0
区块链黑暗森林自救手册
掌握这些,掌握你的加密货币安全
2022/4/15(V1版)
作者:余弦@慢雾安全团队
联系我:Twitter(@evilcos)
注:发布在GitHub上的版本,你可以Watch、Fork及Star,当然我更希望你能参与贡献:)
https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook
1
目录
引子.........................................................................................................................................................................5
一张图.....................................................................................................................................................................6
创建钱包........................................................................................................................................................ 6
Download.............................................................................................................................................8
MnemonicPhrase.............................................................................................................................10
Keyless................................................................................................................................................ 11
备份钱包...................................................................................................................................................... 12
助记词/私钥类型................................................................................................................................ 12
Encryption..........................................................................................................................................14
使用钱包...................................................................................................................................................... 17
AML...................................................................................................................................................... 17
ColdWallet.........................................................................................................................................18
HotWallet...........................................................................................................................................20
DeFi 安全到底是什么........................................................................................................................21
NFT 安全............................................................................................................................................ 31
小心签名!..........................................................................................................................................32
小心反常识签名!..............................................................................................................................35
一些高级攻击方式..............................................................................................................................37
传统隐私保护.............................................................................................................................................. 41
操作系统..............................................................................................................................................42
2
手机......................................................................................................................................................43
网络......................................................................................................................................................44
浏览器..................................................................................................................................................44
密码管理器..........................................................................................................................................45
双因素认证..........................................................................................................................................46
科学上网..............................................................................................................................................47
邮箱......................................................................................................................................................47
SIM 卡................................................................................................................................................. 48
GPG......................................................................................................................................................49
隔离环境..............................................................................................................................................49
人性安全...................................................................................................................................................... 50
Telegram............................................................................................................................................ 51
Discord................................................................................................................................................52
来自“官方”的钓鱼..........................................................................................................................53
Web3 隐私问题..................................................................................................................................55
区块链作恶方式...................................................................................................................................................55
被盗了怎么办.......................................................................................................................................................56
止损第一...................................................................................................................................................... 56
保护好现场.................................................................................................................................................. 57
分析原因...................................................................................................................................................... 57
追踪溯源...................................................................................................................................................... 58
3
结案.............................................................................................................................................................. 58
误区.......................................................................................................................................................................60
CodeIsLaw................................................................................................................................................ 60
NotYourKeys,NotYourCoins............................................................................................................... 60
InBlockchainWeTrust............................................................................................................................ 60
密码学安全就是安全.................................................................................................................................. 61
被黑很丢人.................................................................................................................................................. 61
立即更新...................................................................................................................................................... 62
总结.......................................................................................................................................................................63
附...........................................................................................................................................................................64
安全法则及原则.......................................................................................................................................... 64
贡献者.......................................................................................................................................................... 65
那些官网...................................................................................................................................................... 66
4
引子
首先,需要先恭喜你的是:你看到了这本手册。我不清楚你是谁,但如果你持有加密货币或对
这个世界有兴趣,未来可能会持有加密货币,那么这本手册值得你反复阅读并谨慎实践。
其次,需要有心理准备的是:本手册的阅读需要一定的知识背景,我尽量照顾初学者,但很难。
我希望初学者不必恐惧这些知识壁垒,因为其中大量是可以“玩”出来的。如果你遇到不懂的知识
点,需要扩展了解的话,建议你用好 Google。并强烈建议你掌握一个安全原则:网络上的知识,
凡事都参考至少两个来源的信息,彼此佐证,始终保持怀疑。
是的,始终保持怀疑!包括本手册提到的任何知识点:)
区块链是个伟大的发明,它带来了某些生产关系的变革,让“信任”这种宝贵的东西得以部分
解决。这已经很难得了,不需要中心化、不需要第三方角色,有些“信任”基于区块链就可以得到
很好解决,不可篡改、按约定执行、防止抵赖。但,现实是残酷的,人们对区块链的理解会存在许
多误区。这些误区导致了坏人轻易钻了空子,频繁将黑手伸进了人们的钱包,造成了大量的资金损
失。这早已是黑暗森林。
在区块链黑暗森林世界里,首先牢记下面这两大安全法则:
1、零信任。简单来说就是保持怀疑,而且是始终保持怀疑。
2、持续验证。你要相信,你就必须有能力去验证你怀疑的点,并把这种能力养成习惯。
注:本手册中,安全法则就这两大,其他都可以认为是这两大推论出来的安全原则。
5
好,引子部分就到这。下面我们从一张图开始,进入到这个黑暗森林,看看我们都会遇到哪些
风险及我们应该如何应对。
一张图
在仔细看后文之前,你可以先粗略过下这张图。这张图是你在这个世界(无论你如何称呼这个
世界,区块链、加密货币还是 Web3 都行)里关键活动有关的内容,从流程上包括三大部分:创
建钱包、备份钱包及使用钱包。
我们顺着这三大流程,将涉及到的每个关键点展开分析。
创建钱包
钱包最最最核心的就是那个私钥(或助记词)。
6
私钥长这样:
0xa164d4767469de4faf09793ceea07d5a2f5d3cef7f6a9658916c581829ff5584
助记词长这样:
cruel weekend spike point innocent dizzy alien use evoke shed adjust wrong
注:用以太坊举例,关于私钥/助记词的基础知识请自行扩展。
私钥即身份,如果私钥丢了或被盗了,那么这个身份也就不是你的了。钱包应用其实很多,知
名的也不少,我并不打算也不可能一一介绍。不过该手册确实会提到一些具体的钱包,请注意,能
被提到的必然是我有基本信任的,但我不担保你在使用过程中可能出现的安全问题或目标钱包可能
出现并不在我预期内的安全风险(后文我不会再不断去废话这些,引子里提到的两大安全法则希望
你牢记心中)。
钱包从应用分类来说主要包括几种:PC 钱包、浏览器扩展钱包、移动端钱包、硬件钱包及网
页钱包等。从触网与否来说主要可以分为冷钱包和热钱包。当我们要进入这个世界,首先要思考将
拥有的钱包的用途,用途决定了你将用哪个钱包,同时用途也决定了你会如何对待这个钱包。
无论你选择什么钱包,但至少有一点可以肯定的:在这个世界玩久了后,你不可能只有一个钱
包。
于是这里我们又需要记住一个安全原则:做好隔离,也就是鸡蛋不要放在一个篮子里。一般来
说使用越频繁的钱包,自然也加大了出问题的风险。时刻牢记:面对一个新事物时,先准备个单独
的钱包,用单独的小资金去玩一段时间。除非你已经如我这般,经历无数,对许多事物都了然于心。
但,常在河边走,哪有不湿鞋呢?
7