(источники: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook)

Пролог

Прежде всего, поздравляем с обнаружением этого справочника! Неважно, кто вы — являетесь ли вы держателем криптовалюты или хотите в будущем окунуться в мир криптовалют, это руководство вам очень поможет. Вам следует внимательно прочитать это руководство и применить его учения в реальной жизни.

Кроме того, для полного понимания этого руководства необходимы некоторые базовые знания. Однако, пожалуйста, не волнуйтесь. Что касается новичков, не бойтесь барьеров в знаниях, которые можно преодолеть. Если вы столкнулись с чем-то, чего не понимаете, и вам нужно изучить больше, настоятельно рекомендуется использовать Google. Кроме того, важно помнить одно правило безопасности: будьте скептичны! Независимо от того, какую информацию вы видите в Интернете, вам всегда следует искать как минимум два источника для перекрестных ссылок.

Опять же, всегда будьте настроены скептически 🙂 в том числе и к знаниям, упомянутым в этом руководстве.

Блокчейн — великое изобретение, которое меняет производственные отношения и в некоторой степени решает проблему доверия. В частности, блокчейн создает множество сценариев «доверия» без необходимости централизации и третьих сторон, таких как неизменность, исполнение по согласованию и предотвращение отказа. Однако реальность жестока. Существует много недопониманий относительно блокчейна, и плохие парни будут использовать эти недоразумения, чтобы воспользоваться лазейками и украсть деньги у людей, что приведет к большим финансовым потерям. Сегодня криптомир уже превратился в темный лес.

Пожалуйста, запомните следующие два правила безопасности, чтобы выжить в темном лесу блокчейна.

1. Нулевое доверие: Проще говоря, оставайтесь скептичными и всегда оставайтесь такими.
2. Непрерывная проверка безопасности: Чтобы доверять чему-то, нужно подтвердить то, в чем сомневаешься, и сделать подтверждение привычкой.

Примечание. Два приведенных выше правила безопасности являются основными принципами этого руководства, и все остальные принципы безопасности, упомянутые в этом руководстве, вытекают из них.

Ладно, это все для нашего знакомства. Давайте начнем с диаграммы и исследуем этот темный лес, чтобы увидеть, с какими рисками мы столкнемся и как нам следует с ними бороться.

Диаграмма

Вы можете просмотреть эту диаграмму, прежде чем более внимательно изучить остальную часть руководства. Все дело в ключевых действиях в этом мире (как бы вы его ни называли: блокчейн, криптовалюта или Web3), который состоит из трех основных процессов: создание кошелька, резервное копирование кошелька и использование кошелька.

Давайте проследим за этими тремя процессами и проанализируем каждый из них.

Создать кошелек

Ядром кошелька является закрытый ключ (или начальная фраза).

Вот как выглядит закрытый ключ:

0xa164d4767469de4faf09793ceea07d5a2f5d3cef7f6a9658916c581829ff5584

Кроме того, вот как выглядит исходная фраза:

жестокие выходные, пиковая точка, невинный, головокружительный, инопланетянин, использование, вызов, сарай, неправильное исправление

Примечание. В качестве примера мы используем Ethereum. Пожалуйста, проверьте более подробную информацию о закрытых ключах/начальной фразе самостоятельно.

Закрытый ключ — это ваша личность. Если закрытый ключ утерян/украден, вы потеряли свое имя. Существует множество известных приложений-кошельков, и в этом руководстве не рассматриваются все из них.

Однако я упомяну некоторые конкретные кошельки. Обратите внимание: упомянутым здесь кошелькам можно в некоторой степени доверять. Но я не могу гарантировать, что во время использования у них не возникнет никаких проблем с безопасностью или рисков, ожидаемых или нет (я не буду больше повторять. Всегда помните о двух основных правилах безопасности, упомянутых в прологе).

Классифицируются по приложениям: кошельки для ПК, кошельки с расширениями браузера, мобильные кошельки, аппаратные кошельки и веб-кошельки. С точки зрения подключения к Интернету их можно разделить на холодные и горячие кошельки. Прежде чем мы погрузимся в мир криптовалют, мы должны сначала подумать о назначении кошелька. Цель не только определяет, какой кошелек нам следует использовать, но и то, как мы его используем.

Независимо от того, какой кошелек вы выберете, одно можно сказать наверняка: после того, как у вас будет достаточно опыта в этом мире, одного кошелька будет недостаточно.

Здесь следует помнить еще об одном принципе безопасности: изоляция, т.е. не кладите все яйца в одну корзину. Чем чаще используется кошелек, тем выше риск. Всегда помните: пробуя что-то новое, сначала подготовьте отдельный кошелек и некоторое время опробуйте его с небольшой суммой денег. Даже такому ветерану криптовалюты, как я, если вы играете с огнем, вам легче обжечься.

Скачать

Звучит просто, но на самом деле это непросто. Причины следующие:

1. Многие люди не могут найти настоящий официальный сайт или подходящий магазин приложений и в конечном итоге устанавливают поддельный кошелек.
2. Многие люди не знают, как определить, было ли загруженное приложение подделано или нет.

Таким образом, у многих людей еще до того, как они вошли в мир блокчейна, их кошелек уже пуст.

Чтобы решить первую проблему, описанную выше, существует несколько способов найти правильный официальный сайт, например:

• с помощью Google
• используя известные официальные сайты, такие как CoinMarketCap
• расспрашивать доверенных людей и друзей

Вы можете сопоставить информацию, полученную из этих разных источников, и в конечном итоге истина будет только одна :) Поздравляем, вы нашли правильный официальный сайт.

Далее вам необходимо скачать и установить приложение. Если это кошелек для ПК, после скачивания с официального сайта, вам необходимо установить его самостоятельно. Перед установкой настоятельно рекомендуется проверить, не была ли подделана ссылка. Хотя эта проверка не может предотвратить случаи, когда исходный код был полностью изменен (из-за внутреннего мошенничества, внутреннего взлома или возможного взлома официального сайта и т. д.), однако она может предотвратить такие случаи, как частичное изменение исходного кода, атака «человек посередине» и т. д.

Методом проверки того, был ли файл подделан, является проверка целостности файла. Обычно есть два пути:

• Хэш-проверки: такие как MD5, SHA256 и т. д. MD5 работает в большинстве случаев, но все же существует небольшой риск коллизии хешей, поэтому мы обычно выбираем SHA256, который достаточно безопасен.
• Проверка подписи GPG: этот метод также очень популярен. Настоятельно рекомендуется освоить инструменты, команды и методы GPG. Хотя этот метод немного сложен для новичков, вы найдете его очень полезным, как только освоитесь с ним.

Однако в криптомире не так много проектов, обеспечивающих верификацию. Так что повезло найти такого. Например, вот биткойн-кошелек под названием Sparrow Wallet. На странице загрузки написано «Проверка выпуска», что действительно впечатляет, и для обоих методов, упомянутых выше, есть четкие рекомендации, поэтому вы можете использовать их для справки:

https://sparrowwallet.com/download/

На странице загрузки упоминаются два инструмента GPG:

• GPG Suite для MacOS.
• Gpg4win для Windows.

Если вы обратите внимание, вы обнаружите, что на страницах загрузки обоих инструментов GPG есть инструкции о том, как проверить согласованность обоих методов. Однако пошагового руководства нет, то есть нужно учиться и практиковаться самому:)

Если это кошелек расширения браузера, например MetaMask, единственное, на что вам нужно обратить внимание, это номер загрузки и рейтинг в интернет-магазине Chrome. MetaMask, например, имеет более 10 миллионов загрузок и более 2000 оценок (хотя общий рейтинг невысокий). Некоторые люди могут подумать, что количество загрузок и рейтинги могут быть завышены. Честно говоря, такое большое количество очень сложно подделать.

Мобильный кошелек аналогично кошельку расширения браузера. Однако следует отметить, что в App Store для каждого региона есть разные версии. Криптовалюта запрещена в материковом Китае, поэтому, если вы загрузили кошелек со своей китайской учетной записью App Store, есть только одно предложение: не используйте его, смените его на другую учетную запись в другом регионе, например, в США, а затем повторно загрузите. это. Кроме того, правильный официальный веб-сайт также приведет вас к правильному методу загрузки (например, imToken, Trust Wallet и т. д. Для официальных веб-сайтов важно поддерживать высокий уровень безопасности веб-сайта. Если официальный веб-сайт будет взломан, возникнут большие проблемы. ).

Если это аппаратный кошелек, настоятельно рекомендуется покупать его на официальном сайте. Не покупайте их в интернет-магазинах. Как только вы получите кошелек, вам также следует обратить внимание на то, является ли кошелек недействительным. Конечно, на упаковке есть какие-то махинации, которые трудно обнаружить. В любом случае при использовании аппаратного кошелька вам следует создать сид-фразу и адрес кошелька как минимум три раза с нуля. И следите, чтобы они не повторялись.

Если это веб-кошелек, мы настоятельно рекомендуем не использовать его. Если у вас нет выбора, убедитесь, что он подлинный, а затем используйте его экономно и никогда не полагайтесь на него.

Мнемоническая фраза

После создания кошелька ключевым моментом, с которым мы имеем дело непосредственно, является мнемоническая фраза/сид-фраза, а не приватный ключ, который легче запомнить. Существуют стандартные соглашения для мнемонических фраз (например, BIP39); вообще английских слов 12; это могут быть и другие числа (кратные 3), но не более 24 слов. В противном случае это слишком сложно и нелегко запомнить. Если количество слов меньше 12, защита ненадежна. Часто можно увидеть 12/15/18/21/24 слова. В мире блокчейнов 12 слов популярны и достаточно безопасны. Однако все еще существуют хардкорные аппаратные кошельки, такие как Ledger, которые начинаются с 24 слов. Помимо английских слов, также доступны некоторые другие языки, например китайский, японский, корейский и т. д. Вот список из 2048 слов для справки:

https://github.com/bitcoin/bips/blob/master/bip-0039/bip-0039-wordlists.md

При создании кошелька ваша сид-фраза уязвима. Помните, что вы не окружены людьми, веб-камерами или чем-либо еще, что может украсть вашу исходную фразу.

Также обратите внимание, генерируется ли сид-фраза случайным образом. Обычно известные кошельки могут генерировать достаточное количество случайных исходных фраз. Однако всегда следует быть осторожным. Трудно понять, что-то не так с кошельком. Будьте терпеливы, потому что развитие этих привычек может быть очень полезным для вашей безопасности. Наконец, иногда вы можете даже рассмотреть возможность отключения от Интернета для создания кошелька, особенно если вы собираетесь использовать его в качестве холодного кошелька. Отключение от Интернета всегда помогает.

Бесключевой доступ

Бесключевой доступ означает отсутствие закрытого ключа. Здесь мы разделяем Keyless на два основных сценария (для простоты объяснения. Такое разделение не является отраслевым стандартом)

• под стражей. Примерами являются централизованный обмен и кошелек, где пользователям нужно только зарегистрировать учетные записи и не владеть закрытым ключом. Их безопасность полностью зависит от этих централизованных платформ.
• без содержания под стражей. Пользователь имеет полномочия управления, подобные личному ключу, которые не являются фактическим секретным ключом (или исходной фразой). Он использует известные облачные платформы для хостинга и аутентификации/авторизации. Следовательно, безопасность облачной платформы становится наиболее уязвимой частью. Другие используют безопасные многосторонние вычисления (MPC) для устранения единой точки риска, а также сотрудничают с популярными облачными платформами, чтобы максимально повысить удобство работы пользователей.

Лично я использовал различные виды бесключевых инструментов. Централизованные биржи с глубокими карманами и хорошей репутацией обеспечивают лучший опыт. Если вы не несете личной ответственности за потерю токена (например, если информация вашей учетной записи была взломана), централизованные биржи обычно возмещают вашу потерю. Программа Keyless на базе MPC выглядит очень многообещающе, и ее следует продвигать. У меня хороший опыт работы с ZenGo, Fireblocks и Safeheron. Преимущества очевидны:

• Разработка алгоритмов MPC становится все более зрелой в известных блокчейнах, и ее необходимо выполнять только для закрытых ключей.
• Один набор идей может решить проблему того, что разные блокчейны имеют совершенно разные схемы мультиподписей, создавая единообразный пользовательский интерфейс, который мы часто называем: универсальная мультиподпись.
• Это может гарантировать, что настоящий закрытый ключ никогда не появится, и устранить единственную точку риска за счет расчета нескольких подписей.
• В сочетании с облаком (или технологией Web2.0) MPC не только безопасен, но и создает приятный опыт.

Однако все же есть некоторые недостатки:

• Не все проекты с открытым исходным кодом могут соответствовать принятым стандартам отрасли. Необходимо проделать больше работы.
• Многие люди в основном используют только Ethereum (или блокчейн на основе EVM). Таким образом, решения с несколькими подписями, основанного на подходе смарт-контрактов, такого как Gnosis Safe, достаточно.

В целом, независимо от того, какой инструмент вы используете, если вы чувствуете себя в безопасности, можете контролировать ситуацию и получаете хороший опыт, это хороший инструмент.

До сих пор мы рассмотрели то, что нам нужно знать относительно создания кошельков. Другие общие вопросы безопасности будут рассмотрены в последующих разделах.

Создайте резервную копию своего кошелька

Именно здесь многие хорошие руки попадают в ловушки, в том числе и я. Я не сделал резервную копию должным образом и знал, что рано или поздно это произойдет. К счастью, это был не кошелек с большим количеством активов, и друзья из SlowMist помогли мне его восстановить. Тем не менее, это был страшный опыт, который, я не думаю, кто-нибудь когда-либо захочет пережить. Так что пристегнитесь и давайте узнаем, как безопасно создать резервную копию вашего кошелька.

Мнемоническая фраза/закрытый ключ

Когда мы говорим о резервном копировании кошелька, мы, по сути, говорим о резервном копировании мнемонической фразы (или закрытого ключа. Для удобства в дальнейшем мы будем использовать мнемоническую фразу). Большинство мнемонических фраз можно разделить на следующие категории:

• Простой текст
• С паролем
• Мультиподпись
• Секрет Шамира, или сокращенно SSS

Кратко расскажу о каждом типе.

