คำนำ
ชื่อระดับแรก
คำนำ
Blockchain เป็นสิ่งประดิษฐ์ที่ยอดเยี่ยม นำมาซึ่งการเปลี่ยนแปลงในความสัมพันธ์ทางการผลิตบางอย่าง และแก้ไขสิ่งที่มีค่าอย่าง ความไว้วางใจ ได้บางส่วน อย่างไรก็ตาม ความเป็นจริงนั้นโหดร้าย และมีความเข้าใจผิดมากมายในความเข้าใจของผู้คนเกี่ยวกับบล็อคเชน ความเข้าใจผิดเหล่านี้ทำให้คนร้ายฉวยโอกาสฉวยโอกาสได้ง่าย ล้วงกระเป๋าเงินผู้คนบ่อยครั้ง ก่อให้เกิดความสูญเสียทางการเงินจำนวนมาก นี่เป็นป่ามืดแล้วจากสิ่งนี้ Yu Xian ผู้ก่อตั้ง SlowMist Technology ได้ทุ่มเทความพยายามทั้งหมดของเขาในการจัดทำคู่มือช่วยเหลือตนเองของ Blockchain Dark Forest)
คู่มือนี้ (V1 Beta ปัจจุบัน) มีความยาวประมาณ 37,000 คำ เนื่องจากข้อจำกัดของพื้นที่ จึงแสดงเฉพาะ โครงสร้างไดเร็กทอรีหลักในคู่มือเท่านั้น (
โอเค การอ่านเบื้องต้นเริ่มต้นขึ้น...
ไพรเมอร์
ชื่อระดับแรก
ไพรเมอร์
ในโลกของป่ามืดของ blockchain ก่อนอื่นให้คำนึงถึงกฎความปลอดภัยสองข้อต่อไปนี้:พูดง่าย ๆ ก็คือการสงสัยและสงสัยอยู่ตลอดเวลา
ศูนย์ความน่าเชื่อถือ:การตรวจสอบอย่างต่อเนื่อง:
ชื่อระดับแรก
เนื้อหาที่สำคัญ
Download
ชื่อระดับแรก
a. Google
1. สร้างกระเป๋าเงิน
1. ค้นหาเว็บไซต์ทางการที่ถูกต้อง
ข. คอลเลกชันที่มีชื่อเสียงในอุตสาหกรรม เช่น CoinMarketCap
ค. ถามคนที่ไว้ใจได้
2. ดาวน์โหลดและติดตั้งแอพ
ก. กระเป๋าเงิน PC: ขอแนะนำให้ทำการตรวจสอบการปลอมแปลง (การตรวจสอบความสอดคล้องของไฟล์)
ข. กระเป๋าเงินส่วนขยายของเบราว์เซอร์: ให้ความสนใจกับจำนวนผู้ใช้และการให้คะแนนในหน้าดาวน์โหลดส่วนขยายเป้าหมาย
c. กระเป๋าเงินมือถือ: วิธีการตัดสินคล้ายกับกระเป๋าเงินขยาย
Mnemonic Phrase
d. กระเป๋าเงินฮาร์ดแวร์: ซื้อจากแหล่งที่มาของเว็บไซต์อย่างเป็นทางการและสังเกตว่ามีการปลอมแปลงหรือไม่
Keyless
e. กระเป๋าเงินออนไลน์: ไม่แนะนำให้ใช้กระเป๋าเงินออนไลน์นี้
เมื่อสร้างกระเป๋าเงินลักษณะที่ปรากฏของการช่วยจำนั้นไวมาก โปรดใส่ใจกับข้อเท็จจริงที่ว่าไม่มีผู้คนรอบ ๆ ตัวคุณ กล้อง ฯลฯ ที่อาจนำไปสู่การแอบดู ในเวลาเดียวกันให้สังเกตว่าการช่วยจำปรากฏขึ้นแบบสุ่มเพียงพอหรือไม่
1. สองสถานการณ์หลักของ Keyless (ความแตกต่างในที่นี้คือเพื่อความสะดวกในการอธิบาย)
b. ไม่ใช่การดูแล กล่าวคือ โหมดไม่ใช่การดูแล ผู้ใช้มีอำนาจคล้ายกับคีย์ส่วนตัวเท่านั้น แต่ไม่ใช่คีย์ส่วนตัวของสกุลเงินที่เข้ารหัสโดยตรง (หรือช่วยจำ)
