体看自己。但别在规则、原则上千万偷懒。
加密
只要是个非常非常大的概念,不管这些,他俩其他什么高级的,加密后,以后,或者你的灾备人可以很好地解开,而其他人解不开的加密就是好加密。
“零迷信”可以看出,当每个人在钱包里,每个人都可能会发现这个人,当我们被认为是这样一个人,就像她自己的物理环境一样。自己的,其实有的时候也不可信,比如可能记忆会忘记、错乱等。但我不会把这个世界假想的那么真实,否则最终还是会把事情搞砸了。
备份时一定要特别考虑灾备。灾备主要就是要避免单点风险,万一你备份了,万一你备份了目标的环境没了,没怎么办?所以重要的东西,一定要有灾备人;重要的东西,一定要备用。
几个备人的选择我就不废话了,看你信任谁吧。我重点关注提多处备份。先看看备份的位置形态:
- 云
- 纸
- 设备
- 脑
云,不管云备份色变,看起来黑客人真的就上天入地了,永远来无影去踪迹的。其实成本,为了钱看谁都是无捧的大,是人才对抗。说起来,比较会比较微软等提供的、我会提供的云端服务,因为谷歌是一个内部人士认为我有安全感的人,但除了外部看来,我认为他们的安全性、安全性很大,我很有趣。风控的几个能力及隐私有关的约束力。保护我数据比较信任的,都把这些我在意的安全风险规矩凡得不错的。的数据(如),我一定会给钱包再做至少一次加密的。
我强烈推荐掌握GPG,除了前面提到的“签名验证”用途之外,还可以强加保密了。
https://www.ruanyifeng.com/blog/2013/07/gpg.html
好,这些内容你现在掌握了 GPG:) ,保存好,没有的。这里我需要提醒下,你的 GPG 的钱包别丢了、密码别忘记了...
到了这里,安全带来的似乎很容易适应,GPG好不容易入门了,你还得部署好GPG的私密及密码。其实不麻烦了。这点我不展开,留给实践出真知的你。
你想,还有一个方案是可以考虑的,安全点折扣,只是简单的优惠具体延迟多少折扣,但我可能会认为有某种性别的情况下我会偷懒,所以我会用主创的工具来做助手。这个工具就是 1Password。1Password 新版本已经支持直接保存钱包相关内容,如助记、密码、钱包地址等,方便用户使用。其实其他类型的工具(如 Bitwarden)也可以,只是使用看这样方便。
纸质的,很多人都会在日记里将几张质量上乘钱包的纸折,你可以助记(明、SS等形式)抄写在上面。除了纸质的,钢板的(抗火抗水抗腐蚀,我没写完后,会做验证。于电子设备。
设备,各种设备吧,电子设备是常用的一种,电脑、iPad、iPhone、移动硬盘、U盘等都可以拿来做备份,看个人开心。然后设备的安全传输,我间比较有安全感是指保持电子劫持(Air)、USB等Drop等途径对中间人的介入可能有点感觉并挺难出现的情况。有一些重复的做法(如加密)参考 Cloud 小点里的说法就行了检查。
大脑,大脑很刺激,每个人都有自己的“训练基地”的,这也很玄乎,可以,熟能生巧玩意,有记忆。注意事项记录风险:一是时间就可以淡忘或错乱;二是自己可能出出意外。
现在你都备份好了。加密不能再分了,不然以后方法都一样归于“一样归于”,因为到时候你自己可能自己解不开。根据安全规则“持续验证”,不管怎样加密及备份,代表一定要定期定期地验证,而不是定期验证,验证部分验证转头可能就忘记了。可以的最后一个需要注意验证过程的性,也和安全性。
好了,长舒一口气,其实入门是最难的黑暗的,以上你都准备好了之后,我们开始真正进入这个森林吧:)
使用钱包
当你创建好备份后,真正的大挑战才可以来系了。当时你非常的佛,不折智能也不会持有及拥有的价值资产,平时去以太坊系列的Fi、NFT、GameFi有一些相关的项目,或者说喜欢提的 Web3。其实你的成本是相当安全的。
反洗钱
嗯,也只是开始很安全”,因为这里还是有风险的,所以“人家呢中坐,你祸从天上来”。为什么这么说呢?想呀,你最的加密货币是从哪里来的?不会是在加密货币活动中可能出现,你控制的加密货币可能会出现在 AML 中(即可能是在兑现钱)。不干净的,甚至如果被直接倒霉,还可能存在在链上冻结的情况,比如公开报告中 Tether 可能在执行单位的要求下合并了一些 USDT 资金。被冻结列表可以看这个:
https://dune.xyz/phabc/usdt---禁止地址
验证是否被 Tether 冻结,可以在 USDT 合约地址进行:
https://etherscan.io/token/0xdac17f958d2ee523a2206206994597c13d831ec7#readContract
在被列入黑名单的输入目标钱包地址即可判断。USDT在的其他链大体同理(别较真)。
但你的比特币坊是不会出现在以太币上凝固的情况,可能未来中心出现了这种情况,现在很有可能会出现这种情况,我们经常会出现这种加密货币的去处。完全的真正使这些中心化在链上,发生在中心化平台里,如中心化交易所(Binance、Coinbase等)。你的加密货币在化平台里,你并意味着不是你真正拥有这些加密货币的资产,凝固的货币化平台的其实是,尤其是你的交易、提币。自媒体胡乱解读及散播比特币的各种侦查。
你的比特币、以太坊等这些性质不会在链上被冻结,但如果你的加密货币会涉及到相关单位在你的机关进出中心的箱子,会成为加密货币处理平台,转移化中心等平台可能要求将你的AML货币加密货币。
为了解决 AML 问题,需要选择最好的平台、个人等作为你的交易对手。瞎搞基本问题不大。系列上,几乎所有坏人及特别在意隐私的人选择 Tornado Cash 进行混币。
冷钱包
冷钱包本身就是有几种使用方法的,这样的钱包本身就是不连接的,那么就可以使用。钱包的使用就已经很不错了,比如imToken、Trust Wallet等都可以直接添加钱包地址,成为目标钱包地址的冷钱包的观察钱包。
如果冷钱包要发送加密货币,常见的方式有几种:
- 二维码
- USB
- 蓝牙
这几个都需要这些冷的应用程序(这里称:Light App)搭配钱包使用,这个Light App是联网的,前面提到的观察钱包。包括我们只需使用基本原理就可以理解的方式了。本质是:内容最终会在最短的时间内播出,想办法把签名后的上链。我大概解析下:
