(fuentes: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook)

Prólogo

En primer lugar, ¡felicidades por encontrar este manual! No importa quién sea usted: si posee criptomonedas o desea saltar al mundo de las criptomonedas en el futuro, este manual le ayudará mucho. Debe leer este manual atentamente y aplicar sus enseñanzas en la vida real.

Además, para comprender este manual en su totalidad se requieren algunos conocimientos previos. Sin embargo, no te preocupes. En cuanto a los principiantes, no tengan miedo de las barreras del conocimiento que pueden superar. Si encuentra algo que no comprende y necesita explorar más, se recomienda Google. Además, es importante tener en cuenta una regla de seguridad: ¡sea escéptico! No importa qué información vea en la web, siempre debe buscar al menos dos fuentes para realizar referencias cruzadas.

Nuevamente, sea siempre escéptico 🙂 al incluir los conocimientos mencionados en este manual.

Blockchain es un gran invento que provoca un cambio en las relaciones de producción y resuelve hasta cierto punto el problema de la confianza. Específicamente, blockchain crea muchos escenarios de "confianza" sin la necesidad de centralización y de terceros, como la inmutabilidad, la ejecución según lo acordado y la prevención del repudio. Sin embargo, la realidad es cruel. Hay muchos malentendidos sobre blockchain, y los malos utilizarán estos malentendidos para explotar la laguna jurídica y robar dinero de las personas, causando muchas pérdidas financieras. Hoy, el mundo cripto ya se ha convertido en un bosque oscuro.

Recuerde las siguientes dos reglas de seguridad para sobrevivir en el bosque oscuro de blockchain.

1. Confianza cero: Para hacerlo simple, manténgase escéptico y manténgalo siempre.
2. Validación de seguridad continua: Para confiar en algo hay que validar lo que se duda y convertir la validación en un hábito.

Nota: Las dos reglas de seguridad anteriores son los principios básicos de este manual y todos los demás principios de seguridad mencionados en este manual se derivan de ellos.

Bien, eso es todo para nuestra introducción. Comencemos con un diagrama y exploremos este bosque oscuro para ver qué riesgos encontraremos y cómo debemos afrontarlos.

Un diagrama

Puede hojear este diagrama antes de echar un vistazo más de cerca al resto del manual. Se trata de las actividades clave en este mundo (como quieras llamarlo: blockchain, criptomoneda o Web3), que consta de tres procesos principales: crear una billetera, hacer una copia de seguridad de una billetera y usar una billetera.

Sigamos estos tres procesos y analicemos cada uno de ellos.

Crear una billetera

El núcleo de la billetera es la clave privada (o frase inicial).

Así es como se ve la clave privada:

0xa164d4767469de4faf09793ceea07d5a2f5d3cef7f6a9658916c581829ff5584

Además, así es como se ve la frase inicial:

cruel fin de semana punto pico inocente mareado extraterrestre uso evocar cobertizo ajustar mal

Nota: aquí utilizamos Ethereum como ejemplo. Consulte usted mismo más detalles sobre las claves privadas/frase inicial.

La clave privada es su identidad. Si la clave privada se pierde o es robada, entonces perdió su identidad. Hay muchas aplicaciones de billetera conocidas y este manual no las cubrirá todas.

Sin embargo, mencionaré algunas carteras específicas. Tenga en cuenta que se puede confiar en las carteras mencionadas aquí hasta cierto punto. Pero no puedo garantizar que no tendrán problemas o riesgos de seguridad, esperados o no, durante el uso (no repetiré más. Tenga siempre en cuenta las dos reglas de seguridad principales mencionadas en el prólogo).

Clasificadas por aplicación, hay carteras para PC, carteras de extensiones de navegador, carteras móviles, carteras de hardware y carteras web. En términos de conexión a Internet, se pueden dividir principalmente en billeteras frías y billeteras calientes. Antes de lanzarnos al mundo de las criptomonedas, primero debemos pensar en el propósito de la billetera. El propósito no solo determina qué billetera debemos usar, sino también cómo usamos la billetera.

No importa qué tipo de billetera elijas, una cosa es segura: después de tener suficiente experiencia en este mundo, una billetera no es suficiente.

Aquí debemos tener en cuenta otro principio de seguridad: el aislamiento, es decir, no poner todos los huevos en la misma cesta. Cuanto más se utilice una cartera, más riesgoso será. Recuerde siempre: cuando pruebe algo nuevo, primero prepare una billetera aparte y pruébelo por un tiempo con una pequeña cantidad de dinero. Incluso para un veterano de las criptomonedas como yo, si juegas con fuego, es más fácil quemarte.

Descargar

Esto suena simple, pero en realidad no es fácil. Las razones son las siguientes:

1. Muchas personas no pueden encontrar el sitio web oficial real o el mercado de aplicaciones adecuado y, finalmente, instalan una billetera falsa.
2. Mucha gente no sabe cómo identificar si la aplicación descargada ha sido manipulada o no.

Por lo tanto, para muchas personas, antes de ingresar al mundo blockchain, su billetera ya está vacía.

Para resolver el primer problema anterior, existen algunas técnicas para encontrar el sitio web oficial correcto, como

• usando google
• utilizando sitios web oficiales conocidos, como CoinMarketCap
• preguntando a personas y amigos de confianza

Puede comparar la información obtenida de estas diferentes fuentes y, en última instancia, solo hay una verdad :) Felicitaciones, ha encontrado el sitio web oficial correcto.

A continuación, debes descargar e instalar la aplicación. Si es una billetera para PC, después de descargarlo del sitio web oficial, debe instalarlo usted mismo. Se recomienda encarecidamente verificar si el enlace ha sido manipulado antes de la instalación. Aunque esta verificación puede no prevenir casos en los que el código fuente fue alterado por completo (debido a una estafa interna, piratería interna o el sitio web oficial puede ser pirateado, etc.), puede prevenir casos como la manipulación parcial del código fuente. ataque de intermediario, etc.

El método para verificar si un archivo ha sido manipulado es la verificación de coherencia del archivo. Generalmente hay dos formas:

• comprobaciones de hash: como MD5, SHA256, etc. MD5 funciona en la mayoría de los casos, pero todavía existe un pequeño riesgo de colisión de hash, por lo que generalmente elegimos SHA256, que es lo suficientemente seguro.
• Verificación de firma GPG: este método también es muy popular. Se recomienda encarecidamente dominar las herramientas, los comandos y los métodos de GPG. Aunque este método es un poco difícil para los principiantes, le resultará muy útil una vez que se familiarice con él.

Sin embargo, no hay muchos proyectos en el mundo de las criptomonedas que proporcionen verificación. Entonces, es una suerte encontrar uno. Por ejemplo, aquí hay una billetera bitcoin llamada Sparrow Wallet. Su página de descarga dice "Verificar la versión", lo cual es realmente impresionante, y existen pautas claras para ambos métodos mencionados anteriormente, que puede usar como referencia:

https://sparrowwallet.com/download/

La página de descarga menciona dos herramientas GPG:

• GPG Suite, para MacOS.
• Gpg4win, para Windows.

Si presta atención, encontrará que las páginas de descarga de ambas herramientas GPG brindan algunas instrucciones sobre cómo verificar la coherencia de ambos métodos. Sin embargo, no existe una guía paso a paso, es decir, debes aprender y practicar tú mismo :)

Si es una billetera de extensión del navegador, como MetaMask, lo único a lo que debes prestar atención es al número de descarga y la calificación en la tienda web de Chrome. MetaMask, por ejemplo, tiene más de 10 millones de descargas y más de 2000 calificaciones (aunque la calificación general no es alta). Algunas personas podrían pensar que el número de descargas y las calificaciones pueden estar inflados. A decir verdad, es muy difícil falsificar una cifra tan grande.

La billetera móvil Es similar a la billetera de extensión del navegador. Sin embargo, cabe destacar que la App Store cuenta con versiones diferentes para cada región. Las criptomonedas están prohibidas en China continental, por lo que si descargaste la billetera con tu cuenta de la App Store china, solo hay una sugerencia: no la uses, cámbiala a otra cuenta en una región diferente, como EE. UU., y luego vuelve a descargarla. él. Además, el sitio web oficial correcto también lo llevará al método de descarga correcto (como imToken, Trust Wallet, etc. Es importante que los sitios web oficiales mantengan una alta seguridad del sitio web. Si el sitio web oficial es pirateado, habrá grandes problemas. ).

Si es una billetera de hardware, se recomienda comprarlo en el sitio web oficial. No los compre en tiendas online. Una vez que reciba la billetera, también debe prestar atención a si está inactiva. Por supuesto, hay algunas travesuras en el embalaje que son difíciles de detectar. En cualquier caso, cuando utilice una billetera de hardware, debe crear la frase inicial y la dirección de la billetera al menos tres veces desde cero. Y asegúrese de que no se repitan.

Si es una billetera web, recomendamos encarecidamente no usarlo. A menos que no tenga otra opción, asegúrese de que sea auténtico y luego úselo con moderación y nunca confíe en él.

Frase mnemotécnica

Después de crear una billetera, la clave con la que tratamos directamente es la frase mnemotécnica/frase inicial, no la clave privada, que es más fácil de recordar. Existen convenciones estándar para frases mnemotécnicas (por ejemplo, BIP39); hay 12 palabras en inglés en general; podrían ser otros números (múltiplos de 3), pero no más de 24 palabras. De lo contrario, es demasiado complicado y difícil de recordar. Si el número de palabras es inferior a 12, la seguridad no es fiable. Es común ver 15/12/18/21/24 palabras. En el mundo blockchain, las 12 palabras son bastante populares y seguras. Sin embargo, todavía existen carteras de hardware incondicionales como Ledger, que comienzan con 24 palabras. Además de las palabras en inglés, también están disponibles otros idiomas, como chino, japonés, coreano, etc. Aquí hay una lista de 2048 palabras como referencia:

https://github.com/bitcoin/bips/blob/master/bip-0039/bip-0039-wordlists.md

Al crear una billetera, su frase inicial es vulnerable. Tenga en cuenta que no está rodeado de personas, cámaras web ni cualquier otra cosa que pueda robar su frase inicial.

Además, preste atención a si la frase inicial se genera aleatoriamente. Normalmente, las carteras conocidas pueden generar una cantidad suficiente de frases iniciales aleatorias. Sin embargo, siempre debes tener cuidado. Es difícil saber si hay algún problema con la billetera. Ten paciencia porque puede resultar muy beneficioso desarrollar estos hábitos para tu seguridad. Por último, a veces incluso puedes considerar desconectarte de Internet para crear una billetera, especialmente si vas a usar la billetera como una billetera fría. Desconectarse de Internet siempre funciona.

Sin claves

Sin llave significa que no hay clave privada. Aquí dividimos Keyless en dos escenarios principales (para facilitar la explicación. Dicha división no es estándar en la industria)

• custodia. Algunos ejemplos son el intercambio centralizado y la billetera, donde los usuarios solo necesitan registrar cuentas y no poseen la clave privada. Su seguridad depende completamente de estas plataformas centralizadas.
• Sin custodia. El usuario tiene un poder de control similar a una clave privada, que no es una clave privada real (o frase inicial). Se basa en plataformas en la nube conocidas para el alojamiento y la autenticación/autorización. De ahí que la seguridad de la plataforma Cloud se convierta en la parte más vulnerable. Otros utilizan la informática multipartita (MPC) segura para eliminar el punto único de riesgo y también se asocian con plataformas populares en la nube para maximizar la experiencia del usuario.

Personalmente, he utilizado varios tipos de herramientas Keyless. Los intercambios centralizados con mucho dinero y buena reputación brindan la mejor experiencia. Siempre que usted no sea personalmente responsable de la pérdida del token (por ejemplo, si la información de su cuenta fue pirateada), los intercambios centralizados generalmente reembolsarán su pérdida. El programa Keyless basado en MPC parece muy prometedor y debería promocionarse. Tengo buena experiencia con ZenGo, Fireblocks y Safeheron. Las ventajas son obvias:

• La ingeniería de algoritmos MPC se está volviendo cada vez más madura en las cadenas de bloques conocidas y solo es necesario realizarla para claves privadas.
• Un conjunto de ideas puede resolver el problema de que diferentes cadenas de bloques tengan esquemas de firmas múltiples muy diferentes, creando una experiencia de usuario consistente, que es lo que a menudo llamamos: firma múltiple universal.
• Puede garantizar que la clave privada real nunca aparezca y resolver el punto único de riesgo mediante el cálculo de firmas múltiples.
• Combinado con la nube (o tecnología Web2.0), MPC no solo es seguro sino que también crea una buena experiencia.

Sin embargo, todavía existen algunas desventajas:

• No todos los proyectos de código abierto pueden cumplir con los estándares aceptados de la industria. Es necesario hacer más trabajo.
• Básicamente, muchas personas solo usan Ethereum (o blockchain basada en EVM). Como tal, una solución de firmas múltiples basada en un enfoque de contrato inteligente como Gnosis Safe es suficiente.

En general, no importa qué herramienta utilices, siempre que te sientas seguro y controlable y tengas una buena experiencia, es una buena herramienta.

Hasta ahora hemos cubierto lo que debemos tener en cuenta con respecto a la creación de billeteras. Otras cuestiones generales de seguridad se tratarán en secciones posteriores.

Haga una copia de seguridad de su billetera

Aquí es donde muchas buenas manos caerían en trampas, incluido yo mismo. No hice una copia de seguridad correctamente y sabía que sucedería tarde o temprano. Por suerte, no era una billetera con una gran cantidad de activos y mis amigos de SlowMist me ayudaron a recuperarla. Aún así, fue una experiencia aterradora que no creo que nadie quisiera pasar. Así que abróchese el cinturón y aprendamos cómo hacer una copia de seguridad de su billetera de manera segura.

Frase mnemónica/clave privada

Cuando hablamos de hacer una copia de seguridad de una billetera, esencialmente estamos hablando de hacer una copia de seguridad de la frase mnemotécnica (o de la clave privada. Por conveniencia, usaremos la frase mnemotécnica a continuación). La mayoría de las frases mnemotécnicas se pueden clasificar de la siguiente manera:

• Texto sin formato
• Con Contraseña
• Firma múltiple
• Shamir's Secret Sharing, o SSS para abreviar

Explicaré brevemente cada tipo.

