Blockchain Dark Forest Selfguard-Handbuch
(Quellen:https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook)
Prolog
Zunächst einmal herzlichen Glückwunsch, dass Sie dieses Handbuch gefunden haben! Egal wer Sie sind – wenn Sie Inhaber einer Kryptowährung sind oder in Zukunft in die Welt der Kryptowährungen einsteigen möchten, wird Ihnen dieses Handbuch sehr helfen. Sie sollten dieses Handbuch sorgfältig lesen und seine Lehren im wirklichen Leben anwenden.
Darüber hinaus sind für das vollständige Verständnis dieses Handbuchs einige Hintergrundkenntnisse erforderlich. Machen Sie sich jedoch bitte keine Sorgen. Als Anfänger sollten Sie keine Angst vor den Wissensbarrieren haben, die überwunden werden können. Wenn Sie auf etwas stoßen, das Sie nicht verstehen und mehr erforschen möchten, wird Google dringend empfohlen. Außerdem ist es wichtig, eine Sicherheitsregel im Hinterkopf zu behalten: Seien Sie skeptisch! Unabhängig davon, welche Informationen Sie im Internet finden, sollten Sie immer mindestens zwei Quellen für Querverweise suchen.
Auch hier gilt: Seien Sie immer skeptisch 🙂 und berücksichtigen Sie dabei auch die in diesem Handbuch erwähnten Kenntnisse.
Blockchain ist eine großartige Erfindung, die eine Veränderung der Produktionsbeziehungen mit sich bringt und das Vertrauensproblem einigermaßen löst. Insbesondere schafft Blockchain viele „Vertrauens“-Szenarien ohne die Notwendigkeit einer Zentralisierung und Dritter, wie z. B. Unveränderlichkeit, vereinbarte Ausführung und Verhinderung von Ablehnung. Die Realität ist jedoch grausam. Es gibt viele Missverständnisse über Blockchain, und die Bösewichte werden diese Missverständnisse nutzen, um die Lücke auszunutzen und den Menschen Geld zu stehlen, was zu großen finanziellen Verlusten führt. Schon heute ist die Kryptowelt zu einem dunklen Wald geworden.
Bitte beachten Sie die folgenden zwei Sicherheitsregeln, um im dunklen Wald der Blockchain zu überleben.
- Null Vertrauen: Um es einfach zu machen: Bleiben Sie skeptisch und bleiben Sie es immer.
- Kontinuierliche Sicherheitsvalidierung: Um etwas zu vertrauen, muss man seine Zweifel bestätigen und die Bestätigung zur Gewohnheit machen.
Hinweis: Die beiden oben genannten Sicherheitsregeln sind die Kernprinzipien dieses Handbuchs, und alle anderen in diesem Handbuch erwähnten Sicherheitsprinzipien sind daraus abgeleitet.
Okay, das ist alles für unsere Einführung. Beginnen wir mit einem Diagramm und erkunden wir diesen dunklen Wald, um zu sehen, welchen Risiken wir begegnen und wie wir mit ihnen umgehen sollten.
Ein Diagramm
Sie können dieses Diagramm überfliegen, bevor Sie sich den Rest des Handbuchs genauer ansehen. Es dreht sich alles um die wichtigsten Aktivitäten dieser Welt (wie auch immer Sie es nennen wollen: Blockchain, Kryptowährung oder Web3), die aus drei Hauptprozessen besteht: Erstellen einer Wallet, Sichern einer Wallet und Verwenden einer Wallet.
Lassen Sie uns diese drei Prozesse verfolgen und jeden einzelnen davon analysieren.
Erstellen Sie eine Brieftasche
Der Kern des Wallets ist der private Schlüssel (oder die Seed-Phrase).
So sieht der private Schlüssel aus:
0xa164d4767469de4faf09793ceea07d5a2f5d3cef7f6a9658916c581829ff5584
Außerdem sieht die Seed-Phrase so aus:
Grausames Wochenende, Spitzenpunkt, unschuldiger, schwindelerregender Alien-Einsatz, Hervorrufen, Schuppen, falsche Einstellung
Hinweis: Wir verwenden hier Ethereum als Beispiel. Bitte schauen Sie sich selbst weitere Details zu privaten Schlüsseln/Seed-Phrase an.
Der private Schlüssel ist Ihr Name. Wenn der private Schlüssel verloren geht/gestohlen wird, haben Sie Ihre Identität verloren. Es gibt viele bekannte Wallet-Anwendungen, und dieses Handbuch wird nicht alle behandeln.
Ich werde jedoch einige spezifische Geldbörsen erwähnen. Bitte beachten Sie, dass den hier genannten Wallets bis zu einem gewissen Grad vertraut werden kann. Ich kann jedoch nicht garantieren, dass während der Verwendung keine Sicherheitsprobleme oder -risiken auftreten, ob erwartet oder nicht (ich werde nicht mehr wiederholen. Bitte beachten Sie immer die beiden wichtigsten Sicherheitsregeln, die im Prolog erwähnt wurden).
Je nach Anwendung gibt es PC-Wallets, Browser-Erweiterungs-Wallets, mobile Wallets, Hardware-Wallets und Web-Wallets. Hinsichtlich der Internetverbindung lassen sie sich hauptsächlich in Cold Wallets und Hot Wallets unterteilen. Bevor wir in die Kryptowelt eintauchen, müssen wir zunächst über den Zweck des Wallets nachdenken. Der Zweck bestimmt nicht nur, welches Wallet wir verwenden sollten, sondern auch, wie wir das Wallet verwenden.
Egal für welche Art von Wallet Sie sich entscheiden, eines ist sicher: Wenn Sie genug Erfahrung in dieser Welt haben, reicht ein Wallet nicht aus.
Dabei gilt es ein weiteres Sicherheitsprinzip zu beachten: Isolation, also nicht alles auf eine Karte setzen. Je häufiger ein Wallet genutzt wird, desto riskanter ist es. Denken Sie immer daran: Wenn Sie etwas Neues ausprobieren, bereiten Sie zunächst ein separates Portemonnaie vor und probieren Sie es eine Weile mit einem kleinen Geldbetrag aus. Selbst für einen Krypto-Veteranen wie mich ist es einfacher, sich zu verbrennen, wenn man mit dem Feuer spielt.
Herunterladen
Das klingt einfach, ist aber in Wirklichkeit nicht einfach. Die Gründe sind wie folgt:
- Viele Menschen können die echte offizielle Website oder den richtigen Anwendungsmarkt nicht finden und installieren schließlich eine gefälschte Wallet.
- Viele Menschen wissen nicht, wie sie feststellen können, ob die heruntergeladene Anwendung manipuliert wurde oder nicht.
Daher ist für viele Menschen das Portemonnaie bereits leer, bevor sie in die Blockchain-Welt einsteigen.
Um das erste oben genannte Problem zu lösen, gibt es einige Techniken, um die richtige offizielle Website zu finden, wie z
- mit Google
- unter Verwendung bekannter offizieller Websites wie CoinMarketCap
- Fragen Sie vertrauenswürdige Personen und Freunde
Sie können die Informationen, die Sie aus diesen verschiedenen Quellen erhalten haben, mit Querverweisen versehen, und letztendlich gibt es nur eine Wahrheit:) Herzlichen Glückwunsch, Sie haben die richtige offizielle Website gefunden.
Als nächstes müssen Sie die Anwendung herunterladen und installieren. Wenn es sich um eine PC-Wallet handeltNach dem Herunterladen von der offiziellen Website müssen Sie es selbst installieren. Es wird dringend empfohlen, vor der Installation zu überprüfen, ob der Link manipuliert wurde. Obwohl diese Überprüfung möglicherweise Fälle nicht verhindert, in denen der Quellcode vollständig geändert wurde (aufgrund von Insider-Betrug, internem Hackerangriff oder möglicherweise gehackter offizieller Website usw.), kann sie jedoch Fälle wie die teilweise Manipulation des Quellcodes verhindern. Man-in-the-Middle-Angriff usw.
Die Methode zur Überprüfung, ob eine Datei manipuliert wurde, ist die Dateikonsistenzprüfung. Normalerweise gibt es zwei Möglichkeiten:
- Hash-Checks: wie MD5, SHA256 usw. MD5 funktioniert in den meisten Fällen, aber es besteht immer noch ein geringes Risiko einer Hash-Kollision, daher wählen wir im Allgemeinen SHA256, was sicher genug ist.
- Überprüfung der GPG-Signatur: Auch diese Methode erfreut sich großer Beliebtheit. Es wird dringend empfohlen, GPG-Tools, -Befehle und -Methoden zu beherrschen. Obwohl diese Methode für Neulinge etwas schwierig ist, werden Sie sie sehr nützlich finden, wenn Sie sich erst einmal damit vertraut gemacht haben.
Allerdings gibt es in der Kryptowelt nicht viele Projekte, die eine Verifizierung anbieten. Es ist also ein Glück, einen zu finden. Hier ist zum Beispiel eine Bitcoin-Wallet namens Sparrow Wallet. Auf der Download-Seite steht „Verifying the Release“, was wirklich beeindruckend ist, und es gibt klare Richtlinien für beide oben genannten Methoden, die Sie als Referenz verwenden können:
Auf der Download-Seite wurden zwei GPG-Tools erwähnt:
- GPG Suite für MacOS.
- Gpg4win, für Windows.
Wenn Sie aufmerksam sind, finden Sie auf den Download-Seiten für beide GPG-Tools einige Anweisungen, wie Sie die Konsistenz beider Methoden überprüfen können. Allerdings gibt es keine Schritt-für-Schritt-Anleitung, das heißt, man muss es selbst lernen und üben :)
Wenn es sich um eine Browser-Erweiterungs-Wallet handeltB. MetaMask, müssen Sie lediglich auf die Download-Nummer und die Bewertung im Chrome Web Store achten. MetaMask beispielsweise hat mehr als 10 Millionen Downloads und mehr als 2.000 Bewertungen (obwohl die Gesamtbewertung nicht hoch ist). Manche Leute denken vielleicht, dass die Anzahl der Downloads und die Bewertungen überhöht sind. Um ehrlich zu sein, ist es sehr schwierig, eine so große Zahl zu fälschen.
Die mobile Geldbörse ähnelt der Browser-Erweiterungs-Wallet. Allerdings ist zu beachten, dass es im App Store für jede Region unterschiedliche Versionen gibt. Kryptowährung ist auf dem chinesischen Festland verboten. Wenn Sie das Wallet also mit Ihrem chinesischen App-Store-Konto heruntergeladen haben, gibt es nur einen Vorschlag: Verwenden Sie es nicht, wechseln Sie es zu einem anderen Konto in einer anderen Region wie den USA und laden Sie es dann erneut herunter Es. Außerdem führt Sie die richtige offizielle Website auch zur richtigen Download-Methode (z. B. imToken, Trust Wallet usw.). Für offizielle Websites ist es wichtig, eine hohe Website-Sicherheit aufrechtzuerhalten. Wenn die offizielle Website gehackt wird, wird es große Probleme geben. ).
Wenn es sich um eine Hardware-Wallet handeltEs wird dringend empfohlen, es auf der offiziellen Website zu kaufen. Kaufen Sie sie nicht in Online-Shops. Sobald Sie das Wallet erhalten, sollten Sie auch darauf achten, ob das Wallet intakt ist. Natürlich gibt es auf der Verpackung einige Spielereien, die kaum zu erkennen sind. In jedem Fall sollten Sie bei der Verwendung eines Hardware-Wallets die Seed-Phrase und die Wallet-Adresse mindestens dreimal von Grund auf neu erstellen. Und stellen Sie sicher, dass sie sich nicht wiederholen.
Wenn es sich um ein Web-Wallet handeltWir empfehlen dringend, es nicht zu verwenden. Sofern Sie keine andere Wahl haben, stellen Sie sicher, dass es authentisch ist, verwenden Sie es dann sparsam und verlassen Sie sich niemals darauf.
Mnemonische Phrase
Nachdem wir ein Wallet erstellt haben, ist das Wichtigste, mit dem wir uns direkt befassen, die mnemonische Phrase/Seed-Phrase, nicht der private Schlüssel, der leichter zu merken ist. Es gibt Standardkonventionen für mnemonische Phrasen (z. B. BIP39); es gibt im Allgemeinen 12 englische Wörter; Es können auch andere Zahlen (Vielfache von 3) sein, aber nicht mehr als 24 Wörter. Ansonsten ist es zu kompliziert und nicht leicht zu merken. Wenn die Anzahl der Wörter weniger als 12 beträgt, ist die Sicherheit nicht zuverlässig. Es ist üblich, 12/15/18/21/24 Wörter zu sehen. In der Blockchain-Welt sind 12 Wörter beliebt und sicher genug. Allerdings gibt es immer noch Hardcore-Hardware-Wallets wie Ledger, die mit 24 Wörtern beginnen. Neben englischen Wörtern stehen auch einige andere Sprachen zur Verfügung, beispielsweise Chinesisch, Japanisch, Koreanisch und so weiter. Hier ist eine Liste mit 2048 Wörtern als Referenz:
https://github.com/bitcoin/bips/blob/master/bip-0039/bip-0039-wordlists.md
Beim Erstellen einer Wallet ist Ihre Seed-Phrase angreifbar. Bitte beachten Sie, dass Sie nicht von Menschen, Webcams oder anderen Dingen umgeben sind, die Ihre Seed-Phrase stehlen könnten.
Bitte achten Sie auch darauf, ob die Seed-Phrase zufällig generiert wird. Normalerweise können bekannte Wallets eine ausreichende Anzahl zufälliger Startphrasen generieren. Allerdings sollte man immer vorsichtig sein. Es ist schwer zu sagen, ob mit der Brieftasche etwas nicht stimmt. Seien Sie geduldig, denn es kann sehr nützlich sein, diese Gewohnheiten für Ihre Sicherheit zu entwickeln. Schließlich können Sie manchmal sogar darüber nachdenken, die Verbindung zum Internet zu trennen, um ein Wallet zu erstellen, insbesondere wenn Sie das Wallet als Cold Wallet verwenden möchten. Das Trennen der Verbindung zum Internet funktioniert immer.
Schlüssellos
Schlüssellos bedeutet kein privater Schlüssel. Hier unterteilen wir Keyless in zwei Hauptszenarien (zur Vereinfachung der Erklärung. Eine solche Unterteilung ist kein Industriestandard).
- Verwahrung. Beispiele sind zentralisierte Börsen und Wallets, bei denen Benutzer nur Konten registrieren müssen und keinen privaten Schlüssel besitzen. Ihre Sicherheit hängt vollständig von diesen zentralisierten Plattformen ab.
- Nicht verwahrungspflichtig. Der Benutzer verfügt über eine private schlüsselähnliche Kontrollbefugnis, bei der es sich nicht um einen tatsächlichen privaten Schlüssel (oder eine Startphrase) handelt. Es stützt sich auf bekannte Cloud-Plattformen für Hosting und Authentifizierung/Autorisierung. Daher wird die Sicherheit der Cloud-Plattform zum anfälligsten Teil. Andere nutzen sicheres Multi-Party-Computing (MPC), um einzelne Risikopunkte zu eliminieren, und arbeiten auch mit beliebten Cloud-Plattformen zusammen, um das Benutzererlebnis zu maximieren.
Persönlich habe ich verschiedene Arten von schlüssellosen Werkzeugen verwendet. Zentralisierte Börsen mit großem Budget und gutem Ruf bieten das beste Erlebnis. Solange Sie nicht persönlich für den Verlust des Tokens verantwortlich sind (z. B. wenn Ihre Kontoinformationen gehackt wurden), erstatten zentralisierte Börsen in der Regel Ihren Verlust. Das MPC-basierte Keyless-Programm sieht sehr vielversprechend aus und sollte gefördert werden. Ich habe gute Erfahrungen mit ZenGo, Fireblocks und Safeheron. Die Vorteile liegen auf der Hand:
- Die Entwicklung des MPC-Algorithmus wird auf den bekannten Blockchains immer ausgereifter und muss nur noch für private Schlüssel durchgeführt werden.
- Eine Reihe von Ideen kann das Problem lösen, dass verschiedene Blockchains sehr unterschiedliche Multi-Signatur-Schemata haben, und so ein konsistentes Benutzererlebnis schaffen, das wir oft als universelle Multi-Signatur bezeichnen.
- Es kann sicherstellen, dass der echte private Schlüssel niemals erscheint, und den einzelnen Risikopunkt durch Multisignaturberechnung lösen.
- In Kombination mit der Cloud (oder Web2.0-Technologie) macht MPC nicht nur sicher, sondern sorgt auch für ein gutes Erlebnis.
Allerdings gibt es dennoch einige Nachteile:
- Nicht alle Open-Source-Projekte können die anerkannten Standards der Branche erfüllen. Es muss noch mehr Arbeit geleistet werden.
- Viele Menschen nutzen grundsätzlich nur Ethereum (oder EVM-basierte Blockchain). Daher reicht eine auf einem Smart-Contract-Ansatz basierende Multi-Signatur-Lösung wie Gnosis Safe aus.
Alles in allem ist es ein gutes Werkzeug, egal welches Tool Sie verwenden, solange Sie sich sicher und kontrollierbar fühlen und eine gute Erfahrung machen.
Bisher haben wir behandelt, worauf wir bei der Erstellung von Wallets achten müssen. Weitere allgemeine Sicherheitsprobleme werden in späteren Abschnitten behandelt.
Sichern Sie Ihr Portemonnaie
Hier würden viele gute Hände in die Falle tappen, auch ich. Ich habe nicht richtig gesichert und wusste, dass es früher oder später passieren würde. Glücklicherweise handelte es sich nicht um eine Wallet mit einer großen Menge an Vermögenswerten, und Freunde von SlowMist haben mir geholfen, sie wiederherzustellen. Dennoch war es eine beängstigende Erfahrung, die wohl niemand jemals durchmachen möchte. Also schnall dich an und lass uns lernen, wie du deinen Geldbeutel sicher verwahrst.
Mnemonische Phrase/privater Schlüssel
Wenn wir über die Sicherung einer Wallet sprechen, geht es im Wesentlichen um die Sicherung der mnemonischen Phrase (oder des privaten Schlüssels. Der Einfachheit halber verwenden wir im Folgenden die mnemonische Phrase). Die meisten mnemonischen Phrasen können wie folgt kategorisiert werden:
- Klartext
- Mit Passwort
- Mehrfachsignatur
- Shamir's Secret Sharing, kurz SSS
Ich werde jeden Typ kurz erklären.
