Sau khi DEXX bị đánh cắp trên diện rộng, hãy đọc lại hướng dẫn tự cứu rừng tối blockchain

Tựa đề gốc: "Sản xuất bởi Slow Mist | Cosine: Cẩm nang tự trợ giúp Blockchain Dark Forest"

Được viết bởi: Cosine, người sáng lập Công nghệ SlowMist

Bài viết gốc được xuất bản lần đầu vào ngày 12 tháng 4 năm 2022

Blockchain là một phát minh vĩ đại, nó đã mang lại những thay đổi trong quan hệ sản xuất nhất định và giúp giải quyết được phần nào thứ “niềm tin” quý giá này. Tuy nhiên, thực tế thật tàn khốc và có rất nhiều hiểu lầm trong cách hiểu của mọi người về blockchain. Những hiểu lầm này đã khiến kẻ xấu dễ dàng lợi dụng sơ hở và thường xuyên móc túi người dân, gây thiệt hại lớn về tài chính. Đây đã là một khu rừng tối tăm.

Dựa trên điều này, Yu Xian, người sáng lập Công nghệ Slow Mist, đã nỗ lực hết mình để cho ra đời - Cẩm nang tự cứu rừng tối Blockchain.

Sách hướng dẫn này (hiện là phiên bản V1 Beta) dài khoảng 37.000 từ. Do giới hạn về số lượng, chỉ có cấu trúc thư mục chính trong sách hướng dẫn được liệt kê ở đây, có thể coi đây là phần giới thiệu. Nội dung đầy đủ có thể được tìm thấy trên GitHub .

Chúng tôi đã chọn nền tảng GitHub làm nơi xuất bản chính cho hướng dẫn này vì nó thuận tiện cho việc cộng tác và xem các bản ghi cập nhật lịch sử. Bạn có thể Xem, Fork và Star và tất nhiên chúng tôi hy vọng bạn có thể tham gia và đóng góp.

Được rồi, hãy bắt đầu phần giới thiệu...

Giới thiệu

Nếu bạn nắm giữ tiền điện tử hoặc quan tâm đến thế giới này và có thể nắm giữ tiền điện tử trong tương lai, thì bạn nên đọc và thực hành cuốn sách hướng dẫn này một cách thận trọng. Đọc sách hướng dẫn này đòi hỏi phải có nền tảng kiến thức nhất định. Tôi hy vọng người mới bắt đầu không cần phải sợ những rào cản kiến thức này, vì rất nhiều trong số đó có thể “chơi được”.

Trong thế giới rừng tối blockchain, trước tiên hãy ghi nhớ hai quy tắc bảo mật sau:

Zero Trust: Nói một cách đơn giản, hãy hoài nghi và luôn hoài nghi.
Xác minh liên tục: Nếu muốn tin tưởng, bạn phải có khả năng xác minh những điểm bạn nghi ngờ và biến khả năng này thành thói quen.

Nội dung chính

1. Tạo ví

Tải xuống

1. Tìm đúng trang web chính thức

1. Tạo ví

Tải xuống

1. Tìm đúng trang web chính thức

Google
Các thành phần nổi tiếng trong ngành, chẳng hạn như CoinMarketCap
Hỏi những người đáng tin cậy hơn

2. Tải và cài đặt ứng dụng

Ví PC: Nên xác minh xem nó có bị giả mạo hay không (xác minh tính nhất quán của tệp)
Ví tiện ích mở rộng trình duyệt: Chú ý đến số lượng người dùng và xếp hạng trên trang tải xuống tiện ích mở rộng mục tiêu
Ví di động: Cách thức phán đoán tương tự như ví mở rộng
Ví phần cứng: Mua từ nguồn theo hướng dẫn của trang web chính thức và chú ý xem có bất kỳ sự giả mạo nào hay không.
Ví web: Không nên sử dụng ví trực tuyến này

Cụm từ ghi nhớ

Khi tạo ví, sự xuất hiện của cụm từ ghi nhớ rất nhạy cảm. Xin lưu ý rằng không có người hoặc máy ảnh nào xung quanh bạn có thể dẫn đến việc nhìn trộm. Ngoài ra, hãy chú ý xem cụm từ ghi nhớ có xuất hiện đủ ngẫu nhiên hay không.