Простой текст, Простой текст легко понять. Если вы знаете эти 12 английских слов, вы владеете активами в кошельке. Вы можете подумать о том, чтобы сделать особую перетасовку или даже заменить одно из слов чем-то другим. В обоих случаях хакерам будет сложнее взломать ваш кошелек, однако у вас будет большая головная боль, если вы забудете о правилах. Ваша память не пуленепробиваема. Поверьте, через несколько лет ваша память запутается. Несколько лет назад, когда я использовал аппаратный кошелек Ledger, я изменил порядок мнемонической фразы из 24 слов. Через несколько лет я забыл порядок и не был уверен, заменил ли я какое-нибудь слово. Как упоминалось ранее, моя проблема была решена с помощью специальной программы-взломщика кода, которая использует грубую силу, чтобы угадать правильную последовательность и слова.

С паролем, По стандарту мнемонические фразы могут иметь пароль. Это все та же фраза, но с паролем будет получена другая исходная фраза. Начальная фраза используется для получения серии закрытых ключей, открытых ключей и соответствующих адресов. Поэтому вам следует сохранить не только мнемонические фразы, но и пароль. Кстати, приватные ключи тоже могут иметь пароль и у него есть свои стандарты, такие как BIP 38 для биткоина и Keystore для эфириума.

МультиподписьКак следует из названия, для доступа к кошелькам требуются подписи нескольких человек. Это очень гибко, поскольку вы можете устанавливать свои собственные правила. Например, если у 3 человек есть ключ (мнемонические слова или закрытые ключи), вы можете потребовать, чтобы как минимум два человека подписались для доступа к кошелькам. Каждый блокчейн имеет свое собственное решение с мультиподписью. Большинство известных биткойн-кошельков поддерживают мультиподпись. Однако в Ethereum мультиподпись в основном поддерживается посредством смарт-контрактов, таких как Gnosis Safe. Кроме того, MPC, или Secure Multi-Party Computation, становится все более популярным. Он обеспечивает работу, аналогичную традиционной мультиподписи, но с использованием другой технологии. В отличие от мультиподписи, MPC не зависит от блокчейна и может работать со всеми протоколами.

ССС, Секретный обмен Шамира, SSS разбивает начальное число на несколько частей (обычно каждая доля содержит 20 слов). Чтобы восстановить кошелек, необходимо собрать и использовать определенное количество акций. Более подробную информацию можно найти в лучших отраслевых практиках ниже:

https://support.keyst.one/advanced-features/recovery-phrase/import-or-create-shamir-backup
https://wiki.trezor.io/Shamir_backup

Использование таких решений, как мультиподпись и SSS, даст вам душевное спокойствие и позволит избежать точечных рисков, но может сделать управление относительно сложным, и иногда в нем будут задействованы несколько сторон. Всегда есть компромисс между удобством и безопасностью. Решать каждый должен, но никогда не ленитесь в принципах.

Шифрование

Шифрование — это очень и очень широкое понятие. Не имеет значения, является ли шифрование симметричным, асимметричным или использует другие передовые технологии; до тех пор, пока зашифрованное сообщение может быть легко расшифровано вами или вашей командой экстренной помощи, но никто другой по прошествии десятилетий, это хорошее шифрование.

Основываясь на принципе безопасности «нулевого доверия», при резервном копировании кошельков мы должны предполагать, что любой шаг может быть взломан, включая физические среды, такие как сейф. Помните, что нет никого, кроме вас самих, кому можно полностью доверять. На самом деле, иногда вы даже не можете доверять себе, потому что ваши воспоминания могут исчезнуть или потеряться. Однако я не буду все время делать пессимистические предположения, иначе это приведет меня к нежелательным результатам.

При резервном копировании особое внимание следует уделять аварийному восстановлению. Основная цель аварийного восстановления — избежать единой точки риска. Что произойдет, если вас не будет или среда, в которой вы храните резервную копию, выйдет из строя? Поэтому для важных вещей должен быть специалист по аварийному восстановлению и должно быть несколько резервных копий.

Я не буду подробно останавливаться на том, как выбрать человека, ответственного за аварийное восстановление, потому что это зависит от того, кому вы доверяете. Я сосредоточусь на том, как делать множественные резервные копии. Давайте рассмотрим некоторые основные формы хранилищ резервных копий:

• Облако
• Бумага
• Устройство
• Мозг

Облако, Многие люди не доверяют резервному копированию в облаке, считая, что оно уязвимо для хакерских атак. В конце концов, все зависит от того, какая сторона – нападающая или обороняющаяся – приложит больше усилий как с точки зрения рабочей силы, так и с точки зрения бюджета. Лично я верю в облачные сервисы Google, Apple, Microsoft и т. д., потому что знаю, насколько сильны их команды безопасности и сколько они потратили на безопасность. Помимо борьбы с внешними хакерами, я также очень забочусь о внутреннем контроле рисков безопасности и защите личных данных. Те немногие поставщики услуг, которым я доверяю, справляются со своей работой в этих областях относительно лучше. Но нет ничего абсолютного. Если я выберу какой-либо из этих облачных сервисов для резервного копирования важных данных (например, кошельков), я обязательно зашифрую кошельки хотя бы еще раз.

Настоятельно рекомендую освоить GPG. Его можно использовать для «проверки подписи», и при этом он обеспечивает надежную безопасность шифрования и дешифрования. Вы можете узнать больше о GPG по адресу:

https://www.ruanyifeng.com/blog/2013/07/gpg.html

Хорошо, вы освоили GPG 🙂 Теперь, когда вы зашифровали соответствующие данные в своем кошельке (мнемоническая фраза или закрытый ключ) с помощью GPG в автономной защищенной среде, теперь вы можете перебросить зашифрованные файлы непосредственно в эти облачные сервисы и сохранить их там. Все будет хорошо. Но я должен напомнить вам: никогда не теряйте закрытый ключ от вашего GPG и не забывайте пароль закрытого ключа…

На этом этапе вы можете обнаружить, что этот дополнительный уровень безопасности довольно проблематичен: вам нужно изучить GPG и создать резервную копию закрытого ключа и паролей GPG. На самом деле, если вы выполнили все вышеупомянутые шаги, вы уже знакомы с этим процессом и не найдете его таким трудным или хлопотным. Я больше ничего не скажу, потому что практика ведет к совершенству.

Если вы хотите сэкономить немного усилий, есть еще одна возможность, но ее безопасность можно не учитывать. Я не могу точно измерить скидку, но иногда мне лениво использовать какие-то известные инструменты для помощи. Этот инструмент — 1Password. Последняя версия 1Password уже поддерживает прямое хранение данных, связанных с кошельком, таких как мнемонические слова, пароли, адреса кошельков и т. д., что удобно для пользователей. Другие инструменты (например, Bitwarden) могут добиться чего-то подобного, но они не так удобны.

Бумага, Многие аппаратные кошельки поставляются с несколькими качественными бумажными карточками, на которых вы можете записать свои мнемонические фразы (в открытом виде, SSS и т. д.). Помимо бумаги некоторые используют еще и стальные пластины (огнестойкие, водостойкие и коррозионностойкие, я их, конечно, не пробовал). Проверьте его после того, как скопируете мнемонические фразы, и, если все работает, поместите его в место, где вы чувствуете себя в безопасности, например, в сейф. Лично мне очень нравится использовать бумагу, потому что при правильном хранении она имеет гораздо более длительный срок службы, чем электроника.

Устройство, Это относится ко всем видам оборудования; электроника — это распространенный тип резервного копирования, например компьютер, iPad, iPhone или жесткий диск и т. д., в зависимости от личных предпочтений. Мы также должны подумать о безопасной передаче данных между устройствами. Я чувствую себя комфортно, используя одноранговые методы, такие как AirDrop и USB, где посреднику сложно перехватить процесс. Меня просто естественно беспокоит тот факт, что электронная техника может выйти из строя через пару лет, поэтому сохраняю привычку проверять устройство хотя бы раз в год. Есть некоторые повторяющиеся шаги (например, шифрование), о которых вы можете прочитать в разделе «Облако».

Мозг, Полагаться на свою память – это увлекательно. На самом деле у каждого есть свой «дворец памяти». Память не является чем-то загадочным, и ее можно научить работать лучше. Есть определенные вещи, которые действительно безопаснее с памятью. Полагаться ли исключительно на мозг – это личный выбор. Но обратите внимание на два риска: во-первых, память со временем тускнеет и может вызвать путаницу; другой риск заключается в том, что вы можете попасть в аварию. Я остановлюсь здесь и позволю вам изучить больше.

Теперь у вас есть резервная копия. Не шифруйте слишком много, иначе через несколько лет вы сами пострадаете. В соответствии с принципом безопасности «непрерывной проверки» ваши методы шифрования и резервного копирования, будь то чрезмерные или нет, должны проверяться постоянно, как регулярно, так и выборочно. Частота проверки зависит от вашей памяти, и вам не обязательно выполнять весь процесс. Если процесс правильный, частичная проверка также работает. Наконец, также необходимо обратить внимание на конфиденциальность и безопасность процесса аутентификации.

Хорошо, давайте сделаем глубокий вдох. Начало работы — самое сложное. Теперь, когда вы готовы, давайте войдем в этот темный лес 🙂

Как использовать свой кошелек

После того, как вы создали и создали резервную копию своих кошельков, возникает настоящая проблема. Если вы не часто перемещаете свои активы или почти не взаимодействуете с какими-либо смарт-контрактами DeFi, NFT, GameFi или Web3 (популярный термин, который часто упоминается в наши дни), ваши активы должны быть в относительной безопасности.

ПОД

Однако «относительно безопасно» не означает «полного отсутствия риска». Потому что «никогда не знаешь, что наступит раньше, завтрашний день или несчастный случай», верно? Почему это? Задумайтесь, откуда у вас криптовалюта? Оно не появилось из ниоткуда, верно? Вы можете столкнуться с AML (борьбой с отмыванием денег) во всех криптовалютах, которые вы получаете, в любое время. Это означает, что криптовалюта, которую вы держите в данный момент, может быть грязной, а если вам не повезет, то она может даже быть заморожена прямо на цепочке. Согласно публичным сообщениям, Tether однажды заморозил некоторые активы USDT по запросу правоохранительных органов. Список замороженных средств можно найти здесь.

https://dune.xyz/phabc/usdt—banned-addresses

Вы можете проверить, заблокирован ли адрес Tether, из контракта USDT.

https://etherscan.io/token/0xdac17f958d2ee523a2206206994597c13d831ec7#readContract

Используйте адрес целевого кошелька в качестве входного значения int isBlackListed для проверки. Другие сети, принимающие USDT, имеют аналогичный способ проверки.

Однако ваши BTC и ETH никогда не должны быть заморожены. Если это действительно произойдет однажды в будущем, вера в децентрализацию также потерпит крах. Большинство случаев заморозки криптовалютных активов, о которых мы слышали сегодня, на самом деле произошли на централизованных платформах (таких как Binance, Coinbase и т. д.), а не на блокчейне. Когда ваша криптовалюта остается на платформах централизованной биржи, вы фактически не владеете ни одной из них. Когда централизованные платформы блокируют вашу учетную запись, они фактически аннулируют ваше разрешение на торговлю или вывод средств. Идея заморозки может ввести в заблуждение новичков в этой области. В результате некоторые безрассудные средства массовой информации стали распространять всевозможные теории заговора о Биткойне.

Хотя ваши активы BTC и ETH не будут заморожены в блокчейне, централизованные биржи могут заморозить ваши активы в соответствии с требованиями AML, как только ваши активы будут переведены на эти платформы, и они будут вовлечены в любые открытые дела, над которыми работают правоохранительные органы.

Чтобы лучше избежать проблем с ПОД, всегда выбирайте в качестве контрагента платформы и лиц с хорошей репутацией. На самом деле существует несколько решений такого рода проблем. Например, в Ethereum почти все злодеи и люди, которые очень заботятся о своей конфиденциальности, используют Tornado Cash для смешивания монет. Я не буду больше углубляться в эту тему, поскольку большинство методов здесь используются для совершения зла.

Холодный кошелек

Существуют разные способы использования холодного кошелька. С точки зрения кошелька его можно рассматривать как холодный кошелек, если он не подключен к какой-либо сети. Но как им пользоваться, когда он офлайн? Во-первых, если вы просто хотите получать криптовалюту, в этом нет ничего страшного. Холодный кошелек может обеспечить отличные возможности при работе с кошельком только для просмотра, таким как imToken, Trust Wallet и т. д. Эти кошельки можно превратить в кошельки только для просмотра, просто добавив адреса целевых кошельков.

Если мы хотим отправить криптовалюту с помощью холодных кошельков, вот наиболее часто используемые способы:

• QR код
• USB
• Bluetooth

Для всего этого требуется специальное приложение (здесь оно называется Light App) для работы с холодным кошельком. Приложение Light будет доступно в сети вместе с вышеупомянутым кошельком только для просмотра. Как только мы поймем основополагающий принцип, мы сможем понять эти подходы. Основной принцип таков: в конечном итоге остается лишь выяснить, как транслировать подписанный контент в блокчейн. Подробный процесс выглядит следующим образом:

• Подписываемый контент передается приложением Light в холодный кошелек одним из этих способов.
• Подпись обрабатывается холодным кошельком, имеющим закрытый ключ, а затем передается обратно в приложение Light тем же способом.
• Приложение Light транслирует подписанный контент в блокчейн.

Поэтому независимо от того, какой метод используется: QR-код, USB или Bluetooth, он должен следовать описанному выше процессу. Конечно, детали могут отличаться в зависимости от разных методов. Например, QR-код имеет ограниченную информационную емкость, поэтому, если данные подписи слишком велики, нам придется разделить их.

