DEXXが大規模に盗まれた後、ブロックチェーンの暗い森のセルフレスキューマニュアルをもう一度読んでください
原題:「スローミストプロデュース | コサイン:ブロックチェーンダークフォレスト自助マニュアル」
執筆者: Cosine、SlowMist Technology の創設者
元の記事は 2022 年 4 月 12 日に初めて公開されました
ブロックチェーンは素晴らしい発明であり、特定の生産関係に変化をもたらし、この貴重な「信頼」を部分的に解決することができました。しかし現実は残酷で、ブロックチェーンに対する人々の理解には多くの誤解があります。こうした誤解により、悪者が抜け穴を簡単に利用して人々の財布に頻繁に侵入し、多額の経済的損失を引き起こすようになりました。ここはすでに暗い森です。
これに基づいて、Slow Mist Technology の創設者である Yu Xian は、「ブロックチェーン ダークフォレスト セルフレスキュー マニュアル」を作成することに尽力しました。
このマニュアル (現在 V1 ベータ版) は約 37,000 ワードあります。スペースの制限のため、ここではマニュアル内の主要なディレクトリ構造のみを紹介します。完全なコンテンツは GitHub に あります。
このマニュアルの主な公開場所として GitHub プラットフォームを選択したのは、コラボレーションや更新履歴レコードの表示に便利だからです。ウォッチ、フォーク、スターを付けることができます。もちろん、参加して貢献していただければ幸いです。
さて、紹介を始めましょう...
導入
あなたが暗号通貨を保有している、またはこの世界に興味があり、将来暗号通貨を保有する可能性がある場合は、このマニュアルを読み、注意して実践する価値があります。このマニュアルを読むには、ある程度の知識が必要です。その多くは「プレイ」できるため、初心者がこれらの知識の壁を恐れる必要はありません。
ブロックチェーンの暗い森の世界では、まず次の 2 つのセキュリティ ルールに留意してください。
- ゼロトラスト: 簡単に言えば、懐疑的であり、常に懐疑的であることです。
- 継続的な検証:信じたいなら、疑問に思った点を検証する能力を持ち、それを習慣化する必要があります。
主な内容
1.ウォレットを作成する
ダウンロード
1. 正しい公式ウェブサイトを見つける
1.ウォレットを作成する
ダウンロード
1. 正しい公式ウェブサイトを見つける
- グーグル
- CoinMarketCap などの業界でよく知られたインクルージョン
- もっと信頼できる人に聞いてください
2. アプリケーションをダウンロードしてインストールします
- PCウォレット:改ざんされていないか検証することを推奨(ファイル整合性検証)
- ブラウザ拡張機能ウォレット: 対象の拡張機能ダウンロード ページのユーザー数と評価に注意してください
- モバイルウォレット:判定方法は拡張ウォレットと同様
- ハードウェアウォレット:公式サイトの指導のもと、販売元から購入し、改ざんがないか注意してください。
- ウェブウォレット: このオンラインウォレットの使用は推奨されません
ニーモニックフレーズ
ウォレットを作成するときは、ニーモニック フレーズの外観は非常にデリケートですので、周囲に覗き見につながる可能性のある人やカメラがないことに注意してください。また、ニーモニック フレーズが十分にランダムに表示されるかどうかにも注意してください。
キーレス
1. キーレスの 2 つの主なシナリオ (説明の便宜上、ここで区別しています)
- カストディ、つまり監護方法。たとえば、集中型取引所やウォレットでは、ユーザーはアカウントを登録するだけでよく、セキュリティはこれらの集中型プラットフォームに完全に依存しています。
- Non-Custodial、つまり非保管モード。ユーザーが持つ唯一のものは秘密鍵のような権限ですが、直接的な暗号通貨の秘密鍵 (またはニーモニック フレーズ) ではありません。
2. MPCベースのキーレスソリューションの長所と短所
2. ウォレットのバックアップ
ニーモニックフレーズ/秘密鍵の種類
1. 平文:主に英単語12語
2. パスワードあり: ニーモニックフレーズにパスワードを追加すると、このシードは一連の秘密鍵、公開鍵、および対応するアドレスを導出するために使用されます。
3. マルチ署名: 対象ファンドは使用する前に複数の署名と承認を必要とすることがわかり、非常に柔軟であり、承認ポリシーを設定できます。
4. Shamir の秘密共有: Shamir の秘密共有スキームは、シードを複数のシャードに分割することで、ウォレットを復元するときに指定された数のシャードを使用する必要があります。
