買以太坊 買以太坊
Ctrl+D 買以太坊
ads

APP:區塊鏈黑暗森林自救手冊_影視幣區塊鏈有哪些

Author:

Time:1900/1/1 0:00:00

前言

區塊鏈是個偉大的發明,它帶來了某些生產關系的變革,讓「信任」這種寶貴的東西得以部分解決。但,現實是殘酷的,人們對區塊鏈的理解會存在許多誤區。這些誤區導致了壞人輕易鉆了空子,頻繁將黑手伸進了人們的錢包,造成了大量的資金損失。這早已是黑暗森林。

基于此,慢霧科技創始人余弦傾力輸出——區塊鏈黑暗森林自救手冊。

本手冊(當前 V1 Beta)大概 3 萬 7 千字,由于篇幅限制,這里僅羅列手冊中的關鍵目錄結構,也算是一種導讀。完整內容可見:

https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook

我們選擇 GitHub 平臺作為本手冊的首要發布位置是因為:方便協同及看到歷史更新記錄。你可以 Watch、Fork 及 Star,當然我們更希望你能參與貢獻。

好,導讀開始...

如果你持有加密貨幣或對這個世界有興趣,未來可能會持有加密貨幣,那么這本手冊值得你反復閱讀并謹慎實踐。本手冊的閱讀需要一定的知識背景,希望初學者不必恐懼這些知識壁壘,因為其中大量是可以“玩”出來的。

已有三分之一的央企明確涉足區塊鏈領域:3月初,國資委監管的央企復工復產率已超90%,在央企的帶動下,中小企業復工復產率也在穩步提升。央企作為產業“火車頭”的帶動力,也作用于區塊鏈領域,央企參與的區塊鏈正在協同產業鏈的中小微及服務機構快速上鏈。中國鏈網的雛形已經顯現。據統計,當前的96家央企中(截至2019年12月,國務院國資委管理),已有32家明確涉足區塊鏈領域,占比升至三分之一。(互聯脈搏)[2020/3/21]

在區塊鏈黑暗森林世界里,首先牢記下面這兩大安全法則:

零信任:簡單來說就是保持懷疑,而且是始終保持懷疑。

持續驗證:你要相信,你就必須有能力去驗證你懷疑的點,并把這種能力養成習慣。

關鍵內容

Download

找到正確的官網

Google

行業知名收錄,如 CoinMarketCap

多問一些比較信任的人

下載安裝應用

PC 錢包:建議做下是否篡改的校驗工作(文件一致性校驗)

瀏覽器擴展錢包:注意目標擴展下載頁面里的用戶數及評分情況

聲音 | 宇信科技:暫未就區塊鏈項目與央行展開合作:宇信科技9月24日在互動平臺表示,公司暫時未就區塊鏈項目與央行展開合作。已落地的項目為與部分銀行客戶及非銀行客戶的合作。[2019/9/24]

移動端錢包:判斷方式類似擴展錢包

硬件錢包:從官網源頭的引導下購買,留意是否存在被異動手腳的情況

網頁錢包:不建議使用這種在線的錢包

Mnemonic Phrase

創建錢包時,助記詞的出現是非常敏感的,請留意你身邊沒有人、攝像頭等一切可以導致偷窺發生的情況。同時留意下助記詞是不是足夠隨機出現

Keyless

Keyless 兩大場景(此處區分是為了方便講解)

Custody,即托管方式。比如中心化交易所、錢包,用戶只需注冊賬號,并不擁有私鑰,安全完全依托于這些中心化平臺

Non-Custodial,即非托管方式。用戶唯一掌握類似私鑰的權力,但卻不是直接的加密貨幣私鑰(或助記詞)

MPC 為主的 Keyless 方案的優缺點

助記詞/私鑰類型

明文:12 個英文單詞為主

帶密碼:助記詞帶上密碼后會得到不一樣的種子,這個種子就是之后拿來派生出一系列私鑰、公鑰及對應地址

聲音 | 李東榮:依托區塊鏈研究工作組等 就國內外金融科技熱點重點問題開展深入研究:據人民網報道,中國互聯網金融協會會長李東榮做客人民網視頻訪談表示,從四方面加強金融科技發展,其中提到: 第一,依托移動金融專委會、網絡與信息安全專委會、金融科技發展與研究工作組、區塊鏈研究工作組等,牽頭組織行業研究力量,就國內外金融科技熱點重點問題開展深入研究,主要包括英美及部分新興市場國家金融科技監管最新進展,網絡借貸、股權眾籌等金融科技業態國際比較,監管科技、監管沙箱發展情況,大數據、云計算、人工智能、區塊鏈等技術在金融領域的應用情況等。其次是持續加強金融科技標準化建設,提升行業標準化規范化水平。三是履行社會組織對外交往職能,不斷加強金融科技國際交流合作。 第四,協會綜合運用自身掌握數據,以及司法系統、科技公司等第三方合作數據,針對互聯網資管、網絡借貸、ICO、互聯網非法外匯交易、涉嫌違法違規宣傳活動等重點領域持續開展監測。[2018/12/27]