- 待签名的内容轻应用通过这些方式传递给冷钱包。
- 签名由拥有私藏的冷酷方式进行。
- Light App 将签名后的内容广播上链。
所以这里不管是二维码(QRCode)、USB、蓝牙(蓝牙)等方式,用途就是如上所说。当然不同的方式有不同的细节,比如二维码信息容量是有限的,遇到签名数据很大的时候就得分开。
使用看似麻烦了点,不过习惯了就好,甚至满满的安全感。,千万别把安全感满了,因为这里还是有的,已经有很多案例是因为这些而导致损失惨重。点如:
- 转币的一个地址仔细检查,导致币币转给其他不是人。于是坏人就换了个地址,用控制程序来跑出头尾几位激素的地址,然后用一些方法把你的转币目标换成他的地址。
- 授权相关币种给了未知地址,通常来说授权是以太坊是参数系列的一个智能合约代币的机制,就是那个批准函数,是授权给目标地址,另一个人不知道这个机制,就可能把无限数量的代币授权给转移给目标地址,此时目标地址转给权限。于是这就是这些盗窃币的方式,还有其他变种,这里就先不扩展了。
- 有的看去不去的签名,其实藏着巨大的飞行,这点也先不展开,之后会有解析。
- 冷钱包可能并没有给你必要的信息展示,让你大意、误判了。
这一切都可以归结为两点:
- 所见即签这种用户安全机制。
- 用户的相关知识背景。
热钱包
相对冷钱包,钱包有风险热钱包基本有此之外,热钱包还有个:助词(或安全)被盗风险。此时的热钱包要考虑的就多了,比如运行环境的安全,如果运行环境有相关病毒,那么有盗窃风险。还有盗窃者如果也存在漏洞,可以直接走记助词。
热钱包除了要的转币功能外,那些 DApp 监控器、NFT、NFT、GameFi 等)直接用自带的浏览器访问,直接用自带的浏览器访问,通过 DApp 或网络连接器,直接用自带的浏览器访问,通过 DApp 或 PC 浏览器打开。
注:本手册提到的 DApp 指的是在以太坊系列区块链上的智能合约项目中运行。
从的情况下,被诸如此类的目标研究是直接引导助记词被盗,钱包设计不会出现问题。盗取的风险。但这种情况比较适合,因为这实际上属于低级的错误,表明不会发生此类错误。
这里我最担心的其实都不是以上这些,这些我说都可以解决的问题(你的问题),我最关心/担心的问题是:最值得关注的问题是如何确保不会被或者这个恶意代码或后门?团队有时间与精力都进行验证。
这里所说的盗窃恶意代码或后门造成的币币事件已经好几了,比如搜索近期的Copay、近期的等,具体事件可以自行了解。
对于这种情况,作恶主要有几种方式:
- 钱包运行,恶意代码将相关助记词直接打包上传到黑客时控制的服务端里。
- 钱包运行时,当用户偷取替换地址,在钱包后台偷取及金额等信息,此时用户难测。
- 破坏助记词生成有关的每日数字值,让这些助记词比较容易被破解。
这东西,无知者无畏,知者也敬畏,很多点是细思恐极的。所以存有重要资产的钱包,我的安全原则:不做简单更新,用起来就好。
DeFi 安全到底是什么
当我们这里是 DeFi、NFT 或 Game 等等,这几个的安全提的是最特别的 DeFi,但有我们自己的。 ,指到底是什么合同?现在几乎都只看智能,看起来智能合约了不起了。
DeFi 至少安全包括以下几部分:
- 智能合约安全
- 区块链基础安全
- 前端安全
- 通信安全
- 人性安全
- 金融安全
- 合规安全
智能合约安全
智能合约安全是安全审计最重要的切入点,慢雾针对智能合约的安全审计点可以参考:
https://www.slowmist.com/service-smart-contract-security-audit.html
对于高级用户而言,那么安全合同部分本身的安全性可控(不管是自己的安全还是读懂专业的审计报告),如果有其他部分的可控性。理解,有得看好玩家的实力。表示玩家是有过大的风险,是有智能的要求、也有权授权,也无权中心化。有争议的或新出现的项目,如果你说这个项目的智能合约有很大的风险,尤其是这种情况还可以影响你的本金或收益,你就有权获得过授权。
过这种大风险是很典型的,很多权限这东西是方便做项目方许可的。但对我们来说,这就是相关的测试量方向,万一项目方作呢?折中的做法:增加时间锁(Timelock)来解决一些权限过大的风险,例如:
化合物,这个老牌知名的DEFI项目,它核心的智能合约模块会计及治理的管理员权限都加了Timelock机制:
会计处(0x3d9819210a31b4961b30ef54be2aed79b9c9cd3b)
治理(0xc0da02939e1441f497fd74f78ce7decb17b66529)
的管理地址是:
Timelock(0x6d903f6003cca6255d85cca4d3b5e5146dc33925)
上链可以直接看到 Timelock 小时的时间锁(延迟参数)为 48 (172800 秒):
Compound 的管理员(方需要更改智能合约的一些关键值时,如果跟踪项目目标,但上链后有可能,必须等到 48 小时后才能最终完成执行。)你愿意,你是可以审计管理员的每一次操作,你至少有 48 小时来反应。比如如果你不放心,你可以在 48 小时内资金把撤走。
还有一个安全的多签可以是“皇帝的新签”管理方式。这里就是,多签可以“皇帝的新签”衣”,一个人掌握多把钥匙。
这里需要,任何一个,都可能出现的衣着问题的注意,实际上却不是“这个表面上,这是一个特别安全的新安全策略感”。似乎是某个项目的时候,其实也出现过有方方的时间锁定情况。一般不会直接把时间锁定,而且也确实知道,于是放了个后门,部署了一个会还真特别有人注意到。
有重大风险,合同的其他内容也受到严密的关注,但公开还是挺安全的,这里不再是许可了,我的建议是这样的:至少可以逐步进行审计报告,才能理解智能生巧。
区块链基础安全
西北链基础是区块链本身的运行性,如:项目共识本、机安全指等。如果区块链安全本身的安全性,则区块链本身的智能合约也可以直接喝堪性忧一条拥有可以安全及广泛传播的源链,甚至可以大选择一条长流的链子。
前端安全
高级职员很容易跟用户走近了,很容易被大家哄骗了,特别是让大家上当当骗。这里我需要再次强调,前端安全是魔鬼!我这样说。
前端里在意的那个对象是我最相信的智能合约?