Texto sin formato, El texto sin formato es fácil de entender. Una vez que tenga esas 12 palabras en inglés, será propietario de los activos en la billetera. Puedes considerar hacer alguna mezcla especial o incluso reemplazar una de las palabras con otra cosa. Ambos aumentarían la dificultad para los piratas informáticos para acceder a su billetera; sin embargo, tendría un gran dolor de cabeza si se olvida de las reglas. Tu memoria no es a prueba de balas. Créame, su memoria se enredará después de varios años. Hace unos años, cuando usé la billetera de hardware Ledger, cambié el orden de la frase mnemotécnica de 24 palabras. Después de unos años, olvidé el orden y no estaba seguro de haber reemplazado alguna palabra. Como mencioné anteriormente, mi problema se resolvió con un programa especial para descifrar códigos que usa fuerza bruta para adivinar la secuencia y las palabras correctas.

Con Contraseña, Según el estándar, las frases mnemotécnicas pueden tener una contraseña. Sigue siendo la misma frase pero con la contraseña se obtendrá una frase semilla diferente. La frase inicial se utiliza para derivar una serie de claves privadas, claves públicas y direcciones correspondientes. Por lo tanto, no sólo debes hacer una copia de seguridad de las frases mnemotécnicas, sino también de la contraseña. Por cierto, las claves privadas también pueden tener contraseña y tiene sus propios estándares, como BIP 38 para bitcoin y Keystore para ethereum.

Firma múltipleComo sugiere el nombre, requiere firmas de varias personas para acceder a las billeteras. Es muy flexible ya que puedes establecer tus propias reglas. Por ejemplo, si hay 3 personas que tienen la clave (palabras mnemotécnicas o claves privadas), puede solicitar que al menos dos personas firmen para acceder a las billeteras. Cada blockchain tiene su propia solución multifirma. Las carteras Bitcoin más conocidas admiten firmas múltiples. Sin embargo, en Ethereum, la firma múltiple se admite principalmente a través de contratos inteligentes, como Gnosis Safe. Además, MPC, o Secure Multi-Party Computation, se está volviendo cada vez más popular. Proporciona una experiencia similar a la multifirma tradicional, pero con tecnología diferente. A diferencia de la firma múltiple, MPC es independiente de blockchain y puede funcionar con todos los protocolos.

SSS, Shamir's Secret Sharing, SSS divide la semilla en varias partes (normalmente, cada parte contiene 20 palabras). Para recuperar la billetera, se debe recolectar y utilizar una cantidad específica de acciones. Para obtener más información, consulte las mejores prácticas de la industria a continuación:

https://support.keyst.one/advanced-features/recovery-phrase/import-or-create-shamir-backup
https://wiki.trezor.io/Shamir_backup

El uso de soluciones como la firma múltiple y SSS le brindará tranquilidad y evitará riesgos de un solo punto, pero podría hacer que la administración sea relativamente complicada y, en ocasiones, intervendrán varias partes. Siempre existe un compromiso entre comodidad y seguridad. Depende del individuo decidir pero nunca ser perezoso en principios.

Cifrado

El cifrado es un concepto muy, muy amplio. No importa si el cifrado es simétrico, asimétrico o utiliza otras tecnologías avanzadas; Siempre que usted o su equipo de manejo de emergencias puedan descifrar fácilmente un mensaje cifrado, pero nadie más después de décadas, es un buen cifrado.

Basándonos en el principio de seguridad de “confianza cero”, cuando realizamos copias de seguridad de billeteras, debemos asumir que cualquier paso podría ser pirateado, incluidos los entornos físicos como una caja fuerte. Tenga en cuenta que no hay nadie más que usted mismo en quien se pueda confiar plenamente. De hecho, a veces ni siquiera puedes confiar en ti mismo porque tus recuerdos pueden desvanecerse o perderse. Sin embargo, no haré suposiciones pesimistas todo el tiempo, de lo contrario me llevaría a resultados no deseados.

Al realizar una copia de seguridad, se debe prestar especial atención a la recuperación ante desastres. El objetivo principal de la recuperación ante desastres es evitar un único punto de riesgo. ¿Qué pasaría si usted no está o el entorno donde almacena la copia de seguridad no funciona? Por lo tanto, para cosas importantes, debe haber una persona de recuperación ante desastres y debe haber múltiples copias de seguridad.

No daré demasiados detalles sobre cómo elegir a la persona de recuperación ante desastres porque depende de en quién confíe. Me centraré en cómo hacer las copias de seguridad múltiples. Echemos un vistazo a algunas formas básicas de ubicaciones de respaldo:

• Nube
• Papel
• Dispositivo
• Cerebro

NubeMuchas personas no confían en las copias de seguridad en la nube porque creen que son vulnerables a los ataques de piratas informáticos. Al final del día, lo importante es qué lado (el atacante o el defensor) puso más esfuerzo, tanto en términos de personal como de presupuesto. Personalmente, tengo fe en los servicios en la nube impulsados por Google, Apple, Microsoft, etc., porque sé lo fuertes que son sus equipos de seguridad y cuánto han gastado en seguridad. Además de luchar contra los piratas informáticos externos, también me preocupo mucho por el control de riesgos de seguridad internos y la protección de datos privados. Los pocos proveedores de servicios en los que confío están haciendo un trabajo relativamente mejor en estas áreas. Pero nada es absoluto. Si elijo cualquiera de estos servicios en la nube para hacer una copia de seguridad de datos importantes (como billeteras), definitivamente cifraré las billeteras al menos una vez más.

Recomiendo encarecidamente dominar GPG. Se puede utilizar para la "verificación de firmas" y, mientras tanto, proporciona una sólida seguridad de cifrado y descifrado. Puede obtener más información sobre GPG en:

https://www.ruanyifeng.com/blog/2013/07/gpg.html

Bien, ya domina GPG 🙂 Ahora que ha cifrado los datos relacionados en su billetera (frase mnemotécnica o clave privada) con GPG en un entorno seguro sin conexión, ahora puede colocar los archivos cifrados directamente en estos servicios en la nube y guardarlos allí. Todo estará bien. Pero necesito recordarte aquí: nunca pierdas la clave privada de tu GPG ni olvides la contraseña de la clave privada…

En este punto, es posible que este nivel adicional de seguridad le resulte bastante problemático: debe aprender sobre GPG y hacer una copia de seguridad de su clave privada y contraseñas de GPG. En realidad, si ha realizado todos los pasos antes mencionados, ya está familiarizado con el proceso y no lo encontrará tan difícil ni problemático. No diré más porque la práctica hace la perfección.

Si quieres ahorrar algo de esfuerzo, existe otra posibilidad pero su seguridad puede estar descontada. No puedo medir el descuento exacto, pero a veces me da pereza utilizar algunas herramientas conocidas como ayuda. Esa herramienta es 1Password. La última versión de 1Password ya admite el almacenamiento directo de datos relacionados con la billetera, como palabras mnemotécnicas, contraseñas, direcciones de billetera, etc., lo cual resulta conveniente para los usuarios. Otras herramientas (como Bitwarden) pueden lograr algo similar, pero no son tan convenientes.

PapelMuchas carteras de hardware vienen con varias tarjetas de papel de alta calidad en las que puede escribir sus frases mnemotécnicas (en texto sin formato, SSS, etc.). Además del papel, algunas personas también utilizan placas de acero (resistentes al fuego, al agua y a la corrosión, por supuesto, no las he probado). Pruébelo después de copiar las frases mnemotécnicas y, si todo funciona, colóquelo en un lugar donde se sienta seguro, como una caja fuerte. Personalmente, me gusta mucho usar papel porque si se almacena adecuadamente, el papel tiene una vida útil mucho más larga que los dispositivos electrónicos.

Dispositivo, Se refiere a todo tipo de equipos; Los dispositivos electrónicos son un tipo común de respaldo, como una computadora, un iPad, un iPhone o un disco duro, etc., según las preferencias personales. También tenemos que pensar en la transmisión segura entre dispositivos. Me siento cómodo usando métodos peer-to-peer como AirDrop y USB, donde es difícil para un intermediario secuestrar el proceso. Naturalmente, me inquieta el hecho de que los equipos electrónicos puedan estropearse al cabo de un par de años, por lo que mantengo la costumbre de comprobar el dispositivo al menos una vez al año. Hay algunos pasos repetidos (como el cifrado) que puede consultar en la sección Nube.

Cerebro, Confiar en tu memoria es emocionante. De hecho, cada uno tiene su propio “palacio de la memoria”. La memoria no es misteriosa y se puede entrenar para que funcione mejor. Hay ciertas cosas que, efectivamente, son más seguras con la memoria. Depender únicamente del cerebro es una elección personal. Pero hay que prestar atención a dos riesgos: en primer lugar, la memoria se desvanece con el tiempo y podría provocar confusión; el otro riesgo es que puedas tener un accidente. Me detendré aquí y te dejaré explorar más.

Ahora ya está todo respaldado. No cifre demasiado, de lo contrario sufrirá usted mismo después de varios años. De acuerdo con el principio de seguridad de "verificación continua", sus métodos de cifrado y copia de seguridad, ya sean excesivos o no, deben verificarse continuamente, tanto de forma regular como aleatoria. La frecuencia de verificación depende de tu memoria y no es necesario que completes todo el proceso. Siempre que el proceso sea correcto, la verificación parcial también sirve. Por último, también es necesario prestar atención a la confidencialidad y seguridad del proceso de autenticación.

Bien, respiremos profundamente aquí. Empezar es la parte más difícil. Ahora que estás listo, entremos en este bosque oscuro 🙂

Cómo usar tu billetera

Una vez que haya creado y realizado una copia de seguridad de sus billeteras, llega el verdadero desafío. Si no mueve sus activos con frecuencia, o apenas interactúa con contratos inteligentes de DeFi, NFT, GameFi o Web3, el término popular al que se hace referencia con frecuencia en estos días, sus activos deberían estar relativamente seguros.

LMA

Sin embargo, "relativamente seguro" no significa "ningún riesgo en absoluto". Porque “nunca se sabe qué viene primero, si el mañana o los accidentes”, ¿verdad?. ¿Por qué es así? Piénsalo, ¿de dónde sacaste la criptomoneda? No surgió de la nada, ¿verdad? Puede encontrar AML (Anti Lavado de Dinero) en todas las criptomonedas que obtenga en cualquier momento. Esto significa que la criptomoneda que tienes en este momento puede estar sucia y, si no tienes suerte, incluso puede estar congelada directamente en la cadena. Según informes públicos, Tether una vez congeló algunos activos del USDT según lo solicitaron las agencias de aplicación de la ley. La lista de fondos congelados se puede encontrar aquí.

https://dune.xyz/phabc/usdt—banned-addresses

Puede verificar si Tether congela una dirección del contrato USDT.

https://etherscan.io/token/0xdac17f958d2ee523a2206206994597c13d831ec7#readContract

Utilice la dirección de la billetera de destino como entrada int isBlackListed para verificar. Otras cadenas que aceptan USDT tienen una forma de verificación similar.

Sin embargo, sus BTC y ETH nunca deberían congelarse. Si esto sucede algún día en el futuro, la creencia en la descentralización también colapsaría. La mayoría de los casos de congelación de activos de criptomonedas que hemos escuchado hoy en realidad ocurrieron en plataformas centralizadas (como Binance, Coinbase, etc.), pero no en blockchain. Cuando su criptomoneda permanece en plataformas de Exchange Centralizado, en realidad no es propietario de ninguna de ellas. Cuando las plataformas centralizadas congelan su cuenta, en realidad están revocando su permiso para operar o retirar dinero. El concepto de congelación podría resultar engañoso para los novatos en el área. Como resultado, algunos medios de comunicación imprudentes difundirían todo tipo de teorías de conspiración sobre BitCoin.

Aunque sus activos BTC y ETH no se congelarán en la cadena de bloques, los intercambios centralizados pueden congelar sus activos de acuerdo con los requisitos de AML una vez que sus activos se transfieran a estas plataformas y estén involucrados en cualquier caso abierto en el que estén trabajando las autoridades.

Para evitar mejor los problemas de AML, elija siempre plataformas e individuos con buena reputación como contraparte. En realidad, existen algunas soluciones para este tipo de problema. Por ejemplo, en Ethereum, casi todos los malos y las personas que se preocupan mucho por su privacidad utilizan Tornado Cash para mezclar monedas. No profundizaré más en este tema ya que la mayoría de los métodos aquí se utilizan para hacer el mal.

Cartera fría

Hay diferentes formas de utilizar una billetera fría. Desde la perspectiva de una billetera, puede considerarse una billetera fría siempre que no esté conectada a ninguna red. ¿Pero cómo usarlo cuando está fuera de línea? En primer lugar, si sólo quieres recibir criptomonedas, no es gran cosa. Una billetera fría podría brindar una experiencia excelente al trabajar con una billetera solo para reloj, como imToken, Trust Wallet, etc. Estas billeteras podrían convertirse en billeteras solo para reloj simplemente agregando direcciones de billetera de destino.

Si queremos enviar criptomonedas usando billeteras frías, estas son las formas más utilizadas:

• Código QR
• USB
• Bluetooth

Todos estos requieren una aplicación dedicada (aquí llamada Light App) para funcionar con la billetera fría. La aplicación Light estará en línea junto con la billetera exclusiva para reloj antes mencionada. Una vez que comprendamos el principio esencial subyacente, deberíamos ser capaces de comprender estos enfoques. El principio esencial es: eventualmente, es sólo una cuestión de descubrir cómo transmitir contenido firmado en la cadena de bloques. El proceso detallado es el siguiente:

• El contenido a firmar es transmitido por la Light App al Cold Wallet por uno de estos medios.
• La firma es procesada por la billetera fría que tiene la clave privada y luego se transmite de regreso a la aplicación Light de la misma manera.
• La aplicación Light transmite el contenido firmado en blockchain.

Entonces, no importa qué método se utilice, código QR, USB o Bluetooth, se debe seguir el proceso anterior. Por supuesto, los detalles pueden variar según los diferentes métodos. Por ejemplo, el código QR tiene una capacidad de información limitada, por lo que cuando los datos de la firma sean demasiado grandes, tendríamos que dividirlos.

Parece un poco problemático, pero mejora cuando te acostumbras. Incluso sentirías una sensación total de seguridad. Sin embargo, no lo considere seguro porque todavía existen riesgos aquí y ha habido muchos casos de grandes pérdidas debido a estos riesgos. Aquí hay puntos de riesgo:

• La dirección de destino de la transferencia de la moneda no se verificó cuidadosamente, lo que provocó que la moneda se transfiriera a otra persona. La gente es vaga y descuidada, a veces. Por ejemplo, la mayoría de las veces solo verifican los pocos bits iniciales y finales de una dirección de billetera en lugar de verificar completamente toda la dirección. Esto deja una puerta trasera para los malos. Ejecutarán programas para obtener la dirección de la billetera con los mismos primeros y últimos bits que su dirección de destino deseada y luego reemplazarán su dirección de destino de transferencia de monedas con la que está bajo su control usando algunos trucos.
• Las monedas están autorizadas a direcciones desconocidas. Por lo general, la autorización es el mecanismo de los tokens de contrato inteligente de Ethereum, la función "aprobar", donde un argumento es la dirección de autorización de destino y el otro es la cantidad. Muchas personas no entienden este mecanismo, por lo que pueden autorizar una cantidad ilimitada de tokens a la dirección de destino, momento en el cual la dirección de destino tiene permiso para transferir todos esos tokens. Esto se llama robo de monedas autorizado y existen otras variantes de la técnica, pero no lo ampliaré aquí.
• Algunas firmas que parecen no ser importantes en realidad tienen trampas enormes en la parte posterior, y no profundizaré en ello ahora, pero explicaré los detalles más adelante.
• Es posible que la billetera fría no haya proporcionado suficiente información necesaria, lo que provocó que usted sea descuidado y juzgado mal.