Không cần chìa khóa

1. Hai kịch bản chính của Keyless (sự phân biệt ở đây là để thuận tiện cho việc giải thích)

Quyền nuôi con, tức là phương pháp nuôi con. Ví dụ: trong các sàn giao dịch và ví tập trung, người dùng chỉ cần đăng ký tài khoản và không sở hữu khóa riêng. Bảo mật hoàn toàn dựa trên các nền tảng tập trung này.
Không giam giữ, tức là chế độ không giam giữ. Thứ duy nhất mà người dùng có là sức mạnh giống như khóa riêng tư, nhưng không phải là khóa riêng tư trực tiếp của tiền điện tử (hoặc cụm từ ghi nhớ)

2. Ưu điểm và nhược điểm của giải pháp Keyless dựa trên MPC

2. Sao lưu ví

Cụm từ ghi nhớ/loại khóa riêng

1. Văn bản thuần túy: chủ yếu là 12 từ tiếng Anh

2. Với mật khẩu: Sau khi thêm mật khẩu vào cụm từ ghi nhớ, bạn sẽ nhận được một hạt giống khác. Hạt giống này được sử dụng để lấy ra một loạt khóa riêng, khóa chung và địa chỉ tương ứng.

3. Đa chữ ký: Có thể hiểu rằng quỹ mục tiêu yêu cầu nhiều chữ ký và ủy quyền trước khi sử dụng. Đa chữ ký rất linh hoạt và có thể đặt ra các chính sách phê duyệt.

4. Chia sẻ bí mật của Shamir: Kế hoạch chia sẻ bí mật của Shamir là chia hạt giống thành nhiều phân đoạn. Khi khôi phục ví, bạn cần sử dụng một số phân đoạn được chỉ định để khôi phục nó.

Mã hóa

1. Sao lưu ở nhiều nơi

Đám mây: Google/Apple/Microsoft, kết hợp với GPG/1Password, v.v.
Giấy: Sao chép ghi nhớ (văn bản thuần túy, SSS, v.v.) trên thẻ giấy
Thiết bị: Máy tính/iPad/iPhone/đĩa cứng di động/đĩa U, v.v.
Não: Chú ý đến những nguy cơ về trí nhớ của não (trí nhớ/tai nạn)

2. Mã hóa

Hãy chắc chắn để xác minh thường xuyên và đột xuất
Xác minh một phần cũng có thể được sử dụng
Chú ý đến tính bảo mật và an toàn của quá trình xác minh

3. Sử dụng ví

AML

1. Đóng băng trên chuỗi

2. Chọn một nền tảng hoặc cá nhân có danh tiếng tốt làm đối tác giao dịch của bạn

Ví lạnh

1. Cách sử dụng ví lạnh

Nhận tiền điện tử: hợp tác với các ví quan sát, chẳng hạn như imToken, Trust Wallet, v.v.
Gửi tiền điện tử: QRCode/USB/Bluetooth

1. Cách sử dụng ví lạnh

Nhận tiền điện tử: hợp tác với các ví quan sát, chẳng hạn như imToken, Trust Wallet, v.v.
Gửi tiền điện tử: QRCode/USB/Bluetooth

2. Điểm rủi ro của ví lạnh

Việc thiếu cơ chế bảo mật tương tác của người dùng như những gì bạn thấy là những gì bạn ký
Thiếu nền tảng kiến thức liên quan của người dùng

Ví nóng

1. Tương tác với DApps (DeFi, NFT, GameFi, v.v.)

2. Mã độc hoặc phương tiện cửa hậu để làm điều ác

Khi ví đang chạy, mã độc sẽ trực tiếp đóng gói và tải các từ ghi nhớ có liên quan lên máy chủ do hacker kiểm soát.
Khi ví đang chạy, khi người dùng bắt đầu chuyển tiền, các thông tin như địa chỉ mục tiêu và số tiền sẽ được thay thế bí mật trong nền ví, điều này khiến người dùng khó phát hiện.
Phá hủy giá trị entropy số ngẫu nhiên liên quan đến việc tạo cụm từ ghi nhớ, làm cho các cụm từ ghi nhớ này dễ bị bẻ khóa hơn.

