คู่มือการป้องกันตัวเองในป่ามืดของ Blockchain
(ที่มา:https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook)
อารัมภบท
ก่อนอื่น ขอแสดงความยินดีที่ได้พบคู่มือเล่มนี้! ไม่ว่าคุณจะเป็นใคร หากคุณเป็นผู้ถือสกุลเงินดิจิทัลหรือต้องการก้าวเข้าสู่โลกสกุลเงินดิจิทัลในอนาคต คู่มือเล่มนี้จะช่วยคุณได้มาก คุณควรอ่านคู่มือเล่มนี้อย่างละเอียดและประยุกต์ใช้คำสอนในคู่มือนี้ในชีวิตจริง
นอกจากนี้ เพื่อให้เข้าใจคู่มือเล่มนี้อย่างถ่องแท้ต้องอาศัยความรู้พื้นฐานบางประการ อย่างไรก็ตาม โปรดอย่ากังวล สำหรับผู้เริ่มต้น อย่ากลัวอุปสรรคด้านความรู้ที่สามารถเอาชนะได้ หากคุณพบสิ่งที่คุณไม่เข้าใจและจำเป็นต้องสำรวจเพิ่มเติม Google ขอแนะนำอย่างยิ่ง นอกจากนี้ สิ่งสำคัญคือต้องคำนึงถึงกฎความปลอดภัยข้อหนึ่ง: จงสงสัย! ไม่ว่าคุณจะเห็นข้อมูลใดบนเว็บ คุณควรหาแหล่งอ้างอิงโยงอย่างน้อยสองแหล่งเสมอ
อีกครั้ง ให้มีความสงสัยอยู่เสมอ 🙂 รวมถึงความรู้ที่กล่าวถึงในคู่มือเล่มนี้ด้วย
Blockchain เป็นสิ่งประดิษฐ์ที่ยอดเยี่ยมที่นำมาซึ่งการเปลี่ยนแปลงในความสัมพันธ์ด้านการผลิตและแก้ปัญหาความไว้วางใจได้ในระดับหนึ่ง โดยเฉพาะอย่างยิ่ง บล็อกเชนสร้างสถานการณ์ "ความไว้วางใจ" มากมายโดยไม่จำเป็นต้องรวมศูนย์และบุคคลที่สาม เช่น การไม่เปลี่ยนรูป การดำเนินการตามที่ตกลงไว้ และการป้องกันการปฏิเสธ อย่างไรก็ตามความจริงนั้นโหดร้าย มีความเข้าใจผิดมากมายเกี่ยวกับบล็อคเชน และผู้ร้ายจะใช้ความเข้าใจผิดเหล่านี้เพื่อใช้ประโยชน์จากช่องโหว่และขโมยเงินจากผู้คน ทำให้เกิดความสูญเสียทางการเงินมากมาย ทุกวันนี้โลกของ crypto ได้กลายเป็นป่ามืดไปแล้ว
โปรดจำกฎความปลอดภัยสองข้อต่อไปนี้เพื่อความอยู่รอดในบล็อกเชนป่ามืด
- ศูนย์ความน่าเชื่อถือ: เพื่อให้มันง่าย จงคงความกังขา และเป็นเช่นนั้นเสมอ
- การตรวจสอบความปลอดภัยอย่างต่อเนื่อง: เพื่อที่จะเชื่อถือบางสิ่งบางอย่าง คุณต้องตรวจสอบสิ่งที่คุณสงสัย และสร้างนิสัยให้ถูกต้อง
หมายเหตุ: กฎความปลอดภัยสองกฎข้างต้นเป็นหลักการสำคัญของคู่มือเล่มนี้ และหลักการรักษาความปลอดภัยอื่นๆ ทั้งหมดที่กล่าวถึงในคู่มือเล่มนี้มาจากกฎเหล่านั้น
เอาล่ะ นั่นคือทั้งหมดสำหรับการแนะนำของเรา เริ่มต้นด้วยแผนภาพและสำรวจป่าอันมืดมิดนี้เพื่อดูว่าเราจะเผชิญความเสี่ยงอะไรบ้าง และเราควรจัดการกับความเสี่ยงเหล่านี้อย่างไร
ไดอะแกรม
คุณสามารถอ่านไดอะแกรมนี้ผ่านๆ ก่อนที่จะดูคู่มือส่วนที่เหลืออย่างละเอียดยิ่งขึ้น มันคือทั้งหมดที่เกี่ยวกับกิจกรรมสำคัญในโลกนี้ (สิ่งที่คุณต้องการเรียกว่า: blockchain, cryptocurrency หรือ Web3) ซึ่งประกอบด้วยสามกระบวนการหลัก: การสร้างกระเป๋าเงิน, การสำรองข้อมูลกระเป๋าเงิน และการใช้กระเป๋าเงิน
เรามาติดตามกระบวนการทั้งสามนี้และวิเคราะห์แต่ละกระบวนการกัน
สร้างกระเป๋าเงิน
หัวใจสำคัญของกระเป๋าเงินคือคีย์ส่วนตัว (หรือวลีเริ่มต้น)
คีย์ส่วนตัวมีลักษณะดังนี้:
0xa164d4767469de4faf09793ceea07d5a2f5d3cef7f6a9658916c581829ff5584
นอกจากนี้ ต่อไปนี้คือลักษณะของวลีเริ่มต้น:
สุดสัปดาห์โหดร้าย พุ่งพล่าน ไร้เดียงสา เวียนหัว เอเลี่ยนใช้ ชวนให้หลั่ง ปรับผิด
หมายเหตุ: เราใช้ Ethereum เป็นตัวอย่างที่นี่ โปรดตรวจสอบรายละเอียดเพิ่มเติมของคีย์ส่วนตัว/วลีเริ่มต้นด้วยตนเอง
รหัสส่วนตัวคือตัวตนของคุณ หากคีย์ส่วนตัวสูญหาย/ถูกขโมย แสดงว่าคุณสูญเสียข้อมูลระบุตัวตน มีแอปพลิเคชั่นกระเป๋าเงินที่มีชื่อเสียงมากมาย และคู่มือเล่มนี้อาจไม่ครอบคลุมทั้งหมด
อย่างไรก็ตาม ฉันจะพูดถึงกระเป๋าสตางค์บางประเภทโดยเฉพาะ โปรดทราบว่ากระเป๋าเงินที่กล่าวถึงที่นี่สามารถเชื่อถือได้ในระดับหนึ่ง แต่ฉันไม่สามารถรับประกันได้ว่าพวกเขาจะไม่มีปัญหาหรือความเสี่ยงด้านความปลอดภัยระหว่างการใช้งาน (ฉันจะไม่ทำซ้ำอีกต่อไป โปรดจำกฎความปลอดภัยหลักสองข้อที่กล่าวถึงในบทนำเสมอ)
จำแนกตามแอปพลิเคชัน ได้แก่ กระเป๋าสตางค์สำหรับพีซี กระเป๋าสตางค์เสริมเบราว์เซอร์ กระเป๋าสตางค์มือถือ กระเป๋าสตางค์ฮาร์ดแวร์ และกระเป๋าสตางค์เว็บ ในแง่ของการเชื่อมต่ออินเทอร์เน็ต พวกเขาสามารถแบ่งออกเป็นกระเป๋าเงินเย็นและกระเป๋าเงินร้อนเป็นหลัก ก่อนที่เราจะกระโดดเข้าสู่โลกของ crypto เราต้องคิดถึงจุดประสงค์ของกระเป๋าเงินก่อน วัตถุประสงค์ไม่เพียงแต่กำหนดว่าเราควรใช้กระเป๋าเงินใบไหน แต่ยังรวมถึงวิธีการใช้กระเป๋าเงินด้วย
ไม่ว่าคุณจะเลือกกระเป๋าเงินประเภทใด สิ่งหนึ่งที่แน่นอนก็คือ หลังจากที่คุณมีประสบการณ์เพียงพอในโลกนี้ กระเป๋าเงินใบเดียวก็ไม่เพียงพอ
เราควรคำนึงถึงหลักการรักษาความปลอดภัยอีกประการหนึ่ง: การแยกตัว กล่าวคือ อย่าใส่ไข่ทั้งหมดไว้ในตะกร้าใบเดียว ยิ่งใช้กระเป๋าสตางค์บ่อยเท่าไรก็ยิ่งมีความเสี่ยงมากขึ้นเท่านั้น โปรดจำไว้เสมอ: เมื่อลองทำอะไรใหม่ ๆ ก่อนอื่นให้เตรียมกระเป๋าเงินแยกต่างหากแล้วลองใช้สักพักโดยใช้เงินจำนวนเล็กน้อย แม้แต่ผู้มีประสบการณ์ด้าน crypto เช่นฉัน ถ้าคุณเล่นด้วยไฟ คุณจะถูกไฟคลอกได้ง่ายขึ้น
ดาวน์โหลด
ฟังดูง่าย แต่จริงๆ แล้วมันไม่ง่ายเลย เหตุผลมีดังนี้:
- หลายๆ คนไม่สามารถค้นหาเว็บไซต์อย่างเป็นทางการที่แท้จริง หรือตลาดแอปพลิเคชันที่เหมาะสมได้ และในที่สุดก็ติดตั้งกระเป๋าเงินปลอม
- หลายๆ คนไม่ทราบวิธีการระบุว่าแอปพลิเคชันที่ดาวน์โหลดมานั้นถูกดัดแปลงหรือไม่
ดังนั้น สำหรับหลาย ๆ คน ก่อนที่พวกเขาจะเข้าสู่โลกบล็อคเชน กระเป๋าเงินของพวกเขาว่างเปล่าอยู่แล้ว
เพื่อแก้ไขปัญหาแรกข้างต้น มีเทคนิคบางประการในการค้นหาเว็บไซต์อย่างเป็นทางการที่ถูกต้อง เช่น
- ใช้ Google
- ใช้เว็บไซต์อย่างเป็นทางการที่มีชื่อเสียง เช่น CoinMarketCap
- ถามผู้คนและเพื่อนที่เชื่อถือได้
คุณสามารถอ้างอิงข้อมูลที่ได้รับจากแหล่งข้อมูลต่างๆ เหล่านี้ได้ และท้ายที่สุดก็มีเพียงความจริงข้อเดียวเท่านั้น :) ยินดีด้วย คุณพบเว็บไซต์อย่างเป็นทางการที่ถูกต้องแล้ว
ถัดไปคุณจะต้องดาวน์โหลดและติดตั้งแอปพลิเคชัน ถ้าเป็นกระเป๋าสตางค์พีซีหลังจากดาวน์โหลดจากเว็บไซต์อย่างเป็นทางการแล้วคุณจะต้องติดตั้งด้วยตัวเอง ขอแนะนำอย่างยิ่งให้ตรวจสอบว่าลิงก์ถูกดัดแปลงก่อนการติดตั้งหรือไม่ แม้ว่าการตรวจสอบนี้อาจไม่ป้องกันกรณีที่ซอร์สโค้ดถูกเปลี่ยนแปลงโดยสิ้นเชิง (เนื่องจากการหลอกลวงภายใน การแฮ็กภายใน หรือเว็บไซต์อย่างเป็นทางการอาจถูกแฮ็ก ฯลฯ) อย่างไรก็ตาม มันสามารถป้องกันกรณีต่างๆ เช่น การดัดแปลงซอร์สโค้ดบางส่วน การโจมตีแบบคนกลาง ฯลฯ
วิธีการตรวจสอบว่าไฟล์ถูกดัดแปลงหรือไม่คือการตรวจสอบความสอดคล้องของไฟล์ โดยปกติจะมีสองวิธี:
- การตรวจสอบแฮช: เช่น MD5, SHA256 เป็นต้น MD5 ใช้งานได้ในกรณีส่วนใหญ่ แต่ก็ยังมีความเสี่ยงเล็กน้อยที่จะเกิดการชนกันของแฮช ดังนั้นโดยทั่วไปเราจึงเลือก SHA256 ซึ่งมีความปลอดภัยเพียงพอ
- การตรวจสอบลายเซ็น GPG: วิธีนี้ก็เป็นที่นิยมมากเช่นกัน ขอแนะนำเป็นอย่างยิ่งให้เชี่ยวชาญเครื่องมือ คำสั่ง และวิธีการของ GPG แม้ว่าวิธีนี้จะยากเล็กน้อยสำหรับมือใหม่ แต่คุณจะพบว่ามันมีประโยชน์มากเมื่อคุณคุ้นเคย
อย่างไรก็ตาม มีโครงการไม่มากนักในโลก crypto ที่ให้การตรวจสอบ ดังนั้นจึงโชคดีที่ได้พบ ตัวอย่างเช่น นี่คือกระเป๋าเงิน bitcoin ที่เรียกว่า Sparrow Wallet หน้าดาวน์โหลดเขียนว่า “Verifying the Release” ซึ่งน่าประทับใจมาก และมีแนวทางที่ชัดเจนสำหรับทั้งสองวิธีที่กล่าวมาข้างต้น เพื่อให้คุณสามารถใช้เป็นข้อมูลอ้างอิงได้:
หน้าดาวน์โหลดกล่าวถึงเครื่องมือ GPG สองรายการ:
- GPG Suite สำหรับ MacOS
- Gpg4win สำหรับ Windows
หากคุณให้ความสนใจ คุณจะพบหน้าดาวน์โหลดสำหรับเครื่องมือ GPG ทั้งสองตัว ซึ่งจะให้คำแนะนำเกี่ยวกับวิธีการตรวจสอบความสอดคล้องของทั้งสองวิธี อย่างไรก็ตาม ไม่มีคำแนะนำทีละขั้นตอน กล่าวคือ คุณต้องเรียนรู้และฝึกฝนตัวเอง :)
หากเป็นกระเป๋าเงินส่วนขยายของเบราว์เซอร์เช่น MetaMask สิ่งเดียวที่คุณต้องใส่ใจคือหมายเลขการดาวน์โหลดและการให้คะแนนใน Chrome เว็บสโตร์ ตัวอย่างเช่น MetaMask มีการดาวน์โหลดมากกว่า 10 ล้านครั้งและมีเรตติ้งมากกว่า 2,000 รายการ (แม้ว่าเรตติ้งโดยรวมจะไม่สูงก็ตาม) บางคนอาจคิดว่าจำนวนการดาวน์โหลดและเรตติ้งอาจสูงเกินจริง พูดตามตรง เป็นเรื่องยากมากที่จะปลอมจำนวนมากเช่นนี้
กระเป๋าเงินมือถือ คล้ายกับกระเป๋าเงินส่วนขยายของเบราว์เซอร์ อย่างไรก็ตาม ควรสังเกตว่า App Store มีเวอร์ชันที่แตกต่างกันในแต่ละภูมิภาค สกุลเงินดิจิทัลถูกแบนในจีนแผ่นดินใหญ่ ดังนั้นหากคุณดาวน์โหลดกระเป๋าเงินด้วยบัญชี App Store ของจีน มีเพียงคำแนะนำเดียวเท่านั้น: อย่าใช้มัน เปลี่ยนเป็นบัญชีอื่นในภูมิภาคอื่น เช่น สหรัฐอเมริกา แล้วดาวน์โหลดใหม่อีกครั้ง มัน. นอกจากนี้ เว็บไซต์อย่างเป็นทางการที่ถูกต้องจะนำคุณไปสู่วิธีการดาวน์โหลดที่ถูกต้อง (เช่น imToken, Trust Wallet เป็นต้น เว็บไซต์อย่างเป็นทางการจะต้องรักษาความปลอดภัยของเว็บไซต์ในระดับสูง หากเว็บไซต์อย่างเป็นทางการถูกแฮ็ก ก็จะเกิดปัญหาใหญ่ตามมา ).
หากเป็นกระเป๋าเงินฮาร์ดแวร์ขอแนะนำอย่างยิ่งให้ซื้อจากเว็บไซต์อย่างเป็นทางการ อย่าซื้อจากร้านค้าออนไลน์ เมื่อคุณได้รับกระเป๋าเงินแล้ว คุณควรใส่ใจด้วยว่ากระเป๋าเงินนั้นชำรุดหรือไม่ แน่นอนว่ายังมีสิ่งแปลกปลอมบนบรรจุภัณฑ์ที่ตรวจพบได้ยาก ไม่ว่าในกรณีใด เมื่อใช้ฮาร์ดแวร์วอลเล็ต คุณควรสร้างวลีเริ่มต้นและที่อยู่วอลเล็ตอย่างน้อยสามครั้งตั้งแต่เริ่มต้น และตรวจสอบให้แน่ใจว่าจะไม่เกิดซ้ำ
ถ้าเป็นเว็บวอลเล็ทเราขอแนะนำอย่างยิ่งว่าอย่าใช้มัน เว้นแต่คุณจะไม่มีทางเลือก ตรวจสอบให้แน่ใจว่าเป็นของแท้ จากนั้นใช้มันเท่าที่จำเป็นและอย่าพึ่งพามัน
วลีช่วยในการจำ
หลังจากสร้างกระเป๋าเงินแล้ว สิ่งสำคัญที่เราจัดการโดยตรงคือวลีช่วยในการจำ/วลีเริ่มต้น ไม่ใช่คีย์ส่วนตัว ซึ่งง่ายต่อการจดจำ มีแบบแผนมาตรฐานสำหรับวลีช่วยในการจำ (เช่น BIP39) โดยทั่วไปมีคำศัพท์ภาษาอังกฤษอยู่ 12 คำ; อาจเป็นตัวเลขอื่น (ทวีคูณ 3) แต่ไม่เกิน 24 คำ มิฉะนั้นจะซับซ้อนเกินไปและไม่ง่ายที่จะจดจำ หากจำนวนคำน้อยกว่า 12 คำ แสดงว่าความปลอดภัยไม่น่าเชื่อถือ เป็นเรื่องปกติที่จะเห็นคำ 12/15/18/21/24 ในโลกบล็อกเชน 12 คำเป็นที่นิยมและปลอดภัยเพียงพอ อย่างไรก็ตาม ยังมีกระเป๋าเงินฮาร์ดแวร์แบบฮาร์ดคอร์ เช่น Ledger ที่ขึ้นต้นด้วย 24 คำ นอกจากคำศัพท์ภาษาอังกฤษแล้ว ยังมีภาษาอื่นๆ ให้เลือกด้วย เช่น จีน ญี่ปุ่น เกาหลี และอื่นๆ นี่คือรายการคำศัพท์ 2,048 คำสำหรับการอ้างอิง:
https://github.com/bitcoin/bips/blob/master/bip-0039/bip-0039-wordlists.md
เมื่อสร้างกระเป๋าสตางค์ วลีเริ่มต้นของคุณมีความเสี่ยง โปรดทราบว่าคุณไม่ได้ถูกรายล้อมไปด้วยผู้คน เว็บแคม หรือสิ่งอื่นใดที่สามารถขโมยวลีเริ่มต้นของคุณได้
นอกจากนี้ โปรดใส่ใจด้วยว่าวลีเริ่มต้นนั้นถูกสร้างขึ้นแบบสุ่มหรือไม่ โดยปกติแล้วกระเป๋าเงินที่มีชื่อเสียงสามารถสร้างวลีเริ่มต้นแบบสุ่มได้เพียงพอ อย่างไรก็ตามคุณควรระมัดระวังอยู่เสมอ เป็นการยากที่จะทราบว่ามีอะไรผิดปกติกับกระเป๋าเงินหรือไม่ อดทนเพราะการพัฒนานิสัยเหล่านี้เพื่อความปลอดภัยของคุณจะเป็นประโยชน์อย่างมาก สุดท้ายนี้ บางครั้งคุณอาจพิจารณาตัดการเชื่อมต่อจากอินเทอร์เน็ตเพื่อสร้างกระเป๋าเงิน โดยเฉพาะอย่างยิ่งหากคุณจะใช้กระเป๋าเงินนั้นเป็นกระเป๋าเงินเย็น การตัดการเชื่อมต่อจากอินเทอร์เน็ตจะใช้งานได้เสมอ
ไม่ใช้กุญแจ
Keyless หมายถึงไม่มีรหัสส่วนตัว ที่นี่เราแบ่ง Keyless ออกเป็นสองสถานการณ์หลัก (เพื่อความสะดวกในการอธิบาย การแบ่งดังกล่าวไม่ใช่มาตรฐานอุตสาหกรรม)
- คุมขัง. ตัวอย่างคือการแลกเปลี่ยนแบบรวมศูนย์และกระเป๋าเงิน ซึ่งผู้ใช้เพียงต้องลงทะเบียนบัญชีและไม่ได้เป็นเจ้าของรหัสส่วนตัว ความปลอดภัยของพวกเขาขึ้นอยู่กับแพลตฟอร์มแบบรวมศูนย์เหล่านี้โดยสิ้นเชิง
- ไม่ใช่การคุมขัง. ผู้ใช้มีอำนาจควบคุมเหมือนคีย์ส่วนตัว ซึ่งไม่ใช่คีย์ส่วนตัวจริง (หรือวลีเริ่มต้น) มันอาศัยแพลตฟอร์มคลาวด์ที่รู้จักกันดีสำหรับการโฮสต์และการรับรองความถูกต้อง/การอนุญาต ดังนั้นความปลอดภัยของแพลตฟอร์มคลาวด์จึงกลายเป็นส่วนที่เปราะบางที่สุด ส่วนอื่นๆ ใช้ประโยชน์จากการประมวลผลแบบหลายฝ่ายที่ปลอดภัย (MPC) เพื่อขจัดความเสี่ยงเพียงจุดเดียว และยังร่วมมือกับแพลตฟอร์มคลาวด์ยอดนิยมเพื่อเพิ่มประสบการณ์ผู้ใช้ให้สูงสุด
ส่วนตัวผมเคยใช้เครื่องมือ Keyless มาหลายประเภทครับ การแลกเปลี่ยนแบบรวมศูนย์ที่มีเงินในกระเป๋ามหาศาลและชื่อเสียงที่ดีจะมอบประสบการณ์ที่ดีที่สุด ตราบใดที่คุณไม่รับผิดชอบเป็นการส่วนตัวต่อการสูญเสียโทเค็น (เช่น หากข้อมูลบัญชีของคุณถูกแฮ็ก) การแลกเปลี่ยนแบบรวมศูนย์มักจะชดเชยการสูญเสียของคุณ โปรแกรม Keyless ที่ใช้ MPC ดูมีแนวโน้มมากและควรได้รับการส่งเสริม ฉันมีประสบการณ์ที่ดีกับZenGo, Fireblocks และ Safeheron ข้อดีนั้นชัดเจน:
- วิศวกรรมอัลกอริธึมของ MPC กำลังเติบโตมากขึ้นเรื่อยๆ ในบล็อกเชนที่มีชื่อเสียง และต้องทำเฉพาะกับคีย์ส่วนตัวเท่านั้น
- แนวคิดชุดหนึ่งสามารถแก้ปัญหาของบล็อกเชนที่แตกต่างกันซึ่งมีรูปแบบลายเซ็นหลายลายเซ็นที่แตกต่างกันอย่างมากมาย สร้างประสบการณ์ผู้ใช้ที่สอดคล้องกัน ซึ่งเป็นสิ่งที่เรามักเรียกว่า: ลายเซ็นหลายลายเซ็นสากล
- สามารถมั่นใจได้ว่าคีย์ส่วนตัวจริงจะไม่ปรากฏและแก้ไขจุดความเสี่ยงเพียงจุดเดียวผ่านการคำนวณแบบหลายลายเซ็น
- เมื่อรวมกับคลาวด์ (หรือเทคโนโลยี Web2.0) ทำให้ MPC ไม่เพียงแต่ปลอดภัย แต่ยังสร้างประสบการณ์ที่ดีอีกด้วย
อย่างไรก็ตาม ยังมีข้อเสียอยู่บ้าง:
- โครงการโอเพ่นซอร์สบางโครงการอาจไม่เป็นไปตามมาตรฐานที่เป็นที่ยอมรับของอุตสาหกรรม ต้องมีการทำงานเพิ่มเติม
- โดยพื้นฐานแล้วหลายๆ คนใช้แค่ Ethereum (หรือบล็อคเชนที่ใช้ EVM) ด้วยเหตุนี้ โซลูชันหลายลายเซ็นที่ใช้แนวทางสัญญาอัจฉริยะ เช่น Gnosis Safe ก็เพียงพอแล้ว
โดยรวมแล้ว ไม่ว่าคุณจะใช้เครื่องมือใด ตราบใดที่คุณรู้สึกปลอดภัย ควบคุมได้ และมีประสบการณ์ที่ดี มันก็เป็นเครื่องมือที่ดี
จนถึงตอนนี้เราได้กล่าวถึงสิ่งที่เราต้องระวังเกี่ยวกับการสร้างกระเป๋าเงินแล้ว ปัญหาด้านความปลอดภัยทั่วไปอื่นๆ จะกล่าวถึงในหัวข้อต่อๆ ไป
สำรองกระเป๋าสตางค์ของคุณ
นี่คือจุดที่มือดีๆ มากมายจะตกหลุมพราง รวมทั้งตัวฉันเองด้วย ฉันไม่ได้สำรองข้อมูลอย่างถูกต้องและฉันรู้ว่ามันจะเกิดขึ้นไม่ช้าก็เร็ว โชคดีที่มันไม่ใช่กระเป๋าเงินที่มีทรัพย์สินจำนวนมากและเพื่อนที่ SlowMist ช่วยฉันกู้คืนมันได้ ถึงกระนั้นมันก็เป็นประสบการณ์ที่น่ากลัวซึ่งฉันไม่คิดว่าจะมีใครอยากผ่านมันไป รัดเข็มขัดให้แน่นแล้วมาเรียนรู้วิธีสำรองกระเป๋าเงินของคุณอย่างปลอดภัยกันดีกว่า
วลีช่วยจำ / คีย์ส่วนตัว
เมื่อเราพูดถึงการสำรองข้อมูลกระเป๋าสตางค์ เรากำลังพูดถึงการสำรองข้อมูลวลีช่วยจำ (หรือคีย์ส่วนตัว เพื่อความสะดวก เราจะใช้วลีช่วยจำดังต่อไปนี้) วลีช่วยจำส่วนใหญ่สามารถแบ่งได้ดังนี้:
- ข้อความธรรมดา
- ด้วยรหัสผ่าน
- หลายลายเซ็น
- การแบ่งปันความลับของ Shamir หรือเรียกสั้น ๆ ว่า SSS
ฉันจะอธิบายแต่ละประเภทโดยย่อ
ข้อความธรรมดา,ข้อความธรรมดาก็เข้าใจง่าย เมื่อคุณมีคำศัพท์ภาษาอังกฤษทั้ง 12 คำแล้ว คุณจะเป็นเจ้าของทรัพย์สินในกระเป๋าเงิน คุณสามารถลองสลับคำแบบพิเศษ หรือแม้แต่แทนที่คำใดคำหนึ่งด้วยคำอื่นก็ได้ ทั้งสองอย่างจะเพิ่มความยากสำหรับแฮกเกอร์ในการแฮ็กเข้าไปในกระเป๋าเงินของคุณ อย่างไรก็ตาม คุณจะปวดหัวมากหากคุณลืมกฎ หน่วยความจำของคุณไม่กันกระสุน เชื่อฉันเถอะ ความทรงจำของคุณจะพันกันหลังจากผ่านไปหลายปี ไม่กี่ปีที่ผ่านมา ตอนที่ฉันใช้กระเป๋าเงินฮาร์ดแวร์ Ledger ฉันเปลี่ยนลำดับของวลีช่วยจำ 24 คำ หลังจากนั้นไม่กี่ปี ฉันลืมคำสั่งซื้อนี้ และฉันก็ไม่แน่ใจว่าได้เปลี่ยนคำใดหรือไม่ ตามที่กล่าวไว้ข้างต้น ปัญหาของฉันได้รับการแก้ไขด้วยโปรแกรมถอดรหัสโค้ดพิเศษที่ใช้กำลังดุร้ายเพื่อเดาลำดับและคำที่ถูกต้อง
