Tựa đề gốc: "Sản xuất bởi Slow Mist | Cosine: Cẩm nang tự trợ giúp Blockchain Dark Forest"
Được viết bởi: Cosine, người sáng lập Công nghệ SlowMist
Bài viết gốc được xuất bản lần đầu vào ngày 12 tháng 4 năm 2022
Blockchain là một phát minh vĩ đại, nó đã mang lại những thay đổi trong quan hệ sản xuất nhất định và giúp giải quyết được phần nào thứ “niềm tin” quý giá này. Tuy nhiên, thực tế thật tàn khốc và có rất nhiều hiểu lầm trong cách hiểu của mọi người về blockchain. Những hiểu lầm này đã khiến kẻ xấu dễ dàng lợi dụng sơ hở và thường xuyên móc túi người dân, gây thiệt hại lớn về tài chính. Đây đã là một khu rừng tối tăm.
Dựa trên điều này, Yu Xian, người sáng lập Công nghệ Slow Mist, đã nỗ lực hết mình để cho ra đời - Cẩm nang tự cứu rừng tối Blockchain.
Sách hướng dẫn này (hiện là phiên bản V1 Beta) dài khoảng 37.000 từ. Do giới hạn về số lượng, chỉ có cấu trúc thư mục chính trong sách hướng dẫn được liệt kê ở đây, có thể coi đây là phần giới thiệu. Nội dung đầy đủ có thể được tìm thấy trên GitHub .
Chúng tôi đã chọn nền tảng GitHub làm nơi xuất bản chính cho hướng dẫn này vì nó thuận tiện cho việc cộng tác và xem các bản ghi cập nhật lịch sử. Bạn có thể Xem, Fork và Star và tất nhiên chúng tôi hy vọng bạn có thể tham gia và đóng góp.
Được rồi, hãy bắt đầu phần giới thiệu...
Giới thiệu
Nếu bạn nắm giữ tiền điện tử hoặc quan tâm đến thế giới này và có thể nắm giữ tiền điện tử trong tương lai, thì bạn nên đọc và thực hành cuốn sách hướng dẫn này một cách thận trọng. Đọc sách hướng dẫn này đòi hỏi phải có nền tảng kiến thức nhất định. Tôi hy vọng người mới bắt đầu không cần phải sợ những rào cản kiến thức này, vì rất nhiều trong số đó có thể “chơi được”.
Trong thế giới rừng tối blockchain, trước tiên hãy ghi nhớ hai quy tắc bảo mật sau:
- Zero Trust: Nói một cách đơn giản, hãy hoài nghi và luôn hoài nghi.
- Xác minh liên tục: Nếu muốn tin tưởng, bạn phải có khả năng xác minh những điểm bạn nghi ngờ và biến khả năng này thành thói quen.
Nội dung chính
1. Tạo ví
Tải xuống
1. Tìm đúng trang web chính thức
1. Tạo ví
Tải xuống
1. Tìm đúng trang web chính thức
- Các thành phần nổi tiếng trong ngành, chẳng hạn như CoinMarketCap
- Hỏi những người đáng tin cậy hơn
2. Tải và cài đặt ứng dụng
- Ví PC: Nên xác minh xem nó có bị giả mạo hay không (xác minh tính nhất quán của tệp)
- Ví tiện ích mở rộng trình duyệt: Chú ý đến số lượng người dùng và xếp hạng trên trang tải xuống tiện ích mở rộng mục tiêu
- Ví di động: Cách thức phán đoán tương tự như ví mở rộng
- Ví phần cứng: Mua từ nguồn theo hướng dẫn của trang web chính thức và chú ý xem có bất kỳ sự giả mạo nào hay không.
- Ví web: Không nên sử dụng ví trực tuyến này
Cụm từ ghi nhớ
Khi tạo ví, sự xuất hiện của cụm từ ghi nhớ rất nhạy cảm. Xin lưu ý rằng không có người hoặc máy ảnh nào xung quanh bạn có thể dẫn đến việc nhìn trộm. Ngoài ra, hãy chú ý xem cụm từ ghi nhớ có xuất hiện đủ ngẫu nhiên hay không.