Кажется, это немного хлопотно, но становится лучше, когда привыкаешь. Вы даже почувствуете полное чувство безопасности. Однако не считайте это 100% безопасным, потому что здесь все еще есть риски, и было много случаев тяжелых потерь из-за этих рисков. Вот точки риска:

• Целевой адрес перевода монеты не был тщательно проверен, в результате чего монета была передана кому-то другому. Люди иногда ленивы и небрежны. Например, в большинстве случаев они проверяют только несколько начальных и конечных битов адреса кошелька, а не полностью проверяют весь адрес. Это оставляет лазейку для плохих парней. Они запускают программы для получения адреса кошелька с теми же первыми и последними битами, что и желаемый целевой адрес, а затем заменяют целевой адрес для перевода монет на тот, который находится под их контролем, используя некоторые трюки.
• Монеты авторизованы на неизвестные адреса. Обычно авторизация — это механизм токенов смарт-контрактов Ethereum, функция «утверждения», где одним аргументом является целевой адрес авторизации, а другим — количество. Многие люди не понимают этот механизм, поэтому они могут авторизовать неограниченное количество токенов на целевой адрес, после чего целевой адрес получает разрешение на передачу всех этих токенов. Это называется санкционированной кражей монет, существуют и другие варианты этой техники, но я не буду подробно останавливаться на ней здесь.
• Некоторые подписи, которые кажутся неважными, на самом деле имеют сзади огромные ловушки, и я не буду сейчас в них углубляться, а объясню детали позже.
• Холодный кошелек, возможно, не предоставил достаточно необходимой информации, из-за чего вы проявляете небрежность и ошибочные суждения.

Все сводится к двум пунктам:

• Механизм безопасности взаимодействия с пользователем «Что видишь, то и подписываешь» отсутствует.
• Отсутствие соответствующих базовых знаний пользователя.

Горячий кошелек

По сравнению с холодным кошельком, горячий кошелек несет практически все риски, которые несет холодный кошелек. Плюс есть еще один: риск кражи секретной фразы (или приватного ключа). На этом этапе при использовании горячих кошельков необходимо учитывать больше вопросов безопасности, таких как безопасность среды выполнения. Если есть вирусы, связанные со средой выполнения, существует риск кражи. Существуют также горячие кошельки, имеющие определенные уязвимости, через которые можно напрямую украсть секретную фразу.

В дополнение к обычной функции перевода монет, если вы хотите взаимодействовать с другими DApps (DeFi, NFT, GameFi и т. д.), вам необходимо либо получить к ним доступ напрямую через собственный браузер, либо взаимодействовать с DApps, открытыми в браузере вашего ПК, через протокол WalletConnect.

Примечание. Ссылки на DApps в этом руководстве по умолчанию относятся к проектам смарт-контрактов, работающим на блокчейнах Ethereum.

По умолчанию такие взаимодействия не приводят к краже секретных фраз, если только нет проблем с самой конструкцией безопасности кошелька. Судя по нашим аудитам безопасности и истории исследований безопасности, существует риск кражи секретных фраз кошелька непосредственно вредоносным JavaScript на целевой странице. Однако это редкий случай, поскольку на самом деле это ошибка крайне низкого уровня, которую вряд ли допустит ни один известный кошелек.

Ничто из этого на самом деле не является моей настоящей заботой, с ними можно справиться для меня (и для вас тоже). Меня больше всего беспокоит/беспокоит вопрос: как каждая итерация известного кошелька гарантирует отсутствие вредоносного кода или бэкдора? Смысл этого вопроса ясен: я проверил, что текущая версия кошелька не имеет проблем с безопасностью и мне удобно ею пользоваться, но я не знаю, насколько безопасной будет следующая версия. В конце концов, ни у меня, ни у моей службы безопасности не может быть столько времени и сил для выполнения всех проверок.

Было несколько случаев кражи монет, вызванных вредоносным кодом или бэкдорами, описанными здесь, такими как CoPay, AToken и т. д. Вы можете найти конкретные инциденты самостоятельно.

В этом случае есть несколько способов сотворить зло:

• Когда кошелек работает, вредоносный код упаковывает и загружает соответствующую секретную фразу непосредственно на сервер, контролируемый хакером.
• Когда кошелек запущен и пользователь инициирует перевод, такая информация, как целевой адрес и сумма, тайно заменяется в серверной части кошелька, и пользователю ее трудно заметить.
• Искажение значений энтропии случайных чисел, связанных с генерацией секретных фраз, что делает их относительно простыми для расшифровки.

Безопасность – это вопрос невежества и знаний, и есть много вещей, которые можно легко проигнорировать или пропустить. Поэтому для кошельков, в которых хранятся важные активы, мое правило безопасности также простое: никаких простых обновлений, когда их достаточно.

Что такое безопасность DeFi

Когда мы говорим о DApp, это может быть DeFi, NFT или GameFi и т. д. Основы безопасности у них в основном одинаковы, но у них будут свои особенности. Давайте сначала возьмем DeFi в качестве примера для объяснения. Когда мы говорим о безопасности DeFi, что именно мы имеем в виду? Люди в отрасли почти всегда смотрят только на смарт-контракты. Кажется, когда смарт-контракты хороши, всё будет хорошо. Ну на самом деле это далеко не так.

Безопасность DeFi включает в себя как минимум следующие компоненты:

• Безопасность смарт-контрактов
• Безопасность Фонда Блокчейн
• Фронтенд-безопасность
• Безопасность связи
• Безопасность человека
• Финансовая безопасность
• Соблюдение требований безопасности

Безопасность смарт-контрактов

Безопасность смарт-контрактов действительно является наиболее важной точкой входа для аудита безопасности, а стандарты аудита безопасности SlowMist для смарт-контрактов можно найти по адресу:

https://www.slowmist.com/service-smart-contract-security-audit.html

Для продвинутых игроков, если безопасность самой части смарт-контракта контролируема (могут ли они проверять себя или понимать отчеты о проверке безопасности, выпущенные профессиональными организациями), то не имеет значения, безопасны ли другие части. Управляемость — сложная концепция, часть которой зависит от собственной силы игрока. Например, у игроков есть определенные требования в отношении риска, связанного с чрезмерными полномочиями смарт-контрактов. Если сам проект сильный и люди, стоящие за ним, имеют хорошую репутацию, полная централизация не будет иметь значения. Однако если вы поймете, что смарт-контракты проекта сопряжены с чрезмерным риском разрешений, особенно если такие разрешения могут также повлиять на вашу основную сумму или доходы, в отношении менее известных, спорных или новых проектов вы, безусловно, откажетесь.

Риск чрезмерного разрешения очень тонкий. Во многих случаях администратор проекта может осуществлять соответствующее управление и предотвращать непредвиденные риски. Но для пользователей это проверка человеческой натуры. Что, если команда решит творить зло? Таким образом, в отрасли существует компромиссная практика: добавление Timelock для снижения таких рисков чрезмерного разрешения, например:

Compound, признанный и известный проект DeFi, основные модули смарт-контрактов Comptroller и Governance, оба имеют механизм Timelock, добавленный к их разрешениям администратора:
Контроллер (0x3d9819210a31b4961b30ef54be2aed79b9c9cd3b)
Управление(0xc0da02939e1441f497fd74f78ce7decb17b66529)
Админу эти 2 модуля
Блокировка времени (0x6d903f6003cca6255d85cca4d3b5e5146dc33925)

Вы можете напрямую узнать по цепочке, что Timelock (переменная задержки) составляет 48 часов (172 800 секунд):

То есть, если администратору Compound необходимо изменить некоторые ключевые переменные целевого смарт-контракта, транзакция будет записана после ее инициации в блокчейне, но необходимо подождать 48 часов, прежде чем транзакция сможет быть завершена и выполнена. Это означает, что при желании вы можете проверить каждую операцию с помощью администратора, и у вас будет как минимум 48 часов на действия. Например, если вы не уверены, вы можете вывести свои средства в течение 48 часов.

Еще один способ снизить риск чрезмерного разрешения администратора — добавить мультиподпись, например, использовать Gnosis Safe для управления мультиподписью, чтобы, по крайней мере, не было диктатора. Здесь следует отметить, что мультисиг может быть «новой одеждой императора». Например, у одного человека может быть несколько ключей. Поэтому необходимо четко сформулировать стратегию мультиподписи целевого проекта. Кто владеет ключами, и личность каждого держателя ключей должна быть достоверной.

Здесь стоит отметить, что любая стратегия безопасности может привести к проблеме «новой одежды императора», которая может показаться хорошо продуманной, но на самом деле это не так, что приводит к иллюзии безопасности. Возьмем другой пример: Timelock хорошо выглядит на бумаге. На самом деле были случаи, когда Timelock, развернутый в некоторых проектах, имел бэкдоры. Как правило, пользователи не заглядывают в исходный код Timelock, и они не обязательно поймут его, даже если они это сделают, поэтому администратор помещает туда бэкдор, и никто не заметит это в течение достаточно долгого времени.

Помимо риска чрезмерного разрешения, критически важны и другие элементы безопасности смарт-контрактов. Однако я не буду здесь распространяться, учитывая предпосылки понимания. Вот мой совет: вам следует хотя бы научиться читать отчет об аудите безопасности, а практика приведет к совершенству.

Безопасность Фонда Блокчейн

Безопасность основы блокчейна относится к безопасности самого блокчейна, например, безопасность консенсусного реестра, безопасность виртуальных машин и т. д. Если безопасность самого блокчейна вызывает беспокойство, напрямую пострадают проекты смарт-контрактов, работающие в цепочке. Очень важно выбрать блокчейн с достаточным механизмом безопасности и репутацией, а лучше с более высокой вероятностью долговечности.

Фронтенд-безопасность

Безопасность внешнего интерфейса — это настоящий дьявол. Он слишком близок к пользователям, и обмануть пользователей особенно легко. Возможно, все основное внимание уделяется безопасности кошелька и смарт-контрактов, в результате чего безопасность внешнего интерфейса легко упускается из виду. Я хочу еще раз подчеркнуть, что безопасность интерфейса — это дьявол! Позвольте мне копнуть глубже.

Меня больше всего беспокоит вопрос безопасности внешнего интерфейса: как я узнаю, что контракт, с которым я взаимодействую с этой конкретной страницы внешнего интерфейса, является именно тем смарт-контрактом, который я ожидаю?

Эта неуверенность обусловлена главным образом двумя факторами:

• Внутренняя работа
• Третья сторона

Понять внутреннюю работу несложно. Например, разработчики тайно заменяют целевой адрес смарт-контракта на странице внешнего интерфейса адресом контракта, имеющим бэкдор, или внедряют фишинговый скрипт авторизации. Когда вы посещаете эту мошенническую страницу внешнего интерфейса, ряд последующих операций с криптовалютами в вашем кошельке может быть выполнен в ловушке. Прежде чем вы это осознаете, монеты уже исчезнут.

Третья сторона в основном относится к двум типам:

• Во-первых, это проникновение в цепочку зависимостей. Например, сторонняя зависимость, используемая страницей внешнего интерфейса, имеет бэкдор, который проникает на целевую страницу внешнего интерфейса вместе с упаковкой и выпуском. Ниже приведена структура зависимостей пакета SushiSwap (только для иллюстрации, это не обязательно означает, что проект на снимке экрана имеет такую проблему):
  

• Другой пример — сторонние удаленные файлы JavaScript, импортированные с внешней страницы. Если этот файл JavaScript взломан, возможно, что это затронет и целевую страницу внешнего интерфейса, например OpenSea (только для иллюстрации, это не обязательно означает, что проект на скриншоте имеет такую проблему):
  

Причина, по которой мы сказали, что это просто возможно, но не обязательно, заключается в том, что риск можно снизить, если разработчики ссылаются на сторонний удаленный файл JavaScript на странице внешнего интерфейса следующим образом:

<script src=”https://example.com/example-framework.js” целостности =”sha384-Li9vy3DqF8tnTXuiaAJuML3ky+er10rcgNR/VqsVpcw+ThHmYcwiB1pbOxEbzJr7″ crossorigin=”anonymous”>

Ключевым моментом здесь является хороший механизм безопасности HTML5: атрибут целостности в тегах (механизм SRI). целостность поддерживает SHA256, SHA384 и SHA512. Если сторонние файлы JavaScript не проходят проверку целостности хэша, файлы не будут загружены. Это может быть хорошим способом предотвратить непреднамеренное выполнение кода. Однако для использования этого механизма требуется, чтобы целевой ресурс поддерживал ответ CORS. Для получения более подробной информации см. следующее:

https://developer.mozilla.org/zh-CN/docs/Web/Security/Subresource_Integrity

Безопасность связи

Давайте сосредоточимся на безопасности HTTPS в этом разделе. Во-первых, целевой веб-сайт должен использовать HTTPS, а передача открытого текста HTTP никогда не должна быть разрешена. Это связано с тем, что передача открытого текста HTTP слишком проста, чтобы ее можно было перехватить атаками «человек посередине». В настоящее время HTTPS очень распространен как протокол безопасной передачи. Если на HTTPS произошла атака «человек посередине», и злоумышленники внедрили вредоносный JavaScript во внешний интерфейс веб-приложения, в браузере пользователя будет отображаться очень очевидное предупреждение об ошибке сертификата HTTPS.

Давайте воспользуемся инцидентом MyEtherWallet в качестве примера, чтобы проиллюстрировать этот момент.

MyEtherWallet раньше был очень популярным кошельком для веб-приложений, и до сих пор он все еще очень хорошо известен. Однако это уже не просто кошелек веб-приложения. Как упоминалось ранее, я настоятельно не рекомендую использовать кошельки веб-приложений по соображениям безопасности. Помимо различных проблем внешней безопасности, большой потенциальный риск представляет собой перехват HTTPS.

24 апреля 2018 г. произошел серьезный инцидент безопасности, связанный с перехватом HTTPS в MyEtherWallet. Резюме инцидента можно найти здесь:

https://www.reddit.com/r/MyEtherWallet/comments/8eloo9/official_statement_regarding_dns_spoofing_of/
https://www.reddit.com/r/ethereum/comments/8ek86t/warning_myetherwalletcom_highjacked_on_google/

В ходе атаки хакер взломал службу DNS (Google Public DNS), используемую большим количеством пользователей MyEtherWallet, через BGP, древний протокол маршрутизации, что напрямую привело к отображению предупреждений об ошибках HTTPS в браузере каждого пользователя, когда он пытался посетить Сайт MyEtherWallet. Фактически, пользователям следует остановиться, когда они увидят это предупреждение, поскольку оно, по сути, указывает на то, что целевая веб-страница была взломана. На самом деле, однако, многие пользователи просто быстро проигнорировали предупреждение и продолжили взаимодействие с взломанным сайтом, поскольку они вообще не понимали угрозу безопасности, связанную с предупреждением об ошибке HTTPS.