Klartext, Klartext ist leicht zu verstehen. Sobald Sie diese 12 englischen Wörter haben, besitzen Sie die Vermögenswerte in der Brieftasche. Sie können eine spezielle Mischform in Betracht ziehen oder sogar eines der Wörter durch etwas anderes ersetzen. Beides würde es Hackern erschweren, in Ihr Wallet einzudringen. Allerdings würden Sie große Kopfschmerzen bekommen, wenn Sie die Regeln vergessen. Ihr Gedächtnis ist nicht kugelsicher. Vertrauen Sie mir, Ihr Gedächtnis wird nach einigen Jahren verwirren. Als ich vor ein paar Jahren das Ledger-Hardware-Wallet benutzte, änderte ich die Reihenfolge der 24-Wörter-Mnemonik-Phrase. Nach ein paar Jahren vergaß ich die Reihenfolge und war mir nicht sicher, ob ich irgendein Wort ersetzt hatte. Wie bereits erwähnt, wurde mein Problem mit einem speziellen Code-Breaker-Programm gelöst, das rohe Gewalt einsetzt, um die richtige Reihenfolge und die richtigen Wörter zu erraten.
Mit PasswortLaut Standard können mnemonische Phrasen ein Passwort haben. Es ist immer noch die gleiche Phrase, aber mit dem Passwort wird eine andere Startphrase erhalten. Die Seed-Phrase wird verwendet, um eine Reihe privater Schlüssel, öffentlicher Schlüssel und entsprechender Adressen abzuleiten. Sie sollten also nicht nur die Merksätze, sondern auch das Passwort sichern. Private Schlüssel können übrigens auch ein Passwort haben und es gibt eigene Standards, wie BIP 38 für Bitcoin und Keystore für Ethereum.
MehrfachsignaturWie der Name schon sagt, sind für den Zugriff auf Wallets die Unterschriften mehrerer Personen erforderlich. Es ist sehr flexibel, da Sie Ihre eigenen Regeln festlegen können. Wenn beispielsweise drei Personen über den Schlüssel verfügen (Mnemonikwörter oder private Schlüssel), können Sie verlangen, dass mindestens zwei Personen unterschreiben, um auf die Wallets zuzugreifen. Jede Blockchain verfügt über ihre eigene Multisignaturlösung. Die meisten bekannten Bitcoin-Wallets unterstützen Multisignatur. In Ethereum wird die Mehrfachsignatur jedoch hauptsächlich durch intelligente Verträge wie Gnosis Safe unterstützt. Darüber hinaus erfreut sich MPC (Secure Multi-Party Computation) immer größerer Beliebtheit. Es bietet ein ähnliches Erlebnis wie die herkömmliche Multisignatur, jedoch mit einer anderen Technologie. Im Gegensatz zu Mehrfachsignaturen ist MPC Blockchain-unabhängig und kann mit allen Protokollen arbeiten.
SSS, Shamir's Secret Sharing, SSS zerlegt den Samen in mehrere Anteile (normalerweise enthält jeder Anteil 20 Wörter). Um das Wallet wiederherzustellen, muss eine bestimmte Anzahl an Aktien gesammelt und verwendet werden. Einzelheiten finden Sie in den folgenden Best Practices der Branche:
https://support.keyst.one/advanced-features/recovery-phrase/import-or-create-shamir-backup
https://wiki.trezor.io/Shamir_backup
Der Einsatz von Lösungen wie Multisignatur und SSS gibt Ihnen Sicherheit und vermeidet Einzelpunktrisiken, kann aber die Verwaltung relativ kompliziert machen und manchmal sind mehrere Parteien beteiligt. Es gibt immer einen Kompromiss zwischen Komfort und Sicherheit. Die Entscheidung liegt beim Einzelnen, aber seien Sie niemals prinzipienfaul.
Verschlüsselung
Verschlüsselung ist ein sehr, sehr weit gefasstes Konzept. Dabei spielt es keine Rolle, ob die Verschlüsselung symmetrisch oder asymmetrisch ist oder andere fortschrittliche Technologien nutzt; Solange eine verschlüsselte Nachricht von Ihnen oder Ihrem Notfallteam problemlos entschlüsselt werden kann, aber von niemand anderem nach Jahrzehnten, handelt es sich um eine gute Verschlüsselung.
Basierend auf dem Sicherheitsprinzip „Zero Trust“ müssen wir beim Sichern von Wallets davon ausgehen, dass jeder Schritt gehackt werden könnte, auch physische Umgebungen wie ein Safe. Denken Sie daran, dass es außer Ihnen niemanden gibt, dem Sie vollkommen vertrauen können. Tatsächlich können Sie sich manchmal nicht einmal selbst trauen, weil Ihre Erinnerungen verblassen oder fehl am Platz sind. Ich werde jedoch nicht ständig pessimistische Annahmen treffen, da dies sonst zu unerwünschten Ergebnissen führen würde.
Bei der Sicherung muss besonderes Augenmerk auf die Notfallwiederherstellung gelegt werden. Der Hauptzweck der Notfallwiederherstellung besteht darin, einen einzelnen Risikopunkt zu vermeiden. Was würde passieren, wenn Sie weg sind oder die Umgebung, in der Sie das Backup speichern, ausfällt? Daher muss für wichtige Dinge eine Person für die Notfallwiederherstellung vorhanden sein und es müssen mehrere Backups vorhanden sein.
Ich werde nicht zu sehr auf die Auswahl der Person für die Notfallwiederherstellung eingehen, da es darauf ankommt, wem Sie vertrauen. Ich werde mich darauf konzentrieren, wie man die Mehrfachsicherungen durchführt. Werfen wir einen Blick auf einige grundlegende Formen von Backup-Speicherorten:
- Wolke
- Papier
- Gerät
- Gehirn
Wolke, Viele Menschen vertrauen Backups in der Cloud nicht, weil sie denken, dass sie anfällig für Hackerangriffe sind. Letzten Endes kommt es darauf an, welche Seite – der Angreifer oder der Verteidiger – sich sowohl personell als auch finanziell mehr anstrengt. Persönlich vertraue ich den Cloud-Diensten von Google, Apple, Microsoft usw., weil ich weiß, wie stark ihre Sicherheitsteams sind und wie viel sie für die Sicherheit ausgegeben haben. Neben dem Kampf gegen externe Hacker liegt mir auch die Kontrolle interner Sicherheitsrisiken und der Schutz privater Daten am Herzen. Die wenigen Dienstleister, denen ich vertraue, leisten in diesen Bereichen vergleichsweise bessere Arbeit. Aber nichts ist absolut. Wenn ich einen dieser Cloud-Dienste zur Sicherung wichtiger Daten (z. B. Wallets) wähle, werde ich die Wallets auf jeden Fall noch mindestens ein weiteres Mal verschlüsseln.
Ich empfehle dringend, GPG zu beherrschen. Es kann zur „Signaturüberprüfung“ verwendet werden und bietet gleichzeitig eine hohe Sicherheit bei der Ver- und Entschlüsselung. Mehr über GPG erfahren Sie unter:
Okay, Sie haben GPG gemeistert 🙂 Nachdem Sie nun die entsprechenden Daten in Ihrem Wallet (Mnemonikphrase oder privater Schlüssel) mit GPG in einer offline gesicherten Umgebung verschlüsselt haben, können Sie die verschlüsselten Dateien nun direkt in diese Cloud-Dienste werfen und dort speichern. Alles wird gut. Aber ich muss Sie hier daran erinnern: Verlieren Sie niemals den privaten Schlüssel zu Ihrem GPG oder vergessen Sie das Passwort des privaten Schlüssels …
An diesem Punkt könnten Sie feststellen, dass diese zusätzliche Sicherheitsstufe ziemlich problematisch ist: Sie müssen sich mit GPG vertraut machen und Ihren privaten GPG-Schlüssel und Ihre Passwörter sichern. Wenn Sie alle oben genannten Schritte durchgeführt haben, sind Sie in Wirklichkeit bereits mit dem Prozess vertraut und werden ihn nicht als so schwierig oder mühsam empfinden. Mehr sage ich nicht, denn Übung macht den Meister.
Wenn Sie etwas Aufwand sparen möchten, gibt es eine andere Möglichkeit, deren Sicherheit jedoch möglicherweise herabgesetzt wird. Ich kann den genauen Rabatt nicht messen, aber manchmal wäre ich faul, wenn ich einige bekannte Tools zur Unterstützung nutzen würde. Dieses Tool ist 1Password. Die neueste Version von 1Password unterstützt bereits die direkte Speicherung von Wallet-bezogenen Daten wie Mnemonikwörtern, Passwörtern, Wallet-Adressen usw., was für Benutzer praktisch ist. Andere Tools (wie Bitwarden) können etwas Ähnliches erreichen, sind aber nicht so praktisch.
PapierViele Hardware-Wallets werden mit mehreren hochwertigen Papierkarten geliefert, auf denen Sie Ihre mnemonischen Phrasen (im Klartext, SSS usw.) notieren können. Manche Leute verwenden neben Papier auch Stahlplatten (feuerbeständig, wasserbeständig und korrosionsbeständig, die habe ich natürlich nicht ausprobiert). Testen Sie es, nachdem Sie die mnemonischen Phrasen kopiert haben, und wenn alles funktioniert, legen Sie es an einem Ort ab, an dem Sie sich sicher fühlen, beispielsweise in einem Safe. Ich persönlich verwende sehr gerne Papier, da Papier bei richtiger Lagerung eine viel längere Lebensdauer hat als elektronische Geräte.
Gerät, Es bezieht sich auf alle Arten von Geräten; Eine gängige Art der Datensicherung sind Elektronikgeräte, etwa ein Computer, ein iPad, ein iPhone oder eine Festplatte usw., je nach persönlicher Vorliebe. Wir müssen auch an die sichere Übertragung zwischen Geräten denken. Ich verwende gerne Peer-to-Peer-Methoden wie AirDrop und USB, bei denen es für einen Mittelsmann schwierig ist, den Prozess zu kapern. Ich bin von Natur aus beunruhigt darüber, dass elektronische Geräte nach ein paar Jahren kaputt gehen können, deshalb habe ich es mir zur Gewohnheit gemacht, das Gerät mindestens einmal im Jahr zu überprüfen. Es gibt einige sich wiederholende Schritte (z. B. Verschlüsselung), die Sie im Abschnitt „Cloud“ nachlesen können.
Gehirn, Es ist aufregend, sich auf sein Gedächtnis zu verlassen. Tatsächlich hat jeder seinen eigenen „Gedächtnispalast“. Das Gedächtnis ist kein Geheimnis und kann trainiert werden, damit es besser funktioniert. Es gibt bestimmte Dinge, die mit dem Gedächtnis tatsächlich sicherer sind. Ob man sich ausschließlich auf das Gehirn verlässt, ist eine persönliche Entscheidung. Beachten Sie jedoch zwei Risiken: Erstens verblasst die Erinnerung mit der Zeit und kann zu Verwirrung führen. Das andere Risiko besteht darin, dass Sie einen Unfall haben könnten. Ich werde hier anhalten und Sie mehr erkunden lassen.
Jetzt sind Sie alle gesichert. Verschlüsseln Sie nicht zu viel, sonst leiden Sie nach einigen Jahren an sich selbst. Gemäß dem Sicherheitsprinzip der „kontinuierlichen Überprüfung“ müssen Ihre Verschlüsselungs- und Sicherungsmethoden, ob exzessiv oder nicht, kontinuierlich überprüft werden, sowohl regelmäßig als auch stichprobenartig. Die Überprüfungshäufigkeit hängt von Ihrem Gedächtnis ab und Sie müssen nicht den gesamten Vorgang abschließen. Solange der Prozess korrekt ist, funktioniert auch die Teilverifizierung. Schließlich ist auch auf die Vertraulichkeit und Sicherheit des Authentifizierungsprozesses zu achten.
Okay, lass uns hier tief durchatmen. Der Anfang ist der schwierigste Teil. Jetzt, da du bereit bist, lass uns diesen dunklen Wald betreten 🙂
So verwenden Sie Ihr Wallet
Sobald Sie Ihre Wallets erstellt und gesichert haben, kommt die eigentliche Herausforderung. Wenn Sie Ihre Vermögenswerte nicht häufig bewegen oder kaum mit Smart Contracts von DeFi, NFT, GameFi oder Web3 (der beliebte Begriff, der heutzutage häufig verwendet wird) interagieren, sollten Ihre Vermögenswerte relativ sicher sein.
AML
„Relativ sicher“ bedeutet jedoch nicht „überhaupt kein Risiko“. Denn „man weiß nie, was zuerst kommt, morgen oder Unfälle“, oder? Warum ist es? Denken Sie darüber nach: Woher haben Sie die Kryptowährung? Es kam nicht einfach aus dem Nichts, oder? Bei allen Kryptowährungen, die Sie jederzeit erhalten, kann es zu AML (Anti Money Laundering) kommen. Das bedeutet, dass die Kryptowährung, die Sie gerade halten, möglicherweise schmutzig ist und, wenn Sie Pech haben, sogar direkt in der Kette eingefroren ist. Öffentlichen Berichten zufolge hat Tether auf Ersuchen von Strafverfolgungsbehörden einmal einige USDT-Vermögenswerte eingefroren. Die Liste der eingefrorenen Gelder finden Sie hier.
Sie können anhand des USDT-Vertrags überprüfen, ob eine Adresse von Tether eingefroren ist.
https://etherscan.io/token/0xdac17f958d2ee523a2206206994597c13d831ec7#readContract
Verwenden Sie zur Überprüfung die Ziel-Wallet-Adresse als Eingabe int isBlackListed. Andere Ketten, die USDT akzeptieren, haben eine ähnliche Verifizierungsmethode.
Allerdings sollten Ihre BTC und ETH niemals eingefroren werden. Sollte dies eines Tages in der Zukunft geschehen, würde auch der Glaube an die Dezentralisierung zusammenbrechen. Die meisten Fälle des Einfrierens von Kryptowährungs-Assets, von denen wir heute gehört haben, ereigneten sich tatsächlich auf zentralisierten Plattformen (wie Binance, Coinbase usw.), aber nicht auf der Blockchain. Wenn Ihre Kryptowährung auf zentralisierten Exchange-Plattformen verbleibt, besitzen Sie eigentlich keine davon. Wenn die zentralisierten Plattformen Ihr Konto einfrieren, widerrufen sie tatsächlich Ihre Erlaubnis zum Handeln oder Abheben. Das Konzept des Einfrierens könnte für Neulinge in diesem Bereich irreführend sein. Infolgedessen verbreiteten einige rücksichtslose Selbstmedien alle möglichen Verschwörungstheorien über BitCoin.
Obwohl Ihre BTC- und ETH-Vermögenswerte nicht in der Blockchain eingefroren werden, können zentralisierte Börsen Ihre Vermögenswerte gemäß den Anforderungen der Geldwäschebekämpfung einfrieren, sobald Ihre Vermögenswerte auf diese Plattformen übertragen werden und sie an allen offenen Fällen beteiligt sind, an denen die Strafverfolgungsbehörden arbeiten.
Um AML-Probleme besser zu vermeiden, wählen Sie als Gegenpartei immer Plattformen und Personen mit einem guten Ruf. Es gibt tatsächlich einige Lösungen für diese Art von Problem. Auf Ethereum beispielsweise verwenden fast alle Bösewichte und Menschen, denen ihre Privatsphäre sehr am Herzen liegt, Tornado Cash zum Mischen von Münzen. Ich werde mich nicht weiter mit diesem Thema befassen, da die meisten Methoden hier dazu dienen, Böses zu tun.
Kalte Geldbörse
Es gibt verschiedene Möglichkeiten, ein Cold Wallet zu nutzen. Aus Sicht eines Wallets kann es als Cold Wallet betrachtet werden, solange es nicht mit einem Netzwerk verbunden ist. Aber wie nutzt man es, wenn es offline ist? Zunächst einmal: Wenn Sie nur Kryptowährungen erhalten möchten, ist das keine große Sache. Ein Cold Wallet könnte ein hervorragendes Erlebnis bieten, wenn es mit einem Watch-Only-Wallet wie imToken, Trust Wallet usw. zusammenarbeitet. Diese Wallets könnten durch einfaches Hinzufügen von Ziel-Wallet-Adressen in Watch-Only-Wallets umgewandelt werden.
Wenn wir Kryptowährungen über Cold Wallets versenden möchten, sind hier die am häufigsten verwendeten Methoden:
- QR-Code
- USB
- Bluetooth
All dies erfordert eine spezielle App (hier Light App genannt), um mit dem Cold Wallet zu funktionieren. Die Light-App wird zusammen mit der oben genannten Nur-Uhr-Wallet online sein. Sobald wir das zugrunde liegende wesentliche Prinzip verstanden haben, sollten wir in der Lage sein, diese Ansätze zu verstehen. Das wesentliche Prinzip ist: Letztendlich geht es nur noch darum, herauszufinden, wie man signierte Inhalte auf die Blockchain überträgt. Der detaillierte Ablauf ist wie folgt:
- Der zu signierende Inhalt wird auf einem dieser Wege von der Light App an das Cold Wallet übermittelt.
- Die Signatur wird von der Cold Wallet, die über den privaten Schlüssel verfügt, verarbeitet und dann auf dem gleichen Weg zurück an die Light App übertragen
- Die Light App sendet den signierten Inhalt auf der Blockchain.
Unabhängig davon, welche Methode verwendet wird (QR-Code, USB oder Bluetooth), sollte der oben beschriebene Prozess befolgt werden. Natürlich können die Details je nach Methode variieren. Beispielsweise verfügt der QR-Code über eine begrenzte Informationskapazität. Wenn die Signaturdaten also zu groß sind, müssen wir sie aufteilen.
