#BNB

Resumo da introdução

A tecnologia blockchain, como uma grande invenção, revolucionou as relações de produção e, em certa medida, resolveu o problema da confiança. No entanto, existem muitas armadilhas na aplicação prática da blockchain, que muitas vezes são exploradas por elementos mal-intencionados, resultando em perdas de ativos dos usuários. O mundo da blockchain é, portanto, descrito como uma 'floresta sombria'. Para ajudar os usuários a proteger seus ativos nesse ambiente complexo, o fundador da SlowMist Technology, Yu Xian, escreveu o (Manual de Autoproteção da Floresta Sombria da Blockchain). Este documento é a introdução desse manual, cobrindo as regras de segurança essenciais no uso da blockchain, gerenciamento de carteiras, proteção de privacidade, segurança humana, modos comuns de agir maliciosamente e estratégias de resposta.

Regras de segurança essenciais

Na 'floresta sombria' da blockchain, os usuários devem sempre lembrar duas regras de segurança:

  1. Zero confiança: mantenha sempre uma atitude cética. Não confie em nenhuma informação ou plataforma, especialmente em cenários que envolvem a segurança dos ativos.

  2. Verificação contínua: verifique qualquer objeto que precise de confiança e transforme essa capacidade de verificação em um hábito.

Criar carteira

A carteira é a ferramenta central no mundo da blockchain, criar e gerenciar a carteira corretamente é o primeiro passo para a segurança.

1. Escolha e instalação da carteira

  • Fonte de download: obtenha links de download de sites oficiais ou plataformas conhecidas da indústria (como CoinMarketCap), evite usar software de fontes desconhecidas.

  • Instalação e verificação: ao instalar uma carteira de PC, recomenda-se realizar uma verificação de consistência de arquivos; carteiras de extensão de navegador devem ser acompanhadas pelo número de usuários e avaliações; carteiras de hardware devem ser compradas de canais oficiais, evitando modificações.

  • Não é recomendável usar carteiras na web: carteiras online apresentam riscos elevados, recomenda-se evitar seu uso.

2. Gerenciamento de frases de recuperação

  • Sensibilidade: a frase de recuperação é o núcleo da carteira, e deve ser gerada sem a presença de outras pessoas ou câmeras.

  • Aleatoriedade: assegure a aleatoriedade da frase de recuperação para evitar que seja facilmente quebrada.

3. Soluções sem chave

  • Método de custódia: o usuário não controla a chave privada, dependendo completamente de plataformas centralizadas, adequado para iniciantes, mas apresenta riscos da plataforma.

  • Método não custodial: o usuário controla a chave privada ou a frase de recuperação, com maior segurança, mas requer alguma capacidade técnica.

Backup da carteira

O backup é uma medida importante para prevenir a perda de ativos.

1. Tipos de palavras-chave e chaves privadas

  • Frases de recuperação em texto claro: geralmente consistem em 12 palavras em inglês.

  • Frase de recuperação com senha: gera diferentes sementes através de uma senha, aumentando a segurança.

  • Solução de múltiplas assinaturas: os fundos só podem ser usados com várias autorizações, adequada para equipes ou cenários de alta segurança.

  • Solução de compartilhamento secreto: divida a semente em partes, e um número específico de partes deve ser indicado para a restauração.

2. Métodos de backup

  • Múltiplos backups: combine armazenamento em nuvem (como Google Drive), anotações manuais e armazenamento em dispositivos (como HD, pen drive) de várias maneiras.

  • Proteção por criptografia: criptografe o conteúdo de backup e verifique periodicamente se o backup é utilizável.

Usando a carteira

A segurança na operação da carteira está diretamente relacionada à segurança dos ativos do usuário.

1. Carteiras frias e carteiras quentes

  • Carteira fria: para armazenamento de ativos a longo prazo, pode-se observar a carteira receber ativos e usar QR codes ou USB para enviar.

  • Carteira quente: usada ao interagir com DApps (como DeFi, NFT, GameFi, etc.), deve-se estar alerta para riscos como códigos maliciosos e substituição de endereços.

2. Segurança em DeFi

  • Segurança de contratos inteligentes: evite permissões excessivas, adicione mecanismos de bloqueio de tempo ou múltiplas assinaturas.

  • Segurança do frontend: previna ações maliciosas internas (como substituição de endereço de contrato alvo) e ataques de cadeia de suprimentos de terceiros.