Поскольку целевая веб-страница была захвачена и хакер внедрил туда вредоносный JavaScript, при взаимодействии с пользователем хакеры успешно украли их открытый текстовый закрытый ключ и перевели свои средства (в основном ETH).

Это определенно классический случай, когда хакеры использовали методы перехвата BGP для кражи криптовалюты. Это просто перебор. После этого было еще несколько подобных случаев, и я не буду здесь о них подробно рассказывать. Пользователю есть только одна вещь, которая действительно требует внимания: если вы когда-нибудь решите использовать кошелек веб-приложения или попытаетесь взаимодействовать с DApp, всегда останавливайте и закрывайте страницу всякий раз, когда видите предупреждение об ошибке сертификата HTTPS! И с вашими средствами все будет в порядке. В сфере безопасности существует жестокая реальность: когда есть риск, не давайте пользователям никакого выбора. Как будто вы это сделаете, всегда найдутся пользователи, попавшие в ловушку по тем или иным причинам. Фактически, команда проекта должна взять на себя ответственность. На сегодняшний день уже существуют очень эффективные решения по обеспечению безопасности упомянутой выше проблемы перехвата HTTPS: команде проекта необходимо правильно настроить HSTS. HSTS означает строгую транспортную безопасность HTTP; это механизм политики веб-безопасности, поддерживаемый большинством современных браузеров. Если HSTS включен, в случае ошибки сертификата HTTPS браузер заставит пользователей прекратить доступ к целевым веб-приложениям, и ограничение невозможно будет обойти. Теперь вы понимаете, что я имею в виду?

Безопасность человеческой природы

Этот раздел легко понять. Например, команда проекта злонамеренна и действует нечестно. Я уже упоминал некоторые важные моменты в предыдущих разделах, поэтому здесь я не буду вдаваться в подробности. Подробнее будет рассказано в последующих разделах.

Финансовая безопасность

Финансовую безопасность следует глубоко уважать. В DeFi пользователи уделяют первостепенное внимание цене и доходности токенов. Они хотят получить более высокую или, по крайней мере, стабильную прибыль от инвестиций. Другими словами, как пользователь, я играю в игру, чтобы выиграть, а если я проиграю, то, по крайней мере, мне нужно убедиться, что это честная игра. Это просто человеческая природа.

Финансовая безопасность в DeFi подвержена атакам в форме:

• Нечестные методы запуска, такие как предварительный майнинг или предварительная продажа;
• Атака криптокитов;
• Насос и сброс;
• События «черного лебедя», такие как внезапный рыночный водопад; или, скажем, когда один протокол DeFi вложен или взаимодействует с другими DeFi/токенами, его безопасность/надежность будет сильно зависеть от других протоколов.
• Другие технические атаки или то, что мы называем научными методами, такие как опережение, сэндвич-атака, атаки с использованием мгновенного кредита и т. д.

Требования соответствия

Требование соответствия – очень большая тема, ранее упомянутая ПОД (борьба с отмыванием денег) – лишь один из пунктов. Существуют также такие аспекты, как KYC (Знай своего клиента), санкции, риски ценных бумаг и т. д. На самом деле для нас, пользователей, это не то, что находится под нашим контролем. Когда мы взаимодействуем с определенным проектом, поскольку в некоторых странах на него могут распространяться соответствующие правила, может собираться наша информация о конфиденциальности. Возможно, вас не волнуют такие вопросы конфиденциальности, но есть люди, которых это волнует.

Например, в начале 2022 года произошел небольшой инцидент: некоторые кошельки решили поддерживать протокол Address Ownership Proof Protocol (AOPP):

Я посмотрел на дизайн протокола и оказалось, что кошельки, поддерживающие AOPP, могут привести к утечке конфиденциальности пользователей. Регуляторы могут узнать о взаимосвязи между регулируемой криптобиржей и неизвестным адресом внешнего кошелька.

https://gitlab.com/aopp/address-ownership-proof-protocol

Неудивительно, что многие кошельки, ориентированные на конфиденциальность, так обеспокоены отзывами пользователей и быстро удалили поддержку AOPP из своих продуктов. Но если честно: дизайн протокола весьма интересен. Я заметил, что некоторые кошельки не планируют отказываться от поддержки AOPP, например EdgeWallet. По их мнению, AOPP не обязательно обеспечивает большую конфиденциальность пользователей, напротив, это помогает улучшить обращение криптовалюты. На многих регулируемых криптобиржах пользователям не разрешается выводить средства на определенный адрес внешнего кошелька, пока он не сможет доказать свое право собственности на него.

Известный аппаратный кошелек Trezor поначалу отказывался удалять поддержку AOPP. Но позже он был вынужден пойти на компромисс, и сделал это из-за давления со стороны сообщества и пользователей Твиттера.

Как видите, это такой незначительный инцидент, но для некоторых людей конфиденциальность действительно важна. Это не значит, что мы должны идти против правил и полностью игнорировать требования соответствия. На самом деле я считаю, что необходимо иметь определенный уровень компромисса с требованиями соответствия. Мы не будем продолжать глубоко углубляться в эту тему, вы можете переваривать содержание по-своему.

На данный момент мы рассмотрели большую часть контента в разделе «Безопасность DeFi».

Более того, существуют проблемы безопасности, возникающие из-за будущих дополнений или обновлений. Мы часто говорим: «Положение безопасности динамично, а не статично». Например, в настоящее время большинство проектных групп проводят аудит безопасности и предоставляют чистые отчеты по аудиту безопасности. Если вы когда-нибудь внимательно читали качественные отчеты, вы заметите, что в этих отчетах четко объясняются объем, сроки и уникальный идентификатор проверяемого содержимого (например, проверенный адрес смарт-контракта с открытым исходным кодом или адрес фиксации в репозитории GitHub, или хэш целевого файла исходного кода). То есть отчет статичный, но если в проекте вы заметили отклонения от того, что указано в отчете, вы можете указать на это.

NFT-безопасность

Все ранее упомянутое содержимое по безопасности DeFi может быть применено к безопасности NFT, а сам NFT имеет несколько очень конкретных и уникальных тем безопасности, например:

• Безопасность метаданных
• Безопасность подписи

Метаданные относятся главным образом к встроенному изображению, движущимся изображениям и другому контенту. Рекомендуется обратиться к OpenSea по конкретным стандартам:

https://docs.opensea.io/docs/metadata-standards

Здесь могут возникнуть две основные проблемы безопасности:

• Во-первых, URI, по которому находится изображение (или видеоролик), может быть ненадежным. Это может быть просто случайно выбранный централизованный сервис, с одной стороны нет гарантии доступности, с другой стороны, команда проекта может изменять изображения по своему желанию, таким образом NFT больше не станет неизменным «цифровым коллекционным предметом». Обычно рекомендуется использовать решения для централизованного хранения, такие как IPFS, Arweave, и выбирать общеизвестную службу шлюза URI.
• Другой вариант – это возможность утечки конфиденциальной информации. Случайно выбранная служба URI может собирать основную информацию пользователя (например, IP, пользовательский агент и т. д.).

Безопасность подписания является еще одной серьезной проблемой, и мы проиллюстрируем это ниже.

БУДЬТЕ ВНИМАТЕЛЬНЫ при подписании!

Безопасность подписей — это то, о чем я хочу упомянуть особо, поскольку здесь ТАК МНОГО подводных камней, и вам следует всегда быть осторожными. Было несколько инцидентов, особенно в сфере торговли NFT. Однако я заметил, что не так уж много людей понимают, как подготовиться к таким проблемам безопасности и справиться с ними. Основная причина в том, что лишь немногие люди когда-либо достаточно ясно выражали проблему.

Принцип № 1 и самый важный принцип безопасности подписи: То, что вы видите, это то, что вы подписываете. То есть сообщение в полученном вами запросе на подпись — это то, что вы должны ожидать после подписания. После того, как вы его подпишете, результат должен быть таким, как вы ожидали, а не тем, о чем вы пожалеете.

Некоторые подробности безопасности подписи упомянуты в разделе «Холодный кошелек». Если вы не помните, я бы посоветовал вам вернуться к этому разделу. В этом разделе мы сосредоточимся на других аспектах.

Примерно в 2022 году на OpenSea произошло несколько известных взломов NFT. 20 февраля 2022 года произошла крупная вспышка. Коренными причинами являются:

• Пользователи подписывали запросы на листинг NFT на OpenSea.
• Хакеры пытались получить соответствующие подписи от пользователей.

На самом деле хакерам нетрудно получить соответствующую подпись. Хакеру необходимо 1). создать сообщение, которое будет подписано, 2). хеш это, 3). обманом заставить целевого пользователя подписать запрос (это будет слепая подпись, что означает, что пользователи на самом деле не знают, что они подписывают), 4). получить подписанный контент и построить данные. На этом этапе пользователь был взломан.

В качестве примера я буду использовать Opensea (на самом деле это может быть ЛЮБАЯ торговая площадка NFT). После того, как целевой пользователь разрешает операцию листинга NFT на рынке, хакер создает сообщение для подписи. После хеширования с помощью Keccak256 на фишинговой странице появлялся запрос на подпись. Пользователи увидят что-то вроде следующего:

Посмотрите внимательно. Какую информацию мы можем получить из этого всплывающего окна MetaMask? Информация об учетной записи и баланс учетной записи, исходный веб-сайт, с которого поступает запрос на подпись, сообщение, которое пользователи собираются подписать, и… ничего больше. Как пользователи могли заподозрить, что катастрофа уже на подходе? И как они могли понять, что как только они нажмут кнопку «Подписать», их NFT будут украдены.

На самом деле это пример слепого подписания. Пользователям не требуется входить на торговую площадку NFT. Вместо этого пользователей можно обманом заманить на любой фишинговый веб-сайт, чтобы они подписали сообщение, не до конца понимая фактическое значение и последствия этих подписей. К сожалению, хакеры знают. Как пользователь, имейте в виду: НИКОГДА НИЧЕГО НЕ ПОДПИСЫВАЙТЕ СЛЕПОМ. Раньше у OpenSea была проблема со слепой подписью, и они исправили ее, приняв EIP-712 после 20 февраля 2022 года. Однако без слепой подписи пользователи все равно могли быть небрежными и быть взломанными другими способами.

Самая важная причина, почему это происходит, заключается в том, что подпись не ограничена политикой браузера в отношении одного и того же источника. Вы можете просто понять это так: политика одного и того же источника может гарантировать, что действие происходит только в определенном домене и не будет пересекать домены, если только команда проекта намеренно не захочет, чтобы произошло пересечение домена. Если подписание соответствует политике одного и того же источника, то даже если пользователь подписывает запрос на подпись, сгенерированный нецелевым доменом, хакеры не смогут использовать подпись для атак в целевом домене. На этом я остановлюсь, прежде чем углубляться в подробности. Я заметил новые предложения по улучшению безопасности на уровне протокола и надеюсь, что эту ситуацию можно будет улучшить как можно скорее.

Мы упомянули большинство основных форматов атак, которые могут произойти при подписании сообщения, но на самом деле вариантов довольно много. Независимо от того, насколько они разные, они следуют одним и тем же шаблонам. Лучший способ понять их — самостоятельно воспроизвести атаку от начала до конца или даже создать уникальные методы атаки. Например, упомянутая здесь атака с запросом подписи на самом деле содержит множество деталей, например, как создать подписываемое сообщение и что именно генерируется после подписания? Есть ли какие-либо способы авторизации, кроме «Approve» (да, например: raiseAllowance). Что ж, если мы расширимся здесь, это будет слишком технично. Хорошо, что вы уже должны понимать важность подписания сообщения.

Пользователи могут предотвратить такие атаки в источнике, отменив авторизацию/одобрение. Ниже приведены некоторые известные инструменты, которые вы можете использовать.

• Утверждения токенов

  https://etherscan.io/tokenapprovalchecker
  Это инструмент для проверки и отмены авторизации, предоставляемый официальным браузером Ethereum. Другие блокчейны, совместимые с EVM, имеют нечто подобное, поскольку их браузеры блокчейнов в основном разработаны Etherscan. Например:
  https://bscscan.com/tokenapprovalchecker
  https://hecoinfo.com/tokenapprovalchecker
  https://polygonscan.com/tokenapprovalchecker
  https://snowtrace.io/tokenapprovalchecker
  https://cronoscan.com/tokenapprovalchecker

• Отозвать.cash

  https://revoke.cash/
  Супер старая школа с хорошей славой и поддержкой нескольких сетей с растущей силой

• Расширенный кошелек Rabby

  https://rabby.io/
  Один из кошельков, с которым мы много сотрудничаем. Количество EVM-совместимых блокчейнов, в которых они предоставляют функцию «проверки и отмены авторизации», — самое большое, что я когда-либо видел.

⚠️Примечание: Если вы хотите получить более полное и глубокое понимание SIGNATURE SECURITY, ознакомьтесь с расширениями в следующих дополнениях к репозиторию в качестве справки:

https://github.com/evilcos/darkhandbook
Это правда, что знание SIGNATURE SECURITY довольно сложно для новичков. В репозитории собран соответствующий контент, и внимательное его чтение поможет вам усвоить знания в области безопасности. Таким образом, вам больше не будет сложно. (Если вы можете все прочитать и понять, я считаю, что знания по безопасности больше не будут для вас трудными 🙂

Будьте ОСТОРОЖНЫ с нелогичными запросами на подпись!

Отдельно хотелось бы отметить еще один риск: нелогичный риск.

Что такое контринтуитивно? Например, вы уже хорошо знакомы с Ethereum и стали разработчиком всех видов DeFi и NFT. Когда вы впервые войдете в экосистему Solana, вы, вероятно, столкнетесь с некоторыми похожими фишинговыми веб-сайтами. Вы можете чувствовать себя настолько хорошо подготовленным, что начинаете думать: «Я видел это тысячу раз в экосистеме Ethereum, и как меня можно было обмануть?»

А пока хакеры будут рады, ведь вас уже обманули. Люди следуют своим интуитивным чувствам, что делает их беспечными. Когда происходит нелогичная атака, люди попадают в ловушку.