造成这种不安全感主要是因为以下这种风险:
- 内部作恶
- 作恶
恶搞的理解,比如开发人员偷窥前端里的目标智能合约地址,或者直接上传一个门头替换网络脚本地址。系列涉及加密货币的操作都可能是在宇宙里完成的。神不知鬼不觉,币没了。
我作恶,主要指的是:
- 一种是供应商恶作剧,比如发布依赖链的项目模块有被引入到目标后,随着打包一起被直接进入目标。这个问题):
- 一种是前端页面包含远程远程文件的这个 JavaScript 文件,如果这个目标页面可能会被黑,代表这个目标页面可能会被影响,例如 OpenSea(例如 OpenSea)的问题,并没有发生类似的项目截图):
这里说可能是因为如果方在前端以下面这样的方式来调用项目,就可以直接引用 JavaScript 文件的话可能不会受到影响:
<script src=" https://example.com/example-framework.js " 完整性="sha384-Li9vy3DqF8tnTXuiaAJuML3ky+er10rcgNR/VqsVpcw+ThHmYcwiB1pbOxEbzJr7" crossorigin="anonymous"></script>
这里的关键是一个良好的属性标签里的属性机制(SRI:ingrity,sha38 sha51,如果点 JavaScript 资源满足完整性 2 的正确性 25)64,完整性加载,这个可以很好地阻止这个 CORS 机制的响应。但使用需要目标资源支持响应。具体参考:
https://developer.mozilla.org/zh-CN/docs/Web/Security/Subresource_Integrity
等等,为什么又提了一句“因为是因为可能存在着关注的热点”。至于我的方式,我不会提了,因为下你关注的情况,在远程关注的情况下, JavaScript 文件时是否有完整性机制。不幸的是我们,OpenSea 没有,让祝福它。
通信安全
这中间,重点是HTTPS安全部分。首先通信目标网站一定要HTTPS,允许现在存在HTTP明文传输的情况。因为HTTP明文传输很容易被人劫持攻击了,这个安全传输协议已经被人劫持了代码普遍非常。如果 HTTPS 出现人劫持攻击,例如引入了恶意 JavaScript 会举到目标页面,此时浏览器会出现 HTTPS 错误的高显提示。
MyEther 是很流行的使用钱包,现在很流行,但是我已经发布了一个网络推广之外,我也没有推荐给我。 HTTPS劫持的风险。
2018.4.24,MyEtherWallet 就出现过 HTTPS 劫持的重大安全事件,回顾曝光:
https://www.reddit.com/r/MyEtherWallet/comments/8eloo9/official_statement_regarding_dns_spoofing_of/
https://www.reddit.com/r/ethereum/comments/8ek86t/warning_myetherwalletcom_highjacked_on_google/
当时的黑客是通过 BGP 这个上层协议持有了 MyEtherWallet 大量用户所使用的 DNS 服务(Google Public DNS),这导致访问 MyEtherWallet 时,浏览器出现 HTTPS 错误证书的提醒。吧,遇到错误的用户证书,原则上别继续访问了,因为这已经显示这个目标页面的安全性被劫持了。但是确实有很多用户有这个证书的安全隐患,顶多有可能下会产生错误的提示继续强制访问了。
页面已经被劫持,拦截了这些用户标签的JavaScript代码,就偷走了目标用户上的明文地址,直接在目标页面上被劫持,直接转目标走相关的加密货币(主要是ETH)。
这绝对是个经典动案例,为了黑客盗窃,用劫持刀币了,真是杀鸡了牛。之后也出现过几起类似的案例,这里就不提了。这里对于用户来说其实只需要注意一点,当你真的用了:当目标页面或玩相关页面时,一定要出现 HTTPS 错误证书提示时,就立即停止继续访问、关闭,那么你什么时候注意页面。
安全上有着个现实,是这样的:当已经出现风险时,就别给用手选择,一切给了,总会有用作无论出于种会会。其实这里相关的,比如这个 HTTPS 劫持,其实有很好的解决方案,项目方的开发人员解决了一个 HTTP 的安全责任,HSTS 具备良好的能力。开启了这个配置,发现 HTTPS 证书错误后强制浏览不让用户继续访问。明白什么英文吧?
人性安全
人的安全内容这块好坏的理解,比如项目展开作内部,这点在前面,有时也提多了。
金融安全
安全是很安全的一个概念,用户把DeFi放在,涉及到的点,最重要的一点,年化金融币,一定要好,至少要稳。玩这个DeFi我要赚钱。亏了,得让我也心服口服。
这部分可能出现诟病的有:
- 不公平开始,比如预挖、老鼠仓。
- 巨鲸攻击,这是的钞能力。
- 黑庄,看谁跑得快。
- 市场黑操作,比如这个娃的大桶,还有如目标DeFi/Token的其他DeFi/Token短套或互斥木板可能决定于其他DeFi/Token了。
- 还有一些比较技术性的或者说科学家的做法,比如抢跑、攻击、闪电贷攻击等。
合规安全
最重要的话题,前面提到的 AML(Anti Money Laundering) 有点,还有比如 KYC(Know Your Customer)、内容对用户的影响是安全的、对于证券的风险等等。不是可以对抗的,只能说当我们玩一个项目时,目标项目可能会在我们的隐私保护下,因此可能会在意的信息收集中出现这些问题。你不在意这点隐私,但却有在意的人。
例如,2022年初出现的一件小事:钱包支持地址所有权证明协议(AOPP)协议。
我下AOPP的相关设计,原来支持了AOPP的潜在关联测试能力:监管机构将会知道一个被监管的和一个不知道的钱包之间的关系。
https://gitlab.com/aopp/address-ownership-proof-protocol
这个隐私事件的反映,异想天开地表示了钱包的支持。说:并且设计协议还真可以解除这个协议。我暂时没有注意到这个PP无协议对AOPP的支持,比如EdgeWallet,他们的AOPP,他们的AOPP没有这个隐私币,而且可以让加密货币的流动性转为如果提供个人的监管,因为,因为,证明自己,外部被一些人的解除是更多用户的额外选择钱包地址的。
刚开始知道硬件 Trezor 也没有解除 AOPP 的支持,后来在 Twitter 上就迫于社区及用户的工作做了解除约定了。
你看,就这么安全一点,其实对于有人来说是隐私的大事。这里说要对抗监管,不管监管。其实在我的观点里,适当的监管监管是必需的这个话题不再继续展开讲述,以你喜欢的方式去理解就行了。
到这里,DeFi 安全的主要部分的相关内容就介绍完了。
除了以上这些,未来的新增或更改而引入的安全问题,我们说“安全是动态的、不是静态的”,指的是这点。比如现在很多项目方都有安全审计及漂亮的质量安全审计报告但地址如果认真阅读有良好的报告发现,这些报告会说明清楚,什么时间范围的安全审计内容,内容的唯一标记是什么(比如链上开源或GitHub仓库的提交地址,或者再或者目标文件的目标哈希值)。
NFT 安全
前面提的 DeFi 安全几乎所有内容都可以应用到 NFT,但 NFT 有自己独特的安全点,比如:
- 元数据安全
- 签名安全
Metadata指的主要就是图片、动图等内容,关于Metadata的具体标准建议可以参考OpenSea出的:
https://docs.opensea.io/docs/metadata-standards
这里可能带来的安全问题主要有两点:
- 那样可信的,类似或简单的能力)在那里的 URI 不是一个动态的图片,是图片项目方简单的图片化服务,NFT 的产品更改也都可以作为数字化服务图。一般使用这些IPFS、Arweave去中心化存储,以及使用IPFS的URI网关服务。
- 另一个隐私问题,简单顺便的URI是可以获取用户的隐私(IP、用户等)。
签名安全问题很严重,下面展开。
小心签名!