Todo se reduce a dos puntos:

• Falta el mecanismo de seguridad de interacción del usuario de “Lo que ves es lo que firmas”.
• Falta de conocimientos previos relevantes del usuario.

Cartera caliente

En comparación con una billetera fría, una billetera caliente tiene básicamente todos los riesgos que tendría una billetera fría. Además, hay uno más: el riesgo de robo de la frase secreta (o clave privada). En este punto, hay más cuestiones de seguridad a considerar con las billeteras activas, como la seguridad del entorno de ejecución. Si hay virus asociados con el entorno de ejecución, existe el riesgo de que los roben. También existen hot wallets que tienen ciertas vulnerabilidades a través de las cuales se puede robar directamente la frase secreta.

Además de la función normal de transferencia de monedas, si desea interactuar con otras DApps (DeFi, NFT, GameFi, etc.), debe acceder a ellas directamente con su propio navegador o interactuar con las DApps abiertas en el navegador de su PC a través de el protocolo WalletConnect.

Nota: Las referencias de DApps en este manual se refieren de forma predeterminada a proyectos de contratos inteligentes que se ejecutan en las cadenas de bloques Ethereum.

De forma predeterminada, dichas interacciones no conducen al robo de frases secretas, a menos que haya un problema con el diseño de seguridad de la billetera en sí. Según nuestras auditorías de seguridad y nuestro historial de investigaciones de seguridad, existe el riesgo de que JavaScript malicioso robe directamente las frases secretas de la billetera en la página de destino. Sin embargo, este es un caso raro, ya que en realidad es un error de nivel extremadamente bajo que es probable que ninguna billetera conocida cometa.

Ninguna de estas son realmente mis preocupaciones aquí, son manejables para mí (y para usted también). Mi mayor preocupación es: ¿cómo garantiza cada iteración de una billetera conocida que no se instale ningún código malicioso o puerta trasera? La implicación de esta pregunta es clara: verifiqué que la versión actual de la billetera no tiene problemas de seguridad y me siento cómodo usándola, pero no sé qué tan segura será la próxima versión. Después de todo, ni yo ni mi equipo de seguridad podemos tener tanto tiempo ni energía para realizar todas las verificaciones.

Ha habido varios incidentes de robo de monedas causados por códigos maliciosos o puertas traseras como se describe aquí, como CoPay, AToken, etc. Puede buscar los incidentes específicos usted mismo.

En este caso, existen varias formas de hacer el mal:

• Cuando la billetera se está ejecutando, el código malicioso empaqueta y carga la frase secreta relevante directamente en el servidor controlado por piratas informáticos.
• Cuando la billetera se está ejecutando y el usuario inicia una transferencia, información como la dirección de destino y el monto se reemplaza secretamente en el backend de la billetera, y es difícil para el usuario darse cuenta.
• Corromper los valores de entropía de números aleatorios asociados con la generación de frases secretas, lo que las hace relativamente fáciles de descifrar.

La seguridad es una cuestión de ignorancia y conocimiento, y hay muchas cosas que podrían ignorarse o pasarse por alto fácilmente. Entonces, para las billeteras que contienen activos importantes, mi regla de seguridad también es simple: no hay actualizaciones fáciles cuando es suficiente usarlas.

¿Qué es la seguridad DeFi?

Cuando hablamos de DApp, podría ser DeFi, NFT o GameFi, etc. Los fundamentos de seguridad de estos son prácticamente los mismos, pero tendrán sus respectivas especificaciones. Primero tomemos DeFi como ejemplo para explicarlo. Cuando hablamos de seguridad DeFi, ¿a qué nos referimos exactamente? La gente en la industria casi siempre solo mira los contratos inteligentes. Parece que cuando los contratos inteligentes sean buenos, todo irá bien. Bueno, en realidad, esto está lejos de ser cierto.

La seguridad DeFi incluye al menos los siguientes componentes:

• Seguridad de contrato inteligente
• Seguridad de la Fundación Blockchain
• Seguridad frontal
• Seguridad de las comunicaciones
• Seguridad humana
• Seguridad financiera
• Seguridad de cumplimiento

Seguridad de contrato inteligente

La seguridad de los contratos inteligentes es, de hecho, el punto de entrada más importante para la auditoría de seguridad, y los estándares de auditoría de seguridad de SlowMist para contratos inteligentes se pueden encontrar en:

https://www.slowmist.com/service-smart-contract-security-audit.html

Para los jugadores avanzados, si la seguridad de la parte del contrato inteligente en sí es controlable (ya sea que puedan auditarse a sí mismos o comprender los informes de auditoría de seguridad emitidos por organizaciones profesionales), entonces no importa si las otras partes son seguras. Controlable es un concepto complicado, parte del cual depende de la propia fuerza del jugador. Por ejemplo, los jugadores tienen ciertos requisitos con respecto al riesgo de una autoridad excesiva en los contratos inteligentes. Si el proyecto en sí es sólido y las personas que lo respaldan tienen buena reputación, la centralización completa no importaría. Sin embargo, para aquellos proyectos menos conocidos, controvertidos o emergentes, si se da cuenta de que los contratos inteligentes del proyecto conllevan un riesgo de permiso excesivo, especialmente si dichos permisos también pueden afectar su capital o sus ganancias, seguramente se mostrará reacio.

El riesgo de un permiso excesivo es muy sutil. En muchos casos, el administrador del proyecto dispone de la capacidad para llevar a cabo la gobernanza relevante y la contingencia de riesgo. Pero para los usuarios, esto es una prueba de la naturaleza humana. ¿Qué pasa si el equipo decide hacer el mal? Por lo tanto, existe una práctica de compensación en la industria: agregar Timelock para mitigar los riesgos de permisos excesivos, por ejemplo:

Compound, un proyecto DeFi establecido y conocido, los módulos principales de contrato inteligente Contralor y Gobernanza, tienen el mecanismo Timelock agregado a su permiso de administrador:
Contralor(0x3d9819210a31b4961b30ef54be2aed79b9c9cd3b)
Gobernanza(0xc0da02939e1441f497fd74f78ce7decb17b66529)
El administrador de estos 2 módulos.
Bloqueo de tiempo (0x6d903f6003cca6255d85cca4d3b5e5146dc33925)

Puedes enterarte directamente en cadena que el Timelock (variable de retardo) es de 48 horas (172.800 segundos):

Es decir, si el administrador de Compound necesita cambiar algunas variables clave del contrato inteligente de destino, la transacción se registrará después de que se inicie en la cadena de bloques, pero se deben esperar 48 horas antes de que la transacción pueda finalizar y ejecutarse. Esto significa que, si lo desea, puede auditar cada operación desde el administrador y tendrá al menos 48 horas para actuar. Por ejemplo, si no está seguro, puede retirar sus fondos dentro de las 48 horas.

Otra forma de mitigar el riesgo de permiso excesivo del administrador es agregar firmas múltiples, como usar Gnosis Safe para la administración de firmas múltiples, de modo que al menos no haya ningún dictador. Cabe señalar aquí que multisig puede ser “el traje nuevo del emperador”. Por ejemplo, una persona puede tener varias llaves. Por lo tanto, es necesario establecer claramente la estrategia multifirma del proyecto objetivo. Quién posee las claves y la identidad de cada poseedor de claves debe tener buena reputación.

Vale la pena mencionar aquí que cualquier estrategia de seguridad puede conducir al problema del “traje nuevo del emperador”, estrategia que puede parecer bien hecha, pero en realidad no lo es, lo que da como resultado una ilusión de seguridad. Tomemos otro ejemplo: Timelock se ve bien sobre el papel. De hecho, ha habido casos en los que Timelock implementado por algunos proyectos tiene puertas traseras. Generalmente, los usuarios no miran el código fuente de Timelock, y no necesariamente lo entenderían incluso si lo hicieran, por lo que el administrador coloca una puerta trasera allí, y nadie se daría cuenta durante un tiempo suficiente.

Además del riesgo de permisos excesivos, otros elementos de la seguridad de los contratos inteligentes también son críticos. Sin embargo, no me extenderé aquí, teniendo en cuenta los requisitos previos para la comprensión. Este es mi consejo: al menos deberías aprender a leer el informe de auditoría de seguridad, y la práctica hace la perfección.

Seguridad de la Fundación Blockchain

La seguridad de la base de blockchain se refiere a la seguridad de la cadena de bloques en sí, como la seguridad del libro mayor de consenso, la seguridad de las máquinas virtuales, etc. Si la seguridad de la cadena de bloques en sí es preocupante, los proyectos de contratos inteligentes que se ejecutan en la cadena se verían afectados directamente. Es muy importante elegir una cadena de bloques con suficiente mecanismo de seguridad y reputación, y mejor con una mayor probabilidad de longevidad.

Seguridad frontal

La seguridad frontend es realmente el diablo. Está demasiado cerca de los usuarios y es especialmente fácil engañarlos para que los engañen. Quizás el enfoque principal de todos esté en la billetera y la seguridad de los contratos inteligentes, lo que hace que la seguridad del frontend se pase por alto fácilmente. ¡Quiero enfatizar nuevamente que la seguridad frontend es el diablo! Permítanme profundizar más.

Mi mayor preocupación con respecto a la seguridad del frontend es: ¿Cómo sé que el contrato con el que estoy interactuando desde esta página de frontend específica es el contrato inteligente que estoy esperando?

Esta inseguridad se debe principalmente a dos factores:

• trabajo interno
• Tercero

Es sencillo comprender el trabajo interno. Por ejemplo, los desarrolladores reemplazan en secreto la dirección del contrato inteligente de destino en la página de inicio con una dirección de contrato que tiene una puerta trasera, o colocan un script de phishing de autorización. Cuando visita esta página frontal manipulada, es posible que se realicen en una trampa una serie de operaciones posteriores que involucran criptomonedas en su billetera. Antes de que te des cuenta, las monedas ya se habrán acabado.

El tercero se refiere principalmente a dos tipos:

• Una es que la cadena de dependencias está infiltrada. Por ejemplo, la dependencia de terceros utilizada por la página de inicio tiene una puerta trasera que se introduce furtivamente en la página de inicio de destino junto con el empaquetado y el lanzamiento. La siguiente es la estructura de dependencia del paquete de SushiSwap (solo a modo ilustrativo, no significa necesariamente que el proyecto en la captura de pantalla tenga ese problema):
  

• El otro ejemplo son los archivos JavaScript remotos de terceros importados por la página de inicio. Si este archivo JavaScript es pirateado, es posible que la página frontal de destino también se vea afectada, como OpenSea (solo a modo ilustrativo, no significa necesariamente que el proyecto en la captura de pantalla tenga ese problema):
  

La razón por la que dijimos que es posible, pero no seguro, es que el riesgo podría mitigarse si los desarrolladores hacen referencia a un archivo JavaScript remoto de terceros en la página de inicio de la siguiente manera:

<script src=”https://example.com/example-framework.js” integridad=”sha384-Li9vy3DqF8tnTXuiaAJuML3ky+er10rcgNR/VqsVpcw+ThHmYcwiB1pbOxEbzJr7″ crossorigin=”anónimo”>

El punto clave aquí es un buen mecanismo de seguridad de HTML5: el atributo de integridad en las etiquetas (mecanismo SRI). La integridad admite SHA256, SHA384 y SHA512. Si los archivos JavaScript de terceros no cumplen con la verificación de integridad hash, los archivos no se cargarán. Esta puede ser una buena forma de evitar la ejecución de código no deseada. Sin embargo, utilizar este mecanismo requiere que el recurso de destino respalde la respuesta CORS. Para obtener más información, consulte lo siguiente:

https://developer.mozilla.org/zh-CN/docs/Web/Security/Subresource_Integrity

Seguridad de las comunicaciones

Centrémonos en la seguridad HTTPS en esta sección. En primer lugar, el sitio web de destino debe utilizar HTTPS y nunca se debe permitir la transmisión de texto sin formato HTTP. Esto se debe a que la transmisión de texto sin formato HTTP es demasiado fácil para ser secuestrada por ataques de intermediario. Hoy en día HTTPS es muy común como protocolo de transmisión segura. Si hay un ataque de intermediario en HTTPS y los atacantes han inyectado JavaScript malicioso en el front-end de la aplicación web, se mostrará una alerta de error de certificado HTTPS muy obvia en el navegador del usuario.

Usemos el incidente de MyEtherWallet como ejemplo para ilustrar este punto.

MyEtherWallet solía ser una billetera de aplicaciones web muy popular y hasta ahora sigue siendo muy conocida. Sin embargo, ya no es sólo una billetera de aplicaciones web. Como se mencionó anteriormente, desaconsejo encarecidamente el uso de billeteras de aplicaciones web por razones de seguridad. Además de varios problemas de seguridad front-end, el secuestro de HTTPS también es un gran riesgo potencial.

El 24 de abril de 2018, hubo un importante incidente de seguridad de secuestro de HTTPS en MyEtherWallet. El resumen del incidente se puede encontrar aquí:

https://www.reddit.com/r/MyEtherWallet/comments/8eloo9/official_statement_regarding_dns_spoofing_of/
https://www.reddit.com/r/ethereum/comments/8ek86t/warning_myetherwalletcom_highjacked_on_google/

En el ataque, el hacker secuestró el servicio DNS (Google Public DNS) utilizado por un gran número de usuarios de MyEtherWallet a través de BGP, un antiguo protocolo de enrutamiento, que conducía directamente a la visualización de alertas de error HTTPS en el navegador de cada usuario cuando intentaba visitar Sitio web MyEtherWallet. De hecho, los usuarios deberían detenerse cuando vean esta alerta, ya que básicamente indica que la página web de destino ha sido secuestrada. Sin embargo, en realidad, muchos usuarios simplemente ignoraron rápidamente la alerta y continuaron con sus interacciones con el sitio secuestrado, porque no entendían en absoluto el riesgo de seguridad detrás de la alerta de error HTTPS.