Không cần chìa khóa
1. Hai kịch bản chính của Keyless (sự phân biệt ở đây là để thuận tiện cho việc giải thích)
- Quyền nuôi con, tức là phương pháp nuôi con. Ví dụ: trong các sàn giao dịch và ví tập trung, người dùng chỉ cần đăng ký tài khoản và không sở hữu khóa riêng. Bảo mật hoàn toàn dựa trên các nền tảng tập trung này.
- Không giam giữ, tức là chế độ không giam giữ. Thứ duy nhất mà người dùng có là sức mạnh giống như khóa riêng tư, nhưng không phải là khóa riêng tư trực tiếp của tiền điện tử (hoặc cụm từ ghi nhớ)
2. Ưu điểm và nhược điểm của giải pháp Keyless dựa trên MPC
2. Sao lưu ví
Cụm từ ghi nhớ/loại khóa riêng
1. Văn bản thuần túy: chủ yếu là 12 từ tiếng Anh
2. Với mật khẩu: Sau khi thêm mật khẩu vào cụm từ ghi nhớ, bạn sẽ nhận được một hạt giống khác. Hạt giống này được sử dụng để lấy ra một loạt khóa riêng, khóa chung và địa chỉ tương ứng.
3. Đa chữ ký: Có thể hiểu rằng quỹ mục tiêu yêu cầu nhiều chữ ký và ủy quyền trước khi sử dụng. Đa chữ ký rất linh hoạt và có thể đặt ra các chính sách phê duyệt.
4. Chia sẻ bí mật của Shamir: Kế hoạch chia sẻ bí mật của Shamir là chia hạt giống thành nhiều phân đoạn. Khi khôi phục ví, bạn cần sử dụng một số phân đoạn được chỉ định để khôi phục nó.
Mã hóa
1. Sao lưu ở nhiều nơi
- Đám mây: Google/Apple/Microsoft, kết hợp với GPG/1Password, v.v.
- Giấy: Sao chép ghi nhớ (văn bản thuần túy, SSS, v.v.) trên thẻ giấy
- Thiết bị: Máy tính/iPad/iPhone/đĩa cứng di động/đĩa U, v.v.
- Não: Chú ý đến những nguy cơ về trí nhớ của não (trí nhớ/tai nạn)
2. Mã hóa
- Hãy chắc chắn để xác minh thường xuyên và đột xuất
- Xác minh một phần cũng có thể được sử dụng
- Chú ý đến tính bảo mật và an toàn của quá trình xác minh
3. Sử dụng ví
AML
1. Đóng băng trên chuỗi
2. Chọn một nền tảng hoặc cá nhân có danh tiếng tốt làm đối tác giao dịch của bạn
Ví lạnh
1. Cách sử dụng ví lạnh
- Nhận tiền điện tử: hợp tác với các ví quan sát, chẳng hạn như imToken, Trust Wallet, v.v.
- Gửi tiền điện tử: QRCode/USB/Bluetooth
1. Cách sử dụng ví lạnh
- Nhận tiền điện tử: hợp tác với các ví quan sát, chẳng hạn như imToken, Trust Wallet, v.v.
- Gửi tiền điện tử: QRCode/USB/Bluetooth
2. Điểm rủi ro của ví lạnh
- Việc thiếu cơ chế bảo mật tương tác của người dùng như những gì bạn thấy là những gì bạn ký
- Thiếu nền tảng kiến thức liên quan của người dùng
Ví nóng
1. Tương tác với DApps (DeFi, NFT, GameFi, v.v.)
2. Mã độc hoặc phương tiện cửa hậu để làm điều ác
- Khi ví đang chạy, mã độc sẽ trực tiếp đóng gói và tải các từ ghi nhớ có liên quan lên máy chủ do hacker kiểm soát.
- Khi ví đang chạy, khi người dùng bắt đầu chuyển tiền, các thông tin như địa chỉ mục tiêu và số tiền sẽ được thay thế bí mật trong nền ví, điều này khiến người dùng khó phát hiện.