签名安全是我特别需要提的,因为签名协议是很多人发起数字安全事件的,尤其是 NFT 的。很少有人把这部分安全问题讲明白。
签名安全内容里首要遵守的安全内容是:所见即所得。即你的签名就是你要签名的最大签名,当你签名后,就应该是你真实的结果,珍贵是事后拍下的断的蕴。
签名安全相关的一些内容在“冷钱包”部分有提及,印象不深的回顾下一样,这里重点讲讲不讲的内容。
OpenSea 在 2022 年 2 月 2 日之前就出现过数起盗窃事件,特别是 2022.2.20 集中制造,根本原因是:
- 用户在 OpenSea 授权了 NFT(挂单)。
- 早日到达用户的相关签名。
比较的解读可以看到这个:
https://twitter.com/Nesotual/status/1495223117450551300
相关的自己签名的内容要达到真正的内容,黑客构造的待签名,热后骗取成功的用户需要,实际上并不需要用户真正知道什么是真正的目标。 ,最终得到后来的内容,构造利用数据,完成利用。
我这里拿了一个 NFT 市场具体进行说明(特别是 OpenSea)。当目标用户在 NFT 市场里授权了 NFT 挂单后,攻击者构造了正确的待客签名内容,通过 Keccak256 哈希后,在钓鱼页面上弹出了待签名的内容给用户,此时用户看到的内容如下:
仔细看,MetaMa 弹出的这个请求,能问到什么账户及余额窗口、签名、正在签名的消息,并没有内容,用户会重新点击这个“签名”自己之后,灾难就来了,的相关NFT就可以被盗走了。
这其实就是一种盲签,并不是在 NFT 的市场里签名,可以被诱骗在任何网站(钓鱼)上签名,而用户根本不需要在网站上签名这些签名的实际意义,只是知道黑客需要知道什么。 OpenSea存在盲签情况,2022.2.20后改进了,采用EIP-712进行了升级改进。即使不是盲签,但还是会有粗心大意。
这种情况下,最本质的还是签名不存在浏览器的同源策略的约束,你简单的理解为:同源策略可以确保一个行为只会在源域下明确地发生。如果签名有同源策略,非目标域名也会产生的请求签名,即使用户完成了,黑客无法确定域名下的签名用于目标域名。这里不再继续显示,协议的安全等级改进,我有注意到新的情况,我希望能尽快得到改善。
据说现在的签名但安全发现了某种首创的自己,好像很多首创的方式,变的不离其首。 ...吧,这话说的就很清楚了。很好的是,你签名的故事展开了。
对于说,取消授权(批准)是在源头上对抗可能的用户,你可以作为这些重要的工具来操作:
- 令牌批准
- https://etherscan.io/tokenapprovalchecker
是以太坊官方浏览器提供的授权检查和取消的工具,以太坊系列区块链基本都类似,因为的区块链浏览器基本都是以太坊浏览器他们为开发的,如:
https://bscscan.com/tokenapprovalchecker
https://hecoinfo.com/tokenapprovalchecker
https://polygonscan.com/tokenapprovalchecker
https://snowtrace.io/tokenapprovalchecker
https://cronoscan.com/tokenapprovalchecker - 撤销.cash
- https://revoke.cash/
老牌经典,只支持以太坊。 - 批准区
- https://approved.zone/
也是老牌,也只支持以太坊。 - Rabby 扩展钱包
- https://rabby.io/
我们安全合作比较多款钱包,他们的“授权检查及取消功能”支持的以太坊系列是我见过最多的……
小心反常识!
结束,我还想特别提出一种风险:常识性的反对风险。
什么是特别反常识,比如说你已经是以太坊们了,各种DeFi、NFT玩得小白直呼你大。此时你去玩Solana,同样也遇到了各种钓鱼网站,你可以不畏惧,轻蔑一笑:“这些在以太坊系列生态里都麻了,我怎么可能上当?”
不好意思,黑客反笑了,你当了。
好反响,让我们来看看这个常见的真实案例。
2022.3.5,一个安全提示:Solana 上的授权攻击列表空余,攻击者给用户NFT(图1),用户通过NFT描述内容里的链接(reswww_officialsolanaranet)进入目标,连接钱包(图2) ),点击上的“Mint”,出现批准提示框(图 3)。注意,此时的批准提示并没有什么特别提示,当批准后,该钱包里的所有 SOL 都被转走。
当点击“批准,用户攻击者部署的恶意合同会n”时: uD1QreiYNziDdkeALMT6b3F9Vtj3dL4DD1QreiYNziDdkeALMT6
从链上信息来看,该交易行为已经持续了几天,中招不断增加。
这里面有两个坑,需要注意的:
- 有害契约用户批准(批准)后,转走用户在的宝石资产(这里是 SOL),点在以太坊上是最远的,以太坊的授权可以钓鱼而不是以太坊的资产(ETH) ,但可以钓上的
- Solana 最知名的安全给 Phantom 在“所见即所造成”的机制上存在缺陷(其他没有钱包测试),币签用户没有完整的用户风险提醒。这非常容易造成盲区,导致丢包。
一些高级攻击方式
高级攻击方式其实很多,大多数在大众视角下无非就是:我被黑客攻击了。不过这次钓鱼可真高级了,比如:
https://twitter.com/Arthur_0x/status/1506167899437686784
黑客通过邮件发送钓鱼,邮件里的文档是:
稳定币(受保护)的巨大风险.docx
这确实是一种通过方式或通常被称为...
- 各种凭据,如浏览的,SSH用户的等,这样黑客就可以把触手伸向目标的其他东西。需要及时更改。
- 键盘记录内容,特别是收集那些临时出现的敏感内容,如密码等。
- 相关截屏、敏感文件收集等。
- 如果是勒索病毒,更进一步的目的就是将这里的设备支付赎金,一般是支付勒索病毒的费用,其实都不是勒索病毒的动作。粗暴。
官方的报道,针对特别加密货币的加密货币马会进行利用,如发现各地的秘密、盗窃的敏感信息,以实施盗窃。特别攻击:
https://securelist.com/the-bluenoroff-cryptocurrency-hunt-is-still-on/105488/
木马其中为用户的MetaMask替换了一个有后门的MetaMask,一个有后门的MetaMask就意味着你在使用的加密货币就不是你的了。即使你通过硬件钱包匹配,这个有后门的MetaMask也修改了密码目标地址、金额的方式来实施盗币。
攻击方式也是针对许多人的事件。我注意到,被事件外传的事件似乎是突然出现的突发事件。 、改进,并相信必须全面的被专业人士的安全或保持长期的合作和友谊。但是,这个世界存在例外,有与或项目的黑盘机构,如果有人曾经永远第二、第三次。说是大任起来于斯,每一次被黑都真人是遇到了对手或对手,我方会非常了解,然后降下这个项目,然后再将这个项目降下来,而且大天也能这样发展。就是,反倒是许多被黑是低级的问题,而且可以举起一三的,这真是可惜不可理解了。这种人或项目方建议远离。
那个广撒网的钓鱼攻击,其实是在域名上相近的,微博等社交平台买号散播,中招也是拿的好。没什么特别的,一般就是粗暴的让用户的授权相关代币(然后是NFT),包括盗走。
一些高级攻击,比如结合 XSS、CSRF、Reverse Proxy 等等,可以让所有攻击都有自己专属的攻击。都不能聊,可以说一个非常好的使用点(Cloudflare 整个中间人) Proxy(非常对应这个代理点)相关的场景,已经发生过真实的攻击,且隐蔽的。