Dado que la página web de destino había sido secuestrada y el pirata informático había inyectado JavaScript malicioso allí, tras la interacción de los usuarios, los piratas informáticos habrían robado con éxito su clave privada en texto plano y transferido sus fondos (principalmente ETH).

Este es definitivamente un caso clásico en el que los piratas informáticos utilizaron técnicas de secuestro de BGP para robar criptomonedas. Es simplemente excesivo. Después de esto ha habido varios casos similares, y no los mencionaré en detalle aquí. Para el usuario, solo hay una cosa que realmente necesita atención: si alguna vez decide usar una billetera de aplicación web o intenta interactuar con una DApp, asegúrese siempre de detener y cerrar la página cada vez que vea una alerta de error de certificado HTTPS. Y tus fondos estarán bien. Existe una cruel realidad en materia de seguridad: cuando existe un riesgo, no hay que dar ninguna opción a los usuarios. Como si lo hicieras, siempre habrá usuarios que caigan en la trampa por cualquier motivo. De hecho, el equipo del proyecto debe asumir la responsabilidad. A día de hoy, ya existen soluciones de seguridad muy eficaces para el problema del secuestro de HTTPS mencionado anteriormente: el equipo del proyecto necesita configurar HSTS correctamente. HSTS significa Seguridad de transporte estricta HTTP; Es un mecanismo de política de seguridad web compatible con la mayoría de los navegadores modernos. Si HSTS está habilitado, en caso de un error de certificado HTTPS, el navegador obligará a los usuarios a dejar de acceder a las aplicaciones web de destino y no se podrá evitar la restricción. ¿Ahora entiendes lo que quiero decir?

Seguridad de la naturaleza humana

Esta sección es fácil de entender. Por ejemplo, el equipo del proyecto tiene malas intenciones y actúa de manera deshonesta. He mencionado algunos contenidos relevantes en secciones anteriores, por lo que aquí no entraré en más detalles. Más se cubrirá en secciones posteriores.

Seguridad financiera

La seguridad financiera debe respetarse profundamente. En DeFi, los usuarios prestan la máxima atención al precio y el rendimiento de los tokens. Quieren un retorno de la inversión superior, o al menos constante. En otras palabras, como usuario, juego para ganar y si pierdo, al menos necesito estar convencido de que es un juego justo. Esta es simplemente la naturaleza humana.

La seguridad financiera en DeFi es susceptible a ataques en forma de:

• Prácticas desleales de lanzamiento como pre-minería o preventa;
• Ataque de cripto ballena;
• Bombear y tirar;
• Eventos de cisne negro, como una repentina cascada del mercado; o digamos que cuando un protocolo DeFi está anidado o interopera con otros DeFi/Tokens, su seguridad/confiabilidad dependerá en gran medida de otros protocolos.
• Otros ataques técnicos o lo que llamamos técnicas científicas, como front running, ataque sándwich, ataques de préstamo rápido, etc.

Requisitos de conformidad

Los requisitos de cumplimiento son un tema muy importante, el AML (Anti Lavado de Dinero) mencionado anteriormente es solo uno de los puntos. También hay aspectos como KYC (Conozca a su cliente), sanciones, riesgos de valores, etc. De hecho, para nosotros, los usuarios, estos no son algo que esté bajo nuestro control. Cuando interactuamos con un determinado proyecto, ya que puede estar sujeto a regulaciones relevantes en ciertos países, es posible que se recopile nuestra información de privacidad. Puede que a usted no le importen esas cuestiones de privacidad, pero hay personas a las que sí les importan.

Por ejemplo, a principios de 2022 hubo un pequeño incidente: algunas billeteras decidieron admitir el protocolo Address Ownership Proof Protocol (AOPP):

Eché un vistazo al diseño del protocolo y resultó que las billeteras que soportan AOPP podrían filtrar la privacidad del usuario. Los reguladores podrían llegar a conocer la interconexión entre un intercambio de cifrado regulado y una dirección de billetera externa desconocida.

https://gitlab.com/aopp/address-ownership-proof-protocol

No es de extrañar que muchas billeteras orientadas a la privacidad estén tan preocupadas por los comentarios de los usuarios y rápidamente eliminaron el soporte AOPP de sus productos. Pero para ser honesto: el diseño del protocolo es bastante interesante. He notado que algunas billeteras no tienen planes de eliminar la compatibilidad con AOPP, como EdgeWallet. Su opinión es que AOPP no necesariamente expone una mayor privacidad del usuario, por el contrario, ayuda a mejorar la circulación de las criptomonedas. En muchos intercambios de cifrado regulados, los usuarios no pueden realizar retiros a una dirección de billetera externa en particular, antes de que puedan demostrar su propiedad.

Al principio, la conocida billetera de hardware Trezor se negó a eliminar el soporte de AOPP. Pero luego se vio obligado a ceder y lo hizo debido a las presiones de la comunidad y los usuarios de Twitter.

Como puedes ver, es un incidente tan pequeño, pero para algunas personas la privacidad es realmente importante. Esto no quiere decir que debamos ir en contra de las regulaciones e ignorar por completo los requisitos de cumplimiento. De hecho, creo que es necesario tener un cierto nivel de compromiso con los requisitos de cumplimiento. No continuaremos profundizando en este tema, siéntete libre de digerir el contenido a tu manera.

Hasta ahora, hemos cubierto la mayor parte del contenido de la sección Seguridad DeFi.

Es más, también existen problemas de seguridad introducidos por futuras incorporaciones o actualizaciones. A menudo decimos que “la postura de seguridad es dinámica, no estática”. Por ejemplo, hoy en día la mayoría de los equipos de proyectos realizan auditorías de seguridad y muestran informes de auditoría de seguridad limpios. Si alguna vez lee atentamente los informes de buena calidad, notará que estos informes explicarán claramente el alcance, el período y el identificador único de los contenidos auditados (por ejemplo, la dirección verificada del contrato inteligente de código abierto o la dirección de confirmación en el repositorio de GitHub). o el hash del archivo de código fuente de destino). Es decir, el informe es estático, pero si en algún proyecto has observado alguna desviación de lo mencionado en el informe, puedes señalarlo.

Seguridad NFT

Todos los contenidos mencionados anteriormente sobre la seguridad de DeFi se pueden aplicar a la seguridad de NFT, y la propia NFT tiene algunos temas de seguridad muy específicos y únicos, por ejemplo:

• Seguridad de metadatos
• Seguridad de firma

Los metadatos se refieren principalmente a imágenes incrustadas, películas y otros contenidos. Se recomienda consultar OpenSea sobre los estándares específicos:

https://docs.opensea.io/docs/metadata-standards

Hay dos preocupaciones de seguridad principales que pueden surgir aquí:

• Una es que el URI donde se encuentra la imagen (o la película) puede no ser confiable. Puede ser simplemente un servicio centralizado seleccionado al azar; por un lado, no hay garantía de disponibilidad; por otro, el equipo del proyecto puede modificar las imágenes a voluntad, por lo que el NFT ya no se convertirá en un "coleccionable digital" inmutable. Generalmente se recomienda utilizar soluciones de almacenamiento centralizado como IPFS, Arweave y seleccionar un servicio de puerta de enlace URI conocido.
• Otro es el potencial de fuga de privacidad. Un servicio URI seleccionado aleatoriamente podría capturar información básica del usuario (como IP, agente de usuario, etc.)

La seguridad de las firmas es otra gran preocupación aquí, y la ilustraremos a continuación.

¡TENGA CUIDADO con la firma!

La seguridad de las firmas es algo que quiero mencionar específicamente ya que hay MUCHOS obstáculos y debes tener cuidado todo el tiempo. Ha habido varios incidentes, especialmente en el comercio de NFT. Sin embargo, he notado que no mucha gente sabe cómo prepararse y afrontar estos problemas de seguridad. La razón subyacente es que pocas personas han dejado el problema suficientemente claro.

El principio de seguridad N°1 y más importante en la seguridad de firmas es: Lo que ves es lo que firmas. Es decir, el mensaje en la solicitud de firma que recibió es el que debe esperar después de firmar. Después de firmarlo, el resultado debería ser el que esperabas en lugar de algo de lo que te arrepientas.

Algunos detalles de la seguridad de la firma se mencionaron en la sección "Cold Wallet". Si no lo recuerda, le sugiero que vuelva a visitar esa sección. En este apartado nos centraremos en otros aspectos.

Hubo varios hacks de NFT conocidos en OpenSea alrededor de 2022. El 20 de febrero de 2022, hubo un brote importante. Las causas fundamentales son:

• Los usuarios firmaron solicitudes de cotización de NFT en OpenSea.
• Los piratas informáticos realizaron phishing para obtener firmas relevantes de los usuarios.

En realidad, a los piratas informáticos no les resulta difícil obtener la firma correspondiente. El hacker necesita 1). construir el mensaje a firmar, 2). picarlo, 3). engañar al usuario objetivo para que firme la solicitud (esto sería una firma ciega, lo que significa que los usuarios en realidad no saben lo que están firmando), 4). obtenga el contenido firmado y construya los datos. En este punto, el usuario ha sido pirateado.

Usaré Opensea como ejemplo (en realidad, podría ser CUALQUIER mercado NFT). Después de que el usuario objetivo autoriza la operación de listado de NFT en el mercado, el hacker construirá el mensaje que se firmará. Después de realizar el hash con Keccak256, aparecía una solicitud de firma en la página de phishing. Los usuarios verían algo como lo siguiente:

Mira de cerca. ¿Qué tipo de información podemos obtener de esta ventana emergente de MetaMask? Información de la cuenta y saldo de la cuenta, el sitio web de origen de donde proviene la solicitud de firma, el mensaje que los usuarios están a punto de firmar y… nada más. ¿Cómo podrían los usuarios sospechar que el desastre ya está en camino? ¿Y cómo podrían darse cuenta de que una vez que hagan clic en el botón “Firmar”, les robarán sus NFT?

En realidad, este es un ejemplo de firma a ciegas. Los usuarios no están obligados a iniciar sesión en el mercado NFT. En cambio, los usuarios pueden ser engañados para ingresar a cualquier sitio web de phishing para que firmen el mensaje sin comprender completamente el significado real y las consecuencias de estas firmas. Desafortunadamente, los piratas informáticos lo saben. Como usuario, solo tenga en cuenta: NUNCA FIRME NADA A CIEGAS. OpenSea solía tener el problema de la firma ciega y lo solucionó adoptando EIP-712 después del 20 de febrero de 2022. Sin embargo, sin la firma ciega, los usuarios aún podrían ser descuidados y pirateados de otras maneras.

La razón más importante por la que esto sucede es que la firma no está restringida a seguir la política del mismo origen del navegador. Puede entenderlo simplemente como: la política del mismo origen puede garantizar que una acción solo ocurra bajo un dominio específico y no cruce dominios, a menos que el equipo del proyecto quiera intencionalmente que se produzca el cruce de dominios. Si la firma sigue la política del mismo origen, incluso si el usuario firma una solicitud de firma generada por el dominio no objetivo, los piratas informáticos no pueden usar la firma para ataques en el dominio objetivo. Me detendré aquí antes de entrar en más detalles. He notado nuevas propuestas sobre mejora de la seguridad a nivel de protocolo y espero que esta situación pueda mejorar lo antes posible.

Hemos mencionado la mayoría de los principales formatos de ataque que pueden ocurrir al firmar un mensaje, pero en realidad existen bastantes variantes. No importa lo diferentes que parezcan, siguen patrones similares. La mejor manera de comprenderlos es reproducir ustedes mismos un ataque de principio a fin, o incluso crear algunos métodos de ataque únicos. Por ejemplo, el ataque de solicitud de firma mencionado aquí en realidad contiene muchos detalles, como cómo construir el mensaje que se va a firmar y qué se genera exactamente después de la firma. ¿Existe algún método de autorización distinto de "Aprobar" (sí, por ejemplo: aumentarAllowance)? Bueno, sería demasiado técnico si nos expandiéramos aquí. Lo bueno es que ya deberías comprender la importancia de firmar un mensaje.

Los usuarios pueden prevenir tales ataques en la fuente cancelando la autorización/aprobación. Las siguientes son algunas herramientas conocidas que podría utilizar.

• Aprobaciones de tokens

  https://etherscan.io/tokenapprovalchecker
  Esta es la herramienta para verificar y cancelar autorizaciones proporcionada por el navegador oficial de Ethereum. Otras cadenas de bloques compatibles con EVM tienen algo similar, ya que sus navegadores de cadenas de bloques están desarrollados básicamente por Etherscan. Por ejemplo:
  https://bscscan.com/tokenapprovalchecker
  https://hecoinfo.com/tokenapprovalchecker
  https://polygonscan.com/tokenapprovalchecker
  https://snowtrace.io/tokenapprovalchecker
  https://cronoscan.com/tokenapprovalchecker

• Revocar.cash

  https://revoke.cash/
  Súper vieja escuela con buena fama y soporte de múltiples cadenas con cada vez más poder

• Cartera de extensión Rabby

  https://rabby.io/
  Una de las carteras con las que hemos colaborado mucho. La cantidad de cadenas de bloques compatibles con EVM que brindan la función de "verificación y cancelación de autorización" es la mayor que jamás haya visto.

⚠️Nota: Si desea una comprensión más completa y profunda de SEGURIDAD DE FIRMAS, verifique las extensiones en las siguientes adiciones al repositorio como referencia:

https://github.com/evilcos/darkhandbook
Es cierto que el conocimiento de SEGURIDAD DE FIRMAS es todo un desafío para los principiantes. El repositorio recopila contenido relevante y leerlo detenidamente le ayudará a adquirir conocimientos sobre seguridad. Así ya no te resultará difícil. (Si puede leer y comprender todo, creo que los conocimientos de seguridad ya no le resultarán difíciles 🙂

¡TENGA CUIDADO con las solicitudes de firmas contrarias a la intuición!

Me gustaría mencionar particularmente otro riesgo: riesgo contrario a la intuición.

¿Qué es contraintuitivo? Por ejemplo, ya está muy familiarizado con Ethereum y se ha convertido en un OG de todo tipo de DeFi y NFT. Cuando ingresa por primera vez al ecosistema de Solana, probablemente encontrará algunos sitios web de phishing similares. Es posible que te sientas tan bien preparado que empieces a pensar: "Los he visto miles de veces en el ecosistema Ethereum y ¿cómo podría dejarme engañar?".

Mientras tanto, los hackers estarán contentos porque ya te han engañado. La gente sigue sus sentimientos intuitivos, lo que los vuelve descuidados. Cuando hay un ataque contrario a la intuición, la gente caería en la trampa.

