lời tựa
tiêu đề cấp đầu tiên
lời tựa
Blockchain là một phát minh vĩ đại, nó đã mang lại những thay đổi nhất định trong quan hệ sản xuất và giải quyết được phần nào điều quý giá là “lòng tin”. Tuy nhiên, thực tế rất phũ phàng và có nhiều hiểu lầm trong cách hiểu của mọi người về blockchain. Những hiểu lầm này đã khiến kẻ xấu dễ dàng lợi dụng sơ hở, thường xuyên thò tay vào ví của mọi người, gây ra nhiều thiệt hại về tài chính. Đây đã là một khu rừng tối.Dựa trên điều này, Yu Xian, người sáng lập SlowMist Technology, đã dành tất cả nỗ lực của mình để tạo ra Sổ tay hướng dẫn tự trợ giúp về Blockchain Dark Forest.)
Sách hướng dẫn này (V1 Beta hiện tại) có khoảng 37.000 từ. Do giới hạn về dung lượng, chỉ các cấu trúc thư mục chính trong sách hướng dẫn được liệt kê ở đây, đây có thể được coi là một hướng dẫn. (
Ok, phần đọc giới thiệu bắt đầu...
Lót
tiêu đề cấp đầu tiên
Lót
Trong thế giới dark forest của blockchain, trước tiên hãy ghi nhớ hai quy tắc bảo mật sau:Nói một cách đơn giản, đó là luôn hoài nghi, và luôn luôn hoài nghi.
Không tin cậy:Xác minh liên tục:
tiêu đề cấp đầu tiên
nội dung chính
Download
tiêu đề cấp đầu tiên
a. Google
1. Tạo ví
1. Tìm đúng trang web chính thức
b. Các bộ sưu tập nổi tiếng trong ngành, chẳng hạn như CoinMarketCap
c. Nhờ những người đáng tin cậy hơn
2. Tải và cài đặt ứng dụng
a. Ví PC: Nên thực hiện xác minh giả mạo (xác minh tính nhất quán của tệp)
b. Ví tiện ích mở rộng trình duyệt: Hãy chú ý đến số lượng người dùng và xếp hạng trên trang tải xuống tiện ích mở rộng mục tiêu
c. Ví di động: Phương thức phán đoán tương tự như ví mở rộng
Mnemonic Phrase
d. Ví phần cứng: Mua từ nguồn của trang web chính thức và chú ý xem có bất kỳ giả mạo nào không
Keyless
e. Ví web: Không nên sử dụng ví trực tuyến này
Khi tạo ví, sự xuất hiện của ghi nhớ rất nhạy cảm, hãy chú ý rằng không có người xung quanh bạn, máy ảnh, v.v., điều đó có thể dẫn đến việc nhìn trộm. Đồng thời, hãy chú ý xem từ ghi nhớ có xuất hiện đủ ngẫu nhiên hay không.
1. Hai kịch bản chính của Keyless (sự khác biệt ở đây là để tiện cho việc giải thích)
b.Không giam giữ, tức là chế độ không giam giữ. Người dùng chỉ nắm giữ quyền lực tương tự như khóa riêng, nhưng nó không phải là khóa riêng của tiền tệ được mã hóa trực tiếp (hoặc ghi nhớ)
2. Ưu điểm và nhược điểm của giải pháp Keyless dựa trên MPC
tiêu đề cấp đầu tiên
2. Ví dự phòng
loại khóa ghi nhớ/riêng tư
1. Văn bản thuần túy: chủ yếu là 12 từ tiếng Anh
2. Với mật khẩu: Sau khi bộ nhớ được trang bị mật khẩu, bạn sẽ nhận được một hạt giống khác, hạt giống này được sử dụng để lấy ra một loạt khóa riêng, khóa chung và địa chỉ tương ứng
Encryption
3. Đa chữ ký: Có thể hiểu rằng quỹ mục tiêu cần được nhiều cá nhân ủy quyền trước khi sử dụng, đa chữ ký rất linh hoạt và có thể thiết lập chính sách phê duyệt
4. Chia sẻ bí mật của Shamir: Sơ đồ chia sẻ bí mật của Shamir, chức năng là chia hạt giống thành nhiều mảnh, khi khôi phục ví cần sử dụng số lượng mảnh được chỉ định để khôi phục
1. Nhiều bản sao lưu
a.Đám mây: Google/Apple/Microsoft, kết hợp với GPG/1Password, v.v.