Хорошо, давайте посмотрим на реальный случай, в котором использовалась нелогичность.

Прежде всего, предупреждение: фишинг авторизации на Solana гораздо более жестокий. Приведенный выше пример произошел 5 марта 2022 года. Злоумышленники пачками передавали пользователям NFT (рис. 1). Пользователи заходили на целевой сайт по ссылке в описании разброшенного NFT (www_officialsolanarares_net) и подключали свои кошельки (рис. 2). После того, как они нажали кнопку «Mint» на странице, выскочило окно одобрения (рис. 3). Обратите внимание, что в это время во всплывающем окне не было специального уведомления или сообщения. Как только они одобряют, все SOL в кошельке будут переведены.

Когда пользователи нажимают кнопку «Одобрить», они фактически взаимодействуют с вредоносными смарт-контрактами, развернутыми злоумышленниками: 3VtjHnDuDD1QreJiYNziDsdkeALMT6b2F9j3AXdL4q8v

Конечная цель этого вредоносного смарт-контракта — инициировать «SOL Transfer», который передает почти все SOL пользователя. Анализ сетевых данных показал, что фишинговое поведение продолжалось в течение нескольких дней, и число жертв продолжало расти в течение этого периода времени.

В этом примере есть два подводных камня, на которые нужно обратить внимание:

1. После того, как пользователь одобрит, вредоносный смарт-контракт может передать собственные активы пользователя (в данном случае SOL). Это невозможно на Ethereum. Фишинг авторизации в Ethereum может повлиять только на другие токены, но не на собственный актив ETH. Это нелогичная часть, которая может заставить пользователей снизить бдительность.
2. Самый известный кошелек на Солане, Phantom, имеет лазейки в механизме безопасности, из-за которых он не следует принципу «что видишь, то и подписываешь» (другие кошельки мы еще не тестировали) и не обеспечить достаточное предупреждение о рисках для пользователей. Это может легко создать «слепые зоны» безопасности, которые будут стоить монет пользователям.

Некоторые продвинутые методы атаки

На самом деле существует множество продвинутых методологий атак, но с точки зрения общественности они в большинстве случаев рассматриваются как фишинг. Однако некоторые из них не являются обычными фишинговыми атаками. Например:

https://twitter.com/Arthur_0x/status/1506167899437686784

Хакеры отправили фишинговое письмо с таким вложением:

Огромный риск стейблкоина (защищено).docx

Честно говоря, это привлекательный документ. Однако после открытия на компьютер пользователя будет имплантирован троян (обычно с помощью макроса Office или эксплойта 0day/1day), который обычно содержит следующие функции:

• Сбор всевозможных учетных данных, например, связанных с браузером, SSH и т. д. Таким образом, хакеры могут расширить свой доступ к другим службам целевого пользователя. Поэтому после заражения пользователям обычно рекомендуется очистить не только целевое устройство, но и соответствующие разрешения учетной записи.
• Кейлоггер, в частности нацеленный на тех, кто временно получает конфиденциальную информацию, такую как пароли.
• Сбор соответствующих скриншотов, конфиденциальных файлов и т. д.
• Если это программа-вымогатель, все файлы в целевой системе будут надежно зашифрованы и ждут, пока жертва заплатит выкуп, обычно в биткойнах. Но в данном случае это была не программа-вымогатель, имеющая более очевидное, шумное поведение и прямолинейные намерения.

Кроме того, трояны, нацеленные на криптоиндустрию, будут специально настроены для сбора конфиденциальной информации из известных кошельков или бирж с целью кражи средств пользователей. Согласно профессиональному анализу, вышеупомянутый троянец мог провести целенаправленную атаку на Metamask:

https://securelist.com/the-bluenoroff-cryptocurrency-hunt-is-still-on/105488/

Троянец подменяет MetaMask пользователя на поддельную маску с лазейками. MetaMask с бэкдором по сути означает, что любые средства, которые вы храните внутри, больше не ваши. Даже если вы используете аппаратный кошелек, эта поддельная MetaMask сможет украсть ваши средства, манипулируя адресом назначения или информацией о сумме.

Этот подход специально разработан для хорошо известных целей с известными адресами кошельков. Я заметил, что многие такие люди слишком высокомерны, чтобы защитить себя от взлома. После взлома многие извлекли уроки из этого урока, провели полные проверки, добились значительных улучшений, а также установили долгосрочное сотрудничество и дружбу с проверенными специалистами или агентствами по безопасности. Однако в этом мире всегда есть исключения. Некоторые люди или проекты продолжают подвергаться взлому снова и снова. Если бы каждый раз это происходило из-за чего-то, с чем никто раньше не сталкивался, я бы их очень уважал и называл пионерами. Высока вероятность, что со временем они добьются успеха. К сожалению, многие инциденты являются результатом очень глупых и повторяющихся ошибок, которых можно легко избежать. Я бы посоветовал держаться подальше от этих проектов.

Для сравнения, эти массовые фишинговые атаки вообще не являются всеобъемлющими. Злоумышленники подготавливали кучу похожих доменных имен и распространяли полезную нагрузку, покупая аккаунты, подписчиков и ретвиты в Твиттере или других социальных платформах. При правильном управлении многие попадут в ловушку. На самом деле в этом виде фишинговой атаки нет ничего особенного, и обычно злоумышленник просто жестоко заставляет пользователя авторизовать токены (включая NFT), чтобы передать их.

Существуют и другие виды продвинутых атак, например, с использованием таких методов, как XSS, CSRF, обратный прокси, чтобы сгладить процесс атаки. Я не буду подробно описывать их все здесь, за исключением одного особого случая (атака Cloudflare «Человек посередине»), который является одним из сценариев в обратном прокси. Были реальные атаки, которые привели к финансовым потерям с использованием этого чрезвычайно скрытного метода.

Проблема здесь не в том, что Cloudflare сам по себе злой или его взломали. Вместо этого скомпрометирована учетная запись Cloudflare команды проекта. Обычно процесс выглядит следующим образом: если вы используете Cloudflare, вы заметите этот модуль «Worker» на панели инструментов, официальное описание которого следующее:

Создание бессерверных приложений и мгновенное их развертывание по всему миру, обеспечивая превосходную производительность, надежность и масштабируемость. Подробную информацию см. https://developers.cloudflare.com/workers/

Я давно сделал тестовую страницу:

https://xssor.io/s/x.html

При посещении страницы появится всплывающее окно с сообщением:

xssor.io, захвачен Cloudflare.

Фактически, это всплывающее окно и даже все содержимое x.html не принадлежит самому документу. Все они предоставлены Cloudflare. Механизм показан ниже:

Фрагмент кода на скриншоте обозначается очень просто: если бы я был хакером и контролировал вашу учетную запись Cloudflare, я мог бы использовать Workers для внедрения произвольного вредоносного сценария на любую веб-страницу. Пользователям очень сложно понять, что целевая веб-страница была взломана и изменена, поскольку не будет никаких предупреждений об ошибках (например, об ошибке сертификата HTTPS). Даже команда проекта не сможет легко выявить проблему, не потратив огромное количество времени на проверку безопасности своих серверов и персонала. К тому времени, когда они поймут, что это Cloudflare Workers, потери уже могут быть значительными.

Cloudflare на самом деле хороший инструмент. Многие веб-сайты или веб-приложения будут использовать его в качестве брандмауэра веб-приложений, решения для защиты от DDoS, глобального CDN, обратного прокси-сервера и т. д. Поскольку существует бесплатная версия, у них большая клиентская база. Альтернативно есть такие сервисы, как Akaimai и т. д.

Пользователи должны обратить внимание на безопасность таких аккаунтов. Проблемы безопасности учетной записи возникают с развитием Интернета. Это настолько распространенная тема в мире, что о ней говорят почти все, но тем не менее из-за нее многие люди подвергаются взлому. Некоторые основные причины могут заключаться в том, что они не используют уникальный надежный пароль для важных сервисов (менеджеры паролей, такие как 1Password, в любом случае не так популярны), некоторые могут заключаться в том, что они не удосужились включить двухфакторную аутентификацию (2FA), или, может быть, они даже не знают об этой штуке. Не говоря уже о том, что для некоторых определенных сервисов пароли следует сбрасывать как минимум ежегодно.

Хорошо, это будет конец этого раздела. Вам нужно только понимать, что это действительно темный лес, и вам следует знать о как можно большем количестве атакующих методик. Увидев достаточно на бумаге, если вы хотя бы один или два раза попадались в ловушки, вы можете считать себя профессионалом в области безопасности (что в любом случае принесет вам пользу).

Традиционная защита конфиденциальности

Поздравляем, вы добрались до этой части. Традиционная защита конфиденциальности — старая тема: вот статья, которую я написал в 2014 году.

Вам нужно научиться нескольким приемам, чтобы защитить себя в эпоху нарушения конфиденциальности.
https://evilcos.me/yinsi.html

Перечитывая эту статью, хотя это была статья начального уровня в 2014 году, тем не менее, большинство советов в ней не устарели. Прочитав статью еще раз, я введу здесь кое-что новое: на самом деле защита конфиденциальности тесно связана с безопасностью. . Традиционная конфиденциальность является краеугольным камнем безопасности. В этом разделе указаны ваши личные ключи, которые являются частью конфиденциальности. Если краеугольные камни не закреплены, конфиденциальность краеугольных камней бессмысленна, тогда надстройка будет такой же хрупкой, как здание в воздухе.

Настоятельно рекомендуется использовать следующие два ресурса:

НАБЛЮДЕНИЕ САМООБОРОНА
СОВЕТЫ, ИНСТРУМЕНТЫ И ПАКТИКИ ДЛЯ БЕЗОПАСНОСТИ ОНЛАЙН-ОБЩЕНИЯ
https://ssd.eff.org/

НАБЛЮДЕНИЕ САМООБОРОНА — сокращение от SSD. Создан известным фондом Electronic Frontier Foundation (EFF), который специально выпустил соответствующие рекомендации, рассказывающие вам, как избежать наблюдения «большого брата» за вами в мире мониторинга Интернета, в том числе несколько полезных инструментов (таких как Tor, WhatsApp, Signal, ПГП и др.)

Руководство по конфиденциальности: Боритесь со слежкой с помощью инструментов шифрования и обеспечения конфиденциальности
https://www.privacytools.io/

На указанном выше веб-сайте представлен полный список инструментов. Он также рекомендует некоторые криптовалютные биржи, кошельки и т. д. Однако следует отметить, что я не использую очень многие инструменты, перечисленные на сайте, потому что у меня есть свой собственный путь. Таким образом, вы также должны развивать свой собственный путь, постоянно сравнивая и совершенствуясь.

Вот некоторые основные инструменты, которые я предлагаю вам использовать.

Операционная система

Windows 10 Edition (и более поздние версии) и macOS являются безопасными вариантами. Если у вас есть возможность, вы можете выбрать Linux, например Ubuntu, или даже системы, ориентированные на безопасность и конфиденциальность, такие как Tails или Whonix.

Что касается операционной системы, то самый простой принцип безопасности: обращайте пристальное внимание на обновления системы и применяйте их как можно скорее, когда они доступны. Далее идет способность освоить операционную систему. Люди могут спросить: чему же вам нужно научиться, чтобы освоить такую операционную систему, как Windows или MacOS? Разве это не просто щелканье? Ну, на самом деле этого далеко не достаточно. Для начинающих пользователей необходимо хорошее антивирусное программное обеспечение, такое как Kaspersky, BitDefender, и оба они доступны на MacOS.

И потом, не забывайте о безопасности загрузки, о которой я упоминал ранее. Вы устраните большую часть рисков, если не будете безрассудно загружать и устанавливать программы.

Затем подумайте, что вы будете делать, если ваш компьютер потеряется или украден. Наличие пароля для загрузки явно недостаточно. Если шифрование диска не включено, злоумышленники могут просто извлечь жесткий диск и получить данные внутри. Поэтому я советую включить шифрование диска для важных компьютеров.

https://docs.microsoft.com/en-us/windows/security/encryption-data-protection
https://support.apple.com/en-us/HT204837

У нас также есть мощные и легендарные инструменты, такие как VeraCrypt (бывший TrueCrypt). Если вам интересно, можете попробовать их:

https://veracrypt.fr/

Вы можете пойти еще дальше, чтобы включить пароль BIOS или прошивки. Я сделал это сам, но это полностью зависит от вашего собственного выбора. Просто помните: если вы это сделаете, запомните пароль очень четко, иначе никто никогда не сможет вам помочь. Мне посчастливилось попасть в кроличью нору раньше, что стоило мне ноутбука, криптовалюты и недели времени. С другой стороны, это также очень хороший опыт обучения.

Мобильный телефон

В настоящее время iPhone и Android — единственные две основные категории мобильных телефонов. Раньше я был большим поклонником BlackBerry, но со временем его слава померкла. Раньше меня очень беспокоила безопасность телефонов Android. С одной стороны, это все еще было на ранней стадии, с другой стороны, версии были очень фрагментированы, у каждого бренда была своя раздвоенная версия Android. Но сейчас дела значительно улучшились.

На мобильных телефонах нам также необходимо уделять внимание обновлениям безопасности и безопасности загрузки. Кроме того, обратите внимание на следующие моменты:

• Не делайте джейлбрейк и не рутируйте свой телефон, в этом нет необходимости, если вы не проводите соответствующее исследование безопасности. Если вы делаете это для пиратского программного обеспечения, это действительно зависит от того, насколько хорошо вы можете овладеть этими навыками.
• Не загружайте приложения из неофициальных магазинов приложений.
• Не делайте этого, если не знаете, что делаете. Не говоря уже о том, что в официальных магазинах приложений есть много поддельных приложений.
• Обязательным условием использования официальной функции синхронизации с облаком является то, что вы должны убедиться, что ваша учетная запись защищена, в противном случае, если учетная запись в облаке будет скомпрометирована, то же самое произойдет и с мобильным телефоном.

Лично я больше полагаюсь на iPhone. И вам понадобятся как минимум две учетные записи iCloud: одна в Китае и одна за рубежом. Они понадобятся вам для установки приложений с различными региональными ограничениями. (что звучит довольно странно, но добро пожаловать в реальность)

Сеть

Раньше проблемы сетевой безопасности были головной болью, но в последние годы уже наблюдаются значительные улучшения, особенно после массового принятия политики HTTPS Everywhere.