ด้วยรหัสผ่าน, ตามมาตรฐาน วลีช่วยจำสามารถมีรหัสผ่านได้ ยังคงเป็นวลีเดิม แต่เมื่อใช้รหัสผ่าน จะได้รับวลีเริ่มต้นที่แตกต่างกัน วลีเริ่มต้นใช้เพื่อรับชุดคีย์ส่วนตัว คีย์สาธารณะ และที่อยู่ที่เกี่ยวข้อง ดังนั้นคุณไม่ควรสำรองเฉพาะวลีช่วยในการจำเท่านั้น แต่ยังรวมถึงรหัสผ่านด้วย อย่างไรก็ตาม คีย์ส่วนตัวสามารถมีรหัสผ่านได้และมีมาตรฐานของตัวเอง เช่น BIP 38 สำหรับ bitcoin และ Keystore สำหรับ ethereum
หลายลายเซ็น, ตามชื่อเลย ต้องใช้ลายเซ็นจากหลาย ๆ คนจึงจะเข้าถึงกระเป๋าเงินได้ มันยืดหยุ่นมากเพราะคุณสามารถตั้งกฎของคุณเองได้ ตัวอย่างเช่น หากมีกุญแจอยู่ 3 คน (คำช่วยจำหรือกุญแจส่วนตัว) คุณสามารถกำหนดให้มีคนอย่างน้อยสองคนเซ็นชื่อเพื่อเข้าถึงกระเป๋าเงิน แต่ละบล็อกเชนมีโซลูชันหลายลายเซ็นของตัวเอง กระเป๋าเงิน Bitcoin ที่มีชื่อเสียงส่วนใหญ่รองรับหลายลายเซ็น อย่างไรก็ตาม ใน Ethereum นั้น การสนับสนุนหลายลายเซ็นเป็นหลักผ่านสัญญาอัจฉริยะ เช่น Gnosis Safe นอกจากนี้ MPC หรือ Secure Multi-Party Computation กำลังได้รับความนิยมมากขึ้นเรื่อยๆ.. มอบประสบการณ์ที่คล้ายกับ Multi-Signature แบบดั้งเดิม แต่ด้วยเทคโนโลยีที่แตกต่างกัน ต่างจากลายเซ็นหลายลายเซ็น MPC เป็นแบบไม่เชื่อเรื่องพระเจ้าและสามารถทำงานร่วมกับโปรโตคอลทั้งหมดได้
สสส, การแบ่งปันความลับของ Shamir, SSS แบ่งเมล็ดออกเป็นหลาย ๆ การแบ่งปัน (โดยปกติ แต่ละการแบ่งปันจะมี 20 คำ) ในการกู้คืนกระเป๋าเงิน จะต้องรวบรวมและใช้จำนวนหุ้นที่ระบุ สำหรับรายละเอียด โปรดดูแนวทางปฏิบัติที่ดีที่สุดในอุตสาหกรรมด้านล่าง:
https://support.keyst.one/advanced-features/recovery-phrase/import-or-create-shamir-backup
https://wiki.trezor.io/Shamir_backup
การใช้โซลูชัน เช่น ลายเซ็นหลายลายเซ็นและ SSS จะทำให้คุณอุ่นใจและหลีกเลี่ยงความเสี่ยงแบบจุดเดียว แต่อาจทำให้การจัดการค่อนข้างซับซ้อน และบางครั้งอาจมีหลายฝ่ายเข้ามาเกี่ยวข้อง มีการประนีประนอมระหว่างความสะดวกสบายและความปลอดภัยเสมอ มันขึ้นอยู่กับแต่ละบุคคลที่จะตัดสินใจ แต่อย่าเกียจคร้านในหลักการ
การเข้ารหัส
การเข้ารหัสเป็นแนวคิดที่กว้างมาก ไม่สำคัญว่าการเข้ารหัสจะสมมาตร ไม่สมมาตร หรือใช้เทคโนโลยีขั้นสูงอื่นๆ ตราบใดที่คุณหรือทีมจัดการเหตุฉุกเฉินของคุณสามารถถอดรหัสข้อความที่เข้ารหัสได้อย่างง่ายดาย แต่ไม่มีใครอื่นหลังจากผ่านไปหลายทศวรรษ ถือเป็นการเข้ารหัสที่ดี
ตามหลักการรักษาความปลอดภัย "zero trust" เมื่อเราสำรองข้อมูลกระเป๋าสตางค์ เราต้องถือว่าขั้นตอนใดๆ อาจถูกแฮ็กได้ รวมถึงสภาพแวดล้อมทางกายภาพ เช่น ตู้เซฟ โปรดจำไว้ว่าไม่มีใครอื่นนอกจากตัวคุณเองที่สามารถไว้วางใจได้อย่างเต็มที่ ในความเป็นจริง บางครั้งคุณไม่สามารถเชื่อใจตัวเองได้ เพราะความทรงจำของคุณอาจจางหายไปหรือหายไป อย่างไรก็ตาม ฉันจะไม่ตั้งสมมติฐานในแง่ร้ายตลอดเวลา ไม่เช่นนั้นมันจะนำฉันไปสู่ผลลัพธ์ที่ไม่พึงประสงค์
เมื่อทำการสำรองข้อมูล จะต้องคำนึงถึงการกู้คืนระบบเป็นพิเศษ วัตถุประสงค์หลักของการกู้คืนความเสียหายคือการหลีกเลี่ยงจุดเสี่ยงเพียงจุดเดียว จะเกิดอะไรขึ้นหากคุณจากไปหรือสภาพแวดล้อมที่คุณจัดเก็บข้อมูลสำรองหยุดทำงาน ดังนั้นเรื่องสำคัญจะต้องมีคนทำ Disaster Recovery และต้องมีการสำรองข้อมูลหลายชุด
ฉันจะไม่อธิบายวิธีเลือกผู้กู้คืนระบบมากเกินไปเพราะมันขึ้นอยู่กับคนที่คุณไว้วางใจ ฉันจะมุ่งเน้นไปที่วิธีการสำรองข้อมูลหลายรายการ มาดูรูปแบบพื้นฐานของตำแหน่งสำรองข้อมูล:
- คลาวด์
- กระดาษ
- อุปกรณ์
- สมอง
คลาวด์, หลายๆ คนไม่เชื่อในการสำรองข้อมูลบน Cloud พวกเขาคิดว่ามันเสี่ยงต่อการถูกโจมตีจากแฮกเกอร์ ท้ายที่สุดแล้ว ทุกอย่างขึ้นอยู่กับว่าฝ่ายรุกหรือกองหลังฝ่ายไหนใช้ความพยายามมากขึ้น ในแง่ของกำลังคนและงบประมาณ โดยส่วนตัวแล้ว ฉันเชื่อมั่นในบริการคลาวด์ที่ขับเคลื่อนโดย Google, Apple, Microsoft ฯลฯ เพราะฉันรู้ว่าทีมรักษาความปลอดภัยของพวกเขาแข็งแกร่งแค่ไหนและพวกเขาใช้เงินไปกับการรักษาความปลอดภัยไปมากขนาดไหน นอกเหนือจากการต่อสู้กับแฮกเกอร์ภายนอก ฉันยังใส่ใจอย่างมากเกี่ยวกับการควบคุมความเสี่ยงด้านความปลอดภัยภายในและการปกป้องข้อมูลส่วนตัวอีกด้วย ผู้ให้บริการไม่กี่รายที่ฉันไว้วางใจกำลังทำงานได้ค่อนข้างดีกว่าในด้านเหล่านี้ แต่ไม่มีอะไรแน่นอน หากฉันเลือกบริการคลาวด์ใดๆ เหล่านี้เพื่อสำรองข้อมูลสำคัญ (เช่น กระเป๋าเงิน) ฉันจะเข้ารหัสกระเป๋าเงินอย่างน้อยอีกครั้งหนึ่งอย่างแน่นอน
ฉันขอแนะนำอย่างยิ่งให้เชี่ยวชาญ GPG สามารถใช้สำหรับ “การตรวจสอบลายเซ็น” และให้ความปลอดภัยที่แข็งแกร่งในการเข้ารหัสและถอดรหัสในระหว่างนี้ คุณสามารถเรียนรู้เพิ่มเติมเกี่ยวกับ GPG ได้ที่:
โอเค คุณเชี่ยวชาญ GPG แล้ว 🙂 ตอนนี้คุณได้เข้ารหัสข้อมูลที่เกี่ยวข้องในกระเป๋าเงินของคุณแล้ว (วลีช่วยจำหรือคีย์ส่วนตัว) ด้วย GPG ในสภาพแวดล้อมที่ปลอดภัยแบบออฟไลน์ ตอนนี้คุณสามารถโยนไฟล์ที่เข้ารหัสโดยตรงลงในบริการคลาวด์เหล่านี้และบันทึกไว้ที่นั่นได้ ทุกอย่างจะดี แต่ฉันต้องเตือนคุณตรงนี้: อย่าทำคีย์ส่วนตัวของ GPG หายหรือลืมรหัสผ่านของคีย์ส่วนตัว...
ณ จุดนี้ คุณอาจพบว่าการรักษาความปลอดภัยระดับพิเศษนี้ค่อนข้างลำบาก: คุณต้องเรียนรู้เกี่ยวกับ GPG และสำรองคีย์ส่วนตัวและรหัสผ่าน GPG ของคุณ ในความเป็นจริง หากคุณได้ทำตามขั้นตอนข้างต้นทั้งหมดแล้ว คุณจะคุ้นเคยกับกระบวนการนี้แล้ว และจะไม่พบว่ามันยากหรือยุ่งยากอีกต่อไป ฉันจะไม่พูดอีกต่อไปเพราะการฝึกฝนทำให้สมบูรณ์แบบ
หากคุณต้องการประหยัดความพยายาม มีความเป็นไปได้อีกอย่างหนึ่งแต่ความปลอดภัยของมันอาจถูกลดราคาลง ฉันไม่สามารถวัดส่วนลดที่แน่นอนได้ แต่บางครั้งฉันก็ขี้เกียจเมื่อใช้เครื่องมือที่มีชื่อเสียงเพื่อขอความช่วยเหลือ เครื่องมือนั้นคือ 1Password 1Password เวอร์ชันล่าสุดรองรับการจัดเก็บข้อมูลที่เกี่ยวข้องกับกระเป๋าเงินโดยตรงแล้ว เช่น คำช่วยจำ รหัสผ่าน ที่อยู่กระเป๋าเงิน ฯลฯ ซึ่งสะดวกสำหรับผู้ใช้ เครื่องมืออื่นๆ (เช่น Bitwarden) สามารถทำสิ่งที่คล้ายกันได้ แต่ก็ไม่สะดวกนัก
กระดาษ, กระเป๋าฮาร์ดแวร์จำนวนมากมาพร้อมกับการ์ดกระดาษคุณภาพสูงหลายใบซึ่งคุณสามารถจดวลีช่วยจำของคุณได้ (ในรูปแบบข้อความธรรมดา SSS ฯลฯ ) นอกจากกระดาษแล้ว บางคนยังใช้แผ่นเหล็กด้วย (ทนไฟ กันน้ำ และทนการกัดกร่อน แน่นอนว่าฉันยังไม่ได้ลองใช้) ทดสอบหลังจากที่คุณคัดลอกวลีช่วยจำ และหากทุกอย่างได้ผล ให้วางไว้ในที่ที่คุณรู้สึกปลอดภัย เช่น ในที่ปลอดภัย โดยส่วนตัวแล้วฉันชอบใช้กระดาษมาก เพราะหากจัดเก็บอย่างเหมาะสม กระดาษจะมีอายุการใช้งานยาวนานกว่าอุปกรณ์อิเล็กทรอนิกส์มาก
อุปกรณ์หมายถึงอุปกรณ์ทุกชนิด อุปกรณ์อิเล็กทรอนิกส์เป็นอุปกรณ์สำรองข้อมูลทั่วไป เช่น คอมพิวเตอร์ iPad iPhone หรือฮาร์ดไดรฟ์ ฯลฯ ขึ้นอยู่กับความชอบส่วนตัว เราต้องคิดถึงการส่งข้อมูลที่ปลอดภัยระหว่างอุปกรณ์ด้วย ฉันรู้สึกสบายใจที่ใช้วิธีการแบบเพียร์ทูเพียร์ เช่น AirDrop และ USB ซึ่งคนกลางจะแย่งชิงกระบวนการได้ยาก ฉันไม่สบายใจโดยธรรมชาติว่าอุปกรณ์อิเล็กทรอนิกส์อาจพังหลังจากผ่านไปสองสามปี ดังนั้นฉันจึงหมั่นตรวจสอบอุปกรณ์อย่างน้อยปีละครั้ง มีขั้นตอนที่ทำซ้ำ (เช่น การเข้ารหัส) ซึ่งคุณสามารถดูได้ในส่วนคลาวด์
สมองการพึ่งพาหน่วยความจำของคุณเป็นเรื่องที่น่าตื่นเต้น จริงๆ แล้ว ทุกคนต่างก็มี "วังแห่งความทรงจำ" เป็นของตัวเอง ความจำไม่ใช่เรื่องลึกลับและสามารถฝึกให้ทำงานได้ดีขึ้น มีบางสิ่งที่ปลอดภัยกว่าแน่นอนกับความทรงจำ การจะพึ่งพาสมองเพียงอย่างเดียวนั้นเป็นทางเลือกส่วนบุคคลหรือไม่ แต่ให้ใส่ใจกับความเสี่ยงสองประการ ประการแรก ความทรงจำจะหายไปเมื่อเวลาผ่านไปและอาจก่อให้เกิดความสับสน ความเสี่ยงอีกประการหนึ่งคือคุณอาจเกิดอุบัติเหตุ ฉันจะหยุดที่นี่และให้คุณสำรวจเพิ่มเติม
ตอนนี้คุณได้รับการสำรองข้อมูลทั้งหมดแล้ว อย่าเข้ารหัสมากเกินไป ไม่เช่นนั้นคุณจะต้องทนทุกข์ทรมานกับตัวเองหลังจากผ่านไปหลายปี ตามหลักการรักษาความปลอดภัย "การตรวจสอบอย่างต่อเนื่อง" วิธีการเข้ารหัสและสำรองข้อมูลของคุณ ไม่ว่าจะมากเกินไปหรือไม่ก็ตาม จะต้องได้รับการตรวจสอบอย่างต่อเนื่อง ทั้งแบบสม่ำเสมอและแบบสุ่ม ความถี่ในการตรวจสอบขึ้นอยู่กับหน่วยความจำของคุณและคุณไม่จำเป็นต้องดำเนินการตามกระบวนการทั้งหมดให้เสร็จสิ้น ตราบใดที่กระบวนการถูกต้อง การยืนยันบางส่วนยังใช้งานได้ สุดท้ายนี้ จำเป็นต้องใส่ใจกับการรักษาความลับและความปลอดภัยของกระบวนการตรวจสอบสิทธิ์ด้วย
โอเค มาสูดหายใจเข้าลึกๆ กันดีกว่า การเริ่มต้นคือส่วนที่ยากที่สุด ตอนนี้คุณพร้อมแล้ว มาเข้าสู่ป่ามืดๆ แห่งนี้กันเถอะ 🙂
วิธีใช้กระเป๋าเงินของคุณ
เมื่อคุณสร้างและสำรองกระเป๋าสตางค์ของคุณแล้ว มันก็มาถึงความท้าทายที่แท้จริง หากคุณไม่เคลื่อนย้ายทรัพย์สินของคุณบ่อยๆ หรือคุณแทบจะไม่โต้ตอบกับสัญญาอัจฉริยะใดๆ ของ DeFi, NFT, GameFi หรือ Web3 ซึ่งเป็นคำยอดนิยมที่อ้างถึงบ่อยๆ ในทุกวันนี้ ทรัพย์สินของคุณควรจะค่อนข้างปลอดภัย
โรคเอเอ็มแอล
อย่างไรก็ตาม “ค่อนข้างปลอดภัย” ไม่ได้หมายความว่า “ไม่มีความเสี่ยงเลย” เพราะ “คุณไม่มีทางรู้หรอกว่าอะไรจะเกิดขึ้นก่อน พรุ่งนี้ หรืออุบัติเหตุ” ใช่ไหม?. ทำไมถึงเป็นเช่นนั้น? ลองคิดดูสิ คุณได้รับสกุลเงินดิจิตอลมาจากไหน? มันไม่ได้มาจากที่ไหนเลยใช่ไหม? คุณอาจพบกับ AML (การต่อต้านการฟอกเงิน) ในสกุลเงินดิจิทัลทั้งหมดที่คุณได้รับเมื่อใดก็ได้ ซึ่งหมายความว่าสกุลเงินดิจิทัลที่คุณถืออยู่ในขณะนี้อาจสกปรก และหากคุณไม่โชคดี ก็อาจถูกแช่แข็งบนห่วงโซ่โดยตรง ตามรายงานสาธารณะ Tether เคยอายัดทรัพย์สิน USDT บางส่วนตามคำขอจากหน่วยงานบังคับใช้กฎหมาย รายชื่อกองทุนที่ถูกแช่แข็งสามารถพบได้ที่นี่
คุณสามารถตรวจสอบว่าที่อยู่ถูกตรึงโดย Tether จากสัญญา USDT หรือไม่
https://etherscan.io/token/0xdac17f958d2ee523a2206206994597c13d831ec7#readContract
ใช้ที่อยู่กระเป๋าสตางค์เป้าหมายเป็นอินพุต int isBlackListed เพื่อตรวจสอบ เครือข่ายอื่นๆ ที่ใช้ USDT มีวิธีการตรวจสอบที่คล้ายกัน
อย่างไรก็ตาม BTC และ ETH ของคุณไม่ควรถูกแช่แข็ง หากสิ่งนี้เกิดขึ้นในอนาคต ความเชื่อเรื่องการกระจายอำนาจก็จะล้มเหลวเช่นกัน คดีอายัดทรัพย์สินสกุลเงินดิจิทัลส่วนใหญ่ที่เราได้ยินมาในวันนี้เกิดขึ้นจริงในแพลตฟอร์มแบบรวมศูนย์ (เช่น Binance, Coinbase เป็นต้น) แต่ไม่ใช่บนบล็อกเชน เมื่อสกุลเงินดิจิทัลของคุณยังคงอยู่ในแพลตฟอร์ม Centralized Exchange แสดงว่าคุณไม่ได้เป็นเจ้าของแพลตฟอร์มเหล่านั้นจริงๆ เมื่อแพลตฟอร์มแบบรวมศูนย์ระงับบัญชีของคุณ พวกเขากำลังเพิกถอนการอนุญาตในการซื้อขายหรือถอนตัวของคุณ แนวคิดเรื่องการแช่แข็งอาจทำให้มือใหม่ในพื้นที่เข้าใจผิดได้ เป็นผลให้สื่อของตัวเองที่ประมาทอาจเผยแพร่ทฤษฎีสมคบคิดทุกประเภทเกี่ยวกับ BitCoin
แม้ว่าทรัพย์สิน BTC และ ETH ของคุณจะไม่ถูกแช่แข็งบนบล็อกเชน แต่การแลกเปลี่ยนแบบรวมศูนย์อาจระงับทรัพย์สินของคุณตามข้อกำหนดของ AML เมื่อทรัพย์สินของคุณถูกโอนไปยังแพลตฟอร์มเหล่านี้ และเกี่ยวข้องกับกรณีเปิดใด ๆ ที่หน่วยงานบังคับใช้กฎหมายกำลังทำงานอยู่
เพื่อหลีกเลี่ยงปัญหา AML ได้ดีขึ้น ให้เลือกแพลตฟอร์มและบุคคลที่มีชื่อเสียงเป็นคู่สัญญาของคุณเสมอ จริงๆ แล้วมีวิธีแก้ไขปัญหาบางประการสำหรับปัญหาประเภทนี้ ตัวอย่างเช่น บน Ethereum คนเลวและผู้คนที่ใส่ใจเรื่องความเป็นส่วนตัวเกือบทั้งหมดใช้ Tornado Cash เพื่อผสมเหรียญ ฉันจะไม่เจาะลึกหัวข้อนี้อีกต่อไปเนื่องจากวิธีการส่วนใหญ่ที่นี่ใช้ในการทำความชั่ว
กระเป๋าเงินเย็น
มีหลายวิธีในการใช้กระเป๋าเงินเย็น จากมุมมองของกระเป๋าเงิน ถือได้ว่าเป็นกระเป๋าเงินเย็นตราบใดที่ไม่ได้เชื่อมต่อกับเครือข่ายใดๆ แต่จะใช้งานอย่างไรเมื่อออฟไลน์? ก่อนอื่น หากคุณเพียงต้องการรับสกุลเงินดิจิทัล ก็ไม่ใช่เรื่องใหญ่อะไร กระเป๋าเงินเย็นสามารถมอบประสบการณ์ที่ยอดเยี่ยมด้วยการทำงานร่วมกับกระเป๋าเงินสำหรับนาฬิกาเท่านั้น เช่น imToken, Trust Wallet เป็นต้น กระเป๋าเงินเหล่านี้สามารถเปลี่ยนเป็นกระเป๋าเงินสำหรับนาฬิกาเท่านั้น เพียงเพิ่มที่อยู่กระเป๋าเงินเป้าหมาย
หากเราต้องการส่งสกุลเงินดิจิทัลโดยใช้กระเป๋าเงินเย็น ต่อไปนี้เป็นวิธีที่ใช้บ่อยที่สุด:
- คิวอาร์โค้ด
- ยูเอสบี
- บลูทู ธ
ทั้งหมดนี้จำเป็นต้องมีแอปเฉพาะ (เรียกว่า Light App ที่นี่) เพื่อทำงานกับกระเป๋าเงินเย็น แอพ Light จะออนไลน์พร้อมกับกระเป๋าเงิน Watch-only ดังกล่าวข้างต้น เมื่อเราเข้าใจหลักการพื้นฐานที่สำคัญแล้ว เราก็จะสามารถเข้าใจแนวทางเหล่านี้ได้ หลักการสำคัญคือ: ท้ายที่สุดแล้ว มันเป็นเพียงเรื่องของการค้นหาวิธีเผยแพร่เนื้อหาที่เซ็นชื่อไปยังบล็อกเชน กระบวนการโดยละเอียดมีดังนี้:
- เนื้อหาที่จะลงนามจะถูกส่งโดยแอป Light ไปยัง Cold Wallet โดยวิธีใดวิธีหนึ่งเหล่านี้
- ลายเซ็นจะถูกประมวลผลโดยกระเป๋าเงินเย็นที่มีรหัสส่วนตัว จากนั้นส่งกลับไปยังแอป Light โดยใช้วิธีเดียวกัน
- แอพ Light ออกอากาศเนื้อหาที่ลงนามบนบล็อคเชน
ดังนั้นไม่ว่าจะใช้วิธีไหน ไม่ว่าจะเป็น QR code, USB หรือ Bluetooth ก็ควรทำตามขั้นตอนข้างต้น แน่นอนว่ารายละเอียดอาจแตกต่างกันไปตามวิธีการต่างๆ ตัวอย่างเช่น รหัส QR มีความจุข้อมูลจำกัด ดังนั้นเมื่อข้อมูลลายเซ็นมีขนาดใหญ่เกินไป เราจะต้องแยกข้อมูลออก
ดูเหมือนว่าจะลำบากนิดหน่อย แต่จะดีขึ้นเมื่อคุณคุ้นเคย คุณจะรู้สึกได้ถึงความรู้สึกปลอดภัยอย่างเต็มที่ อย่างไรก็ตาม อย่าพิจารณาว่า 100% ปลอดภัยเนื่องจากยังคงมีความเสี่ยงอยู่ และมีหลายกรณีของการสูญเสียอย่างหนักเนื่องจากความเสี่ยงเหล่านี้ นี่คือจุดเสี่ยง:
- ที่อยู่เป้าหมายของการโอนเหรียญไม่ได้รับการตรวจสอบอย่างรอบคอบ ส่งผลให้เหรียญถูกโอนไปยังบุคคลอื่น ผู้คนก็เกียจคร้านและประมาทในบางครั้ง ตัวอย่างเช่น โดยส่วนใหญ่พวกเขาจะตรวจสอบจุดเริ่มต้นและจุดสิ้นสุดของที่อยู่กระเป๋าเงินเพียงไม่กี่บิต แทนที่จะตรวจสอบที่อยู่ทั้งหมดทั้งหมด สิ่งนี้จะทำให้คนร้ายกลายเป็นประตูหลัง พวกเขาจะรันโปรแกรมเพื่อรับที่อยู่กระเป๋าเงินด้วยบิตแรกและบิตสุดท้ายเหมือนกับที่อยู่เป้าหมายที่คุณต้องการ จากนั้นแทนที่ที่อยู่เป้าหมายการโอนเงินเหรียญของคุณด้วยที่อยู่ภายใต้การควบคุมของพวกเขาโดยใช้เทคนิคบางอย่าง
- เหรียญได้รับอนุญาตให้ไปยังที่อยู่ที่ไม่รู้จัก โดยทั่วไปการอนุญาตจะเป็นกลไกของโทเค็นสัญญาอัจฉริยะ Ethereum ซึ่งเป็นฟังก์ชัน "อนุมัติ" โดยอาร์กิวเมนต์หนึ่งเป็นที่อยู่การอนุญาตเป้าหมายและอีกอาร์กิวเมนต์เป็นปริมาณ หลายๆ คนไม่เข้าใจกลไกนี้ ดังนั้นพวกเขาจึงอาจอนุญาตโทเค็นจำนวนไม่จำกัดไปยังที่อยู่เป้าหมาย ซึ่ง ณ จุดนี้ที่อยู่เป้าหมายจะได้รับอนุญาตให้โอนโทเค็นเหล่านั้นทั้งหมดออกไป สิ่งนี้เรียกว่าการขโมยเหรียญที่ได้รับอนุญาต และมีเทคนิคอื่นๆ อีกหลายรูปแบบ แต่ฉันจะไม่ขยายความในที่นี้
- ลายเซ็นบางลายเซ็นที่ดูเหมือนไม่สำคัญจริงๆ แล้วมีกับดักขนาดใหญ่อยู่ด้านหลัง และฉันจะไม่เจาะลึกมันตอนนี้ แต่จะอธิบายรายละเอียดในภายหลัง
- กระเป๋าเงินเย็นอาจไม่ได้ให้ข้อมูลที่จำเป็นเพียงพอ ทำให้คุณประมาทและตัดสินผิด
ทั้งหมดสรุปได้เป็นสองประเด็น:
- กลไกความปลอดภัยในการโต้ตอบของผู้ใช้ "สิ่งที่คุณเห็นคือสิ่งที่คุณลงนาม" หายไป
- ขาดความรู้พื้นฐานที่เกี่ยวข้องของผู้ใช้
กระเป๋าเงินสุดฮอต
เมื่อเปรียบเทียบกับ Cold Wallet แล้ว Hot Wallet มีความเสี่ยงทั้งหมดที่ Cold Wallet จะมี นอกจากนี้ยังมีอีกประการหนึ่ง: ความเสี่ยงของการโจรกรรมวลีลับ (หรือคีย์ส่วนตัว) ณ จุดนี้มีปัญหาด้านความปลอดภัยเพิ่มเติมที่ต้องพิจารณาเกี่ยวกับ Hot Wallet เช่น ความปลอดภัยของสภาพแวดล้อมรันไทม์ หากมีไวรัสที่เกี่ยวข้องกับสภาพแวดล้อมรันไทม์ ก็มีความเสี่ยงที่จะถูกขโมย นอกจากนี้ยังมีกระเป๋าเงินร้อนที่มีช่องโหว่บางประการซึ่งสามารถขโมยวลีลับได้โดยตรง
นอกเหนือจากฟังก์ชันการโอนเหรียญตามปกติแล้ว หากคุณต้องการโต้ตอบกับ DApps อื่นๆ (DeFi, NFT, GameFi ฯลฯ) คุณต้องเข้าถึงโดยตรงด้วยเบราว์เซอร์ของคุณเอง หรือโต้ตอบกับ DApps ที่เปิดในเบราว์เซอร์พีซีของคุณผ่านทาง โปรโตคอล WalletConnect
หมายเหตุ: การอ้างอิง DApps ในคู่มือเล่มนี้อ้างอิงตามค่าเริ่มต้นถึงโครงการสัญญาอัจฉริยะที่ทำงานบนบล็อกเชน Ethereum
ตามค่าเริ่มต้น การโต้ตอบดังกล่าวจะไม่นำไปสู่การขโมยวลีที่เป็นความลับ เว้นแต่จะมีปัญหากับการออกแบบความปลอดภัยของกระเป๋าสตางค์เอง จากการตรวจสอบความปลอดภัยและประวัติการวิจัยด้านความปลอดภัยของเรา มีความเสี่ยงที่วลีลับกระเป๋าสตางค์จะถูกขโมยโดยตรงจาก JavaScript ที่เป็นอันตรายบนหน้าเป้าหมาย อย่างไรก็ตาม นี่เป็นกรณีที่เกิดขึ้นไม่บ่อยนัก เนื่องจากจริงๆ แล้วมันเป็นข้อผิดพลาดระดับต่ำมากซึ่งไม่น่าจะมีกระเป๋าเงินที่เป็นที่รู้จักเกิดขึ้น
สิ่งเหล่านี้ไม่ใช่ข้อกังวลที่แท้จริงของฉันที่นี่ พวกเขาสามารถจัดการได้สำหรับฉัน (และสำหรับคุณด้วย) ข้อกังวล/ข้อกังวลที่ใหญ่ที่สุดของฉันคือ: การทำซ้ำกระเป๋าเงินที่มีชื่อเสียงแต่ละครั้งจะทำให้แน่ใจได้อย่างไรว่าไม่มีการวางโค้ดที่เป็นอันตรายหรือประตูหลัง? ความหมายของคำถามนี้ชัดเจน: ฉันตรวจสอบแล้วว่ากระเป๋าเงินเวอร์ชันปัจจุบันไม่มีปัญหาด้านความปลอดภัย และฉันก็สบายใจที่จะใช้มัน แต่ฉันไม่รู้ว่าเวอร์ชันถัดไปจะปลอดภัยแค่ไหน ท้ายที่สุดแล้ว ฉันหรือทีมรักษาความปลอดภัยไม่มีเวลาและพลังงานมากนักในการตรวจสอบยืนยันทั้งหมด
มีการขโมยเหรียญหลายครั้งที่เกิดจากโค้ดที่เป็นอันตรายหรือประตูหลังตามที่อธิบายไว้ที่นี่ เช่น CoPay, AToken ฯลฯ คุณสามารถค้นหาเหตุการณ์เฉพาะเจาะจงได้ด้วยตัวเอง
ในกรณีนี้ การทำความชั่วมีหลายวิธี:
- เมื่อกระเป๋าเงินทำงาน โค้ดที่เป็นอันตรายจะรวมแพ็กเกจและอัปโหลดวลีลับที่เกี่ยวข้องโดยตรงไปยังเซิร์ฟเวอร์ที่แฮกเกอร์ควบคุม
- เมื่อกระเป๋าเงินทำงานและผู้ใช้เริ่มการถ่ายโอน ข้อมูล เช่น ที่อยู่เป้าหมายและจำนวนเงินจะถูกแทนที่อย่างลับๆ ในแบ็กเอนด์กระเป๋าเงิน และเป็นเรื่องยากสำหรับผู้ใช้ที่จะสังเกตเห็น
- การทำลายค่าเอนโทรปีของตัวเลขสุ่มที่เกี่ยวข้องกับการสร้างวลีลับ ซึ่งทำให้ถอดรหัสได้ง่าย
ความปลอดภัยเป็นเรื่องของความไม่รู้และความรู้ และมีหลายสิ่งที่สามารถเพิกเฉยหรือพลาดได้ง่าย ดังนั้นสำหรับกระเป๋าเงินที่มีทรัพย์สินสำคัญ กฎความปลอดภัยของฉันก็เรียบง่ายเช่นกัน: ไม่ต้องอัปเดตง่ายๆ เมื่อเพียงพอต่อการใช้งาน
DeFi Security คืออะไร
เมื่อเราพูดถึง DApp อาจเป็น DeFi, NFT หรือ GameFi เป็นต้น พื้นฐานด้านความปลอดภัยของสิ่งเหล่านี้ส่วนใหญ่จะเหมือนกัน แต่จะมีความเฉพาะเจาะจงตามลำดับ ก่อนอื่นเรามาดู DeFi เป็นตัวอย่างเพื่ออธิบายกันก่อน เมื่อเราพูดถึงความปลอดภัยของ DeFi เราหมายถึงอะไรกันแน่? ผู้คนในอุตสาหกรรมมักจะมองแต่สัญญาที่ชาญฉลาดเท่านั้น ดูเหมือนว่าเมื่อ Smart Contract ดี ทุกอย่างจะเรียบร้อยดี ที่จริงแล้วนี่ยังห่างไกลจากความจริง
การรักษาความปลอดภัย DeFi มีองค์ประกอบอย่างน้อยดังต่อไปนี้:
- การรักษาความปลอดภัยสัญญาอัจฉริยะ
- ความปลอดภัยของมูลนิธิ Blockchain
- การรักษาความปลอดภัยส่วนหน้า
- ความปลอดภัยในการสื่อสาร
- ความมั่นคงของมนุษย์
- ความมั่นคงทางการเงิน
- การรักษาความปลอดภัยการปฏิบัติตามข้อกำหนด
การรักษาความปลอดภัยสัญญาอัจฉริยะ
การรักษาความปลอดภัยสัญญาอัจฉริยะเป็นจุดเริ่มต้นที่สำคัญที่สุดสำหรับการตรวจสอบความปลอดภัย และดูมาตรฐานการตรวจสอบความปลอดภัยของสัญญาอัจฉริยะของ SlowMist ได้ที่:
https://www.slowmist.com/service-smart-contract-security-audit.html
สำหรับผู้เล่นขั้นสูง หากความปลอดภัยของส่วนสัญญาอัจฉริยะนั้นสามารถควบคุมได้ (ไม่ว่าพวกเขาจะสามารถตรวจสอบตัวเองหรือเข้าใจรายงานการตรวจสอบความปลอดภัยที่ออกโดยองค์กรวิชาชีพ) ก็ไม่สำคัญว่าส่วนอื่น ๆ จะปลอดภัยหรือไม่ การควบคุมได้เป็นแนวคิดที่ยุ่งยาก ซึ่งบางส่วนขึ้นอยู่กับความแข็งแกร่งของผู้เล่นเอง ตัวอย่างเช่น ผู้เล่นมีข้อกำหนดบางประการเกี่ยวกับความเสี่ยงจากอำนาจสัญญาอัจฉริยะที่มากเกินไป หากโครงการมีความแข็งแกร่งและบุคคลที่อยู่เบื้องหลังมีชื่อเสียงที่ดี การรวมศูนย์โดยสมบูรณ์ก็ไม่สำคัญ อย่างไรก็ตาม สำหรับโครงการที่ไม่ค่อยเป็นที่รู้จัก เป็นที่ถกเถียงหรือเกิดใหม่ หากคุณตระหนักว่าสัญญาอัจฉริยะของโครงการมีความเสี่ยงในการอนุญาตมากเกินไป โดยเฉพาะอย่างยิ่งหากการอนุญาตดังกล่าวอาจส่งผลกระทบต่อเงินต้นหรือรายได้ของคุณ คุณจะไม่เต็มใจอย่างแน่นอน
ความเสี่ยงของการอนุญาตที่มากเกินไปเป็นเรื่องที่ละเอียดอ่อนมาก ในหลายกรณี ผู้ดูแลระบบของโครงการมีหน้าที่กำกับดูแลและรับมือกับความเสี่ยงที่อาจเกิดขึ้น แต่สำหรับผู้ใช้ นี่คือการทดสอบธรรมชาติของมนุษย์ จะเกิดอะไรขึ้นถ้าทีมตัดสินใจทำชั่ว? ดังนั้นจึงมีแนวทางปฏิบัติแบบเสียเปรียบในอุตสาหกรรม: เพิ่ม Timelock เพื่อลดความเสี่ยงของการอนุญาตที่มากเกินไป เช่น:
Compound ซึ่งเป็นโครงการ DeFi ที่ได้รับการยอมรับและเป็นที่รู้จัก ซึ่งเป็นโมดูลสัญญาอัจฉริยะหลัก Comptroller และ Governance ทั้งสองมีกลไก Timelock ที่เพิ่มเข้ามาในการอนุญาตของผู้ดูแลระบบ:
ผู้ควบคุมบัญชี(0x3d9819210a31b4961b30ef54be2aed79b9c9cd3b)
การกำกับดูแล(0xc0da02939e1441f497fd74f78ce7decb17b66529)
ผู้ดูแลระบบ 2 โมดูลนี้
ล็อคเวลา(0x6d903f6003cca6255d85cca4d3b5e5146dc33925)
คุณสามารถค้นหาได้โดยตรงบนเครือข่ายว่า Timelock (ตัวแปรความล่าช้า) คือ 48 ชั่วโมง (172,800 วินาที):
กล่าวคือ หากผู้ดูแลระบบของ Compound จำเป็นต้องเปลี่ยนตัวแปรหลักบางตัวของสัญญาอัจฉริยะเป้าหมาย ธุรกรรมจะถูกบันทึกหลังจากเริ่มต้นบนบล็อกเชน แต่ต้องรอ 48 ชั่วโมงก่อนจึงจะสามารถสรุปและดำเนินการธุรกรรมได้ ซึ่งหมายความว่า หากคุณต้องการ คุณสามารถตรวจสอบทุกการดำเนินการจากผู้ดูแลระบบได้ และคุณจะมีเวลาอย่างน้อย 48 ชั่วโมงในการดำเนินการ ตัวอย่างเช่น หากคุณไม่แน่ใจ คุณสามารถถอนเงินได้ภายใน 48 ชั่วโมง
อีกวิธีในการลดความเสี่ยงในการอนุญาตมากเกินไปของผู้ดูแลระบบคือการเพิ่มลายเซ็นหลายลายเซ็น เช่น การใช้ Gnosis Safe สำหรับการจัดการหลายลายเซ็น เพื่อที่อย่างน้อยจะไม่มีเผด็จการ ควรสังเกตที่นี่ว่า multisig สามารถเป็น "เสื้อผ้าใหม่ของจักรพรรดิ" ตัวอย่างเช่น คนหนึ่งอาจมีกุญแจหลายอัน ดังนั้นจึงต้องระบุกลยุทธ์ multisig ของโครงการเป้าหมายให้ชัดเจน ใครเป็นผู้ถือกุญแจ และตัวตนของผู้ถือกุญแจแต่ละคนจะต้องมีชื่อเสียง
เป็นที่น่ากล่าวถึงในที่นี้ว่ากลยุทธ์ด้านความปลอดภัยใดๆ อาจนำไปสู่ปัญหา "เสื้อผ้าใหม่ของจักรพรรดิ" ซึ่งกลยุทธ์ดังกล่าวอาจดูเหมือนทำได้ดี แต่ในความเป็นจริงกลับไม่เป็นเช่นนั้น ส่งผลให้เกิดภาพลวงตาของความปลอดภัย อีกตัวอย่างหนึ่ง Timelock ดูดีบนกระดาษ จริงๆ แล้ว มีบางกรณีที่ Timelock ใช้งานโดยบางโปรเจ็กต์มีแบ็คดอร์ โดยทั่วไป ผู้ใช้จะไม่ดูซอร์สโค้ดของ Timelock และพวกเขาก็ไม่จำเป็นต้องเข้าใจมันแม้ว่าจะเข้าใจก็ตาม ดังนั้นผู้ดูแลระบบจึงใส่แบ็คดอร์ไว้ที่นั่น และจะไม่มีใครสังเกตเห็นเป็นเวลานานเพียงพอจริงๆ
นอกจากความเสี่ยงในการอนุญาตที่มากเกินไปแล้ว องค์ประกอบอื่นๆ ของการรักษาความปลอดภัยสัญญาอัจฉริยะก็มีความสำคัญเช่นกัน อย่างไรก็ตาม ฉันจะไม่ขยายความในส่วนนี้ โดยคำนึงถึงข้อกำหนดเบื้องต้นในการทำความเข้าใจ คำแนะนำของฉัน: อย่างน้อยคุณควรเรียนรู้ที่จะอ่านรายงานการตรวจสอบความปลอดภัย และการฝึกฝนจะทำให้สมบูรณ์แบบ
ความปลอดภัยของมูลนิธิ Blockchain
ความปลอดภัยของรากฐานบล็อคเชนหมายถึงความปลอดภัยของบล็อคเชนเอง เช่น ความปลอดภัยของบัญชีแยกประเภทที่เป็นเอกฉันท์ ความปลอดภัยของเครื่องเสมือน เป็นต้น หากความปลอดภัยของบล็อคเชนนั้นน่าเป็นห่วง โครงการสัญญาอัจฉริยะที่ทำงานบนเชนจะได้รับผลกระทบโดยตรง สิ่งสำคัญคือต้องเลือกบล็อกเชนที่มีกลไกการรักษาความปลอดภัยและชื่อเสียงที่เพียงพอ และดีกว่าด้วยความเป็นไปได้ที่จะมีอายุการใช้งานยาวนานกว่า
การรักษาความปลอดภัยส่วนหน้า
การรักษาความปลอดภัยส่วนหน้าเป็นปีศาจจริงๆ มันอยู่ใกล้กับผู้ใช้มากเกินไป และเป็นเรื่องง่ายอย่างยิ่งที่จะหลอกผู้ใช้ให้หลอกลวง บางทีจุดสนใจหลักของทุกคนอยู่ที่กระเป๋าสตางค์และความปลอดภัยของสัญญาอัจฉริยะ ส่งผลให้การรักษาความปลอดภัยส่วนหน้าถูกมองข้ามได้ง่าย ฉันอยากจะย้ำอีกครั้งว่าความปลอดภัยของส่วนหน้านั้นปีศาจ! ให้ฉันขุดลึกลงไป
ข้อกังวลที่ใหญ่ที่สุดของฉันเกี่ยวกับการรักษาความปลอดภัยส่วนหน้าคือ: ฉันจะรู้ได้อย่างไรว่าสัญญาที่ฉันกำลังโต้ตอบด้วยจากส่วนหน้าเฉพาะนี้เป็นสัญญาอัจฉริยะที่ฉันคาดหวัง
ความไม่มั่นคงนี้มีสาเหตุหลักมาจากสองปัจจัย:
- งานภายใน
- บุคคลที่สาม
เข้าใจงานภายในได้อย่างตรงไปตรงมา ตัวอย่างเช่น ผู้พัฒนาแอบแทนที่ที่อยู่สัญญาอัจฉริยะเป้าหมายในส่วนหน้าด้วยที่อยู่สัญญาที่มีประตูหลัง หรือสร้างสคริปต์ฟิชชิ่งการอนุญาต เมื่อคุณเยี่ยมชมส่วนหน้าที่มีการควบคุมดูแลนี้ การดำเนินการต่อเนื่องที่เกี่ยวข้องกับ cryptos ในกระเป๋าเงินของคุณอาจติดกับดัก ก่อนที่คุณจะรู้ตัว เหรียญก็จะหายไปแล้ว
บุคคลที่สามส่วนใหญ่อ้างถึงสองประเภท:
-
หนึ่งคือห่วงโซ่การพึ่งพาถูกแทรกซึม ตัวอย่างเช่น การพึ่งพาบุคคลที่สามที่ใช้โดยส่วนหน้ามีประตูหลังซึ่งแอบเข้าไปในส่วนหน้าเป้าหมายพร้อมกับบรรจุภัณฑ์และการเปิดตัว ต่อไปนี้เป็นโครงสร้างการขึ้นต่อกันของแพ็กเกจของ SushiSwap (เพื่อเป็นตัวอย่างเท่านั้น ไม่ได้หมายความว่าโปรเจ็กต์ในภาพหน้าจอมีปัญหาดังกล่าวเสมอไป):
-
อีกตัวอย่างหนึ่งคือไฟล์ JavaScript ระยะไกลของบริษัทอื่นที่นำเข้าโดยส่วนหน้า หากไฟล์ JavaScript นี้ถูกแฮ็ก อาจเป็นไปได้ว่าส่วนหน้าเป้าหมายจะได้รับผลกระทบเช่นกัน เช่น OpenSea (เพื่อเป็นตัวอย่างเท่านั้น ไม่ได้หมายความว่าโปรเจ็กต์ในภาพหน้าจอจะมีปัญหาดังกล่าว):
เหตุผลที่เราบอกว่าเป็นไปได้แต่ก็ไม่แน่นอนก็คือความเสี่ยงสามารถลดลงได้หาก devs อ้างถึงไฟล์ JavaScript ระยะไกลของบุคคลที่สามบนส่วนหน้าด้วยวิธีต่อไปนี้:
<script src=”https://example.com/example-framework.js” ความสมบูรณ์ =”sha384-Li9vy3DqF8tnTXuiaAJuML3ky+er10rcgNR/VqsVpcw+ThHmYcwiB1pbOxEbzJr7″ crossorigin=”ไม่ระบุชื่อ”>
จุดสำคัญที่นี่คือกลไกการรักษาความปลอดภัยที่ดีของ HTML5: คุณลักษณะความสมบูรณ์ในแท็ก (กลไก SRI) ความสมบูรณ์รองรับ SHA256, SHA384 และ SHA512 หากไฟล์ JavaScript ของบุคคลที่สามไม่ตรงตามการตรวจสอบความสมบูรณ์ของแฮช ไฟล์จะไม่ถูกโหลด นี่อาจเป็นวิธีที่ดีในการป้องกันการเรียกใช้โค้ดโดยไม่ได้ตั้งใจ อย่างไรก็ตาม การใช้กลไกนี้จำเป็นต้องมีทรัพยากรเป้าหมายเพื่อรองรับการตอบสนองของ CORS สำหรับรายละเอียด ให้อ้างอิงกับต่อไปนี้:
https://developer.mozilla.org/zh-CN/docs/Web/Security/Subresource_Integrity
ความปลอดภัยในการสื่อสาร
เรามาเน้นเรื่องความปลอดภัยของ HTTPS กันในส่วนนี้ ขั้นแรก เว็บไซต์เป้าหมายต้องใช้ HTTPS และไม่ควรอนุญาตให้มีการส่งผ่านข้อความธรรมดา HTTP เนื่องจากการส่งผ่านข้อความธรรมดา HTTP นั้นง่ายเกินไปที่จะถูกแย่งชิงโดยการโจมตีแบบแทรกกลาง ปัจจุบัน HTTPS เป็นเรื่องปกติมากในฐานะโปรโตคอลการส่งข้อมูลที่ปลอดภัย หากมีการโจมตีแบบแทรกกลางบน HTTPS และผู้โจมตีได้แทรก JavaScript ที่เป็นอันตรายลงในส่วนหน้าของแอปพลิเคชันเว็บ การแจ้งเตือนข้อผิดพลาดใบรับรอง HTTPS ที่ชัดเจนมากจะแสดงในเบราว์เซอร์ของผู้ใช้
ลองใช้เหตุการณ์ MyEtherWallet เป็นตัวอย่างเพื่ออธิบายประเด็นนี้
MyEtherWallet เคยเป็นกระเป๋าเงินบนเว็บแอปพลิเคชั่นที่ได้รับความนิยมอย่างมาก และจนถึงตอนนี้ก็ยังเป็นที่รู้จักเป็นอย่างดี อย่างไรก็ตาม มันไม่ได้เป็นเพียงกระเป๋าเงินของเว็บแอปพลิเคชันอีกต่อไป ดังที่ได้กล่าวไว้ก่อนหน้านี้ ฉันไม่สนับสนุนอย่างยิ่งให้ใช้กระเป๋าสตางค์ของเว็บแอปพลิเคชันเนื่องจากเหตุผลด้านความปลอดภัย นอกเหนือจากปัญหาต่างๆ ในการรักษาความปลอดภัยส่วนหน้าแล้ว การไฮแจ็ก HTTPS ยังเป็นความเสี่ยงที่อาจเกิดขึ้นอีกด้วย
เมื่อวันที่ 24 เมษายน 2018 เกิดเหตุการณ์ด้านความปลอดภัยที่สำคัญของการไฮแจ็ก HTTPS ใน MyEtherWallet สามารถดูสรุปเหตุการณ์ได้ที่นี่:
https://www.reddit.com/r/MyEtherWallet/comments/8eloo9/official_statement_regarding_dns_spoofing_of/
https://www.reddit.com/r/ethereum/comments/8ek86t/warning_myetherwalletcom_highjacked_on_google/
ในการโจมตี แฮกเกอร์ได้แย่งชิงบริการ DNS (Google Public DNS) ที่ใช้งานโดยผู้ใช้ MyEtherWallet จำนวนมากผ่าน BGP ซึ่งเป็นโปรโตคอลการกำหนดเส้นทางแบบโบราณ ซึ่งนำไปสู่การแสดงการแจ้งเตือนข้อผิดพลาด HTTPS โดยตรงในเบราว์เซอร์ของผู้ใช้ทุกคนเมื่อพวกเขาพยายามเข้าชม เว็บไซต์ MyEtherWallet ในความเป็นจริง ผู้ใช้ควรหยุดเมื่อเห็นการแจ้งเตือนนี้ เนื่องจากโดยพื้นฐานแล้วเป็นการบ่งชี้ว่าหน้าเว็บเป้าหมายถูกไฮแจ็ก อย่างไรก็ตาม ในความเป็นจริง ผู้ใช้จำนวนมากเพิกเฉยต่อการแจ้งเตือนอย่างรวดเร็วและดำเนินการโต้ตอบกับไซต์ที่ถูกไฮแจ็กต่อไป เพราะพวกเขาไม่เข้าใจความเสี่ยงด้านความปลอดภัยที่อยู่เบื้องหลังการแจ้งเตือนข้อผิดพลาด HTTPS เลย
เนื่องจากหน้าเว็บเป้าหมายถูกไฮแจ็กและแฮ็กเกอร์ได้แทรก JavaScript ที่เป็นอันตรายเข้าไปในนั้น เมื่อผู้ใช้โต้ตอบ แฮกเกอร์ก็จะขโมยคีย์ส่วนตัวแบบข้อความธรรมดาและโอนเงินออกไปได้สำเร็จ (ส่วนใหญ่เป็น ETH)
นี่เป็นกรณีคลาสสิกอย่างแน่นอนที่แฮกเกอร์ใช้เทคนิคการจี้ BGP เพื่อขโมย crypto มันเกินกำลังไปหน่อย หลังจากนั้นก็มีหลายกรณีที่คล้ายกัน และฉันจะไม่กล่าวถึงรายละเอียดเหล่านี้ที่นี่ สำหรับผู้ใช้ มีเพียงสิ่งเดียวที่ต้องการความสนใจจริงๆ: หากคุณตัดสินใจที่จะใช้กระเป๋าสตางค์ของเว็บแอปพลิเคชัน หรือพยายามโต้ตอบกับ DApp ตรวจสอบให้แน่ใจว่าคุณหยุดและปิดหน้าทุกครั้งที่คุณเห็นการแจ้งเตือนข้อผิดพลาดของใบรับรอง HTTPS! และเงินของคุณก็จะดี มีความเป็นจริงที่โหดร้ายในการรักษาความปลอดภัย: เมื่อมีความเสี่ยง อย่าให้ทางเลือกแก่ผู้ใช้ เหมือนกับที่คุณทำ ก็จะมีผู้ใช้ที่ติดกับดักอยู่เสมอไม่ว่าจะด้วยเหตุผลใดก็ตาม ที่จริงแล้วทีมงานโครงการจำเป็นต้องรับผิดชอบ ณ วันนี้ มีวิธีแก้ปัญหาด้านความปลอดภัยที่มีประสิทธิภาพมากสำหรับปัญหาการไฮแจ็ก HTTPS ที่กล่าวถึงข้างต้น: ทีมงานโครงการจำเป็นต้องกำหนดค่า HSTS อย่างเหมาะสม HSTS ย่อมาจาก HTTP Strict Transport Security; เป็นกลไกนโยบายความปลอดภัยของเว็บที่เบราว์เซอร์สมัยใหม่ส่วนใหญ่รองรับ หากเปิดใช้งาน HSTS ในกรณีที่มีข้อผิดพลาดใบรับรอง HTTPS เบราว์เซอร์จะบังคับให้ผู้ใช้หยุดการเข้าถึงแอปพลิเคชันเว็บเป้าหมาย และไม่สามารถข้ามข้อจำกัดได้ ตอนนี้คุณเข้าใจสิ่งที่ฉันหมายถึงแล้วหรือยัง?