2. ข้อดีและข้อเสียของโซลูชัน Keyless ที่ใช้ MPC
ชื่อระดับแรก
2. กระเป๋าเงินสำรอง
ประเภทคีย์ช่วยจำ/ไพรเวต
1. ข้อความธรรมดา: ส่วนใหญ่ 12 คำภาษาอังกฤษ
2. ด้วยรหัสผ่าน: หลังจากที่ระบบช่วยจำได้รับการติดตั้งรหัสผ่านแล้ว คุณจะได้รับ seed อื่น ซึ่ง seed นี้ใช้เพื่อรับชุดของคีย์ส่วนตัว คีย์สาธารณะ และที่อยู่ที่เกี่ยวข้อง
Encryption
3. Multi-Signature: เป็นที่เข้าใจได้ว่ากองทุนเป้าหมายจำเป็นต้องได้รับการอนุมัติจากบุคคลหลายคนก่อนที่จะสามารถใช้ได้ Multi-Signature นั้นมีความยืดหยุ่นมากและสามารถกำหนดนโยบายการอนุมัติได้
4. Shamirs Secret Sharing: แผนการแบ่งปันความลับของ Shamir หน้าที่คือแบ่ง seed ออกเป็นหลาย ๆ แฟรกเมนต์ เมื่อกู้คืน wallet ต้องใช้แฟรกเมนต์ตามจำนวนที่กำหนดเพื่อกู้คืน
1. การสำรองข้อมูลหลายรายการ
ก. คลาวด์: Google/Apple/Microsoft รวมกับ GPG/1Password เป็นต้น
b. กระดาษ: คัดลอกการช่วยจำ (ในข้อความล้วน, SSS, ฯลฯ) ลงบนการ์ดกระดาษ
ค. อุปกรณ์: คอมพิวเตอร์/iPad/iPhone/ฮาร์ดดิสก์มือถือ/ดิสก์ U ฯลฯ
d. สมอง: ใส่ใจกับความเสี่ยงของความจำในสมอง (ความจำ/ อุบัติเหตุ)
2. การเข้ารหัส
ข นอกจากนี้ยังสามารถใช้การตรวจสอบบางส่วน
ค. ให้ความสำคัญกับการรักษาความลับและความปลอดภัยของกระบวนการตรวจสอบ
AML
ชื่อระดับแรก
3. ใช้กระเป๋าสตางค์
Cold Wallet
1. การแช่แข็งแบบออนไลน์
2. เลือกแพลตฟอร์มหรือบุคคลที่มีชื่อเสียงเป็นคู่สัญญาของคุณ
1. วิธีใช้กระเป๋าเงินเย็น
ก. รับ cryptocurrency: ร่วมมือกับกระเป๋าเงินสังเกตการณ์ เช่น imToken, Trust Wallet เป็นต้น
ข ส่งสกุลเงินที่เข้ารหัส: QRCode/USB/Bluetooth
2. จุดเสี่ยงของกระเป๋าเงินเย็น
Hot Wallet
ก. สิ่งที่คุณเห็นคือสิ่งที่คุณเซ็นว่าขาดกลไกรักษาความปลอดภัยในการโต้ตอบกับผู้ใช้
ข ขาดพื้นฐานความรู้ที่เกี่ยวข้องของผู้ใช้
1. โต้ตอบกับ DApps (DeFi, NFT, GameFi ฯลฯ)
2. รหัสที่เป็นอันตรายหรือวิธีการทำความชั่วลับๆ
ก. เมื่อกระเป๋าเงินทำงาน โค้ดที่เป็นอันตรายจะจัดแพ็คเกจโดยตรงและอัปโหลดคำช่วยจำที่เกี่ยวข้องไปยังเซิร์ฟเวอร์ที่ควบคุมโดยแฮ็กเกอร์
ข. เมื่อกระเป๋าเงินกำลังทำงาน เมื่อผู้ใช้เริ่มโอนข้อมูล เช่น ที่อยู่เป้าหมายและจำนวนเงินจะถูกแทนที่อย่างลับๆ ในพื้นหลังของกระเป๋าเงิน และเป็นการยากที่ผู้ใช้จะสังเกตเห็นในเวลานี้
