慢霧：駭客防範指南｜區塊鏈黑暗森林自救手冊

區塊鏈是個偉大的發明，它帶來了某些生產關係的變革，讓「信任」這種寶貴的東西得以部分解決。但，現實是殘酷的，人們對區塊鏈的理解會存在許多誤區。這些誤區導致了壞人輕易鑽了空子，頻繁將駭客伸進了人們的錢包，造成了大量的資金損失。這早已是黑暗森林。

基於此，慢霧科技創始人餘弦傾力輸出——區塊鏈黑暗森林自救手冊。

本手冊（當前V1 Beta）大概 3 萬 7 千字，由於篇幅限制，這裡僅羅列手冊中的關鍵目錄結構，也算是一種導讀。完整內容可見：https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook

原文作者：慢霧安全團隊

我們選擇 GitHub 平台作為本手冊的首要發布位置是因為：方便協同及看到歷史更新記錄。你可以Watch、Fork 及 Star，當然我們更希望你能參與貢獻。

如果你持有加密貨幣或對這個世界有興趣，未來可能會持有加密貨幣，那麼這本手冊值得你反覆閱讀並謹慎實踐。本手冊的閱讀需要一定的知識背景，希望初學者不必恐懼這些知識壁壘，因為其中大量是可以“玩”出來的。

在區塊鏈黑暗森林世界裡，首先牢記下面這兩大安全法則：
零信任：簡單來說就是保持懷疑，而且是始終保持懷疑。
持續驗證：你要相信，你就必須有能力去驗證你懷疑的點，並把這種能力養成習慣。

一、創建錢包

下載

1.找到正確的官網

Google（不要點擊廣告網頁）
行業知名收錄，如 CoinMarketCap
多問一些比較信任的人
Twitter

2.下載安裝應用

PC 錢包：建議做下是否篡改的校驗工作（文件一致性校驗）
瀏覽器擴展錢包：注意目標擴展下載頁面裡的用戶數及評分情況
手機錢包：判斷方式類似擴展錢包
硬體錢包：從官網源頭的引導下購買，留意是否存在被異動手腳的情況
網頁錢包：不建議使用這種在線的錢包

助記詞

創建錢包時，助記詞的出現是非常敏感的，請留意你身邊沒有人、鏡頭等一切可以導致偷窺發生的情況。同時留意下助記詞是不是足夠隨機出現

Keyless

1.Keyless 兩大場景（此處區分是為了方便講解）

Custody，即託管方式。比如中心化交易所、錢包，用戶只需註冊帳號，並不擁有私鑰，安全完全依託於這些中心化平台
Non-Custodial，即非託管方式。用戶唯一掌握類似私鑰的權力，但卻不是直接的加密貨幣私鑰（或助記詞）

2.MPC 為主的 Keyless 方案的優缺點

二、備份錢包

助記詞/私鑰類型

純文本：12 個英文單詞為主
帶密碼：助記詞帶上密碼後會得到不一樣的種子，這個種子就是之後拿來派生出一系列私鑰、公鑰及對應地址
多簽：可以理解為目標資金需要多個人簽名授權才可以使用，多簽很靈活，可以設置審批策略
Shamir’s Secret Sharing：Shamir 秘密共享方案，作用就是將種子分割為多個分片，恢復錢包時，需要使用指定數量的分片才能恢復

加密

1.多處備份

Cloud：Google/Apple/微軟，結合 GPG/1Password 等
Paper：將助記詞（明文、SSS 等形式的）抄寫在紙卡片上
Device：電腦/iPad/iPhone/隨身硬碟等
Brain：注意記憶遺漏的風險（記憶/意外）

2.加密

一定要做到定期不定期地驗證
採用部分驗證也可以
注意驗證過程的機密性及安全性

三、使用錢包

反洗錢

鏈上凍結
選擇口碑好的平台、個人等作為你的交易對手

冷錢包

1.冷錢包使用方法

接收加密貨幣：配合觀察錢包，如 imToken、Trust Wallet 等
發送加密貨幣：QRCode/USB/Bluetooth

2.冷錢包風險點

所見即所簽這種用戶交互安全機制缺失
用戶的有關知識背景缺失

熱錢包

1.與 DApp（DeFi、NFT、GameFi 等）交互
2.惡意代碼或後門作惡方式

錢包運行時，惡意代碼將相關助記詞直接打包上傳到駭客控制的服務端裡
錢包運行時，當用戶發起轉帳，在錢包後台偷偷替換目標地址及金額等訊息，此時用戶很難察覺
破壞助記詞生成有關的隨機數熵值，讓這些助記詞比較容易被破解