ความมั่นคงทางธรรมชาติของมนุษย์
ส่วนนี้ง่ายต่อการเข้าใจ เช่น ทีมงานโครงการมีจิตใจชั่วร้ายและประพฤติตนไม่ซื่อสัตย์ ฉันได้กล่าวถึงเนื้อหาที่เกี่ยวข้องบางส่วนในส่วนที่แล้ว ดังนั้นฉันจะไม่ลงรายละเอียดเพิ่มเติมในที่นี้ จะกล่าวถึงเพิ่มเติมในส่วนต่อๆ ไป
ความมั่นคงทางการเงิน
ความมั่นคงทางการเงินควรได้รับการเคารพอย่างลึกซึ้ง ใน DeFi ผู้ใช้ให้ความสำคัญกับราคาและผลตอบแทนของโทเค็นเป็นอย่างมาก พวกเขาต้องการผลตอบแทนจากการลงทุนที่เหนือกว่าหรืออย่างน้อยก็มั่นคง กล่าวอีกนัยหนึ่ง ในฐานะผู้ใช้ ฉันเล่นเกมเพื่อชนะ และหากฉันแพ้ อย่างน้อยฉันต้องมั่นใจว่ามันเป็นเกมที่ยุติธรรม นี่เป็นเพียงธรรมชาติของมนุษย์
ความปลอดภัยทางการเงินใน DeFi เสี่ยงต่อการโจมตีในรูปแบบของ:
- แนวทางปฏิบัติในการเปิดตัวที่ไม่เป็นธรรม เช่น การขุดล่วงหน้าหรือการขายล่วงหน้า
- การโจมตีของวาฬ Crypto;
- ปั๊มและการถ่ายโอนข้อมูล;
- งานหงส์ดำ เช่น น้ำตกตลาดกะทันหัน หรือสมมติว่าเมื่อโปรโตคอล DeFi ตัวหนึ่งซ้อนกันหรือทำงานร่วมกับ DeFi/Token อื่นๆ ความปลอดภัย/ความน่าเชื่อถือจะขึ้นอยู่กับโปรโตคอลอื่นๆ ในระดับสูง
- การโจมตีทางเทคนิคอื่น ๆ หรือที่เราเรียกว่าเทคนิคทางวิทยาศาสตร์ เช่น การวิ่งหน้า การโจมตีแบบแซนวิช การโจมตีแบบแฟลชยืม ฯลฯ
ข้อกำหนดการปฏิบัติตาม
ข้อกำหนดด้านการปฏิบัติตามข้อกำหนดถือเป็นหัวข้อใหญ่มาก AML (การต่อต้านการฟอกเงิน) ที่กล่าวถึงก่อนหน้านี้เป็นเพียงหนึ่งในประเด็นเท่านั้น นอกจากนี้ยังมีแง่มุมต่างๆ เช่น KYC (รู้จักลูกค้าของคุณ) การคว่ำบาตร ความเสี่ยงด้านหลักทรัพย์ ฯลฯ อันที่จริงสำหรับผู้ใช้ของเรา สิ่งเหล่านี้ไม่ได้อยู่ภายใต้การควบคุมของเรา เมื่อเราโต้ตอบกับโครงการบางโครงการ เนื่องจากอาจอยู่ภายใต้กฎระเบียบที่เกี่ยวข้องในบางประเทศ ข้อมูลความเป็นส่วนตัวของเราอาจถูกเก็บรวบรวม คุณอาจไม่สนใจปัญหาความเป็นส่วนตัวดังกล่าว แต่ก็มีคนที่สนใจ
ตัวอย่างเช่น ในต้นปี 2022 มีเหตุการณ์เล็กๆ น้อยๆ เกิดขึ้น: กระเป๋าเงินบางใบตัดสินใจรองรับโปรโตคอล Address Ownership Proof Protocol (AOPP):
ฉันได้ดูการออกแบบโปรโตคอล ปรากฎว่ากระเป๋าเงินที่รองรับ AOPP อาจทำให้ความเป็นส่วนตัวของผู้ใช้รั่วไหล หน่วยงานกำกับดูแลอาจได้ทราบถึงความเชื่อมโยงระหว่างการแลกเปลี่ยน crypto ที่มีการควบคุมและที่อยู่กระเป๋าเงินภายนอกที่ไม่รู้จัก
ไม่น่าแปลกใจเลยที่กระเป๋าเงินที่เน้นความเป็นส่วนตัวจำนวนมากกังวลกับความคิดเห็นของผู้ใช้และนำการสนับสนุน AOPP ออกจากผลิตภัณฑ์ของตนอย่างรวดเร็ว แต่พูดตามตรง: การออกแบบโปรโตคอลค่อนข้างน่าสนใจ ฉันสังเกตเห็นว่ากระเป๋าเงินบางใบไม่มีแผนที่จะยกเลิกการรองรับ AOPP เช่น EdgeWallet ความคิดเห็นของพวกเขาคือ AOPP ไม่จำเป็นต้องเปิดเผยความเป็นส่วนตัวของผู้ใช้มากขึ้น ในทางกลับกัน จะช่วยเพิ่มการไหลเวียนของสกุลเงินดิจิทัล ในการแลกเปลี่ยน crypto ที่มีการควบคุมจำนวนมาก ผู้ใช้ไม่ได้รับอนุญาตให้ถอนไปยังที่อยู่กระเป๋าเงินภายนอกโดยเฉพาะ ก่อนที่เขาจะสามารถพิสูจน์ความเป็นเจ้าของได้
ในตอนแรก Trezor กระเป๋าเงินฮาร์ดแวร์ชื่อดังปฏิเสธที่จะลบการสนับสนุน AOPP แต่ต่อมาก็ถูกบังคับให้ประนีประนอมและทำเช่นนั้นเนื่องจากแรงกดดันจากชุมชนและผู้ใช้บน Twitter
อย่างที่คุณเห็น มันเป็นเหตุการณ์เล็กๆ แต่สำหรับบางคน ความเป็นส่วนตัวเป็นสิ่งสำคัญมาก นี่ไม่ได้เป็นการบอกว่าเราควรฝ่าฝืนกฎระเบียบ และเพิกเฉยต่อข้อกำหนดการปฏิบัติตามกฎระเบียบโดยสิ้นเชิง ตามความเป็นจริง ฉันเชื่อว่าจำเป็นต้องมีการประนีประนอมต่อข้อกำหนดการปฏิบัติตามกฎระเบียบในระดับหนึ่ง เราจะไม่เจาะลึกในหัวข้อนี้อีกต่อไป คุณสามารถแยกแยะเนื้อหาด้วยวิธีของคุณเองได้ตามใจชอบ
จนถึงตอนนี้ เราได้กล่าวถึงเนื้อหาส่วนใหญ่ในส่วนความปลอดภัยของ DeFi แล้ว
ยิ่งไปกว่านั้น ยังมีปัญหาด้านความปลอดภัยที่เกิดจากการเพิ่มหรือการอัปเดตในอนาคตอีกด้วย เรามักพูดว่า “มาตรการรักษาความปลอดภัยเป็นแบบไดนามิก ไม่ใช่แบบคงที่” ตัวอย่างเช่น ปัจจุบันทีมงานโครงการส่วนใหญ่ทำการตรวจสอบความปลอดภัยและแสดงรายงานการตรวจสอบความปลอดภัยที่สะอาด หากคุณเคยอ่านรายงานคุณภาพดีอย่างละเอียด คุณจะสังเกตเห็นว่ารายงานเหล่านี้จะอธิบายขอบเขต กรอบเวลา และตัวระบุเฉพาะของเนื้อหาที่ได้รับการตรวจสอบอย่างชัดเจน (เช่น ที่อยู่สัญญาอัจฉริยะแบบโอเพ่นซอร์สที่ได้รับการตรวจสอบแล้ว หรือที่อยู่ในการคอมมิตบน repo GitHub หรือแฮชของไฟล์ซอร์สโค้ดเป้าหมาย) กล่าวคือ รายงานเป็นแบบคงที่ แต่หากในโครงการคุณสังเกตเห็นความเบี่ยงเบนจากสิ่งที่กล่าวถึงในรายงาน คุณสามารถชี้ให้เห็นได้
การรักษาความปลอดภัยเอ็นเอฟที
เนื้อหาทั้งหมดที่กล่าวถึงก่อนหน้านี้เกี่ยวกับการรักษาความปลอดภัย DeFi สามารถนำไปใช้กับความปลอดภัยของ NFT ได้ และ NFT เองก็มีหัวข้อความปลอดภัยที่เฉพาะเจาะจงและไม่เหมือนใครสองสามหัวข้อ เช่น:
- ความปลอดภัยของข้อมูลเมตา
- การรักษาความปลอดภัยลายเซ็น
ข้อมูลเมตาอ้างอิงถึงรูปภาพที่ฝังไว้ ภาพเคลื่อนไหว และเนื้อหาอื่นๆ เป็นหลัก ขอแนะนำให้อ้างอิงถึง OpenSea ในมาตรฐานเฉพาะ:
มีข้อกังวลด้านความปลอดภัยหลักสองประการที่อาจเกิดขึ้นที่นี่:
- ประการหนึ่งคือ URI ซึ่งเป็นที่ตั้งของรูปภาพ (หรือภาพเคลื่อนไหว) อาจไม่น่าเชื่อถือ มันอาจเป็นเพียงบริการรวมศูนย์ที่สุ่มเลือก ในด้านหนึ่งไม่มีการรับประกันความพร้อมใช้งาน ในทางกลับกัน ทีมงานโครงการสามารถแก้ไขรูปภาพได้ตามต้องการ ดังนั้น NFT จะไม่กลายเป็น "ของสะสมดิจิทัล" ที่ไม่เปลี่ยนรูปอีกต่อไป โดยทั่วไป ขอแนะนำให้ใช้โซลูชันการจัดเก็บข้อมูลแบบรวมศูนย์ เช่น IPFS, Arweave และเลือกบริการเกตเวย์ URI ที่รู้จักกันดี
- อีกประการหนึ่งคือโอกาสที่จะเกิดการรั่วไหลของความเป็นส่วนตัว บริการ URI ที่เลือกแบบสุ่มอาจเก็บข้อมูลพื้นฐานของผู้ใช้ (เช่น IP, User-Agent ฯลฯ)
การลงนามด้านความปลอดภัยเป็นข้อกังวลสำคัญอีกประการหนึ่ง และเราจะอธิบายไว้ด้านล่าง
ระมัดระวังในการลงนาม!
การรักษาความปลอดภัยของลายเซ็นเป็นสิ่งที่ฉันต้องการพูดถึงโดยเฉพาะเนื่องจากมีข้อผิดพลาดมากมายและคุณควรระมัดระวังตลอดเวลา มีเหตุการณ์เกิดขึ้นมากมาย โดยเฉพาะการซื้อขาย NFT อย่างไรก็ตาม ฉันสังเกตว่ามีคนไม่มากนักที่เข้าใจวิธีเตรียมพร้อมและจัดการกับปัญหาด้านความปลอดภัยดังกล่าว สาเหตุที่แท้จริงคือมีคนเพียงไม่กี่คนที่ทำให้ปัญหาชัดเจนเพียงพอ
หลักการรักษาความปลอดภัยข้อที่ 1 และที่สำคัญที่สุดในการรักษาความปลอดภัยลายเซ็นคือ: สิ่งที่คุณเห็นคือสิ่งที่คุณลงนาม. นั่นคือข้อความในคำขอลายเซ็นที่คุณได้รับคือสิ่งที่คุณควรคาดหวังหลังจากการลงนาม หลังจากที่คุณลงนามแล้ว ผลลัพธ์ควรเป็นสิ่งที่คุณคาดหวัง แทนที่จะเป็นสิ่งที่คุณจะต้องเสียใจ
รายละเอียดบางประการของการรักษาความปลอดภัยลายเซ็นได้รับการกล่าวถึงในส่วน “Cold Wallet” ถ้าจำไม่ได้ ผมแนะนำให้กลับไปดูส่วนนั้นอีกครั้ง ในส่วนนี้เราจะเน้นไปที่ด้านอื่นๆ
มีการแฮ็ก NFT ที่รู้จักกันดีหลายครั้งใน OpenSea ประมาณปี 2022 เมื่อวันที่ 20 กุมภาพันธ์ 2022 เกิดการระบาดครั้งใหญ่ สาเหตุที่แท้จริงคือ:
- ผู้ใช้ลงนามคำขอรายการ NFT บน OpenSea
- แฮกเกอร์ฟิชชิงเพื่อรับลายเซ็นที่เกี่ยวข้องจากผู้ใช้
จริงๆ แล้วไม่ใช่เรื่องยากสำหรับแฮกเกอร์ที่จะได้รับลายเซ็นที่เกี่ยวข้อง แฮกเกอร์จำเป็นต้อง 1) สร้างข้อความที่จะลงนาม 2) แฮชมัน 3) หลอกให้ผู้ใช้เป้าหมายลงนามในคำขอ (นี่อาจเป็นการลงนามแบบไม่เห็นหน้า ซึ่งหมายความว่าผู้ใช้ไม่รู้จริงๆ ว่าพวกเขากำลังลงนามอะไร) 4) รับเนื้อหาที่ลงนามและสร้างข้อมูล ณ จุดนี้ ผู้ใช้ถูกแฮ็ก
ฉันจะใช้ Opensea เป็นตัวอย่าง (ในความเป็นจริง อาจเป็นตลาด NFT ใดก็ได้) หลังจากที่ผู้ใช้เป้าหมายอนุญาตการดำเนินการรายการ NFT ในตลาดแล้ว แฮกเกอร์จะสร้างข้อความที่จะลงนาม หลังจากแฮชด้วย Keccak256 แล้ว คำขอลายเซ็นจะปรากฏขึ้นบนหน้าฟิชชิ่ง ผู้ใช้จะเห็นสิ่งต่อไปนี้:
ดูชัด ๆ. เราจะได้รับข้อมูลประเภทใดจากหน้าต่างป๊อปอัป MetaMask นี้ ข้อมูลบัญชีและยอดเงินในบัญชี เว็บไซต์ต้นทางที่มาจากคำขอลายเซ็น ข้อความที่ผู้ใช้กำลังจะลงนาม และ...ไม่มีอะไรอื่นใด ผู้ใช้จะสงสัยได้อย่างไรว่าภัยพิบัติกำลังเกิดขึ้นแล้ว? และพวกเขาจะรู้ได้อย่างไรว่าเมื่อคลิกปุ่ม "ลงชื่อ" NFT ของพวกเขาจะถูกขโมย
นี่เป็นตัวอย่างของการลงนามแบบปกปิดจริงๆ ผู้ใช้ไม่จำเป็นต้องลงชื่อเข้าใช้ในตลาด NFT แต่ผู้ใช้สามารถถูกหลอกให้เข้าไปในเว็บไซต์ฟิชชิ่งเพื่อเซ็นข้อความโดยไม่เข้าใจความหมายที่แท้จริงและผลที่ตามมาของลายเซ็นเหล่านี้ น่าเสียดายที่แฮกเกอร์รู้ ในฐานะผู้ใช้ โปรดทราบว่า: ห้ามปกปิดสิ่งใดๆ ทั้งสิ้น OpenSea เคยประสบปัญหาการลงนามโดยไม่เปิดเผย และได้แก้ไขโดยใช้ EIP-712 หลังจากวันที่ 20 กุมภาพันธ์ 2022 อย่างไรก็ตาม หากไม่มีการลงนามโดยไม่ตั้งใจ ผู้ใช้อาจยังคงประมาทและถูกแฮ็กด้วยวิธีอื่น
สาเหตุที่สำคัญที่สุดที่ทำให้เกิดเหตุการณ์เช่นนี้ก็คือ การลงนามไม่ได้จำกัดอยู่เพียงการปฏิบัติตามนโยบายต้นกำเนิดเดียวกันของเบราว์เซอร์ คุณสามารถเข้าใจได้ง่ายๆ ว่า: นโยบายที่มีต้นกำเนิดเดียวกันสามารถรับประกันได้ว่าการดำเนินการจะเกิดขึ้นภายใต้โดเมนที่ระบุเท่านั้น และจะไม่ข้ามโดเมน เว้นแต่ทีมงานโครงการตั้งใจต้องการให้การข้ามโดเมนเกิดขึ้น หากการลงนามเป็นไปตามนโยบายที่มีต้นกำเนิดเดียวกัน แม้ว่าผู้ใช้จะลงนามในคำขอลายเซ็นที่สร้างโดยโดเมนที่ไม่ใช่เป้าหมาย แฮกเกอร์ก็ไม่สามารถใช้ลายเซ็นสำหรับการโจมตีภายใต้โดเมนเป้าหมายได้ ฉันจะหยุดที่นี่ก่อนที่จะลงรายละเอียดเพิ่มเติม ฉันสังเกตเห็นข้อเสนอใหม่เกี่ยวกับการปรับปรุงความปลอดภัยในระดับโปรโตคอล และหวังว่าสถานการณ์นี้จะดีขึ้นโดยเร็วที่สุด
เราได้กล่าวถึงรูปแบบการโจมตีหลักส่วนใหญ่ที่อาจเกิดขึ้นได้เมื่อลงนามข้อความ แต่จริงๆ แล้วมีรูปแบบที่แตกต่างกันค่อนข้างมาก ไม่ว่าจะดูแตกต่างแค่ไหน พวกเขาก็ทำตามรูปแบบที่คล้ายคลึงกัน วิธีที่ดีที่สุดในการทำความเข้าใจคือสร้างการโจมตีตั้งแต่ต้นจนจบด้วยตนเอง หรือแม้แต่สร้างวิธีการโจมตีที่เป็นเอกลักษณ์ขึ้นมา ตัวอย่างเช่น การโจมตีคำขอลายเซ็นที่กล่าวถึงในที่นี้จริงๆ แล้วมีรายละเอียดมากมาย เช่น วิธีสร้างข้อความที่จะลงนาม และสิ่งใดที่ถูกสร้างขึ้นหลังจากการลงนาม มีวิธีการให้สิทธิ์อื่นใดนอกเหนือจาก "อนุมัติ" (ใช่ เช่น เพิ่มค่าเผื่อ) มันคงจะเป็นเทคนิคเกินไปถ้าเราขยายที่นี่ สิ่งที่ดีคือคุณควรเข้าใจถึงความสำคัญของการเซ็นข้อความแล้ว
ผู้ใช้สามารถป้องกันการโจมตีดังกล่าวที่ต้นทางได้โดยยกเลิกการอนุญาต/การอนุมัติ ต่อไปนี้เป็นเครื่องมือที่รู้จักกันดีที่คุณสามารถใช้ได้
-
การอนุมัติโทเค็น
https://etherscan.io/tokenapprovalchecker
นี่คือเครื่องมือสำหรับการตรวจสอบและยกเลิกการอนุญาตโดยเบราว์เซอร์อย่างเป็นทางการของ Ethereum บล็อกเชนที่เข้ากันได้กับ EVM อื่นๆ มีบางอย่างที่คล้ายกันเนื่องจากเบราว์เซอร์บล็อกเชนได้รับการพัฒนาโดย Etherscan ตัวอย่างเช่น:
https://bscscan.com/tokenapprovalchecker
https://hecoinfo.com/tokenapprovalchecker
https://polygonscan.com/tokenapprovalchecker
https://snowtrace.io/tokenapprovalchecker
https://cronoscan.com/tokenapprovalchecker -
เพิกถอนเงินสด
https://revoke.cash/
สุดยอดโรงเรียนเก่าที่มีชื่อเสียงดี & การสนับสนุนแบบ Multi-chain ที่มีพลังเพิ่มมากขึ้น -
กระเป๋าสตางค์ต่อขยาย Rabby
https://rabby.io/
หนึ่งในกระเป๋าเงินที่เราร่วมงานด้วยมากมาย จำนวนบล็อกเชนที่เข้ากันได้กับ EVM ซึ่งมีฟังก์ชัน “ตรวจสอบและยกเลิกการอนุญาต” เป็นจำนวนมากที่สุดเท่าที่ฉันเคยเห็นมา
⚠️บันทึก: หากคุณต้องการความเข้าใจที่ครอบคลุมและเจาะลึกยิ่งขึ้นเกี่ยวกับ SIGNATURE SECURITY โปรดตรวจสอบส่วนขยายในส่วนเพิ่มเติมของพื้นที่เก็บข้อมูลต่อไปนี้เพื่อเป็นข้อมูลอ้างอิง:
https://github.com/evilcos/darkhandbook
เป็นเรื่องจริงที่ความรู้เรื่อง SIGNATURE SECURITY ค่อนข้างท้าทายสำหรับผู้เริ่มต้น คลังข้อมูลรวบรวมเนื้อหาที่เกี่ยวข้อง และการอ่านอย่างละเอียดจะช่วยให้คุณเข้าใจความรู้ด้านความปลอดภัย ดังนั้นคุณจะไม่พบว่ามันยากอีกต่อไป (หากคุณสามารถอ่านและเข้าใจทุกอย่างได้ ฉันเชื่อว่าความรู้ด้านความปลอดภัยจะไม่ใช่เรื่องยากสำหรับคุณอีกต่อไป 🙂
ระวังคำขอลายเซ็นที่ขัดกับสัญชาตญาณ!
ฉันอยากจะพูดถึงความเสี่ยงอื่นเป็นพิเศษ: ความเสี่ยงที่ต่อต้านสัญชาตญาณ.
ต่อต้านสัญชาตญาณคืออะไร? ตัวอย่างเช่น คุณคุ้นเคยกับ Ethereum เป็นอย่างดี และได้กลายเป็น OG ของ DeFi และ NFT ทุกประเภท เมื่อคุณเข้าสู่ระบบนิเวศของ Solana เป็นครั้งแรก คุณอาจพบเว็บไซต์ฟิชชิ่งที่คล้ายกัน คุณอาจรู้สึกเตรียมพร้อมมากจนเริ่มคิดว่า “ฉันเคยเห็นสิ่งเหล่านี้มานับพันครั้งในระบบนิเวศ Ethereum แล้วฉันจะถูกหลอกได้อย่างไร?”