Es scheint etwas mühsam zu sein, aber es wird besser, wenn man sich daran gewöhnt. Sie würden sogar ein volles Gefühl der Sicherheit verspüren. Betrachten Sie 100% jedoch nicht als sicher, da hier immer noch Risiken bestehen und es aufgrund dieser Risiken bereits viele Fälle schwerer Verluste gegeben hat. Hier sind Risikopunkte:
- Die Zieladresse der Münzübertragung wurde nicht sorgfältig überprüft, was dazu führte, dass die Münze an eine andere Person übertragen wurde. Menschen sind manchmal faul und nachlässig. Meistens überprüfen sie beispielsweise nur die ersten und letzten paar Bits einer Wallet-Adresse, anstatt die gesamte Adresse vollständig zu überprüfen. Dies bietet Bösewichten eine Hintertür. Sie führen Programme aus, um die Wallet-Adresse mit denselben ersten und letzten paar Bits wie Ihre gewünschte Zieladresse zu erhalten, und ersetzen dann mithilfe einiger Tricks Ihre Zieladresse für den Münztransfer durch die unter ihrer Kontrolle stehende Adresse.
- Münzen werden an unbekannte Adressen autorisiert. Normalerweise ist die Autorisierung der Mechanismus der Ethereum-Smart-Contract-Tokens, die „Genehmigungsfunktion“, wobei ein Argument die Zielautorisierungsadresse und das andere die Menge ist. Viele Leute verstehen diesen Mechanismus nicht und autorisieren daher möglicherweise eine unbegrenzte Anzahl von Tokens an die Zieladresse. Zu diesem Zeitpunkt hat die Zieladresse die Erlaubnis, alle diese Tokens wegzuleiten. Dies wird als autorisierter Münzdiebstahl bezeichnet, und es gibt noch andere Varianten dieser Technik, auf die ich hier jedoch nicht näher eingehen möchte.
- Einige Unterschriften, die unwichtig erscheinen, haben tatsächlich riesige Fallstricke im Hintergrund, und ich werde jetzt nicht näher darauf eingehen, sondern die Details später erläutern.
- Das Cold Wallet hat möglicherweise nicht genügend notwendige Informationen bereitgestellt, was zu Nachlässigkeit und Fehleinschätzungen geführt hat.
Es läuft alles auf zwei Punkte hinaus:
- Der Sicherheitsmechanismus für die Benutzerinteraktion „What you see is what you sign“ fehlt.
- Fehlendes relevantes Hintergrundwissen des Benutzers.
Heiße Geldbörse
Im Vergleich zu einem Cold Wallet birgt ein Hot Wallet grundsätzlich alle Risiken, die auch ein Cold Wallet mit sich bringen würde. Hinzu kommt noch eines: das Risiko eines Diebstahls der geheimen Phrase (oder des privaten Schlüssels). An dieser Stelle sind bei Hot Wallets weitere Sicherheitsaspekte zu berücksichtigen, beispielsweise die Sicherheit der Laufzeitumgebung. Wenn mit der Laufzeitumgebung Viren in Zusammenhang stehen, besteht die Gefahr eines Diebstahls. Es gibt auch Hot Wallets, die bestimmte Schwachstellen aufweisen, durch die die geheime Phrase direkt gestohlen werden kann.
Wenn Sie zusätzlich zur regulären Coin-Transfer-Funktion mit anderen DApps (DeFi, NFT, GameFi usw.) interagieren möchten, müssen Sie entweder direkt mit Ihrem eigenen Browser darauf zugreifen oder mit den in Ihrem PC-Browser geöffneten DApps interagieren das WalletConnect-Protokoll.
Hinweis: Verweise auf DApps in diesem Handbuch beziehen sich standardmäßig auf Smart-Contract-Projekte, die auf den Ethereum-Blockchains ausgeführt werden.
Standardmäßig führen solche Interaktionen nicht zum Diebstahl geheimer Phrasen, es sei denn, es liegt ein Problem mit dem Sicherheitsdesign der Brieftasche selbst vor. Aufgrund unserer Sicherheitsüberprüfungen und Sicherheitsforschungshistorie besteht die Gefahr, dass Wallet-Geheimphrasen direkt durch bösartiges JavaScript auf der Zielseite gestohlen werden. Dies ist jedoch ein seltener Fall, da es sich tatsächlich um einen äußerst geringfügigen Fehler handelt, den wahrscheinlich kein bekanntes Wallet begehen wird.
Nichts davon ist eigentlich mein eigentliches Anliegen, sie sind für mich (und auch für Sie) beherrschbar. Meine größte Sorge ist: Wie stellt jede Iteration eines bekannten Wallets sicher, dass kein Schadcode oder eine Hintertür eingeschleust wird? Die Implikation dieser Frage ist klar: Ich habe überprüft, dass die aktuelle Version des Wallets keine Sicherheitsprobleme aufweist und ich sie problemlos verwenden kann, weiß aber nicht, wie sicher die nächste Version sein wird. Schließlich haben ich oder mein Sicherheitsteam nicht so viel Zeit und Energie, um alle Überprüfungen durchzuführen.
Es gab mehrere Vorfälle von Münzdiebstahl, die durch Schadcode oder Hintertüren verursacht wurden, wie hier beschrieben, wie CoPay, AToken usw. Sie können selbst nach den konkreten Vorfällen suchen.
In diesem Fall gibt es mehrere Möglichkeiten, Böses zu tun:
- Wenn das Wallet ausgeführt wird, verpackt der Schadcode die entsprechende Geheimphrase und lädt sie direkt auf den von Hackern kontrollierten Server hoch.
- Wenn das Wallet läuft und der Benutzer eine Überweisung initiiert, werden Informationen wie die Zieladresse und der Betrag heimlich im Wallet-Backend ersetzt und sind für den Benutzer schwer zu bemerken.
- Verfälschung der Entropiewerte der Zufallszahlen, die mit der Generierung geheimer Phrasen verbunden sind, wodurch diese relativ einfach zu entschlüsseln sind.
Sicherheit ist eine Sache der Unwissenheit und des Wissens, und es gibt viele Dinge, die leicht ignoriert oder übersehen werden könnten. Für Wallets, die wichtige Vermögenswerte enthalten, ist meine Sicherheitsregel daher ebenfalls einfach: Keine einfachen Updates, wenn sie zur Verwendung ausreichen.
Was ist DeFi-Sicherheit?
Wenn wir über DApp sprechen, könnte es sich um DeFi, NFT oder GameFi usw. handeln. Die Sicherheitsgrundlagen sind größtenteils gleich, sie haben jedoch ihre jeweiligen Besonderheiten. Nehmen wir zur Erläuterung zunächst DeFi als Beispiel. Was genau meinen wir, wenn wir über DeFi-Sicherheit sprechen? Die Leute in der Branche schauen sich fast immer nur Smart Contracts an. Es scheint, dass alles gut wird, wenn intelligente Verträge gut sind. Nun, eigentlich ist das alles andere als wahr.
Die DeFi-Sicherheit umfasst mindestens die folgenden Komponenten:
- Intelligente Vertragssicherheit
- Sicherheit der Blockchain Foundation
- Frontend-Sicherheit
- Kommunikationssicherheit
- Menschliche Sicherheit
- Finanzielle Sicherheit
- Compliance-Sicherheit
Intelligente Vertragssicherheit
Die Sicherheit intelligenter Verträge ist in der Tat der wichtigste Einstiegspunkt für Sicherheitsüberprüfungen. Die Sicherheitsüberprüfungsstandards von SlowMist für intelligente Verträge finden Sie unter:
https://www.slowmist.com/service-smart-contract-security-audit.html
Wenn für fortgeschrittene Spieler die Sicherheit des Smart-Contract-Teils selbst kontrollierbar ist (ob sie sich selbst prüfen können oder von professionellen Organisationen herausgegebene Sicherheitsprüfberichte verstehen), spielt es keine Rolle, ob die anderen Teile sicher sind. Kontrollierbar ist ein kniffliges Konzept, das teilweise von der eigenen Stärke des Spielers abhängt. Beispielsweise haben Spieler bestimmte Anforderungen in Bezug auf das Risiko einer übermäßigen Smart-Contract-Autorität. Wenn das Projekt selbst stark ist und die Menschen dahinter einen guten Ruf haben, würde eine vollständige Zentralisierung keine Rolle spielen. Wenn Sie jedoch bei weniger bekannten, kontroversen oder aufstrebenden Projekten feststellen, dass die Smart Contracts des Projekts ein übermäßiges Genehmigungsrisiko bergen, insbesondere wenn sich solche Berechtigungen auch auf Ihr Kapital oder Ihre Einnahmen auswirken können, werden Sie sicherlich zurückhaltend sein.
Das Risiko einer übermäßigen Erlaubnis ist sehr subtil. In vielen Fällen obliegt es dem Administrator des Projekts, relevante Governance- und Risikovorsorgemaßnahmen durchzuführen. Für Benutzer ist dies jedoch eine Prüfung der menschlichen Natur. Was ist, wenn das Team beschließt, Böses zu tun? Daher gibt es in der Branche eine Kompromisspraxis: das Hinzufügen von Timelock, um solche Risiken übermäßiger Berechtigungen zu mindern, zum Beispiel:
Compound, ein etabliertes und bekanntes DeFi-Projekt, die Kern-Smart-Contract-Module Comptroller und Governance, haben beide einen Timelock-Mechanismus zu ihrer Administratorberechtigung hinzugefügt:
Controller(0x3d9819210a31b4961b30ef54be2aed79b9c9cd3b)
Governance(0xc0da02939e1441f497fd74f78ce7decb17b66529)
Der Administrator dieser beiden Module ist
Zeitsperre (0x6d903f6003cca6255d85cca4d3b5e5146dc33925)
Sie können direkt in der Kette herausfinden, dass der Timelock (Verzögerungsvariable) 48 Stunden (172.800 Sekunden) beträgt:
Das heißt, wenn der Administrator von Compound einige Schlüsselvariablen des Ziel-Smart-Vertrags ändern muss, wird die Transaktion aufgezeichnet, nachdem sie in der Blockchain initiiert wurde. Es muss jedoch 48 Stunden gewartet werden, bevor die Transaktion abgeschlossen und ausgeführt werden kann. Das bedeutet, dass Sie, wenn Sie möchten, jeden einzelnen Vorgang vom Administrator aus überwachen können und mindestens 48 Stunden Zeit haben, um zu handeln. Wenn Sie sich beispielsweise unsicher sind, können Sie Ihr Geld innerhalb von 48 Stunden abheben.
Eine weitere Möglichkeit, das Risiko übermäßiger Berechtigungen des Administrators zu verringern, besteht darin, Multisignaturen hinzuzufügen, z. B. die Verwendung von Gnosis Safe für die Multisig-Verwaltung, sodass es zumindest keinen Diktator gibt. Hierbei ist zu beachten, dass Multisig „des Kaisers neue Kleider“ sein kann. Beispielsweise kann eine Person mehrere Schlüssel besitzen. Daher muss die Multisig-Strategie des Zielprojekts klar dargelegt werden. Wer die Schlüssel besitzt und die Identität jedes Schlüsselinhabers muss seriös sein.
Es ist hier erwähnenswert, dass jede Sicherheitsstrategie zum Problem „des Kaisers neue Kleider“ führen kann, was zwar gut gemacht zu sein scheint, es aber in Wirklichkeit nicht ist, was zu einer Illusion von Sicherheit führt. Nehmen Sie ein anderes Beispiel: Timelock sieht auf dem Papier gut aus. Tatsächlich gab es Fälle, in denen Timelock, das von einigen Projekten bereitgestellt wurde, Hintertüren hatte. Im Allgemeinen schauen Benutzer nicht in den Quellcode von Timelock, und selbst wenn sie es täten, würden sie ihn nicht unbedingt verstehen, sodass der Administrator dort eine Hintertür einbaut, und lange genug würde es niemandem wirklich auffallen.
Neben dem Risiko übermäßiger Berechtigungen sind auch andere Elemente der Sicherheit intelligenter Verträge von entscheidender Bedeutung. Aufgrund der Verständnisvoraussetzungen werde ich hier jedoch nicht näher darauf eingehen. Hier ist mein Rat: Sie sollten zumindest lernen, den Sicherheitsauditbericht zu lesen, denn Übung macht den Meister.
Sicherheit der Blockchain Foundation
Die Sicherheit der Blockchain-Grundlage bezieht sich auf die Sicherheit der Blockchain selbst, wie z. B. die Sicherheit des Konsensbuchs, die Sicherheit virtueller Maschinen usw. Wenn die Sicherheit der Blockchain selbst besorgniserregend ist, würden die in der Kette laufenden Smart-Contract-Projekte direkt darunter leiden. Es ist so wichtig, eine Blockchain mit ausreichenden Sicherheitsmechanismen und Reputation zu wählen, besser noch mit einer höheren Wahrscheinlichkeit der Langlebigkeit.
Frontend-Sicherheit
Frontend-Sicherheit ist wirklich der Teufel. Es ist zu nah an den Benutzern und es ist besonders leicht, Benutzer zu täuschen. Vielleicht liegt das Hauptaugenmerk aller auf der Wallet- und Smart-Contract-Sicherheit, was dazu führt, dass die Frontend-Sicherheit leicht übersehen wird. Ich möchte noch einmal betonen, dass Frontend-Sicherheit der Teufel ist! Erlauben Sie mir, tiefer zu graben.
Meine größte Sorge hinsichtlich der Frontend-Sicherheit ist: Woher weiß ich, dass der Vertrag, mit dem ich über diese spezielle Frontend-Seite interagiere, der Smart Contract ist, den ich erwarte?
Diese Unsicherheit ist hauptsächlich auf zwei Faktoren zurückzuführen:
- Insider-Job
- Dritte Seite
Es ist einfach, die interne Aufgabe zu verstehen. Beispielsweise ersetzen die Entwickler heimlich die Smart-Contract-Zieladresse auf der Frontend-Seite durch eine Vertragsadresse mit einer Hintertür oder schleusen ein Autorisierungs-Phishing-Skript ein. Wenn Sie diese manipulierte Frontend-Seite besuchen, kann es sein, dass eine Reihe nachfolgender Vorgänge mit Kryptos in Ihrem Wallet in einer Falle ausgeführt werden. Bevor Sie es merken, wären die Münzen bereits weg.
Der Dritte bezieht sich hauptsächlich auf zwei Typen:
-
Zum einen wird die Abhängigkeitskette unterwandert. Beispielsweise verfügt die von der Frontend-Seite verwendete Abhängigkeit von Drittanbietern über eine Hintertür, die zusammen mit der Verpackung und Veröffentlichung in die Ziel-Frontend-Seite eingeschleust wird. Das Folgende ist die Paketabhängigkeitsstruktur von SushiSwap (nur zur Veranschaulichung, das bedeutet nicht unbedingt, dass das Projekt im Screenshot ein solches Problem hat):
-
Das andere Beispiel sind Remote-JavaScript-Dateien von Drittanbietern, die von der Frontend-Seite importiert werden. Wenn diese JavaScript-Datei gehackt wird, ist es möglich, dass auch die Ziel-Frontend-Seite betroffen ist, z. B. OpenSea (nur zur Veranschaulichung, das bedeutet nicht unbedingt, dass das Projekt im Screenshot ein solches Problem aufweist):
Der Grund, warum wir gesagt haben, dass dies nur möglich, aber nicht sicher ist, liegt darin, dass das Risiko gemindert werden könnte, wenn Entwickler auf die folgende Weise auf eine Remote-JavaScript-Datei eines Drittanbieters auf der Frontend-Seite verweisen:
<script src=”https://example.com/example-framework.js„integrity=“sha384-Li9vy3DqF8tnTXuiaAJuML3ky+er10rcgNR/VqsVpcw+ThHmYcwiB1pbOxEbzJr7″ crossorigin=“anonymous“>
Der entscheidende Punkt hier ist ein netter Sicherheitsmechanismus von HTML5: Integritätsattribut in Tags (SRI-Mechanismus). Integrity unterstützt SHA256, SHA384 und SHA512. Wenn JavaScript-Dateien von Drittanbietern die Hash-Integritätsprüfung nicht bestehen, werden die Dateien nicht geladen. Dies kann eine gute Möglichkeit sein, eine unbeabsichtigte Codeausführung zu verhindern. Die Verwendung dieses Mechanismus erfordert jedoch, dass die Zielressource die CORS-Antwort unterstützt. Einzelheiten finden Sie hier:
https://developer.mozilla.org/zh-CN/docs/Web/Security/Subresource_Integrity
Kommunikationssicherheit
Konzentrieren wir uns in diesem Abschnitt auf die HTTPS-Sicherheit. Erstens muss die Zielwebsite HTTPS verwenden und eine HTTP-Klartextübertragung sollte niemals erlaubt sein. Dies liegt daran, dass die HTTP-Klartextübertragung zu einfach ist, um von Man-in-the-Middle-Angriffen gekapert zu werden. Heutzutage ist HTTPS als sicheres Übertragungsprotokoll weit verbreitet. Wenn es einen Man-in-the-Middle-Angriff auf HTTPS gibt und Angreifer bösartiges JavaScript in das Front-End der Webanwendung eingeschleust haben, wird im Browser des Benutzers eine sehr offensichtliche HTTPS-Zertifikatfehlerwarnung angezeigt.
Nehmen wir den MyEtherWallet-Vorfall als Beispiel, um diesen Punkt zu veranschaulichen.
MyEtherWallet war früher ein sehr beliebtes Webanwendungs-Wallet und ist bis heute immer noch sehr bekannt. Es handelt sich jedoch nicht mehr nur um eine Webanwendungs-Wallet. Wie bereits erwähnt, rate ich aus Sicherheitsgründen dringend von der Verwendung von Webanwendungs-Wallets ab. Neben verschiedenen Problemen bei der Front-End-Sicherheit stellt auch HTTPS-Hijacking ein großes potenzielles Risiko dar.
Am 24. April 2018 kam es zu einem schwerwiegenden Sicherheitsvorfall im Zusammenhang mit HTTPS-Hijacking in MyEtherWallet. Die Zusammenfassung des Vorfalls finden Sie hier:
https://www.reddit.com/r/MyEtherWallet/comments/8eloo9/official_statement_regarding_dns_spoofing_of/
https://www.reddit.com/r/ethereum/comments/8ek86t/warning_myetherwalletcom_highjacked_on_google/
Bei dem Angriff kaperte der Hacker den DNS-Dienst (Google Public DNS), der von einer großen Anzahl von MyEtherWallet-Benutzern über BGP, ein altes Routing-Protokoll, verwendet wird, was direkt zur Anzeige von HTTPS-Fehlerwarnungen im Browser jedes Benutzers führte, wenn dieser versuchte, die Website zu besuchen MyEtherWallet-Website. Tatsächlich sollten Benutzer aufhören, wenn sie diese Warnung sehen, da sie im Grunde darauf hinweist, dass die Zielwebseite gekapert wurde. In Wirklichkeit ignorierten jedoch viele Benutzer die Warnung einfach und setzten ihre Interaktionen mit der gekaperten Website fort, weil sie das Sicherheitsrisiko hinter der HTTPS-Fehlerwarnung überhaupt nicht verstanden.