Bien, echemos un vistazo a un caso real que aprovechó la contraintuitividad.

En primer lugar, una advertencia: el phishing de autorización en Solana es mucho más cruel. El ejemplo anterior ocurrió el 5 de marzo de 2022. Los atacantes lanzaron NFT desde el aire a los usuarios en lotes (Figura 1). Los usuarios ingresaron al sitio web de destino a través del enlace en la descripción del NFT lanzado desde el aire (www_officialsolanarares_net) y conectaron sus billeteras (Figura 2). Después de hacer clic en el botón "Mint" de la página, apareció la ventana de aprobación (Figura 3). Tenga en cuenta que no había ninguna notificación o mensaje especial en la ventana emergente en este momento. Una vez que lo aprobaran, todos los SOL en la billetera se transferirían.

Cuando los usuarios hacen clic en el botón "Aprobar", en realidad están interactuando con los contratos inteligentes maliciosos implementados por los atacantes: 3VtjHnDuDD1QreJiYNziDsdkeALMT6b2F9j3AXdL4q8v

El objetivo final de este contrato inteligente malicioso es iniciar una "Transferencia SOL", que transfiere casi todos los SOL del usuario. Según el análisis de los datos en cadena, el comportamiento de phishing continuó durante varios días y el número de víctimas siguió aumentando durante el período de tiempo.

Hay dos errores en este ejemplo a los que debes prestar atención:

1. Una vez que el usuario lo aprueba, el contrato inteligente malicioso puede transferir los activos nativos del usuario (SOL en este caso). Esto no es posible en Ethereum. La autorización de phishing en Ethereum solo puede afectar a otros tokens, pero no al activo nativo de ETH. Esta es la parte contraria a la intuición que haría que los usuarios bajen la vigilancia.
2. La billetera más conocida de Solana, Phantom, tiene lagunas en su mecanismo de seguridad que no siguen el principio de "lo que ves es lo que firmas" (todavía no hemos probado otras billeteras) y no proporcionar suficiente advertencia de riesgo a los usuarios. Esto podría crear fácilmente puntos ciegos de seguridad que costarían monedas a los usuarios.

Algunas metodologías de ataque avanzadas

En realidad, existen muchas metodologías de ataque avanzadas, pero en su mayoría se consideran phishing desde la perspectiva del público. Sin embargo, algunos no son ataques de phishing normales. Por ejemplo:

https://twitter.com/Arthur_0x/status/1506167899437686784

Los piratas informáticos enviaron un correo electrónico de phishing con este archivo adjunto:

Un enorme riesgo de Stablecoin (Protected).docx

Sinceramente, es un documento atractivo. Sin embargo, una vez abierto, al ordenador del usuario se le implantará un troyano (generalmente a través de una macro de Office o un exploit 0day/1day), que normalmente contiene las siguientes funciones:

• Recopilar todo tipo de credenciales, por ejemplo, relacionadas con el navegador o SSH, etc. De esta manera, los piratas informáticos pueden ampliar su acceso a otros servicios del usuario objetivo. Por lo tanto, después de la infección, generalmente se recomienda a los usuarios no solo limpiar el dispositivo objetivo, sino también los permisos relevantes de la cuenta.
• Keylogger, dirigido en particular a aquellos que muestran temporalmente información confidencial, como contraseñas.
• Recopilar capturas de pantalla relevantes, archivos confidenciales, etc.
• Si se trata de ransomware, todos los archivos en el sistema de destino estarían fuertemente cifrados y esperarían a que la víctima pague el rescate, generalmente en bitcoins. Pero en este caso no fue el ransomware el que tiene un comportamiento más obvio y ruidoso e intenciones directas.

Además, los troyanos dirigidos a la industria de la criptografía estarán especialmente personalizados para recopilar información confidencial de carteras o intercambios conocidos, con el fin de robar los fondos de los usuarios. Según un análisis profesional, el troyano mencionado anteriormente llevaría a cabo un ataque dirigido a Metamask:

https://securelist.com/the-bluenoroff-cryptocurrency-hunt-is-still-on/105488/

El troyano sustituirá la MetaMask del usuario por una falsa con puertas traseras. Un MetaMask con puerta trasera básicamente significa que los fondos que almacene en su interior ya no son suyos. Incluso si está utilizando una billetera de hardware, este MetaMask falso logrará robar sus fondos manipulando la dirección de destino o la información del monto.

Este enfoque está especialmente diseñado para objetivos conocidos con direcciones de billetera conocidas. Lo que he notado es que muchas de esas personas son demasiado arrogantes para evitar ser pirateadas. Después del hack, muchos aprenderían de la lección, realizarían revisiones completas, obtendrían mejoras significativas y también formarían una cooperación y amistad a largo plazo con agencias o profesionales de seguridad de confianza. Sin embargo, siempre hay excepciones en este mundo. Algunas personas o proyectos siguen siendo pirateados una y otra vez. Si cada vez es por algo que nadie ha encontrado antes, los respetaría mucho y los llamaría pioneros. Hay muchas posibilidades de que tengan éxito a medida que pase el tiempo. Desafortunadamente, muchos de los incidentes son el resultado de errores muy estúpidos y repetitivos que podrían evitarse fácilmente. Aconsejaría mantenerse alejado de estos proyectos.

En comparación, esos ataques masivos de phishing no son nada exhaustivos. Los atacantes prepararían un montón de nombres de dominio de apariencia similar y distribuirían las cargas comprando cuentas, seguidores y retweets en Twitter u otras plataformas sociales. Si se gestiona bien, muchos caerán en la trampa. Realmente no hay nada especial en este tipo de ataque de phishing y, normalmente, el atacante simplemente obligará brutalmente al usuario a autorizar tokens (incluido NFT) para poder transferirlos.

Existen otros tipos de ataques avanzados, por ejemplo, el uso de técnicas como XSS, CSRF, Reverse Proxy para suavizar el proceso de ataque. No daré más detalles sobre todos ellos aquí, excepto un caso muy especial (el ataque Cloudflare Man-in-the-Middle), que es uno de los escenarios en Reverse Proxy. Ha habido ataques reales que causaron pérdidas financieras utilizando este método extremadamente encubierto.

El problema aquí no es que Cloudflare sea malvado o sea pirateado. En cambio, es la cuenta de Cloudflare del equipo del proyecto la que se ve comprometida. Generalmente el proceso es así: si usa Cloudflare, notará este módulo "Trabajador" en el panel, cuya descripción oficial es:

Cree aplicaciones sin servidor e impleméntelas instantáneamente en todo el mundo, logrando un rendimiento, confiabilidad y escala excelentes. Para más detalles, consulte https://developers.cloudflare.com/workers/

Hice una página de prueba hace mucho tiempo:

https://xssor.io/s/x.html

Cuando visites la página, aparecerá una ventana emergente que dice:

xssor.io, secuestrado por Cloudflare.

De hecho, esta ventana emergente, e incluso todo el contenido de x.html, no pertenece al documento en sí. Todos ellos son proporcionados por Cloudflare. El mecanismo se muestra a continuación:

La indicación del fragmento de código en la captura de pantalla es muy simple: si yo fuera el hacker y tuviera controlado su cuenta de Cloudflare, puedo usar Workers para inyectar scripts maliciosos arbitrarios en cualquier página web. Y es muy difícil para los usuarios darse cuenta de que la página web de destino ha sido secuestrada y manipulada, ya que no habrá alertas de error (como un error de certificado HTTPS). Incluso el equipo del proyecto no identificará fácilmente el problema sin tener que dedicar una gran cantidad de tiempo a comprobar la seguridad de sus servidores y su personal. Para cuando se den cuenta de que se trata de trabajadores de Cloudflare, la pérdida ya podría ser significativa.

Cloudflare es realmente una buena herramienta. Muchos sitios web o aplicaciones web lo utilizarán como firewall de aplicaciones web, solución anti DDoS, CDN global, proxy inverso, etc. Debido a que existe una versión gratuita, tienen una gran base de clientes. Alternativamente, existen servicios como Akaimai, etc.

Los usuarios deben prestar atención a la seguridad de dichas cuentas. Los problemas de seguridad de las cuentas surgen con el auge de Internet. Es un tema tan común en el mundo que casi todo el mundo habla de él en todas partes, pero aún así muchas personas son hackeadas por ello. Algunas causas fundamentales pueden ser que no usan una contraseña segura única para servicios importantes (los administradores de contraseñas como 1Password no son tan populares de todos modos), otras pueden ser que no se molestan en activar la autenticación de 2 factores (2FA), o tal vez Ni siquiera saben de la cosa. Sin mencionar que, para algunos servicios determinados, las contraseñas deben restablecerse al menos una vez al año.

Muy bien, este será el final de esta sección. Sólo necesitas entender que este es efectivamente un bosque oscuro, y debes conocer tantas metodologías de ataque como sea posible. Después de ver lo suficiente sobre el papel, si al menos has caído en las trampas una o dos veces, puedes considerarte un profesional de la seguridad aficionado (lo que te beneficiará de todos modos).

Protección de privacidad tradicional

Felicitaciones, has llegado a esta parte. La protección de la privacidad tradicional es un tema antiguo: aquí está el artículo que escribí en 2014.

Tienes que aprender algunos trucos para protegerte en la era de las violaciones de la privacidad.
https://evilcos.me/yinsi.html

Volviendo a leer este artículo, aunque fue un artículo de nivel básico en 2014, la mayoría de los consejos que contiene no están desactualizados. Después de leer el artículo nuevamente, presentaré algo nuevo aquí: de hecho, la protección de la privacidad está estrechamente relacionada con la seguridad. . La privacidad tradicional es la piedra angular de la seguridad. Esta sección incluye que sus claves privadas son parte de la privacidad. Si las piedras angulares no son seguras, la privacidad de las piedras angulares no tiene sentido, entonces la superestructura será tan frágil como un edificio en el aire.

Se recomiendan encarecidamente los dos recursos siguientes:

VIGILANCIA AUTODEFENSA
CONSEJOS, HERRAMIENTAS E INSTRUCCIONES PARA COMUNICACIONES EN LÍNEA MÁS SEGURAS
https://ssd.eff.org/

VIGILANCIA AUTODEFENSA es la abreviatura de SSD. Lanzado por la conocida Electronic Frontier Foundation (EFF), que ha publicado directrices especialmente relevantes para decirle cómo evitar que el hermano mayor le mire en el mundo de la vigilancia de Internet, entre las que se incluyen varias herramientas útiles (como Tor, WhatsApp, Signal, PGP, etc.)

Guía de privacidad: luche contra la vigilancia con herramientas de cifrado y privacidad
https://www.privacytools.io/

El sitio web anterior es completo y enumera una serie de herramientas. También recomienda algunos intercambios de criptomonedas, billeteras, etc. Sin embargo, cabe señalar que no uso muchas de las herramientas que figuran en el sitio web, porque me salgo con la mía. Por lo tanto, también debes desarrollar tu propio camino, comparando y mejorando continuamente.

A continuación se muestran algunos aspectos destacados de las herramientas que le sugiero que utilice.

Sistema operativo

Windows 10 Edition (y superior) y macOS son opciones seguras. Si tiene la capacidad, puede elegir Linux, como Ubuntu, o incluso aquellos extremadamente centrados en la seguridad y la privacidad, como Tails o Whonix.

En cuanto al tema del sistema operativo, el principio de seguridad más sencillo es: prestar mucha atención a las actualizaciones del sistema y aplicarlas lo antes posible cuando estén disponibles. La capacidad de dominar el sistema operativo viene a continuación. La gente podría preguntar, ¿qué necesitas aprender para dominar un sistema operativo como Windows o MacOS? ¿No es simplemente hacer clic? Bueno, en realidad está lejos de ser suficiente. Para los usuarios novatos, es imprescindible un buen software antivirus, como Kaspersky o BitDefender, y ambos están disponibles en MacOS.

Y luego, no te olvides de la seguridad de las descargas, que mencioné antes. Habrá eliminado la mayoría de los riesgos si no descarga e instala programas imprudentemente.

A continuación, piense en lo que va a hacer si pierde o le roban su computadora. Obviamente, tener una contraseña de arranque no es suficiente. Si el cifrado de disco no está activado, los delincuentes pueden simplemente sacar el disco duro y recuperar los datos que contiene. Por lo tanto, mi consejo es que el cifrado de disco esté activado para computadoras importantes.

https://docs.microsoft.com/en-us/windows/security/encryption-data-protection
https://support.apple.com/en-us/HT204837

También contamos con herramientas poderosas y legendarias como VeraCrypt (el antiguo TrueCrypt), no dudes en probarlo si estás interesado:

https://veracrypt.fr/

Puede ir un paso más allá para habilitar la contraseña del BIOS o del firmware. Lo he hecho yo mismo pero depende totalmente de tu propia elección. Sólo recuerda: si lo haces, recuerda la contraseña muy claramente, o nadie podrá ayudarte. Tengo la suerte de haber caído en la madriguera del conejo antes, lo que me costó una computadora portátil, algunas criptomonedas y una semana de tiempo. Por otro lado, también es una muy buena experiencia de aprendizaje.

Teléfono móvil

Hoy en día, iPhone y Android son las dos únicas categorías principales de teléfonos móviles. Solía ser un gran admirador de BlackBerry, pero su gloria se desvaneció con el tiempo. En el pasado, la postura de seguridad de los teléfonos Android me preocupaba mucho. Por un lado, todavía estaba en una fase inicial, por otro, las versiones estaban muy fragmentadas, cada marca tendría su propia versión bifurcada de Android. Pero ahora las cosas han mejorado mucho.

En los teléfonos móviles también debemos prestar atención a las actualizaciones de seguridad y a la seguridad de descargas. Además, preste atención a los siguientes puntos:

• No hagas jailbreak/root a tu teléfono, es innecesario a menos que estés realizando una investigación de seguridad relevante. Si lo haces para software pirateado, realmente depende de qué tan bien puedas dominar la habilidad.
• No descargue aplicaciones de tiendas de aplicaciones no oficiales.
• No lo hagas a menos que sepas lo que estás haciendo. Sin mencionar que incluso hay muchas aplicaciones falsas en las tiendas de aplicaciones oficiales.
• El requisito previo para utilizar la función oficial de sincronización en la nube es que debe asegurarse de que su cuenta esté segura; de lo contrario, si la cuenta de la nube se ve comprometida, también lo hará el teléfono móvil.

Personalmente confío más en el iPhone. Y necesitarás al menos dos cuentas de iCloud: una en China y otra en el extranjero. Los necesitarás para instalar aplicaciones con diferentes restricciones regionales. (lo cual suena bastante raro pero bienvenido a la realidad)

Red

Los problemas de seguridad de la red solían ser un dolor de cabeza, pero ya hay mejoras significativas en los últimos años, especialmente desde la adopción masiva de la política HTTPS en todas partes.