ในระหว่างนี้ แฮกเกอร์คงจะดีใจเพราะคุณถูกหลอกไปแล้ว ผู้คนติดตามความรู้สึกตามสัญชาตญาณซึ่งทำให้พวกเขาไม่ประมาท เมื่อมีการโจมตีตอบโต้ ผู้คนจะตกหลุมพราง
เอาล่ะ เรามาดูกรณีจริงที่ใช้ประโยชน์จากการต่อต้านสัญชาตญาณกันดีกว่า
ก่อนอื่น คำเตือน: การอนุญาตฟิชชิ่งบน Solana นั้นโหดร้ายยิ่งกว่ามาก ตัวอย่างข้างต้นเกิดขึ้นเมื่อวันที่ 5 มีนาคม 2022 ผู้โจมตีส่ง NFT ให้กับผู้ใช้เป็นกลุ่ม (รูปที่ 1) ผู้ใช้เข้าสู่เว็บไซต์เป้าหมายผ่านลิงก์ในคำอธิบายของ airdropped NFT (www_officialsolanarares_net) และเชื่อมต่อกระเป๋าเงินของพวกเขา (รูปที่ 2) หลังจากที่พวกเขาคลิกปุ่ม “Mint” บนเพจ หน้าต่างอนุมัติก็เด้งขึ้นมา (รูปที่ 3) โปรดทราบว่าขณะนี้ไม่มีการแจ้งเตือนหรือข้อความพิเศษในหน้าต่างป๊อปอัป เมื่อพวกเขาอนุมัติแล้ว SOL ทั้งหมดในกระเป๋าเงินก็จะถูกโอนออกไป
เมื่อผู้ใช้คลิกปุ่ม “อนุมัติ” แสดงว่าพวกเขากำลังโต้ตอบกับสัญญาอัจฉริยะที่เป็นอันตรายซึ่งผู้โจมตีใช้งาน: 3VtjHnDuDD1QreJiYNziDsdkeALMT6b2F9j3AXdL4q8v
เป้าหมายสูงสุดของสัญญาอัจฉริยะที่เป็นอันตรายนี้คือการเริ่มต้น “SOL Transfer” ซึ่งจะถ่ายโอน SOL ของผู้ใช้เกือบทั้งหมด จากการวิเคราะห์ข้อมูลออนไลน์ พฤติกรรมฟิชชิ่งยังคงดำเนินต่อไปเป็นเวลาหลายวัน และจำนวนเหยื่อก็เพิ่มขึ้นเรื่อยๆ ในช่วงเวลาดังกล่าว
มีข้อผิดพลาดสองประการจากตัวอย่างนี้ที่คุณต้องใส่ใจ:
- หลังจากที่ผู้ใช้อนุมัติ สัญญาอัจฉริยะที่เป็นอันตรายสามารถถ่ายโอนทรัพย์สินดั้งเดิมของผู้ใช้ (SOL ในกรณีนี้) สิ่งนี้เป็นไปไม่ได้บน Ethereum ฟิชชิ่งการอนุญาตบน Ethereum สามารถส่งผลกระทบต่อโทเค็นอื่น ๆ เท่านั้น แต่ไม่ใช่ทรัพย์สินดั้งเดิมของ ETH นี่เป็นส่วนที่ขัดกับสัญชาตญาณซึ่งจะทำให้ผู้ใช้ระมัดระวังน้อยลง
- Phantom กระเป๋าเงินที่มีชื่อเสียงที่สุดใน Solana มีช่องโหว่ในกลไกการรักษาความปลอดภัยที่ไม่เป็นไปตามหลักการ “สิ่งที่คุณเห็นคือสิ่งที่คุณเซ็นชื่อ” (เรายังไม่ได้ทดสอบกระเป๋าเงินอื่นๆ) และไม่ได้ ให้คำเตือนความเสี่ยงแก่ผู้ใช้อย่างเพียงพอ สิ่งนี้สามารถสร้างจุดบอดด้านความปลอดภัยที่ทำให้เหรียญของผู้ใช้ต้องเสียได้อย่างง่ายดาย
วิธีการโจมตีขั้นสูงบางประการ
จริงๆ แล้วมีวิธีการโจมตีขั้นสูงหลายวิธี แต่ส่วนใหญ่มองว่าเป็นฟิชชิ่งจากมุมมองของสาธารณะ อย่างไรก็ตาม การโจมตีแบบฟิชชิ่งบางประเภทก็ไม่ใช่ปกติ ตัวอย่างเช่น:
แฮกเกอร์ส่งอีเมลฟิชชิ่งพร้อมไฟล์แนบดังกล่าว:
ความเสี่ยงมหาศาลของ Stablecoin (ป้องกัน) .docx
พูดตามตรง มันเป็นเอกสารที่น่าสนใจ อย่างไรก็ตาม เมื่อคอมพิวเตอร์ของผู้ใช้ที่ถูกเปิดจะถูกฝังด้วยโทรจัน (โดยทั่วไปผ่านมาโคร Office หรือการใช้ประโยชน์ 0 วัน / 1 วัน) ซึ่งโดยปกติจะมีฟังก์ชันดังต่อไปนี้:
- การรวบรวมข้อมูลประจำตัวทุกประเภท เช่น เกี่ยวข้องกับเบราว์เซอร์ หรือเกี่ยวข้องกับ SSH เป็นต้น ด้วยวิธีนี้ แฮกเกอร์จึงสามารถขยายการเข้าถึงบริการอื่น ๆ ของผู้ใช้เป้าหมายได้ ดังนั้น หลังจากการติดไวรัส โดยทั่วไปผู้ใช้จะได้รับคำแนะนำไม่เพียงแต่ทำความสะอาดอุปกรณ์เป้าหมาย แต่ยังรวมถึงสิทธิ์ของบัญชีที่เกี่ยวข้องด้วย
- Keylogger โดยเฉพาะอย่างยิ่งการกำหนดเป้าหมายข้อมูลที่ละเอียดอ่อนที่ปรากฏชั่วคราว เช่น รหัสผ่าน
- การรวบรวมภาพหน้าจอที่เกี่ยวข้อง ไฟล์ที่ละเอียดอ่อน ฯลฯ
- หากเป็นแรนซัมแวร์ ไฟล์ทั้งหมดในระบบเป้าหมายจะถูกเข้ารหัสอย่างแน่นหนา และรอให้เหยื่อชำระค่าไถ่ ซึ่งโดยปกติจะชำระด้วย Bitcoin แต่ในกรณีนี้ ไม่ใช่แรนซัมแวร์ที่มีพฤติกรรมที่ชัดเจนและมีเสียงดังและมีเจตนาตรงไปตรงมามากกว่า
นอกจากนี้ โทรจันที่กำหนดเป้าหมายไปที่อุตสาหกรรม crypto จะได้รับการปรับแต่งเป็นพิเศษเพื่อรวบรวมข้อมูลที่ละเอียดอ่อนจากกระเป๋าเงินหรือการแลกเปลี่ยนที่รู้จักกันดี เพื่อขโมยเงินของผู้ใช้ ตามการวิเคราะห์ของมืออาชีพ โทรจันที่กล่าวมาข้างต้นจะทำการโจมตีแบบกำหนดเป้าหมายบน Metamask:
https://securelist.com/the-bluenoroff-cryptocurrency-hunt-is-still-on/105488/
โทรจันจะแทนที่ MetaMask ของผู้ใช้ด้วยอันปลอมที่มีประตูหลัง MetaMask แบบลับๆ หมายความว่าเงินใดๆ ที่คุณเก็บไว้ภายในนั้นไม่ใช่ของคุณอีกต่อไป แม้ว่าคุณจะใช้กระเป๋าเงินฮาร์ดแวร์ MetaMask ปลอมนี้จะจัดการขโมยเงินของคุณโดยจัดการที่อยู่ปลายทางหรือข้อมูลจำนวนเงิน
วิธีการนี้ได้รับการออกแบบมาเป็นพิเศษสำหรับเป้าหมายที่รู้จักและมีที่อยู่กระเป๋าเงินที่รู้จัก สิ่งที่ฉันสังเกตเห็นก็คือคนจำนวนมากนั้นหยิ่งเกินกว่าที่จะป้องกันตัวเองจากการถูกแฮ็ก หลังจากการแฮ็ก หลายคนจะได้เรียนรู้จากบทเรียน ดำเนินการตรวจสอบอย่างเต็มรูปแบบ มีการปรับปรุงที่สำคัญ และยังสร้างความร่วมมือและมิตรภาพระยะยาวกับผู้เชี่ยวชาญด้านความปลอดภัยหรือหน่วยงานที่เชื่อถือได้ อย่างไรก็ตาม โลกนี้มีข้อยกเว้นอยู่เสมอ บางคนหรือโครงการถูกแฮ็กซ้ำแล้วซ้ำเล่า ถ้าแต่ละครั้งเป็นเพราะสิ่งที่ไม่มีใครเคยเจอมาก่อน ผมจะเคารพพวกเขาอย่างสูง และเรียกพวกเขาว่าผู้บุกเบิก มีโอกาสสูงที่พวกเขาจะประสบความสำเร็จเมื่อเวลาผ่านไป น่าเสียดายที่เหตุการณ์ต่างๆ มากมายเป็นผลมาจากความผิดพลาดที่โง่เขลาและซ้ำซากซึ่งสามารถหลีกเลี่ยงได้อย่างง่ายดาย ฉันอยากจะแนะนำให้อยู่ห่างจากโครงการเหล่านี้
เมื่อเปรียบเทียบกันแล้ว การโจมตีแบบฟิชชิ่งจำนวนมากเหล่านั้นไม่ครอบคลุมเลย ผู้โจมตีจะเตรียมชื่อโดเมนที่มีลักษณะคล้ายกันจำนวนหนึ่งและกระจายเพย์โหลดโดยการซื้อบัญชี ผู้ติดตาม และรีทวีตบน Twitter หรือแพลตฟอร์มโซเชียลอื่น ๆ หากจัดการได้ดี หลายๆ คนก็จะติดกับดัก การโจมตีแบบฟิชชิ่งประเภทนี้ไม่มีอะไรพิเศษจริงๆ และโดยปกติแล้วผู้โจมตีจะทำให้ผู้ใช้อนุญาตโทเค็น (รวมถึง NFT) อย่างไร้ความปราณีเพื่อโอนย้ายออกไป
มีการโจมตีขั้นสูงประเภทอื่นๆ เช่น การใช้เทคนิคเช่น XSS, CSRF, Reverse Proxy เพื่อทำให้กระบวนการโจมตีราบรื่นขึ้น ฉันจะไม่อธิบายรายละเอียดทั้งหมดที่นี่ ยกเว้นกรณีพิเศษกรณีหนึ่ง (การโจมตี Cloudflare Man-in-the-Middle) ซึ่งเป็นหนึ่งในสถานการณ์ใน Reverse Proxy มีการโจมตีจริงที่ทำให้เกิดความสูญเสียทางการเงินโดยใช้วิธีการลับสุดยอดนี้
ปัญหาที่นี่ไม่ใช่ตัว Cloudflare เองที่ชั่วร้ายหรือถูกแฮ็ก แต่เป็นบัญชี Cloudflare ของทีมโครงการที่ถูกบุกรุกแทน โดยทั่วไปกระบวนการจะเป็นดังนี้: หากคุณใช้ Cloudflare คุณจะสังเกตเห็นโมดูล “ผู้ปฏิบัติงาน” นี้ในแดชบอร์ด ซึ่งมีคำอธิบายอย่างเป็นทางการคือ:
สร้างแอปพลิเคชันแบบไร้เซิร์ฟเวอร์และปรับใช้ได้ทันทีทั่วโลก เพื่อให้ได้ประสิทธิภาพ ความน่าเชื่อถือ และขนาดที่ยอดเยี่ยม สำหรับรายละเอียด โปรดดูที่ https://developers.cloudflare.com/workers/
ฉันสร้างหน้าทดสอบเมื่อนานมาแล้ว:
เมื่อคุณเยี่ยมชมหน้าเว็บจะมีหน้าต่างป๊อปอัปแจ้งว่า:
xssor.io ถูกแย่งชิงโดย Cloudflare
อันที่จริง ป๊อปอัปนี้และแม้แต่เนื้อหาทั้งหมดของ x.html ก็ไม่ได้อยู่ในเอกสารนั้น ทั้งหมดนี้ให้บริการโดย Cloudflare กลไกแสดงไว้ด้านล่าง:
การระบุข้อมูลโค้ดในภาพหน้าจอนั้นง่ายมาก: หากฉันเป็นแฮ็กเกอร์และฉันควบคุมบัญชี Cloudflare ของคุณแล้ว ฉันสามารถใช้ Workers เพื่อแทรกสคริปต์ที่เป็นอันตรายตามอำเภอใจไปยังหน้าเว็บใดก็ได้ และเป็นเรื่องยากมากสำหรับผู้ใช้ที่จะตระหนักว่าหน้าเว็บเป้าหมายถูกแย่งชิงและแก้ไข เนื่องจากจะไม่มีการแจ้งเตือนข้อผิดพลาด (เช่น ข้อผิดพลาดใบรับรอง HTTPS) แม้แต่ทีมงานโครงการก็ไม่สามารถระบุปัญหาได้อย่างง่ายดายโดยไม่ต้องใช้เวลาจำนวนมากในการตรวจสอบความปลอดภัยของเซิร์ฟเวอร์และบุคลากรของตน เมื่อพวกเขารู้ว่าคือ Cloudflare Workers การสูญเสียก็อาจมีนัยสำคัญอยู่แล้ว
Cloudflare เป็นเครื่องมือที่ดีจริงๆ เว็บไซต์หรือเว็บแอปพลิเคชั่นจำนวนมากจะใช้มันเป็นไฟร์วอลล์เว็บแอปพลิเคชั่น, โซลูชั่นต่อต้าน DDoS, CDN ทั่วโลก, Reverse Proxy ฯลฯ เนื่องจากมีเวอร์ชันฟรี พวกเขาจึงมีฐานลูกค้าจำนวนมาก หรือมีบริการเช่น Akaimai เป็นต้น
ผู้ใช้จะต้องใส่ใจกับความปลอดภัยของบัญชีดังกล่าว ปัญหาด้านความปลอดภัยของบัญชีเกิดขึ้นพร้อมกับการเพิ่มขึ้นของอินเทอร์เน็ต เป็นหัวข้อทั่วไปในโลกที่เกือบทุกคนพูดถึงมันทุกที่ แต่ยังคงมีคนจำนวนมากที่ถูกแฮ็กเพราะเหตุนี้ สาเหตุที่แท้จริงบางประการอาจเป็นเพราะพวกเขาไม่ได้ใช้รหัสผ่านที่รัดกุมสำหรับบริการที่สำคัญ (ผู้จัดการรหัสผ่านเช่น 1Password ยังไม่ได้รับความนิยมมากนัก) บางส่วนอาจเป็นเพราะพวกเขาไม่สนใจที่จะเปิดการตรวจสอบสิทธิ์แบบ 2 ปัจจัย (2FA) หรือบางที พวกเขาไม่รู้เรื่องนี้ด้วยซ้ำ ไม่ต้องพูดถึงบริการบางอย่าง รหัสผ่านควรถูกรีเซ็ตอย่างน้อยปีละครั้ง
เอาล่ะ นี่จะเป็นจุดสิ้นสุดของส่วนนี้ คุณเพียงแค่ต้องเข้าใจว่านี่คือป่ามืดจริงๆ และคุณควรรู้เกี่ยวกับวิธีการโจมตีให้มากที่สุดเท่าที่จะเป็นไปได้ หลังจากดูกระดาษมามากพอแล้ว หากคุณติดกับดักอย่างน้อยครั้งหรือสองครั้ง คุณสามารถพิจารณาตัวเองว่าเป็นผู้เชี่ยวชาญด้านความปลอดภัยสมัครเล่น (ซึ่งจะเป็นประโยชน์ต่อตัวคุณเองอยู่ดี)
การคุ้มครองความเป็นส่วนตัวแบบดั้งเดิม
ยินดีด้วย คุณได้ผ่านมาถึงส่วนนี้แล้ว การคุ้มครองความเป็นส่วนตัวแบบดั้งเดิมเป็นหัวข้อเก่า: นี่คือบทความที่ฉันเขียนในปี 2014
คุณต้องเรียนรู้เคล็ดลับเล็กๆ น้อยๆ เพื่อปกป้องตัวเองในยุคแห่งการละเมิดความเป็นส่วนตัว
https://evilcos.me/yinsi.html
อ่านบทความนี้อีกครั้ง แม้ว่านี่จะเป็นบทความระดับเริ่มต้นในปี 2014 แต่คำแนะนำส่วนใหญ่ในบทความนี้ก็ไม่ล้าสมัย หลังจากอ่านบทความอีกครั้ง ฉันจะแนะนำสิ่งใหม่ๆ ที่นี่ ที่จริงแล้ว การคุ้มครองความเป็นส่วนตัวเกี่ยวข้องกับความปลอดภัยอย่างใกล้ชิด . ความเป็นส่วนตัวแบบดั้งเดิมถือเป็นรากฐานสำคัญของการรักษาความปลอดภัย ส่วนนี้รวมถึงคีย์ส่วนตัวของคุณเป็นส่วนหนึ่งของความเป็นส่วนตัว หากเสาหลักไม่ปลอดภัย ความเป็นส่วนตัวของเสาหลักก็ไม่มีความหมาย โครงสร้างส่วนบนก็จะเปราะบางราวกับอาคารในอากาศ
ขอแนะนำแหล่งข้อมูลสองรายการต่อไปนี้:
การป้องกันตนเองจากการสอดส่อง
เคล็ดลับ เครื่องมือ และวิธีการเพื่อการสื่อสารออนไลน์ที่ปลอดภัยยิ่งขึ้น
https://ssd.eff.org/
การป้องกันตนเองจากการสอดส่อง ย่อมาจาก SSD เปิดตัวโดย Electronic Frontier Foundation (EFF) ที่มีชื่อเสียง ซึ่งได้ออกแนวปฏิบัติที่เกี่ยวข้องเป็นพิเศษเพื่อบอกวิธีหลีกเลี่ยงพี่ใหญ่ที่เฝ้าดูคุณในโลกอินเทอร์เน็ตที่มีการตรวจสอบ ซึ่งรวมถึงเครื่องมือที่มีประโยชน์หลายอย่าง (เช่น Tor, WhatsApp, Signal, พีจีพี ฯลฯ)
คู่มือความเป็นส่วนตัว: ต่อสู้กับการสอดแนมด้วยเครื่องมือการเข้ารหัสและความเป็นส่วนตัว
https://www.privacytools.io/
เว็บไซต์ข้างต้นครอบคลุมรายการเครื่องมือจำนวนหนึ่ง นอกจากนี้ยังแนะนำการแลกเปลี่ยนสกุลเงินดิจิตอล กระเป๋าเงิน ฯลฯ อย่างไรก็ตาม ควรสังเกตว่าฉันไม่ได้ใช้เครื่องมือมากมายที่ระบุไว้บนเว็บไซต์ เพราะฉันมีวิธีของตัวเอง ดังนั้นคุณควรพัฒนาแนวทางของคุณเองด้วยการเปรียบเทียบและปรับปรุงอย่างต่อเนื่อง
นี่คือไฮไลท์บางส่วนของเครื่องมือที่ฉันแนะนำให้คุณใช้
ระบบปฏิบัติการ
Windows 10 Edition (และสูงกว่า) และ macOS ต่างก็เป็นตัวเลือกที่ปลอดภัย หากคุณมีความสามารถ คุณสามารถเลือก Linux เช่น Ubuntu หรือแม้แต่ระบบที่เน้นความปลอดภัยและความเป็นส่วนตัวอย่าง Tails หรือ Whonix
ในหัวข้อระบบปฏิบัติการ หลักการรักษาความปลอดภัยที่ตรงไปตรงมาที่สุดคือ: ให้ความสนใจกับการอัปเดตระบบอย่างใกล้ชิด และนำไปใช้โดยเร็วที่สุดเมื่อมีให้ใช้งาน ความสามารถในการเชี่ยวชาญระบบปฏิบัติการจะตามมา ผู้คนอาจถามว่าคุณต้องเรียนรู้อะไรบ้างเพื่อที่จะเชี่ยวชาญระบบปฏิบัติการอย่าง Windows หรือ MacOS? มันไม่ใช่แค่คลิกไปมาเหรอ? ที่จริงแล้วมันยังห่างไกลจากความเพียงพอ สำหรับผู้ใช้มือใหม่ จำเป็นต้องมีซอฟต์แวร์แอนตี้ไวรัสดีๆ เช่น Kaspersky, BitDefender และทั้งสองซอฟต์แวร์มีให้ใช้งานบน MacOS
จากนั้นอย่าลืมเกี่ยวกับความปลอดภัยในการดาวน์โหลดซึ่งฉันได้กล่าวไปแล้ว คุณจะสามารถขจัดความเสี่ยงส่วนใหญ่ได้ หากคุณไม่ดาวน์โหลดและติดตั้งโปรแกรมโดยประมาท
ต่อไป ลองนึกถึงสิ่งที่คุณจะทำอย่างไร หากคอมพิวเตอร์ของคุณสูญหายหรือถูกขโมย เห็นได้ชัดว่าการมีรหัสผ่านสำหรับบูตนั้นไม่ดีพอ หากไม่ได้เปิดการเข้ารหัสดิสก์ ผู้ไม่ประสงค์ดีสามารถดึงฮาร์ดดิสก์ออกมาและดึงข้อมูลภายในออกมาได้ ดังนั้นคำแนะนำของฉันคือควรเปิดการเข้ารหัสดิสก์สำหรับคอมพิวเตอร์ที่สำคัญ
https://docs.microsoft.com/en-us/windows/security/encryption-data-protection
https://support.apple.com/en-us/HT204837
เรายังมีเครื่องมือที่ทรงพลังและเป็นตำนาน เช่น VeraCrypt (เดิมคือ TrueCrypt) โปรดลองใช้ดูหากคุณสนใจ:
คุณสามารถไปอีกขั้นหนึ่งเพื่อเปิดใช้งาน BIOS หรือรหัสผ่านเฟิร์มแวร์ ฉันได้ทำมันเอง แต่มันก็ขึ้นอยู่กับทางเลือกของคุณเอง เพียงจำไว้ว่า: หากคุณทำเช่นนั้น ให้จำรหัสผ่านให้ชัดเจน ไม่เช่นนั้นจะไม่มีใครช่วยคุณได้ ฉันโชคดีมากที่เคยตกหลุมกระต่ายมาก่อน ซึ่งทำให้ฉันต้องเสียแล็ปท็อป คริปโตบางส่วน และเวลาหนึ่งสัปดาห์ ในทางกลับกัน ก็เป็นประสบการณ์การเรียนรู้ที่ดีมากเช่นกัน
โทรศัพท์มือถือ
ปัจจุบัน iPhone และ Android เป็นโทรศัพท์มือถือหลักเพียงสองประเภทเท่านั้น ฉันเคยเป็นแฟนตัวยงของ BlackBerry แต่ความรุ่งโรจน์ของมันหายไปตามกาลเวลา ในอดีต มาตรการรักษาความปลอดภัยของโทรศัพท์ Android ทำให้ฉันกังวลมาก ในแง่หนึ่งมันยังอยู่ในช่วงเริ่มต้น ในทางกลับกัน เวอร์ชันต่างๆ มีการแยกส่วนอย่างมาก แต่ละแบรนด์ก็จะมีเวอร์ชัน Android ของตัวเอง แต่ตอนนี้สิ่งต่าง ๆ ดีขึ้นมาก
บนโทรศัพท์มือถือ เราต้องใส่ใจกับการอัปเดตความปลอดภัยและความปลอดภัยในการดาวน์โหลดด้วย นอกจากนี้ ควรคำนึงถึงประเด็นต่อไปนี้ด้วย:
- อย่าเจลเบรค/รูทโทรศัพท์ เพราะไม่จำเป็นเว้นแต่ว่าคุณกำลังวิจัยด้านความปลอดภัยที่เกี่ยวข้อง หากคุณทำเพื่อซอฟต์แวร์ละเมิดลิขสิทธิ์ มันขึ้นอยู่กับว่าคุณเชี่ยวชาญทักษะได้ดีแค่ไหน
- อย่าดาวน์โหลดแอปจาก App Store ที่ไม่เป็นทางการ
- อย่าทำจนกว่าคุณจะรู้ว่าคุณกำลังทำอะไรอยู่ ไม่ต้องพูดถึงว่ามีแอปปลอมมากมายใน App Store อย่างเป็นทางการ
- ข้อกำหนดเบื้องต้นในการใช้ฟังก์ชันการซิงโครไนซ์คลาวด์อย่างเป็นทางการคือคุณต้องแน่ใจว่าบัญชีของคุณปลอดภัย ไม่เช่นนั้นหากบัญชีคลาวด์ถูกบุกรุก โทรศัพท์มือถือก็จะถูกบุกรุกเช่นกัน
ส่วนตัวผมพึ่งไอโฟนมากกว่า และคุณจะต้องมีบัญชี iCloud อย่างน้อยสองบัญชี: หนึ่งบัญชีในจีนและอีกหนึ่งบัญชีในต่างประเทศ คุณจะต้องใช้พวกเขาในการติดตั้งแอปที่มีข้อจำกัดภูมิภาคที่แตกต่างกัน (ซึ่งฟังดูค่อนข้างแปลก แต่ยินดีต้อนรับสู่ความเป็นจริง)
เครือข่าย
ปัญหาด้านความปลอดภัยของเครือข่ายเคยเป็นเรื่องที่ยุ่งยาก แต่ก็มีการปรับปรุงที่สำคัญในช่วงไม่กี่ปีที่ผ่านมา โดยเฉพาะอย่างยิ่งนับตั้งแต่มีการนำนโยบาย HTTPS Everywhere มาใช้เป็นจำนวนมาก
ในกรณีที่มีการโจมตีการแย่งชิงเครือข่าย (การโจมตีแบบแทรกกลางการสื่อสาร) อย่างต่อเนื่อง จะมีการแจ้งเตือนข้อผิดพลาดของระบบที่เกี่ยวข้อง แต่ก็มีข้อยกเว้นอยู่เสมอ ดังนั้นเมื่อคุณมีตัวเลือก ให้ใช้ตัวเลือกที่ปลอดภัยกว่า ตัวอย่างเช่น อย่าเชื่อมต่อกับเครือข่าย Wi-Fi ที่ไม่คุ้นเคย เว้นแต่ว่าเครือข่าย 4G/5G ที่ได้รับความนิยมและปลอดภัยกว่าจะไม่พร้อมใช้งานหรือไม่เสถียร