Da die Zielwebseite gekapert worden war und der Hacker dort bösartiges JavaScript eingeschleust hatte, hätten die Hacker bei der Interaktion der Benutzer erfolgreich deren privaten Klartextschlüssel gestohlen und ihr Geld (hauptsächlich ETH) wegüberwiesen.
Dies ist definitiv ein klassischer Fall, in dem Hacker BGP-Hijacking-Techniken nutzten, um Krypto zu stehlen. Es ist einfach übertrieben. Seitdem gab es mehrere ähnliche Fälle, auf die ich hier nicht näher eingehen möchte. Für den Benutzer gibt es nur eine Sache, die wirklich Aufmerksamkeit erfordert: Wenn Sie sich jemals für die Verwendung einer Webanwendungs-Wallet entscheiden oder versuchen, mit einer DApp zu interagieren, stellen Sie immer sicher, dass Sie die Seite anhalten und schließen, wenn Sie eine HTTPS-Zertifikatfehlerwarnung sehen! Und Ihr Geld wird in Ordnung sein. Es gibt eine grausame Realität im Sicherheitsbereich: Wenn ein Risiko besteht, lassen Sie den Benutzern keine Wahl. Wenn Sie das tun, wird es immer Benutzer geben, die aus welchen Gründen auch immer in die Falle tappen. Tatsächlich muss das Projektteam die Verantwortung übernehmen. Bis heute gibt es bereits sehr wirksame Sicherheitslösungen für das oben erwähnte HTTPS-Hijacking-Problem: Das Projektteam muss HSTS richtig konfigurieren. HSTS steht für HTTP Strict Transport Security; Dabei handelt es sich um einen Web-Sicherheitsrichtlinienmechanismus, der von den meisten modernen Browsern unterstützt wird. Wenn HSTS aktiviert ist, zwingt der Browser Benutzer im Falle eines HTTPS-Zertifikatfehlers dazu, den Zugriff auf die Ziel-Webanwendungen einzustellen, und die Einschränkung kann nicht umgangen werden. Verstehst du jetzt, was ich meine?
Sicherheit der menschlichen Natur
Dieser Abschnitt ist leicht zu verstehen. Beispielsweise ist das Projektteam böse gesinnt und handelt unehrlich. Ich habe einige relevante Inhalte in den vorherigen Abschnitten erwähnt, daher werde ich hier nicht näher darauf eingehen. Weitere Informationen werden in späteren Abschnitten behandelt.
Finanzielle Sicherheit
Finanzielle Sicherheit sollte zutiefst respektiert werden. Bei DeFi legen Benutzer größtes Augenmerk auf den Preis und die Rendite des Tokens. Sie wollen eine höhere oder zumindest konstante Kapitalrendite. Mit anderen Worten: Als Benutzer spiele ich das Spiel, um zu gewinnen, und wenn ich verliere, muss ich zumindest davon überzeugt sein, dass es ein faires Spiel ist. Das liegt in der Natur des Menschen.
Die finanzielle Sicherheit in DeFi ist anfällig für Angriffe in den folgenden Formen:
- Unfaire Einführungspraktiken wie Pre-Mining oder Pre-Sale;
- Krypto-Wal-Angriff;
- Pumpen und entleeren;
- Black Swan-Ereignisse, wie ein plötzlicher Marktwasserfall; Oder sagen wir mal, wenn ein DeFi-Protokoll verschachtelt ist oder mit anderen DeFi/Tokens zusammenarbeitet, hängt seine Sicherheit/Zuverlässigkeit stark von anderen Protokollen ab
- Andere technische Angriffe oder sogenannte wissenschaftliche Techniken wie Front-Running, Sandwich-Angriffe, Flash-Loan-Angriffe usw
Compliance-Anforderungen
Compliance-Anforderungen sind ein sehr großes Thema, die bereits erwähnte Geldwäschebekämpfung (AML) ist nur einer der Punkte. Es gibt auch Aspekte wie KYC (Know Your Customer), Sanktionen, Wertpapierrisiken usw. Tatsächlich unterliegen diese für uns Benutzer nicht unserer Kontrolle. Wenn wir mit einem bestimmten Projekt interagieren, werden möglicherweise unsere Datenschutzinformationen erfasst, da dieses in bestimmten Ländern möglicherweise einschlägigen Vorschriften unterliegt. Solche Datenschutzprobleme interessieren Sie vielleicht nicht, aber es gibt Leute, die das tun.
Anfang 2022 kam es beispielsweise zu einem kleinen Vorfall: Einige Wallets beschlossen, das Address Ownership Proof Protocol (AOPP)-Protokoll zu unterstützen:
Ich habe mir das Protokolldesign angesehen und festgestellt, dass bei Wallets, die AOPP unterstützen, die Privatsphäre der Benutzer verloren gehen könnte. Regulierungsbehörden könnten die Verbindung zwischen einer regulierten Krypto-Börse und einer unbekannten externen Wallet-Adresse erfahren.
Kein Wunder, dass viele datenschutzorientierte Geldbörsen so besorgt über das Feedback der Benutzer sind und die AOPP-Unterstützung schnell von ihren Produkten entfernt haben. Aber um ehrlich zu sein: Das Protokolldesign ist durchaus interessant. Mir ist aufgefallen, dass einige Wallets nicht vorhaben, die Unterstützung für AOPP zu entfernen, wie zum Beispiel EdgeWallet. Sie sind der Meinung, dass AOPP nicht unbedingt mehr Privatsphäre für die Benutzer offenlegt, sondern im Gegenteil dazu beiträgt, die Verbreitung von Kryptowährungen zu verbessern. Bei vielen regulierten Krypto-Börsen ist es Benutzern nicht gestattet, auf eine bestimmte externe Wallet-Adresse Geld abzuheben, bevor er seinen Besitz daran nachweisen kann.
Das bekannte Hardware-Wallet Trezor weigerte sich zunächst, die AOPP-Unterstützung zu entfernen. Doch später war es gezwungen, Kompromisse einzugehen, und zwar aufgrund des Drucks der Community und der Nutzer auf Twitter.
Wie Sie sehen, handelt es sich um einen kleinen Vorfall, aber für manche Menschen ist die Privatsphäre wirklich wichtig. Das heißt nicht, dass wir gegen Vorschriften verstoßen und Compliance-Anforderungen völlig ignorieren sollten. Tatsächlich glaube ich, dass es notwendig ist, bei den Compliance-Anforderungen ein gewisses Maß an Kompromissen einzugehen. Wir werden uns nicht weiter mit diesem Thema befassen, Sie können den Inhalt gerne auf Ihre eigene Art und Weise verarbeiten.
Bisher haben wir den Großteil der Inhalte im Abschnitt „DeFi-Sicherheit“ abgedeckt.
Darüber hinaus gibt es auch Sicherheitsprobleme, die durch zukünftige Ergänzungen oder Updates entstehen. Wir sagen oft: „Sicherheitslage ist dynamisch, nicht statisch.“ Heutzutage führen beispielsweise die meisten Projektteams Sicherheitsaudits durch und legen saubere Sicherheitsauditberichte vor. Wenn Sie die qualitativ hochwertigen Berichte jemals sorgfältig lesen, werden Sie feststellen, dass diese Berichte den Umfang, den Zeitrahmen und die eindeutige Kennung der geprüften Inhalte (z. B. die verifizierte Open-Source-Smart-Contract-Adresse oder die Commit-Adresse im GitHub-Repo) klar erläutern. oder der Hash der Zielquellcodedatei). Das heißt, der Bericht ist statisch, aber wenn Sie in einem Projekt Abweichungen von den Angaben im Bericht feststellen, können Sie darauf hinweisen.
NFT-Sicherheit
Alle zuvor erwähnten Inhalte zur DeFi-Sicherheit können auf die NFT-Sicherheit angewendet werden, und NFT selbst hat einige sehr spezifische und einzigartige Sicherheitsthemen, zum Beispiel:
- Metadatensicherheit
- Signatursicherheit
Metadaten beziehen sich hauptsächlich auf eingebettete Bilder, Filme und andere Inhalte. Es wird empfohlen, sich bezüglich der spezifischen Standards an OpenSea zu wenden:
Hier können vor allem zwei Sicherheitsbedenken auftreten:
- Einer davon ist, dass der URI, in dem sich das Bild (oder der Film) befindet, möglicherweise nicht vertrauenswürdig ist. Es kann sich lediglich um einen zufällig ausgewählten zentralen Dienst handeln, einerseits gibt es keine Verfügbarkeitsgarantie, andererseits kann das Projektteam die Bilder nach Belieben modifizieren, sodass der NFT nicht mehr zu einem unveränderlichen „digitalen Sammlerstück“ wird. Im Allgemeinen wird empfohlen, zentralisierte Speicherlösungen wie IPFS oder Arweave zu verwenden und einen bekannten URI-Gateway-Dienst auszuwählen.
- Ein weiterer Grund besteht in der Möglichkeit, dass Privatsphäre verloren geht. Ein zufällig ausgewählter URI-Dienst erfasst möglicherweise grundlegende Benutzerinformationen (z. B. IP, User-Agent usw.).
Ein weiteres großes Anliegen ist hier die Signierungssicherheit, die wir im Folgenden veranschaulichen werden.
Seien Sie vorsichtig beim Unterschreiben!
Die Signatursicherheit ist etwas, das ich ausdrücklich erwähnen möchte, da es SO VIELE Fallstricke gibt und Sie stets vorsichtig sein sollten. Vor allem beim NFT-Handel kam es zu mehreren Vorfällen. Allerdings ist mir aufgefallen, dass nicht allzu viele Menschen verstehen, wie man sich auf solche Sicherheitsprobleme vorbereitet und damit umgeht. Der Grund dafür ist, dass nur wenige Menschen das Problem jemals klar genug dargelegt haben.
Das Nr. 1 und wichtigste Sicherheitsprinzip bei der Signatursicherheit ist: Was Sie sehen, ist das, was Sie unterschreiben. Das heißt, die Nachricht in der Signaturanforderung, die Sie erhalten haben, entspricht dem, was Sie nach der Signatur erwarten sollten. Nachdem Sie es unterschrieben haben, sollte das Ergebnis Ihren Erwartungen entsprechen und nicht etwas, das Sie bereuen würden.
Einige Details zur Signatursicherheit wurden im Abschnitt „Cold Wallet“ erwähnt. Wenn Sie sich nicht erinnern können, würde ich Ihnen empfehlen, diesen Abschnitt noch einmal durchzugehen. In diesem Abschnitt konzentrieren wir uns auf andere Aspekte.
Um das Jahr 2022 herum gab es mehrere bekannte NFT-Hacks auf OpenSea. Am 20. Februar 2022 kam es zu einem großen Ausbruch. Die Hauptursachen sind:
- Benutzer unterzeichneten NFT-Listungsanfragen auf OpenSea.
- Hacker haben versucht, relevante Signaturen von Benutzern zu erhalten.
Für Hacker ist es eigentlich nicht schwer, an die entsprechende Signatur zu gelangen. Der Hacker muss 1). Erstellen Sie die zu signierende Nachricht, 2). hash es, 3). den Zielbenutzer dazu verleiten, die Anfrage zu signieren (dies wäre eine blinde Signatur, was bedeutet, dass Benutzer nicht wirklich wissen, was sie signieren), 4). Holen Sie sich den signierten Inhalt und erstellen Sie die Daten. Zu diesem Zeitpunkt wurde der Benutzer gehackt.
Ich verwende Opensea als Beispiel (in Wirklichkeit könnte es JEDER NFT-Marktplatz sein). Nachdem der Zielbenutzer den NFT-Listungsvorgang auf dem Marktplatz autorisiert hat, erstellt der Hacker die zu signierende Nachricht. Nach dem Hashing mit Keccak256 erschien auf der Phishing-Seite eine Signaturanforderung. Benutzer würden etwa Folgendes sehen:
Schau genau. Welche Informationen können wir aus diesem MetaMask-Popup-Fenster erhalten? Kontoinformationen und Kontostand, die Quellwebsite, von der die Signaturanforderung stammt, die Nachricht, dass Benutzer im Begriff sind zu signieren und … sonst nichts. Wie könnten Benutzer vermuten, dass die Katastrophe bereits im Gange ist? Und wie konnten sie erkennen, dass ihre NFTs gestohlen würden, sobald sie auf die Schaltfläche „Signieren“ klickten?
Dies ist tatsächlich ein Beispiel für blindes Signieren. Benutzer müssen sich auf dem NFT-Marktplatz nicht anmelden. Stattdessen können Benutzer dazu verleitet werden, auf jede Phishing-Website zu gelangen, um die Nachricht zu signieren, ohne die tatsächliche Bedeutung und Konsequenz dieser Signaturen vollständig zu verstehen. Hacker wissen es leider. Denken Sie als Benutzer daran: NIEMALS BLINDEN UNTERZEICHNEN. OpenSea hatte früher das Problem der blinden Signatur und wurde durch die Einführung von EIP-712 nach dem 20. Februar 2022 behoben. Allerdings könnten Benutzer ohne blinde Signatur immer noch nachlässig sein und auf andere Weise gehackt werden.
Der wichtigste Grund dafür ist, dass die Signatur nicht darauf beschränkt ist, der Same-Origin-Richtlinie des Browsers zu folgen. Man kann es einfach so verstehen: Die Same-Origin-Richtlinie kann sicherstellen, dass eine Aktion nur unter einer bestimmten Domäne erfolgt und nicht domänenübergreifend ist, es sei denn, das Projektteam möchte absichtlich, dass eine Domänenüberschreitung stattfindet. Wenn das Signieren der Same-Origin-Richtlinie folgt, können Hacker die Signatur nicht für Angriffe unter der Zieldomäne verwenden, selbst wenn der Benutzer eine von der Nicht-Zieldomäne generierte Signaturanforderung signiert. Ich werde hier aufhören, bevor ich näher darauf eingehe. Mir sind neue Vorschläge zur Verbesserung der Sicherheit auf Protokollebene aufgefallen und ich hoffe, dass diese Situation so schnell wie möglich verbessert werden kann.
Wir haben die meisten großen Angriffsformate erwähnt, die beim Signieren einer Nachricht auftreten können, aber es gibt tatsächlich einige Varianten. Egal wie unterschiedlich sie aussehen, sie folgen ähnlichen Mustern. Der beste Weg, sie zu verstehen, besteht darin, einen Angriff von Anfang bis Ende selbst zu reproduzieren oder sogar einige einzigartige Angriffsmethoden zu entwickeln. Beispielsweise enthält der hier erwähnte Signaturanforderungsangriff tatsächlich viele Details, z. B. wie die zu signierende Nachricht aufgebaut ist und was genau nach dem Signieren generiert wird. Gibt es andere Autorisierungsmethoden als „Genehmigen“ (ja, zum Beispiel: raiseAllowance)? Nun, es wäre zu technisch, wenn wir hier expandieren würden. Das Gute daran ist, dass Sie bereits wissen sollten, wie wichtig es ist, eine Nachricht zu signieren.
Benutzer können solche Angriffe an der Quelle verhindern, indem sie die Autorisierung/Genehmigung widerrufen. Im Folgenden sind einige bekannte Tools aufgeführt, die Sie verwenden können.
-
Token-Genehmigungen
https://etherscan.io/tokenapprovalchecker
Dies ist das Tool zur Autorisierungsprüfung und -stornierung, das vom offiziellen Browser von Ethereum bereitgestellt wird. Andere EVM-kompatible Blockchains haben etwas Ähnliches, da ihre Blockchain-Browser im Wesentlichen von Etherscan entwickelt werden. Zum Beispiel:
https://bscscan.com/tokenapprovalchecker
https://hecoinfo.com/tokenapprovalchecker
https://polygonscan.com/tokenapprovalchecker
https://snowtrace.io/tokenapprovalchecker
https://cronoscan.com/tokenapprovalchecker -
Bargeld widerrufen
https://revoke.cash/
Super Old School mit gutem Ruf und Multi-Chain-Unterstützung mit zunehmender Leistung -
Rabby-Erweiterungsbrieftasche
https://rabby.io/
Eines der Wallets, mit denen wir oft zusammengearbeitet haben. Die Anzahl der EVM-kompatiblen Blockchains, die die Funktion „Autorisierungsprüfung und -stornierung“ bieten, ist die höchste, die ich je gesehen habe
⚠️Notiz: Wenn Sie ein umfassenderes und tiefergehendes Verständnis von SIGNATURE SECURITY wünschen, überprüfen Sie bitte die Erweiterungen in den folgenden Repository-Ergänzungen als Referenz:
https://github.com/evilcos/darkhandbook
Es stimmt, dass das Wissen über SIGNATURE SECURITY für Anfänger ziemlich anspruchsvoll ist. Das Repository stellt relevante Inhalte zusammen, und wenn Sie diese sorgfältig durchlesen, werden Sie das Sicherheitswissen besser verstehen. Sie werden es also nicht mehr schwierig finden. (Wenn Sie alles lesen und verstehen können, glaube ich, dass Sicherheitswissen für Sie nicht mehr schwer sein wird 🙂
Seien Sie vorsichtig bei kontraintuitiven Signaturanfragen!
Ein weiteres Risiko möchte ich besonders erwähnen: kontraintuitives Risiko.
Was ist kontraintuitiv? Sie kennen sich beispielsweise bereits sehr gut mit Ethereum aus und sind zum OG aller Arten von DeFi und NFTs geworden. Wenn Sie das Solana-Ökosystem zum ersten Mal betreten, werden Sie wahrscheinlich auf einige ähnliche Phishing-Websites stoßen. Möglicherweise fühlen Sie sich so gut vorbereitet, dass Sie anfangen zu denken: „Ich habe das schon tausendmal im Ethereum-Ökosystem gesehen und wie könnte ich mich täuschen lassen?“
In der Zwischenzeit würden sich Hacker freuen, denn Sie wurden bereits getäuscht. Menschen folgen ihren intuitiven Gefühlen, was sie unvorsichtig macht. Bei einem kontraintuitiven Angriff würden Menschen in die Falle tappen.