这里的 Cloudflare 本身是一个恶问题项目或被 Cloudflare 的问题,并且方用了 Cloudflare,项目方的账号被盗后的。大体是这样的,你的网站用了 Cloudflare 服务,在后台管理可以说 Workers 这个功能模块,这个 Workers 官方说法是:
无服务器制造范围内部署参考,即时获得卓越的性能和全球性能。https: //developers.com/workers/
我已经做了一个测试页面:
https://xssor.io/s/x.html
你访问后会有个弹窗,内容是:
xssor.io,被 Cloudflare 劫持。
真的是这个弹幕,甚至整个 x.html 都不是这个文件视窗提供的,全部都是 Cloudflare 的,原理下图:
如果屏幕截图可以显示你的英文很容易:我是,我是,我是,我的Cloudflare账号,我很简单,我的工人特性,向任意位置显示任何有害的效果。偷偷劫持持窜篡改了页面上的人员不会有任何错误(HTTPS 证书提示错误),甚至项目方也一时会意识到地方会出问题,可能会查出这样的安全隐患,比如排服务器、等时间。意识到这个,损失很大了。
Cloudflare 非常好,许多网站或 Web 使用 Cloudflare 来 Web 防火墙、对抗 DDoS 攻击、CDN 加速、反向代理等场景,有免费做的版本,所以用户 Cloudflare 的,还有 Akamai 等服务。
用户会注意自己的使用账号的安全性,账号安全问题从互联网上开始流行,随时随都在谈,然后似乎总会出现任何危险,确实有很多人会因为账号安全而被黑。比如说重要服务的不是唯一使用密码的(1密码得强密码,甚至不是管理软件全球范围内玩密码的成功率,甚至是堪堪密码)别提一些服务,每年至少要重置下密码吧。
好一点,各种高级攻击方法就介绍这些。对于你来说,首先只是了解这片黑暗森林,但可能就有了解凡事的攻击方法。 ,你至少也可以安全成为一名非网络职业人员了(这样的一种身份多好,多不压身)。
传统隐私保护
不容易,你学到这里了。传统隐私保护老生常谈了,2014年我就写过一篇:
隐私大爆炸,你得学几招保护自己
https://evilcos.me/yinsi.html
回头看这篇文章,将根据不同的建议,过一段时间,我建议你分泌,从根本上来说,这种类型的安全性。你也可以认为是保护这当然是你的隐私,保护什么隐私的属于的那种。基石都不安全了,基阁的隐私没有了,上层建筑也是空中楼阁,危累卵,脆弱了。
这里有资源是我非常推荐的:
一个是:
用于更安全的在线通信的监视自卫
技巧、工具和操作方法
https://ssd.eff.org/
SSD(SURVEILLANCE SELF-DEFENSE)监视即自卫,由非常知名的电子边缘基金会(EFF)发起,在监视世界的相关指南中告诉你,在/监视横向的互联网里,避免老大哥(Big兄弟你。包括广泛有用的工具(比如、Tor、WhatsApp、Signal、PGP等)。
另一个是:
隐私指南:使用加密和隐私工具对抗监视
https://www.privacytools.io/
网站是罗相关的这个工具,已经全面了。看到了怎么?它没有加密货币、钱包等。套上自己的方式,你也应该逐步形成你自己的方式,不断对比不断完善。
这里我重点提下我觉得你都必须掌握或使用的工具。
操作系统
Windows 10(及以上版本) 和 macOS 的安全性都舒适驾驭了,你选择哪一个都行。的操作系统也行。
操作方面最容易上手的安全原则是:高性能系统安全更新,有安全更新就立即行动。对于一些电脑驾驭技能的掌握,很多人说Windows、Mac还需要学习什么驾驭技能?对于小白来说,一个杀毒软件是绝对的定格,卡巴斯基、Bitender这种口碑安全的好,Mac也不错。
下载的安全原则,有提。不乱下程序其实已经杜绝了一些注意事项。
然后可以想下,你这台电脑丢了、被偷了怎么办?时我建议对于重要的电脑设置好加密保护。
https://docs.microsoft.com/zh-cn/windows/security/encryption-data-protection
https://support.apple.com/zh-cn/HT204837
还有 VeraCrypt 这个加密加密神器,是 TrueCrypt,非常传奇,非常成功。
https://veracrypt.fr/
更进一步的 BIOS 或者你的神密码启用了。这点看自己可能是一定要牢牢记住相关密码,否则我很可能只是简单的把你救了过去。想去,但浪费了一台笔记本、一笔加密货币、一周的时间,积累了宝贵的坑坑经验。
手机
早期的主要、安卓手机,手机系列了,我很喜欢的黑莓,没性了。以前的安全性,被时代了。品牌自己的fork版本现在有很多性安全好。
手机方面同样要强调系统的安全及下载的安全原则,并且关注以下这方面的安全原则:
- 不要再越狱、破根,你的安全研究,不然没必要。如果是为了盗版软件玩,香不香得看你的驾驭能力。
- 不要从非官方市场下载的App,还是注意那段文字,即使你能驾驭它。而且即使从官方市场下载的App也存在很大的假的,区别。
- 官方的云同步使用的孩子是:账号安全方面你没问题,不然云端控制,手机是麻烦了。
手机方面,我会更依赖 iPhone。
网络
网络方面的安全发生了坏透了,持这几天逐渐好起来了,特别是HTTPS系统无处不在的网络传播后。凡凡是异常安全的,所以网络方面,可以选择当然有安全的选择。 Wi-Fi,尤其是 4G/5G 性高的网络如此普遍的情况下,有问题,着急使用。
你出现路由器敏感的设备是考虑网络的恶习、运营商,不会非常安全地独立图小便宜,并且当前、运营商如果可以表现出高级行为。
浏览器
Chrome、Firefox 是加密货币行业的主要主要传播者,还有人会,也行。使用安全性高的团队强大的,更新比较及时。说,你注意这里就好:
- 有更新就及时更新,千万别侥幸。
- 扩展无需不需要安装,安装也必须看清楚口碑、用户规模、上面是哪家知名公司维护的,并要求扩展申请的权限,还有浏览器自己的应用市场。
- 其中浏览器可以多个共存,强烈建议:重要的操作在一个浏览器中进行,而其他一些、不重要的操作可以在另一个浏览器中进行。
- 一些隐私保护的已知扩展(如 uBlock Origin、HTTPS Everywhere、ClearURLs 等),个人你很高兴。
Firefox 上震我会用 NoScript 这个上古扩展神器,NoScript 可以很好地对抗 JavaScript 作恶年,安全威四方现在。安全响应头策略、扩展现在安全策略等等,确实的安全高度是同日而语。NoScript这种安全扩展被使用的空间是不可小觑的,可以自行了解。
密码管理器
前面也说过,一是时间快忘记忘记或错感;自己可能会出事故。
我需要过多讲解这部分内容,相关教程太泛滥了,甚至部分教程也很容易上手。我不需要提醒的是:
- 千万别忘记你的主密码,且主密码相关的账号信息端别被盗了,不然一会。
- 这些坏人的邮箱安全,如果你的邮箱被,这让你在发射的内容中准备好发射的内容,但有能力管理你的邮箱。
- 我提到了我所提到的 1Pass 的过过性,并一直在观察工具(如工具显示)我的安全性、传播性、等,并无法确保这些具有绝对高度的安全性,尤其无法确保未来不会出现任何事件。
有一点我是很欣赏的,比如 1Password 的安全页面相关介绍和说明:
https://1password.com/zh-cn/security/
包括安全设计及安全相关的鉴定认证、安全设计内容、这些安全审计报告等的透明公开也是方便进行的验证。
Bitwarden实施更具体,是全开源的,包括服务端,审计人员都可以去验证、审核、贡献一些。
你意识到没了1Passwordwarden的角色很明显、很明显:
我自己说出来的内容也很安全,我说出来的内容也很透彻,甚至是为了方便你们验证,我付出了很大的精力把能透明了。没做,你很容易来挑战我。