En caso de un ataque de secuestro de red (ataque de intermediario), habrá las correspondientes alertas de error del sistema. Pero siempre hay excepciones, así que cuando tengas la opción, utiliza la opción más segura. Por ejemplo, no se conecte a redes Wi-Fi desconocidas a menos que la red 4G/5G, más popular y segura, no esté disponible o no sea estable.

Navegadores

Los navegadores más populares son Chrome y Firefox; en los campos criptográficos, algunos también usarán Brave. Estos navegadores conocidos cuentan con un equipo sólido y habrá actualizaciones de seguridad oportunas. El tema de la seguridad del navegador es muy amplio. A continuación se ofrecen algunos consejos que debe tener en cuenta:

• Actualiza lo más rápido posible, no te arriesgues.
• No utilices una extensión si no es necesaria. Si lo hace, tome sus decisiones basándose en las opiniones de los usuarios, la cantidad de usuarios, el mantenimiento de la empresa, etc., y preste atención al permiso que solicita. Asegúrate de obtener la extensión en la tienda de aplicaciones oficial de tu navegador.
• Se pueden utilizar varios navegadores en paralelo y se recomienda encarecidamente realizar operaciones importantes en un navegador y utilizar otro navegador para operaciones más rutinarias y menos importantes.
• A continuación se muestran algunas extensiones conocidas centradas en la privacidad (como uBlock Origin, HTTPS Everywhere, ClearURLs, etc.), no dude en probarlas.

En Firefox en particular, también usaré la legendaria y antigua extensión NoScript, que tenía un historial comprobado de defenderse de cargas maliciosas de JavaScript. Hoy en día, los navegadores se están volviendo cada vez más seguros a medida que agregan soporte para cosas como políticas del mismo origen, CSP, políticas de seguridad de cookies, encabezados de seguridad HTTP, políticas de seguridad de extensiones, etc. Por lo tanto, la necesidad de utilizar una herramienta como NoScript es cada vez menor y Más pequeño, no dudes en echarle un vistazo si estás interesado.

Administrador de contraseñas

Si aún no ha utilizado un administrador de contraseñas, o no conoce la conveniencia de usarlo o tiene su propio palacio de memoria fuerte. El riesgo de la memoria cerebral también se ha mencionado antes, uno es que el tiempo debilitará o alterará su memoria; la otra es que puedes tener un accidente. En cualquier caso, te recomiendo que uses un administrador de contraseñas que vaya con tu memoria cerebral, usa uno conocido como 1Password, Bitwarden, etc.

No necesito cubrir demasiado esta parte, hay tantos tutoriales relacionados en línea que es fácil comenzar sin siquiera necesitar un tutorial.

Lo que necesito recordarles aquí es:

• Nunca olvides tu contraseña maestra y mantén segura la información de tu cuenta, de lo contrario todo se perderá.
• Asegúrese de que su correo electrónico sea seguro. Si su correo electrónico se ve comprometido, es posible que no comprometa directamente la información confidencial de su administrador de contraseñas, pero los delincuentes tienen la capacidad de destruirla.
• He verificado la seguridad de las herramientas que mencioné (como 1Password) y he estado siguiendo de cerca los incidentes de seguridad relevantes, reseñas de usuarios, noticias, etc. Pero no puedo garantizar que estas herramientas sean absolutamente seguras y que no se produzcan eventos de cisne negro. algo les sucederá en el futuro.

Una cosa que aprecio es la introducción y descripción de la página de seguridad de 1Password, por ejemplo.

https://1password.com/security/

Esta página tiene conceptos de diseño de seguridad, certificados de seguridad y privacidad relevantes, documentos técnicos de diseño de seguridad, informes de auditoría de seguridad, etc. Este nivel de transparencia y apertura también facilita la validación necesaria en la industria. Todos los equipos del proyecto deberían aprender de esto.

Bitwarden va un paso más allá, ya que es completamente de código abierto, incluido el lado del servidor, por lo que cualquiera puede validar, auditar y contribuir. ¿Ahora lo ves? La intención de 1Password y Bitwarden es muy clara:

Estoy muy seguro y me preocupa la privacidad. No sólo lo digo yo, sino que también lo dicen otras autoridades. Siéntase libre de auditarme y, para facilitar sus auditorías, me esfuerzo mucho en ser abierto siempre que sea posible. Si lo que hago no coincide con lo que digo, es fácil desafiarme. Y esto se llama Confianza en la Seguridad.

Autenticación de dos factores

Hablando de la seguridad de su identidad en Internet, la primera capa se basa en contraseñas, la segunda capa se basa en la autenticación de dos factores y la tercera capa se basa en la capacidad de control de riesgos del propio proyecto de destino. No puedo decir que la autenticación de dos factores sea imprescindible. Por ejemplo, si está utilizando una billetera descentralizada, una capa de contraseña es bastante molesta (ahora básicamente admiten identificación biométrica, como el reconocimiento facial o la huella digital para mejorar la experiencia del usuario), nadie quiere usar el segundo factor. Pero en una plataforma centralizada, debes usar 2FA. Cualquiera puede acceder a la plataforma centralizada y, si le roban sus credenciales, se violará su cuenta y se perderán sus fondos. Por el contrario, la contraseña de su billetera descentralizada es solo una autenticación local, incluso si el hacker obtiene la contraseña, aún necesita acceder al dispositivo donde se encuentra su billetera.

¿Ahora ves las diferencias? Algunas herramientas de autenticación de dos factores (2FA) conocidas incluyen: Google Authenticator, Microsoft Authenticator, etc. Por supuesto, si usas un administrador de contraseñas (como 1Password), también viene con un módulo 2FA. , lo cual es muy útil. Recuerde siempre hacer copias de seguridad, porque perder 2FA puede ser una molestia.

Además, la autenticación de dos factores también puede ser un concepto más amplio. Por ejemplo, cuando se utiliza un identificador de cuenta y una contraseña para iniciar sesión en la plataforma de destino, nuestro identificador de cuenta normalmente es un correo electrónico o un número de teléfono móvil. En este momento, el buzón de correo o el número de teléfono móvil se pueden utilizar como 2FA para recibir un código de verificación. Pero el nivel de seguridad de este método no es tan bueno. Por ejemplo, si el buzón de correo se ve comprometido o la tarjeta SIM es secuestrada, o el servicio de terceros utilizado para enviar correos electrónicos y mensajes de texto es pirateado, también se revelará el código de verificación enviado por la plataforma.

Navegación científica por Internet

Por razones políticas, no hablemos demasiado sobre esto, simplemente elijamos una de las soluciones más conocidas. Las cosas estarán más bajo control si puede crear su propia solución. Después de todo, nuestro punto de partida es navegar por Internet de forma científica y segura.

Si no está utilizando una solución de creación propia, no puede descartar por completo la posibilidad de un ataque de intermediario. Como se mencionó anteriormente, la situación de la seguridad en Internet no es tan mala como solía ser, especialmente después de la adopción masiva de la política HTTPS Everywhere. Sin embargo, parte de la paz puede ser sólo la superficie del agua, y ya hay corrientes subterráneas debajo de la superficie que no son fácilmente perceptibles. Para ser honesto, realmente no tengo una solución milagrosa para esto. No es fácil crear su propia solución, pero definitivamente vale la pena. Y si no puede, asegúrese de consultar varias fuentes y elija una confiable que exista durante mucho tiempo.

Correo electrónico

El correo electrónico es la piedra angular de nuestra identidad basada en la web. Usamos el correo electrónico para registrarnos en muchos servicios. Casi todos los servicios de correo electrónico que utilizamos son gratuitos. Parece aire y no crees que vaya a desaparecer. ¿Qué pasa si un día su servicio de correo electrónico desaparece y todos los demás servicios que dependen de él se encontrarán en una situación bastante incómoda? Esta situación extrema realmente no es imposible si hay guerras, desastres naturales, etc. Por supuesto, si ocurren estas situaciones extremas, el correo electrónico será menos importante para usted que la supervivencia.

Cuando se trata de proveedores de servicios de correo electrónico, debes elegir entre gigantes tecnológicos, como Gmail, Outlook o QQ Email. Sucede que mis investigaciones de seguridad anteriores cubren esta área. La situación de seguridad de estos buzones de correo es bastante buena. Pero aun así hay que tener cuidado con los ataques de phishing por correo electrónico. No necesita lidiar con cada correo electrónico, especialmente con los enlaces y archivos adjuntos incrustados, donde los troyanos pueden estar ocultos.

Si se topa con un ataque muy sofisticado a sus proveedores de servicios de correo electrónico, está solo.

Además de los servicios de correo electrónico de estos gigantes tecnológicos, si le preocupa mucho la privacidad, puede echar un vistazo a estos dos conocidos servicios de correo electrónico respetuosos con la privacidad: ProtonMail y Tutanota. Mi sugerencia es separar estos buzones de correo privados del uso diario y utilizarlos sólo para servicios que requieran especial atención a la privacidad. También debe utilizar periódicamente sus servicios de correo electrónico gratuitos para evitar que sus cuentas se suspendan debido a una inactividad prolongada.

Tarjeta SIM

La tarjeta SIM y el número de teléfono móvil también son identidades básicas muy importantes en muchos casos, al igual que el correo electrónico. En los últimos años los principales operadores de nuestro país han hecho un muy buen trabajo en la protección de la seguridad de los números de teléfonos móviles. Por ejemplo, existen estrictos protocolos de seguridad y procesos de verificación para cancelar y volver a emitir tarjetas SIM, y todo se realiza en el sitio. Sobre el tema de los ataques a tarjetas SIM, déjame darte un ejemplo:

En 2019.5, la cuenta Coinbase de alguien sufrió un ataque al puerto SIM (ataque de transferencia de tarjeta SIM) y desafortunadamente perdió más de 100.000 dólares estadounidenses en criptomonedas. El proceso de ataque es aproximadamente el siguiente:

El atacante obtuvo la información de privacidad del usuario objetivo a través de ingeniería social y otros métodos, y engañó al operador de telefonía móvil para que le emitiera una nueva tarjeta SIM, y luego fácilmente se hizo cargo de la cuenta Coinbase del usuario objetivo a través del mismo número de teléfono móvil. La SIM ha sido transferida, lo cual es muy problemático. Es muy problemático si el atacante transfirió su tarjeta SIM, ya que hoy en día, muchos de los servicios en línea utilizan nuestro número de teléfono móvil como factor de autenticación directa o 2FA. Se trata de un mecanismo de autenticación muy centralizado y el número de teléfono móvil se convierte en el punto débil.

Para un análisis detallado, consulte:

https://medium.com/coinmonks/the-most-expensive-lesson-of-my-life-details-of-sim-port-hack-35de11517124

La sugerencia de defensa para esto es realmente simple: habilitar una solución 2FA conocida.

La tarjeta SIM tiene otro riesgo: es decir, si el teléfono se pierde o se lo roban, será vergonzoso que el malo pueda sacar la tarjeta SIM y usarla. Esto es lo que hice: Habilite la contraseña de la tarjeta SIM (código PIN), de modo que cada vez que encienda mi teléfono o use mi tarjeta SIM en un dispositivo nuevo, debo ingresar la contraseña correcta. Solicite a Google instrucciones detalladas. Aquí está mi recordatorio: no olvide esta contraseña, de lo contrario será muy problemático.

GPG

Muchos contenidos de esta parte se han mencionado en secciones anteriores y me gustaría agregar más conceptos básicos aquí: A veces encontrará nombres similares, como PGP, OpenPGP y GPG. Simplemente distingúelos de la siguiente manera:

• PGP, abreviatura de Pretty Good Privacy, es un software de cifrado comercial de 30 años que ahora está bajo el paraguas de Symantec.
• OpenPGP es un estándar de cifrado derivado de PGP.
• GPG, el nombre completo es GnuPG, es un software de cifrado de código abierto basado en el estándar OpenPGP.

Sus núcleos son similares y con GPG eres compatible con los demás. Aquí lo recomiendo encarecidamente nuevamente: en el cifrado de seguridad, no intente reinventar la rueda; ¡GPG, si se usa de manera correcta, puede mejorar significativamente el nivel de seguridad!

Segregación

El valor central detrás del principio de seguridad de la segregación es la mentalidad de confianza cero. Tienes que entender que no importa lo fuertes que seamos, tarde o temprano seremos hackeados, sin importar si es por hackers externos, internos o por nosotros mismos. Cuando se piratea, el stop loss debería ser el primer paso. Muchas personas ignoran la capacidad de detener las pérdidas y es por eso que son pirateadas una y otra vez. La causa fundamental es que no existe un diseño de seguridad, especialmente métodos sencillos como la segregación.

Una buena práctica de segregación puede garantizar que, en caso de incidentes de seguridad, solo se pierdan aquellos directamente relacionados con el objetivo comprometido, sin afectar otros activos.

Por ejemplo:

• Si sus prácticas de seguridad de contraseña son buenas, cuando una de sus cuentas sea pirateada, la misma contraseña no comprometerá otras cuentas.
• Si su criptomoneda no está almacenada bajo un conjunto de semillas mnemotécnicas, no lo perderá todo si alguna vez cae en una trampa.
• Si su computadora está infectada, afortunadamente es sólo una computadora que se usa para actividades casuales y no hay nada importante allí. Así que no debe entrar en pánico, ya que reinstalar la computadora resolvería la mayoría de los problemas. Si eres bueno usando máquinas virtuales, las cosas serán aún mejores, ya que puedes simplemente restaurar la instantánea. Buenas máquinas herramientas virtuales son: VMware, Parallels.
• En resumen, puede tener al menos dos cuentas, dos herramientas, dos dispositivos, etc. No es imposible crear completamente una identidad virtual independiente después de familiarizarse con ella.

Mencioné antes una opinión más extrema: la privacidad no nos corresponde a nosotros protegerla, la privacidad debe controlarse.

La razón de este punto de vista es que: en el entorno actual de Internet, la privacidad se ha filtrado seriamente. Afortunadamente, las regulaciones relacionadas con la privacidad se han adoptado cada vez más en los últimos años y la gente está prestando cada vez más atención. De hecho, todo va en la dirección correcta. Pero antes de eso, en cualquier caso, cuando haya dominado los puntos de conocimiento que he enumerado, podrá controlar su privacidad con facilidad. En Internet, si estás acostumbrado, es posible que tengas varias identidades virtuales que son casi independientes entre sí.

Seguridad de la naturaleza humana

El ser humano siempre corre el mayor y eterno riesgo. Hay una cita de El problema de los tres cuerpos: "La debilidad y la ignorancia no son barreras para la supervivencia, pero la arrogancia sí lo es".

