前言
一級標題
前言
一級標題前言)
一級標題
好,導讀開始...
引子
一級標題
引子
一級標題簡單來說就是保持懷疑,而且是始終保持懷疑。
零信任:零信任:
一級標題
一級標題
Download
一級標題
a. Google
一級標題
一級標題
關鍵內容
一級標題
一、創建錢包
1. 找到正確的官網
b. 行業知名收錄,如CoinMarketCap
c. 多問一些比較信任的人
Mnemonic Phrase
2. 下載安裝應用
Keyless
a. PC錢包:建議做下是否篡改的校驗工作(文件一致性校驗)
b. 瀏覽器擴展錢包:注意目標擴展下載頁面裡的用戶數及評分情況
c. 移動端錢包:判斷方式類似擴展錢包
e. 網頁錢包:不建議使用這種在線的錢包
1. Keyless 兩大場景(此處區分是為了方便講解)
一級標題
b. Non-Custodial,即非託管方式。用戶唯一掌握類似私鑰的權力,但卻不是直接的加密貨幣私鑰(或助記詞)
一級標題
2. MPC 為主的Keyless 方案的優缺點
一級標題
Encryption
二、備份錢包
助記詞/私鑰類型
1. 明文:12 個英文單詞為主
2. 帶密碼:助記詞帶上密碼後會得到不一樣的種子,這個種子就是之後拿來派生出一系列私鑰、公鑰及對應地址
3. 多簽:可以理解為目標資金需要多個人簽名授權才可以使用,多簽很靈活,可以設置審批策略
4. Shamirs Secret Sharing:Shamir 秘密共享方案,作用就是將種子分割為多個分片,恢復錢包時,需要使用指定數量的分片才能恢復
1. 多處備份
a. Cloud:Google/Apple/微軟,結合GPG/1Password 等
c. Device:電腦/iPad/iPhone/移動硬盤/U 盤等
2. 加密
AML
一級標題
b. 採用部分驗證也可以
Cold Wallet
一級標題
c. 注意驗證過程的機密性及安全性
一級標題
三、使用錢包
1. 鏈上凍結
2. 選擇口碑好的平台、個人等作為你的交易對手
Hot Wallet
1. 冷錢包使用方法
a. 接收加密貨幣:配合觀察錢包,如imToken、Trust Wallet 等
b. 發送加密貨幣:QRCode/USB/Bluetooth
2. 冷錢包風險點
a. 所見即所簽這種用戶交互安全機制缺失
b. 用戶的有關知識背景缺失
1. 與DApp(DeFi、NFT、GameFi 等)交互
2. 惡意代碼或後門作惡方式
a. 錢包運行時,惡意代碼將相關助記詞直接打包上傳到黑客控制的服務端裡
b. 錢包運行時,當用戶發起轉賬,在錢包後台偷偷替換目標地址及金額等信息,此時用戶很難察覺
c. 破壞助記詞生成有關的隨機數熵值,讓這些助記詞比較容易被破解
1. 智能合約安全
3. 前端安全
a. 權限過大:增加時間鎖(Timelock)/將admin 多籤等
2. 區塊鏈基礎安全:共識賬本安全/虛擬機安全等
4. 通信安全
3. 前端安全
a. 內部作惡:前端頁面裡的目標智能合約地址被替換/植入授權釣魚腳本
b. 第三方作惡:供應鏈作惡/前端頁面引入的第三方遠程JavaScript 文件作惡或被黑
4. 通信安全
a. HTTPS 安全
b. AOPP
b. 舉例:MyEtherWallet 安全事件
5. 人性安全:如項目方內部作惡
NFT 安全
6. 金融安全:幣價、年化收益等
7. 合規安全
a. AML/KYC/制裁地區限制/證券風險有關的內容等
NFT 安全
1. Metadata 安全
2. 簽名安全
a. Token Approvals
b. Revoke.cash
c. APPROVED.zone
小心簽名/反常識簽名
1. 所見即所簽
2. OpenSea 數起知名NFT 被盜事件
a. 用戶在OpenSea 授權了NFT(掛單)
b. 黑客釣魚拿到用戶的相關簽名
d. Rabby 擴展錢包
一些高級攻擊方式
一級標題
2. 廣撒網釣魚
一級標題
3. 結合XSS、CSRF、Reverse Proxy 等技巧(如Cloudflare 中間人攻擊)
一級標題
四、傳統隱私保護
操作系統
1. 重視系統安全更新,有安全更新就立即行動
3. 設置好磁盤加密保護
網絡
1. 重視系統的安全更新及下載
網絡
3. 不要從非官方市場下載App
網絡
4. 官方的云同步使用的前提:賬號安全方面你確信沒問題
網絡
1. 網絡方面,盡量選擇安全的,比如不亂連陌生Wi-Fi
2. 選擇口碑好的路由器、運營商,切勿貪圖小便宜,並祈禱路由器、運營商層面不會有高級作惡行為出現
瀏覽器
1. 及時更新
2. 擴展如無必要就不安裝
3. 瀏覽器可以多個共存
4. 使用隱私保護的知名擴展
1. 別忘記你的主密碼
Google Authenticator/Microsoft Authenticator 等
2. 確保你的郵箱安全
3. 1Password/Bitwarden 等
雙因素認證
Google Authenticator/Microsoft Authenticator 等
科學上網、安全上網
SIM 卡
郵箱
1. 安全且知名:Gmail/Outlook/QQ 郵箱等
GPG
2. 隱私性:ProtonMail/Tutanota
SIM 卡
1. SIM 卡攻擊
2. 防禦建議
a. 啟用知名的2FA 工具
b. 設置PIN 碼
1. 區分
b. OpenPGP 是一種加密標準,衍生自PGP
隔離環境
Telegram
Discord
一級標題
一級標題
一級標題
一級標題
一級標題
一級標題
一級標題
盜幣、惡意挖礦、勒索病毒、暗網交易、木馬的C2 中轉、洗錢、資金盤、博彩等
一級標題
七、被盜了怎麼辦
追踪溯源
保護好現場
Code Is Law
Not Your Keys, Not Your Coins
In Blockchain We Trust
一級標題
立即更新
立即更新
總結
一級標題
總結一級標題總結
