diff --git a/README.md b/README.md index 37c2ba3..6bf44b1 100644 --- a/README.md +++ b/README.md @@ -5,13 +5,13 @@ Blockchain dark forest selfguard handbook
*Master these, master the security of your cryptocurrency.
* 作者:余弦@慢雾安全团队
-联系我:Twitter([@evilcos](https://twitter.com/evilcos)) +联系我:Twitter([@evilcos](https://twitter.com/evilcos))、即刻(@余弦.jpg) ![alt this](res/this.png) | 日期 | 更新日志 | | --- | --- | -| 2022/4/11 | V1 Beta 出现,中文,用碎片时间断断续续写了三周:grinning: | +| 2022/4/12 | V1 Beta 出现,中文,用碎片时间断断续续写了三周:grinning: | *注:选择 GitHub 方便协同及看到历史更新记录。你可以 Watch、Fork 及 Star,当然我更希望你能参与贡献:)* @@ -75,7 +75,7 @@ Blockchain dark forest selfguard handbook
首先,需要先恭喜你的是:你看到了这本手册。我不清楚你是谁,但如果你持有加密货币或对这个世界有兴趣,未来可能会持有加密货币,那么这本手册值得你反复阅读并谨慎实践。 -其次,需要有心里准备的是:本手册的阅读需要一定的知识背景,我尽量照顾初学者,但很难。我希望初学者不必恐惧这些知识壁垒,因为其中大量是可以“玩”出来的。如果你遇到不懂的知识点,需要扩展了解的话,建议你用好 Google。并强烈建议你掌握一个安全原则:网络上的知识,凡事都参考至少两个来源的信息,彼此佐证,始终保持怀疑。 +其次,需要有心理准备的是:本手册的阅读需要一定的知识背景,我尽量照顾初学者,但很难。我希望初学者不必恐惧这些知识壁垒,因为其中大量是可以“玩”出来的。如果你遇到不懂的知识点,需要扩展了解的话,建议你用好 Google。并强烈建议你掌握一个安全原则:网络上的知识,凡事都参考至少两个来源的信息,彼此佐证,始终保持怀疑。 是的,始终保持怀疑!包括本手册提到的任何知识点:) @@ -129,7 +129,7 @@ Blockchain dark forest selfguard handbook
于是,出师未捷身先死。还没来得及进入这个世界,就已经钱包空空了。 -针对上面的第1点,找到正确的官网是有技巧的,比如: +针对上面的第 1 点,找到正确的官网是有技巧的,比如: * Google * 行业知名收录,如 CoinMarketCap @@ -191,7 +191,7 @@ Keyless,顾名思义是无私钥的意思。在这我们把 Keyless 分为两 * 满足业内公认标准且开源的,这方面的成熟度还远不够,各位仍需努力。 * 有不少人说基本只玩以太坊系列(或者说基于 EVM 的区块链),那么 Gnosis Safe 这种智能合约方式的多签方案也就够了。 -无论那种方式,只要是你觉得安全可控的、用起来舒服的,那么都是好方式,仁者见仁智者见智。 +无论哪种方式,只要是你觉得安全可控的、用起来舒服的,那么都是好方式,仁者见仁智者见智。 好,创建钱包的相关安全注意点就先介绍这些,有一些通用性的安全问题会统一在之后介绍,先不着急:) @@ -248,11 +248,11 @@ Keyless,顾名思义是无私钥的意思。在这我们把 Keyless 分为两 到这,安全带来的麻烦似乎还没适应,GPG 好不容易入门了,你还得备份好 GPG 的私钥及私钥密码。其实真到这步了,你也熟悉了,再备份这点东西其实也就不麻烦了。这点我不展开,留给实践出真知的你。 -如果你想偷懒,还有一种方案是可以考虑的,只是安全性上会打点折扣,我不好衡量具体折扣多少,但有时候有的场景下我也会偷懒,于是我会考虑用知名的工具来做辅助。这个工具就是 1Password。1Password 新版本已经支持直接保持钱包相关内容,如助记词、密码、钱包地址等,这方便用户。其实其他同类型工具(如 Bitwarden)也可以,只是使用起来不像这样方便。 +如果你想偷懒,还有一种方案是可以考虑的,只是安全性上会打点折扣,我不好衡量具体折扣多少,但有时候有的场景下我也会偷懒,于是我会考虑用知名的工具来做辅助。这个工具就是 1Password。