• No seas arrogante: si crees que ya eres fuerte, estás bien contigo mismo. No menosprecies al mundo entero. En particular, no se sienta demasiado orgulloso y piense que puede desafiar a los piratas informáticos globales. El aprendizaje no tiene fin y todavía existen muchos obstáculos.
• No seas codicioso: la codicia es de hecho la motivación para seguir adelante en muchos casos, pero piénsalo, ¿por qué está reservada para ti una oportunidad tan buena?
• No seáis impulsivos: la impulsividad es el diablo que os llevará a las trampas. Una acción precipitada es un juego de azar.

Hay infinitas cosas de la naturaleza humana de las que hablar y no se puede ser más cuidadoso. Preste especial atención a los siguientes puntos y vea cómo los malos actores se aprovechan de las debilidades de la naturaleza humana, utilizando varias plataformas convenientes.

Telegrama

He dicho antes que Telegram es la web oscura más grande. Debo decir que a la gente le gusta Telegram por su seguridad, estabilidad y características de diseño abierto. Pero la cultura abierta de Telegram también atrae a los malos: una gran cantidad de usuarios, una funcionalidad altamente personalizable y bastante fácil de construir todo tipo de servicios de Bot. Combinando con las criptomonedas, las experiencias comerciales reales van mucho más allá de los mercados de la web oscura en Tor. Y hay demasiados peces en él.

Normalmente, el identificador único de las cuentas de redes sociales es solo algo así como un nombre de usuario, identificación de usuario, pero los malos actores pueden clonarlos por completo. Algunas plataformas sociales tienen mecanismos de validación de cuentas, como agregar un ícono de V azul o algo así. Las cuentas de redes sociales públicas se pueden validar a través de algunos indicadores, como el número de seguidores, los contenidos publicados, la interacción con los fans, etc. Las cuentas de redes sociales no públicas son un poco más difíciles. Es bueno ver que Telegram lanzó la función "En qué grupos estamos juntos".

Dondequiera que haya lagunas que puedan explotarse y las ganancias sean considerables, debe haber ya un grupo de malos ahí, esa es la naturaleza humana.

Como resultado, las plataformas de redes sociales están llenas de trampas de phishing. Por ejemplo: en un chat grupal, alguien que se parece al servicio de atención al cliente oficial apareció de repente e inició un chat privado (el chat privado any2any es una función de Telegram, no es necesario solicitar amistad), y luego salió de las tácticas clásicas de spam, los peces picarán uno tras otro.

O los atacantes podrían ir un paso más allá y agregarte a otro grupo. Todos los participantes creen que eres falso, pero a ti te parece muy realista. Nos referimos a esta técnica como Clonación Grupal en la sociedad clandestina.

Estos son sólo los métodos básicos para manipular la naturaleza humana; las técnicas avanzadas se combinarán con vulnerabilidades y, por lo tanto, serán más difíciles de prevenir.

Discordia

Discord es una nueva y popular plataforma social/software de mensajería instantánea creada en los últimos dos años. La función principal son los servidores comunitarios (no el concepto de servidor tradicional), como dice el comunicado oficial:

Discord es una aplicación gratuita de chat de voz, vídeo y texto que utilizan decenas de millones de personas mayores de 13 años para hablar y pasar el rato con sus comunidades y amigos.

La gente usa Discord a diario para hablar sobre muchas cosas, desde proyectos de arte y viajes familiares hasta tareas y apoyo para la salud mental. Es un hogar para comunidades de cualquier tamaño, pero es más utilizado por grupos pequeños y activos de personas que hablan con regularidad.

Se ve muy bien pero requiere un estándar de diseño de seguridad bastante sólido. Discord tiene reglas y políticas de seguridad específicas como en:

https://discord.com/safety

Desafortunadamente, la mayoría de la gente no se molestará en leerlo con atención. Es más, Discord no siempre podrá ilustrar claramente ciertos problemas básicos de seguridad, porque tendrán que ponerse el sombrero de atacante, lo que no siempre es factible.

Por ejemplo:

Con tantos robos de NFT en Discord, ¿cuáles son los métodos de ataque clave? Antes de que nos demos cuenta de esto, los consejos de seguridad de Discord son inútiles.

La razón clave detrás de muchos proyectos Discordhacks es en realidad el Discord Token, que es el contenido del campo de autorización en el encabezado de la solicitud HTTP. Existe en Discord desde hace mucho tiempo. Para los piratas informáticos, si pueden encontrar una manera de obtener este token de Discord, casi pueden controlar todos los privilegios del servidor de Discord de destino. Es decir, si el objetivo es un administrador, una cuenta con privilegios administrativos o un bot de Discord, los hackers pueden hacer lo que quieran. Por ejemplo, al anunciar un sitio de phishing de NFT, hacen que la gente piense que es el anuncio oficial y los peces muerden el anzuelo.

Algunos podrían preguntar, ¿qué pasa si agrego autenticación de dos factores (2FA) a mi cuenta de Discord? ¡Absolutamente un buen hábito! Pero Discord Token no tiene nada que ver con el estado 2FA de su cuenta. Una vez que se viola su cuenta, debe cambiar su contraseña de Discord inmediatamente para invalidar el token de Discord original.

Para la pregunta de cómo el hacker puede obtener el token de Discord, hemos descubierto al menos tres técnicas principales e intentaremos explicarlas en detalle en el futuro. Para los usuarios normales, hay mucho que se puede hacer, pero los puntos centrales son: no apresurarse, no ser codicioso y verificar desde múltiples fuentes.

Phishing “oficial”

Los malos actores son buenos aprovechando el juego de roles, especialmente el rol oficial. Por ejemplo, hemos mencionado antes el método de atención al cliente falso. Además de eso, en abril de 2022, muchos usuarios de la conocida billetera de hardware Trezor recibieron correos electrónicos de phishing de trezor.us, que no es el dominio oficial de Trezor, trezor.io. Hay una pequeña diferencia en el sufijo del nombre de dominio. Además, los siguientes dominios también se difundieron mediante correos electrónicos de phishing.

https://suite.trẹzor.com

Este nombre de dominio tiene un "punto destacado", mire de cerca la letra ẹ que contiene y verá que no es la letra e. ¿Confuso? En realidad es Punycode, la descripción estándar es la siguiente:

Una codificación Bootstring de Unicode para nombres de dominio internacionalizados en aplicaciones (IDNA) es una codificación de nombre de dominio internacionalizado que representa un conjunto limitado de caracteres en códigos Unicode y ASCII.

Si alguien decodifica trẹzor, se verá así: xn-trzor-o51b, ¡que es el nombre de dominio real!

Los piratas informáticos han estado usando Punycode para phishing durante años; en 2018, algunos usuarios de Binance se vieron comprometidos por el mismo truco.

Este tipo de sitios de phishing ya pueden hacer caer a muchas personas, sin mencionar los ataques más avanzados, como el control del buzón de correo oficial o los ataques de falsificación de correo causados por problemas de configuración del SPF. Como resultado, la fuente del correo electrónico es exactamente la misma que la oficial.

Si se trata de un infiltrado deshonesto, el usuario no puede hacer nada. Los equipos de proyecto deberían esforzarse mucho en prevenir amenazas internas. Los insiders son el mayor caballo de Troya, pero muy a menudo son ignorados.

Problemas de privacidad de Web3

Con la creciente popularidad de Web3, aparecieron cada vez más proyectos interesantes o aburridos: como todo tipo de infraestructuras Web3, plataformas sociales, etc. Algunos de ellos han realizado análisis de datos masivos e identificado varios retratos de comportamiento de los objetivos, no sólo en la cadena de bloques. lado, sino también en plataformas Web2 conocidas. Una vez que sale el retrato, el objetivo es básicamente una persona transparente. Y la aparición de plataformas sociales Web3 también puede agravar esos problemas de privacidad.

Piénselo, cuando juega con todas estas cosas relacionadas con Web3, como el enlace de firmas, las interacciones en cadena, etc., ¿está regalando más privacidad? Es posible que muchos no estén de acuerdo, pero a medida que se unan muchas piezas, habrá una imagen más precisa y completa: qué NFT le gusta recopilar, a qué comunidades se unió, en qué listas blancas está, con quién está conectado, qué cuentas de Web2 está obligado a hacerlo, en qué períodos de tiempo está activo, etc. Mira, blockchain a veces empeora la privacidad. Si te importa la privacidad, tendrás que tener cuidado con todo lo recién surgido y mantener la buena costumbre de segregar tu identidad.

En este punto, si la clave privada es robada accidentalmente, la pérdida no es tan simple como solo dinero, sino todos los derechos e intereses de Web3 cuidadosamente mantenidos. A menudo decimos que la clave privada es la identidad, y ahora tenemos un verdadero problema de identificación.

Nunca pruebes la naturaleza humana.

Travesuras de la cadena de bloques

La tecnología Blockchain creó una industria completamente nueva. Ya sea que lo llames BlockFi, DeFi, criptomoneda, moneda virtual, moneda digital, Web3, etc., el núcleo de todo sigue siendo la cadena de bloques. La mayor parte del revuelo se centró en actividades financieras, como los criptoactivos, incluidos los tokens no fungibles (o NFT, coleccionables digitales).

La industria blockchain es muy dinámica y fascinante, pero hay demasiadas formas de hacer el mal. Las características especiales de blockchain dan lugar a algunos males bastante singulares, que incluyen, entre otros, el robo de criptomonedas, el criptojacking, el ransomware, el comercio en la web oscura, el ataque C2, el lavado de dinero, los esquemas Ponzi, los juegos de azar, etc. Hice un mapa mental en 2019. para referencia.

https://github.com/slowmist/Knowledge-Base/blob/master/mindmaps/evil_blockchain.png

Mientras tanto, el equipo de SlowMist ha estado manteniendo y actualizando SlowMist Hacked, una base de datos en crecimiento para actividades de piratería relacionadas con blockchain.

https://hacked.slowmist.io/

Este manual ha introducido muchas medidas de seguridad y si puede aplicarlas a su propia seguridad, entonces felicidades. No daré demasiados detalles sobre las travesuras de blockchain. Si está interesado, puede aprenderlo por su cuenta, lo cual definitivamente es algo bueno, especialmente porque continuamente evolucionan nuevas estafas y fraudes. Cuanto más aprenda, mejor podrá defenderse y mejorar esta industria.

Qué hacer cuando te piratean

Es sólo cuestión de tiempo antes de que finalmente te pirateen. Entonces, ¿qué hacer entonces? Simplemente iré directo al grano. Los siguientes pasos no están necesariamente en orden; Hay momentos en los que hay que ir y venir, pero la idea general es esta.

Detener la pérdida primero

Stop Loss consiste en limitar sus pérdidas. Se puede dividir en al menos dos fases.

• La Fase de Acción Inmediata. ¡Actúa inmediatamente! Si ve que piratas informáticos están transfiriendo sus activos, no lo piense más. Date prisa y transfiere los activos restantes a un lugar seguro. Si tiene experiencia en operaciones avanzadas, simplemente tome y ejecute. Dependiendo del tipo de activo, si puedes congelar tus activos en la cadena de bloques, hazlo lo antes posible; Si puede realizar un análisis en cadena y descubrir que sus activos se transfieren a un intercambio centralizado, puede comunicarse con su departamento de control de riesgos.
• La fase posterior a la acción. Una vez que la situación se estabilice, su atención debe centrarse en asegurarse de que no haya ataques secundarios o terciarios.

Proteger la escena

Cuando descubras que algo anda mal, mantén la calma y respira profundamente. Recuerde proteger la escena. Aqui hay algunas sugerencias:

• Si el accidente ocurre en una computadora, servidor u otros dispositivos conectados a Internet, desconecte la red inmediatamente mientras mantiene los dispositivos encendidos con suministro eléctrico. Algunas personas pueden afirmar que si se trata de un virus destructivo, el virus destruirá los archivos del sistema local. Tienen razón, sin embargo, cerrar sólo ayuda si puedes reaccionar más rápido que el virus...
• A menos que sea capaz de manejar esto usted mismo, esperar a que los profesionales de seguridad intervengan para realizar un análisis siempre es la mejor opción.

Esto es realmente importante ya que nos hemos encontrado en bastantes ocasiones con que la escena ya estaba hecha un desastre cuando intervinimos para hacer el análisis. E incluso hubo casos en los que parecía que se habían limpiado pruebas clave (p. ej., registros, archivos de virus). Sin una escena del crimen bien conservada, el análisis y la localización posteriores pueden resultar extremadamente perjudiciales.

Análisis de raíz de la causa

El propósito de analizar la causa es comprender al adversario y generar el retrato del hacker. En este punto es muy importante el informe del incidente, que también se llama Informe Post Mortem. El informe de incidente y el informe post mortem se refieren a lo mismo.

Hemos conocido a muchas personas que acudieron a nosotros en busca de ayuda después de que les robaron sus monedas, y para muchos de ellos fue muy difícil decir claramente lo que sucedió. Para ellos es aún más difícil elaborar un informe claro del incidente. Pero creo que esto se puede practicar y sería útil consultar ejemplos. Lo siguiente puede ser un buen punto de partida:

• Resumen 1: ¿Quién estuvo involucrado, cuándo sucedió esto, qué sucedió y cuál fue la pérdida total?
• Resumen 2: Las direcciones de la billetera relacionadas con la pérdida, la dirección de la billetera del hacker, el tipo de moneda, la cantidad de la moneda. Podría ser mucho más claro con la ayuda de una sola tabla.
• Descripción del proceso: esta parte es la más difícil. Deberá describir todos los aspectos del incidente con todos los detalles, lo cual es útil para analizar varios tipos de rastros relacionados con el hacker y, finalmente, obtener el retrato del hacker (incluida la motivación).

Cuando se trate de casos particulares, el modelo será mucho más complejo. A veces, la memoria humana también puede ser poco fiable, e incluso se oculta deliberadamente información clave, lo que puede provocar una pérdida de tiempo o un retraso en el tiempo. Entonces, en la práctica, habría un consumo enorme y necesitamos usar nuestra experiencia para guiar bien el trabajo. Finalmente, elaboramos un informe de incidente con la persona o el equipo que perdió las monedas y mantenemos este informe de incidente actualizado.

Seguimiento de origen

Según la Ley de Rocca, donde hay invasión, hay rastro. Si investigamos lo suficiente, siempre encontraremos algunas pistas. El proceso de investigación es en realidad análisis forense y rastreo de fuentes. Rastrearemos las fuentes según el retrato del hacker a partir del análisis forense y lo enriqueceremos constantemente, lo cual es un proceso dinámico e iterativo.

