Огляд вступної частини
Блокчейн-технологія, як велике винахід, революціонізувала виробничі відносини і в певній мірі вирішила проблему довіри. Проте в реальних застосуваннях блокчейну існує безліч непорозумінь, які часто використовуються злочинцями, що призводить до втрат активів користувачів. Тому світ блокчейну описується як "темний ліс". Щоб допомогти користувачам захистити свої активи в цьому складному середовищі, засновник SlowMist Technology Ю Сян написав (посібник з самопорятунку в темному лісі блокчейну). Цей документ є вступною частиною до цього посібника, що охоплює основні правила безпеки при використанні блокчейну, управління гаманцями, захист конфіденційності, безпеку людини, поширені способи зловживання та стратегії реагування.
Основні правила безпеки
У "темному лісі" блокчейну користувачі повинні пам'ятати про два основні правила безпеки:
Нульова довіра: завжди залишайтеся підозрілими. Не довіряйте жодній інформації чи платформі, особливо в ситуаціях, що стосуються безпеки активів.
Постійна перевірка: перевіряйте будь-які об'єкти, яким потрібно довіряти, і перетворюйте цю здатність перевірки на звичку.
Створення гаманця
Гаманець є основним інструментом у світі блокчейну, правильне створення та управління гаманцем - це перший крок до безпеки.
1. Вибір та установка гаманця
Джерело завантаження: отримуйте посилання для завантаження з офіційних веб-сайтів або відомих платформ (таких як CoinMarketCap), уникайте використання програмного забезпечення невідомого походження.
Встановлення та перевірка: під час встановлення PC-гаманця рекомендується перевірити узгодженість файлів; розширення для браузера слід уважно перевіряти за кількістю користувачів та оцінкою; апаратний гаманець потрібно купувати з офіційних каналів, щоб уникнути підробок.
Не рекомендується використовувати веб-гаманці: ризики онлайн-гаманців досить високі, рекомендується уникати їх використання.
2. Управління фразами-відновлення
Чутливість: фрази-відновлення є основою гаманця, під час генерації необхідно переконатися, що поруч немає інших людей або камер.
Випадковість: забезпечте випадковість фрази-відновлення, уникайте легкого зламу.
3. Безключові рішення
Кастодіальний спосіб: користувач не володіє приватними ключами, повністю покладається на централізовану платформу, підходить для новачків, але має ризики платформи.
Некастодіальний спосіб: користувач володіє приватними ключами або фразами-відновлення, безпека вища, але потрібно мати певну технічну спроможність.
Резервне копіювання гаманця
Резервне копіювання є важливим заходом для запобігання втраті активів.
1. Фрази-відновлення та типи приватних ключів
Явні фрази-відновлення: зазвичай складаються з 12 англійських слів.
Фрази-відновлення з паролем: генерують різні насіння за допомогою пароля, підвищуючи безпеку.
Рішення з кількома підписами: для використання коштів потрібно кілька підписів, підходить для команди або високих вимог до безпеки.
Схема спільного використання секретів: розділіть насіння на частини, для відновлення потрібно вказати певну кількість частин.
2. Способи резервного копіювання
Багаторазове резервне копіювання: використовуйте поєднання хмарного зберігання (такого як Google Drive), паперових записів, зберігання на пристроях (таких як жорсткий диск, USB) тощо.
Шифрувальний захист: шифруйте вміст резервного копіювання, регулярно перевіряйте, чи є резервні копії доступними.
Використання гаманця
Безпека операцій гаманця безпосередньо пов'язана з безпекою активів користувача.
1. Холодні та гарячі гаманці
Холодний гаманець: використовується для тривалого зберігання активів, шляхом спостереження за отриманням активів, для відправки можна використовувати QR-код або USB.
Гарячий гаманець: використовується при взаємодії з DApp (такими як DeFi, NFT, GameFi тощо), слід бути обережним до шкідливого коду, заміни адрес тощо.
2. Безпека DeFi
Безпека смарт-контрактів: уникайте надмірних повноважень, додавайте таймлок або механізм з кількома підписами.
Безпека фронтенду: запобігайте внутрішнім зловживанням (таким як заміна адреси цільового контракту) і атакам третіх осіб у ланцюгу постачання.
