![](https://www.bitpush.news/wp-content/themes/Gztro/assets/img/logo.png)
区块链安全“猜疑链”
原创 | 刘教链
隔夜BTC(比特币)强势反攻,硬生生把高开低走逆转成了连续上涨,并一鼓作气,重新站上7万刀高地。多头干得漂亮,这一段战线打得十分解气!受此精神带动,加密市场全面上行,UNI (Uniswap)也趁势大举反推,一度涨超10%,逼近12刀一线。
昨6.4内参:百万美刀资产放在交易所离奇被盗的警示录![链接]提到了一个令人悲伤、使人警醒的消息:某网友把高达100万美刀(700多万RMB)的加密资产放在某交易平台,却不幸被黑客窃取了登陆凭证,远程进入账户洗劫一空。令人警醒的是,凭证盗用(被用于不同设备、不同IP等),交易行为异常(黑客没拿到提币密码,只能“对敲”出货),这些在web2互联网司空见惯的安全措施(大家可以试试支付宝或者微信支付对上面的两种情况会不会触发系统报警和暂时冻结账户就明白了),在web3全球头部平台的入侵检测系统居然安静如处子!
傻傻小白的你,还相信当年某交易所大佬说的,小白就别学什么自己保管私钥、链上持币了,把币放在交易所中心化托管,比你自己保管更安全,这样的话吗?
安全公司分析了半天,除了指出是该网友自己电脑浏览器安装了恶意插件,导致黑客盗取了登陆凭证之外,就是写了一大堆普通人根本不可能看懂的有关chrome插件的技术名词和解释。把普通用户培养成互联网安全专家,是一件不可能的事情。从这个角度入手,区块链安全问题永远得不到解决。
况且这样故事讲一半,还会产生一个误导性,就是这样的安全事故责任,全在该用户自己。
错。
教链认为应该明确一个web3资产管理的基本原则:谁实际控制资产,谁就负有更大的甚至是全部的安全义务和责任。
这才符合人类社会最最基本的“权力-责任”对等原则。
从这个原则出发,我们才能理解,为什么支付宝要搞那么多用户端的安全措施,银行为什么要关心用户汇款、防范电信诈骗。如果抛弃这个原则,支付宝或银行就可以说,用户自己上当受骗,与我何干?
由于区块链资产的超主权性质,使得这一份安全义务和责任的承担成本极其高昂,往往会成为一个中心化平台的“不可承受之重”。因此,这才进一步推导出,区块链的基本思想之一,就是让每个人都自己保管自己的私钥,自己控制自己的资产。各负其责,也就是所有人分担了责任、分散了义务,也就分散了成本,这才让区块链变得可行。
今天的区块链才发展了区区15年,中心化和去中心化各种混杂在一起。现在的加密世界,就像《三体》里描述的“黑暗森林”,处处充满了不可知的危险。涉足其中的小白朋友们,一个不小心,暴露了自己,就被潜伏在黑暗之中的“猎人”,一枪毙命。
这篇文章,教链要提出一个区块链安全的“猜疑链”模型(这个名词也出自《三体》),来告诉各位新老朋友们,如何简单识别区块链的安全风险,“苟全性命于乱世”。
「凡是有可能会出错的地方,迟早一定会出错!」—— 墨菲定律
教链提出的这个区块链安全猜疑链,就是把从你到你的资产之间到全部环节梳理成一个链条。根据墨菲定律,链条中的每个环节的安全性都是值得怀疑的,因此,链条越长,这个猜疑链的整体安全性就越低。
就像计算物理定律需要先确定参照系一样,要评估任何一个猜疑链的安全性,也要先建立区块链安全的参照系。这个参照系就是最短的猜疑链:自己用私钥保管比特币。(实操的办法教链很早就写过,可以回顾一下《如何使用私钥保管比特币》(2020.10.20)。)
自己用私钥保管比特币这条最短猜疑链可以像下面这样直观地画出来:
我
|
生成器(离线)
|
私钥(纸)
|
比特币区块链
|
BTC
或者如果是脑钱包的话,就是这样:
我(私钥口令)
|
编码器(离线)
|
比特币区块链
|
BTC
有了这两个最小猜疑链模型作参照,我们就可以对其他任何web3安全的猜疑链模型的安全风险进行评估了:
1. 如果猜疑链环节增多,那么安全性就会下降,风险就会增加。
2. 对于一个具体环节,安全性的比较顺序一般是:非电子介质 > 电子设备,离线 > 在线,无需信任第三方 > 需要信任第三方,等等。
「我们需要的是一个基于密码学证明而非信任的电子支付系统,……而无需一个受信任的第三方。」—— 中本聪,比特币白皮书
拿上文案例中,把资产(以BTC为例)放在中心化交易平台作为对比:
我
|
电脑(-)
|
浏览器(-)
|
交易平台(-)
|
比特币区块链
|
BTC