Chính xác thì bảo mật DeFi là gì?

1. Bảo mật hợp đồng thông minh

Quyền quá mức: thêm quản trị viên khóa thời gian/đa ký, v.v.
Tìm hiểu cách đọc báo cáo kiểm tra bảo mật từng bước

2. Bảo mật cơ bản của blockchain: bảo mật sổ cái đồng thuận/bảo mật máy ảo, v.v.

3. Bảo mật mặt trước

Tội ác nội bộ: địa chỉ hợp đồng thông minh mục tiêu trong trang giao diện người dùng bị thay thế/tập lệnh lừa đảo ủy quyền được cấy vào
Kẻ xấu của bên thứ ba: kẻ xấu trong chuỗi cung ứng/các tệp JavaScript từ xa của bên thứ ba được đưa vào trang giao diện người dùng là kẻ xấu hoặc bị tấn công

4. Bảo mật thông tin liên lạc

HTTPS an toàn
Ví dụ: Sự cố bảo mật MyEtherWallet
Giải pháp bảo mật: HSTS

5. An toàn con người: nếu bên dự án có hành vi xấu trong nội bộ

6. An ninh tài chính: giá tiền tệ, thu nhập hàng năm, v.v.

7. Tuân thủ và bảo mật

AML/KYC/hạn chế khu vực bị trừng phạt/nội dung liên quan đến rủi ro chứng khoán, v.v.
AOPP

Bảo mật NFT

1. Bảo mật siêu dữ liệu

2. Bảo mật chữ ký

Hãy cẩn thận với chữ ký/ký hiệu của bạn trái với lẽ thường

1. Những gì bạn thấy là những gì bạn ký

2. Một số vụ trộm NFT nổi tiếng ở OpenSea

Người dùng đã ủy quyền NFT (lệnh chờ xử lý) trong OpenSea
Tin tặc sử dụng lừa đảo để lấy chữ ký có liên quan của người dùng

3. Hủy ủy quyền (phê duyệt)

Phê duyệt mã thông báo
Thu hồi.cash
ĐƯỢC PHÊ DUYỆT.zone
Ví mở rộng Rabby

4. Những trường hợp có thật đi ngược lại lẽ thường

Một số phương thức tấn công nâng cao

1. Đánh cá có mục tiêu

2. Thả lưới rộng để đánh cá

3. Kết hợp XSS, CSRF, Reverse Proxy và các kỹ thuật khác (như tấn công man-in-the-middle của Cloudflare)

1. Đánh cá có mục tiêu

2. Thả lưới rộng để đánh cá

3. Kết hợp XSS, CSRF, Reverse Proxy và các kỹ thuật khác (như tấn công man-in-the-middle của Cloudflare)

4. Bảo vệ quyền riêng tư truyền thống

hệ điều hành

1. Chú ý đến các bản cập nhật bảo mật hệ thống và hành động ngay lập tức khi có bản cập nhật bảo mật

2. Đừng gây rối với chương trình

3. Thiết lập bảo vệ mã hóa ổ đĩa

điện thoại di động

1. Chú ý đến các bản cập nhật và tải xuống bảo mật hệ thống

2. Không jailbreak hoặc root crack. Trừ khi bạn đang thực hiện nghiên cứu bảo mật, không cần thiết.

3. Không tải ứng dụng từ các thị trường không chính thức

4. Điều kiện tiên quyết để sử dụng đồng bộ hóa đám mây chính thức: bạn chắc chắn rằng không có vấn đề gì về bảo mật tài khoản.

mạng

1. Về mặt mạng, hãy cố gắng chọn mạng an toàn, chẳng hạn như không kết nối ngẫu nhiên với Wi-Fi lạ.

2. Chọn bộ định tuyến và nhà điều hành có danh tiếng tốt, đừng tham lam những lợi ích nhỏ nhặt và cầu nguyện rằng sẽ không có hành vi xấu xa nâng cao ở cấp độ bộ định tuyến hoặc nhà điều hành.