多簽:可以理解為目標資金需要多個人簽名授權才可以使用,多簽很靈活,可以設置審批策略

Shamir's Secret Sharing:Shamir 秘密共享方案,作用就是將種子分割為多個分片,恢復錢包時,需要使用指定數量的分片才能恢復

Encryption

多處備份

Cloud:Google/Apple/微軟,結合 GPG/1Password 等

聲音 | 證監會原副主席:區塊鏈可以把中間成本大量抹掉:在BAC 2018區塊鏈應用大會上,證監會原副主席、中投公司原總經理、清華大學法學院教授高西慶以“區塊鏈應用的監管”為主題發表演講,表示區塊鏈可以把中間成本大量的抹掉。[2018/11/26]

Paper:將助記詞(明文、SSS 等形式的)抄寫在紙卡片上

Device:電腦/iPad/iPhone/移動硬盤/U 盤等

Brain:注意腦記風險(記憶/意外)

一定要做到定期不定期地驗證

采用部分驗證也可以

注意驗證過程的機密性及安全性

AML

鏈上凍結

選擇口碑好的平臺、個人等作為你的交易對手

Cold Wallet

冷錢包使用方法

接收加密貨幣:配合觀察錢包,如 imToken、Trust Wallet 等

發送加密貨幣:QRCode/USB/Bluetooth

冷錢包風險點

所見即所簽這種用戶交互安全機制缺失

用戶的有關知識背景缺失

Hot?Wallet

與?DApp(DeFi、NFT、GameFi 等)交互

動態 | 快播王欣的視頻區塊鏈項目Xinplayer曝光:今日金色財經查詢到,原快播CEO王欣今年3月成立的新公司云歌智能,目前已公布三款產品,其中一款是區塊鏈視頻應用Xinplayer。據官方介紹,Xinplayer是一個去中心化的視頻文件分發系統,用區塊鏈技術將視頻發布方和用戶直接聯系在一起,用戶幫視頻發布方進行視頻分發以及傳播推廣獲得收益,實現邊看視頻邊賺錢,用戶購買影片觀看的錢也直接進入視頻發布方錢包,沒有中間商賺差價。云歌智能官網目前顯示Xinplayer正處于研發之中。[2018/10/22]

惡意代碼或后門作惡方式

?錢包運行時,惡意代碼將相關助記詞直接打包上傳到黑客控制的服務端里

錢包運行時,當用戶發起轉賬,在錢包后臺偷偷替換目標地址及金額等信息,此時用戶很難察覺

破壞助記詞生成有關的隨機數熵值,讓這些助記詞比較容易被破解

DeFi 安全到底是什么

智能合約安全

權限過大:增加時間鎖(Timelock)/將 admin 多簽等

逐步學會閱讀安全審計報告

區塊鏈基礎安全:共識賬本安全/虛擬機安全等

前端安全

內部作惡:前端頁面里的目標智能合約地址被替換/植入授權釣魚腳本

第三方作惡:供應鏈作惡/前端頁面引入的第三方遠程 JavaScript 文件作惡或被黑

通信安全

HTTPS 安全

舉例:MyEtherWallet 安全事件

安全解決方案:HSTS

人性安全:如項目方內部作惡

金融安全:幣價、年化收益等

合規安全

AML/KYC/制裁地區限制/證券風險有關的內容等

AOPP

NFT 安全

Metadata?安全

簽名安全

小心簽名/反常識簽名

OpenSea?數起知名 NFT 被盜事件

用戶在 OpenSea 授權了 NFT(掛單)

黑客釣魚拿到用戶的相關簽名

取消授權(approve)

Token Approvals

Revoke.cash

APPROVED.zone

Rabby 擴展錢包

4.?反常識真實案例

一些高級攻擊方式

針對性釣魚

廣撒網釣魚

結合 XSS、CSRF、Reverse Proxy 等技巧(如 Cloudflare 中間人攻擊)

