#BNB

Resumen de la introducción

La tecnología blockchain, como una gran invención, ha revolucionado las relaciones de producción y ha resuelto, en cierta medida, el problema de la confianza. Sin embargo, en la aplicación práctica de la blockchain existen muchos malentendidos, que a menudo son explotados por delincuentes, lo que lleva a la pérdida de activos de los usuarios. Por lo tanto, el mundo blockchain se describe como un 'bosque oscuro'. Para ayudar a los usuarios a proteger sus activos en este entorno complejo, el fundador de SlowMist, Yu Xian, escribió el 'Manual de autodefensa en el bosque oscuro de la blockchain'. Este documento es una introducción al manual, que cubre los principios fundamentales de seguridad en el uso de la blockchain, la gestión de billeteras, la protección de la privacidad, la seguridad humana, las formas comunes de hacer el mal y las estrategias de respuesta.

Principios de seguridad fundamentales

En el 'bosque oscuro' de la blockchain, los usuarios deben recordar dos grandes principios de seguridad:

  1. Cero confianza: mantener siempre una actitud de sospecha. No confiar en ninguna información o plataforma, especialmente en escenarios relacionados con la seguridad de los activos.

  2. Verificación continua: verificar cualquier objeto que necesite ser confiable, y hacer de esta capacidad de verificación un hábito.

Crear una billetera

La billetera es la herramienta central en el mundo blockchain, crear y gestionar correctamente una billetera es el primer paso hacia la seguridad.

1. Selección e instalación de la billetera

  • Origen de la descarga: obtener enlaces de descarga de sitios web oficiales o plataformas reconocidas en la industria (como CoinMarketCap), evitando el uso de software de fuentes desconocidas.

  • Instalación y verificación: al instalar billeteras de PC, se recomienda realizar una verificación de consistencia de archivos; las billeteras de extensión de navegador deben prestar atención al número de usuarios y calificaciones; las billeteras de hardware deben comprarse a través de canales oficiales, cuidando contra la manipulación.

  • No se recomienda usar billeteras web: las billeteras en línea tienen un alto riesgo, se recomienda evitarlas.

2. Gestión de frases de recuperación

  • Sensibilidad: la frase de recuperación es el núcleo de la billetera, al generarla asegúrate de que no haya otras personas o cámaras cerca.

  • Aleatoriedad: asegurarse de que la frase de recuperación sea aleatoria, evitando que sea fácil de descifrar.

3. Soluciones sin clave

  • Método de custodia: los usuarios no controlan las claves privadas y dependen completamente de plataformas centralizadas, adecuado para principiantes, pero con riesgos de plataforma.

  • Método no custodiado: los usuarios controlan las claves privadas o frases de recuperación, con mayor seguridad, pero requieren ciertas habilidades técnicas.

Hacer copias de seguridad de la billetera

Las copias de seguridad son una medida importante para prevenir la pérdida de activos.

1. Tipos de frases de recuperación y claves privadas

  • Frase de recuperación en texto claro: generalmente consiste en 12 palabras en inglés.

  • Frase de recuperación con contraseña: generar diferentes semillas a través de una contraseña, mejorando la seguridad.

  • Soluciones de firma múltiple: se requiere autorización de múltiples firmas para usar fondos, adecuado para equipos o escenarios de alta seguridad.

  • Esquema de compartición secreta: dividir la semilla en fragmentos, se requiere un número específico de fragmentos para la recuperación.

2. Métodos de copia de seguridad

  • Copias de seguridad en múltiples lugares: combinar almacenamiento en la nube (como Google Drive), escritura en papel y almacenamiento en dispositivos (como discos duros, USB) entre otros métodos.

  • Protección con cifrado: cifrar el contenido de las copias de seguridad y verificar periódicamente su disponibilidad.

Usar billetera

La seguridad en la operación de la billetera está directamente relacionada con la seguridad de los activos del usuario.

1. Billeteras frías y billeteras calientes

  • Billetera fría: utilizada para almacenamiento a largo plazo de activos, se pueden recibir activos observando la billetera, y se puede enviar utilizando un código QR o USB.

  • Billetera caliente: utilizada al interactuar con DApps (como DeFi, NFT, GameFi, etc.), se debe tener cuidado con el código malicioso, el reemplazo de direcciones y otros riesgos.

2. Seguridad en DeFi

  • Seguridad en contratos inteligentes: evitar permisos excesivos, añadir bloqueos temporales o mecanismos de firma múltiple.