(-)表示扣分项。电脑是电子设备,扣分。浏览器访问交易平台是联网在线的,扣分。交易平台控制比特币,这意味着你需要信任它作为第三方,扣分。
该案例中被盗百万美刀的安全事故,正出在“浏览器”和“交易平台”这两个安全性降低、猜疑度升高的环节。浏览器被恶意插件入侵。交易平台对异常状态、行为监测做得不到位。两相结合,造成了悲剧。
不妨再举几个例子展示一下猜疑链的用法:
使用联网的手机App软件钱包(非托管式)保管BTC:
我
|
手机(-)
|
应用商店、下载网站(-)
|
助记词备份(纸)
|
App(-)
|
比特币区块链
|
BTC
联网手机是扣分项。苹果的安全性 > 安卓。App是扣分项。开源的、久经考验的App > 新的、未知的App。非官网下载的、其他网友发给你的安装包,直接红色警报!你如果有这种坏习惯,被盗币破产只是时间问题。
使用助记词保管USDT:
我
|
生成器(离线)
|
私钥(纸)
|
某USDT所在的区块链
|
USDT
|
Tether公司
|
银行
|
美元,
其他储备资产
|
美债
惊不惊喜,意不意外?USDT不是真正的底层资产,穿透下去,猜疑链还没结束呢!你以为抄了私钥就高枕无忧,那就大错特错了。
从这个模型开始,包括后面的更复杂、更长的猜疑链,就不标记扣分项了。因为全是扣分项,处处安全风险,都快漏成筛子了。哈哈~
使用Metamask插件钱包,持有WBTC(以太坊上的Wrapped BTC):
我
|
浏览器
|
插件商店
|
助记词备份(纸)
|
Metamask
|
以太坊区块链
|
WBTC
|
托管公司(多家)
|
比特币区块链
|
BTC
使用Ledger硬件钱包+Metamask,持有放在lido里质押生息的ETH:
我
|
助记词备份(纸)
|
Ledger硬件钱包
|
浏览器
|
插件商店
|
Metamask(无私钥)
|
lido质押网站
|
以太坊区块链
|
stETH
|
lido托管网络
|
ETH
如此种种。相信各位读者应该很容易领悟和掌握这一思维方法了。
区块链最重要的三件事是什么?第一是安全,第二是安全,第三还是安全。
小心驶得万年船。
希望教链的这个猜疑链思维方法,能够帮到各位读者,切实提高安全认知,少踩坑,不迷路!
(公众号:刘教链。知识星球:公众号回复“星球”)
(免责声明:本文内容均不构成任何投资建议。加密货币为极高风险品种,有随时归零的风险,请谨慎参与,自我负责。)
比推快讯
更多 >>- 小罗伯特·肯尼迪:若当选总统将要求美国建立 400 万枚比特币储备,美元和比特币间的转账无需报告和交税
- Michael Saylor:比特币到 2045 年将达到 1300 万美元,牛市情况下可能达到 4900 万美元
- 美SEC批准灰度比特币迷你信托的19b-4 表格
- 前 FTX 高管 Ryan Salame 因被德国牧羊犬咬伤而要求推迟入狱日期
- 以太坊团队负责人:以太坊正在失去其“主线”,研究团队似乎接受了将一切中心化的想法
- BTC突破68000美元
- 美国法官批准推迟没收 FTX 的 PAC 政治捐款
- CryptoQuant创始人:本轮比特币牛市可能持续到 2025 年中期
- 美国泽西市市长:比特币是“通胀对冲工具”,个人还持有ETH
- Gemini调查:73% 的美国加密持有者计划在总统投票中考虑候选人对加密货币的立场
- 美参议员Bill Hagerty:正在努力推动通过支持比特币的立法
- EigenLayer:将推出AVS奖励和EIGEN程序化激励
- 瑞士金融市场监管机构:稳定币发行商会给与其合作的银行带来风险
- “木头姐”旗下 ARK Invest 于Q2减持Coinbase和特斯拉
- 比特币扩容网络Mezo完成750万美元战略轮融资,Ledger Cathay Fund领投
- Fortune:哈里斯或于未来几周分享比特币立场,据悉她的丈夫是一位“加密货币爱好者”
- Ledger 推出其最新系列硬件钱包 Ledger Flex
- 美国密歇根州养老基金第二季度买入660万美元的现货比特币ETF
- 今日美国以太坊ETF减持37044枚ETH,比特币ETF增持630枚BTC
- 消息人士:哈里斯竞选团队希望了解更多加密行业的相关信息
- Bitstamp:已完成Mt. Gox债权人的BTC与BCH分配,英国客户将有单独分配计划
- 野村证券旗下加密部门将于9月推出收益更高的以太坊ETF替代品
- VanEck CEO个人净资产中 30% 以上是比特币