  • Segurança da comunicação: use HTTPS para prevenir ataques man-in-the-middle.

3. Segurança de assinatura

  • Autorização cautelosa: evite autorizar NFT ou Token inconscientemente.

  • Ferramentas de revogação de autorização: como Revoke.cash, APPROVED.zone, carteira de extensão Rabby.

Proteção de privacidade

Proteger a privacidade é uma parte importante da segurança no mundo da blockchain.

1. Sistemas operacionais e dispositivos

  • Atualizações do sistema: instale atualizações de segurança prontamente.

  • Fonte do software: evite baixar software não oficial.

  • Criptografia de disco: ative a funcionalidade de criptografia de disco.

2. Rede e navegador

  • Rede segura: evite conectar-se a Wi-Fi desconhecidos, escolha roteadores e provedores com boa reputação.

  • Extensões de navegador: instale apenas as extensões necessárias e use ferramentas de proteção de privacidade.

3. Senhas e autenticação

  • Gerenciador de senhas: use ferramentas como 1Password, Bitwarden, assegurando a segurança da senha principal e do e-mail.

  • Autenticação de dois fatores (2FA): ative ferramentas como Google Authenticator.

4. Outras ferramentas

  • Navegação segura: assegure a segurança da rede.

  • Escolha de e-mail: prefira usar serviços de e-mail com alta segurança (como Gmail, ProtonMail).

  • Proteção de cartão SIM: defina um código PIN para prevenir ataques ao cartão SIM.

Segurança humana

A segurança humana envolve principalmente ataques de engenharia social e estratégias psicológicas.

1. Ataques de phishing

  • Disfarce de identidade oficial: usar plataformas como Telegram, Discord para se passar por funcionários oficiais em fraudes.

  • Medidas anti-phishing: não confie em links ou arquivos enviados por estranhos.

2. Questões de privacidade

  • Privacidade no Web3: esteja ciente da publicidade dos dados na blockchain e evite a divulgação de informações sensíveis.

Modos de agir maliciosamente na blockchain

As maneiras de agir maliciosamente no mundo da blockchain são diversas e incluem, mas não se limitam a, o seguinte:

  • Roubo de criptomoedas: roubar ativos dos usuários através de phishing, código malicioso, etc.

  • Mineração maliciosa: usar dispositivos dos usuários para minerar.

  • Ransomware: criptografar arquivos do usuário e exigir pagamento de resgate.

  • Lavagem de dinheiro e pirâmides financeiras: usar a anonimidade da blockchain para transferências ilegais de fundos.

A SlowMist Technology oferece o SlowMist Hacked, um repositório de casos de hacks na blockchain que documenta casos históricos.

Medidas a tomar após um roubo

Se os ativos do usuário forem roubados, deve-se lidar com a situação com calma:

  1. Minimize perdas: congele rapidamente contas ou ativos relacionados.

  2. Preserve a cena: mantenha as evidências relevantes para facilitar a análise posterior.

  3. Rastreie a origem: use ferramentas na blockchain para rastrear o fluxo de fundos.

  4. Fechamento do caso: resuma as lições aprendidas para evitar que aconteça novamente.

Erros comuns

  1. Código é Lei: o código é a lei, mas não é absolutamente seguro.

  2. Não são suas chaves, não são suas moedas: não possuir a chave privada significa não possuir os ativos.

  3. Em Blockchain Nós Confiamos: a confiança deve ser baseada na verificação.

  4. A segurança criptográfica é segurança absoluta: a segurança criptográfica também pode falhar devido a operações inadequadas.

  5. Ser hackeado é constrangedor: ser atacado não é vergonhoso, o importante é aprender com a experiência.

Resumo

(O Manual de Autoproteção da Floresta Sombria da Blockchain) não é apenas um guia de segurança, mas também um manual prático. Os usuários devem aplicar o que aprenderam após a leitura, dominar as habilidades relevantes e continuar a resumir e melhorar na prática. Ao mesmo tempo, o manual apela para que os usuários compartilhem suas experiências, promovendo juntos o desenvolvimento da segurança na blockchain.

Além disso, o manual homenageia os esforços em legislações de segurança, pesquisas criptográficas, engenheiros e hackers éticos em todo o mundo, agradecendo a todos que trabalham para criar um mundo mais seguro.