b. Giấy: Sao chép ghi nhớ (ở dạng văn bản thuần túy, SSS, v.v.) trên thẻ giấy
C. Thiết bị: máy tính/iPad/iPhone/ổ cứng di động/đĩa U, v.v.
d.Não: Chú ý nguy cơ trí nhớ của não (trí nhớ/tai nạn)
2. Mã hóa
b. Cũng có thể sử dụng xác minh từng phần
c) Chú ý đến tính bảo mật và an toàn của quá trình xác minh
AML
tiêu đề cấp đầu tiên
3. Sử dụng ví
Cold Wallet
1. Đóng băng trên dây chuyền
2. Chọn một nền tảng hoặc cá nhân có danh tiếng tốt làm đối tác của bạn
1. Cách sử dụng ví lạnh
a. Nhận tiền điện tử: hợp tác với các ví quan sát, chẳng hạn như imToken, Trust Wallet, v.v.
b. Gửi tiền mã hóa: QRCode/USB/Bluetooth
2. Điểm rủi ro ví lạnh
Hot Wallet
a. Những gì bạn thấy là những gì bạn ký là thiếu cơ chế bảo mật tương tác người dùng
b. Thiếu nền tảng kiến thức liên quan của người dùng
1. Tương tác với DApps (DeFi, NFT, GameFi, v.v.)
2. Mã độc hoặc cách làm việc độc ác bằng cửa hậu
a.Khi ví đang chạy, mã độc sẽ trực tiếp đóng gói và tải các từ ghi nhớ có liên quan lên máy chủ do tin tặc kiểm soát
b. Khi ví đang chạy, khi người dùng bắt đầu chuyển khoản, các thông tin như địa chỉ đích và số tiền được thay thế bí mật trong nền của ví và người dùng khó nhận thấy vào thời điểm này
c. Phá hủy giá trị entropy của số ngẫu nhiên liên quan đến việc tạo ra các ghi nhớ, làm cho các ghi nhớ này dễ dàng bẻ khóa hơn
Bảo mật DeFi chính xác là gì
1. Bảo mật hợp đồng thông minh
a.Thừa quyền: tăng thời gian khóa (Timelock)/đa ký quản trị, v.v.
b. Dần dần học cách đọc các báo cáo kiểm toán bảo mật
2. Bảo mật cơ bản chuỗi khối: bảo mật sổ cái đồng thuận/bảo mật máy ảo, v.v.
3. Bảo mật mặt trước
a. Tội phạm nội bộ: địa chỉ của hợp đồng thông minh mục tiêu trong trang giao diện người dùng được thay thế/cấy ghép bằng các tập lệnh lừa đảo được ủy quyền
b. Xấu bởi bên thứ ba: Xấu trong chuỗi cung ứng/tệp JavaScript từ xa của bên thứ ba do trang giao diện người dùng giới thiệu là độc hại hoặc bị tấn công
4. Bảo mật truyền thông
A. Bảo mật HTTPS
b.Ví dụ: Sự cố bảo mật MyEtherWallet
c.Giải pháp bảo mật: HSTS
5. An toàn cho con người: nếu bên dự án làm điều ác bên trong
6. An ninh tài chính: giá tiền tệ, thu nhập hàng năm, v.v.
b. AOPP
7. An ninh tuân thủ
a) Các nội dung liên quan đến AML/KYC/hạn chế khu vực cấm vận/rủi ro chứng khoán, v.v.
