AIN:慢霧科技創始人余弦：區塊鏈黑暗森林自救手冊_區塊鏈的五大應用領域

前言

區塊鏈是個偉大的發明，它帶來了某些生產關系的變革，讓「信任」這種寶貴的東西得以部分解決。但，現實是殘酷的，人們對區塊鏈的理解會存在許多誤區。這些誤區導致了壞人輕易鉆了空子，頻繁將黑手伸進了人們的錢包，造成了大量的資金損失。這早已是黑暗森林。基于此，慢霧科技創始人余弦傾力輸出——區塊鏈黑暗森林自救手冊。

本手冊大概3萬7千字，由于篇幅限制，這里僅羅列手冊中的關鍵目錄結構，也算是一種導讀。我們選擇GitHub平臺作為本手冊的首要發布位置是因為：方便協同及看到歷史更新記錄。你可以Watch、Fork及Star，當然我們更希望你能參與貢獻。好，導讀開始...引子

如果你持有加密貨幣或對這個世界有興趣，未來可能會持有加密貨幣，那么這本手冊值得你反復閱讀并謹慎實踐。本手冊的閱讀需要一定的知識背景，希望初學者不必恐懼這些知識壁壘，因為其中大量是可以“玩”出來的。在區塊鏈黑暗森林世界里，首先牢記下面這兩大安全法則：零信任：簡單來說就是保持懷疑，而且是始終保持懷疑。持續驗證：你要相信，你就必須有能力去驗證你懷疑的點，并把這種能力養成習慣。關鍵內容

知名區塊鏈安全公司派盾、慢霧科技宣布參加HBTC Chain主網節點競選:1月6日，據霍比特HBTC官方消息，知名區塊鏈安全公司派盾、慢霧科技宣布參加HBTC Chain主網節點競選，投票均已超過50萬HBC，其中派盾節點名稱PeckShield；慢霧科技節點名稱SlowMist Zone。

截止至今日18:00，HBTC Chain主網節點投票競選上線10天，成功競選主網節點數量達16個，HBC總投票數量為6457124.38，HBC總投票質押率30.75%，質押價值已近2500萬USDT。

HBTC Chain基于DPoS共識算法，精選優質節點作為HBTC Chain主網區塊驗證者。HBTC Chain將對競選節點進行篩選及管理，意欲參選的項目方及個人可通過HBTC Chain節點競選投票頁面進行申請操作。更多詳情請點擊原文鏈接。[2021/1/6 16:34:50]

BitZ平臺在慢霧科技的安全審計中評級為優:據官方消息，區塊鏈安全公司-慢霧科技通過十大維度對BitZ平臺進行安全審計，BitZ平臺憑借優異的表現在本次安全審計中評級為：優。本次安全審計核心目標是為BitZ平臺檢測潛在的威脅點，協助 BitZ平臺提升安全維度。協力BitZ團隊一起為客戶的資金安全做出有效的推進，更好的保護廣大BitZ用戶的安全。

BitZ平臺創立于2016年，是聯合區塊鏈資深從業者和專業量化團隊交易團隊創立的一家專注于區塊鏈數字資產交易和交流的平臺。BitZ采用全球頂尖的安全技術，持續不斷的為用戶提供安全、快速、智能的區塊鏈資產流通服務。[2020/8/6]

一、創建錢包

Download1.找到正確的官網a.Googleb.行業知名收錄，如CoinMarketCapc.多問一些比較信任的人2.下載安裝應用a.PC錢包：建議做下是否篡改的校驗工作b.瀏覽器擴展錢包：注意目標擴展下載頁面里的用戶數及評分情況c.移動端錢包：判斷方式類似擴展錢包d.硬件錢包：從官網源頭的引導下購買，留意是否存在被異動手腳的情況e.網頁錢包：不建議使用這種在線的錢包MnemonicPhrase創建錢包時，助記詞的出現是非常敏感的，請留意你身邊沒有人、攝像頭等一切可以導致偷窺發生的情況。同時留意下助記詞是不是足夠隨機出現Keyless1.Keyless兩大場景a.Custody，即托管方式。比如中心化交易所、錢包，用戶只需注冊賬號，并不擁有私鑰，安全完全依托于這些中心化平臺b.Non-Custodial，即非托管方式。用戶唯一掌握類似私鑰的權力，但卻不是直接的加密貨幣私鑰2.MPC為主的Keyless方案的優缺點二、備份錢包