Ok, werfen wir einen Blick auf einen realen Fall, bei dem die Kontraintuitivität ausgenutzt wurde.
Zunächst eine Warnung: Autorisierungs-Phishing auf Solana ist viel grausamer. Das obige Beispiel ereignete sich am 5. März 2022. Die Angreifer warfen NFTs stapelweise aus der Luft an Benutzer ab (Abbildung 1). Benutzer gelangten über den Link in der Beschreibung des aus der Luft abgeworfenen NFT (www_officialsolanarares_net) zur Zielwebsite und verbanden ihre Wallets (Abbildung 2). Nachdem sie auf der Seite auf die Schaltfläche „Mint“ geklickt hatten, öffnete sich das Genehmigungsfenster (Abbildung 3). Beachten Sie, dass zu diesem Zeitpunkt keine spezielle Benachrichtigung oder Nachricht im Popup-Fenster angezeigt wurde. Sobald sie zustimmten, würden alle SOLs in der Wallet übertragen.
Wenn Benutzer auf die Schaltfläche „Genehmigen“ klicken, interagieren sie tatsächlich mit den bösartigen Smart Contracts, die von den Angreifern eingesetzt werden: 3VtjHnDuDD1QreJiYNziDsdkeALMT6b2F9j3AXdL4q8v
Das ultimative Ziel dieses bösartigen Smart-Vertrags besteht darin, den „SOL-Transfer“ zu initiieren, der fast alle SOLs des Benutzers überträgt. Aus der Analyse der On-Chain-Daten geht hervor, dass das Phishing-Verhalten mehrere Tage lang anhielt und die Zahl der Opfer im Laufe der Zeit immer weiter zunahm.
Dieses Beispiel birgt zwei Fallstricke, auf die Sie achten müssen:
- Nachdem der Benutzer zustimmt, kann der böswillige Smart Contract die nativen Vermögenswerte des Benutzers (in diesem Fall SOL) übertragen. Dies ist auf Ethereum nicht möglich. Das Autorisierungs-Phishing auf Ethereum kann sich nur auf andere Token auswirken, nicht jedoch auf das native Asset der ETH. Dies ist der kontraintuitive Teil, der dazu führen würde, dass Benutzer weniger wachsam sind.
- Das bekannteste Wallet auf Solana, Phantom, weist Lücken in seinem Sicherheitsmechanismus auf, sodass es nicht dem Prinzip „What you see is what you sign“ folgt (wir haben noch keine anderen Wallets getestet), und das tut es auch nicht Stellen Sie den Benutzern ausreichend Risikowarnungen zur Verfügung. Dadurch könnten leicht Sicherheitslücken entstehen, die den Benutzern Münzen kosten.
Einige fortgeschrittene Angriffsmethoden
Tatsächlich gibt es viele fortschrittliche Angriffsmethoden, aber aus der Sicht der Öffentlichkeit werden sie meist als Phishing angesehen. Bei einigen handelt es sich jedoch nicht um normale Phishing-Angriffe. Zum Beispiel:
Hacker haben eine Phishing-E-Mail mit folgendem Anhang verschickt:
Ein großes Risiko von Stablecoin(Protected).docx
Ehrlich gesagt ist es ein attraktives Dokument. Sobald der Computer des Benutzers jedoch geöffnet ist, wird ihm ein Trojaner implantiert (im Allgemeinen über ein Office-Makro oder einen 0day/1day-Exploit), der normalerweise die folgenden Funktionen enthält:
- Sammeln aller Arten von Anmeldeinformationen, zum Beispiel Browser- oder SSH-bezogene Anmeldeinformationen usw. Auf diese Weise können Hacker ihren Zugriff auf andere Dienste des Zielbenutzers erweitern. Daher wird Benutzern im Allgemeinen empfohlen, nach einer Infektion nicht nur das Zielgerät, sondern auch die entsprechenden Kontoberechtigungen zu bereinigen.
- Keylogger richtet sich insbesondere an Personen, die vorübergehend vertrauliche Informationen wie Passwörter anzeigen.
- Sammeln relevanter Screenshots, sensibler Dateien usw.
- Wenn es sich um Ransomware handelt, werden alle Dateien im Zielsystem stark verschlüsselt und warten darauf, dass das Opfer das Lösegeld bezahlt, normalerweise in Bitcoin. Aber in diesem Fall handelte es sich nicht um Ransomware, die ein offensichtlicheres und lauteres Verhalten und klarere Absichten hat.
Darüber hinaus werden Trojaner, die auf die Kryptoindustrie abzielen, speziell darauf zugeschnitten, vertrauliche Informationen von bekannten Wallets oder Börsen zu sammeln, um die Gelder der Benutzer zu stehlen. Laut professioneller Analyse würde der oben genannte Trojaner einen gezielten Angriff auf Metamask durchführen:
https://securelist.com/the-bluenoroff-cryptocurrency-hunt-is-still-on/105488/
Der Trojaner ersetzt die MetaMask des Benutzers durch eine gefälschte mit Hintertüren. Eine hintertürige MetaMask bedeutet im Grunde, dass alle darin gespeicherten Gelder nicht mehr Ihnen gehören. Selbst wenn Sie eine Hardware-Wallet verwenden, gelingt es dieser gefälschten MetaMask, Ihr Geld zu stehlen, indem sie die Zieladresse oder die Betragsinformationen manipuliert.
Dieser Ansatz ist speziell für bekannte Ziele mit bekannten Wallet-Adressen konzipiert. Was mir aufgefallen ist, ist, dass viele dieser Leute zu arrogant sind, um zu verhindern, dass sie gehackt werden. Nach dem Hack würden viele aus der Lektion lernen, umfassende Überprüfungen durchführen, erhebliche Verbesserungen erzielen und auch eine langfristige Zusammenarbeit und Freundschaft mit vertrauenswürdigen Sicherheitsexperten oder -agenturen aufbauen. Allerdings gibt es auf dieser Welt immer Ausnahmen. Manche Menschen oder Projekte werden immer wieder gehackt. Wenn es jedes Mal an etwas liegt, das noch niemand zuvor erlebt hat, würde ich sie sehr respektieren und sie Pioniere nennen. Die Chancen stehen gut, dass sie mit der Zeit erfolgreich sein werden. Leider sind viele der Vorfälle das Ergebnis sehr dummer und sich wiederholender Fehler, die leicht vermieden werden könnten. Ich würde raten, sich von diesen Projekten fernzuhalten.
Im Vergleich dazu sind diese Massen-Phishing-Angriffe überhaupt nicht umfassend. Angreifer würden eine Reihe ähnlich aussehender Domainnamen vorbereiten und die Nutzlasten verbreiten, indem sie Konten, Follower und Retweets auf Twitter oder anderen sozialen Plattformen kaufen. Bei gutem Management werden viele in die Falle tappen. Bei dieser Art von Phishing-Angriff gibt es eigentlich nichts Besonderes, und normalerweise zwingt der Angreifer den Benutzer einfach brutal dazu, Token (einschließlich NFT) zu autorisieren, um sie wegzutransferieren.
Es gibt andere Arten von fortgeschrittenen Angriffen, die beispielsweise Techniken wie XSS, CSRF und Reverse Proxy verwenden, um den Angriffsprozess zu glätten. Ich werde hier nicht auf alle näher eingehen, außer auf einen ganz besonderen Fall (Cloudflare Man-in-the-Middle-Angriff), der eines der Szenarios in Reverse Proxy ist. Es gab tatsächliche Angriffe, die mit dieser äußerst verdeckten Methode zu finanziellen Verlusten führten.
Das Problem liegt hier nicht darin, dass Cloudflare selbst böse ist oder gehackt wird. Stattdessen wird das Cloudflare-Konto des Projektteams kompromittiert. Im Allgemeinen ist der Prozess so: Wenn Sie Cloudflare verwenden, werden Sie dieses „Worker“-Modul im Dashboard bemerken, dessen offizielle Beschreibung lautet:
Erstellen Sie serverlose Anwendungen und stellen Sie diese sofort auf der ganzen Welt bereit, um hervorragende Leistung, Zuverlässigkeit und Skalierbarkeit zu erzielen. Einzelheiten finden Sie unter https://developers.cloudflare.com/workers/
Ich habe vor langer Zeit eine Testseite erstellt:
Wenn Sie die Seite besuchen, erscheint ein Popup-Fenster mit der Meldung:
xssor.io, gekapert von Cloudflare.
Tatsächlich gehört dieses Popup und sogar der gesamte Inhalt von x.html nicht zum Dokument selbst. Alle werden von Cloudflare bereitgestellt. Der Mechanismus ist unten dargestellt:
Die Anzeige des Codeausschnitts im Screenshot ist sehr einfach: Wenn ich der Hacker wäre und Ihr Cloudflare-Konto kontrolliert hätte, könnte ich Workers verwenden, um beliebige bösartige Skripte in jede Webseite einzuschleusen. Und es ist für die Benutzer sehr schwer zu erkennen, dass die Zielwebseite gekapert und manipuliert wurde, da es keine Fehlermeldungen (z. B. HTTPS-Zertifikatfehler) gibt. Selbst das Projektteam kann das Problem nicht ohne weiteres erkennen, ohne viel Zeit damit verbringen zu müssen, die Sicherheit seiner Server und seines Personals zu überprüfen. Bis sie erkennen, dass es sich um Cloudflare Workers handelt, könnte der Verlust bereits erheblich sein.
Cloudflare ist tatsächlich ein gutes Tool. Viele Websites oder Webanwendungen verwenden es als Webanwendungs-Firewall, Anti-DDoS-Lösung, globales CDN, Reverse-Proxy usw. Da es eine kostenlose Version gibt, haben sie einen großen Kundenstamm. Alternativ gibt es Dienste wie Akaimai usw.
Benutzer müssen auf die Sicherheit solcher Konten achten. Mit der Verbreitung des Internets treten Probleme bei der Kontosicherheit auf. Es ist ein so verbreitetes Thema auf der Welt, dass fast jeder überall darüber spricht, aber dennoch werden viele Menschen deswegen gehackt. Einige der Hauptursachen könnten sein, dass sie für wichtige Dienste kein eindeutiges sicheres Passwort verwenden (Passwortmanager wie 1Password sind ohnehin nicht so beliebt), andere könnten darin liegen, dass sie sich nicht die Mühe machen, die 2-Faktor-Authentifizierung (2FA) zu aktivieren, oder vielleicht Sie wissen nicht einmal von dem Ding. Ganz zu schweigen davon, dass Passwörter für einige bestimmte Dienste mindestens einmal jährlich zurückgesetzt werden sollten.
Okay, das ist das Ende dieses Abschnitts. Sie müssen nur verstehen, dass es sich tatsächlich um einen dunklen Wald handelt, und Sie sollten über möglichst viele Angriffsmethoden Bescheid wissen. Nachdem Sie genug auf dem Papier gesehen haben und zumindest ein- oder zweimal in die Falle getappt sind, können Sie sich als Amateur-Sicherheitsprofi betrachten (was Ihnen in jedem Fall zugute kommt).
Traditioneller Datenschutz
Herzlichen Glückwunsch, Sie haben es bis zu diesem Teil geschafft. Traditioneller Datenschutz ist ein altes Thema: Hier ist der Artikel, den ich 2014 geschrieben habe.
Sie müssen ein paar Tricks lernen, um sich im Zeitalter von Datenschutzverletzungen zu schützen.
https://evilcos.me/yinsi.html
Beim erneuten Lesen dieses Artikels handelt es sich zwar um einen Einstiegsartikel aus dem Jahr 2014, die meisten darin enthaltenen Ratschläge sind jedoch nicht veraltet. Nachdem ich den Artikel noch einmal gelesen habe, stelle ich hier etwas Neues vor: Tatsächlich hängt der Schutz der Privatsphäre eng mit der Sicherheit zusammen . Traditionelle Privatsphäre ist der Grundstein der Sicherheit. Dieser Abschnitt enthält Ihre privaten Schlüssel, die Teil des Datenschutzes sind. Wenn die Ecksteine nicht sicher sind, die Privatsphäre der Ecksteine bedeutungslos ist, dann wird der Überbau so zerbrechlich sein wie ein Gebäude in der Luft.
Die folgenden zwei Ressourcen werden dringend empfohlen:
ÜBERWACHUNG SELBSTVERTEIDIGUNG
TIPPS, TOOLS UND HOW-TOS FÜR SICHERE ONLINE-KOMMUNIKATION
https://ssd.eff.org/
SURVEILLANCE SELF-DEFENCE ist die Abkürzung für SSD. Ins Leben gerufen von der bekannten Electronic Frontier Foundation (EFF), die speziell relevante Richtlinien herausgegeben hat, die Ihnen sagen, wie Sie verhindern können, dass Ihr großer Bruder Sie in der überwachenden Internetwelt beobachtet, darunter mehrere nützliche Tools (wie Tor, WhatsApp, Signal, PGP usw.)
Datenschutzleitfaden: Bekämpfen Sie die Überwachung mit Verschlüsselungs- und Datenschutztools
https://www.privacytools.io/
Auf der oben genannten Website finden Sie eine umfassende Auflistung einer Reihe von Tools. Außerdem werden einige Kryptowährungsbörsen, Wallets usw. empfohlen. Es sollte jedoch beachtet werden, dass ich nicht viele der auf der Website aufgeführten Tools verwende, da ich meinen eigenen Weg gehe. Daher sollten Sie auch Ihren eigenen Weg entwickeln, indem Sie kontinuierlich vergleichen und verbessern.
Hier sind einige Highlights der Tools, die ich Ihnen empfehlen sollte.
Betriebssystem
Sowohl Windows 10 Edition (und höher) als auch macOS sind sichere Optionen. Wenn Sie die Möglichkeit dazu haben, können Sie Linux wie Ubuntu oder sogar extrem auf Sicherheit und Datenschutz ausgerichtete Programme wie Tails oder Whonix wählen.
Beim Thema Betriebssystem lautet der einfachste Sicherheitsgrundsatz: Achten Sie genau auf Systemaktualisierungen und führen Sie diese so schnell wie möglich durch, wenn sie verfügbar sind. Als nächstes kommt die Fähigkeit, das Betriebssystem zu beherrschen. Die Leute fragen sich vielleicht: Was zum Teufel muss man lernen, um ein Betriebssystem wie Windows oder MacOS zu beherrschen? Ist es nicht einfach nur herumklicken? Nun ja, es reicht eigentlich bei weitem nicht aus. Für unerfahrene Benutzer ist eine gute Antivirensoftware wie Kaspersky oder BitDefender ein Muss, und beide sind auf MacOS verfügbar.
Und vergessen Sie nicht die Download-Sicherheit, die ich bereits erwähnt habe. Sie werden die meisten Risiken eliminiert haben, wenn Sie Programme nicht leichtsinnig herunterladen und installieren.
Überlegen Sie als nächstes, was Sie tun werden, wenn Ihr Computer verloren geht oder gestohlen wird. Ein Boot-Passwort zu haben ist offensichtlich nicht gut genug. Wenn die Festplattenverschlüsselung nicht aktiviert ist, können Angreifer einfach die Festplatte herausnehmen und die darin enthaltenen Daten abrufen. Daher rate ich, die Festplattenverschlüsselung für wichtige Computer zu aktivieren.
https://docs.microsoft.com/en-us/windows/security/encryption-data-protection
https://support.apple.com/en-us/HT204837
Wir haben auch leistungsstarke und legendäre Tools wie VeraCrypt (das frühere TrueCrypt), probieren Sie es gerne aus, wenn Sie Interesse haben:
Sie können noch einen Schritt weiter gehen, um das BIOS- oder Firmware-Passwort zu aktivieren. Ich habe es selbst gemacht, aber es liegt ganz bei Ihnen. Denken Sie daran: Wenn Sie dies tun, merken Sie sich das Passwort genau, sonst kann Ihnen niemand helfen. Ich habe das Glück, selbst schon einmal in den Kaninchenbau geraten zu sein, was mich einen Laptop, etwas Krypto und eine Woche Zeit gekostet hat. Andererseits ist es auch eine sehr gute Lernerfahrung.
Mobiltelefon
Heutzutage sind iPhone und Android die einzigen beiden gängigen Mobiltelefonkategorien. Früher war ich ein großer Fan von BlackBerry, aber sein Ruhm verblasste mit der Zeit. In der Vergangenheit hat mir die Sicherheitslage von Android-Telefonen große Sorgen bereitet. Einerseits befand es sich noch in einem frühen Stadium, andererseits waren die Versionen sehr fragmentiert, jede Marke hatte ihre eigene abgespaltene Android-Version. Aber mittlerweile hat sich vieles verbessert.
Auch bei Mobiltelefonen müssen wir auf Sicherheitsupdates und Download-Sicherheit achten. Beachten Sie außerdem folgende Punkte:
- Führen Sie keinen Jailbreak/Root Ihres Telefons durch, es ist unnötig, es sei denn, Sie führen relevante Sicherheitsrecherchen durch. Wenn Sie dies für Raubkopien tun, hängt es wirklich davon ab, wie gut Sie die Fähigkeit beherrschen.
- Laden Sie keine Apps aus inoffiziellen App-Stores herunter.
- Tun Sie es nicht, es sei denn, Sie wissen, was Sie tun. Ganz zu schweigen davon, dass es in offiziellen App Stores sogar viele gefälschte Apps gibt.
- Voraussetzung für die Nutzung der offiziellen Cloud-Synchronisierungsfunktion ist, dass Sie sicherstellen müssen, dass Ihr Konto sicher ist. Andernfalls wird bei einer Kompromittierung des Cloud-Kontos auch das Mobiltelefon gefährdet.
Persönlich verlasse ich mich mehr auf das iPhone. Und Sie benötigen mindestens zwei iCloud-Konten: ein China- und ein Übersee-Konto. Sie benötigen sie, um Apps mit unterschiedlichen regionalen Einschränkungen zu installieren. (was ziemlich seltsam klingt, aber willkommen in der Realität)
Netzwerk
Früher waren Probleme mit der Netzwerksicherheit ein Ärgernis, aber in den letzten Jahren sind bereits deutliche Verbesserungen zu verzeichnen, insbesondere seit der massenhaften Einführung der HTTPS Everywhere-Richtlinie.