Безпека зв'язку: використовуйте HTTPS, щоб запобігти атакам посередника.
3. Безпека підписів
Обережне надання дозволів: уникайте безсвідомого надання дозволів на NFT або токени.
Інструменти для скасування дозволів: такі як Revoke.cash, APPROVED.zone, розширення гаманця Rabby.
Захист конфіденційності
Захист конфіденційності є важливою частиною безпеки в світі блокчейну.
1. Операційна система та пристрій
Оновлення системи: вчасно встановлюйте безпекові оновлення.
Джерело програми: уникайте завантаження неофіційного програмного забезпечення.
Шифрування диска: увімкніть функцію шифрування диска.
2. Мережа та браузер
Безпечна мережа: уникайте підключення до незнайомих Wi-Fi, вибирайте маршрутизатори та операторів зв'язку з хорошою репутацією.
Розширення для браузера: встановлюйте лише необхідні розширення, використовуйте інструменти для захисту конфіденційності.
3. Паролі та аутентифікація
Менеджер паролів: використовуйте такі інструменти, як 1Password, Bitwarden, щоб забезпечити безпеку основного пароля та електронної пошти.
Двофакторна аутентифікація (2FA): увімкніть інструменти, такі як Google Authenticator.
4. Інші інструменти
Науковий доступ до мережі: забезпечте безпеку мережі.
Вибір електронної пошти: надавайте перевагу безпечним сервісам електронної пошти (таким як Gmail, ProtonMail).
Захист SIM-карт: налаштуйте PIN-код, щоб запобігти атакам на SIM-картку.
Безпека людини
Безпека людини в основному стосується атак соціальної інженерії та психологічних стратегій.
1. Атаки фішингу
Прикидання під офіційний статус: шахрайство під виглядом офіційних осіб через платформи, такі як Telegram, Discord.
Заходи проти фішингу: не довіряйте посиланням або файлам, надісланим незнайомцями.
2. Проблеми конфіденційності
Конфіденційність Web3: звертайте увагу на публічність даних в ланцюзі, уникайте витоку чутливої інформації.
Способи зловживання блокчейном
Способи зловживання в світі блокчейну різноманітні, включаючи, але не обмежуючись, наступними:
Крадіжка монет: крадіжка активів користувачів через фішинг, шкідливий код тощо.
Шкідливий майнінг: використання пристроїв користувачів для майнінгу.
Вірус-вимагач: шифрування файлів користувача з вимогою викупу.
Відмивання грошей та фінансові піраміди: використання анонімності блокчейну для незаконного перенаправлення коштів.
SlowMist Technology надала SlowMist Hacked - архів злому блокчейну, що містить записи про історичні випадки.
Заходи реагування після крадіжки
Якщо активи користувача були вкрадені, необхідно спокійно діяти:
Перш за все, зупиніть збитки: якнайшвидше заморозьте відповідні облікові записи або активи.
Захистіть місце події: зберігайте відповідні докази для подальшого аналізу.
Відстеження: використовуйте інструменти для відстеження грошових потоків.
Закриття справи: підвести підсумки та зробити висновки, щоб уникнути повторення.
Поширені непорозуміння
Код є законом: код - це закон, але не абсолютна безпека.
Не ваші ключі, не ваші монети: якщо ви не володієте приватними ключами, ви не володієте активами.
У блокчейні ми довіряємо: довіра повинна базуватися на перевірці.
Безпека криптографії є абсолютною безпекою: безпека криптографії може також зникнути через неправильні дії.
Бути зламаним - це соромно: бути атакованим не є ганебним, важливо - зробити висновки.
Підсумок
(посібник з самопорятунку в темному лісі блокчейну) є не тільки посібником з безпеки, а й практичним посібником. Користувачі повинні після прочитання застосувати на практиці, освоїти відповідні навички та постійно підсумовувати та вдосконалювати свої дії. Одночасно посібник закликає користувачів ділитися своїм досвідом, щоб спільно сприяти розвитку безпеки блокчейну.
Крім того, посібник вшановує зусилля з безпеки в усьому світі, криптографічних досліджень, інженерів та етичних хакерів, а також дякує всім, хто працює над створенням безпечнішого світу.
