區塊鏈黑暗森林自救手冊

前言

區塊鏈是個偉大的發明，它帶來了某些生產關係的變革，讓「信任」這種寶貴的東西得以部分解決。但，現實是殘酷的，人們對區塊鏈的理解會存在許多誤區。這些誤區導致了壞人輕易鑽了空子，頻繁將黑手伸進了人們的錢包，造成了大量的資金損失。這早已是黑暗森林。

基於此，慢霧科技創始人餘弦傾力輸出——區塊鏈黑暗森林自救手冊。

本手冊（當前 v1 beta）大概 3 萬 7 千字，由於篇幅限制，這裡僅羅列手冊中的關鍵目錄結構，也算是一種導讀。完整內容可見：

https://github.com/slowmist/blockchain-dark-forest-selfguard-handbook

我們選擇 github 平臺作為本手冊的首要釋出位置是因為：方便協同及看到歷史更新記錄。你可以 watch、fork 及 star，當然我們更希望你能參與貢獻。

好，導讀開始...

引子

如果你持有加密貨幣或對這個世界有興趣，未來可能會持有加密貨幣，那麼這本手冊值得你反覆閱讀並謹慎實踐。本手冊的閱讀需要一定的知識背景，希望初學者不必恐懼這些知識壁壘，因為其中大量是可以“玩”出來的。