- Phá hủy giá trị entropy số ngẫu nhiên liên quan đến việc tạo cụm từ ghi nhớ, làm cho các cụm từ ghi nhớ này dễ bị bẻ khóa hơn.
Chính xác thì bảo mật DeFi là gì?
1. Bảo mật hợp đồng thông minh
- Quyền quá mức: thêm quản trị viên khóa thời gian/đa ký, v.v.
- Tìm hiểu cách đọc báo cáo kiểm tra bảo mật từng bước
2. Bảo mật cơ bản của blockchain: bảo mật sổ cái đồng thuận/bảo mật máy ảo, v.v.
3. Bảo mật mặt trước
- Tội ác nội bộ: địa chỉ hợp đồng thông minh mục tiêu trong trang giao diện người dùng bị thay thế/tập lệnh lừa đảo ủy quyền được cấy vào
- Kẻ xấu của bên thứ ba: kẻ xấu trong chuỗi cung ứng/các tệp JavaScript từ xa của bên thứ ba được đưa vào trang giao diện người dùng là kẻ xấu hoặc bị tấn công
4. Bảo mật thông tin liên lạc
- HTTPS an toàn
- Ví dụ: Sự cố bảo mật MyEtherWallet
- Giải pháp bảo mật: HSTS
5. An toàn con người: nếu bên dự án có hành vi xấu trong nội bộ
6. An ninh tài chính: giá tiền tệ, thu nhập hàng năm, v.v.
7. Tuân thủ và bảo mật
- AML/KYC/hạn chế khu vực bị trừng phạt/nội dung liên quan đến rủi ro chứng khoán, v.v.
- AOPP
Bảo mật NFT
1. Bảo mật siêu dữ liệu
2. Bảo mật chữ ký
Hãy cẩn thận với chữ ký/ký hiệu của bạn trái với lẽ thường
1. Những gì bạn thấy là những gì bạn ký
2. Một số vụ trộm NFT nổi tiếng ở OpenSea
- Người dùng đã ủy quyền NFT (lệnh chờ xử lý) trong OpenSea
- Tin tặc sử dụng lừa đảo để lấy chữ ký có liên quan của người dùng
3. Hủy ủy quyền (phê duyệt)
- Phê duyệt mã thông báo
- Thu hồi.cash
- ĐƯỢC PHÊ DUYỆT.zone
- Ví mở rộng Rabby
4. Những trường hợp có thật đi ngược lại lẽ thường
Một số phương thức tấn công nâng cao
1. Đánh cá có mục tiêu
2. Thả lưới rộng để đánh cá
3. Kết hợp XSS, CSRF, Reverse Proxy và các kỹ thuật khác (như tấn công man-in-the-middle của Cloudflare)
1. Đánh cá có mục tiêu
2. Thả lưới rộng để đánh cá
3. Kết hợp XSS, CSRF, Reverse Proxy và các kỹ thuật khác (như tấn công man-in-the-middle của Cloudflare)
4. Bảo vệ quyền riêng tư truyền thống
hệ điều hành
1. Chú ý đến các bản cập nhật bảo mật hệ thống và hành động ngay lập tức khi có bản cập nhật bảo mật
2. Đừng gây rối với chương trình
3. Thiết lập bảo vệ mã hóa ổ đĩa
điện thoại di động
1. Chú ý đến các bản cập nhật và tải xuống bảo mật hệ thống
2. Không jailbreak hoặc root crack. Trừ khi bạn đang thực hiện nghiên cứu bảo mật, không cần thiết.
3. Không tải ứng dụng từ các thị trường không chính thức
4. Điều kiện tiên quyết để sử dụng đồng bộ hóa đám mây chính thức: bạn chắc chắn rằng không có vấn đề gì về bảo mật tài khoản.
mạng
1. Về mặt mạng, hãy cố gắng chọn mạng an toàn, chẳng hạn như không kết nối ngẫu nhiên với Wi-Fi lạ.
2. Chọn bộ định tuyến và nhà điều hành có danh tiếng tốt, đừng tham lam những lợi ích nhỏ nhặt và cầu nguyện rằng sẽ không có hành vi xấu xa nâng cao ở cấp độ bộ định tuyến hoặc nhà điều hành.