El rastreo de fuentes consta de dos partes principales:

• Inteligencia en cadena. Analizamos las actividades de activos de las direcciones de billetera, como ingresar a intercambios centralizados, mezcladores de monedas, etc., las monitoreamos y recibimos alertas de nuevas transferencias.
• Inteligencia fuera de la cadena: esta parte cubre la IP del hacker, información del dispositivo, dirección de correo electrónico y más información de la correlación de estos puntos asociados, incluida información de comportamiento.

Hay mucho trabajo de rastreo de fuentes basado en esta información, e incluso requeriría la participación de las autoridades.

Conclusión de casos

Por supuesto, todos queremos un final feliz, y aquí hay algunos ejemplos de eventos divulgados públicamente en los que hemos participado y que han tenido buenos resultados:

• Lendf.Me, valorado en $25 millones
• SIL Finance, valorado en $12,15 millones
• Poly Network, valorada en $610 millones

Hemos vivido muchos otros casos inéditos que terminaron con buenos o buenos resultados. Sin embargo, la mayoría de ellos tuvieron malos finales, lo cual es bastante desafortunado. Hemos adquirido muchas experiencias valiosas en estos procesos y esperamos aumentar el ratio de buenos finales en el futuro.

Esta parte se menciona brevemente como arriba. Hay una gran cantidad de conocimientos relacionados con esta área y no estoy muy familiarizado con algunos de ellos. Por lo tanto, no voy a dar una explicación detallada aquí. Dependiendo del escenario, las habilidades que debemos dominar son:

• Análisis forense y de seguridad de contratos inteligentes
• Análisis y análisis forense de transferencias de fondos en cadena.
• Análisis forense y de seguridad web
• Análisis forense y de seguridad de servidores Linux
• Análisis forense y de seguridad de Windows
• Análisis forense y de seguridad de macOS
• Análisis forense y de seguridad móvil
• Análisis y análisis forense de códigos maliciosos
• Análisis de seguridad y análisis forense de dispositivos o plataformas de red.
• Análisis forense y de seguridad interna
• …

Cubre casi todos los aspectos de la seguridad, al igual que este manual. Sin embargo, esos puntos de seguridad sólo se mencionan brevemente aquí como guía introductoria.

Idea equivocada

¡Desde el principio, este manual le pide que se mantenga escéptico! Esto incluye todo lo mencionado aquí. Se trata de una industria extremadamente vibrante y prometedora, llena de todo tipo de trampas y caos. Aquí echemos un vistazo a algunos de los conceptos erróneos que, si se dan por sentados como verdad, pueden fácilmente hacerte caer en las trampas y convertirte en parte del caos mismo.

El código es ley

El código es ley. Sin embargo, cuando un proyecto (especialmente los relacionados con contratos inteligentes) se vuelve pirateado o complicado, ninguna víctima desearía jamás el “Código es ley”, y resulta que todavía necesitan confiar en la ley en el mundo real.

Ni tus llaves, ni tus monedas

Si no eres dueño de tus llaves, no eres dueño de tus monedas. De hecho, muchos usuarios no lograron administrar adecuadamente sus propias claves privadas. Debido a diversas malas prácticas de seguridad, incluso pierden sus criptoactivos. A veces descubrirá que en realidad es más seguro colocar su activo criptográfico en plataformas grandes y de buena reputación.

En Blockchain confiamos

Confiamos en él porque es blockchain. De hecho, la propia cadena de bloques tiene la capacidad de resolver muchos de los problemas fundamentales de confianza, ya que es a prueba de manipulaciones, resistente a la censura, etc.; Si mi activo y las actividades relacionadas están en cadena, puedo confiar por defecto en que nadie más podrá quitarme mi activo o alterar mi actividad sin autorización. Sin embargo, la realidad suele ser dura: en primer lugar, no todas las cadenas de bloques son capaces de alcanzar estos puntos fundamentales y, en segundo lugar, la naturaleza humana siempre se convierte en el eslabón más débil. Muchas de las técnicas de piratería actuales están más allá de la imaginación de la mayoría de nosotros. Aunque siempre decimos que el ataque y la defensa es el equilibrio entre costo e impacto, cuando no posees un gran activo ningún hacker perderá el tiempo en atacarte. Pero cuando hay varios objetivos como usted, será muy rentable para los piratas informáticos lanzar el ataque.

Mi consejo de seguridad es muy sencillo: Desconfía por defecto (es decir, cuestiona todo por defecto), y realiza una verificación continua. Verificar es la acción de seguridad clave aquí, y la verificación continua básicamente significa que la seguridad nunca está en un estado estático; que sea segura ahora no significa que lo sea mañana. La capacidad de verificar adecuadamente es el mayor desafío para todos nosotros, pero es bastante interesante, ya que aprenderá muchos conocimientos en el proceso. Cuando eres lo suficientemente fuerte, nadie puede hacerte daño fácilmente.

La seguridad criptográfica es seguridad

La criptografía es poderosa e importante. Sin todo el arduo trabajo de los criptógrafos, todos los sólidos algoritmos criptográficos e implementaciones de ingeniería, no habrá tecnología de comunicaciones moderna, Internet o tecnología blockchain. Sin embargo, algunas personas consideran la seguridad criptográfica como seguridad absoluta. Y así surgen un montón de preguntas extrañas:

¿No es blockchain tan seguro que se necesitaron billones de años para descifrar una clave privada? ¿Cómo es que el FBI pudo descifrar el Bitcoin de la Dark Web? ¿Por qué diablos podrían robar el NFT de Jay Chou?

Puedo soportar estas preguntas de principiantes... lo que no puedo soportar es el hecho de que muchos de los llamados profesionales de la seguridad usan conceptos de seguridad criptográfica para engañar al público, mencionan términos como cifrado de grado militar, el mejor cifrado del mundo, cósmico. -Cifrado de nivel, seguridad absoluta del sistema, inhackeabilidad, etc.

¿Hackers? Les importa una mierda...

¿Es humillante ser pirateado?

Es cierto que ser pirateado puede generar sentimientos encontrados y, a veces, habrá una sensación de vergüenza. Pero debes entender que ser pirateado está casi 100% garantizado, por lo que no hay nada de qué avergonzarse.

Una vez que te piratean, no importa si solo eres responsable de ti mismo. Sin embargo, si usted es responsable de muchos otros, debe ser transparente y abierto al abordar el incidente.

Aunque la gente puede cuestionarte o incluso acusarte de haber realizado el hack tú mismo, un proceso actualizado transparente y abierto siempre traerá buena suerte y comprensión.

Piénsalo de esta manera: si tu proyecto no es muy conocido, nadie te pirateará. La vergüenza no es que te pirateen; la vergüenza es tu arrogancia.

Desde el punto de vista de la probabilidad, ser pirateado es un fenómeno común; normalmente, la mayoría de los problemas de seguridad son solo pequeños problemas que podrían ayudar a que su proyecto crezca. Sin embargo, todavía es necesario evitar en la medida de lo posible los grandes problemas graves.

Actualizar inmediatamente

Muchas veces este manual sugiere prestar atención a la actualización. Si hay una actualización de seguridad disponible, aplíquela inmediatamente. Ahora piénselo detenidamente: ¿es esto una solución milagrosa?

De hecho, en la mayoría de los casos, “actualizar ahora” es lo correcto. Sin embargo, ha habido ocasiones en la historia en las que una actualización resuelve un problema pero introduce otro. Un ejemplo es iPhone y Google Authenticator:

Existe el riesgo de la nueva actualización de iOS 15, es decir, la información en Google Authenticator puede borrarse o duplicarse después de la actualización del iPhone. En este caso, nunca elimines las entradas duplicadas si descubres que están duplicadas, ya que puede provocar la pérdida de toda la información en Google Authenticator después de volver a abrir.

Para aquellos que no han actualizado al sistema iOS 15 y utilizan Google Authenticator, se recomienda encarecidamente hacer una copia de seguridad antes de actualizar.

Posteriormente, Google ha actualizado la aplicación Authenticator, solucionando este problema de forma permanente.

Además, no recomiendo actualizar las billeteras con frecuencia, especialmente para las billeteras con muchos activos, a menos que haya un parche de seguridad importante o una característica muy importante que conduzca a una actualización inevitable. en cuyo caso usted tendrá que hacer su propia evaluación de riesgos y tomar su propia decisión.

Conclusión

Recuerde que este manual comienza con este diagrama 🙂

¿Han notado que he marcado en rojo a la persona en el diagrama?, lo hago para recordarles nuevamente a todos que los humanos son la base de todo (denominado “principio antrópico” en cosmología). No importa si se trata de la seguridad de la naturaleza humana o de la capacidad de dominar las habilidades de seguridad, todo depende de usted. Sí, cuando eres lo suficientemente fuerte, nadie puede hacerte daño fácilmente.

Comencé a expandirme según el diagrama y expliqué muchos puntos clave de seguridad en los tres procesos: creación de billetera, copia de seguridad de billetera y uso de billetera. Luego introduje la protección de privacidad tradicional. Dije que estos tradicionales son las piedras angulares y los pilares para que nos mantengamos seguros en los ecosistemas blockchain. No se puede exagerar la parte de seguridad de la naturaleza humana. Es bueno comprender más acerca de las diversas formas de hacer el mal, especialmente si se mete en algunos pozos, la conciencia de seguridad en el papel puede eventualmente convertirse en su experiencia de seguridad. No existe una seguridad absoluta, así que te expliqué qué hacer cuando te piratean. No quiero que te suceda un evento desafortunado, pero en caso de que suceda, espero que este manual pueda ayudarte. Lo último es hablar de algunos conceptos erróneos. Mi intención es muy simple, espero que puedas desarrollar tu propio pensamiento crítico, porque el mundo es a la vez hermoso y terrible.

Hacía mucho tiempo que no escribía tantas palabras. Creo que la última vez fue hace 10 años cuando escribí el libro”Web 前端黑客技术揭秘“. Fue bastante agridulce. Después de muchos años en seguridad web y ciberseguridad, dirigí un equipo para crear ZoomEye, un motor de búsqueda en el ciberespacio. Dentro de la ciberseguridad, he incursionado en muchos campos, de los cuales sólo puedo decir que soy hábil en algunos.

Ahora, en seguridad blockchain, SlowMist y yo somos considerados pioneros. Son tantos los casos que hemos encontrado a lo largo de estos años que casi se puede pensar que estamos en estado de trance todos los días. Es una lástima que muchas ideas no se registren ni se compartan. Y como resultado, a instancias de varios amigos, nació este manual.

Cuando haya terminado de leer este manual, deberá practicar, volverse competente y hacer inferencias. Cuando tengas tu propio descubrimiento o experiencia después, espero que contribuyas. Si cree que hay información confidencial, puede enmascararla o anonimizarla.

Finalmente, gracias a la madurez global de la legislación y el cumplimiento relacionados con la seguridad y la privacidad; gracias a los esfuerzos de todos los criptógrafos, ingenieros, hackers éticos pioneros y todos aquellos involucrados en la creación de un mundo mejor, incluido Satoshi Nakamoto.

Apéndice

Normas y principios de seguridad.

Las reglas y principios de seguridad mencionados en este manual se resumen a continuación. Se están incorporando bastantes reglas en el texto anterior y no se refinarán específicamente aquí.

Dos reglas de seguridad principales:

• Confianza cero. Para hacerlo simple, manténgase escéptico y manténgalo siempre.
• Validación continua. Para confiar en algo, hay que validar lo que se duda y convertir la validación en un hábito.

Principios de seguridad:

• Para todo el conocimiento de Internet, consulte al menos dos fuentes, corroboren entre sí y sean siempre escépticos.
• Segregar. No pongas todos los huevos en una sola canasta.
• Para carteras con activos importantes, no realice actualizaciones innecesarias.
• Lo que ves es lo que firmas. Debe ser consciente de lo que está firmando y del resultado esperado después de enviar la transacción firmada. No hagas cosas que te hagan arrepentirte después.
• Preste atención a las actualizaciones de seguridad del sistema. Aplicarlos tan pronto como estén disponibles.
• No descargar e instalar programas imprudentemente puede evitar la mayoría de los riesgos.

Colaboradores

Gracias a los contribuyentes, esta lista se actualizará continuamente y espero que puedan contactarme si tienen alguna idea para este manual.

Porque, Twitter (@evilcos)、即刻(@余弦.jpg)

Colaboradores

Mi esposa SlowMist, Twitter (@SlowMist_Team), por ejemplo, Pds, Johan, Kong, Kirk, Thinking, Blue, Lisa, Keywolf... Aplicación Jike Algunos amigos anónimos... Más: https://darkhandbook.io/contributors.html

Si se acepta la inclusión de su contribución en este manual, se le agregará a la lista de contribuyentes.

Por ejemplo: proporcionó sugerencias o casos específicos de defensa de seguridad; participó en trabajos de traducción; errores mayores corregidos, etc.

Sitios oficiales

SlowMist https://www.slowmist.com CoinMarketCap https://coinmarketcap.com/ Sparrow Wallet https://sparrowwallet.com/ MetaMask https://metamask.io/ imToken https://token.im/ Trust Wallet https ://trustwallet.com/ Gnosis Safe https://gnosis-safe.io/ ZenGo https://zengo.com/ Fireblocks https://www.fireblocks.com/ Safeheron https://www.safeheron.com/ Keystone https://keyst.one/ Trezor https://trezor.io/ Rabby https://rabby.io/ EdgeWallet https://edge.app/ MyEtherWallet https://www.myetherwallet.com/ Phantom https: //phantom.app/ Tornado Cash https://tornado.cash/ Binance https://www.binance.com/ Coinbase https://coinbase.com Compuesto https://compound.finance/ SushiSwap https://www .sushi.com/ OpenSea https://opensea.io/ Revoke.cash https://revoke.cash/ APPROVED.zone https://approved.zone/ 即刻 https://okjike.com/ Kaspersky https:// www.kaspersky.com.cn/ Bitdefender https://www.bitdefender.com/ Cloudflare https://www.cloudflare.com/ Akamai https://www.akamai.com/ VIGILANCIA AUTODEFENSA https://ssd .eff.org/ Guía de privacidad https://www.privacytools.io/ OpenPGP https://www.openpgp.org/ GPG https://gnupg.org/ GPG Suite https://gpgtools.org/ Gpg4win https: //www.gpg4win.org/ 1Password https://1password.com/ Bitwarden https://bitwarden.com/ Autenticador de Google https://support.google.com/accounts/answer/1066447 Autenticador de Microsoft https://www .microsoft.com/en-us/security/mobile-authenticator-app ProtonMail https://protonmail.com/ Tutanota https://tutanota.com/ VMware Workstation https://www.vmware.com/products/workstation- pro.html Paralelos https://www.parallels.com/