暗号化
1. 複数の場所にバックアップする
- クラウド: Google/Apple/Microsoft、GPG/1Password などと組み合わせたもの。
- 紙: ニーモニック (プレーンテキスト、SSS など) を紙のカードにコピーします。
- デバイス: コンピュータ/iPad/iPhone/モバイルハードディスク/Uディスクなど。
- 脳:脳の記憶(記憶・事故)のリスクに注意
2. 暗号化
- 定期的・不定期的に必ず確認してください
- 部分検証も可能
- 検証プロセスの機密性とセキュリティに注意してください
3. ウォレットを使用する
AML
1. オンチェーン凍結
2. 取引相手として評判の良いプラットフォームまたは個人を選択します
コールドウォレット
1.コールドウォレットの使い方
- 暗号通貨の受け取り: imToken、Trust Wallet などの観察ウォレットと連携します。
- 暗号通貨の送信: QRCode/USB/Bluetooth
1.コールドウォレットの使い方
- 暗号通貨の受け取り: imToken、Trust Wallet などの観察ウォレットと連携します。
- 暗号通貨の送信: QRCode/USB/Bluetooth
2. コールドウォレットのリスクポイント
- 表示されているものが署名されるなど、ユーザー インタラクションのセキュリティ メカニズムが欠如している
- ユーザーの関連知識の背景が欠落している
ホットウォレット
1. DApps (DeFi、NFT、GameFi など) と対話する
2. 悪を行うための悪意のあるコードまたはバックドア手段
- ウォレットが実行されているとき、悪意のあるコードは関連するニーモニックワードを直接パッケージ化し、ハッカーが制御するサーバーにアップロードします。
- ウォレットの実行中、ユーザーが送金を開始すると、ターゲットのアドレスや金額などの情報がウォレットのバックグラウンドで密かに置き換えられ、ユーザーが検出するのは困難です。
- ニーモニック フレーズの生成に関連する乱数エントロピー値を破棄し、これらのニーモニック フレーズを解読しやすくします。
DeFiセキュリティとは一体何なのでしょうか?
1. スマートコントラクトのセキュリティ
- 過剰な権限: タイムロック/マルチサイン管理者の追加など。
- セキュリティ監査レポートを段階的に読む方法を学びます
2. ブロックチェーンの基本セキュリティ:コンセンサス台帳セキュリティ/仮想マシンセキュリティなど
3. フロントエンドのセキュリティ
- 内部悪: フロントエンド ページのターゲット スマート コントラクト アドレスが置き換えられる/認証フィッシング スクリプトが埋め込まれる
- サードパーティの悪: サプライ チェーンの悪/フロントエンド ページに導入されたサードパーティのリモート JavaScript ファイルは悪であるか、ハッキングされています。
4. 通信セキュリティ
- HTTPS セキュア
- 例: MyEtherWallet のセキュリティ インシデント
- セキュリティソリューション:HSTS
5. 人体の安全: プロジェクト当事者が内部で悪事を働いた場合
6. 経済的安全性: 通貨価格、年間収入など
7. コンプライアンスとセキュリティ
- AML/KYC/制裁地域制限/証券リスクに関する内容など
- AOPP
NFTセキュリティ
1. メタデータのセキュリティ
2. 署名のセキュリティ
常識に反する署名には注意してください
1. 目に見えるものはあなたが署名するものです
2. OpenSeaでのいくつかの有名なNFT盗難事件
- ユーザーが OpenSea で NFT (保留中の注文) を承認した
- ハッカーはフィッシングを使用してユーザーの関連署名を取得します
3. 認可の取消し(承認)
- トークンの承認
- キャッシュを取り消す
- 承認済みゾーン
- ラビー拡張ウォレット
4. 常識を覆す実際の事件
いくつかの高度な攻撃方法
1. 対象となる釣り
2. 広い網をかけて漁をする
3. XSS、CSRF、リバース プロキシ、およびその他の技術 (Cloudflare 中間者攻撃など) を組み合わせる
1. 対象となる釣り
2. 広い網をかけて漁をする
3. XSS、CSRF、リバース プロキシ、およびその他の技術 (Cloudflare 中間者攻撃など) を組み合わせる
4. 従来のプライバシー保護
オペレーティング·システム
1. システムのセキュリティ更新に注意し、セキュリティ更新が利用可能になったらすぐに行動する