เบราว์เซอร์
เบราว์เซอร์ที่ได้รับความนิยมมากที่สุดคือ Chrome และ Firefox ในช่อง crypto บางตัวก็ใช้ Brave เช่นกัน เบราว์เซอร์ที่มีชื่อเสียงเหล่านี้มีทีมงานที่แข็งแกร่งและจะมีการอัปเดตความปลอดภัยอย่างทันท่วงที หัวข้อความปลอดภัยของเบราว์เซอร์นั้นกว้างมาก คำแนะนำบางประการที่คุณควรทราบมีดังนี้:
- อัปเดตโดยเร็วที่สุดอย่าเสี่ยง
- อย่าใช้ส่วนขยายหากไม่จำเป็น หากคุณทำเช่นนั้น ให้ตัดสินใจตามบทวิจารณ์ของผู้ใช้ จำนวนผู้ใช้ การดูแลบริษัท ฯลฯ และให้ความสำคัญกับการอนุญาตที่ขอ ตรวจสอบให้แน่ใจว่าคุณได้รับส่วนขยายจาก App Store อย่างเป็นทางการของเบราว์เซอร์
- สามารถใช้เบราว์เซอร์หลายตัวพร้อมกันได้ และขอแนะนำอย่างยิ่งให้คุณดำเนินการที่สำคัญในเบราว์เซอร์เดียว และใช้เบราว์เซอร์อื่นสำหรับการดำเนินการประจำที่มีความสำคัญน้อยกว่า
- ต่อไปนี้เป็นส่วนขยายที่เน้นความเป็นส่วนตัวที่รู้จักกันดี (เช่น uBlock Origin, HTTPS Everywhere, ClearURLs ฯลฯ) ลองใช้ดูได้ตามสบาย
โดยเฉพาะอย่างยิ่งใน Firefox ฉันจะใช้ส่วนขยายโบราณในตำนานอย่าง NoScript ซึ่งได้รับการพิสูจน์แล้วว่าสามารถกำจัดเพย์โหลด JavaScript ที่เป็นอันตรายได้ ทุกวันนี้เบราว์เซอร์มีความปลอดภัยมากขึ้นเรื่อยๆ เนื่องจากเพิ่มการรองรับสิ่งต่าง ๆ เช่น นโยบายต้นกำเนิดเดียวกัน, CSP, นโยบายความปลอดภัยของคุกกี้, ส่วนหัวความปลอดภัย HTTP, นโยบายความปลอดภัยของส่วนขยาย ฯลฯ ดังนั้นความต้องการใช้เครื่องมือเช่น NoScript จึงน้อยลงและ เล็กกว่านั้นก็ลองดูนะครับถ้าสนใจ
ผู้จัดการรหัสผ่าน
หากคุณยังไม่เคยใช้ตัวจัดการรหัสผ่าน คุณอาจไม่ทราบความสะดวกในการใช้งาน หรือคุณมีคลังหน่วยความจำที่แข็งแกร่งเป็นของตัวเอง มีการกล่าวถึงความเสี่ยงต่อความจำของสมองมาก่อน ประการหนึ่งคือเวลาจะทำให้ความจำของคุณอ่อนลงหรือรบกวน; อีกอย่างคือคุณอาจประสบอุบัติเหตุ ไม่ว่าในกรณีใด ฉันยังคงแนะนำให้คุณใช้เครื่องมือจัดการรหัสผ่านเพื่อจัดการกับหน่วยความจำสมองของคุณ ใช้โปรแกรมที่รู้จักกันดี เช่น 1Password, Bitwarden เป็นต้น
ฉันไม่จำเป็นต้องอธิบายส่วนนี้มากเกินไป มีบทช่วยสอนที่เกี่ยวข้องมากมายทางออนไลน์ ง่ายต่อการเริ่มต้นโดยไม่ต้องมีบทช่วยสอนด้วยซ้ำ
สิ่งที่ฉันต้องเตือนคุณที่นี่คือ:
- อย่าลืมรหัสผ่านหลักของคุณและรักษาข้อมูลบัญชีของคุณให้ปลอดภัย ไม่เช่นนั้นทุกอย่างจะสูญหาย
- ตรวจสอบให้แน่ใจว่าอีเมลของคุณปลอดภัย หากอีเมลของคุณถูกบุกรุก มันอาจไม่กระทบต่อข้อมูลที่ละเอียดอ่อนในตัวจัดการรหัสผ่านของคุณโดยตรง แต่ผู้ไม่ประสงค์ดีก็สามารถทำลายมันได้
- ฉันได้ตรวจสอบความปลอดภัยของเครื่องมือที่ฉันพูดถึงแล้ว (เช่น 1Password) และเฝ้าดูเหตุการณ์ด้านความปลอดภัยที่เกี่ยวข้อง รีวิวของผู้ใช้ ข่าวสาร ฯลฯ อย่างใกล้ชิด แต่ฉันไม่สามารถรับประกันได้ว่าเครื่องมือเหล่านี้จะปลอดภัยอย่างแน่นอนและไม่มีเหตุการณ์ Black Swan เกิดขึ้น ที่จะเกิดขึ้นกับพวกเขาในอนาคต
สิ่งหนึ่งที่ฉันชื่นชมก็คือการแนะนำและคำอธิบายของหน้าความปลอดภัยของ 1Password เป็นต้น
หน้านี้มีแนวคิดการออกแบบความปลอดภัย ใบรับรองความเป็นส่วนตัวและความปลอดภัยที่เกี่ยวข้อง เอกสารไวท์เปเปอร์การออกแบบความปลอดภัย รายงานการตรวจสอบความปลอดภัย ฯลฯ ระดับความโปร่งใสและการเปิดกว้างนี้ยังอำนวยความสะดวกในการตรวจสอบที่จำเป็นในอุตสาหกรรมอีกด้วย ทีมงานโครงการทั้งหมดควรเรียนรู้จากสิ่งนี้
Bitwarden ก้าวไปอีกขั้นหนึ่ง เนื่องจากเป็นโอเพ่นซอร์สโดยสมบูรณ์ รวมถึงฝั่งเซิร์ฟเวอร์ด้วย ดังนั้นใครๆ ก็สามารถตรวจสอบ ตรวจสอบ และมีส่วนร่วมได้ ตอนนี้คุณเห็นไหม? ความตั้งใจของ 1Password และ Bitwarden นั้นชัดเจนมาก:
ฉันปลอดภัยมากและฉันก็กังวลเกี่ยวกับความเป็นส่วนตัว ฉันไม่เพียงแต่พูดด้วยตัวเองเท่านั้น เจ้าหน้าที่บุคคลที่สามก็พูดเช่นนั้นเช่นกัน โปรดตรวจสอบฉันได้ตามสบาย และเพื่อให้การตรวจสอบของคุณเป็นเรื่องง่าย ฉันจึงใช้ความพยายามอย่างมากในการเปิดให้บริการทุกที่ที่เป็นไปได้ หากสิ่งที่ฉันทำไม่ตรงกับสิ่งที่ฉันพูด มันก็ง่ายที่จะท้าทายฉัน และสิ่งนี้เรียกว่าความมั่นใจด้านความปลอดภัย
การรับรองความถูกต้องด้วยสองปัจจัย
เมื่อพูดถึงความปลอดภัยของข้อมูลประจำตัวของคุณบนอินเทอร์เน็ต ชั้นแรกอาศัยรหัสผ่าน ชั้นที่สองอาศัยการตรวจสอบสิทธิ์แบบสองปัจจัย และชั้นที่สามอาศัยความสามารถในการควบคุมความเสี่ยงของโปรเจ็กต์เป้าหมายเอง ฉันไม่สามารถพูดได้ว่าการรับรองความถูกต้องด้วยสองปัจจัยเป็นสิ่งที่ต้องมี ตัวอย่างเช่น หากคุณใช้กระเป๋าเงินแบบกระจายอำนาจ รหัสผ่านชั้นเดียวก็น่ารำคาญมากพอแล้ว (ตอนนี้รหัสผ่านเหล่านี้รองรับการระบุตัวตนแบบไบโอเมตริกซ์ เช่น การจดจำใบหน้าหรือลายนิ้วมือ เพื่อปรับปรุงประสบการณ์ผู้ใช้) ไม่มีใครอยากใช้ปัจจัยที่สอง แต่ในแพลตฟอร์มแบบรวมศูนย์ คุณต้องใช้ 2FA ใครๆ ก็สามารถเข้าถึงแพลตฟอร์มแบบรวมศูนย์ได้ และหากข้อมูลประจำตัวของคุณถูกขโมย บัญชีของคุณจะถูกละเมิดและเงินทุนของคุณจะสูญหาย ในทางตรงกันข้าม รหัสผ่านสำหรับกระเป๋าเงินกระจายอำนาจของคุณนั้นเป็นเพียงการตรวจสอบสิทธิ์ในเครื่อง แม้ว่าแฮกเกอร์จะได้รับรหัสผ่าน พวกเขายังจำเป็นต้องเข้าถึงอุปกรณ์ที่กระเป๋าเงินของคุณตั้งอยู่
ตอนนี้คุณเห็นความแตกต่างแล้วหรือยัง?เครื่องมือตรวจสอบสิทธิ์แบบสองปัจจัย (2FA) ที่รู้จักกันดีได้แก่: Google Authenticator, Microsoft Authenticator เป็นต้น แน่นอนว่า หากคุณใช้เครื่องมือจัดการรหัสผ่าน (เช่น 1Password) เครื่องมือดังกล่าวจะมาพร้อมกับโมดูล 2FA ด้วย ซึ่งมีประโยชน์มาก โปรดจำไว้เสมอว่าต้องทำการสำรองข้อมูล เนื่องจากการสูญเสีย 2FA อาจเป็นเรื่องยุ่งยาก
นอกจากนี้ การรับรองความถูกต้องด้วยสองปัจจัยยังเป็นแนวคิดที่กว้างกว่าอีกด้วย ตัวอย่างเช่น เมื่อใช้ตัวระบุบัญชีและรหัสผ่านเพื่อเข้าสู่ระบบแพลตฟอร์มเป้าหมาย ตัวระบุบัญชีของเราโดยปกติจะเป็นอีเมลหรือหมายเลขโทรศัพท์มือถือ ขณะนี้กล่องจดหมายหรือหมายเลขโทรศัพท์มือถือสามารถใช้เป็น 2FA เพื่อรับรหัสยืนยันได้ แต่ระดับความปลอดภัยของวิธีนี้ยังไม่ดีนัก ตัวอย่างเช่น หากกล่องจดหมายถูกบุกรุกหรือซิมการ์ดถูกแย่งชิง หรือบริการของบุคคลที่สามที่ใช้ในการส่งอีเมลและข้อความถูกแฮ็ก รหัสยืนยันที่ส่งจากแพลตฟอร์มก็จะถูกเปิดเผยเช่นกัน
การท่องอินเทอร์เน็ตทางวิทยาศาสตร์
ด้วยเหตุผลด้านนโยบาย อย่าพูดถึงเรื่องนี้มากเกินไป เพียงเลือกหนึ่งในวิธีแก้ปัญหาที่รู้จักกันดี สิ่งต่างๆ จะอยู่ภายใต้การควบคุมมากขึ้นหากคุณสามารถสร้างโซลูชันของคุณเองได้ ท้ายที่สุดแล้ว จุดเริ่มต้นของเราคือการท่องอินเทอร์เน็ตทางวิทยาศาสตร์และปลอดภัย
หากคุณไม่ได้ใช้โซลูชันที่สร้างขึ้นเอง คุณจะไม่สามารถตัดทอนความเป็นไปได้ของการโจมตีแบบแทรกกลางได้ทั้งหมด ดังที่ได้กล่าวไว้ข้างต้น สถานการณ์ความปลอดภัยของอินเทอร์เน็ตไม่ได้แย่เหมือนเมื่อก่อน โดยเฉพาะอย่างยิ่งหลังจากการปรับใช้นโยบาย HTTPS Everywhere เป็นจำนวนมาก อย่างไรก็ตาม ความสงบสุขบางส่วนอาจเป็นเพียงผิวน้ำ และมีกระแสน้ำใต้ผิวน้ำอยู่แล้วซึ่งไม่อาจสังเกตเห็นได้ง่าย พูดตามตรง ฉันไม่มีกระสุนเงินสำหรับเรื่องนี้จริงๆ การสร้างโซลูชันของคุณเองไม่ใช่เรื่องง่าย แต่ก็คุ้มค่าอย่างแน่นอน และหากคุณทำไม่ได้ ตรวจสอบให้แน่ใจว่าคุณได้ตรวจสอบโดยใช้หลายแหล่ง และเลือกแหล่งที่มีชื่อเสียงซึ่งมีมายาวนาน
อีเมล
อีเมลเป็นรากฐานสำคัญของอัตลักษณ์บนเว็บของเรา เราใช้อีเมลเพื่อสมัครใช้บริการมากมาย บริการอีเมลเกือบทั้งหมดที่เราใช้นั้นฟรี ดูเหมือนอากาศ และคุณไม่คิดว่ามันจะหายไป จะเกิดอะไรขึ้นหากวันหนึ่งบริการอีเมลของคุณหายไป บริการอื่นๆ ทั้งหมดที่ขึ้นอยู่กับบริการนั้นจะตกอยู่ในสถานการณ์ที่ค่อนข้างอึดอัด สถานการณ์สุดขั้วนี้เป็นไปไม่ได้เลยหากมีสงคราม ภัยพิบัติทางธรรมชาติ ฯลฯ แน่นอนว่าหากสถานการณ์สุดขั้วเหล่านี้เกิดขึ้น อีเมลจะมีความสำคัญน้อยกว่าการอยู่รอด
เมื่อพูดถึงผู้ให้บริการอีเมล คุณควรเลือกจากบริษัทเทคโนโลยียักษ์ใหญ่ เช่น Gmail, Outlook หรือ QQ Email มันเกิดขึ้นที่การวิจัยด้านความปลอดภัยก่อนหน้านี้ของฉันครอบคลุมพื้นที่นี้ มาตรการรักษาความปลอดภัยของกล่องจดหมายเหล่านี้ดีเพียงพอ แต่คุณยังต้องระมัดระวังเกี่ยวกับการโจมตีแบบฟิชชิ่งทางอีเมล คุณไม่จำเป็นต้องจัดการกับอีเมลทุกฉบับ โดยเฉพาะลิงก์และไฟล์แนบที่ฝังไว้ ซึ่งโทรจันอาจถูกซ่อนอยู่
หากคุณพบการโจมตีที่มีความซับซ้อนสูงกับผู้ให้บริการอีเมลของคุณ แสดงว่าคุณดำเนินการด้วยตนเอง
นอกจากบริการอีเมลของยักษ์ใหญ่ด้านเทคโนโลยีเหล่านี้แล้ว หากคุณกังวลอย่างมากเกี่ยวกับความเป็นส่วนตัว คุณสามารถดูบริการอีเมลที่เป็นมิตรต่อความเป็นส่วนตัวที่รู้จักกันดีทั้งสองนี้: ProtonMail และ Tutanota คำแนะนำของฉันคือแยกกล่องจดหมายที่เป็นมิตรเป็นส่วนตัวเหล่านี้ออกจากการใช้งานรายวัน และใช้สำหรับบริการที่ต้องการการดูแลความเป็นส่วนตัวเป็นพิเศษเท่านั้น คุณต้องใช้บริการอีเมลฟรีเป็นประจำเพื่อป้องกันไม่ให้บัญชีของคุณถูกระงับเนื่องจากไม่มีการใช้งานเป็นเวลานาน
ซิมการ์ด
ซิมการ์ดและหมายเลขโทรศัพท์มือถือก็ถือเป็นข้อมูลระบุตัวตนพื้นฐานที่สำคัญมากในหลายกรณี เช่นเดียวกับอีเมล ในช่วงไม่กี่ปีที่ผ่านมา ผู้ให้บริการรายใหญ่ในประเทศของเราทำหน้าที่รักษาความปลอดภัยหมายเลขโทรศัพท์มือถือได้ดีมาก ตัวอย่างเช่น มีโปรโตคอลความปลอดภัยและกระบวนการตรวจสอบที่เข้มงวดสำหรับการยกเลิกและการออกซิมการ์ดใหม่ และทั้งหมดนี้เกิดขึ้นที่ไซต์งาน ในหัวข้อ การโจมตีซิมการ์ด ฉันขอยกตัวอย่างให้คุณ:
ในปี 2019.5 บัญชี Coinbase ของใครบางคนประสบกับการโจมตี SIM Port (การโจมตีด้วยการโอนซิมการ์ด) และน่าเสียดายที่สูญเสียเงินดิจิตอลไปมากกว่า 100,000 ดอลลาร์สหรัฐ กระบวนการโจมตีมีดังนี้:
ผู้โจมตีได้รับข้อมูลความเป็นส่วนตัวของผู้ใช้เป้าหมายผ่านทางวิศวกรรมสังคมและวิธีการอื่นๆ และหลอกให้ผู้ให้บริการโทรศัพท์มือถือออกซิมการ์ดใหม่ให้เขา จากนั้นเขาก็เข้ายึดบัญชี Coinbase ของผู้ใช้เป้าหมายผ่านหมายเลขโทรศัพท์มือถือเดียวกันได้อย่างง่ายดาย โอนซิมแล้วลำบากมาก ผู้โจมตีโอนซิมการ์ดของคุณออกมาจะลำบากมาก เนื่องจากในปัจจุบัน บริการออนไลน์จำนวนมากใช้หมายเลขโทรศัพท์มือถือของเราเป็นปัจจัยในการตรวจสอบสิทธิ์โดยตรงหรือ 2FA นี่เป็นกลไกการตรวจสอบสิทธิ์แบบรวมศูนย์ และหมายเลขโทรศัพท์มือถือกลายเป็นจุดอ่อน
สำหรับการวิเคราะห์โดยละเอียด โปรดดูที่:
คำแนะนำในการป้องกันสำหรับสิ่งนี้ง่ายมาก: เปิดใช้งานโซลูชัน 2FA ที่รู้จักกันดี
ซิมการ์ดมีความเสี่ยงอีกประการหนึ่ง:นั่นคือหากโทรศัพท์สูญหายหรือถูกขโมย จะเป็นเรื่องน่าอายที่คนร้ายสามารถนำซิมการ์ดออกมาใช้งานได้ นี่คือสิ่งที่ฉันทำ: เปิดใช้งานรหัสผ่านซิมการ์ด (รหัส PIN) ดังนั้นทุกครั้งที่ฉันเปิดโทรศัพท์หรือใช้ซิมการ์ดในอุปกรณ์ใหม่ ฉันจะต้องป้อนรหัสผ่านที่ถูกต้อง โปรดสอบถาม Google สำหรับวิธีการโดยละเอียด นี่คือคำเตือนจากฉัน: อย่าลืมรหัสผ่านนี้ ไม่เช่นนั้นจะยุ่งยากมาก
จีพีจี
มีการกล่าวถึงเนื้อหาในส่วนนี้มากมายในส่วนที่แล้ว และฉันต้องการเพิ่มแนวคิดพื้นฐานเพิ่มเติมที่นี่: บางครั้งคุณจะพบกับชื่อที่ดูคล้ายกัน เช่น PGP, OpenPGP และ GPG เพียงแยกแยะพวกมันดังนี้:
- PGP ย่อมาจาก Pretty Good Privacy เป็นซอฟต์แวร์เข้ารหัสเชิงพาณิชย์อายุ 30 ปี ซึ่งปัจจุบันอยู่ภายใต้การดูแลของ Symantec
- OpenPGP เป็นมาตรฐานการเข้ารหัสที่ได้รับมาจาก PGP
- GPG มีชื่อเต็มว่า GnuPG เป็นซอฟต์แวร์เข้ารหัสโอเพ่นซอร์สที่ใช้มาตรฐาน OpenPGP
แกนของพวกมันคล้ายกัน และด้วย GPG คุณสามารถเข้ากันได้กับแกนอื่น ๆ ฉันขอแนะนำอีกครั้งที่นี่: ในการเข้ารหัสความปลอดภัย อย่าพยายามสร้างวงล้อขึ้นมาใหม่ GPG หากใช้อย่างถูกต้องสามารถปรับปรุงระดับความปลอดภัยได้อย่างมาก!
การแบ่งแยก
ค่านิยมหลักเบื้องหลังหลักการรักษาความปลอดภัยของการแบ่งแยก คือ กรอบความคิดแบบ Zero Trust คุณต้องเข้าใจว่าไม่ว่าเราจะแข็งแกร่งแค่ไหน เราก็จะถูกแฮ็กไม่ช้าก็เร็ว ไม่ว่าแฮกเกอร์ภายนอก คนวงใน หรือตัวเราเองก็ตาม เมื่อถูกแฮ็ก Stop Loss ควรเป็นก้าวแรก ความสามารถในการหยุดการขาดทุนนั้นถูกละเลยโดยคนจำนวนมาก และนั่นคือสาเหตุที่พวกเขาถูกแฮ็กครั้งแล้วครั้งเล่า สาเหตุที่แท้จริงคือไม่มีการออกแบบด้านความปลอดภัย โดยเฉพาะวิธีการที่ไม่ซับซ้อน เช่น การแยกส่วน
แนวทางปฏิบัติในการแบ่งแยกที่ดีจะช่วยให้มั่นใจได้ว่าในกรณีของเหตุการณ์ด้านความปลอดภัย คุณจะสูญเสียเฉพาะเหตุการณ์ที่เกี่ยวข้องโดยตรงกับเป้าหมายที่ถูกบุกรุกเท่านั้น โดยไม่กระทบต่อทรัพย์สินอื่นๆ
ตัวอย่างเช่น:
- หากแนวปฏิบัติด้านความปลอดภัยของรหัสผ่านของคุณดี เมื่อบัญชีใดบัญชีหนึ่งของคุณถูกแฮ็ก รหัสผ่านเดียวกันจะไม่กระทบต่อบัญชีอื่น
- หากสกุลเงินดิจิตอลของคุณไม่ได้ถูกจัดเก็บไว้ภายใต้ชุดช่วยในการจำ คุณจะไม่สูญเสียทุกสิ่งหากคุณก้าวเข้าสู่กับดัก
- หากคอมพิวเตอร์ของคุณติดไวรัส โชคดีที่นี่เป็นเพียงคอมพิวเตอร์ที่ใช้ทำกิจกรรมทั่วไป และไม่มีอะไรสำคัญในนั้น ดังนั้นคุณจึงไม่ต้องกังวล เนื่องจากการติดตั้งคอมพิวเตอร์ใหม่จะช่วยแก้ปัญหาส่วนใหญ่ได้ หากคุณใช้เครื่องเสมือนเก่ง สิ่งต่างๆ จะดียิ่งขึ้นไปอีก เนื่องจากคุณสามารถกู้คืนสแน็ปช็อตได้ เครื่องมือเครื่องเสมือนที่ดีคือ: VMware, Parallels
- โดยสรุป คุณสามารถมีได้อย่างน้อยสองบัญชี สองเครื่องมือ สองอุปกรณ์ ฯลฯ ไม่ใช่เรื่องเป็นไปไม่ได้ที่จะสร้างข้อมูลประจำตัวเสมือนที่เป็นอิสระอย่างสมบูรณ์หลังจากที่คุณคุ้นเคยแล้ว
ฉันเคยพูดถึงความคิดเห็นที่รุนแรงกว่านี้แล้ว: ความเป็นส่วนตัวไม่ได้มีไว้สำหรับเราที่จะปกป้อง ความเป็นส่วนตัวควรได้รับการควบคุม
เหตุผลของมุมมองนี้คือ: ในสภาพแวดล้อมอินเทอร์เน็ตในปัจจุบัน ความเป็นส่วนตัวมีการรั่วไหลอย่างร้ายแรง โชคดีที่กฎระเบียบที่เกี่ยวข้องกับความเป็นส่วนตัวได้ถูกนำมาใช้กันอย่างแพร่หลายมากขึ้นเรื่อยๆ ในช่วงไม่กี่ปีที่ผ่านมา และผู้คนก็ให้ความสนใจมากขึ้นเรื่อยๆ ทุกอย่างกำลังไปในทิศทางที่ถูกต้องจริงๆ แต่ก่อนหน้านั้น ไม่ว่าในกรณีใด เมื่อคุณเชี่ยวชาญประเด็นความรู้ที่ฉันได้ระบุไว้แล้ว คุณจะสามารถควบคุมความเป็นส่วนตัวของคุณได้อย่างง่ายดาย บนอินเทอร์เน็ต หากคุณคุ้นเคยกับมัน คุณอาจมีตัวตนเสมือนหลายอย่างที่เกือบจะเป็นอิสระจากกัน
ความมั่นคงของธรรมชาติของมนุษย์
มนุษย์มีความเสี่ยงสูงสุดและเป็นนิรันดร์เสมอ มีคำคมจาก The Three-Body Problem กล่าวไว้ว่า “ความอ่อนแอและความไม่รู้ไม่ใช่อุปสรรคต่อการอยู่รอด แต่ความเย่อหยิ่งต่างหากที่เป็นอุปสรรค”
- อย่าเย่อหยิ่ง: หากคุณคิดว่าคุณเข้มแข็งอยู่แล้ว คุณก็สบายดี อย่าดูถูกคนทั้งโลก โดยเฉพาะอย่างยิ่ง อย่าภูมิใจมากเกินไปและคิดว่าคุณสามารถท้าทายแฮกเกอร์ทั่วโลกได้ การเรียนรู้ไม่มีที่สิ้นสุดและยังมีอุปสรรคอีกมากมาย
- อย่าโลภ: ความโลภเป็นแรงจูงใจในการก้าวไปข้างหน้าในหลาย ๆ กรณี แต่ลองคิดดูว่าทำไมโอกาสดีๆ ถึงถูกสงวนไว้สำหรับคุณ?