这叫什么?这叫安全自信:)
双因素认证
你在互联网上的安全,第一层是靠密码,第二层得靠因素,第三层靠目标项目本身的双风控能力。在用的去中心化设备中,有高级密码已经完成了(都没有装备人脸、现在基本在双生物识别来提高体验的要素吧。但在中心化平台里,双要素可因为不能在中心化平台任何人都访问或有能力访问。当地的认证,即使黑客能够拿到这个密码,还需要有钱包接触到你这个地方的设备。
明白其中的双认证了吧?好,认的(2FA)工具有:Google Authenticator、Microsoft Authenticator等,当然如果你用密码管理器(如1Password)也自带了2FA功能的,非常方便。都做好备份,遗嘱2FA 是因为一件很麻烦的事。
另外,双项认证也可以是一个广泛的概念,比如账号、目标平台时,我们的账号一般是邮箱或手机号。此时邮箱通过接收验证码的方式来进行第二步认证,这也可以认为这是一种安全的方式,所以黑色的认证方式也很好,比如邮箱或手机的 SIM 卡被劫持了,或者发送邮箱,这是再一次的服务。被黑的验证码被泄露了这么多。
科学上网
这块出于政策原因,不多说,能力出众的自己对比。有肯定自建,这样安全可控,归根结底我们的出发点还真是科学上网、上网。
如果不是自建,当时就很难出现其中的人。前面说过,现在网络现在并没有涌现出来,尤其是HTTPS无处不在被策略传播了。但有些人可能表面上,周围环境保护不会暗动,却不容易出现。多知道,所以这块特别安全并没有好的建议,自建有窗帘,但确实不能,一定是方确认,选择我的品牌已存在久、口碑良好的。
信箱
是真正的网络身份,我们会用邮箱注册一大堆服务,我们用的邮箱几乎都是免费的,看起来像空气一般,你觉得它应该不会重要。如果哪天,它消失了?这一系列的事情当然不会发生这样的事情,因为这种情况真的不是战争、天。了。
邮箱方面,但这些必然是对你的关注点,如Gmail、Outlook、QQ等安全邮箱。每一个邮件都需要搭理、封邮件的附件,病毒木马可能就藏在其中的附件里。
如果你遇到针对邮箱的高级攻击,那只能自求多福。
如果你在私信的邮箱服务之外,如果你在意隐私,你可以很好地了解这些隐私邮箱,可以很好地了解这些私信邮箱。我的建议是:Proton 和 Tutanota ,并且注意下活跃频率,长时间不活跃,免费有可能回收了。
SIM卡
SIM卡,也是手机号的时候同样很重要的基础身份。这些年我们国家的大运营商对手机号的安全保护库很多还是很不错的,比如扩容、重办SIM卡是有几类的安全认证流程,这些都发生在营业厅里。SIM卡攻击这块,我举个案例:
2019.5,有人的 Coinbase 讲述遭遇 SIM 卡转移攻击(SIM 卡转移攻击),损失超过 10 万美元的加密货币,很惨痛。攻击过程大概是:
攻击者通过工程学等方式获得了目标用户的隐私,并到运营商上反社会的新SIM卡,然后通过手机号轻松搞定目标用户在Coinbase。 SIM都转移,很麻烦了,基本来说我们在线服务都是通过手机号来做二次验证或直接身份验证,这是一个非常中心化的认证方式,手机号成为攻击的点。
详细分析可以参考:
https://medium.com/coinmonks/the-most-expensive-lesson-of-my-life-details-of-sim-port-hack-35de11517124
这块的防御建议也很简单,启用了知名的 2FA 工具。
SIM卡还有风险,如果手机丢了或者被盗了,SIM卡被拿来参考我就尴尬了。或者重新使用SIM卡都需要输入正确的密码才可以。具体请自行查询。我只提醒:忘记了这个密码,否则打扰,耽误事。
GPG
这部分的很多知识点在文中都提到了,不过这里以前再传播个小概念,以方便日后理解:
偶遇PGP、OpenPGP这几种看似相似的叫法如下:
- PGP 的开头是很好的加密软件,现已发布 30 多年了,在铁克麾门赛下。
- OpenPGP是一种加密标准,衍生自PGP。
- GPG,全称GnuPG,基于OpenPGP标准的开源加密软件。
别整我有其他好词的,安全加密这块,GPG绝对可以用强力提升安全感!
隔离环境
最突出的隔离这些环境这个安全原则,首先要具备一定的信任安全原则。你迟到:我们即使再强大,也被人早早相信的事情,不管是外部的人、内部的人还是人。当被人黑的时候,能力可能是第一步。因为有许多人被加载了而被黑。因为许多本质就是存在的,大部分是安全的,阻止其设计类型粗暴的安全原则。
一个很好的隔离习惯,当被黑的时候,损失的只是被黑目标的那些隐私,而不会危及到其他隐私。
- 如果你的密码可以安全习惯,当你其中一个账号被黑时,同样的密码就不会危及及到其他账号。
- 如果你的加密货币不在一个助记词下面,也万一踩坑,你不会归零重启。
- 你的电脑中毒了,好在有多少问题是来浪的电脑,里面并没有隐私,那你也不会吵,重解决问题的机器。如果你安装可以使用虚拟机,那不错的虚拟机工具有:VMware、Parallels。
- 提到的许多,你都可以公开两个账号、两个工具、两台设备等等,你以后也至少能打造出一个真实的虚拟身份不是完整的。
我以隐私过私是拿来保护的观点:不是来保护的。
这个世界上的私心,也是大家在追求隐私的同时,在全球范围内,每个人都在追求完美的发展方向。但在此之前,只要一列,当自主掌握了我罗的这些知识,你就有能力在互联网上你的隐私游刃有余地着着。好几个。
人性安全
《三体》里有话说:“小和无不是生存的障碍,傲慢又是。”
- 另外,如果你觉得你可以傲慢一切,傲慢你自己得瑟就好了:尽管如此,无视看来,是特别是慢到挑战全球黑客的境地。学无止境,无止境。
- 别贪心:贪确实是很多时候前进的动力,但要磨练下,凭什么好留给你这个?
- 另一种是宝石宝石,处处遇宇宙,没有探险的地方。
有的几个人的注意点,说冰也说不完,而且关键是我自己也有很多关键的战绩。的,坏人利用一些平台的便利性来将人性弄弄得死死的。
电报
以前我说过 Telegram 是最大的暗网,但首先说 Telegram 可能太强,安全、稳定、的开放性设计让很多人喜欢。 Telegram 的文化背景也让人们很喜欢:Telegram网络推广使用了,用户基数高涨,非常方便定制各类Bot服务,结合货币加密可以让很多交易体验Tor里里那些暗网市场的开放性。 。
社交账号的唯一类似的都是什么用户名或XX号之类的,其他都可以被坏人混用。有这样的社交平台有账号认证机制,完全加蓝V什么的。从一些指标来看是真账,比如关注情况、发布内容、内容互动等的情况。但不是有些情况的社交确认上,类似Telegram的挺不错的。
人是这样的,但有果实可观的时候,可以被很好的坏人来钻。
社交平台上显示一个私聊你的名字里(比如你在聊着聊着,似乎有一群人需要去官方的客服聊聊,嗯,可以随意的私聊 Telegram好友),一些杀猪话术,一些人就会陆续上钩了……
更进一步,话拉你进入另一个群体,里面的人除了你,其他直接仿冒的。但你一看就觉得特别真实。黑产里的群聚技术指的就是这种。
这些都是初级的人性利用,高级点的结合漏洞来利用,更是难防。
不和谐
Discord 是一个独立平台的基本功能,聊天最常见的一个,官方拥有的这些功能,核心功能是一个社区的功能(不是传统理解的服务器),
Discord 致力于与您的朋友、家人及交谈组成您闲逛的地方。一起的大型服务器。
看去美好,但实际上安全设计也是挑战规则的,官方也很努力,有一项安全及政策说明:
https://discord.com/safety
另外,官方也必须重点把一些核心安全问题,因为有的安全问题必须站在攻击者角度说明。
下面点出其中一点。
Discord 发生了很多起 N 盗案,但没有问到这方面的技术要点是什么?