聲音 | 慢霧科技余弦：公鏈需應對未來可能的新型51%攻擊挑戰:安全公司慢霧科技創始人余弦今日表示，我和團隊的感覺是，Vitalik 的分享有偷換概念，創造名詞嫌疑。PoW、PoS 各有優劣，也各有自己獨特的 51% 攻擊及治理方式，51% 已經是一個廣義概念了，我覺得最長遠的對抗方式是：這條鏈擁有足夠強的全球共識，以應對未來可能出現的新型 51% 攻擊挑戰。其實所有公鏈都有個持續存在的上帝視角級挑戰，一種根本不計經濟成本的攻擊挑戰，那什么樣的攻擊是不計成本的？此前消息，以太坊聯合創始人Vitalik Buterin近日發表題為《越過51%攻擊》的演講，他表示覆巢式51%攻擊成PoW區塊鏈致命威脅，PoS或是唯一出路。[2020/2/22]

助記詞/私鑰類型1.明文：12個英文單詞為主2.帶密碼：助記詞帶上密碼后會得到不一樣的種子，這個種子就是之后拿來派生出一系列私鑰、公鑰及對應地址3.多簽：可以理解為目標資金需要多個人簽名授權才可以使用，多簽很靈活，可以設置審批策略4.Shamir'sSecretSharing：Shamir秘密共享方案，作用就是將種子分割為多個分片，恢復錢包時，需要使用指定數量的分片才能恢復Encryption1.多處備份a.Cloud：Google/Apple/微軟，結合GPG/1Password等b.Paper：將助記詞抄寫在紙卡片上c.Device：電腦/iPad/iPhone/移動硬盤/U盤等d.Brain：注意腦記風險2.加密a.一定要做到定期不定期地驗證b.采用部分驗證也可以c.注意驗證過程的機密性及安全性三、使用錢包

聲音 | 慢霧科技余弦：安全是這個加密貨幣領域生態的關鍵基礎設施之一:慢霧科技聯合創始人余弦在微博上稱，加密貨幣領域的大小會議，常見的一個話題是“如何看待未來或未來應該看什么”，除了價值提升、應用落地這些大話題及拆分出來的一堆小話題，安全很少被特別展開提及，我想表達的是：未來，攻防對抗會持續加劇（不會減弱），安全是這個生態的關鍵基礎設施之一，在這個基礎設施之上，安全衍生品可以創造更大價值，到用戶層面安全盡量做到很有安全感且自然而然的無感。[2019/10/8]

AML1.鏈上凍結2.選擇口碑好的平臺、個人等作為你的交易對手ColdWallet1.冷錢包使用方法a.接收加密貨幣：配合觀察錢包，如imToken、TrustWallet等b.發送加密貨幣：QRCode/USB/Bluetooth2.冷錢包風險點a.所見即所簽這種用戶交互安全機制缺失b.用戶的有關知識背景缺失HotWallet1.與DApp交互2.惡意代碼或后門作惡方式a.錢包運行時，惡意代碼將相關助記詞直接打包上傳到黑客控制的服務端里b.錢包運行時，當用戶發起轉賬，在錢包后臺偷偷替換目標地址及金額等信息，此時用戶很難察覺c.破壞助記詞生成有關的隨機數熵值，讓這些助記詞比較容易被破解DeFi安全到底是什么1.智能合約安全a.權限過大：增加時間鎖/將admin多簽等b.逐步學會閱讀安全審計報告2.區塊鏈基礎安全：共識賬本安全/虛擬機安全等3.前端安全a.內部作惡：前端頁面里的目標智能合約地址被替換/植入授權釣魚腳本b.第三方作惡：供應鏈作惡/前端頁面引入的第三方遠程JavaScript文件作惡或被黑4.通信安全a.HTTPS安全b.舉例：MyEtherWallet安全事件c.安全解決方案：HSTS5.人性安全：如項目方內部作惡6.金融安全：幣價、年化收益等7.合規安全a.AML/KYC/制裁地區限制/證券風險有關的內容等b.AOPPNFT安全1.Metadata安全2.簽名安全小心簽名/反常識簽名1.所見即所簽2.OpenSea數起知名NFT被盜事件a.用戶在OpenSea授權了NFTb.黑客釣魚拿到用戶的相關簽名3.取消授權a.TokenApprovalsb.Revoke.cashc.APPROVED.zoned.Rabby擴展錢包4.反常識真實案例一些高級攻擊方式1.針對性釣魚2.廣撒網釣魚3.結合XSS、CSRF、ReverseProxy等技巧四、傳統隱私保護