Trình duyệt

1. Cập nhật kịp thời

2. Không cài đặt tiện ích mở rộng nếu không cần thiết.

3. Nhiều trình duyệt có thể cùng tồn tại

4. Sử dụng các tiện ích mở rộng uy tín để bảo vệ quyền riêng tư

Trình quản lý mật khẩu

1. Đừng quên mật khẩu chính của bạn

2. Giữ email của bạn an toàn

3. 1Password/Bitwarden, v.v.

Xác thực hai yếu tố

Google Authenticator/Microsoft Authenticator, v.v.

Internet khoa học

Truy cập Internet một cách khoa học và an toàn

Thư

1. An toàn và nổi tiếng: hộp thư Gmail/Outlook/QQ, v.v.

2. Quyền riêng tư: ProtonMail/Tutanota

thẻ SIM

1. Tấn công thẻ SIM

2. Gợi ý phòng thủ

Kích hoạt các công cụ 2FA nổi tiếng
Đặt mã PIN

GPG

1. Phân biệt

PGP là tên viết tắt của Pretty Good Privacy. Đây là một phần mềm mã hóa thương mại đã được phát hành hơn 30 năm và hiện thuộc sở hữu của Symantec.
OpenPGP là một tiêu chuẩn mã hóa có nguồn gốc từ PGP
GPG, tên đầy đủ là GnuPG, là phần mềm mã hóa mã nguồn mở dựa trên chuẩn OpenPGP.

Môi trường cách ly

1. Có suy nghĩ về các quy tắc bảo mật không tin cậy

2. Thói quen cách ly tốt

3. Quyền riêng tư không phải để bảo vệ mà để kiểm soát.

5. An toàn con người

1. Có suy nghĩ về các quy tắc bảo mật không tin cậy

2. Thói quen cách ly tốt

3. Quyền riêng tư không phải để bảo vệ mà để kiểm soát.

5. An toàn con người

điện tín
Bất hòa
Câu cá từ “chính thống”
Vấn đề về quyền riêng tư của Web3

6. Blockchain gây ra tội ác như thế nào

Trộm cắp tiền xu, khai thác độc hại, ransomware, giao dịch web đen, chuyển ngựa Trojan C2, rửa tiền, đĩa quỹ, cờ bạc, v.v.

Kho lưu trữ bị hack của SlowMist Hacked Blockchain

7. Phải làm gì nếu bị đánh cắp?

Dừng lỗ trước
Bảo vệ hiện trường
Phân tích nguyên nhân
Truy xuất nguồn gốc
Đóng trường hợp

8. Hiểu lầm

Mã là luật
Không phải chìa khóa của bạn, không phải tiền của bạn
Chúng tôi tin tưởng vào Blockchain
Bảo mật mật mã là bảo mật
Thật xấu hổ khi bị hack
Cập nhật ngay bây giờ

Tóm tắt

Sau khi đọc sách hướng dẫn này, bạn phải thực hành nó, trở nên thành thạo và rút ra kết luận từ một ví dụ. Nếu sau này các bạn có những khám phá hay trải nghiệm riêng của mình thì mong các bạn có thể đóng góp. Nếu bạn cảm thấy nhạy cảm, bạn có thể giải mẫn cảm một cách thích hợp và giữ kín danh tính. Thứ hai, tôi muốn cảm ơn sự trưởng thành toàn cầu của luật pháp và thực thi pháp luật liên quan đến bảo mật và quyền riêng tư; nỗ lực của các nhà mật mã, kỹ sư, tin tặc chính nghĩa và tất cả những người tham gia vào việc tạo ra một thế giới tốt đẹp hơn cho mọi thế hệ, một trong số đó là Nakamoto Cong. Cuối cùng, xin cảm ơn những người đóng góp. Danh sách này sẽ tiếp tục được cập nhật. Nếu bạn có ý kiến gì, vui lòng liên hệ với chúng tôi.