В случае продолжающейся атаки перехвата сети (атаки «человек посередине») будут выдаваться соответствующие предупреждения о системных ошибках. Но всегда есть исключения, поэтому, если у вас есть выбор, используйте более безопасный вариант. Например, не подключайтесь к незнакомым сетям Wi-Fi, если более популярная и безопасная сеть 4G/5G недоступна или нестабильна.

Браузеры

Самыми популярными браузерами являются Chrome и Firefox, в сфере криптографии некоторые также используют Brave. У этих хорошо известных браузеров сильная команда, и обновления безопасности будут выходить своевременно. Тема безопасности браузера очень обширна. Вот несколько советов, которые вам следует знать:

• Обновляйтесь как можно быстрее, не рискуйте.
• Не используйте расширение, если в этом нет необходимости. Если да, принимайте решения на основе отзывов пользователей, количества пользователей, поддержки компании и т. д., а также обращайте внимание на разрешение, которое оно запрашивает. Убедитесь, что вы установили расширение из официального магазина приложений вашего браузера.
• Несколько браузеров могут использоваться параллельно, и настоятельно рекомендуется выполнять важные операции в одном браузере, а для более рутинных, менее важных операций использовать другой браузер.
• Вот несколько известных расширений, ориентированных на конфиденциальность (таких как uBlock Origin, HTTPS Everywhere, ClearURLs и т. д.), попробуйте их.

В частности, в Firefox я также буду использовать легендарное древнее расширение NoScript, которое доказало свою эффективность в защите от вредоносных полезных нагрузок JavaScript. В настоящее время браузеры становятся все более безопасными, поскольку они добавляют поддержку таких вещей, как политика одного и того же происхождения, CSP, политика безопасности файлов cookie, заголовки безопасности HTTP, политика безопасности расширений и т. д. Таким образом, потребность в использовании такого инструмента, как NoScript, становится меньше и меньше, не стесняйтесь взглянуть, если интересно.

Менеджер паролей

Если вы еще не использовали менеджер паролей, то либо вы не знаете удобства его использования, либо у вас есть собственный надежный дворец памяти. Риск, связанный с памятью мозга, также упоминался ранее: один из них заключается в том, что время ослабит или нарушит вашу память; во-вторых, вы можете попасть в аварию. В любом случае я по-прежнему рекомендую вам использовать менеджер паролей, чтобы использовать память вашего мозга, используйте хорошо известный, такой как 1Password, Bitwarden и т. д.

Мне не нужно слишком подробно рассказывать об этой части, в Интернете так много соответствующих руководств, что начать легко, даже не нуждаясь в учебниках.

Вот что мне нужно вам напомнить:

• Никогда не забывайте свой мастер-пароль и храните данные своей учетной записи в безопасности, иначе все будет потеряно.
• Убедитесь, что ваша электронная почта безопасна. Если ваша электронная почта скомпрометирована, она может не поставить под угрозу конфиденциальную информацию в вашем менеджере паролей напрямую, но злоумышленники имеют возможность уничтожить ее.
• Я проверил безопасность упомянутых мною инструментов (таких как 1Password) и внимательно следил за соответствующими инцидентами безопасности, отзывами пользователей, новостями и т. д. Но я не могу гарантировать, что эти инструменты абсолютно безопасны, и никаких событий типа «черный лебедь» не произойдет. что когда-нибудь случится с ними в будущем.

Одна вещь, которую я действительно ценю, — это, например, введение и описание страницы безопасности 1Password.

https://1password.com/security/

На этой странице представлены концепции проектирования безопасности, соответствующие сертификаты конфиденциальности и безопасности, технические документы по проектированию безопасности, отчеты об аудите безопасности и т. д. Такой уровень прозрачности и открытости также облегчает необходимую проверку в отрасли. Все проектные команды должны извлечь из этого уроки.

Bitwarden делает еще один шаг вперед, поскольку его исходный код полностью открыт, включая серверную часть, поэтому каждый может проверять, проверять и вносить свой вклад. Теперь вы видите? Цель 1Password и Bitwarden очень ясна:

Я в полной безопасности и забочусь о конфиденциальности. Это говорю не только я сам, но и сторонние авторитеты. Не стесняйтесь проводить у меня аудит, и для того, чтобы облегчить ваши аудиты, я прилагаю много усилий, чтобы быть открытым, где это возможно. Если то, что я делаю, не соответствует тому, что я говорю, мне легко бросить вызов. И это называется уверенностью в безопасности.

Двухфакторная аутентификация

Говоря о безопасности вашей личности в Интернете, первый уровень опирается на пароли, второй уровень — на двухфакторную аутентификацию, а третий уровень — на способность управления рисками самого целевого проекта. Я не могу сказать, что двухфакторная аутентификация обязательна. Например, если вы используете децентрализованный кошелек, один уровень пароля достаточно раздражает (теперь они в основном поддерживают биометрическую идентификацию, такую как распознавание лиц или отпечатков пальцев, для улучшения пользовательского опыта), никто не хочет использовать второй фактор. Но на централизованной платформе вам придется использовать 2FA. Любой может получить доступ к централизованной платформе, и если ваши учетные данные будут украдены, ваша учетная запись будет взломана, и ваши средства будут потеряны. Напротив, пароль для вашего децентрализованного кошелька — это всего лишь локальная аутентификация, даже если хакер получит пароль, ему все равно потребуется получить доступ к устройству, на котором находится ваш кошелек.

Теперь вы видите различия? Некоторые известные инструменты двухфакторной аутентификации (2FA) включают в себя: Google Authenticator, Microsoft Authenticator и т. д. Конечно, если вы используете менеджер паролей (например, 1Password), он также поставляется с модулем 2FA. , что очень удобно. Всегда не забывайте делать резервные копии, потому что потеря 2FA может стать проблемой.

Кроме того, двухфакторная аутентификация также может представлять собой более широкое понятие. Например, когда для входа на целевую платформу используются идентификатор учетной записи и пароль, идентификатором нашей учетной записи обычно является адрес электронной почты или номер мобильного телефона. В настоящее время почтовый ящик или номер мобильного телефона можно использовать в качестве 2FA для получения кода подтверждения. Но уровень безопасности этого метода не так хорош. Например, если почтовый ящик взломан, SIM-карта взломана или сторонний сервис, используемый для отправки электронных писем и текстовых сообщений, взломан, то код подтверждения, отправленный платформой, также будет раскрыт.

Научный Интернет-серфинг

По политическим соображениям давайте не будем слишком много говорить об этом, а просто выберем одно из общеизвестных решений. Ситуация будет под большим контролем, если вы сможете создать собственное решение. В конце концов, наша отправная точка — это научный и безопасный доступ в Интернет.

Если вы не используете собственное решение, вы не можете полностью исключить возможность атаки «человек посередине». Как упоминалось ранее, ситуация с безопасностью в Интернете не так плоха, как раньше, особенно после массового принятия политики HTTPS Everywhere. Однако часть покоя может быть лишь поверхностью воды, а под поверхностью уже есть подводные течения, которые нелегко заметить. Честно говоря, у меня нет серебряной пули для этого. Создать собственное решение непросто, но оно того стоит. А если вы не можете, обязательно проверьте, используя несколько источников, и выберите авторитетный, который существует уже давно.

Электронная почта

Электронная почта является краеугольным камнем нашей веб-идентичности. Мы используем электронную почту, чтобы подписаться на множество услуг. Почти все службы электронной почты, которые мы используем, бесплатны. Кажется, что это воздух, и ты не думаешь, что он исчезнет. Что если однажды ваша служба электронной почты исчезнет, то все остальные службы, которые от нее зависят, окажутся в довольно неловкой ситуации. Эта экстремальная ситуация на самом деле не является невозможной, если происходят войны, стихийные бедствия и т. д. Конечно, если такие экстремальные ситуации произойдут, электронная почта будет для вас менее важна, чем выживание.

Когда дело доходит до поставщиков услуг электронной почты, вам следует выбирать среди технологических гигантов, таких как Gmail, Outlook или QQ Email. Так получилось, что мои предыдущие исследования безопасности охватывали эту область. Уровень безопасности этих почтовых ящиков достаточно хорош. Но все же вы должны быть осторожны с фишинговыми атаками по электронной почте. Вам не нужно иметь дело с каждым электронным письмом, особенно со встроенными ссылками и вложениями, в которых могут быть спрятаны трояны.

Если вы столкнетесь с весьма сложной атакой на ваших поставщиков услуг электронной почты, вы останетесь один на один.

Помимо почтовых сервисов этих технологических гигантов, если вас очень беспокоит конфиденциальность, вы можете взглянуть на эти два известных почтовых сервиса, обеспечивающих конфиденциальность: ProtonMail и Tutanota. Я предлагаю отделить эти частные почтовые ящики от повседневного использования и использовать их только для сервисов, требующих особого внимания к конфиденциальности. Вам также необходимо регулярно пользоваться бесплатными службами электронной почты, чтобы предотвратить блокировку ваших учетных записей из-за длительного бездействия.

Сим-карта

SIM-карта и номер мобильного телефона во многих случаях также являются очень важными базовыми идентификаторами, как и электронная почта. За последние годы крупнейшие операторы нашей страны проделали очень хорошую работу по обеспечению безопасности номеров мобильных телефонов. Например, существуют строгие протоколы безопасности и процессы проверки для аннулирования и повторного выпуска SIM-карт, и все они происходят на месте. Что касается атак на SIM-карты, позвольте мне привести пример:

В 2019.5 чья-то учетная запись Coinbase подверглась атаке SIM-порта (атаке с передачей SIM-карты) и, к сожалению, потеряла более 100 000 долларов США в криптовалюте. Процесс атаки примерно следующий:

Злоумышленник получил конфиденциальную информацию целевого пользователя с помощью социальной инженерии и других методов и обманом заставил оператора мобильной связи выдать ему новую SIM-карту, а затем легко завладел учетной записью Coinbase целевого пользователя через тот же номер мобильного телефона. Симку перенесли, что очень хлопотно. Очень неприятно, если злоумышленник передал вашу SIM-карту, поскольку в настоящее время многие онлайн-сервисы используют номер нашего мобильного телефона в качестве фактора прямой аутентификации или 2FA. Это очень централизованный механизм аутентификации, и номер мобильного телефона становится слабым местом.

Подробный анализ см.:

https://medium.com/coinmonks/the-most-expensive-lesson-of-my-life-details-of-sim-port-hack-35de11517124

Предложение защиты на самом деле простое: включить известное решение 2FA.

У SIM-карты есть еще один риск: то есть, если телефон будет потерян или украден, будет неловко, что злоумышленник сможет вынуть SIM-карту и воспользоваться ею. Вот что я сделал: Включите пароль SIM-карты (ПИН-код), чтобы каждый раз, когда я включаю телефон или использую SIM-карту в новом устройстве, мне нужно было вводить правильный пароль. Пожалуйста, обратитесь к Google за подробными инструкциями. От меня напоминание: не забудьте этот пароль, иначе будет очень хлопотно.

ГПГ

Многие элементы этой части были упомянуты в предыдущих разделах, и я хотел бы добавить сюда больше основных понятий: Иногда вы встретите похожие имена, такие как PGP, OpenPGP и GPG. Просто различайте их следующим образом:

• PGP, сокращение от Pretty Good Privacy, представляет собой коммерческое программное обеспечение для шифрования с 30-летней историей, которое сейчас находится под эгидой Symantec.
• OpenPGP — это стандарт шифрования, созданный на основе PGP.
• GPG, полное название — GnuPG, — это программное обеспечение для шифрования с открытым исходным кодом, основанное на стандарте OpenPGP.

Их ядра схожи, а с GPG вы совместимы с остальными. Здесь я еще раз настоятельно рекомендую: при шифровании безопасности не пытайтесь изобретать велосипед; GPG при правильном использовании может значительно повысить уровень безопасности!

Сегрегация

Основная ценность, лежащая в основе принципа безопасности сегрегации, — это принцип нулевого доверия. Вы должны понимать, что какими бы сильными мы ни были, рано или поздно нас взломают, независимо от того, будут ли это внешние хакеры, инсайдеры или мы сами. При взломе стоп-лосс должен быть первым шагом. Возможность остановить потери многие люди игнорируют, и именно поэтому их взламывают снова и снова. Основная причина заключается в отсутствии системы безопасности, особенно простых методов, таких как сегрегация.

Хорошая практика сегрегации может гарантировать, что в случае инцидентов безопасности вы потеряете только те, которые напрямую связаны с скомпрометированной целью, не затрагивая другие активы.

Например:

• Если вы хорошо применяете методы защиты паролей, то при взломе одной из ваших учетных записей тот же пароль не поставит под угрозу другие учетные записи.
• Если ваша криптовалюта не хранится под одним набором мнемонических чисел, вы не потеряете все, если когда-нибудь попадете в ловушку.
• Если ваш компьютер заражен, к счастью, это всего лишь компьютер, используемый для повседневных действий, и на нем нет ничего важного. Так что не паникуйте, поскольку переустановка компьютера решит большинство проблем. Если вы умеете использовать виртуальные машины, дела обстоят еще лучше, поскольку вы можете просто восстановить снимок. Хорошие инструменты виртуальных машин: VMware, Parallels.
• Подводя итог, вы можете иметь как минимум две учетные записи, два инструмента, два устройства и т. д. Невозможно полностью создать независимую виртуальную личность после того, как вы с ней ознакомитесь.

Ранее я уже упоминал более радикальное мнение: мы не должны защищать конфиденциальность, ее следует контролировать.

Причина этой точки зрения заключается в том, что в нынешней интернет-среде конфиденциальность действительно подверглась серьезной утечке. К счастью, в последние годы правила, касающиеся конфиденциальности, становятся все более широко принятыми, и люди уделяют им все больше и больше внимания. Действительно, все идет в правильном направлении. Но до этого, в любом случае, когда вы освоите перечисленные мной пункты знаний, вы сможете с легкостью контролировать свою конфиденциальность. В Интернете, если вы к этому привыкли, у вас может быть несколько виртуальных личностей, практически независимых друг от друга.