c. ทำลายค่าเอนโทรปีของตัวเลขสุ่มที่เกี่ยวข้องกับการสร้างตัวช่วยจำ ทำให้การถอดรหัสช่วยจำเหล่านี้ง่ายขึ้น
ความปลอดภัย DeFi คืออะไรกันแน่
1. การรักษาความปลอดภัยสัญญาอัจฉริยะ
ก. สิทธิ์ที่มากเกินไป: เพิ่มการล็อกเวลา (Timelock) / ผู้ดูแลระบบหลายลงชื่อ ฯลฯ
ข. ค่อย ๆ เรียนรู้การอ่านรายงานการตรวจสอบความปลอดภัย
2. ความปลอดภัยขั้นพื้นฐานของบล็อกเชน: ความปลอดภัยของบัญชีแยกประเภทที่สอดคล้องกัน/ความปลอดภัยของเครื่องเสมือน ฯลฯ
3. การรักษาความปลอดภัยส่วนหน้า
ก. ความชั่วร้ายภายใน: ที่อยู่ของสัญญาอัจฉริยะเป้าหมายในหน้าส่วนหน้าถูกแทนที่/ปลูกถ่ายด้วยสคริปต์ฟิชชิงที่ได้รับอนุญาต
ข. ความชั่วร้ายโดยบุคคลที่สาม: ความชั่วร้ายในซัพพลายเชน/ไฟล์ JavaScript ระยะไกลของบุคคลที่สามที่แนะนำโดยฟรอนต์เอนด์นั้นเป็นอันตรายหรือถูกแฮ็ก
4. ความปลอดภัยในการสื่อสาร
ก. ความปลอดภัย HTTPS
ข. ตัวอย่าง: เหตุการณ์ด้านความปลอดภัย MyEtherWallet
ค. โซลูชันการรักษาความปลอดภัย: HSTS
5. ความปลอดภัยของมนุษย์: หากฝ่ายโครงการทำสิ่งชั่วร้ายภายใน
6. ความมั่นคงทางการเงิน: ราคาสกุลเงิน, รายได้ต่อปี ฯลฯ
b. AOPP
7. การรักษาความปลอดภัยตามข้อกำหนด
ก. เนื้อหาที่เกี่ยวข้องกับ AML/KYC/การจำกัดพื้นที่การคว่ำบาตร/ความเสี่ยงด้านความปลอดภัย ฯลฯ
ความปลอดภัยของเอ็นเอฟที
1. ความปลอดภัยของข้อมูลเมตา
2. ความปลอดภัยของลายเซ็น
ลายเซ็นด้วยความระมัดระวัง / ลายเซ็นขัดกับสามัญสำนึก
1. สิ่งที่คุณเห็นคือสิ่งที่คุณลงนาม
2. เหตุการณ์การโจรกรรม NFT ที่รู้จักกันดีใน OpenSea
ก. ผู้ใช้อนุญาต NFT ใน OpenSea (คำสั่งซื้อที่รอดำเนินการ)
a. Token Approvals
b. Revoke.cash
c. APPROVED.zone
ข. แฮ็กเกอร์ได้รับลายเซ็นที่เกี่ยวข้องของผู้ใช้ผ่านฟิชชิง
3. ยกเลิกการอนุญาต (อนุมัติ)
d. Rabby Extended Wallet
4. กรณีจริงกับสามัญสำนึก
การโจมตีขั้นสูงบางอย่าง
2. ฟิชชิ่งที่แพร่หลาย
3. การรวม XSS, CSRF, Reverse Proxy และเทคนิคอื่นๆ (เช่น Cloudflare man-in-the-middle attack)
ชื่อระดับแรก
4. การปกป้องความเป็นส่วนตัวแบบดั้งเดิม
ระบบปฏิบัติการ
1. ให้ความสนใจกับการอัปเดตความปลอดภัยของระบบ และดำเนินการทันทีเมื่อมีการอัปเดตความปลอดภัย
2. อย่าไปยุ่งกับโปรแกรม
3. ตั้งค่าการป้องกันการเข้ารหัสดิสก์
