主页 > 冷钱包imtoken > 余弦:区块链黑暗森林自助手册
余弦:区块链黑暗森林自助手册
前言
区块链是一项伟大的发明,它带来了一定的生产关系的变化,让“信任”这个宝贵的东西得以部分解决。然而,现实是残酷的,人们对区块链的理解存在诸多误解。这些误会导致坏人很容易钻空子,频频将黑手伸入人们的钱包,造成大量经济损失。这已经是一片黑暗的森林。
基于此,慢雾科技创始人余弦输出了区块链黑暗森林中的自助手册。
本手册(当前 V1 Beta)大约 37,000 字。限于篇幅,这里只列出手册中的关键目录结构,也可以作为参考。完整内容可在以下位置找到:
我们选择 GitHub 平台作为本手册的主要发布位置:它易于协作并查看历史更新。你可以 Watch、Fork 和 Star,当然我们希望你能做出贡献。
好的,让我们开始阅读……
介绍
如果您拥有加密货币或对世界感兴趣,并且可能在未来加密货币的优缺点,这本手册值得您反复阅读和认真练习。阅读本手册需要一定的知识背景。我希望初学者不必害怕这些知识障碍,因为很多都是可以“玩”的。
在区块链的黑暗森林世界中,首先要牢记以下两条安全规则:
零信任:只是持怀疑态度,而且总是持怀疑态度。
持续验证:为了让你相信,你必须有能力验证你的怀疑,并让它成为一种习惯。
关键内容
一、创建钱包
1.找到正确的官网
一种。谷歌
湾。CoinMarketCap等业内知名收藏
C。询问更多值得信赖的人
2.下载并安装应用程序
一种。PC钱包:建议检查是否被篡改(文件一致性检查)
湾。浏览器扩展钱包:关注目标扩展下载页面的用户数和评分
C。手机钱包:判断方法类似于扩容钱包
d。硬件钱包:在官网源码指导下购买,注意是否有被篡改的情况
e. 网络钱包:不建议使用这种在线钱包
在创建钱包时,助记词的出现非常敏感,请注意周围没有人,相机等,这可能会导致偷窥。还要注意助记词是否足够随机
1. 无钥匙两种情况(这里为了方便区分)
一种。保管,保管方式。例如,在中心化交易所和钱包中,用户只需要注册一个账户,并不拥有私钥。安全性完全依赖于这些集中式平台。
湾。Non-Custodial加密货币的优缺点,即非托管。用户拥有类似私钥但没有直接加密私钥(或助记词)的唯一权力
2.基于 MPC 的 Keyless 解决方案的优缺点
二、备用钱包
1. 明文:主要是12个英文单词
2. 带密码:助记词加上密码后,会得到不同的种子。该种子用于派生一系列私钥、公钥和相应的地址。
3. 多重签名:可以理解为目标资金需要多重签名和授权才能使用。多重签名非常灵活,可以设置审批策略
4. Shamir 的秘密分享:Shamir 的秘密分享方案,作用是将种子分成多个分片。恢复钱包时,需要使用指定数量的分片进行恢复
1. 多个备份
一种。Cloud:Google/Apple/Microsoft,结合GPG/1Password等
湾。纸:将助记词(明文、SSS等)复制到纸卡上
C。设备:电脑/iPad/iPhone/移动硬盘/U盘等
d。大脑:注意大脑记忆风险(记忆/事故)
2.加密
一种。一定要做定期和不定期的验证
湾。也可以使用部分验证
C。注意验证过程的保密性和安全性
三、使用钱包
1. 冻结链上
2.选择信誉良好的平台和个人作为交易对手
1.如何使用冷钱包
一种。接收加密货币:与观察钱包合作,如imToken、Trust Wallet等。
湾。发送加密货币:二维码/USB/蓝牙
2. 冷钱包风险点
一种。所见即所得的用户交互安全机制缺失
湾。用户相关知识背景缺失
1. 与 DApp 交互(DeFi、NFT、GameFi 等)
2.恶意代码或后门作恶方式
一种。钱包运行时,恶意代码会直接打包相关助记词上传到黑客控制的服务器
湾。钱包运行时,当用户发起转账,偷偷更换钱包后台的目标地址、金额等信息时,此时用户很难察觉
C。销毁助记词生成相关的随机数熵值,使这些助记词更容易破解
1. 智能合约安全
一种。权限过多:增加时间锁(Timelock)/多签admin等。
湾。逐步学会阅读安全审计报告
2. 区块链基础安全:共识账本安全/虚拟机安全等。
3. 前端安全
一种。内恶:前端页面中的目标智能合约地址被授权钓鱼脚本替换/植入
湾。第三方作恶:供应链作恶/前端页面引入的第三方远程 JavaScript 文件作恶或被黑
4. 通信安全