Безопасность человеческой природы

Человек всегда подвергается высочайшему и вечному риску. Есть цитата из «Задачи трех тел»: «Слабость и невежество не являются препятствиями для выживания, а высокомерие».

• Не будьте высокомерны: если вы думаете, что уже сильны, значит, вы в порядке. Не смотрите свысока на весь мир. В частности, не стоит слишком гордиться и думать, что вы сможете бросить вызов глобальным хакерам. Обучение не имеет конца, и существует еще много препятствий.
• Не жадничайте: во многих случаях жадность действительно является мотивацией двигаться вперед, но подумайте, почему такая хорошая возможность зарезервирована именно для вас?
• Не будьте импульсивны: импульсивность — это дьявол, который приведет вас в ловушки. Необдуманный поступок – это азартная игра.

В человеческой природе есть бесконечное количество вещей, о которых можно говорить, и вы не можете быть более осторожными. Пожалуйста, обратите особое внимание на следующие моменты и посмотрите, как злоумышленники пользуются слабостью человеческой натуры, используя различные удобные платформы.

Телеграмма

Я уже говорил, что Telegram — это самый большой даркнет. Я должен сказать, что людям нравится Telegram за его безопасность, стабильность и открытый дизайн. Но открытая культура Telegram привлекает и плохих парней: огромное количество пользователей, широкие возможности настройки функциональности, достаточно легкость создания всех видов бот-сервисов. В сочетании с криптовалютой реальный торговый опыт выходит далеко за рамки торговых площадок даркнета в Tor. И в нем слишком много рыб.

Обычно уникальный идентификатор учетных записей социальных сетей представляет собой что-то вроде имени пользователя или идентификатора пользователя, но злоумышленники могут полностью клонировать их. Некоторые социальные платформы имеют механизмы проверки учетной записи, например добавление синего значка V или чего-то еще. Публичные учетные записи в социальных сетях можно проверить по некоторым показателям, таким как количество подписчиков, опубликованный контент, взаимодействие с фанатами и т. д. С закрытыми учетными записями в социальных сетях немного сложнее. Приятно видеть, что в Telegram появилась функция «В каких группах мы вместе».

Там, где есть лазейки, которые можно использовать и получить значительную выгоду, там уже должна быть кучка плохих парней, такова человеческая природа.

В результате платформы социальных сетей полны фишинговых ловушек. Например: в групповом чате внезапно появился кто-то, похожий на официальную службу поддержки, и начал приватный чат (приватный чат Any2any — это функция Telegram, запрос на добавление в друзья не требуется), а затем вышел из классической тактики спам, рыбы клюют одну за другой.

Или злоумышленники могут пойти еще дальше и добавить вас в другую группу. Все участники покупают у вас фейк, но для вас это выглядит так реалистично. Мы называем эту технику групповым клонированием в подпольном обществе.

Это лишь основные методы манипулирования человеческой природой, передовые методы будут сочетаться с уязвимостями, и поэтому их труднее предотвратить.

Раздор

Discord — это новая и популярная социальная платформа/программа для обмена мгновенными сообщениями, созданная за последние два года. Основная функция — это серверы сообщества (а не концепция традиционного сервера), как сказано в официальном заявлении:

Discord — это бесплатное приложение для голосового, видео и текстового чата, которое используют десятки миллионов людей в возрасте от 13 лет для общения и общения со своими сообществами и друзьями.

Люди ежедневно используют Discord, чтобы обсуждать самые разные вещи: от художественных проектов и семейных поездок до домашних заданий и поддержки психического здоровья. Это дом для сообществ любого размера, но чаще всего им пользуются небольшие и активные группы людей, которые регулярно общаются.

Это выглядит великолепно, но требует довольно строгого стандарта безопасности. В Discord действуют определенные правила и политики безопасности, например:

https://discord.com/safety

К сожалению, большинство людей не потрудятся прочитать его внимательно. Более того, Discord не всегда сможет четко проиллюстрировать некоторые основные проблемы безопасности, потому что им придется надеть шляпу злоумышленника, что не всегда осуществимо.

Например:

Каковы ключевые методы атак при таком большом количестве краж NFT в Discord? Прежде чем мы это выясним, советы по безопасности Discord бесполезны.

Ключевой причиной многих проектов Discordhacks на самом деле является токен Discord, который является содержимым поля авторизации в заголовке HTTP-запроса. В Discord он существует уже очень давно. Хакеры, если они найдут способ получить этот токен Discord, смогут практически контролировать все привилегии целевого сервера Discord. То есть, если целью является администратор, учетная запись с административными привилегиями или бот Discord, хакеры могут делать все, что захотят. Например, анонсируя фишинговый сайт NFT, они заставляют людей думать, что это официальное объявление, и рыба клюнет на крючок.

Некоторые могут спросить, а что, если я добавлю двухфакторную аутентификацию (2FA) в свою учетную запись Discord? Абсолютно хорошая привычка! Но Discord Token не имеет никакого отношения к статусу вашей учетной записи 2FA. Как только ваша учетная запись будет взломана, вам следует немедленно изменить свой пароль Discord, чтобы сделать исходный токен Discord недействительным.

На вопрос о том, как хакеру получить Discord Token, мы выяснили как минимум три основных метода и постараемся подробно их объяснить в будущем. Для обычных пользователей многое можно сделать, но основные моменты таковы: не торопитесь, не жадничайте и проверяйте данные из нескольких источников.

«Официальный» фишинг

Плохие актеры умеют использовать ролевые игры, особенно официальную роль. Например, мы уже упоминали ранее о фальшивом методе обслуживания клиентов. Кроме того, в апреле 2022 года многие пользователи известного аппаратного кошелька Trezor получили фишинговые письма от trezor.us, который не является официальным доменом Trezor trezor.io. Существует небольшая разница в суффиксе доменного имени. Более того, следующие домены также распространялись посредством фишинговых писем.

https://suite.trẹzor.com

В этом доменном имени есть «изюминка». Посмотрите внимательно на букву ẹ, и вы обнаружите, что это не буква e. Сбивает с толку? На самом деле это Punycode, стандартное описание следующее:

Загрузочная кодировка Unicode для интернационализированных доменных имен в приложениях (IDNA) — это интернационализированная кодировка доменного имени, которая представляет ограниченный набор символов как в кодах Unicode, так и в ASCII.

Если кто-нибудь расшифрует trẹzor, оно будет выглядеть так: xn-trzor-o51b, это настоящее доменное имя!

Хакеры уже много лет используют Punycode для фишинга, еще в 2018 году некоторые пользователи Binance были скомпрометированы той же уловкой.

Подобные фишинговые сайты уже могут привести к падению многих людей, не говоря уже о более сложных атаках, таких как получение контроля над официальным почтовым ящиком или атаках с подделкой почты, вызванных проблемами конфигурации SPF. В результате источник письма выглядит точно так же, как официальный.

Если это мошеннический инсайдер, пользователь ничего не сможет сделать. проектные группы должны приложить немало усилий для предотвращения внутренних угроз. Инсайдеры — самый большой троянский конь, но им очень часто пренебрегают.

Проблемы конфиденциальности Web3

С ростом популярности Web3 появлялось все больше интересных или скучных проектов: вроде всевозможных инфраструктур Web3, социальных платформ и т. д. Некоторые из них провели массовый анализ данных и выявили различные поведенческие портреты целей, причем не только на блокчейне. стороне, но и на известных платформах Web2. Как только портрет появляется, целью становится практически прозрачный человек. Появление социальных платформ Web3 также может усугубить подобные проблемы конфиденциальности.

Подумайте об этом: когда вы играете со всеми этими вещами, связанными с Web3, такими как привязка подписей, взаимодействие по цепочке и т. д., вы отдаете больше своей конфиденциальности? Многие могут не согласиться, но по мере того, как многие детали соберутся вместе, вы получите более точную и полную картину: какие NFT вы предпочитаете собирать, к каким сообществам вы присоединились, в каких белых списках вы находитесь, с кем вы связаны, какие учетные записи Web2 вы обязаны знать, в какие периоды времени вы активны и так далее. Видите ли, блокчейн иногда ухудшает конфиденциальность. Если вы заботитесь о конфиденциальности, вам придется быть осторожным со всем, что появляется в последнее время, и сохранять хорошую привычку отделять свою личность.

На этом этапе, если закрытый ключ будет случайно украден, потеря будет не просто деньгами, но и всеми тщательно сохраняемыми правами и интересами Web3. Мы часто говорим, что закрытый ключ — это личность, и теперь у вас есть реальная проблема с идентификацией.

Никогда не испытывайте человеческую природу.

Блокчейн-махинации

Технология блокчейн создала совершенно новую индустрию. Независимо от того, называете ли вы это BlockFi, DeFi, криптовалютой, виртуальной валютой, цифровой валютой, Web3 и т. д., основой всего по-прежнему остается блокчейн. Большая часть ажиотажа была сосредоточена на финансовой деятельности, такой как криптоактивы, включая невзаимозаменяемые токены (или NFT, цифровые коллекционные предметы).

Индустрия блокчейна очень динамична и увлекательна, но существует слишком много способов творить зло. Особые характеристики блокчейна порождают некоторые довольно уникальные пороки, включая, помимо прочего, кражу криптовалюты, криптоджекинг, программы-вымогатели, торговлю в даркнете, атаки C2, отмывание денег, схемы Понци, азартные игры и т. д. Я составил карту связей еще в 2019 году. для справки.

https://github.com/slowmist/Knowledge-Base/blob/master/mindmaps/evil_blockchain.png

Тем временем команда SlowMist поддерживает и обновляет SlowMist Hacked — растущую базу данных о хакерской деятельности, связанной с блокчейном.

https://hacked.slowmist.io/

В этом руководстве представлено множество мер безопасности, и если вы можете применить их для собственной безопасности, поздравляю. Я не буду подробно останавливаться на махинациях с блокчейном. Если вам интересно, вы можете изучить это самостоятельно, что, безусловно, хорошо, тем более, что постоянно появляются новые виды мошенничества и мошенничества. Чем больше вы узнаете, тем лучше вы сможете защитить себя и сделать эту отрасль лучше.

Что делать, если вас взломали

Это только вопрос времени, когда вас в конечном итоге взломают. Так что же делать тогда? Я просто перейду прямо к делу. Следующие шаги не обязательно выполняются по порядку; бывают моменты, когда вам приходится ходить туда-сюда, но общая идея такова.

Сначала стоп-лосс

Стоп-лосс – это ограничение ваших потерь. Его можно разбить как минимум на два этапа.

• Фаза немедленных действий. Действуйте немедленно! Если вы видите, что хакеры передают ваши активы, не думайте больше. Просто поторопитесь и перенесите оставшиеся активы в безопасное место. Если у вас есть опыт ведения сделок, просто хватайте и бегите. В зависимости от типа актива, если вы можете заморозить свои активы в блокчейне, сделайте это как можно скорее; Если вы можете провести онлайн-анализ и обнаружить, что ваши активы переведены на централизованную биржу, вы можете связаться с их отделом контроля рисков.
• Фаза после действия. Как только ситуация стабилизируется, вам следует сосредоточиться на том, чтобы не было вторичных или третичных атак.

Защитите сцену

Когда вы обнаружите, что что-то не так, сохраняйте спокойствие и сделайте глубокий вдох. Не забудьте защитить место происшествия. Вот несколько предложений:

• Если авария произошла на компьютере, сервере или других устройствах, подключенных к Интернету, немедленно отключите сеть, оставив устройства включенными. Некоторые люди могут утверждать, что если это разрушительный вирус, то локальные системные файлы будут уничтожены им. Они правы, однако отключение поможет только в том случае, если вы сможете отреагировать быстрее, чем вирус…
• Если вы не в состоянии справиться с этим самостоятельно, лучшим выбором всегда будет ожидание, пока специалисты по безопасности займутся анализом.

Это действительно важно, поскольку к тому времени, когда мы приступили к анализу, мы довольно часто сталкивались с тем, что сцена уже была в беспорядке. Были даже случаи, когда ключевые доказательства (например, журналы, вирусные файлы) были очищены. Без хорошо сохранившегося места преступления это может крайне затруднить последующий анализ и отслеживание.

Анализ причин

Цель анализа причины — понять противника и составить портрет хакера. На этом этапе очень важен отчет об инциденте, который также называется отчетом о вскрытии. Отчет об инциденте и отчет о вскрытии относятся к одному и тому же.

Мы встретили очень много людей, которые обратились к нам за помощью после того, как их монеты были украдены, и многим из них было очень сложно ясно рассказать, что произошло. Им еще сложнее составить четкий отчет о происшествии. Но я думаю, что это можно практиковать, и было бы полезно обратиться к примерам. Хорошей отправной точкой может стать следующее:

• Резюме 1: Кто был замешан, когда это произошло, что произошло и каков был общий ущерб?
• Краткое описание 2: Адреса кошельков, связанные с потерей, адрес кошелька хакера, тип монеты, количество монеты. Это могло бы быть намного понятнее, если бы была всего одна таблица.
• Описание процесса: эта часть самая сложная. Вам нужно будет описать все аспекты инцидента со всеми подробностями, что полезно для анализа различного рода следов, связанных с хакером, и в конечном итоге получить по ним портрет хакера (включая мотивацию).

Когда дело доходит до частных случаев, шаблон будет гораздо сложнее. Иногда человеческая память также может быть ненадежной, и имеет место даже преднамеренное сокрытие ключевой информации, что может привести к напрасной трате времени или задержке времени. Таким образом, на практике потребление будет огромным, и нам нужно использовать наш опыт, чтобы хорошо руководить работой. Наконец, мы составляем отчет об инциденте с участием человека или команды, потерявших монеты, и продолжаем обновлять этот отчет об инциденте.

Отслеживание источника

Согласно закону Рокки, где есть вторжение, там есть и след. Если мы будем исследовать достаточно тщательно, мы всегда найдем некоторые подсказки. Процесс расследования фактически представляет собой судебно-медицинскую экспертизу и отслеживание источников. Мы будем отслеживать источники в соответствии с портретом хакера, полученным в результате криминалистического анализа, и постоянно дополнять его, что является динамичным и итеративным процессом.