Im Falle eines laufenden Netzwerk-Hijacking-Angriffs (Man-in-the-Middle-Angriff) erfolgt eine entsprechende Systemfehlermeldung. Es gibt jedoch immer Ausnahmen. Wenn Sie also die Wahl haben, wählen Sie die sicherere Option. Stellen Sie beispielsweise keine Verbindung zu unbekannten Wi-Fi-Netzwerken her, es sei denn, das beliebtere und sicherere 4G/5G-Netzwerk ist nicht verfügbar oder nicht stabil.
Browser
Die beliebtesten Browser sind Chrome und Firefox, im Kryptobereich nutzen einige auch Brave. Diese bekannten Browser verfügen über ein starkes Team und es wird rechtzeitig Sicherheitsupdates geben. Das Thema Browsersicherheit ist sehr breit gefächert. Hier sind einige Tipps, die Sie beachten sollten:
- Aktualisieren Sie so schnell wie möglich, gehen Sie kein Risiko ein.
- Verwenden Sie keine Erweiterung, wenn dies nicht erforderlich ist. Wenn Sie dies tun, treffen Sie Ihre Entscheidungen auf der Grundlage der Benutzerbewertungen, der Anzahl der Benutzer, der Aufrechterhaltung des Unternehmens usw. und achten Sie auf die erforderliche Erlaubnis. Stellen Sie sicher, dass Sie die Erweiterung aus dem offiziellen App Store Ihres Browsers beziehen.
- Mehrere Browser können parallel verwendet werden. Es wird dringend empfohlen, wichtige Vorgänge in einem Browser auszuführen und für routinemäßigere, weniger wichtige Vorgänge einen anderen Browser zu verwenden.
- Hier sind einige bekannte datenschutzorientierte Erweiterungen (wie uBlock Origin, HTTPS Everywhere, ClearURLs usw.), probieren Sie sie gerne aus.
Insbesondere in Firefox werde ich auch die legendäre alte Erweiterung NoScript verwenden, die nachweislich schädliche JavaScript-Payloads abwehrt. Heutzutage werden Browser immer sicherer, da sie Dinge wie Same-Origin-Richtlinie, CSP, Cookie-Sicherheitsrichtlinie, HTTP-Sicherheitsheader, Erweiterungssicherheitsrichtlinie usw. unterstützen. Daher wird die Notwendigkeit, ein Tool wie NoScript zu verwenden, immer kleiner kleiner, bei Interesse gerne mal anschauen.
Passwortmanager
Wenn Sie noch keinen Passwort-Manager verwendet haben, wissen Sie entweder nicht, wie praktisch die Verwendung eines solchen ist, oder Sie verfügen über einen eigenen starken Gedächtnispalast. Das Risiko des Gehirngedächtnisses wurde ebenfalls bereits erwähnt. Eins davon besteht darin, dass die Zeit Ihr Gedächtnis schwächt oder stört; Das andere ist, dass Sie möglicherweise einen Unfall haben. In jedem Fall empfehle ich Ihnen dennoch, einen Passwort-Manager zu verwenden, um Ihr Gehirngedächtnis zu pflegen, einen bekannten wie 1Password, Bitwarden usw.
Ich muss diesen Teil nicht allzu ausführlich behandeln, es gibt so viele verwandte Tutorials online, dass es einfach ist, loszulegen, ohne überhaupt ein Tutorial zu benötigen.
Woran ich Sie hier erinnern muss, ist Folgendes:
- Vergessen Sie niemals Ihr Master-Passwort und bewahren Sie Ihre Kontoinformationen sicher auf, sonst geht alles verloren.
- Stellen Sie sicher, dass Ihre E-Mail sicher ist. Wenn Ihre E-Mail kompromittiert wird, gefährden sie möglicherweise nicht direkt die sensiblen Informationen in Ihrem Passwort-Manager, aber Kriminelle haben die Möglichkeit, sie zu zerstören.
- Ich habe die Sicherheit der von mir erwähnten Tools (z. B. 1Password) überprüft und die relevanten Sicherheitsvorfälle, Benutzerbewertungen, Nachrichten usw. genau beobachtet. Ich kann jedoch nicht garantieren, dass diese Tools absolut sicher sind, und das gilt auch für Black Swan-Ereignisse wird ihnen in Zukunft jemals passieren.
Was ich sehr schätze, ist zum Beispiel die Einführung und Beschreibung der Sicherheitsseite von 1Password.
Auf dieser Seite finden Sie Sicherheitsdesignkonzepte, relevante Datenschutz- und Sicherheitszertifikate, Sicherheitsdesign-Whitepapers, Sicherheitsauditberichte usw. Dieses Maß an Transparenz und Offenheit erleichtert auch die notwendige Validierung in der Branche. Daraus sollten alle Projektteams lernen.
Bitwarden geht noch einen Schritt weiter, da es vollständig Open Source ist, auch auf der Serverseite, sodass jeder validieren, prüfen und Beiträge leisten kann. Jetzt siehst du? Die Absicht von 1Password und Bitwarden ist ganz klar:
Ich bin sehr sicher und mache mir Sorgen um die Privatsphäre. Das sage nicht nur ich selbst, sondern auch die Behörden Dritter. Fühlen Sie sich frei, mich zu prüfen, und um Ihnen die Prüfungen zu erleichtern, gebe ich mir große Mühe, wo immer möglich, offen zu sein. Wenn das, was ich tue, nicht mit dem übereinstimmt, was ich sage, ist es leicht, mich herauszufordern. Und das nennt man Sicherheitsvertrauen.
Zwei-Faktor-Authentifizierung
Apropos Identitätssicherheit im Internet: Die erste Schicht basiert auf Passwörtern, die zweite Schicht auf der Zwei-Faktor-Authentifizierung und die dritte Schicht auf der Risikokontrollfähigkeit des Zielprojekts selbst. Ich kann nicht sagen, dass die Zwei-Faktor-Authentifizierung ein Muss ist. Wenn Sie beispielsweise ein dezentrales Wallet verwenden, ist eine Passwortebene schon lästig genug (jetzt unterstützen sie grundsätzlich biometrische Identifizierung wie Gesichtserkennung oder Fingerabdruck, um die Benutzererfahrung zu verbessern), den zweiten Faktor möchte niemand verwenden. Aber in einer zentralisierten Plattform müssen Sie 2FA verwenden. Jeder kann auf die zentralisierte Plattform zugreifen, und wenn Ihre Zugangsdaten gestohlen werden, wird Ihr Konto gehackt und Ihr Geld geht verloren. Im Gegenteil, das Passwort für Ihr dezentrales Wallet ist lediglich eine lokale Authentifizierung. Selbst wenn der Hacker das Passwort erhält, muss er dennoch Zugriff auf das Gerät erhalten, auf dem sich Ihr Wallet befindet.
Sehen Sie jetzt die Unterschiede? Zu den bekannten Zwei-Faktor-Authentifizierungstools (2FA) gehören: Google Authenticator, Microsoft Authenticator usw. Wenn Sie einen Passwort-Manager (z. B. 1Password) verwenden, ist natürlich auch ein 2FA-Modul enthalten , was sehr praktisch ist. Denken Sie immer daran, Backups zu erstellen, da der Verlust von 2FA problematisch sein kann.
Darüber hinaus kann die Zwei-Faktor-Authentifizierung auch ein umfassenderes Konzept sein. Wenn beispielsweise eine Kontokennung und ein Passwort für die Anmeldung bei der Zielplattform verwendet werden, ist unsere Kontokennung normalerweise eine E-Mail- oder Mobiltelefonnummer. Zu diesem Zeitpunkt kann die Mailbox- oder Mobiltelefonnummer als 2FA verwendet werden, um einen Bestätigungscode zu erhalten. Allerdings ist das Sicherheitsniveau dieser Methode nicht so gut. Wenn beispielsweise das Postfach kompromittiert wird, die SIM-Karte gekapert wird oder der Drittanbieterdienst zum Versenden von E-Mails und Textnachrichten gehackt wird, wird auch der von der Plattform gesendete Bestätigungscode preisgegeben.
Wissenschaftliches Surfen im Internet
Lassen Sie uns aus politischen Gründen nicht zu viel darüber reden, sondern wählen Sie einfach eine der bekannten Lösungen aus. Die Dinge werden besser unter Kontrolle sein, wenn Sie Ihre eigene Lösung entwickeln können. Denn unser Ausgangspunkt ist es, wissenschaftlich und sicher im Internet zu surfen.
Wenn Sie keine selbst erstellte Lösung verwenden, können Sie die Möglichkeit eines Man-in-the-Middle-Angriffs nicht vollständig ausschließen. Wie bereits erwähnt, ist die Internetsicherheitslage nicht mehr so schlecht wie früher, insbesondere nach der massenhaften Einführung der HTTPS Everywhere-Richtlinie. Allerdings kann es sein, dass ein Teil der Ruhe nur an der Wasseroberfläche liegt und es bereits Unterströmungen unter der Oberfläche gibt, die nicht leicht zu erkennen sind. Ehrlich gesagt habe ich dafür kein Allheilmittel. Es ist nicht einfach, eine eigene Lösung zu erstellen, aber es lohnt sich auf jeden Fall. Und wenn das nicht möglich ist, stellen Sie sicher, dass Sie mehrere Quellen nutzen und eine seriöse Quelle auswählen, die es schon seit langem gibt.
E-Mail ist der Grundstein unserer webbasierten Identität. Wir nutzen E-Mail, um uns für viele Dienste anzumelden. Fast alle von uns genutzten E-Mail-Dienste sind kostenlos. Es scheint Luft zu sein, und man glaubt nicht, dass sie verschwinden würde. Was passiert, wenn eines Tages Ihr E-Mail-Dienst nicht mehr funktioniert, dann befinden sich alle anderen Dienste, die davon abhängen, in einer ziemlich schwierigen Situation. Diese Extremsituation ist wirklich nicht unmöglich, wenn es zu Kriegen, Naturkatastrophen usw. kommt. Wenn diese Extremsituationen eintreten, ist E-Mail für Sie natürlich weniger wichtig als das Überleben.
Wenn es um E-Mail-Dienstanbieter geht, sollten Sie zwischen Technologiegiganten wie Gmail, Outlook oder QQ Email wählen. Es kommt vor, dass meine bisherigen Sicherheitsrecherchen diesen Bereich abdecken. Der Sicherheitsstatus dieser Postfächer ist gut genug. Dennoch müssen Sie bei E-Mail-Phishing-Angriffen vorsichtig sein. Sie müssen sich nicht mit jeder einzelnen E-Mail befassen, insbesondere nicht mit den eingebetteten Links und Anhängen, in denen möglicherweise Trojaner versteckt sind.
Wenn Sie auf einen hochentwickelten Angriff auf Ihre E-Mail-Dienstanbieter stoßen, sind Sie auf sich allein gestellt.
Wenn Ihnen der Datenschutz sehr am Herzen liegt, können Sie neben den E-Mail-Diensten dieser Technologiegiganten einen Blick auf diese beiden bekannten datenschutzfreundlichen E-Mail-Dienste werfen: ProtonMail und Tutanota. Mein Vorschlag ist, diese privatfreundlichen Postfächer vom täglichen Gebrauch zu trennen und sie nur für Dienste zu verwenden, die besondere Aufmerksamkeit auf den Datenschutz erfordern. Sie müssen außerdem regelmäßig Ihre kostenlosen E-Mail-Dienste nutzen, um zu verhindern, dass Ihre Konten aufgrund längerer Inaktivität gesperrt werden.
SIM Karte
SIM-Karte und Mobiltelefonnummer sind in vielen Fällen ebenso wie die E-Mail sehr wichtige Basisidentitäten. In den letzten Jahren haben die großen Betreiber unseres Landes beim Sicherheitsschutz von Mobiltelefonnummern sehr gute Arbeit geleistet. Beispielsweise gibt es strenge Sicherheitsprotokolle und Überprüfungsprozesse für die Stornierung und Neuausstellung von SIM-Karten, und diese erfolgen alle vor Ort. Zum Thema SIM-Karten-Angriffe möchte ich Ihnen ein Beispiel geben:
Im Jahr 2019.5 erlitt das Coinbase-Konto einer Person einen SIM-Port-Angriff (SIM-Kartenübertragungsangriff) und verlor leider mehr als 100.000 US-Dollar an Kryptowährung. Der Angriffsprozess läuft ungefähr wie folgt ab:
Der Angreifer erlangte durch Social Engineering und andere Methoden die Datenschutzinformationen des Zielbenutzers und brachte den Mobilfunkbetreiber dazu, ihm eine neue SIM-Karte auszustellen. Anschließend übernahm er problemlos das Coinbase-Konto des Zielbenutzers über dieselbe Mobiltelefonnummer. Die SIM-Karte wurde übertragen, was sehr problematisch ist. Es ist sehr problematisch, wenn Ihre SIM-Karte vom Angreifer übertragen wurde, da heutzutage viele Online-Dienste unsere Mobiltelefonnummer als direkten Authentifizierungsfaktor oder 2FA verwenden. Dabei handelt es sich um einen sehr zentralisierten Authentifizierungsmechanismus, bei dem die Mobiltelefonnummer zur Schwachstelle wird.
Eine detaillierte Analyse finden Sie unter:
Der Verteidigungsvorschlag hierfür ist eigentlich einfach: Aktivieren Sie eine bekannte 2FA-Lösung.
Die SIM-Karte birgt ein weiteres Risiko: Wenn das Telefon verloren geht oder gestohlen wird, ist es peinlich, dass der Bösewicht die SIM-Karte herausnehmen und verwenden kann. Folgendes habe ich getan: Aktivieren Sie das SIM-Karten-Passwort (PIN-Code), sodass ich jedes Mal, wenn ich mein Telefon einschalte oder meine SIM-Karte in einem neuen Gerät verwende, das richtige Passwort eingeben muss. Bitte fragen Sie Google nach detaillierten Anleitungen. Hier ist die Erinnerung von mir: Vergessen Sie dieses Passwort nicht, sonst wird es sehr mühsam.
GPG
Viele Inhalte in diesem Teil wurden in früheren Abschnitten erwähnt, und ich möchte hier weitere grundlegende Konzepte hinzufügen: Manchmal werden Sie auf ähnlich aussehende Namen wie PGP, OpenPGP und GPG stoßen. Unterscheiden Sie sie einfach wie folgt:
- PGP, die Abkürzung für Pretty Good Privacy, ist eine 30 Jahre alte kommerzielle Verschlüsselungssoftware, die heute unter dem Dach von Symantec steht.
- OpenPGP ist ein von PGP abgeleiteter Verschlüsselungsstandard.
- GPG, der vollständige Name ist GnuPG, ist eine Open-Source-Verschlüsselungssoftware, die auf dem OpenPGP-Standard basiert.
Ihre Kerne sind ähnlich und mit GPG sind Sie mit den anderen kompatibel. Hier empfehle ich noch einmal dringend: Versuchen Sie bei der Sicherheitsverschlüsselung nicht, das Rad neu zu erfinden; GPG kann bei richtiger Anwendung das Sicherheitsniveau erheblich verbessern!
Abgrenzung
Der Kernwert hinter dem Sicherheitsprinzip der Segregation ist die Zero-Trust-Denkweise. Sie müssen verstehen, dass wir, egal wie stark wir sind, früher oder später gehackt werden, egal ob von externen Hackern, Insidern oder uns selbst. Bei einem Hackerangriff sollte der Stop-Loss der erste Schritt sein. Die Fähigkeit, Verluste zu stoppen, wird von vielen Menschen ignoriert und deshalb immer wieder gehackt. Die Hauptursache ist, dass es kein Sicherheitsdesign gibt, insbesondere keine einfachen Methoden wie die Segregation
Eine gute Trennungspraxis kann sicherstellen, dass Sie bei Sicherheitsvorfällen nur diejenigen verlieren, die in direktem Zusammenhang mit dem kompromittierten Ziel stehen, ohne andere Vermögenswerte zu beeinträchtigen.
Zum Beispiel:
- Wenn Ihre Passwortsicherheitspraxis gut ist und eines Ihrer Konten gehackt wird, kann dasselbe Passwort andere Konten nicht gefährden.
- Wenn Ihre Kryptowährung nicht unter einem Satz mnemonischer Seeds gespeichert ist, verlieren Sie nicht alles, wenn Sie jemals in eine Falle tappen.
- Wenn Ihr Computer infiziert ist, handelt es sich glücklicherweise nur um einen Computer, der nur für gelegentliche Aktivitäten verwendet wird und auf dem sich nichts Wichtiges befindet. Sie müssen also nicht in Panik geraten, denn eine Neuinstallation des Computers würde die meisten Probleme lösen. Wenn Sie gut mit virtuellen Maschinen umgehen können, ist die Sache sogar noch besser, da Sie einfach den Snapshot wiederherstellen können. Gute Tools für virtuelle Maschinen sind: VMware, Parallels.
- Zusammenfassend lässt sich sagen, dass Sie über mindestens zwei Konten, zwei Tools, zwei Geräte usw. verfügen können. Es ist nicht unmöglich, eine vollständig unabhängige virtuelle Identität zu erstellen, nachdem Sie sich damit vertraut gemacht haben.
Ich habe zuvor eine extremere Meinung erwähnt: Die Privatsphäre ist nicht unsere Aufgabe, sie zu schützen, die Privatsphäre sollte kontrolliert werden.
Der Grund für diese Sichtweise ist, dass in der aktuellen Internetumgebung die Privatsphäre tatsächlich ernsthaft durchgesickert ist. Glücklicherweise sind Datenschutzbestimmungen in den letzten Jahren immer weiter verbreitet und die Menschen schenken ihnen immer mehr Aufmerksamkeit. Tatsächlich geht alles in die richtige Richtung. Aber vorher werden Sie auf jeden Fall, wenn Sie die von mir aufgelisteten Wissenspunkte beherrschen, Ihre Privatsphäre problemlos kontrollieren können. Wenn Sie es gewohnt sind, verfügen Sie im Internet möglicherweise über mehrere virtuelle Identitäten, die nahezu unabhängig voneinander sind.