1Password 新版本已经支持直接保存钱包相关内容,如助记词、密码、钱包地址等,这方便用户。其实其他同类型工具(如 Bitwarden)也可以,只是使用起来不像这样方便。 -**Paper**,许多硬件钱包都会附带几张质量上乘的纸卡片,你可以将助记词(明文、SSS 等形式的)抄写在上面。除了纸质的,还有钢板的(抗火抗水抗腐蚀,当然我没验证)。助记词抄写完成后,会做一次验证,没问题后。放进你觉得安全的位置,比如保险箱。其实我个人挺喜欢 Paper 的,Paper 所处环境不错的话,寿命远大于电子设备。 +**Paper**,许多硬件钱包都会附带几张质量上乘的纸卡片,你可以将助记词(明文、SSS 等形式的)抄写在上面。除了纸质的,还有钢板的(抗火抗水抗腐蚀,当然我没验证)。助记词抄写完成后,会做一次验证,没问题后,放进你觉得安全的位置,比如保险箱。其实我个人挺喜欢 Paper 的,Paper 所处环境不错的话,寿命远大于电子设备。 -**Device**,各种设备吧,电子设备是常用的一种,电脑、iPad、iPhone、移动硬盘、U 盘等都可以拿来做备份,看个人喜好。然后设备间的安全传输,让我比较有安全感的是:隔空投送(AirDrop)、USB 等这类点对点且挺难出现中间人劫持情况出现的方式。只是我天然对电子设备不放心的一点是多年后可能就坏了,所以会保持每年至少一次的检查习惯。有一些重复做法(如加密)参考 Cloud 小点里的说法就行。 +**Device**,各种设备吧,电子设备是常用的一种,电脑、iPad、iPhone、移动硬盘、U 盘等都可以拿来做备份,看个人喜好。然后设备间的安全传输,让我比较有安全感的是:隔空投送(AirDrop)、USB 等这类点对点且挺难出现中间人劫持情况的方式。只是我天然对电子设备不放心的一点是多年后可能就坏了,所以会保持每年至少一次的检查习惯。有一些重复做法(如加密)参考 Cloud 小点里的说法就行。 **Brain**,脑记很爽很刺激,其实每个人都有自己的“记忆宫殿”的,这玩意不玄乎,可以训练,熟能生巧,加深记忆。有不少东西确实还是脑记好,至于到底是不是只唯一用脑记看你自己。反正注意两种风险:一是时间会让记忆淡忘或错乱;二是自己可能出意外。这块不多说了,请自行扩展。 @@ -273,11 +273,13 @@ Keyless,顾名思义是无私钥的意思。在这我们把 Keyless 分为两 验证是否被 Tether 冻结,可以在 USDT 合约地址进行: >https://etherscan.io/token/0xdac17f958d2ee523a2206206994597c13d831ec7#readContract +![](res/usdt_isblacklisted.png) + 在 isBlackListed 输入目标钱包地址即可判断。USDT 所在的其他链大体同理(别较真)。 但你的比特币、以太坊是不会出现链上冻结情况的,也许未来出现了这个情况,那这点本来非常坚定的去中心化信仰可能也就没了。我们现在经常听到的加密货币冻结实际上绝大多数并不是发生在链上的,而是发生在中心化平台里,如中心化交易所(Binance、Coinbase 等)。你的加密货币在这些中心化平台里,意味着你并不是真正意义上持有这些加密货币,中心化平台冻结的其实是你的账号,尤其是你的交易、提币权限。冻结这个概念其实很容易对圈外人造成无解,于是出现一些很烂的自媒体胡乱解读及散播比特币的各种阴谋论。 -虽然你的比特币、以太坊等不会在链上被冻结,但如果你的这些加密货币本身就涉及到相关执法单位在处理的案件有关,一旦你的加密货币转移进中心化平台,这些中心化平台就有可能因为 AML 等要求将你的加密货币冻结。 +虽然你的比特币、以太坊等不会在链上被冻结,但如果你的这些加密货币本身就涉及到相关执法单位在处理的案件,一旦你的加密货币转移进中心化平台,这些中心化平台就有可能因为 AML 等要求将你的加密货币冻结。 为了比较好地避免 AML 问题,需要选择口碑好的平台、个人等作为你的交易对手。别瞎搞基本问题不大。如果要深度地解决这些问题实际上也是有不少办法的,比如以太坊系列上,几乎所有坏人及特别在意隐私的人都会选择 Tornado Cash 进行混币。更多的方法就不提了,因为这些方法实际上也会被用来作恶。 @@ -723,7 +725,7 @@ Bitwarden 做得更彻底些,是全开源的,包括服务端,任何人都 ### 科学上网 -这块出于政策原因,不多说,知名的几个自己对比。自建流行的是 V2Ray、Shadowsocks 等,当然有能力肯定自建,这样安全可控,毕竟我们的出发点还真是科学上网、安全上网。 +这块出于政策原因,不多说,知名的几个自己对比。