Трассировка источника состоит из двух основных частей:

• Внутрисетевой интеллект. Мы анализируем активность активов адресов кошельков, например, посещение централизованных бирж, миксеров монет и т. д., отслеживаем ее и получаем оповещения о новых переводах.
• Внесетевой интеллект: эта часть охватывает IP-адрес хакера, информацию об устройстве, адрес электронной почты и дополнительную информацию, основанную на корреляции этих связанных точек, включая информацию о поведении.

На основе этой информации проводится множество работ по отслеживанию источников, и это даже потребует участия правоохранительных органов.

Заключение дел

Конечно, мы все хотим счастливого конца, и вот несколько примеров публично раскрытых событий, в которых мы участвовали и которые дали хорошие результаты:

• Lendf.Me, Стоимость $25 млн.
• SIL Finance, стоимость $12,15 млн.
• Poly Network, стоимость $610 миллионов

Мы сталкивались со многими другими неопубликованными случаями, которые закончились хорошими или удовлетворительными результатами. Однако у большинства из них были плохие концовки, что весьма прискорбно. Мы приобрели много ценного опыта в этих процессах и надеемся повысить процент хороших концовок в будущем.

Эта часть кратко упоминается, как указано выше. Существует огромное количество знаний, связанных с этой областью, и с некоторыми из них я не совсем знаком. Поэтому я не буду здесь давать подробное объяснение. В зависимости от сценария нам необходимо освоить следующие способности:

• Анализ безопасности смарт-контрактов и криминалистика
• Анализ и экспертиза внутрисетевых переводов средств
• Анализ веб-безопасности и криминалистика
• Анализ безопасности и криминалистика Linux-сервера
• Анализ безопасности Windows и криминалистика
• Анализ безопасности и криминалистика macOS
• Анализ и криминалистика мобильной безопасности
• Анализ вредоносного кода и судебная экспертиза
• Анализ безопасности и криминалистика сетевых устройств или платформ
• Анализ внутренней безопасности и криминалистика
• …

Он охватывает почти все аспекты безопасности, как и данное руководство. Однако эти моменты безопасности упоминаются здесь лишь вкратце в качестве вводного руководства.

Заблуждение

С самого начала это руководство призывает вас сохранять скептицизм! Сюда входит все, что здесь упомянуто. Это чрезвычайно динамичная и перспективная индустрия, полная всевозможных ловушек и хаоса. Здесь давайте взглянем на некоторые заблуждения, которые, если принять их за истину, могут легко заставить вас попасть в ловушки и стать частью самого хаоса.

Кодекс – это закон

Кодекс – это закон. Однако, когда проект (особенно связанный со смарт-контрактами) подвергается взлому или повреждению, ни одна жертва никогда не захочет, чтобы «Кодекс — это закон», и оказывается, что им все равно приходится полагаться на закон в реальном мире.

Не ваши ключи, не ваши монеты

Если у вас нет ключей, у вас нет и монет. На самом деле, многие пользователи не смогли должным образом управлять своими закрытыми ключами. Из-за различных нарушений безопасности они даже теряют свои криптоактивы. Иногда вы обнаружите, что на самом деле безопаснее разместить свой криптоактив на крупных и авторитетных платформах.

Мы доверяем блокчейну

Мы доверяем ему, потому что это блокчейн. Фактически, сам блокчейн способен решить многие фундаментальные проблемы доверия, поскольку он защищен от несанкционированного доступа, цензуры и т. д.; если мой актив и связанные с ним действия находятся в цепочке, я по умолчанию могу быть уверен, что никто другой не сможет забрать мой актив или вмешиваться в мою деятельность без разрешения. Однако реальность зачастую сурова: во-первых, не каждый блокчейн способен достичь этих фундаментальных показателей, а во-вторых, человеческая природа всегда становится самым слабым звеном. Многие современные методы взлома выходят за рамки воображения большинства из нас. Хотя мы всегда говорим, что атака и защита — это баланс между затратами и воздействием, если у вас нет большого актива, ни один хакер не будет тратить время, чтобы нацелиться на вас. Но когда таких целей, как вы, несколько, хакерам будет очень выгодно начать атаку.

Мой совет по безопасности очень прост: не доверяйте по умолчанию (то есть ставьте под сомнение все по умолчанию) и проводите постоянную проверку. Проверка — это ключевое действие по обеспечению безопасности, а непрерывная проверка, по сути, означает, что безопасность никогда не находится в статичном состоянии: то, что она безопасна сейчас, не означает, что она будет безопасна завтра. Навык правильной проверки является, таким образом, самой большой проблемой для всех нас, но это довольно интересно, так как в процессе вы сможете овладеть большим количеством знаний. Когда вы достаточно сильны, никто не сможет легко причинить вам вред.

Криптографическая безопасность — это безопасность

Криптография мощна и важна. Без всей тяжелой работы криптографов, всех надежных криптографических алгоритмов и инженерных реализаций не будет современных коммуникационных технологий, Интернета или технологии блокчейн. Однако некоторые люди считают криптографическую безопасность абсолютной безопасностью. И тут возникает куча странных вопросов:

Разве блокчейн не настолько безопасен, что для взлома закрытого ключа потребовались триллионы лет? Как ФБР смогло расшифровать биткойн даркнета? С какой стати NFT Джея Чоу могли украсть?

Я могу вынести эти вопросы новичка… чего я не могу вынести, так это того факта, что многие так называемые профессионалы в области безопасности используют концепции криптографической безопасности, чтобы обмануть общественность, они упоминают такие термины, как шифрование военного уровня, лучшее в мире шифрование, космическое Шифрование уровня, абсолютная безопасность системы, невозможность взлома и т. д.

Хакеры? Им плевать…

Унизительно ли быть взломанным?

Это правда, что взлом может вызвать смешанные чувства, иногда возникает чувство стыда. Но нужно понимать, что взлом практически гарантирован 100%, поэтому стыдиться нечего.

Если вас взломали, не имеет значения, несете ли вы ответственность только за себя. Однако, если вы несете ответственность за многих других, вы должны быть прозрачными и открытыми, когда имеете дело с инцидентом.

Хотя люди могут подвергнуть сомнению или даже обвинить вас в организации взлома самостоятельно, прозрачный и открытый процесс обновления всегда принесет удачу и понимание.

Подумайте об этом так: если ваш проект малоизвестен, никто вас не взломает. Позор не в том, что его взломали; позор - это ваше высокомерие.

С точки зрения вероятности, взлом — обычное явление. Обычно большинство проблем безопасности — это всего лишь небольшие проблемы, которые могут помочь вашему проекту развиваться. Тем не менее, серьезных проблем по-прежнему следует избегать, насколько это возможно.

Немедленно обновить

В этом руководстве неоднократно предлагается обратить внимание на обновление. Если доступно обновление безопасности, немедленно установите его. Теперь подумайте хорошенько, является ли это серебряной пулей?

На самом деле, в большинстве случаев «обновить сейчас» — правильный вариант. Однако в истории бывали случаи, когда обновление решало одну проблему, но создавало другую. Примером является iPhone и Google Authenticator:

Существует риск нового обновления iOS 15, то есть информация в Google Authenticator может быть стерта или удвоена после обновления iPhone. В этом случае никогда не удаляйте повторяющиеся записи, если обнаружите, что они дублируются, так как это может привести к потере всей информации в Google Authenticator после повторного открытия.

Тем, кто не обновился до системы iOS 15 и использует Google Authenticator, настоятельно рекомендуется сделать резервную копию перед обновлением.

Позже Google обновил приложение Authenticator, навсегда решив эту проблему.

Кроме того, я не рекомендую часто обновлять кошельки, особенно кошельки с большим количеством активов, если только не существует серьезного исправления безопасности или очень важной функции, которая приводит к неизбежному обновлению. в каких случаях вам придется провести собственную оценку риска и принять собственное решение.

Заключение

Напомним, что это руководство начинается с этой диаграммы 🙂

Вы заметили, что я отметил красным человека на диаграмме? Я делаю это, чтобы еще раз напомнить всем, что люди являются основой всего (в космологии это называется «антропным принципом»). Неважно, безопасность ли это природы человека или умение овладеть навыками безопасности, все зависит от вас. Да, когда ты достаточно силен, никто не сможет легко причинить тебе вред.

Я начал расширяться на основе диаграммы и объяснил многие ключевые моменты безопасности в трех процессах: создании кошелька, резервном копировании кошелька и использовании кошелька. Затем я представил традиционную защиту конфиденциальности. Я заявил, что такие традиционные технологии являются краеугольными камнями и строительными блоками, позволяющими нам оставаться в безопасности в экосистемах блокчейнов. Безопасность человеческой природы не может быть переоценена. Полезно узнать больше о различных способах творения зла, особенно если вы зайдете в яму, знание безопасности на бумаге может в конечном итоге стать вашим опытом в области безопасности. Абсолютной безопасности не существует, поэтому я объяснил, что делать, если вас взломали. Я не хочу, чтобы с вами случилось несчастье, но если оно произойдет, я надеюсь, что это руководство сможет вам помочь. Последнее, что стоит сказать о некоторых заблуждениях. Мое намерение очень простое: я надеюсь, что вы сможете развить собственное критическое мышление, потому что мир одновременно прекрасен и ужасен.

Я давно не писал столько слов. Кажется, последний раз это было лет 10 назад, когда я писал книгу «Веб-сайт«. Это было довольно горько-сладко. После многих лет работы в области веб-безопасности и кибербезопасности я возглавил команду по созданию ZoomEye, поисковой системы в киберпространстве. В сфере кибербезопасности я пробовал себя во многих областях, и лишь в некоторых из них я могу сказать, что обладаю навыками.

Сейчас в области безопасности блокчейна мы с SlowMist считаемся пионерами. За эти годы мы столкнулись с таким количеством случаев, что можно почти подумать, что мы каждый божий день находимся в состоянии транса. Жаль, что многие идеи не записываются и не делятся. И в результате по настоянию нескольких друзей на свет появилось это руководство.

Когда вы закончите читать это руководство, вам необходимо попрактиковаться, стать опытным и сделать выводы. Когда впоследствии у вас появится собственное открытие или опыт, я надеюсь, вы внесете свой вклад. Если вы считаете, что существует конфиденциальная информация, вы можете замаскировать ее или анонимизировать информацию.

Наконец, благодаря глобальной зрелости законодательства и правоприменения в области безопасности и конфиденциальности; благодаря усилиям всех новаторов-криптографов, инженеров, этических хакеров и всех, кто участвует в создании лучшего мира, включая Сатоши Накамото.

Приложение

Правила и принципы безопасности

Правила и принципы безопасности, упомянутые в этом руководстве, резюмируются следующим образом. В приведенный выше текст включено немало правил, которые здесь не будут конкретно уточняться.

Два основных правила безопасности:

• Нулевое доверие. Проще говоря, оставайтесь скептичными и всегда оставайтесь такими.
• Непрерывная проверка. Чтобы доверять чему-то, вы должны подтвердить то, в чем сомневаетесь, и сделать подтверждение привычкой.

Принципы безопасности:

• За всеми знаниями из Интернета обращайтесь как минимум к двум источникам, подтверждайте друг друга и всегда сохраняйте скептицизм.
• Разделить. Не кладите все яйца в одну корзину.
• Для кошельков с важными активами не делайте ненужных обновлений.
• Вы подписываете то, что видите. Вам необходимо знать, что вы подписываете, и ожидаемый результат после отправки подписанной транзакции. Не делайте того, о чем потом будете сожалеть.
• Обратите внимание на обновления безопасности системы. Применяйте их, как только они станут доступны.
• Не загружайте и не устанавливайте программы безрассудно, это может предотвратить большинство рисков.

Авторы

Благодаря авторам этот список будет постоянно обновляться, и я надеюсь, что вы сможете связаться со мной, если у вас есть какие-либо идеи для этого руководства.

Потому что, Твиттер(@evilcos)、即刻(@余弦.jpg)

Авторы

Моя жена SlowMist, Twitter (@SlowMist_Team), например, Pds, Johan, Kong, Kirk, Thinking, Blue, Lisa, Keywolf... Приложение Jike Некоторые анонимные друзья... Подробнее: https://darkhandbook.io/contributors.html

Если ваш вклад будет принят для включения в это руководство, вы будете добавлены в список участников.

Например: предоставлены конкретные предложения или случаи защиты безопасности; участвовал в переводческой работе; исправлены более крупные ошибки и т. д.

Официальные сайты

SlowMist https://www.slowmist.com CoinMarketCap https://coinmarketcap.com/ Кошелек Sparrow https://sparrowwallet.com/ MetaMask https://metamask.io/ imToken https://token.im/ Trust Wallet https ://trustwallet.com/ Gnosis Safe https://gnosis-safe.io/ ZenGo https://zengo.com/ Fireblocks https://www.fireblocks.com/ Safeheron https://www.safeheron.com/ Keystone https://keyst.one/ Trezor https://trezor.io/ Rabby https://rabby.io/ EdgeWallet https://edge.app/ MyEtherWallet https://www.myetherwallet.com/ Phantom https: //phantom.app/ Tornado Cash https://tornado.cash/ Binance https://www.binance.com/ Coinbase https://coinbase.com Compound https://compound.finance/ SushiSwap https://www .sushi.com/ OpenSea https://opensea.io/ Revoke.cash https://revoke.cash/ APPROVED.zone https://approved.zone/ 即刻 https://okjike.com/ Kaspersky https:// www.kaspersky.com.cn/ Bitdefender https://www.bitdefender.com/ Cloudflare https://www.cloudflare.com/ Akamai https://www.akamai.com/ НАБЛЮДЕНИЕ САМОЗАЩИТА https://ssd .eff.org/ Руководство по конфиденциальности https://www.privacytools.io/ OpenPGP https://www.openpgp.org/ GPG https://gnupg.org/ GPG Suite https://gpgtools.org/ Gpg4win https: //www.gpg4win.org/ 1Password https://1password.com/ Bitwarden https://bitwarden.com/ Google Authenticator https://support.google.com/accounts/answer/1066447 Microsoft Authenticator https://www .microsoft.com/en-us/security/mobile-authenticator-app ProtonMail https://protonmail.com/ Tutanota https://tutanota.com/ VMware Workstation https://www.vmware.com/products/workstation- pro.html Parallels https://www.parallels.com/