- อย่าหุนหันพลันแล่น เพราะความหุนหันพลันแล่นคือปีศาจที่จะนำคุณไปสู่กับดัก การกระทำผื่นคือการพนัน
มีหลายสิ่งไม่รู้จบในธรรมชาติของมนุษย์ให้พูดถึง และคุณไม่สามารถระวังได้มากกว่านี้ โปรดให้ความสนใจเป็นพิเศษกับประเด็นต่อไปนี้ และดูว่าผู้ไม่ประสงค์ดีใช้ประโยชน์จากจุดอ่อนในธรรมชาติของมนุษย์อย่างไร โดยใช้แพลตฟอร์มที่สะดวกสบายต่างๆ
โทรเลข
ฉันเคยพูดไปแล้วว่า Telegram เป็นเว็บมืดที่ใหญ่ที่สุด ฉันต้องบอกว่าผู้คนชอบ Telegram ในเรื่องความปลอดภัย ความเสถียร และฟีเจอร์การออกแบบแบบเปิด แต่วัฒนธรรมแบบเปิดของ Telegram ยังดึงดูดผู้ร้ายด้วย เช่น ผู้ใช้จำนวนมาก ฟังก์ชั่นที่ปรับแต่งได้สูง ง่ายพอที่จะสร้างบริการ Bot ทุกประเภท เมื่อรวมกับสกุลเงินดิจิทัลแล้ว ประสบการณ์การซื้อขายที่แท้จริงนั้นอยู่ไกลเกินกว่าตลาดมืดใน Tor และมีปลาอยู่ในนั้นมากเกินไป
โดยปกติแล้ว ตัวระบุเฉพาะของบัญชีโซเชียลมีเดียจะเป็นเพียงชื่อผู้ใช้ รหัสผู้ใช้ แต่ผู้ไม่ประสงค์ดีสามารถลอกเลียนแบบสิ่งเหล่านี้ได้ แพลตฟอร์มโซเชียลบางแห่งมีกลไกการตรวจสอบบัญชี เช่น เพิ่มไอคอน V สีน้ำเงินหรืออะไรบางอย่าง บัญชีโซเชียลมีเดียสาธารณะสามารถตรวจสอบได้โดยใช้ตัวบ่งชี้บางอย่าง เช่น หมายเลขผู้ติดตาม เนื้อหาที่โพสต์ การโต้ตอบกับแฟนๆ เป็นต้น บัญชีโซเชียลมีเดียที่ไม่ใช่แบบสาธารณะจะยากขึ้นเล็กน้อย เป็นเรื่องดีที่ Telegram เปิดตัวฟังก์ชั่น “เราอยู่กลุ่มไหนด้วยกัน”
ที่ใดมีช่องโหว่ที่สามารถนำไปใช้ประโยชน์ได้และได้ประโยชน์มหาศาล คนเลวจำนวนหนึ่งก็ต้องอยู่ที่นั่นอยู่แล้ว นั่นคือธรรมชาติของมนุษย์
เป็นผลให้แพลตฟอร์มโซเชียลมีเดียเต็มไปด้วยกับดักฟิชชิ่ง ตัวอย่างเช่น: ในการแชทเป็นกลุ่ม จู่ๆ คนที่ดูเหมือนฝ่ายบริการลูกค้าอย่างเป็นทางการก็ปรากฏตัวขึ้นและเริ่มแชทส่วนตัว (การแชทส่วนตัวใดๆ ก็ตามเป็นฟีเจอร์ของ Telegram ไม่จำเป็นต้องขอเป็นเพื่อน) จากนั้นจึงใช้กลยุทธ์แบบคลาสสิกของ สแปมปลาจะกัดกัน
หรือผู้โจมตีอาจก้าวไปอีกขั้นหนึ่งและเพิ่มคุณเข้าไปในกลุ่มอื่น ผู้เข้าร่วมทุกคนมองว่าคุณเป็นของปลอม แต่สำหรับคุณแล้ว มันดูสมจริงมาก เราเรียกเทคนิคนี้ว่า Group Cloning ในสังคมใต้ดิน
นี่เป็นเพียงวิธีการพื้นฐานในการจัดการกับธรรมชาติของมนุษย์ เทคนิคขั้นสูงจะถูกรวมเข้ากับความเปราะบาง ดังนั้นจึงป้องกันได้ยากยิ่งขึ้น
ความไม่ลงรอยกัน
Discord เป็นซอฟต์แวร์แพลตฟอร์มโซเชียล/IM ใหม่และยอดนิยมที่พัฒนาขึ้นในช่วงสองปีที่ผ่านมา ฟังก์ชันหลักคือเซิร์ฟเวอร์ชุมชน (ไม่ใช่แนวคิดของเซิร์ฟเวอร์แบบเดิม) ตามคำแถลงอย่างเป็นทางการกล่าวว่า:
Discord เป็นแอปแชทด้วยเสียง วิดีโอ และข้อความฟรีที่ผู้คนหลายสิบล้านคนที่มีอายุ 13 ปีขึ้นไปใช้เพื่อพูดคุยและออกไปเที่ยวกับชุมชนและเพื่อนๆ ของตน
ผู้คนใช้ Discord ทุกวันเพื่อพูดคุยเกี่ยวกับหลาย ๆ เรื่อง ตั้งแต่โปรเจ็กต์ศิลปะ การเดินทางกับครอบครัว ไปจนถึงการบ้านและการสนับสนุนด้านสุขภาพจิต เป็นบ้านของชุมชนทุกขนาด แต่ถูกใช้กันอย่างแพร่หลายโดยกลุ่มคนเล็กๆ ที่กระตือรือร้นซึ่งพูดคุยกันเป็นประจำ
มันดูดีแต่ต้องมีมาตรฐานการออกแบบความปลอดภัยที่ค่อนข้างแข็งแกร่ง Discord มีกฎและนโยบายความปลอดภัยเฉพาะดังนี้:
น่าเสียดายที่คนส่วนใหญ่ไม่กล้าอ่านอย่างละเอียด ยิ่งไปกว่านั้น Discord จะไม่สามารถอธิบายปัญหาด้านความปลอดภัยหลักบางประการได้อย่างชัดเจนเสมอไป เพราะพวกเขาจะต้องสวมหมวกของผู้โจมตีซึ่งไม่สามารถทำได้เสมอไป
ตัวอย่างเช่น:
ด้วยการขโมย NFT จำนวนมากบน Discord วิธีการโจมตีหลักคืออะไร? ก่อนที่เราจะเข้าใจเรื่องนี้ คำแนะนำด้านความปลอดภัยของ Discord นั้นไร้ประโยชน์
เหตุผลสำคัญเบื้องหลังหลายโครงการ Discordhacks จริงๆ แล้วคือ Discord Token ซึ่งเป็นเนื้อหาของช่องการอนุญาตในส่วนหัวคำขอ HTTP มันมีอยู่ใน Discord มาเป็นเวลานานแล้ว สำหรับแฮกเกอร์ หากพวกเขาสามารถหาวิธีรับ Discord Token นี้ พวกเขาเกือบจะสามารถควบคุมสิทธิ์ทั้งหมดของเซิร์ฟเวอร์ Discord เป้าหมายได้ กล่าวคือหากเป้าหมายคือผู้ดูแลระบบ บัญชีที่มีสิทธิ์ระดับผู้ดูแลระบบ หรือบอท Discord แฮกเกอร์ก็สามารถทำทุกอย่างที่พวกเขาต้องการได้ ตัวอย่างเช่น การประกาศไซต์ฟิชชิ่ง NFT ทำให้ผู้คนคิดว่าเป็นการประกาศอย่างเป็นทางการ และปลาก็จะกัดเบ็ด
บางคนอาจถามว่าจะเกิดอะไรขึ้นหากฉันเพิ่มการตรวจสอบสิทธิ์แบบสองปัจจัย (2FA) ลงในบัญชี Discord ของฉัน เป็นนิสัยที่ดีอย่างแน่นอน! แต่ Discord Token ไม่เกี่ยวข้องกับสถานะ 2FA ของบัญชีของคุณ เมื่อบัญชีของคุณถูกละเมิด คุณควรเปลี่ยนรหัสผ่าน Discord ของคุณทันทีเพื่อทำให้โทเค็น Discord ดั้งเดิมไม่ถูกต้อง
สำหรับคำถามที่ว่าแฮ็กเกอร์สามารถรับ Discord Token ได้อย่างไร เราได้ค้นพบเทคนิคหลักๆ อย่างน้อย 3 ข้อแล้ว และเราจะพยายามอธิบายโดยละเอียดในอนาคต สำหรับผู้ใช้ทั่วไปสามารถทำได้หลายอย่าง แต่ประเด็นหลักคือ อย่ารีบร้อน อย่าโลภ และยืนยันจากหลายแหล่ง
ฟิชชิ่ง "อย่างเป็นทางการ"
นักแสดงที่ไม่ดีใช้ประโยชน์จากบทบาทสมมติได้ดี โดยเฉพาะบทบาทที่เป็นทางการ ตัวอย่างเช่น เราได้กล่าวถึงวิธีการบริการลูกค้าปลอมมาก่อน นอกจากนั้น ในเดือนเมษายน 2022 ผู้ใช้ Trezor กระเป๋าเงินฮาร์ดแวร์ชื่อดังจำนวนมาก ได้รับอีเมลฟิชชิ่งจาก trezor.us ซึ่งไม่ใช่โดเมน Trezor อย่างเป็นทางการ trezor.io มีความแตกต่างเล็กน้อยในส่วนต่อท้ายชื่อโดเมน ยิ่งไปกว่านั้น โดเมนต่อไปนี้ยังแพร่กระจายผ่านอีเมลฟิชชิ่งอีกด้วย
ชื่อโดเมนนี้มี “จุดไฮไลท์” ลองดูตัวอักษร ẹ ใกล้ๆ แล้วคุณจะพบว่านั่นไม่ใช่ตัวอักษร e น่าสับสนใช่ไหม? จริงๆ แล้วมันคือ Punycode คำอธิบายมาตรฐานมีดังนี้:
การเข้ารหัส Bootstring ของ Unicode สำหรับชื่อโดเมนสากลในแอปพลิเคชัน (IDNA) คือการเข้ารหัสชื่อโดเมนสากลที่แสดงถึงชุดอักขระที่จำกัดทั้งในรหัส Unicode และ ASCII
หากมีคนถอดรหัส trẹzor จะมีลักษณะดังนี้: xn-trzor-o51b ซึ่งเป็นชื่อโดเมนจริง!
แฮกเกอร์ใช้ Punycode เพื่อฟิชชิ่งมาหลายปีแล้ว ย้อนกลับไปในปี 2018 ผู้ใช้ Binance บางรายถูกโจมตีด้วยกลอุบายเดียวกัน
ไซต์ฟิชชิ่งประเภทนี้สามารถทำให้ผู้คนจำนวนมากตกสู่บาปได้อยู่แล้ว ไม่ต้องพูดถึงการโจมตีขั้นสูง เช่น กล่องจดหมายอย่างเป็นทางการที่ได้รับการควบคุม หรือการโจมตีด้วยการปลอมแปลงเมลที่เกิดจากปัญหาการกำหนดค่า SPF ด้วยเหตุนี้ แหล่งที่มาของอีเมลจึงดูเหมือนกับแหล่งที่มาของอีเมลอย่างเป็นทางการทุกประการ
หากเป็นคนวงในที่โกง ผู้ใช้จะไม่สามารถทำอะไรได้เลย ทีมงานโครงการควรใช้ความพยายามอย่างมากในการป้องกันภัยคุกคามจากภายใน คนวงในเป็นม้าโทรจันที่ใหญ่ที่สุด แต่พวกเขามักถูกละเลย
ปัญหาความเป็นส่วนตัวของ Web3
ด้วยความนิยมที่เพิ่มขึ้นของ Web3 โครงการที่น่าสนใจหรือน่าเบื่อก็ปรากฏขึ้นมากขึ้นเรื่อยๆ เช่น เช่น โครงสร้างพื้นฐาน Web3 ทุกประเภท แพลตฟอร์มโซเชียล ฯลฯ บางส่วนได้ทำการวิเคราะห์ข้อมูลขนาดใหญ่และระบุภาพพฤติกรรมต่างๆ ของเป้าหมาย ไม่เพียงแต่ในบล็อกเชน แต่ยังอยู่บนแพลตฟอร์ม Web2 ที่มีชื่อเสียงอีกด้วย เมื่อภาพบุคคลออกมา เป้าหมายก็คือบุคคลที่มีความโปร่งใส และการปรากฏตัวของแพลตฟอร์มโซเชียล Web3 อาจทำให้ปัญหาความเป็นส่วนตัวรุนแรงขึ้น
ลองคิดดูว่าเมื่อคุณลองเล่นกับสิ่งต่าง ๆ ที่เกี่ยวข้องกับ Web3 เช่น การผูกลายเซ็น การโต้ตอบแบบลูกโซ่ ฯลฯ คุณจะให้ความเป็นส่วนตัวของคุณมากขึ้นหรือไม่? หลายๆ คนอาจไม่เห็นด้วย แต่เมื่อหลายส่วนมารวมกัน ก็จะได้ภาพที่แม่นยำและครอบคลุมมากขึ้น: NFT ใดที่คุณต้องการรวบรวม, ชุมชนใดที่คุณเข้าร่วม, ไวท์ลิสต์ใดที่คุณอยู่, คนที่คุณเชื่อมโยงกับใคร, บัญชี Web2 ใด คุณต้องผูกพันกับช่วงเวลาใดที่คุณใช้งานอยู่ และอื่นๆ ดูสิ บางครั้ง blockchain ทำให้ความเป็นส่วนตัวแย่ลง หากคุณใส่ใจเรื่องความเป็นส่วนตัว คุณจะต้องระมัดระวังกับทุกสิ่งที่เพิ่งเกิดขึ้นและรักษานิสัยที่ดีในการแยกตัวตนของคุณ
ณ จุดนี้ หากคีย์ส่วนตัวถูกขโมยโดยไม่ได้ตั้งใจ การสูญเสียนั้นไม่ใช่เรื่องง่ายเหมือนกับเงิน แต่เป็นสิทธิ์และผลประโยชน์ของ Web3 ที่ได้รับการดูแลอย่างระมัดระวัง เรามักพูดว่าคีย์ส่วนตัวคือข้อมูลประจำตัว และตอนนี้คุณมีปัญหาเกี่ยวกับ ID จริง
อย่าทดสอบธรรมชาติของมนุษย์
Blockchain Shenanigans
เทคโนโลยีบล็อคเชนสร้างอุตสาหกรรมใหม่ทั้งหมด ไม่ว่าคุณจะเรียกมันว่า BlockFi, DeFi, สกุลเงินดิจิตอล, สกุลเงินเสมือน, สกุลเงินดิจิทัล, Web3 ฯลฯ หัวใจหลักของทุกสิ่งยังคงเป็นบล็อคเชน การโฆษณาเกินจริงส่วนใหญ่มุ่งเน้นไปที่กิจกรรมทางการเงิน เช่น สินทรัพย์ crypto รวมถึงโทเค็นที่ไม่สามารถเข้ากันได้ (หรือ NFT ซึ่งเป็นของสะสมดิจิทัล)
อุตสาหกรรมบล็อคเชนมีความไดนามิกสูงและน่าหลงใหล แต่มีหลายวิธีในการทำความชั่วมากเกินไป ลักษณะพิเศษของบล็อกเชนก่อให้เกิดความชั่วร้ายที่ค่อนข้างพิเศษ รวมถึงและไม่จำกัดเพียงการขโมย crypto, cryptojacking, ransomware, การซื้อขายเว็บมืด, การโจมตี C2, การฟอกเงิน, แผนการ Ponzi, การพนัน ฯลฯ ฉันได้สร้างแผนที่ความคิดย้อนกลับไปในปี 2019 สำหรับการอ้างอิง
https://github.com/slowmist/Knowledge-Base/blob/master/mindmaps/evil_blockchain.png
ในขณะเดียวกัน ทีม SlowMist ก็ได้ดูแลรักษาและอัปเดต SlowMist Hacked ซึ่งเป็นฐานข้อมูลที่กำลังเติบโตสำหรับกิจกรรมการแฮ็กที่เกี่ยวข้องกับบล็อกเชน
คู่มือเล่มนี้ได้แนะนำมาตรการรักษาความปลอดภัยมากมาย และหากคุณสามารถนำไปใช้กับความปลอดภัยของคุณเองได้ ก็ขอแสดงความยินดีด้วย ฉันจะไม่อธิบายรายละเอียดเกี่ยวกับ blockchain shenanigans มากเกินไป หากคุณสนใจ คุณสามารถเรียนรู้ได้ด้วยตัวเอง ซึ่งเป็นสิ่งที่ดีอย่างแน่นอน โดยเฉพาะอย่างยิ่งเมื่อมีการหลอกลวงและการฉ้อโกงใหม่ๆ มีการพัฒนาอย่างต่อเนื่อง ยิ่งคุณเรียนรู้มากเท่าไร คุณก็ยิ่งสามารถปกป้องตัวเองและทำให้อุตสาหกรรมนี้ดีขึ้นเท่านั้น
จะทำอย่างไรเมื่อถูกแฮ็ก
มันเป็นเพียงเรื่องของเวลาก่อนที่คุณจะถูกแฮ็กในที่สุด แล้วต้องทำอย่างไร? ฉันจะตัดตรงไปที่การไล่ล่า ขั้นตอนต่อไปนี้ไม่จำเป็นต้องตามลำดับ มีบางครั้งที่คุณต้องกลับไปกลับมา แต่แนวคิดทั่วไปก็คือ
หยุดการสูญเสียก่อน
Stop Loss คือการจำกัดการสูญเสียของคุณ สามารถแบ่งได้อย่างน้อย 2 ระยะ
- ขั้นตอนการดำเนินการทันที ลงมือทันที! หากคุณเห็นแฮกเกอร์กำลังถ่ายโอนทรัพย์สินของคุณ ไม่ต้องคิดมากอีกต่อไป เพียงรีบโอนทรัพย์สินที่เหลือไปยังที่ปลอดภัย หากคุณมีประสบการณ์ในการซื้อขายล่วงหน้า เพียงแค่คว้าและวิ่งหนี ขึ้นอยู่กับประเภทของสินทรัพย์ หากคุณสามารถอายัดทรัพย์สินของคุณบนบล็อคเชนได้ ให้ดำเนินการโดยเร็วที่สุด หากคุณสามารถทำการวิเคราะห์ออนไลน์และพบว่าสินทรัพย์ของคุณถูกโอนไปยังการแลกเปลี่ยนแบบรวมศูนย์ คุณสามารถติดต่อแผนกควบคุมความเสี่ยงได้
- ขั้นตอนหลังการกระทำ เมื่อสถานการณ์คลี่คลายแล้ว คุณควรให้ความสำคัญกับการทำให้แน่ใจว่าจะไม่มีการโจมตีขั้นรองหรือระดับอุดมศึกษา
ปกป้องฉาก
เมื่อคุณพบว่ามีบางอย่างผิดปกติ ให้สงบสติอารมณ์และหายใจเข้าลึกๆ อย่าลืมปกป้องที่เกิดเหตุ นี่เป็นข้อเสนอแนะบางประการ:
- หากอุบัติเหตุเกิดขึ้นบนคอมพิวเตอร์ เซิร์ฟเวอร์ หรืออุปกรณ์อื่นๆ ที่เชื่อมต่อกับอินเทอร์เน็ต ให้ยกเลิกการเชื่อมต่อเครือข่ายทันทีโดยเปิดอุปกรณ์ไว้โดยใช้แหล่งจ่ายไฟ บางคนอาจอ้างว่าหากเป็นไวรัสทำลายล้าง ไฟล์ระบบในเครื่องจะถูกทำลายโดยไวรัส พวกเขาพูดถูก แต่การปิดระบบจะช่วยได้ก็ต่อเมื่อคุณสามารถตอบสนองได้เร็วกว่าไวรัส...
- เว้นแต่คุณจะสามารถจัดการสิ่งนี้ได้ด้วยตัวเอง การรอให้ผู้เชี่ยวชาญด้านความปลอดภัยเข้ามาวิเคราะห์ถือเป็นตัวเลือกที่ดีกว่าเสมอ
นี่เป็นสิ่งสำคัญมากเนื่องจากเราพบหลายครั้งแล้วว่าฉากนั้นยุ่งเหยิงอยู่แล้วเมื่อเราก้าวเข้ามาทำการวิเคราะห์ และยังมีบางกรณีที่หลักฐานสำคัญ (เช่น บันทึก ไฟล์ไวรัส) ดูเหมือนจะถูกล้างออกไปแล้ว หากไม่มีสถานที่เกิดเหตุที่ได้รับการอนุรักษ์ไว้เป็นอย่างดี การวิเคราะห์และติดตามในภายหลังอาจก่อกวนได้อย่างมาก
การวิเคราะห์สาเหตุที่แท้จริง
จุดประสงค์ของการวิเคราะห์สาเหตุคือการทำความเข้าใจฝ่ายตรงข้ามและส่งออกภาพเหมือนของแฮ็กเกอร์ ณ จุดนี้ รายงานเหตุการณ์มีความสำคัญมาก ซึ่งเรียกอีกอย่างว่ารายงานชันสูตรพลิกศพ รายงานเหตุการณ์และรายงานชันสูตรศพหมายถึงสิ่งเดียวกัน
เราได้พบกับผู้คนมากมายที่เข้ามาขอความช่วยเหลือหลังจากเหรียญของพวกเขาถูกขโมย และเป็นเรื่องยากมากสำหรับพวกเขาหลายคนที่จะบอกได้อย่างชัดเจนว่าเกิดอะไรขึ้น เป็นเรื่องยากสำหรับพวกเขาที่จะจัดทำรายงานเหตุการณ์ที่ชัดเจน แต่ฉันคิดว่าสิ่งนี้สามารถฝึกฝนได้ และมันจะมีประโยชน์โดยการอ้างอิงถึงตัวอย่าง สิ่งต่อไปนี้อาจเป็นจุดเริ่มต้นที่ดี:
- สรุป 1: ใครมีส่วนเกี่ยวข้อง เกิดขึ้นเมื่อไร เกิดอะไรขึ้น และขาดทุนทั้งหมดเท่าไร?