- 量化基金 Kbit:尽管 ETF 带来快速回报,但仍应继续投资加密货币
- 比特币突破 67000 美元后,逾 75% 短期持有者已实现盈利
- Glassnode:当前比特币周期已经历两次 20%-30% 间的回撤
- 灰度向 Coinbase Prime 地址转入 11 万枚 ETH
- 以太坊ETF上市三天总资产已接近90亿美元
- GMX 社区发起将收入分配模式改为回购并分发 GMX 提案投票
- BlockFi 获得美国法院批准偿还 100% 客户资金
- BitForex 用户仍然无法提取其资金,总损失约5700万美元
- Jack Dorsey 正对 Block 进行重组
- 参议员 Elizabeth Warren:国外运营的加密挖矿机构可能被用来“监视美国的军事行动”
- 8480枚 ETH 从 Cumberland 转入 Coinbase Institutional
- Polymarket:哈里斯成为2024民主党总统候选人概率升至97%创新高
- 彭博分析师:以太坊 ETF 在抵消灰度资金流出方面不如比特币ETF
- 美国国务院承认比特币对萨尔瓦多旅游业产生积极影响,但对其经济影响“微乎其微”
- TON 生态 DeFi 解决方案 LayerPixel 完成 200 万美元种子轮融资,Kenetic Capital 领投
- 分析:若灰度 ETHE 按当前速度抛售,则其所持以太坊资产或于几周内耗尽
- 美国6月核心PCE物价指数月率0.2%,预期0.1%,前值0.10%
- Michael Saylor:美国政府应该拥有大多数比特币
- 香港立法会议员呼吁与内地有关单位深入合作加快推进数码港元进程,积极研究推进数字货币经济
- BRN 分析师:即将公布的 PCE 数据、特朗普比特币大会发言等因素或推动比特币创新高
- 渣打银行:预计 2034 年代币化市场规模将达到约 30 万亿美元
- 比特币大会今日将有众多政客发表演讲,参议员 Cynthia Lummis、小罗伯特·肯尼迪均将出席
- CeDeFi 收益平台 BitFi 宣布启动种子轮融资,估值为 5000 万美元
- 某鲸鱼从 Binance 提取 143 万 UNI 存入 AAVE 并借入 550 万 USDC
- 慢雾创始人余弦:警惕针对加密资产的假冒视频会议软件新型骗局
- Meme 推广平台 STIX 完成 180 万美元融资,Presto Labs 等参投
比推专栏
更多 >>- 2025 年可能会是 TON:TON 的崛起。
- Layer2 格局悄然变天,Base 生态有何看点?
- 3 种有望在 2024 年轻松翻倍的山寨币
- Web3 安全入门避坑指南|钱包被恶意多签风险
- 复盘德国政府抛售比特币:空军如何借势煽动市场情绪?
- 让社区驱动增长,Monad & Mad Lads 做对了什么?
- 比特币突涨至68000美元,又是因为一句可能的谣言?比特币可能成为美国的战略储备资产
- 2024 年最佳加密交易机器人等级列表(排名从 D 到 S)
- IOSG Weekly Brief|ETH 和 Solana 观点的碰撞 - 经济安全研究 #235
- Footprint Analytics 助力 Core 区块链实现数据效率突破
观点
项目
比推热门文章
- Bitcoin 2024第二日:1BTC涨到4900万美元的多头号角;小肯尼迪承诺在美国建立比特币战略储备
- 【比推每日新闻精选】美SEC批准灰度比特币迷你信托的19b-4 表格;CryptoQuant创始人:本轮比特币牛市可能持续到 2025 年中期;Michael Saylor:比特币到 2045 年将达到 1300 万美元,牛市情况下可能达到 4900 万美元
- 小罗伯特·肯尼迪:若当选总统将要求美国建立 400 万枚比特币储备,美元和比特币间的转账无需报告和交税
- Michael Saylor:比特币到 2045 年将达到 1300 万美元,牛市情况下可能达到 4900 万美元
- 美SEC批准灰度比特币迷你信托的19b-4 表格
- Bitcoin 2024:大咖齐聚,行业拐点将至?
- 前 FTX 高管 Ryan Salame 因被德国牧羊犬咬伤而要求推迟入狱日期
- 以太坊团队负责人:以太坊正在失去其“主线”,研究团队似乎接受了将一切中心化的想法
- BTC突破68000美元
- 美国法官批准推迟没收 FTX 的 PAC 政治捐款