有能力肯定自建,这样安全可控,毕竟我们的出发点还真是科学上网、安全上网。 如果并非自建,难保不会出现中间人攻击。前面说过,现在网络环境确实没以前那么糟糕,尤其 HTTPS Everywhere 策略普及了后。但有些平静可能只是水面,水面之下早已暗流涌动却不易被察觉。所以这块我并没特别好的安全建议,自建有门槛,但值得,实在不行,一定是多方确认,选择那种存在已久、口碑良好的品牌。 @@ -850,7 +852,7 @@ Punycode 这种钓鱼方式,几年前就有真实利用了,比如 2018 年 ### Web3 隐私问题 -随着 Web3 的流行,越来越多有趣或无聊的项目出现,如各种 Web3 基础设施、社交平台等。基础设施有的做了海里的数据分析,一不小心就发现感兴趣的目标的各种行为画像了,不仅各区块链上的,还有 Web2 那些知名平台上的。画像一出,目标基本就属于透明人。而 Web3 社交平台的出现也可能加剧这类隐私问题。 +随着 Web3 的流行,越来越多有趣或无聊的项目出现,如各种 Web3 基础设施、社交平台等。基础设施有的做了海量的数据分析,一不小心就发现感兴趣的目标的各种行为画像了,不仅各区块链上的,还有 Web2 那些知名平台上的。画像一出,目标基本就属于透明人。而 Web3 社交平台的出现也可能加剧这类隐私问题。 想一想,当你将这些 Web3 有关的各种玩意都玩了一遍,如签名绑定、链上各种交互等,你的隐私有没有泄露更多?很多人以为不会,但其实许多碎片拼在一起实际上就能输出更全面的画像:你喜欢收藏哪些 NFT、你加入了哪些社群、你在哪些白名单里、你和谁有了关联、你绑定了哪些 Web2 账号、你活跃在什么时间段里等等等。看吧,区块链有时候让隐私变得更糟糕。如果你在意隐私,那么需要谨慎对待一切新事物,并保持隔离身份的好习惯。 @@ -934,6 +936,7 @@ Punycode 这种钓鱼方式,几年前就有真实利用了,比如 2018 年 * Web 安全分析及取证 * Linux 服务器安全分析及取证 * Windows 安全分析及取证 +* macOS 安全分析及取证 * 手机安全分析及取证 * 恶意代码分析及取证 * 网络设备或平台的安全分析及取证 @@ -1033,12 +1036,13 @@ Punycode 这种钓鱼方式,几年前就有真实利用了,比如 2018 年 ## 贡献者 感谢贡献者们,这个列表会持续更新,希望你有任何的想法也联系我: ->余弦,Twitter(@evilcos) +>余弦,Twitter([@evilcos](https://twitter.com/evilcos))、即刻(@余弦.jpg) 贡献者们: ``` 我夫人 -慢雾,Twitter(@SlowMist_Team),如:Pds、Johan、Kong、Kirk、Thinking、... +慢雾,Twitter(@SlowMist_Team),如:Pds、Johan、Kong、Kirk、Thinking、Blue、Lisa、Keywolf... +即刻 一些匿名的朋友 ... ``` @@ -1071,6 +1075,9 @@ OpenSea https://opensea.io/ Revoke.cash https://revoke.cash/ APPROVED.zone https://approved.zone/ +即刻 https://okjike.com/ +Kaspersky https://www.kaspersky.com.cn/ +Bitdefender https://www.bitdefender.com/ Cloudflare https://www.cloudflare.com/ Akamai https://www.akamai.com/ SURVEILLANCE SELF-DEFENSE https://ssd.eff.org/ diff --git a/res/usdt_isblacklisted.png b/res/usdt_isblacklisted.png new file mode 100644 index 0000000..515b933 Binary files /dev/null and b/res/usdt_isblacklisted.png differ diff --git a/res/web3_hacking_map.jpg b/res/web3_hacking_map.jpg index 4a80260..dc45267 100644 Binary files a/res/web3_hacking_map.jpg and b/res/web3_hacking_map.jpg differ