  • Seguridad en el frontend: prevenir el mal uso interno (como reemplazar direcciones de contratos objetivo) y ataques a la cadena de suministro de terceros.

  • Seguridad de la comunicación: utilizar HTTPS para prevenir ataques de intermediarios.

3. Seguridad en la firma

  • Autorización cuidadosa: evitar autorizar sin darse cuenta NFT o Tokens.

  • Herramientas de revocación: como Revoke.cash, APPROVED.zone, billetera de extensión Rabby.

Protección de la privacidad

Proteger la privacidad es una parte importante de la seguridad en el mundo blockchain.

1. Sistemas operativos y dispositivos

  • Actualizaciones del sistema: instalar actualizaciones de seguridad de manera oportuna.

  • Origen del software: evitar descargar software no oficial.

  • Cifrado de disco: habilitar la función de cifrado de disco.

2. Red y navegador

  • Red segura: evitar conectarse a Wi-Fi desconocidas, elegir enrutadores y proveedores de servicios con buena reputación.

  • Extensiones de navegador: instalar solo las extensiones necesarias, utilizando herramientas de protección de la privacidad.

3. Contraseñas y autenticación

  • Gestor de contraseñas: utilizar herramientas como 1Password, Bitwarden, asegurando la seguridad de la contraseña principal y del correo electrónico.

  • Autenticación de dos factores (2FA): habilitar herramientas como Google Authenticator.

4. Otras herramientas

  • Navegación segura: asegurarse de que la red sea segura.

  • Selección de correo electrónico: priorizar el uso de servicios de correo electrónico con alta seguridad (como Gmail, ProtonMail).

  • Protección de la tarjeta SIM: configurar un código PIN para prevenir ataques a la tarjeta SIM.

Seguridad humana

La seguridad humana se refiere principalmente a ataques de ingeniería social y estrategias psicológicas.

1. Ataques de phishing

  • Suplantación de identidad oficial: estafar haciéndose pasar por personal oficial a través de plataformas como Telegram, Discord.

  • Medidas anti-phishing: no confiar en enlaces o archivos enviados por extraños.

2. Problemas de privacidad

  • Privacidad en Web3: prestar atención a la transparencia de los datos en la cadena, evitar la divulgación de información sensible.

Formas de hacer el mal en la blockchain

Las formas de hacer el mal en el mundo blockchain son diversas, incluyendo pero no limitándose a las siguientes:

  • Robo de monedas: robar activos de los usuarios a través de phishing, código malicioso y otros métodos.

  • Minado malicioso: utilizar dispositivos de los usuarios para minar.

  • Ransomware: cifrar archivos de los usuarios y exigir un rescate.

  • Lavado de dinero y esquemas Ponzi: utilizar el anonimato de la blockchain para transferencias de fondos ilegales.

SlowMist Technology proporciona la base de datos de incidentes hackeados de SlowMist, que documenta casos relevantes en la historia.

Medidas de respuesta tras el robo

Si los activos del usuario son robados, se debe manejar con calma:

  1. Primero, detener las pérdidas: congelar rápidamente las cuentas o activos relacionados.

  2. Proteger la escena: conservar las pruebas relevantes para facilitar el análisis posterior.

  3. Rastrear el origen: utilizar herramientas en la cadena para rastrear el flujo de fondos.

  4. Cierre del caso: resumir las lecciones aprendidas para evitar que vuelva a ocurrir.

Malentendidos comunes

  1. El código es ley: el código es la ley, pero no es absolutamente seguro.

  2. No tus claves, no tus monedas: no poseer la clave privada significa no poseer los activos.

  3. En blockchain confiamos: la confianza debe basarse en la verificación.

  4. La seguridad criptográfica es la seguridad absoluta: la seguridad criptográfica también puede fallar debido a un mal manejo.

  5. Ser hackeado es vergonzoso: ser atacado no es vergonzoso, lo importante es aprender de la experiencia.

Resumen

(El 'Manual de autodefensa en el bosque oscuro de la blockchain') no solo es una guía de seguridad, sino también un manual práctico. Los usuarios deben poner en práctica lo que han leído, dominar las habilidades relacionadas y constantemente resumir y mejorar a través de la práctica. Al mismo tiempo, el manual hace un llamado a los usuarios para que compartan sus experiencias y promuevan juntos el desarrollo de la seguridad en la blockchain.

Además, el manual rinde homenaje a los esfuerzos de la legislación de seguridad global, la investigación criptográfica, los ingenieros y los hackers éticos, y agradece a todos aquellos que trabajan para crear un mundo más seguro.