โทรศัพท์มือถือ
1. ให้ความสำคัญกับการอัปเดตและดาวน์โหลดความปลอดภัยของระบบ
3. อย่าดาวน์โหลดแอพจากตลาดที่ไม่เป็นทางการ
เครือข่าย
4. หลักฐานการใช้การซิงโครไนซ์บนคลาวด์อย่างเป็นทางการ: คุณแน่ใจว่าไม่มีปัญหาเกี่ยวกับความปลอดภัยของบัญชี
เครือข่าย
1. ด้านเครือข่าย พยายามเลือกที่ปลอดภัย เช่น ไม่ยุ่งกับ Wi-Fi ที่ไม่คุ้นเคย
2. เลือกเราเตอร์และผู้ให้บริการที่มีชื่อเสียงดี ไม่โลภมาก และขอให้ไม่มีพฤติกรรมที่เป็นอันตรายขั้นสูงในระดับเราเตอร์และผู้ให้บริการ
เบราว์เซอร์
1. ปรับปรุงทันเวลา
2. อย่าติดตั้งส่วนขยายหากไม่จำเป็น
3. เบราว์เซอร์หลายตัวสามารถอยู่ร่วมกันได้
4. ใช้ส่วนขยายที่รู้จักกันดีเพื่อรักษาความเป็นส่วนตัว
ผู้จัดการรหัสผ่าน
1. อย่าลืมรหัสผ่านหลักของคุณ
2. รักษาอีเมลของคุณให้ปลอดภัย
3. 1Password/Bitwarden เป็นต้น
การรับรองความถูกต้องด้วยสองปัจจัย
Google Authenticator/Microsoft Authenticator เป็นต้น
วิทยาศาสตร์ออนไลน์
อินเทอร์เน็ตเชิงวิทยาศาสตร์ อินเทอร์เน็ตที่ปลอดภัย
จดหมาย
1. ปลอดภัยและเป็นที่รู้จัก: กล่องจดหมาย Gmail/Outlook/QQ เป็นต้น
2. ความเป็นส่วนตัว: ProtonMail/Tutanota
ซิมการ์ด
1. การโจมตีซิมการ์ด
2. ข้อเสนอแนะการป้องกัน
GPG
ก. เปิดใช้งานเครื่องมือ 2FA ที่รู้จักกันดี
ข ตั้งรหัส PIN
1. แยกแยะ
ก. PGP เป็นตัวย่อของ Pretty Good Privacy เป็นซอฟต์แวร์เข้ารหัสเชิงพาณิชย์ เปิดตัวมากว่า 30 ปี และปัจจุบันอยู่ภายใต้การดูแลของ Symantec
ข. OpenPGP เป็นมาตรฐานการเข้ารหัสที่ได้รับมาจาก PGP
ค. GPG ชื่อเต็มว่า GnuPG ซอฟต์แวร์เข้ารหัสแบบโอเพ่นซอร์สตามมาตรฐาน OpenPGP
สภาพแวดล้อมที่แยก
2. นิสัยการแยกตัวที่ดี
3. ความเป็นส่วนตัวไม่ได้มีไว้เพื่อป้องกัน แต่มีไว้เพื่อควบคุม
Telegram
Discord
ชื่อระดับแรก
ตกปลาจาก ทางการ
ข้อกังวลเกี่ยวกับความเป็นส่วนตัวของ Web3
ชื่อระดับแรก
การขโมยเหรียญ การขุดที่เป็นอันตราย แรนซัมแวร์ ธุรกรรมบนเว็บมืด การโอน C2 ของม้าโทรจัน การฟอกเงิน ดิสก์ทุน การพนัน ฯลฯ
SlowMist Hacked Blockchain คลังข้อมูลที่ถูกแฮ็ก
ชื่อระดับแรก
7. จะทำอย่างไรถ้าถูกขโมย
หยุดการสูญเสียก่อน
ปกป้องไซต์
การตรวจสอบย้อนกลับ
ปิดคดี
Code Is Law
Not Your Keys, Not Your Coins
In Blockchain We Trust
ชื่อระดับแรก
แปด ความเข้าใจผิด
ปรับปรุงทันที
สรุป
ชื่อระดับแรก