在區塊鏈黑暗森林世界裡，首先牢記下面這兩大安全法則：

零信任：簡單來說就是保持懷疑，而且是始終保持懷疑。

持續驗證：你要相信，你就必須有能力去驗證你懷疑的點，並把這種能力養成習慣。

關鍵內容

建立錢包

• download

找到正確的官網

1. google

2. 行業知名收錄，如 coinmarketcap

3. 多問一些比較信任的人

下載安裝應用

1. pc 錢包：建議做下是否篡改的校驗工作（檔案一致性校驗）

2. 瀏覽器擴充套件錢包：注意目標擴充套件下載頁面裡的使用者數及評分情況

3. 移動端錢包：判斷方式類似擴充套件錢包

4. 硬體錢包：從官網源頭的引導下購買，留意是否存在被異動手腳的情況

5. 網頁錢包：不建議使用這種線上的錢包

• mnemonic phrase

建立錢包時，助記詞的出現是非常敏感的，請留意你身邊沒有人、攝像頭等一切可以導致偷窺發生的情況。同時留意下助記詞是不是足夠隨機出現

• keyless

keyless 兩大場景（此處區分是為了方便講解）

1. custody，即託管方式。比如中心化交易所、錢包，使用者只需註冊賬號，並不擁有私鑰，安全完全依託於這些中心化平臺

2. non-custodial，即非託管方式。使用者唯一掌握類似私鑰的權力，但卻不是直接的加密貨幣私鑰（或助記詞）

mpc 為主的 keyless 方案的優缺點

備份錢包

• 助記詞/私鑰型別

1. 明文：12 個英文單詞為主

2. 帶密碼：助記詞帶上密碼後會得到不一樣的種子，這個種子就是之後拿來派生出一系列私鑰、公鑰及對應地址

3. 多籤：可以理解為目標資金需要多個人簽名授權才可以使用，多籤很靈活，可以設定審批策略

4. shamir's secret sharing：shamir 秘密共享方案，作用就是將種子分割為多個分片，恢復錢包時，需要使用指定數量的分片才能恢復

• encryption

多處備份

1. cloud：google/apple/微軟，結合 gpg/1password 等

2. paper：將助記詞（明文、sss 等形式的）抄寫在紙卡片上

3. device：電腦/ipad/iphone/行動硬碟/u 盤等

4. brain：注意腦記風險（記憶/意外）

加密

1. 一定要做到定期不定期地驗證

2. 採用部分驗證也可以

3. 注意驗證過程的機密性及安全性

使用錢包

• aml

1. 鏈上凍結

2. 選擇口碑好的平臺、個人等作為你的交易對手

• cold wallet

冷錢包使用方法

1. 接收加密貨幣：配合觀察錢包，如 imtoken、trust wallet 等

2. 傳送加密貨幣：qrcode/usb/bluetooth

冷錢包風險點

1. 所見即所籤這種使用者互動安全機制缺失

2. 使用者的有關知識背景缺失

• hot wallet

與 dapp（defi、nft、gamefi 等）互動

惡意程式碼或後門作惡方式

1.  錢包執行時，惡意程式碼將相關助記詞直接打包上傳到駭客控制的服務端裡

2. 錢包執行時，當使用者發起轉賬，在錢包後臺偷偷替換目標地址及金額等資訊，此時使用者很難察覺

3. 破壞助記詞生成有關的隨機數熵值，讓這些助記詞比較容易被破解

• defi 安全到底是什麼

智慧合約安全

1. 許可權過大：增加時間鎖（timelock）/將 admin 多籤等

2. 逐步學會閱讀安全審計報告

區塊鏈基礎安全：共識賬本安全/虛擬機器安全等

前端安全

1. 內部作惡：前端頁面裡的目標智慧合約地址被替換/植入授權釣魚指令碼

2. 第三方作惡：供應鏈作惡/前端頁面引入的第三方遠端 javascript 檔案作惡或被黑

通訊安全

1. https 安全

2. 舉例：myetherwallet 安全事件

3. 安全解決方案：hsts

人性安全：如專案方內部作惡

金融安全：幣價、年化收益等

合規安全

1. aml/kyc/制裁地區限制/證券風險有關的內容等

2. aopp

• nft 安全

1. metadata 安全

2. 簽名安全

• 小心簽名/反常識簽名

所見即所籤

opensea 數起知名 nft 被盜事件

1. 使用者在 opensea 授權了 nft（掛單）

2. 駭客釣魚拿到使用者的相關簽名

取消授權（approve）

1. token approvals

2. revoke.cash

3. approved.zone

4. rabby 擴充套件錢包

4. 反常識真實案例

• 一些高階攻擊方式

1. 針對性釣魚

2. 廣撒網釣魚

3. 結合 xss、csrf、reverse proxy 等技巧（如 cloudflare 中間人攻擊）

傳統隱私保護

• 作業系統

1. 重視系統安全更新，有安全更新就立即行動

2. 不亂下程式

3. 設定好磁碟加密保護

• 手機

1. 重視系統的安全更新及下載

2. 不要越獄、root 破解，除非你玩安全研究，否則沒必要

3. 不要從非官方市場下載 app

4. 官方的雲同步使用的前提：賬號安全方面你確信沒問題

• 網路

1. 網路方面，儘量選擇安全的，比如不亂連陌生 wi-fi

2. 選擇口碑好的路由器、運營商，切勿貪圖小便宜，並祈禱路由器、運營商層面不會有高階作惡行為出現

• 瀏覽器

1. 及時更新

2. 擴充套件如無必要就不安裝

3. 瀏覽器可以多個共存

4. 使用隱私保護的知名擴充套件

• 密碼管理器

1. 別忘記你的主密碼

2. 確保你的郵箱安全

3. 1password/bitwarden 等

• 雙因素認證

google authenticator/microsoft authenticator 等

• **

**、安全上網

• 郵箱

1. 安全且知名：gmail/outlook/qq 郵箱等

2. 隱私性：protonmail/tutanota

• sim 卡

sim 卡攻擊

防禦建議：啟用知名的 2fa 工具、設定 pin 碼

• gpg

區分

1. pgp 是 pretty good privacy 的縮寫，是商用加密軟體，釋出 30 多年了，現在在賽門鐵克麾下

2. openpgp 是一種加密標準，衍生自 pgp

3. gpg，全稱 gnupg，基於 openpgp 標準的開源加密軟體

• 隔離環境

1. 具備零信任安全法則思維

2. 良好的隔離習慣

3. 隱私不是拿來保護的，隱私是拿來控制的

人性安全

• telegram

• discord

• 來自“官方”的釣魚

• web3 隱私問題

區塊鏈作惡方式

• 盜幣、惡意挖礦、勒索病毒、暗網交易、木馬的 c2 中轉、洗錢、資金盤、博彩等

• slowmist hacked 區塊鏈被黑檔案庫

被盜了怎麼辦

• 止損第一

• 保護好現場

• 分析原因

• 追蹤溯源

• 結案

誤區

• code is law

• not your keys, not your coins

• in blockchain we trust

• 密碼學安全就是安全

• 被黑很丟人

• 立即更新

總結

當你閱讀完本手冊後，一定需要實踐起來、熟練起來、舉一反三。如果之後你有自己的發現或經驗，希望你也能貢獻出來。如果你覺得敏感，可以適當脫敏，匿名也行。其次，致謝安全與隱私有關的立法與執法在全球範圍內的成熟；各代當之無愧的密碼學家、工程師、正義駭客及一切參與創造讓這個世界更好的人們的努力，其中一位是中本聰。最後，感謝貢獻者們，這個列表會持續更新，有任何的想法，希望你聯絡我們。

https://github.com/slowmist/blockchain-dark-forest-selfguard-handbook