Trình duyệt
1. Cập nhật kịp thời
2. Không cài đặt tiện ích mở rộng nếu không cần thiết.
3. Nhiều trình duyệt có thể cùng tồn tại
4. Sử dụng các tiện ích mở rộng uy tín để bảo vệ quyền riêng tư
Trình quản lý mật khẩu
1. Đừng quên mật khẩu chính của bạn
2. Giữ email của bạn an toàn
3. 1Password/Bitwarden, v.v.
Xác thực hai yếu tố
Google Authenticator/Microsoft Authenticator, v.v.
Internet khoa học
Truy cập Internet một cách khoa học và an toàn
Thư
1. An toàn và nổi tiếng: hộp thư Gmail/Outlook/QQ, v.v.
2. Quyền riêng tư: ProtonMail/Tutanota
thẻ SIM
1. Tấn công thẻ SIM
2. Gợi ý phòng thủ
- Kích hoạt các công cụ 2FA nổi tiếng
- Đặt mã PIN
GPG
1. Phân biệt
- PGP là tên viết tắt của Pretty Good Privacy. Đây là một phần mềm mã hóa thương mại đã được phát hành hơn 30 năm và hiện thuộc sở hữu của Symantec.
- OpenPGP là một tiêu chuẩn mã hóa có nguồn gốc từ PGP
- GPG, tên đầy đủ là GnuPG, là phần mềm mã hóa mã nguồn mở dựa trên chuẩn OpenPGP.
Môi trường cách ly
1. Có suy nghĩ về các quy tắc bảo mật không tin cậy
2. Thói quen cách ly tốt
3. Quyền riêng tư không phải để bảo vệ mà để kiểm soát.
5. An toàn con người
1. Có suy nghĩ về các quy tắc bảo mật không tin cậy
2. Thói quen cách ly tốt
3. Quyền riêng tư không phải để bảo vệ mà để kiểm soát.
5. An toàn con người
- điện tín
- Bất hòa
- Câu cá từ “chính thống”
- Vấn đề về quyền riêng tư của Web3
6. Blockchain gây ra tội ác như thế nào
Trộm cắp tiền xu, khai thác độc hại, ransomware, giao dịch web đen, chuyển ngựa Trojan C2, rửa tiền, đĩa quỹ, cờ bạc, v.v.
Kho lưu trữ bị hack của SlowMist Hacked Blockchain
7. Phải làm gì nếu bị đánh cắp?
- Dừng lỗ trước
- Bảo vệ hiện trường
- Phân tích nguyên nhân
- Truy xuất nguồn gốc
- Đóng trường hợp
8. Hiểu lầm
- Mã là luật
- Không phải chìa khóa của bạn, không phải tiền của bạn
- Chúng tôi tin tưởng vào Blockchain
- Bảo mật mật mã là bảo mật
- Thật xấu hổ khi bị hack
- Cập nhật ngay bây giờ
Tóm tắt
Sau khi đọc sách hướng dẫn này, bạn phải thực hành nó, trở nên thành thạo và rút ra kết luận từ một ví dụ. Nếu sau này các bạn có những khám phá hay trải nghiệm riêng của mình thì mong các bạn có thể đóng góp. Nếu bạn cảm thấy nhạy cảm, bạn có thể giải mẫn cảm một cách thích hợp và giữ kín danh tính. Thứ hai, tôi muốn cảm ơn sự trưởng thành toàn cầu của luật pháp và thực thi pháp luật liên quan đến bảo mật và quyền riêng tư; nỗ lực của các nhà mật mã, kỹ sư, tin tặc chính nghĩa và tất cả những người tham gia vào việc tạo ra một thế giới tốt đẹp hơn cho mọi thế hệ, một trong số đó là Nakamoto Cong. Cuối cùng, xin cảm ơn những người đóng góp. Danh sách này sẽ tiếp tục được cập nhật. Nếu bạn có ý kiến gì, vui lòng liên hệ với chúng tôi.
Tất cả bình luận