操作系統

重視系統安全更新,有安全更新就立即行動

不亂下程序

設置好磁盤加密保護

手機

重視系統的安全更新及下載

不要越獄、Root 破解,除非你玩安全研究,否則沒必要

不要從非官方市場下載 App

官方的云同步使用的前提:賬號安全方面你確信沒問題

網絡

網絡方面,盡量選擇安全的,比如不亂連陌生 Wi-Fi

選擇口碑好的路由器、運營商,切勿貪圖小便宜,并祈禱路由器、運營商層面不會有高級作惡行為出現

瀏覽器

及時更新

擴展如無必要就不安裝

瀏覽器可以多個共存

使用隱私保護的知名擴展

密碼管理器

別忘記你的主密碼

確保你的郵箱安全

1Password/Bitwarden 等

雙因素認證

Google Authenticator/Microsoft Authenticator 等

科學上網

科學上網、安全上網

郵箱

安全且知名:Gmail/Outlook/QQ 郵箱等

隱私性:ProtonMail/Tutanota

SIM 卡

SIM 卡攻擊

防御建議:啟用知名的 2FA 工具、設置 PIN 碼

GPG

PGP 是 Pretty Good Privacy 的縮寫,是商用加密軟件,發布 30?多年了,現在在賽門鐵克麾下

OpenPGP 是一種加密標準,衍生自 PGP

GPG,全稱 GnuPG,基于 OpenPGP 標準的開源加密軟件

隔離環境

具備零信任安全法則思維

良好的隔離習慣

隱私不是拿來保護的,隱私是拿來控制的

Telegram

Discord

來自“官方”的釣魚

Web3 隱私問題

盜幣、惡意挖礦、勒索病、暗網交易、木馬的 C2 中轉、洗錢、資金盤、等

SlowMist Hacked 區塊鏈被黑檔案庫

止損第一

保護好現場

分析原因

追蹤溯源

結案

Code Is Law

Not Your Keys, Not Your Coins

In Blockchain We Trust

密碼學安全就是安全

被黑很丟人

立即更新

當你閱讀完本手冊后,一定需要實踐起來、熟練起來、舉一反三。如果之后你有自己的發現或經驗,希望你也能貢獻出來。如果你覺得敏感,可以適當脫敏,匿名也行。其次,致謝安全與隱私有關的立法與執法在全球范圍內的成熟;各代當之無愧的密碼學家、工程師、正義黑客及一切參與創造讓這個世界更好的人們的努力,其中一位是中本聰。最后,感謝貢獻者們,這個列表會持續更新,有任何的想法,希望你聯系我們。

Tags:區塊鏈APP加密貨幣PRO影視幣區塊鏈有哪些比特幣中國官網app下載加密貨幣市場規模分析KILT Protocol

pepe最新價格
馬斯克:馬斯克開始改造Twitter 先從會員功能開始_ITT

來源公號:老雅痞 馬斯克建議 Twitter Blue 會員功能大改 圖:上個月,馬斯克在柏林Gruenheide的特斯拉 "Gigafactory"斯克周六晚在一系列推文中.

1900/1/1 0:00:00
加密貨幣:金色觀察|Andre Cronje:我現在做的事_BTC

科幻小說作家阿西莫夫的兩條規則:一個人不得傷害另一個人,或因不作為而允許另一個人受到傷害。人類應避免可能導致其自身受到傷害的行為或情況。在我看來,加密貨幣監管根本不可行.

1900/1/1 0:00:00
加密貨幣:如何確保元宇宙比互聯網更安全?_EUL

元宇宙的概念引發了熱烈的討論,但已經有人提出了關于安全性的問題;虛擬世界可能會為網絡釣魚、身份盜竊甚至間諜活動提供新機會;我們必須在元宇宙早期就建立核心安全原則.

1900/1/1 0:00:00
區塊鏈:金色觀察|Scroll:基于zk-Rollup的EVM_SCR

Scroll的目標是構建一個完全兼容EVM的zk-Rollup。4月22日,Scroll宣布經過一年的構建,已經完成了解決方案的搭建,上線了PoC測試網.

1900/1/1 0:00:00
WEB:產品增長框架:從 Web2 到 Web3_Status

這是一系列探討 Web3 的創始人和建設者如何使用一些 Web2 增長框架來擴展成功產品的文章.

1900/1/1 0:00:00
ELU:Alameda Research(SBF)領投 Solana生態P2E鏈游Elumia完成新一輪融資_LUM

傳奇交易員Sam Bankman-Fried帶領的Alameda Research正逐步成為加密投資世界中不可忽視的力量.

1900/1/1 0:00:00
ads