2. プログラムをいじらないでください
3. ディスク暗号化保護をセットアップする
携帯電話
1. システムのセキュリティアップデートとダウンロードに注意してください
2. セキュリティ研究を行っている場合を除き、ジェイルブレイクやルート クラックを行う必要はありません。
3. 非公式マーケットからアプリをダウンロードしないでください
4. 公式クラウド同期を使用するための前提条件: アカウントのセキュリティに問題がないことを確認します。
ネットワーク
1. ネットワークに関しては、見慣れないWi-Fiにむやみに接続しないなど、安全なものを選ぶようにしましょう。
2. 評判の良いルータとオペレータを選択し、小さな利益に貪欲にならず、ルータやオペレータのレベルで高度な邪悪な行為が行われないことを祈ります。
ブラウザ
1. 適時に更新する
2. 必要がない場合は、拡張機能をインストールしないでください。
3. 複数のブラウザが共存可能
4. プライバシー保護のために評判の良い拡張機能を使用する
パスワードマネージャー
1. マスターパスワードを忘れないでください
2. メールを安全に保つ
3. 1Password/Bitwardenなど
二要素認証
Google認証システム/Microsoft認証システムなど
科学インターネット
科学的かつ安全なインターネット アクセス
郵便
1. 安全でよく知られている: Gmail/Outlook/QQ メールボックスなど。
2. プライバシー: ProtonMail/Tutanota
SIMカード
1.SIMカード攻撃
2. 防御の提案
- 有名な 2FA ツールを有効にする
- PINコードを設定する
GPG
1. 区別する
- PGP は Pretty Good Privacy の略称で、30 年以上前からリリースされており、現在はシマンテック社が所有しています。
- OpenPGP は PGP から派生した暗号化標準です
- GPG (正式名 GnuPG) は、OpenPGP 標準に基づくオープンソースの暗号化ソフトウェアです。
隔離環境
1. ゼロトラストセキュリティルールの考え方をもつ
2. 良い孤立習慣
3. プライバシーは保護するものではなく、管理するものです。
5. 人体の安全
1. ゼロトラストセキュリティルールの考え方をもつ
2. 良い孤立習慣
3. プライバシーは保護するものではなく、管理するものです。
5. 人体の安全
- 電報
- 不和
- 「公式」からの釣り
- Web3 のプライバシー問題
6. ブロックチェーンが悪を行う仕組み
コイン盗難、悪意のあるマイニング、ランサムウェア、ダークウェブ取引、トロイの木馬 C2 転送、マネーロンダリング、ファンド ディスク、ギャンブルなど。
SlowMist ハッキングされたブロックチェーンのハッキングされたアーカイブ
7. 盗まれた場合はどうすればよいですか?
- まずはストップロス
- 現場を守る
- 理由を分析する
- トレーサビリティ
- ケースを閉じます
8. 誤解
- コードは法律です
- 鍵でもコインでもありません
- 私たちはブロックチェーンを信頼します
- 暗号化セキュリティはセキュリティです
- ハッキングされるのは恥ずかしい
- 今すぐアップデートしてください
要約する
このマニュアルを読み終えたら、実践して熟練し、1 つの例から推論を導き出す必要があります。今後、ご自身の発見や体験がありましたら、ぜひご投稿いただければ幸いです。敏感に感じる場合は、適切に感度を下げて匿名のままにすることができます。第二に、セキュリティとプライバシー関連の法律と法執行機関の世界的な成熟に感謝したいと思います。暗号学者、エンジニア、正義のハッカー、そしてすべての世代にとってより良い世界を築くために関わったすべての人々の努力に感謝したいと思います。その一人がナカモト・コングです。最後に、寄稿者の皆様のおかげで、このリストは今後も更新されていく予定です。何かアイデアがございましたら、お気軽にお問い合わせください。
免責事項:本記事の内容はあくまでも筆者の意見を反映したものであり、いかなる立場においても当プラットフォームを代表するものではありません。また、本記事は投資判断の参考となることを目的としたものではありません。
こちらもいかがですか?
ai16z パートナーのショー: 「ai16zeliza」を詐欺と呼ばなかったのは善意から
ELIZAインサイダー容疑者の財布は466万ドルを獲得
ブロックチェーン協会、ゲイリー・ゲンスラー氏に暗号通貨執行活動の停止を要請
Pledgeプロトコルの開発者Alluvialが430万米ドルの戦略的資金調達を完了