很多项目方的 Discord 被服务器占用了的技术要点是当时的 Discord Token,其实这个玩意是 HTTP 请求头里的授权参与领域。几乎可以控制这个 Discord 的目标,完全作恶令牌的管理目标,如果目标是管理员、权限的人,那么黑客或就可以使用这些权限来获得。
比如说,发布 NFT 钓鱼网站,大家一看:官方发布的公告,于是就一股脑儿冲进钓鱼网站了……
可能要问,我的 Discord 吗?账号增加双因素(2FA)认证 OK 绝对好习惯!但这个攻击是不可能的!Discord Token 无你是否开启了 2FA。你中招过,如果你应该立即更改Discord 密码,这样刷新 Discord Token 然后变化了。
话说,防御建议其实挺多的,是一个很明显的关键不贪,多方验证。
来自“官方”的钓鱼
人真的很像上面有势的事情,是特别借用官方的势。能冒冒仿就仿冒很像很像,如提过的客服。还有如 022.4 出的,Trez 或坏用户 2 借钱的许多人的硬件钱包就收到了 Trezor.us 的钓鱼邮件,其实 trezorus 是 Trezor 的官方域名。Trezor 的官方域名只是 trezor.io。
https://suite.trẹzor.com
这个域名是有“自己的魅力”,仔细看那个迷恋的那个ẹ 中文性的标准说明。
A Bootstring encoding of Unicode for Internationalized Domain Names in Applications (IDNA) 也就是国际码域名编码,可以表示 Unicode 和 ASCII 的有限字符集。
如果把trẹzor解开后的样子是这样的:xn--trzor-o51b,这才是真身!
Punycode这种炒作的方式,一年前就用了,比如2018年安的一些用户就中招过。
就可以让很多人上当,另一种提高级的攻击方式,比如一些官方邮箱被控制,还有一种邮箱 SPF 配置用户问题更广泛的更多攻击。在眼里看到的邮件来源就是一模一样的官方特征。
项目内部是人作恶,那用户就自多了。木马,最容易被调查上。有的人安全意识实在太差,在思进取。这种人,谁招谁倒霉。
Web3 隐私问题
Web3 的流行,越来越多有趣或无聊的项目出现,如各种 Web3 基础设施、社交平台等。画像的行为行为了,每个区块链上的画像也都出现在了那些属于自己的平台上。画像一出,基本就透明了人的目标。而 Web3 的社交平台可能会受到侵犯隐私的问题。
很多人以为你会想这些各种玩意都在,当像签名、链上不想玩各种想玩等,但你的隐私并没有更多的网络攻击?拼图其实就是喜欢输出更全面的画像:你收藏了哪些 NFT、你加入了哪些社区、你在哪些白里、你和谁有关联、你有哪些 Web2 留言、你活跃如果你在意,那么对待一切新事物,并保持隔离身份的好习惯。
此时,如果不小心被人关注,所付出的已经不是资金那么简单的了,是一切关注维系的Web3权益。我们常说所有盗窃的身份,现在看来真的是了。
人性安全部分就先到这,不继续展开了,你举起一三。
永远不要去道德。
区块链作恶方式
链圈、区块链、加密货币、虚拟货币、数字货币、Crypto、3,一切的核心货币几乎都还是围绕着这个区块链。最流行的都有关这个玩意的活动,比如,非同质化币(NFT,也包括数字藏品)。
这些恶性链的出现方式,也有一些比较奇特的作法:盗链方式、多种行业具有超强、多体、多体、多体等特点。 2019.1,做个想法导图可做参考:
https://github.com/slowmist/Knowledge-Base/blob/master/mindmaps/evil_blockchain.png
我们不断在更新维护的SlowMist 区块链被档案大量的案例索引,黑笔记录库,历史记录:
https://hacked.slowmist.io/
本手册有很多安全点,如果你能说出自己的,那真是恭喜你。至于这些五花八门的作恶方式,我就不准备展开了,如果你有很多,你应该自己学会于扩展。了解绝对是的坏事,出不穷的新型作恶方式,更能变种。
被盗了怎么办
那件事当是被黑当是被黑的。那么,加密货币被盗时早该怎么办?我就简单地切主题。大体是这样。
止损第一
止损就是让损失不要放大了。
- 眼前的急迫的阶段。眼前的绝对是务之急的,就好像你正在追踪资产安全,你还想跑你跑来抢夺的抢着抢夺当权资产呀。有经验的,就抢夺资产安全看资产类型,如果是那个可以链上分析的,就可以链上联系升级。有能力追踪的发现资金中心平台,就可以联系做必要的风控。
- 继控制之后阶段。要稳稳地琢磨之后,重点磨练如何不会出现、二次伤害。
保护好现场
发觉出事了,从未有过,深呼吸后,一定要保护好现场。有几个经验供参考有关:
- 鉴于电脑、这些服务器若有查获设备,有事件曝光,系统断网,立即曝光(电源持续曝光)。你说的没错,如果你的反应能快过的话...
- 证明你自己的能力,否则等待专业安全人员有获取分析的能力。
这关键点我们遇到的一些情况很可能是:当我们在场进行分析时,现场已经乱七八糟了,甚至关键消息(如日志)都被清理干净了。没有保存的发现的案子,造成重大影响的分析与溯源。
分析原因
这个时候事故就很重要了,也叫验尸报告(Post Mortem Report),国内把验尸报告翻译成验尸报告的,我们喊报告就行了。
不同情况下,我们被许多人发出通知,来表达我的准确率,但我可以更准确地表达不同意见或正确的画作报告。至少把下面的说明下:
- 1概要:时间、发生了什么、人总损失多少?
- 概要2:损失相关的钱包地址、钱包地址、币种类型、数量,一个表格比较清晰了。
- 这张照片需要把这点作为最恶毒的描述:这里需要把过程的方方面面描述出来,这个过程甚至会分析出有关黑客的表面细节,包括最终输出的人物画像()
我们具体在约会,模板会复杂,循循渐进的时候的很多问题。甚至人的记忆也有,出现刻意隐瞒关键的关键。 ,我们需要用我们的经验去做好引导事故的工作。最终和丢的人或项目方一起出具报告,并不断更新每月的事故报告。
追踪溯源
可以看出,我们有寻根溯源、用看似简单的线索来做我们的追踪。 ,并不断追踪这个过程,这是一个、重复的画像。
追踪源包含两颗宝石:
- 上情报中心:针对链上地址分析资金,监控进驻了交易所、混币平台等,预告了新的转移。
- 链下情报:这部分信息包括:黑客的IP、信息、邮箱及部分信息关联查询出来的更丰富的信息,其中包括行为。
可知追踪追踪工作的追踪工作,甚至需要源执法单位的这些情报公开。
结案
几个都希望有一个好的结局,历史上披露的公共事件中我们重点参与的并且有好的结局,举个例子:
- Lendf.Me,价值2500万美金
- SIL金融,价值1215万美元
- 保利网,价值6.1亿美元
我们亲人的这些但过程还有很多未公布的好结局、还行的结局。大部分的结局,我们在挺遗憾的。一个台阶。
这部分就简单的提到这点,我并不详细展开,这块的知识量是巨大的,有的我也不擅长。根据不同的场景,我们需要掌握的能力有:
- 智能合约安全分析及取证
- 链上资金转移分析及取证
- 网络安全分析及取证
- Linux 服务器安全分析及取证
- Windows 安全分析及取证
- macOS 安全分析及取证
- 手机安全分析及取证
- 恶意代码分析及取证
- 网络设备或平台的安全分析及取证
- 人员安全分析及取证
- ...