- สรุป 2: ที่อยู่กระเป๋าเงินที่เกี่ยวข้องกับการสูญหาย ที่อยู่กระเป๋าเงินของแฮ็กเกอร์ ประเภทของเหรียญ ปริมาณของเหรียญ อาจมีความชัดเจนมากขึ้นด้วยความช่วยเหลือเพียงตารางเดียว
- คำอธิบายกระบวนการ: ส่วนนี้ยากที่สุด คุณจะต้องอธิบายทุกแง่มุมของเหตุการณ์ด้วยรายละเอียดทั้งหมด ซึ่งมีประโยชน์ในการวิเคราะห์ร่องรอยประเภทต่างๆ ที่เกี่ยวข้องกับแฮ็กเกอร์ และในที่สุดจะได้ภาพเหมือนของแฮ็กเกอร์จากพวกเขา (รวมถึงแรงจูงใจ)
เมื่อพูดถึงกรณีใดกรณีหนึ่ง เทมเพลตจะซับซ้อนกว่ามาก บางครั้งความทรงจำของมนุษย์ก็อาจไม่น่าเชื่อถือเช่นกัน และยังมีการจงใจปกปิดข้อมูลสำคัญซึ่งอาจนำไปสู่การสูญเสียเวลาหรือความล่าช้าได้ ดังนั้นในทางปฏิบัติจะต้องมีการบริโภคจำนวนมากและเราจำเป็นต้องใช้ประสบการณ์ของเราในการชี้แนะการทำงานให้ดี สุดท้ายนี้ เราจะจัดทำรายงานเหตุการณ์ร่วมกับบุคคลหรือทีมที่ทำเหรียญหาย และคอยอัปเดตรายงานเหตุการณ์นี้ต่อไป
การติดตามแหล่งที่มา
ตามกฎของร็อกกา ที่ใดมีการบุกรุกย่อมมีร่องรอย หากเราตรวจสอบมากพอ เราก็จะพบเบาะแสอยู่เสมอ กระบวนการสอบสวนแท้จริงแล้วคือการวิเคราะห์ทางนิติเวชและการติดตามแหล่งที่มา เราจะติดตามแหล่งที่มาตามภาพของแฮ็กเกอร์จากการวิเคราะห์ทางนิติวิทยาศาสตร์ และเพิ่มคุณค่าให้อย่างต่อเนื่อง ซึ่งเป็นกระบวนการแบบไดนามิกและวนซ้ำ
การติดตามแหล่งที่มาประกอบด้วยสองส่วนหลัก:
- หน่วยสืบราชการลับออนไลน์ เราวิเคราะห์กิจกรรมสินทรัพย์ของที่อยู่กระเป๋าเงิน เช่น การเข้าสู่การแลกเปลี่ยนแบบรวมศูนย์ เครื่องผสมเหรียญ ฯลฯ ตรวจสอบและรับการแจ้งเตือนเกี่ยวกับการโอนเงินใหม่
- ข้อมูลอัจฉริยะแบบออฟไลน์: ส่วนนี้ครอบคลุม IP ของแฮ็กเกอร์ ข้อมูลอุปกรณ์ ที่อยู่อีเมล และข้อมูลเพิ่มเติมจากความสัมพันธ์ของประเด็นที่เกี่ยวข้องเหล่านี้ รวมถึงข้อมูลพฤติกรรม
มีงานติดตามแหล่งที่มามากมายตามข้อมูลนี้ และจำเป็นต้องมีส่วนร่วมจากหน่วยงานบังคับใช้กฎหมายด้วยซ้ำ
บทสรุปของคดี
แน่นอนว่าเราทุกคนต้องการตอนจบที่มีความสุข และนี่คือตัวอย่างบางส่วนของเหตุการณ์ที่เปิดเผยต่อสาธารณะที่เรามีส่วนร่วมซึ่งมีผลลัพธ์ที่ดี:
- Lendf.Me มูลค่า $25 ล้าน
- SIL Finance มูลค่า $12.15 ล้าน
- โพลีเน็ตเวิร์ก มูลค่า $610 ล้าน
เราเคยประสบกับกรณีอื่น ๆ มากมายที่ไม่ได้เผยแพร่ซึ่งจบลงด้วยผลลัพธ์ที่ดีหรือโอเค อย่างไรก็ตาม ส่วนใหญ่มีจุดจบที่ไม่ดี ซึ่งค่อนข้างน่าเสียดาย เราได้รับประสบการณ์อันมีค่ามากมายในกระบวนการเหล่านี้ และเราหวังว่าจะเพิ่มอัตราส่วนตอนจบที่ดีในอนาคต
ส่วนนี้ขอกล่าวสั้นๆ ดังข้างต้น มีความรู้มากมายเกี่ยวกับเรื่องนี้ และฉันก็ไม่ค่อยคุ้นเคยกับความรู้บางส่วน ดังนั้นฉันจะไม่ให้คำอธิบายโดยละเอียดที่นี่ ความสามารถที่เราต้องเชี่ยวชาญขึ้นอยู่กับสถานการณ์ ได้แก่:
- การวิเคราะห์และนิติเวชด้านความปลอดภัยของสัญญาอัจฉริยะ
- การวิเคราะห์และนิติวิทยาศาสตร์ของการโอนเงินแบบออนไลน์
- การวิเคราะห์ความปลอดภัยบนเว็บและนิติเวช
- การวิเคราะห์และนิติเวชความปลอดภัยของเซิร์ฟเวอร์ Linux
- การวิเคราะห์ความปลอดภัยของ Windows และนิติเวช
- การวิเคราะห์ความปลอดภัยของ macOS และนิติเวช
- การวิเคราะห์ความปลอดภัยบนมือถือและนิติเวช
- การวิเคราะห์รหัสที่เป็นอันตรายและนิติเวช
- การวิเคราะห์ความปลอดภัยและนิติเวชของอุปกรณ์เครือข่ายหรือแพลตฟอร์ม
- การวิเคราะห์และนิติเวชด้านความปลอดภัยภายใน
- …
ครอบคลุมเกือบทุกด้านของการรักษาความปลอดภัย และคู่มือเล่มนี้ก็ครอบคลุมเช่นกัน อย่างไรก็ตาม จุดรักษาความปลอดภัยเหล่านั้นเป็นเพียงการกล่าวถึงสั้นๆ ที่นี่เพื่อเป็นแนวทางเบื้องต้น
ความเข้าใจผิด
คู่มือเล่มนี้บอกให้คุณตั้งข้อสงสัยตั้งแต่ต้น! ซึ่งรวมถึงทุกสิ่งที่กล่าวถึงในที่นี้ นี่เป็นอุตสาหกรรมที่มีชีวิตชีวาและมีแนวโน้มอย่างมาก เต็มไปด้วยกับดักและความโกลาหลทุกประเภท เรามาดูความเข้าใจผิดบางประการ ซึ่งหากมองว่าเป็นเพียงความจริง ก็สามารถทำให้คุณตกหลุมพรางและกลายเป็นส่วนหนึ่งของความสับสนวุ่นวายได้อย่างง่ายดาย
รหัสคือกฎหมาย
รหัสคือกฎหมาย อย่างไรก็ตาม เมื่อโปรเจ็กต์ (โดยเฉพาะที่เกี่ยวข้องกับสัญญาอัจฉริยะ) ถูกแฮ็กหรือถูกโจมตี ไม่มีเหยื่อรายใดที่ปรารถนา "รหัสคือกฎหมาย" และปรากฎว่าพวกเขายังคงต้องพึ่งพากฎหมายในโลกแห่งความเป็นจริง
ไม่ใช่กุญแจของคุณ ไม่ใช่เหรียญของคุณ
หากคุณไม่ได้เป็นเจ้าของกุญแจ แสดงว่าคุณไม่ได้เป็นเจ้าของเหรียญ ตามความเป็นจริง ผู้ใช้จำนวนมากล้มเหลวในการจัดการคีย์ส่วนตัวของตนเองอย่างเหมาะสม เนื่องจากการปฏิบัติด้านความปลอดภัยที่ผิดพลาดหลายประการ พวกเขาถึงกับสูญเสียสินทรัพย์ crypto ของพวกเขา บางครั้งคุณจะพบว่าการใส่สินทรัพย์ crypto ของคุณลงในแพลตฟอร์มขนาดใหญ่และมีชื่อเสียงนั้นปลอดภัยกว่าจริงๆ
ในบล็อคเชนเราไว้วางใจ
เราเชื่อถือเพราะมันเป็นบล็อคเชน ในความเป็นจริง บล็อกเชนเองก็มีความสามารถในการแก้ไขปัญหาความน่าเชื่อถือพื้นฐานหลายประการ เนื่องจากมันป้องกันการงัดแงะ ต้านทานการเซ็นเซอร์ ฯลฯ หากทรัพย์สินของฉันและกิจกรรมที่เกี่ยวข้องอยู่ในสายโซ่ ฉันสามารถเชื่อถือโดยค่าเริ่มต้นว่าจะไม่มีใครสามารถนำทรัพย์สินของฉันออกไปหรือยุ่งเกี่ยวกับกิจกรรมของฉันโดยไม่ได้รับอนุญาต อย่างไรก็ตาม ความเป็นจริงมักจะรุนแรง ประการแรกไม่ใช่ว่าทุกบล็อคเชนจะสามารถบรรลุจุดพื้นฐานเหล่านี้ได้ และประการที่สอง ธรรมชาติของมนุษย์จะกลายเป็นจุดอ่อนที่สุดเสมอ เทคนิคการแฮ็กหลายอย่างในปัจจุบันอยู่นอกเหนือจินตนาการของพวกเราส่วนใหญ่ แม้ว่าเราจะพูดอยู่เสมอว่าการโจมตีและการป้องกันคือความสมดุลระหว่างต้นทุนและผลกระทบ เมื่อคุณไม่ได้เป็นเจ้าของสินทรัพย์ขนาดใหญ่ แฮ็กเกอร์จะไม่เสียเวลาในการกำหนดเป้าหมายคุณ แต่เมื่อมีเป้าหมายหลายอย่างเช่นคุณ แฮกเกอร์จะทำการโจมตีได้ผลกำไรมาก
คำแนะนำด้านความปลอดภัยของฉันนั้นง่ายมาก: ไม่ไว้วางใจโดยค่าเริ่มต้น (นั่นคือ ตั้งคำถามทุกอย่างตามค่าเริ่มต้น) และทำการตรวจสอบอย่างต่อเนื่อง การตรวจสอบคือการดำเนินการด้านความปลอดภัยที่สำคัญ และการตรวจสอบอย่างต่อเนื่องโดยทั่วไปหมายความว่าการรักษาความปลอดภัยไม่เคยอยู่ในสถานะคงที่ แต่ปลอดภัยแล้วไม่ได้หมายความว่าจะปลอดภัยในวันพรุ่งนี้ ความสามารถในการตรวจสอบอย่างถูกต้องถือเป็นความท้าทายที่ยิ่งใหญ่ที่สุดสำหรับเราทุกคน แต่ก็ค่อนข้างน่าสนใจ เนื่องจากคุณจะได้ฝึกฝนความรู้มากมายในกระบวนการนี้ เมื่อคุณเข้มแข็งพอ จะไม่มีใครทำร้ายคุณได้ง่ายๆ
ความปลอดภัยด้านการเข้ารหัสคือการรักษาความปลอดภัย
การเข้ารหัสนั้นทรงพลังและมีความสำคัญ หากปราศจากการทำงานหนักของนักเข้ารหัส อัลกอริธึมการเข้ารหัสและการใช้งานทางวิศวกรรมที่แข็งแกร่ง จะไม่มีเทคโนโลยีการสื่อสารสมัยใหม่ อินเทอร์เน็ต หรือเทคโนโลยีบล็อกเชน อย่างไรก็ตาม บุคคลบางคนถือว่าการรักษาความปลอดภัยด้วยการเข้ารหัสเป็นการรักษาความปลอดภัยที่สมบูรณ์ และมีคำถามแปลกๆ มากมายเกิดขึ้น:
บล็อกเชนมีความปลอดภัยหรือเปล่า ถึงต้องใช้เวลาหลายล้านล้านปีในการทำลายคีย์ส่วนตัว? ทำไม FBI สามารถถอดรหัส Dark Web Bitcoin ได้? เหตุใด NFT ของ Jay Chou จึงถูกขโมยบนโลกนี้
ฉันสามารถทนกับคำถามมือใหม่เหล่านี้ได้…สิ่งที่ฉันทนไม่ได้ก็คือความจริงที่ว่าผู้เชี่ยวชาญด้านความปลอดภัยจำนวนมากใช้แนวคิดด้านความปลอดภัยด้วยการเข้ารหัสเพื่อหลอกสาธารณชน พวกเขากำลังพูดถึงคำศัพท์ต่างๆ เช่น การเข้ารหัสระดับทหาร การเข้ารหัสที่ดีที่สุดในโลก จักรวาล -การเข้ารหัสระดับ, ความปลอดภัยของระบบโดยสมบูรณ์, การไม่สามารถแฮ็กได้ ฯลฯ
แฮกเกอร์? พวกเขาไม่สนหรอก…
การถูกแฮ็กเป็นเรื่องน่าอับอายหรือไม่?
เป็นเรื่องจริงที่การถูกแฮ็กอาจทำให้เกิดความรู้สึกผสมปนเป และบางครั้งอาจมีความรู้สึกละอายใจด้วย แต่คุณต้องเข้าใจว่าการถูกแฮ็กนั้นรับประกันได้เกือบ 100% ดังนั้นจึงไม่มีอะไรต้องละอายใจ
เมื่อถูกแฮ็ก ไม่สำคัญว่าคุณจะต้องรับผิดชอบแค่ตัวคุณเองเท่านั้น อย่างไรก็ตาม หากคุณต้องรับผิดชอบต่อคนอื่นๆ จำนวนมาก คุณจะต้องมีความโปร่งใสและเปิดกว้างเมื่อต้องรับมือกับเหตุการณ์นั้น
แม้ว่าผู้คนอาจตั้งคำถามหรือกล่าวหาว่าคุณเริ่มแฮ็กด้วยตัวเอง แต่กระบวนการอัปเดตที่โปร่งใสและเปิดกว้างจะนำโชคดีและความเข้าใจมาให้เสมอ
ลองคิดแบบนี้: หากโครงการของคุณไม่เป็นที่รู้จัก จะไม่มีใครแฮ็กคุณ ความอัปยศไม่ได้ถูกแฮ็ก ความอัปยศคือความเย่อหยิ่งของคุณ
จากมุมมองความน่าจะเป็น การถูกแฮ็กเป็นปรากฏการณ์ทั่วไป โดยปกติแล้ว ปัญหาด้านความปลอดภัยส่วนใหญ่เป็นเพียงปัญหาเล็กๆ น้อยๆ ซึ่งสามารถช่วยให้โครงการของคุณเติบโตได้ อย่างไรก็ตามปัญหาใหญ่ที่ร้ายแรงยังคงต้องหลีกเลี่ยงให้ได้มากที่สุด
ปรับปรุงทันที
หลายครั้งที่คู่มือเล่มนี้แนะนำให้ใส่ใจกับการอัปเดต หากมีการอัปเดตความปลอดภัย ให้นำไปใช้ทันที ทีนี้ลองคิดให้รอบคอบ นี่เป็นกระสุนเงินหรือเปล่า?
ที่จริงแล้ว ในกรณีส่วนใหญ่ “อัปเดตทันที” เป็นสิ่งที่ถูกต้องที่ต้องทำ อย่างไรก็ตาม มีหลายครั้งในประวัติศาสตร์ที่การอัปเดตแก้ไขปัญหาหนึ่งได้ แต่กลับแนะนำอีกปัญหาหนึ่งด้วย ตัวอย่างคือ iPhone และ Google Authenticator:
มีความเสี่ยงในการอัปเดต iOS 15 ใหม่ กล่าวคือ ข้อมูลใน Google Authenticator อาจถูกล้างหรือเพิ่มเป็นสองเท่าหลังจากอัปเกรด iPhone ในกรณีนี้ อย่าลบรายการที่ซ้ำกันหากคุณพบว่ารายการซ้ำกัน เนื่องจากอาจทำให้ข้อมูลทั้งหมดใน Google Authenticator สูญหายหลังจากเปิดใหม่อีกครั้ง
สำหรับผู้ที่ไม่ได้อัปเกรดเป็นระบบ iOS 15 และใช้ Google Authenticator ขอแนะนำอย่างยิ่งให้สำรองข้อมูลก่อนอัปเกรด
ต่อมา Google ได้อัปเดตแอป Authenticator เพื่อแก้ไขปัญหานี้อย่างถาวร
นอกจากนี้ ฉันไม่แนะนำให้อัปเดตกระเป๋าเงินบ่อยๆ โดยเฉพาะกระเป๋าเงินที่มีสินทรัพย์จำนวนมาก เว้นแต่จะมีแพตช์รักษาความปลอดภัยที่สำคัญ หรือฟีเจอร์ที่สำคัญมากที่นำไปสู่การอัปเดตที่หลีกเลี่ยงไม่ได้ ในกรณีนี้คุณจะต้องทำการประเมินความเสี่ยงของคุณเองและตัดสินใจด้วยตัวเอง
บทสรุป
จำไว้ว่าคู่มือนี้เริ่มต้นด้วยแผนภาพนี้ 🙂
คุณสังเกตเห็นไหมว่าฉันได้ทำเครื่องหมายบุคคลในแผนภาพด้วยสีแดง ฉันทำเช่นนั้นเพื่อเตือนทุกคนอีกครั้งว่ามนุษย์เป็นรากฐานของทุกสิ่ง (เรียกว่า "หลักการมานุษยวิทยา" ในจักรวาลวิทยา) ไม่ว่าจะเป็นความมั่นคงทางธรรมชาติของมนุษย์ หรือความสามารถในการเชี่ยวชาญทักษะด้านความปลอดภัย ทุกอย่างขึ้นอยู่กับคุณ ใช่แล้ว เมื่อคุณแข็งแกร่งพอ จะไม่มีใครทำร้ายคุณได้ง่ายๆ
ฉันเริ่มขยายตามแผนภาพ และอธิบายประเด็นสำคัญด้านความปลอดภัยหลายประการในกระบวนการทั้งสาม ได้แก่ การสร้างกระเป๋าเงิน การสำรองข้อมูลกระเป๋าเงิน และการใช้กระเป๋าเงิน จากนั้นฉันก็แนะนำการป้องกันความเป็นส่วนตัวแบบดั้งเดิม ฉันระบุว่าสิ่งดั้งเดิมดังกล่าวเป็นรากฐานที่สำคัญและเป็นรากฐานสำหรับเราในการรักษาความปลอดภัยในระบบนิเวศบล็อกเชน ส่วนความมั่นคงทางธรรมชาติของมนุษย์ไม่สามารถตกแต่งมากเกินไปได้ เป็นเรื่องดีที่จะเข้าใจมากขึ้นเกี่ยวกับวิธีการต่างๆ ในการทำชั่ว โดยเฉพาะอย่างยิ่งหากคุณก้าวเข้าไปในหลุมเล็กๆ น้อยๆ ความตระหนักรู้ด้านความปลอดภัยบนกระดาษอาจกลายเป็นประสบการณ์ด้านความปลอดภัยของคุณได้ในที่สุด ไม่มีการรักษาความปลอดภัยที่สมบูรณ์ ดังนั้นฉันจึงอธิบายว่าต้องทำอย่างไรเมื่อคุณถูกแฮ็ก ฉันไม่ต้องการให้เหตุการณ์ร้ายเกิดขึ้นกับคุณ แต่ในกรณีที่มันเกิดขึ้น ฉันหวังว่าคู่มือเล่มนี้จะช่วยคุณได้ สิ่งสุดท้ายคือการพูดคุยเกี่ยวกับความเข้าใจผิดบางอย่าง ความตั้งใจของฉันนั้นง่ายมาก ฉันหวังว่าคุณจะสามารถสร้างการคิดเชิงวิพากษ์ของคุณเองได้ เพราะโลกทั้งสวยงามและเลวร้าย
ฉันไม่ได้เขียนคำมากมายมานานแล้ว ฉันคิดว่าครั้งสุดท้ายเมื่อ 10 ปีที่แล้วตอนที่ฉันเขียนหนังสือ”เว็บ 前端黑客技术揭秘“. มันค่อนข้างหวานอมขมกลืน หลังจากหลายปีในด้านความปลอดภัยบนเว็บและความปลอดภัยทางไซเบอร์ ฉันนำทีมสร้าง ZoomEye ซึ่งเป็นเครื่องมือค้นหาทางไซเบอร์สเปซ ในด้านความปลอดภัยทางไซเบอร์ ฉันได้ขลุกอยู่ในหลายสาขา มีเพียงไม่กี่สาขาเท่านั้นที่ฉันสามารถพูดได้ว่าฉันเชี่ยวชาญ
ขณะนี้ในการรักษาความปลอดภัยบล็อคเชน SlowMist และตัวฉันเองถือเป็นผู้บุกเบิก มีหลายกรณีที่เราเผชิญในช่วงหลายปีที่ผ่านมาจนแทบจะคิดว่าเราอยู่ในภาวะมึนงงทุกวัน น่าเสียดายที่ข้อมูลเชิงลึกจำนวนมากไม่ได้รับการบันทึกและแบ่งปัน และด้วยคำแนะนำของเพื่อนหลายคน คู่มือเล่มนี้จึงถือกำเนิดขึ้นมา
เมื่อคุณอ่านคู่มือเล่มนี้จบแล้ว คุณต้องฝึกฝน เชี่ยวชาญ และสรุปผล เมื่อคุณมีการค้นพบหรือประสบการณ์ของคุณเองในภายหลัง ฉันหวังว่าคุณจะมีส่วนร่วม หากคุณรู้สึกว่ามีข้อมูลที่ละเอียดอ่อน คุณสามารถปกปิดข้อมูลเหล่านั้นหรือปกปิดข้อมูลนั้นได้
สุดท้ายนี้ ต้องขอบคุณความครบกำหนดระดับโลกของกฎหมายและการบังคับใช้ด้านความปลอดภัยและความเป็นส่วนตัว ต้องขอบคุณความพยายามของผู้บุกเบิกการเข้ารหัส วิศวกร แฮกเกอร์ที่มีจริยธรรม และผู้ที่เกี่ยวข้องในการสร้างโลกที่ดีกว่า ซึ่งรวมถึง Satoshi Nakamoto ด้วย
ภาคผนวก
กฎและหลักการรักษาความปลอดภัย
กฎและหลักการรักษาความปลอดภัยที่กล่าวถึงในคู่มือเล่มนี้สรุปได้ดังนี้ มีการรวมกฎสองสามข้อไว้ในข้อความข้างต้น และจะไม่ได้รับการปรับปรุงเป็นพิเศษในที่นี้
กฎความปลอดภัยที่สำคัญสองข้อ:
- ความไว้วางใจเป็นศูนย์. เพื่อให้มันง่าย จงคงความสงสัยและเป็นเช่นนั้นอยู่เสมอ
- การตรวจสอบอย่างต่อเนื่อง. เพื่อที่จะเชื่อถือบางสิ่งบางอย่าง คุณต้องตรวจสอบสิ่งที่คุณสงสัย และสร้างนิสัยให้ถูกต้อง
หลักการรักษาความปลอดภัย:
- สำหรับความรู้ทั้งหมดจากอินเทอร์เน็ต โปรดอ้างอิงถึงแหล่งข้อมูลอย่างน้อยสองแห่ง ยืนยันซึ่งกันและกัน และตั้งข้อสงสัยอยู่เสมอ
- แยก. อย่าใส่ไข่ทั้งหมดไว้ในตะกร้าใบเดียว
- สำหรับกระเป๋าเงินที่มีทรัพย์สินสำคัญ อย่าทำการอัพเดตโดยไม่จำเป็น
- สิ่งที่คุณเห็นคือสิ่งที่คุณลงนาม คุณต้องตระหนักถึงสิ่งที่คุณกำลังลงนาม และผลลัพธ์ที่คาดหวังหลังจากธุรกรรมที่ลงนามถูกส่งออกไป อย่าทำสิ่งที่จะทำให้คุณเสียใจในภายหลัง
- ให้ความสนใจกับการอัปเดตความปลอดภัยของระบบ ใช้ทันทีที่มี
- อย่าดาวน์โหลดและติดตั้งโปรแกรมโดยประมาทสามารถป้องกันความเสี่ยงส่วนใหญ่ได้
ผู้ร่วมให้ข้อมูล
ขอขอบคุณผู้มีส่วนร่วม รายการนี้จะได้รับการอัปเดตอย่างต่อเนื่อง และฉันหวังว่าคุณจะสามารถติดต่อฉันได้หากมีแนวคิดใดๆ เกี่ยวกับคู่มือเล่มนี้
คอส, ทวิตเตอร์(@evilcos),即刻(@余弦.jpg)
ผู้ร่วมให้ข้อมูล
ภรรยาของฉัน SlowMist, Twitter (@SlowMist_Team) เช่น Pds, Johan, Kong, Kirk, Thinking, Blue, Lisa, Keywolf... แอป Jike เพื่อนที่ไม่ระบุชื่อบางคน ... เพิ่มเติม: https://darkhandbook.io/contributors.html
หากการมีส่วนร่วมของคุณได้รับการยอมรับให้รวมไว้ในคู่มือเล่มนี้ คุณจะถูกเพิ่มเข้าไปในรายชื่อผู้ร่วมให้ข้อมูล
ตัวอย่างเช่น: ให้คำแนะนำหรือกรณีการป้องกันความปลอดภัยเฉพาะ; เข้าร่วมงานแปล แก้ไขข้อผิดพลาดที่ใหญ่กว่า ฯลฯ
เว็บไซต์อย่างเป็นทางการ
SlowMist https://www.slowmist.com CoinMarketCap https://coinmarketcap.com/ Sparrow Wallet https://sparrowwallet.com/ MetaMask https://metamask.io/ imToken https://token.im/ Trust Wallet https ://trustwallet.com/ Gnosis ปลอดภัย https://gnosis-safe.io/ ZenGo https://zengo.com/ Fireblocks https://www.fireblocks.com/ Safeheron https://www.safeheron.com/ คีย์สโตน https://keyst.one/ Trezor https://trezor.io/ Rabby https://rabby.io/ EdgeWallet https://edge.app/ MyEtherWallet https://www.myetherwallet.com/ Phantom https: //phantom.app/ เงินสดทอร์นาโด https://tornado.cash/ Binance https://www.binance.com/ Coinbase https://coinbase.com แบบผสม https://compound.finance/ SushiSwap https://www .sushi.com/ OpenSea https://opensea.io/ Revoid.cash https://revoid.cash/ APPROVED.zone https://approved.zone/ 即刻 https://okjike.com/ Kaspersky https:// www.kaspersky.com.cn/ Bitdefender https://www.bitdefender.com/ Cloudflare https://www.cloudflare.com/ Akamai https://www.akamai.com/ การเฝ้าระวัง การป้องกันตัวเอง https://ssd .eff.org/ คู่มือความเป็นส่วนตัว https://www.privacytools.io/ OpenPGP https://www.openpgp.org/ GPG https://gnupg.org/ GPG Suite https://gpgtools.org/ Gpg4win https: //www.gpg4win.org/ 1รหัสผ่าน https://1password.com/ Bitwarden https://bitwarden.com/ Google Authenticator https://support.google.com/accounts/answer/1066447 Microsoft Authenticator https://www .microsoft.com/en-us/security/mobile-authenticator-app ProtonMail https://protonmail.com/ Tutanota https://tutanota.com/ เวิร์กสเตชัน VMware https://www.vmware.com/products/workstation- pro.html เส้นขนาน https://www.parallels.com/