慢霧科技與 OK 資本達成戰略合作:慢霧科技與 OK 資本達成戰略合作，為 OK 資本投資的全球優質區塊鏈創業項目提供智能合約安全審計服務，避免項目出現重大安全問題。此前，慢霧科技也曾對 OK 資本的戰略合作伙伴 OKEx 數字資產交易平臺上的數百個基于以太坊 ERC20 的項目進行過智能合約 batchOverflow 問題的排查，排除安全隱患。[2018/5/25]

操作系統1.重視系統安全更新，有安全更新就立即行動2.不亂下程序3.設置好磁盤加密保護手機1.重視系統的安全更新及下載2.不要越獄、Root破解，除非你玩安全研究，否則沒必要3.不要從非官方市場下載App4.官方的云同步使用的前提：賬號安全方面你確信沒問題網絡1.網絡方面，盡量選擇安全的，比如不亂連陌生Wi-Fi2.選擇口碑好的路由器、運營商，切勿貪圖小便宜，并祈禱路由器、運營商層面不會有高級作惡行為出現瀏覽器1.及時更新2.擴展如無必要就不安裝3.瀏覽器可以多個共存4.使用隱私保護的知名擴展密碼管理器1.別忘記你的主密碼2.確保你的郵箱安全3.1Password/Bitwarden等雙因素認證GoogleAuthenticator/MicrosoftAuthenticator等科學上網科學上網、安全上網郵箱1.安全且知名：Gmail/Outlook/QQ郵箱等2.隱私性：ProtonMail/TutanotaSIM卡1.SIM卡攻擊2.防御建議a.啟用知名的2FA工具b.設置PIN碼GPG1.區分a.PGP是PrettyGoodPrivacy的縮寫，是商用加密軟件，發布30多年了，現在在賽門鐵克麾下b.OpenPGP是一種加密標準，衍生自PGPc.GPG，全稱GnuPG，基于OpenPGP標準的開源加密軟件隔離環境1.具備零信任安全法則思維2.良好的隔離習慣3.隱私不是拿來保護的，隱私是拿來控制的五、人性安全

TelegramDiscord來自“官方”的釣魚Web3隱私問題六、區塊鏈作惡方式

盜幣、惡意挖礦、勒索病、暗網交易、木馬的C2中轉、洗錢、資金盤、等SlowMistHacked區塊鏈被黑檔案庫七、被盜了怎么辦

止損第一保護好現場分析原因追蹤溯源結案八、誤區

CodeIsLawNotYourKeys,NotYourCoinsInBlockchainWeTrust密碼學安全就是安全被黑很丟人立即更新總結

當你閱讀完本手冊后，一定需要實踐起來、熟練起來、舉一反三。如果之后你有自己的發現或經驗，希望你也能貢獻出來。如果你覺得敏感，可以適當脫敏，匿名也行。其次，致謝安全與隱私有關的立法與執法在全球范圍內的成熟；各代當之無愧的密碼學家、工程師、正義黑客及一切參與創造讓這個世界更好的人們的努力，其中一位是中本聰。最后，感謝貢獻者們，這個列表會持續更新，有任何的想法，希望你聯系我們。導讀到此，完整版本，歡迎閱讀并分享:)

Tags：區塊鏈BITAINITZ區塊鏈的五大應用領域upbit交易所可信嗎MesChainBLITZ幣

中幣交易所