Sicherheit der menschlichen Natur
Der Mensch ist immer dem höchsten und ewigen Risiko ausgesetzt. Es gibt ein Zitat aus dem Drei-Körper-Problem: „Schwäche und Unwissenheit sind keine Hindernisse für das Überleben, Arroganz jedoch schon.“
- Seien Sie nicht arrogant: Wenn Sie denken, dass Sie bereits stark sind, sind Sie mit sich selbst zufrieden. Schauen Sie nicht auf die ganze Welt herab. Seien Sie insbesondere nicht zu stolz und glauben Sie, Sie könnten globale Hacker herausfordern. Das Lernen nimmt kein Ende und es gibt immer noch viele Hindernisse.
- Seien Sie nicht gierig: Gier ist in der Tat in vielen Fällen die Motivation, voranzukommen, aber denken Sie darüber nach, warum ist eine so gute Gelegenheit nur Ihnen vorbehalten?
- Seien Sie nicht impulsiv: Impulsivität ist der Teufel, der Sie in Fallen führt. Überstürztes Handeln ist Glücksspiel.
Es gibt unendlich viele Dinge in der menschlichen Natur, über die man reden kann, und man kann nicht vorsichtiger sein. Bitte achten Sie besonders auf die folgenden Punkte und sehen Sie, wie böswillige Akteure die Schwäche der menschlichen Natur ausnutzen und dabei verschiedene praktische Plattformen nutzen.
Telegramm
Ich habe bereits gesagt, dass Telegram das größte Dark Web ist. Ich muss sagen, dass die Leute Telegram wegen seiner Sicherheit, Stabilität und offenen Designfunktionen mögen. Aber die offene Kultur von Telegram lockt auch Bösewichte an: riesige Benutzerzahlen, hochgradig anpassbare Funktionalität, einfach genug, um alle Arten von Bot-Diensten zu erstellen. In Kombination mit Kryptowährungen gehen die tatsächlichen Handelserlebnisse weit über die Dark-Web-Marktplätze in Tor hinaus. Und es sind zu viele Fische darin.
Normalerweise ist die eindeutige Kennung von Social-Media-Konten nur so etwas wie ein Benutzername oder eine Benutzer-ID, aber diese können von den böswilligen Akteuren vollständig geklont werden. Einige soziale Plattformen verfügen über Mechanismen zur Kontovalidierung, z. B. das Hinzufügen eines blauen V-Symbols oder ähnliches. Öffentliche Social-Media-Konten können durch einige Indikatoren validiert werden, wie z. B. die Anzahl der Follower, die geposteten Inhalte, die Interaktion mit Fans usw. Bei den nicht-öffentlichen Social-Media-Konten ist es etwas schwieriger. Es ist schön zu sehen, dass Telegram die Funktion „In welchen Gruppen wir zusammen sind“ veröffentlicht hat.
Wo es Schlupflöcher gibt, die ausgenutzt werden können und die Gewinne beträchtlich sind, müssen schon eine Menge Bösewichte da sein, das liegt in der Natur des Menschen.
Infolgedessen sind Social-Media-Plattformen voller Phishing-Fallen. Zum Beispiel: In einem Gruppenchat tauchte plötzlich jemand auf, der wie der offizielle Kundendienst aussah, und startete einen privaten Chat (any2any-Privatchat ist die Funktion von Telegram, es ist keine Freundschaftsanfrage erforderlich) und dann die klassische Taktik von Spam, Fische beißen einen nach dem anderen.
Oder Angreifer gehen noch einen Schritt weiter und fügen Sie einer anderen Gruppe hinzu. Alle Teilnehmer, die Sie kaufen, sind gefälscht, aber für Sie sieht es so realistisch aus. Wir bezeichnen diese Technik in der Untergrundgesellschaft als Gruppenklonen.
Dies sind nur die grundlegenden Methoden zur Manipulation der menschlichen Natur. Die fortgeschrittenen Techniken werden mit Schwachstellen kombiniert und sind daher schwieriger zu verhindern.
Zwietracht
Discord ist eine neue und beliebte soziale Plattform/IM-Software, die in den letzten zwei Jahren entwickelt wurde. Die Kernfunktion sind Community-Server (nicht das Konzept eines herkömmlichen Servers), wie es in der offiziellen Erklärung heißt:
Discord ist eine kostenlose Sprach-, Video- und Text-Chat-App, die von Millionen Menschen ab 13 Jahren genutzt wird, um mit ihren Communities und Freunden zu chatten und abzuhängen.
Menschen nutzen Discord täglich, um über viele Dinge zu sprechen, von Kunstprojekten und Familienausflügen bis hin zu Hausaufgaben und Unterstützung bei der psychischen Gesundheit. Es ist ein Zuhause für Gemeinschaften jeder Größe, wird aber am häufigsten von kleinen und aktiven Gruppen von Menschen genutzt, die regelmäßig miteinander reden.
Es sieht gut aus, erfordert aber einen recht hohen Sicherheitsstandard. Discord hat spezifische Sicherheitsregeln und -richtlinien wie:
Leider machen sich die meisten Menschen nicht die Mühe, es sorgfältig zu lesen. Darüber hinaus wird Discord nicht immer in der Lage sein, bestimmte Kernsicherheitsprobleme klar darzustellen, da sie den Hut eines Angreifers aufsetzen müssen, was nicht immer machbar ist.
Zum Beispiel:
Was sind bei so vielen NFT-Diebstählen auf Discord die wichtigsten Angriffsmethoden? Bevor wir das herausfinden, sind die Sicherheitshinweise von Discord nutzlos.
Der Hauptgrund für viele Projekt-Discordhacks ist tatsächlich das Discord-Token, das den Inhalt des Autorisierungsfelds im HTTP-Anfrage-Header darstellt. Es existiert schon sehr lange in Discord. Wenn Hacker einen Weg finden, an dieses Discord-Token zu gelangen, können sie fast alle Privilegien des Ziel-Discord-Servers kontrollieren. Das heißt, wenn das Ziel ein Administrator, ein Konto mit Administratorrechten oder ein Discord-Bot ist, können die Hacker tun, was sie wollen. Indem sie beispielsweise eine NFT-Phishing-Seite ankündigen, erwecken sie die Leute zum Glauben, dass es sich um die offizielle Ankündigung handelt, und die Fische werden in den Haken beißen.
Manche fragen sich vielleicht, was passiert, wenn ich meinem Discord-Konto eine Zwei-Faktor-Authentifizierung (2FA) hinzufüge? Absolut eine gute Angewohnheit! Aber Discord Token hat nichts mit dem 2FA-Status Ihres Kontos zu tun. Sobald Ihr Konto gehackt wurde, sollten Sie Ihr Discord-Passwort sofort ändern, um das ursprüngliche Discord-Token ungültig zu machen.
Für die Frage, wie der Hacker an den Discord-Token kommen kann, haben wir mindestens drei Haupttechniken herausgefunden und werden versuchen, sie in Zukunft im Detail zu erklären. Für normale Benutzer gibt es viel zu tun, aber die Kernpunkte sind: Beeilen Sie sich nicht, seien Sie nicht gierig und überprüfen Sie aus mehreren Quellen.
„Offizielles“ Phishing
Die schlechten Schauspieler sind gut darin, Rollenspiele auszunutzen, insbesondere die offizielle Rolle. Wir haben zum Beispiel bereits die Methode des gefälschten Kundendienstes erwähnt. Darüber hinaus erhielten im April 2022 viele Nutzer der bekannten Hardware-Wallet Trezor Phishing-E-Mails von trezor.us, bei dem es sich nicht um die offizielle Trezor-Domain trezor.io handelt. Es gibt einen kleinen Unterschied im Domainnamensuffix. Darüber hinaus wurden die folgenden Domains auch über Phishing-E-Mails verbreitet.
Dieser Domainname hat einen „Highlight-Spot“. Schauen Sie sich den Buchstaben ẹ darin genau an, und Sie werden feststellen, dass es sich nicht um den Buchstaben e handelt. Verwirrend? Es handelt sich eigentlich um Punycode, die Standardbeschreibung lautet wie folgt:
Eine Bootstring-Kodierung von Unicode für internationalisierte Domänennamen in Anwendungen (IDNA) ist eine internationalisierte Domänennamenkodierung, die einen begrenzten Satz von Zeichen sowohl in Unicode- als auch in ASCII-Codes darstellt.
Wenn jemand trẹzor entschlüsselt, sieht es so aus: xn-trzor-o51b, was der echte Domainname ist!
Hacker verwenden Punycode seit Jahren für Phishing, im Jahr 2018 wurden einige Binance-Benutzer durch denselben Trick kompromittiert.
Diese Art von Phishing-Sites kann bereits viele Menschen in die Irre führen, ganz zu schweigen von komplexeren Angriffen wie der Kontrolle offizieller Postfächer oder E-Mail-Fälschungsangriffen, die durch SPF-Konfigurationsprobleme verursacht werden. Dadurch sieht die Quelle der E-Mail genauso aus wie die offizielle.
Wenn es sich um einen betrügerischen Insider handelt, kann der Benutzer nichts tun. Projektteams sollten große Anstrengungen unternehmen, um Insider-Bedrohungen zu verhindern. Insider sind das größte Trojanische Pferd, werden aber oft vernachlässigt.
Web3-Datenschutzprobleme
Mit der wachsenden Beliebtheit von Web3 entstanden immer mehr interessante oder langweilige Projekte: wie alle Arten von Web3-Infrastrukturen, sozialen Plattformen usw. Einige von ihnen führten umfangreiche Datenanalysen durch und identifizierten verschiedene Verhaltensporträts der Ziele, nicht nur auf der Blockchain Seite, sondern auch auf bekannten Web2-Plattformen. Sobald das Porträt herauskommt, ist das Ziel im Grunde eine transparente Person. Und das Erscheinen der sozialen Plattformen Web3 könnte solche Datenschutzprobleme ebenfalls verschärfen.
Denken Sie darüber nach: Wenn Sie mit all diesen Web3-bezogenen Dingen herumspielen, wie z. B. Signaturbindung, On-Chain-Interaktionen usw., geben Sie dann mehr von Ihrer Privatsphäre preis? Viele sind vielleicht anderer Meinung, aber je mehr Teile zusammenkommen, desto genauer und umfassender wird sich ein Bild ergeben: welche NFTs Sie gerne sammeln, welchen Communities Sie beigetreten sind, auf welchen Whitelists Sie stehen, mit wem Sie verbunden sind, welche Web2-Konten an welche Zeiträume Sie gebunden sind, in welchen Zeiträumen Sie aktiv sind und so weiter. Sehen Sie, Blockchain verschlechtert manchmal die Privatsphäre. Wenn Ihnen die Privatsphäre am Herzen liegt, müssen Sie mit allem, was neu auftaucht, vorsichtig sein und die gute Angewohnheit beibehalten, Ihre Identität zu schützen.
Wenn der private Schlüssel zu diesem Zeitpunkt versehentlich gestohlen wird, besteht der Verlust nicht nur in Geld, sondern in allen sorgfältig gewahrten Web3-Rechten und -Interessen. Wir sagen oft, dass der private Schlüssel die Identität ist, und jetzt haben Sie ein echtes ID-Problem.
Testen Sie niemals die menschliche Natur.
Blockchain-Spielereien
Die Blockchain-Technologie hat eine völlig neue Branche geschaffen. Egal, ob Sie es BlockFi, DeFi, Kryptowährung, virtuelle Währung, digitale Währung, Web3 usw. nennen, der Kern von allem ist immer noch die Blockchain. Der größte Hype konzentrierte sich auf Finanzaktivitäten wie Krypto-Assets, einschließlich nicht fungibler Token (oder NFT, digitales Sammlerstück).
Die Blockchain-Industrie ist äußerst dynamisch und faszinierend, aber es gibt einfach zu viele Möglichkeiten, Böses zu tun. Die besonderen Eigenschaften der Blockchain führen zu einigen ziemlich einzigartigen Übeln, darunter unter anderem Kryptodiebstahl, Kryptojacking, Ransomware, Dark-Web-Handel, C2-Angriff, Geldwäsche, Ponzi-Systeme, Glücksspiel usw. Ich habe bereits 2019 eine Mindmap erstellt als Referenz.
https://github.com/slowmist/Knowledge-Base/blob/master/mindmaps/evil_blockchain.png
In der Zwischenzeit pflegt und aktualisiert das SlowMist-Team SlowMist Hacked – eine wachsende Datenbank für Blockchain-bezogene Hacking-Aktivitäten.
In diesem Handbuch wurden viele Sicherheitsmaßnahmen vorgestellt, und wenn Sie diese auf Ihre eigene Sicherheit anwenden können, dann herzlichen Glückwunsch. Ich werde nicht zu sehr auf die Blockchain-Spielereien eingehen. Wenn Sie interessiert sind, können Sie es selbst lernen, was auf jeden Fall eine gute Sache ist, insbesondere da sich ständig neue Betrügereien und Betrügereien entwickeln. Je mehr Sie lernen, desto besser können Sie sich verteidigen und diese Branche besser machen.
Was tun, wenn Sie gehackt werden?
Es ist nur eine Frage der Zeit, bis Sie irgendwann gehackt werden. Was also tun? Ich komme gleich zur Sache. Die folgenden Schritte sind nicht unbedingt in der richtigen Reihenfolge; Es gibt Zeiten, in denen man hin und her gehen muss, aber der Grundgedanke ist dieser.
Stop-Loss zuerst
Beim Stop-Loss geht es darum, Ihren Verlust zu begrenzen. Es kann in mindestens zwei Phasen unterteilt werden.
- Die unmittelbare Aktionsphase. Handeln Sie sofort! Wenn Sie sehen, dass Hacker Ihr Vermögen übertragen, denken Sie nicht weiter darüber nach. Beeilen Sie sich einfach und bringen Sie das verbleibende Vermögen an einen sicheren Ort. Wenn Sie Erfahrung im Front-Running-Trade haben, greifen Sie einfach zu und rennen Sie los. Je nach Art des Vermögenswerts gilt: Wenn Sie Ihre Vermögenswerte in der Blockchain einfrieren können, tun Sie dies so schnell wie möglich; Wenn Sie eine On-Chain-Analyse durchführen und feststellen können, dass Ihre Vermögenswerte an eine zentrale Börse übertragen werden, können Sie sich an deren Risikokontrollabteilung wenden.
- Die Post-Action-Phase. Sobald sich die Situation stabilisiert hat, sollten Sie sich darauf konzentrieren, sicherzustellen, dass es keine sekundären oder tertiären Angriffe gibt.
Schützen Sie die Szene
Wenn Sie feststellen, dass etwas nicht stimmt, bleiben Sie ruhig und atmen Sie tief durch. Denken Sie daran, den Unfallort zu schützen. Hier ein paar Vorschläge:
- Wenn der Unfall auf einem Computer, Server oder anderen mit dem Internet verbundenen Geräten passiert, trennen Sie sofort das Netzwerk, während die Geräte weiterhin mit Strom versorgt werden. Manche Leute behaupten möglicherweise, dass, wenn es sich um einen zerstörerischen Virus handelt, die lokalen Systemdateien durch den Virus zerstört werden. Sie haben Recht, aber das Herunterfahren hilft nur, wenn man schneller reagieren kann als der Virus …
- Sofern Sie nicht in der Lage sind, dies selbst zu bewältigen, ist es immer die bessere Wahl, darauf zu warten, dass Sicherheitsexperten zur Analyse eingreifen.
Das ist wirklich wichtig, da wir schon einige Male festgestellt haben, dass die Szene bereits in einem Chaos war, als wir die Analyse durchführten. Und es gab sogar Fälle, in denen offenbar wichtige Beweise (z. B. Protokolle, Virendateien) bereinigt worden waren. Ohne einen gut erhaltenen Tatort kann es für die anschließende Analyse und Nachverfolgung äußerst störend sein.
Ursachenanalyse
Der Zweck der Ursachenanalyse besteht darin, den Gegner zu verstehen und ein Porträt des Hackers zu erstellen. An dieser Stelle ist der Vorfallbericht sehr wichtig, der auch Post Mortem Report genannt wird. Der Vorfallbericht und der Post-Mortem-Bericht beziehen sich auf dasselbe.
Wir haben so viele Menschen getroffen, die nach dem Diebstahl ihrer Münzen zu uns kamen und um Hilfe baten, und für viele von ihnen war es sehr schwierig, klar zu sagen, was passiert ist. Noch schwieriger ist es für sie, einen klaren Vorfallbericht zu erstellen. Aber ich denke, das lässt sich praktizieren und es wäre hilfreich, wenn man sich auf Beispiele bezieht. Folgendes kann ein guter Ausgangspunkt sein:
- Zusammenfassung 1: Wer war beteiligt, wann geschah das, was ist passiert und wie hoch war der Gesamtschaden?
- Zusammenfassung 2: Die Wallet-Adressen im Zusammenhang mit dem Verlust, die Wallet-Adresse des Hackers, die Art der Münze, die Menge der Münze. Mit Hilfe einer einzigen Tabelle könnte es viel klarer sein.
- Prozessbeschreibung: Dieser Teil ist der schwierigste. Sie müssen alle Aspekte des Vorfalls mit allen Details beschreiben. Dies ist nützlich, um verschiedene Arten von Spuren im Zusammenhang mit dem Hacker zu analysieren und daraus schließlich ein Hackerporträt (einschließlich der Motivation) zu erhalten.
Im Einzelfall wird die Vorlage wesentlich komplexer sein. Manchmal kann auch das menschliche Gedächtnis unzuverlässig sein, und es kommt sogar zu einer absichtlichen Verheimlichung wichtiger Informationen, was zu Zeitverschwendung oder Verzögerungen beim Timing führen kann. In der Praxis würde es also zu einem enormen Verbrauch kommen, und wir müssen unsere Erfahrung nutzen, um die Arbeit gut zu leiten. Abschließend erstellen wir mit der Person oder dem Team, die die Münzen verloren hat, einen Vorfallbericht und halten diesen Vorfallbericht weiterhin auf dem neuesten Stand.
Quellenverfolgung
Nach Roccas Gesetz gibt es dort, wo eine Invasion stattfindet, eine Spur. Wenn wir intensiv genug nachforschen, werden wir immer einige Hinweise finden. Der Untersuchungsprozess ist eigentlich eine forensische Analyse und Quellenverfolgung. Wir werden die Quellen anhand des Hackerporträts aus der forensischen Analyse aufspüren und ständig anreichern, was ein dynamischer und iterativer Prozess ist.