DeFi 安全到底是什麼

1.智能合約安全

權限過大：增加時間鎖（Timelock）/將admin 多籤等
逐步學會閱讀安全審計報告

2.區塊鏈基礎安全：共識帳本安全/虛擬機安全等
3.前端安全

內部作惡：前端頁面裡的目標智能合約地址被替換/植入授權釣魚腳本
第三方作惡：供應鏈作惡/前端頁面引入的第三方遠程 JavaScript 文件作惡或被駭

4.通訊安全

HTTPS 安全
舉例：MyEtherWallet 安全事件
安全解決方案：HSTS

5.人性安全：如項目方內部作惡

6.金融安全：幣價、年化收益等

7.合規安全

AML/KYC/制裁地區限制/證券風險有關的內容等
AOPP

NFT 安全

1.Metadata 安全

2.簽名安全

小心簽名/反常識簽名

所見即所簽
OpenSea 數起知名NFT 被盜事件

a. 用戶在 OpenSea 授權了 NFT（掛單）
b. 駭客釣魚拿到用戶的相關簽名

3.取消授權（approve）

Token Approvals
Revoke.cash
APPROVED.zone
Rabby 擴展錢包

4.反常識真實案例

一些高級攻擊方式

針對性釣魚
廣撒網釣魚
結合XSS、CSRF、Reverse Proxy 等技巧（如Cloudflare 中間人攻擊）

四、傳統隱私保護

操作系統

重視系統安全更新，有安全更新就立即行動
不亂下程序
設置好硬碟、電腦加密保護

手機

重視系統的安全更新及下載
不要越獄、Root 破解，除非你玩安全研究，否則沒必要
不要從非官方市場下載 App
雲端同步使用的前提：帳號安全方面你確信沒問題

網絡

網路方面，盡量選擇安全的，比如不亂連陌生Wi-Fi
選擇口碑好的wifi路由器、運營商，切勿貪圖小便宜，並祈禱路由器、運營商層面不會有高級作惡行為出現

瀏覽器

及時更新
擴展如無必要就不安裝
瀏覽器可以多個共存
使用隱私保護的知名擴展

密碼管理器

別忘記你的主密碼
確保你的郵箱安全

雙因素認證

Google Authenticator/Microsoft Authenticator 等

科學上網

科學上網、安全上網

郵箱

安全且知名：Gmail/Outlook等
隱私性：ProtonMail/Tutanota

SIM 卡

SIM 卡攻擊
防禦建議

a. 啟用知名的2FA 工具
b. 設置PIN 碼

五、人性安全

Telegram 電報
Discord
來自“官方”的釣魚
Web3 隱私問題

六、區塊鏈作惡方式

盜幣、惡意挖礦、勒索病毒、暗網交易、木馬的 C2 中轉、洗錢、資金盤、博弈等
SlowMist Hacked 區塊鏈被駭檔案庫

七、被盜了怎麼辦

止損第一
保護好現場
分析原因
追蹤溯源
結案

總結

當你閱讀完本手冊後，一定需要實踐起來、熟練起來、舉一反三。如果之後你有自己的發現或經驗，希望你也能貢獻出來。如果你覺得敏感，可以適當脫敏，匿名也行。其次，致謝安全與隱私有關的立法與執法在全球範圍內的成熟；各代當之無愧的密碼學家、工程師、正義駭客及一切參與創造讓這個世界更好的人們的努力，其中一位是中本聰。最後，感謝貢獻者們，這個列表會持續更新，有任何的想法，希望你聯繫我們。

完整版本：https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook

— 精選交易所文章 —

從 0 到 1 購買加密貨幣懶人包：加密貨幣新手入門大百科

交易所	特色	優惠
Max	可以使用銀行台幣出入金	6 個月內 20% 手續費折扣，質押平台幣 MAX 最高可享 60% 折扣
Binance	全球最大交易所，幣種與理財產品齊全	終生 20% 手續費折扣
Bybit	豐富的衍生品交易	應邀成為 Bybit 用戶，即可獲得 $20 體驗金。還有專屬獎勵價值高達 $3,230！
Kucoin	較多新上線的潛力新幣種	終生 20% 手續費折扣