bảo mật NFT
1. Bảo mật siêu dữ liệu
2. Bảo mật chữ ký
Chữ ký cẩn thận / Chữ ký chống lại lẽ thường
1. Những gì bạn thấy là những gì bạn ký
2. Một số sự cố trộm cắp NFT nổi tiếng ở OpenSea
a. Người dùng ủy quyền NFT trong OpenSea (lệnh chờ xử lý)
a. Token Approvals
b. Revoke.cash
c. APPROVED.zone
b. Tin tặc lấy chữ ký có liên quan của người dùng thông qua lừa đảo
3. Hủy ủy quyền (phê duyệt)
d. Ví mở rộng Rabby
4. Những trường hợp thực tế trái ngược với lẽ thường
một số cuộc tấn công nâng cao
2. Lừa đảo tràn lan
3. Kết hợp XSS, CSRF, Reverse Proxy và các kỹ thuật khác (chẳng hạn như tấn công trung gian của Cloudflare)
tiêu đề cấp đầu tiên
4. Bảo vệ quyền riêng tư truyền thống
hệ điều hành
1. Chú ý cập nhật bảo mật hệ thống và hành động ngay khi có cập nhật bảo mật
2. Không làm rối chương trình
3. Thiết lập bảo vệ mã hóa ổ đĩa
điện thoại di động
1. Coi trọng các bản cập nhật và tải xuống bảo mật hệ thống
3. Không tải xuống ứng dụng từ các thị trường không chính thức
mạng
4. Tiền đề của việc sử dụng đồng bộ hóa đám mây chính thức: bạn chắc chắn rằng không có vấn đề gì với bảo mật tài khoản
mạng
1. Về mạng, cố gắng chọn mạng an toàn, chẳng hạn như không dây vào Wi-Fi lạ
2. Chọn các bộ định tuyến và nhà khai thác có danh tiếng tốt, đừng tham lam vì những lợi ích nhỏ và cầu nguyện rằng sẽ không có hành vi độc hại nâng cao nào ở cấp bộ định tuyến và nhà khai thác
trình duyệt
1. Cập nhật kịp thời
2. Không cài đặt tiện ích mở rộng nếu không cần thiết
3. Nhiều trình duyệt có thể cùng tồn tại
4. Sử dụng các tiện ích mở rộng nổi tiếng bảo vệ quyền riêng tư
quản lý mật khẩu
1. Đừng quên mật khẩu chính của bạn
2. Giữ an toàn cho email của bạn
3. 1Password/Bitwarden, v.v.
xác thực hai yếu tố
Google Authenticator/Microsoft Authenticator, v.v.
khoa học trực tuyến
Internet khoa học, Internet an toàn
Thư
1. An toàn và nổi tiếng: hộp thư Gmail/Outlook/QQ, v.v.
2. Quyền riêng tư: ProtonMail/Tutanota
thẻ SIM
1. Tấn công thẻ SIM
2. Khuyến nghị Quốc phòng
GPG
a. Kích hoạt các công cụ 2FA nổi tiếng
b. Đặt mã PIN
1. Phân biệt
a.PGP là tên viết tắt của Pretty Good Privacy.Đây là một phần mềm mã hóa thương mại.Nó đã được phát hành hơn 30 năm và hiện nằm dưới sự bảo trợ của Symantec.
b.OpenPGP là một tiêu chuẩn mã hóa bắt nguồn từ PGP
c.GPG, tên đầy đủ là GnuPG, phần mềm mã hóa mã nguồn mở dựa trên tiêu chuẩn OpenPGP
môi trường bị cô lập
2. Thói quen cách ly tốt
3. Quyền riêng tư không phải để bảo vệ mà để kiểm soát
Telegram
Discord
tiêu đề cấp đầu tiên
Câu cá từ chính thức
Mối quan tâm về quyền riêng tư của Web3
tiêu đề cấp đầu tiên
Đánh cắp tiền xu, khai thác độc hại, ransomware, giao dịch web tối, chuyển ngựa thành Troia C2, rửa tiền, đĩa vốn, cờ bạc, v.v.
SlowMist Hacked Blockchain Hacked Archives
tiêu đề cấp đầu tiên
7. Phải làm gì nếu bị đánh cắp
dừng lỗ trước
bảo vệ trang web
truy xuất nguồn gốc
đóng trường hợp
Code Is Law
Not Your Keys, Not Your Coins
In Blockchain We Trust
tiêu đề cấp đầu tiên
Tám, hiểu lầm
cập nhật ngay lập tức
tóm tắt
tiêu đề cấp đầu tiên