Die Quellenverfolgung besteht aus zwei Hauptteilen:
- On-Chain-Intelligenz. Wir analysieren die Vermögensaktivitäten der Wallet-Adressen, wie z. B. den Zugang zu zentralen Börsen, Münzmischern usw., überwachen sie und erhalten Benachrichtigungen über neue Überweisungen.
- Off-Chain-Intelligence: Dieser Teil umfasst die IP des Hackers, Geräteinformationen, E-Mail-Adresse und weitere Informationen aus der Korrelation dieser zugehörigen Punkte, einschließlich Verhaltensinformationen.
Auf der Grundlage dieser Informationen gibt es zahlreiche Quellenverfolgungsarbeiten, die sogar die Einbeziehung der Strafverfolgungsbehörden erfordern würden.
Abschluss der Fälle
Natürlich wünschen wir uns alle ein Happy End, und hier sind einige Beispiele für öffentlich bekannt gegebene Ereignisse, an denen wir beteiligt waren und die gute Ergebnisse zeitigten:
- Lendf.Me, Wert von $25 Millionen
- SIL Finance, Wert von $12,15 Millionen
- Poly Network, Wert von $610 Millionen
Wir haben viele andere unveröffentlichte Fälle erlebt, die mit guten oder guten Ergebnissen endeten. Allerdings hatten die meisten von ihnen ein schlechtes Ende, was ziemlich bedauerlich ist. Wir haben in diesen Prozessen viele wertvolle Erfahrungen gesammelt und hoffen, die Quote guter Abschlüsse in Zukunft steigern zu können.
Dieser Teil wird wie oben kurz erwähnt. Es gibt eine Menge Wissen in diesem Bereich und ich bin mit einigen davon nicht ganz vertraut. Daher werde ich hier keine detaillierte Erklärung geben. Abhängig vom Szenario müssen wir folgende Fähigkeiten beherrschen:
- Intelligente Vertragssicherheitsanalyse und Forensik
- Analyse und Forensik von On-Chain-Geldtransfers
- Web-Sicherheitsanalyse und Forensik
- Sicherheitsanalyse und Forensik für Linux-Server
- Windows-Sicherheitsanalyse und Forensik
- macOS-Sicherheitsanalyse und Forensik
- Mobile Sicherheitsanalyse und Forensik
- Schadcode-Analyse und Forensik
- Sicherheitsanalyse und Forensik von Netzwerkgeräten oder Plattformen
- Insider-Sicherheitsanalyse und Forensik
- …
Es deckt fast jeden Aspekt der Sicherheit ab, ebenso wie dieses Handbuch. Allerdings werden diese Sicherheitspunkte hier nur kurz als einführender Leitfaden erwähnt.
Missverständnis
Dieses Handbuch fordert Sie von Anfang an auf, skeptisch zu bleiben! Dazu gehört alles, was hier erwähnt wird. Dies ist eine äußerst dynamische und vielversprechende Branche voller Fallen und Chaos aller Art. Werfen wir hier einen Blick auf einige der Missverständnisse, die, wenn man sie für selbstverständlich hält, leicht dazu führen können, dass man in die Falle tappt und Teil des Chaos selbst wird.
Kodex ist Gesetz
Kodex ist Gesetz. Wenn jedoch ein Projekt (insbesondere im Zusammenhang mit Smart Contracts) gehackt oder beschädigt wird, wünscht sich kein einzelnes Opfer jemals „Code Is Law“, und es stellt sich heraus, dass es sich immer noch auf das Gesetz in der realen Welt verlassen muss.
Nicht Ihre Schlüssel, nicht Ihre Münzen
Wenn Sie Ihre Schlüssel nicht besitzen, besitzen Sie auch nicht Ihre Münzen. Tatsächlich haben viele Benutzer ihre eigenen privaten Schlüssel nicht ordnungsgemäß verwaltet. Aufgrund verschiedener Sicherheitsmängel verlieren sie sogar ihre Krypto-Assets. Manchmal werden Sie feststellen, dass es tatsächlich sicherer ist, Ihr Krypto-Asset auf großen und seriösen Plattformen zu platzieren.
Auf Blockchain vertrauen wir
Wir vertrauen darauf, weil es eine Blockchain ist. Tatsächlich ist die Blockchain selbst in der Lage, viele der grundlegenden Vertrauensprobleme zu lösen, da sie manipulationssicher, zensurresistent usw. ist. Wenn mein Vermögen und die damit verbundenen Aktivitäten in der Kette sind, kann ich standardmäßig darauf vertrauen, dass niemand sonst mein Vermögen wegnehmen oder meine Aktivitäten unbefugt manipulieren kann. Die Realität sieht jedoch oft hart aus: Erstens ist nicht jede Blockchain in der Lage, diese grundlegenden Punkte zu erreichen, und zweitens ist die menschliche Natur immer das schwächste Glied. Viele der Hacking-Techniken übersteigen heutzutage die Vorstellungskraft der meisten von uns. Obwohl wir immer sagen, dass Angriff und Verteidigung das Gleichgewicht zwischen Kosten und Auswirkungen sind, wird kein Hacker Zeit damit verschwenden, Sie ins Visier zu nehmen, wenn Sie nicht über einen großen Vermögenswert verfügen. Aber wenn es mehrere Ziele wie Sie selbst gibt, wird es für die Hacker sehr profitabel sein, den Angriff zu starten.
Mein Sicherheitsratschlag ist ganz einfach: Misstrauen Sie standardmäßig (das heißt, stellen Sie standardmäßig alles in Frage) und führen Sie eine kontinuierliche Überprüfung durch. Verifizieren ist hier die wichtigste Sicherheitsmaßnahme, und kontinuierliche Verifizierung bedeutet im Grunde, dass sich die Sicherheit niemals in einem statischen Zustand befindet. Wenn sie jetzt sicher ist, heißt das nicht, dass sie morgen sicher ist. Die Fähigkeit, richtig zu verifizieren, ist dabei für uns alle die größte Herausforderung, aber es ist durchaus interessant, da man sich dabei viel Wissen aneignen wird. Wenn du stark genug bist, kann dir niemand so leicht etwas antun.
Kryptografische Sicherheit ist Sicherheit
Kryptographie ist mächtig und wichtig. Ohne die harte Arbeit der Kryptographen, alle soliden kryptografischen Algorithmen und technischen Implementierungen wird es keine moderne Kommunikationstechnologie, kein Internet oder keine Blockchain-Technologie geben. Einige Personen betrachten kryptografische Sicherheit jedoch als absolute Sicherheit. Und so tauchen eine Menge seltsamer Fragen auf:
Ist die Blockchain nicht so sicher, dass es Billionen von Jahren gedauert hat, einen privaten Schlüssel zu knacken? Wie kommt es, dass das FBI Dark Web Bitcoin entschlüsseln konnte? Warum um alles in der Welt könnte Jay Chous NFT gestohlen werden?
Ich kann diese Anfängerfragen ertragen … Was ich nicht ertragen kann, ist die Tatsache, dass viele sogenannte Sicherheitsexperten kryptografische Sicherheitskonzepte verwenden, um die Öffentlichkeit zu täuschen. Sie erwähnen Begriffe wie militärische Verschlüsselung, weltbeste Verschlüsselung, kosmische -Level-Verschlüsselung, absolute Systemsicherheit, Unhackbarkeit usw.
Hacker? Es ist ihnen scheißegal...
Ist es demütigend, gehackt zu werden?
Es ist wahr, dass ein Hackerangriff gemischte Gefühle hervorrufen kann und manchmal auch Schamgefühle mit sich bringt. Sie müssen sich jedoch darüber im Klaren sein, dass es nahezu 100%-sicher ist, gehackt zu werden, Sie müssen sich also nicht schämen.
Wenn Sie einmal gehackt werden, ist es egal, ob Sie nur für sich selbst verantwortlich sind. Wenn Sie jedoch für viele andere verantwortlich sind, müssen Sie im Umgang mit dem Vorfall transparent und offen sein.
Auch wenn die Leute Sie in Frage stellen oder Ihnen sogar vorwerfen, den Hack selbst inszeniert zu haben, wird ein transparenter und offener, aktualisierter Prozess immer Glück und Verständnis bringen.
Stellen Sie sich das so vor: Wenn Ihr Projekt nicht bekannt ist, wird Sie niemand hacken. Die Schande besteht nicht darin, gehackt zu werden; Die Schande ist deine Arroganz.
Unter dem Gesichtspunkt der Wahrscheinlichkeit ist es ein häufiges Phänomen, gehackt zu werden. Normalerweise handelt es sich bei den meisten Sicherheitsproblemen nur um kleine Probleme, die zum Wachstum Ihres Projekts beitragen können. Die schwerwiegenden großen Probleme müssen jedoch weiterhin so weit wie möglich vermieden werden.
Sofort aktualisieren
In diesem Handbuch wird häufig empfohlen, auf Aktualisierungen zu achten. Wenn ein Sicherheitsupdate verfügbar ist, wenden Sie es sofort an. Überlegen Sie jetzt genau, ist das eine Wunderwaffe?
Tatsächlich ist „Jetzt aktualisieren“ in den meisten Fällen die richtige Vorgehensweise. Allerdings gab es in der Geschichte auch Zeiten, in denen ein Update ein Problem löste, aber ein anderes mit sich brachte. Ein Beispiel ist iPhone und Google Authenticator:
Beim neuen iOS 15-Update besteht die Gefahr, dass die Informationen im Google Authenticator nach dem iPhone-Upgrade gelöscht oder verdoppelt werden. Löschen Sie in diesem Fall niemals die doppelten Einträge, wenn Sie feststellen, dass sie doppelt vorhanden sind, da dies dazu führen kann, dass nach dem erneuten Öffnen alle Informationen im Google Authenticator verloren gehen.
Für diejenigen, die nicht auf das iOS 15-System aktualisiert haben und Google Authenticator verwenden, wird dringend empfohlen, vor dem Upgrade eine Sicherungskopie zu erstellen.
Später hat Google die Authenticator-App aktualisiert und so dieses Problem dauerhaft gelöst.
Außerdem empfehle ich, Wallets nicht häufig zu aktualisieren, insbesondere bei Wallets mit hohem Vermögen, es sei denn, es gibt einen größeren Sicherheitspatch oder eine sehr wichtige Funktion, die zu einem unvermeidlichen Update führt. In diesen Fällen müssen Sie Ihre eigene Risikobewertung durchführen und Ihre eigene Entscheidung treffen.
Abschluss
Denken Sie daran, dass dieses Handbuch mit diesem Diagramm beginnt 🙂
Ist Ihnen aufgefallen, dass ich die Person im Diagramm rot markiert habe? Ich mache das, um alle noch einmal daran zu erinnern, dass der Mensch die Grundlage von allem ist (in der Kosmologie als „anthropisches Prinzip“ bezeichnet). Ganz gleich, ob es um die menschliche Natur der Sicherheit geht oder um die Fähigkeit, Sicherheitskompetenzen zu beherrschen, alles hängt von Ihnen ab. Ja, wenn du stark genug bist, kann dir niemand so leicht etwas antun.
Ich begann anhand des Diagramms zu erweitern und erläuterte viele wichtige Sicherheitspunkte in den drei Prozessen: Wallet erstellen, Wallet sichern und Wallet verwenden. Dann habe ich den traditionellen Datenschutz eingeführt. Ich habe erklärt, dass solche traditionellen Systeme die Eckpfeiler und Bausteine dafür sind, dass wir in Blockchain-Ökosystemen sicher bleiben. Der Sicherheitsaspekt der menschlichen Natur kann nicht überstrapaziert werden. Es ist gut, mehr über die verschiedenen Arten des Bösen zu verstehen, insbesondere wenn Sie in ein paar Abgründe geraten, kann das Sicherheitsbewusstsein auf dem Papier schließlich zu Ihrem Sicherheitserlebnis werden. Es gibt keine absolute Sicherheit, deshalb habe ich erklärt, was zu tun ist, wenn Sie gehackt werden. Ich möchte nicht, dass Ihnen ein unglückliches Ereignis widerfährt, aber falls doch, hoffe ich, dass dieses Handbuch Ihnen helfen kann. Zum Abschluss möchte ich noch über einige Missverständnisse sprechen. Meine Absicht ist ganz einfach: Ich hoffe, dass Sie Ihr eigenes kritisches Denken entwickeln können, denn die Welt ist sowohl schön als auch schrecklich.
So viele Wörter habe ich schon lange nicht mehr geschrieben. Ich glaube, das letzte Mal war vor 10 Jahren, als ich das Buch schrieb „Web 前端黑客技术揭秘„. Es war ziemlich bittersüß. Nach vielen Jahren in der Web- und Cybersicherheit leitete ich ein Team zur Entwicklung von ZoomEye, einer Cyberspace-Suchmaschine. Im Bereich Cybersicherheit habe ich mich in vielen Bereichen versucht, von denen ich jedoch nur in wenigen behaupten kann, dass ich darin kompetent bin.
Mittlerweile gelten SlowMist und ich im Bereich der Blockchain-Sicherheit als Pioniere. Wir haben in diesen Jahren so viele Fälle erlebt, dass man fast glauben könnte, wir befänden uns jeden Tag in einem Trancezustand. Schade, dass viele Erkenntnisse nicht erfasst und weitergegeben werden. Und so entstand auf Drängen mehrerer Freunde dieses Handbuch.
Wenn Sie mit der Lektüre dieses Handbuchs fertig sind, müssen Sie üben, Kenntnisse erlangen und Schlussfolgerungen ziehen. Wenn Sie danach Ihre eigene Entdeckung oder Erfahrung machen, hoffe ich, dass Sie einen Beitrag leisten. Wenn Sie der Meinung sind, dass vertrauliche Informationen vorliegen, können Sie diese ausblenden oder die Informationen anonymisieren.
Schließlich dank der globalen Reife der Gesetzgebung und Durchsetzung im Bereich Sicherheit und Datenschutz; Dank der Bemühungen aller bahnbrechenden Kryptographen, Ingenieure, ethischen Hacker und aller, die an der Schaffung einer besseren Welt beteiligt sind, zu denen auch Satoshi Nakamoto gehört.
Anhang
Sicherheitsregeln und -prinzipien
Die in diesem Handbuch erwähnten Sicherheitsregeln und -prinzipien sind wie folgt zusammengefasst. Zahlreiche Regeln fließen in den obigen Text ein und werden hier nicht näher erläutert.
Zwei wichtige Sicherheitsregeln:
- Null Vertrauen. Um es einfach zu machen: Bleiben Sie skeptisch und bleiben Sie es immer.
- Kontinuierliche Validierung. Um etwas zu vertrauen, muss man seine Zweifel bestätigen und die Bestätigung zur Gewohnheit machen.
Sicherheitsgrundsätze:
- Beziehen Sie sich für alle Erkenntnisse aus dem Internet auf mindestens zwei Quellen, bestätigen Sie sich gegenseitig und bleiben Sie stets skeptisch.
- Trennen. Legen Sie nicht alle Eier in einen Korb.
- Führen Sie bei Wallets mit wichtigen Vermögenswerten keine unnötigen Aktualisierungen durch.
- Was Sie sehen, ist das, was Sie unterschreiben. Sie müssen sich darüber im Klaren sein, was Sie unterschreiben, und über das erwartete Ergebnis nach dem Versand der unterzeichneten Transaktion. Tun Sie keine Dinge, die Sie hinterher bereuen werden.
- Achten Sie auf Systemsicherheitsupdates. Wenden Sie sie an, sobald sie verfügbar sind.
- Wenn Sie Programme nicht leichtfertig herunterladen und installieren, können die meisten Risiken tatsächlich vermieden werden.
Mitwirkende
Dank der Mitwirkenden wird diese Liste kontinuierlich aktualisiert und ich hoffe, dass Sie mich kontaktieren können, wenn Sie Ideen für dieses Handbuch haben.
Weil, Twitter(@evilcos)、即刻(@余弦.jpg)
Mitwirkende
Meine Frau SlowMist, Twitter (@SlowMist_Team), z. B. Pds, Johan, Kong, Kirk, Thinking, Blue, Lisa, Keywolf ... Jike-App Einige anonyme Freunde ... Mehr: https://darkhandbook.io/contributors.html
Wenn Ihr Beitrag zur Aufnahme in dieses Handbuch angenommen wird, werden Sie in die Liste der Mitwirkenden aufgenommen.
Zum Beispiel: Bereitstellung spezifischer Sicherheitsvorschläge oder -fälle; beteiligte sich an Übersetzungsarbeiten; größere Fehler korrigiert usw.
Offizielle Seiten
SlowMist https://www.slowmist.com CoinMarketCap https://coinmarketcap.com/ Sparrow Wallet https://sparrowwallet.com/ MetaMask https://metamask.io/ imToken https://token.im/ Trust Wallet https ://trustwallet.com/ Gnosis Safe https://gnosis-safe.io/ ZenGo https://zengo.com/ Fireblocks https://www.fireblocks.com/ Safeheron https://www.safeheron.com/ Keystone https://keyst.one/ Trezor https://trezor.io/ Rabby https://rabby.io/ EdgeWallet https://edge.app/ MyEtherWallet https://www.myetherwallet.com/ Phantom https: //phantom.app/ Tornado Cash https://tornado.cash/ Binance https://www.binance.com/ Coinbase https://coinbase.com Compound https://compound.finance/ SushiSwap https://www .sushi.com/ OpenSea https://opensea.io/ Revoke.cash https://revoke.cash/ APPROVED.zone https://approved.zone/ 即刻 https://okjike.com/ Kaspersky https:// www.kaspersky.com.cn/ Bitdefender https://www.bitdefender.com/ Cloudflare https://www.cloudflare.com/ Akamai https://www.akamai.com/ ÜBERWACHUNG SELBSTVERTEIDIGUNG https://ssd .eff.org/ Datenschutzleitfaden https://www.privacytools.io/ OpenPGP https://www.openpgp.org/ GPG https://gnupg.org/ GPG Suite https://gpgtools.org/ Gpg4win https: //www.gpg4win.org/ 1Password https://1password.com/ Bitwarden https://bitwarden.com/ Google Authenticator https://support.google.com/accounts/answer/1066447 Microsoft Authenticator https://www .microsoft.com/en-us/security/mobile-authenticator-app ProtonMail https://protonmail.com/ Tutanota https://tutanota.com/ VMware Workstation https://www.vmware.com/products/workstation- pro.html Parallels https://www.parallels.com/