几乎是方方面面,本手册面涵盖的方方面面,但几乎都只是在门面而已。
误区
手册开始就你需要一直保持一个猜想!包括本手册提到的任何知识点。这是朝气蓬勃的、潜力巨大的行业充斥着大量的飞行区和乱象。我们来了其中的一些,这些区域如果当成真理,不加思考的话,就很容易掉入飞行中,成为乱象的一部分。
代码就是法律
但有一个项目(特别指代合同相关的)被黑代码了,他们几乎没有人希望跑即代码的路,最终还是会依附真法律。
不是你的钥匙,不是你的硬币
很多人发现了自己,并没有能力驾驭自己的钱包,反而因为,丢了驾币的各种会。大且良好的平台里,反而安全了许多。
我们信任的区块链
因为区块链确实有能力解决根本问题可以授权走我的资产,篡改我的活动实际上是残酷的,不是所有区块链具备的能力。但是,这些黑客行为永远是经得起最大的突破点。对抗跨界,当防备的魔物的,虽说攻破了是成本的资产,但你确实存在这样的实力,但你这样去黑掉了你的实力,看起来很适合你图了。
我的建议说的很简单:保持对一切的默认安全不信任(也就是默认怀疑一切),并做好持续验证的工作。验证(验证)是很关键的安全操作,持续验证是要告诉你,不是真实的未来的验证能力,此时没有问题,不代表出问题。欺负你。
密码学安全就是安全
没有这么多密码学家的努力,这么多扎实的密码学算法及工程实现,别说我们的通信技术、互联网技术、区块链技术很谈了。却把密码学成一切的安全,然后当安全出现一些很重要的疑问:
区块链不是很安全的为什么?秘密号不是说破解需要多少亿亿年 FBI 破解了暗网比特币吗?
这些疑问我都忍心……不能忍是有可能忽级安全拿走、什么军事加密、殿堂级加密、宇宙级加密、系统特别安全、黑客黑客安全没辙。
黑客懒得理你...
被黑很丢人
黑黑但当时心情很复杂,黑确实也存在丢人的感觉。你明白是100%普适现象,绝无异常。没必要五十步需要,没必要觉得丢人就救命。遮掩。
黑后,如果你可能需要黑来处理自己的责任,那随意;如果你有一些、大部分的态度会引起你的责任,一个人的态度和责任就很关键了。来我自己、质疑、甚至动辄说你在自演这起起导事件。
一个透明开放且不断更新的被黑处理解除,再上去的引以为豪,你引来好。丢人的不是被黑,丢人是:傲慢。
虽然说黑被人是100%普适现象,因为大量是小坑,踩过小坑,加速成长,大坑还是得避免之。
立即更新
本好手册现在很适合我建议更新,有更新的安全性。那么你想下,我的这种类型是否就具有性?
这是这样的:大多数时候,针对安全方面是对“但立即更新的”。有些时候,更新解决了另一个问题。历史上可能会发现很多其他问题,可能会涉及到很多,自己。我举个例子,关于 iPhone 和 Google Authenticator 的:
iPhone 新版15 系统升级后也有风险,身份验证器 Google Authenticator 里面的信息可能会清空,可能会double,如果发现double了千万不要删除重复的条目,这会导致重开 Google Authenticator 里面的信息的信息最好全部遗弃一下。 建议未升级 iOS 15 系统且有使用 Google Authenticator 的先备份再升级。
后来,这个问题,Google 更新了 Authenticator 来全面解决了。
这一点的更新我是没有这个推荐的安全钱包的重要功能,尤其是重要的钱包功能。除了重要的是你需要更新钱包,或者让你很重要的更新之外。需要自己来做风险及替代了。
总结
本手册开局图:)
你有没有?是的,当强强时,没有人可以欺负你
我顺着图开始,从创建钱包到备用钱包再到使用钱包这三大过程讲解了许多安全要点。接着介绍了传统的隐私,我说传统的这些是基石,是我们地安全玩区块链生态的基石。人性安全部分再多提都不过。那些五花八门的作恶方式,多了解,甚至踩了几个坑,很多纸上谈兵的安全意识真的成了你的安全意识。没有绝对的安全,于是我办事但指导安全了被盗了怎么办,我不希望你被盗,万一发生,我希望这份盗窃后的指南可以给你带来。就是希望你有自己的批评思想,因为这个世界很美好,但也有很多糟糕的想法。
我已经很久没写这么多了,上还是10年前,我的那本《网络前端玩了防黑客技术秘笈》,爽。 ,引擎团队制作了一个网络空间搜索钟馗之眼(ZoomEye)。我涉猎的只是防盗这个领域的人多,但能说带的也只放了一个。
现在玩区块链这些安全,我还好,还是整个慢,都觉得跑在比较前面的。心得没有记录下来确实遗憾,终于在数位朋友的催促下,这本手册诞生了。
当你读完本手册后,一定需要实践起来、举手投足、举一反三。之后你有自己的发现或经验,我希望你能贡献出来。
最后,我需要致谢安全隐私相关的立法与执法在全球范围内的成熟;各代当之无愧的密码学家、工程师与正义黑客及一切参与创造了这个世界更好的人的努力,其中一位是中本聪。
附
安全规则及原则
提到手册的安全文字及原则,整理成。有这部分是关于大段里的,就不用做特别提炼了。
安全规则:
- 零信任。简单来说就是保持怀疑,而且是永远保持怀疑。
- 这种持续验证。你要,你就必须有能力去验证你怀疑的点,并把能力养成习惯。
安全原则:
- 上的知识都参考至少两个来源,彼此佐证,信息始终保持网络提示。
- 做好隔离,也就是不要随便找一个篮子里。
- 对于存有重要资产的,不用做轻松更新,钱包用就好。
- 所见即所即你所见的内容就是你要签名的内容,当你签名应该是你发出后的真情,所见即是你所见的事情后的结果。
- 任务系统安全更新,有安全更新就立即行动。
- 乱下其实已经杜绝了风险程序了。
原文地址:https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook
推荐阅读
- 上一篇:2008年信托资产规模(2020年信托业资产规模)
- 下一篇:虚拟货币网络犯罪的管理
-
国际虚拟货币投资人(国家对虚拟币从业人员怎么定罪)
1970-01-01
确实会提到一些具体的,请注意,能被提到的必然是我有基本信仰的,但我在使用过程中可能不会出现安全问题或钱包可能不在我的范围...
-
虚拟币平台怎么下载的 虚拟币平台怎么下载的啊
1970-01-01
确实会提到一些具体的,请注意,能被提到的必然是我有基本信仰的,但我在使用过程中可能不会出现安全问题或钱包可能不在我的范围...
-
花火虚拟货币?神机花火泽丽炫彩如何获得
1970-01-01
确实会提到一些具体的,请注意,能被提到的必然是我有基本信仰的,但我在使用过程中可能不会出现安全问题或钱包可能不在我的范围...
-
虚拟数字货币内容有哪些(虚拟数字货币内容有哪些呢)
1970-01-01
确实会提到一些具体的,请注意,能被提到的必然是我有基本信仰的,但我在使用过程中可能不会出现安全问题或钱包可能不在我的范围...
-
虚拟货币网站建设(正规的虚拟币交易平台怎么判断)
1970-01-01
确实会提到一些具体的,请注意,能被提到的必然是我有基本信仰的,但我在使用过程中可能不会出现安全问题或钱包可能不在我的范围...
-
虚拟数字货币2022(虚拟数字货币)
1970-01-01
确实会提到一些具体的,请注意,能被提到的必然是我有基本信仰的,但我在使用过程中可能不会出现安全问题或钱包可能不在我的范围...