![](https://www.bitpush.news/wp-content/themes/Gztro/assets/img/logo.png)
区块链安全“猜疑链”
原创 | 刘教链
隔夜BTC(比特币)强势反攻,硬生生把高开低走逆转成了连续上涨,并一鼓作气,重新站上7万刀高地。多头干得漂亮,这一段战线打得十分解气!受此精神带动,加密市场全面上行,UNI (Uniswap)也趁势大举反推,一度涨超10%,逼近12刀一线。
昨6.4内参:百万美刀资产放在交易所离奇被盗的警示录![链接]提到了一个令人悲伤、使人警醒的消息:某网友把高达100万美刀(700多万RMB)的加密资产放在某交易平台,却不幸被黑客窃取了登陆凭证,远程进入账户洗劫一空。令人警醒的是,凭证盗用(被用于不同设备、不同IP等),交易行为异常(黑客没拿到提币密码,只能“对敲”出货),这些在web2互联网司空见惯的安全措施(大家可以试试支付宝或者微信支付对上面的两种情况会不会触发系统报警和暂时冻结账户就明白了),在web3全球头部平台的入侵检测系统居然安静如处子!
傻傻小白的你,还相信当年某交易所大佬说的,小白就别学什么自己保管私钥、链上持币了,把币放在交易所中心化托管,比你自己保管更安全,这样的话吗?
安全公司分析了半天,除了指出是该网友自己电脑浏览器安装了恶意插件,导致黑客盗取了登陆凭证之外,就是写了一大堆普通人根本不可能看懂的有关chrome插件的技术名词和解释。把普通用户培养成互联网安全专家,是一件不可能的事情。从这个角度入手,区块链安全问题永远得不到解决。
况且这样故事讲一半,还会产生一个误导性,就是这样的安全事故责任,全在该用户自己。
错。
教链认为应该明确一个web3资产管理的基本原则:谁实际控制资产,谁就负有更大的甚至是全部的安全义务和责任。
这才符合人类社会最最基本的“权力-责任”对等原则。
从这个原则出发,我们才能理解,为什么支付宝要搞那么多用户端的安全措施,银行为什么要关心用户汇款、防范电信诈骗。如果抛弃这个原则,支付宝或银行就可以说,用户自己上当受骗,与我何干?
由于区块链资产的超主权性质,使得这一份安全义务和责任的承担成本极其高昂,往往会成为一个中心化平台的“不可承受之重”。因此,这才进一步推导出,区块链的基本思想之一,就是让每个人都自己保管自己的私钥,自己控制自己的资产。各负其责,也就是所有人分担了责任、分散了义务,也就分散了成本,这才让区块链变得可行。
今天的区块链才发展了区区15年,中心化和去中心化各种混杂在一起。现在的加密世界,就像《三体》里描述的“黑暗森林”,处处充满了不可知的危险。涉足其中的小白朋友们,一个不小心,暴露了自己,就被潜伏在黑暗之中的“猎人”,一枪毙命。
这篇文章,教链要提出一个区块链安全的“猜疑链”模型(这个名词也出自《三体》),来告诉各位新老朋友们,如何简单识别区块链的安全风险,“苟全性命于乱世”。
「凡是有可能会出错的地方,迟早一定会出错!」—— 墨菲定律
教链提出的这个区块链安全猜疑链,就是把从你到你的资产之间到全部环节梳理成一个链条。根据墨菲定律,链条中的每个环节的安全性都是值得怀疑的,因此,链条越长,这个猜疑链的整体安全性就越低。
就像计算物理定律需要先确定参照系一样,要评估任何一个猜疑链的安全性,也要先建立区块链安全的参照系。这个参照系就是最短的猜疑链:自己用私钥保管比特币。(实操的办法教链很早就写过,可以回顾一下《如何使用私钥保管比特币》(2020.10.20)。)
自己用私钥保管比特币这条最短猜疑链可以像下面这样直观地画出来:
我
|
生成器(离线)
|
私钥(纸)
|
比特币区块链
|
BTC
或者如果是脑钱包的话,就是这样:
我(私钥口令)
|
编码器(离线)
|
比特币区块链
|
BTC
有了这两个最小猜疑链模型作参照,我们就可以对其他任何web3安全的猜疑链模型的安全风险进行评估了:
1. 如果猜疑链环节增多,那么安全性就会下降,风险就会增加。
2. 对于一个具体环节,安全性的比较顺序一般是:非电子介质 > 电子设备,离线 > 在线,无需信任第三方 > 需要信任第三方,等等。
「我们需要的是一个基于密码学证明而非信任的电子支付系统,……而无需一个受信任的第三方。」—— 中本聪,比特币白皮书
拿上文案例中,把资产(以BTC为例)放在中心化交易平台作为对比:
我
|
电脑(-)
|
浏览器(-)
|
交易平台(-)
|
比特币区块链
|
BTC
(-)表示扣分项。电脑是电子设备,扣分。浏览器访问交易平台是联网在线的,扣分。交易平台控制比特币,这意味着你需要信任它作为第三方,扣分。
该案例中被盗百万美刀的安全事故,正出在“浏览器”和“交易平台”这两个安全性降低、猜疑度升高的环节。浏览器被恶意插件入侵。交易平台对异常状态、行为监测做得不到位。两相结合,造成了悲剧。
不妨再举几个例子展示一下猜疑链的用法:
使用联网的手机App软件钱包(非托管式)保管BTC:
我
|
手机(-)
|
应用商店、下载网站(-)
|
助记词备份(纸)
|
App(-)
|
比特币区块链
|
BTC
联网手机是扣分项。苹果的安全性 > 安卓。App是扣分项。开源的、久经考验的App > 新的、未知的App。非官网下载的、其他网友发给你的安装包,直接红色警报!你如果有这种坏习惯,被盗币破产只是时间问题。
使用助记词保管USDT:
我
|
生成器(离线)
|
私钥(纸)
|
某USDT所在的区块链
|
USDT
|
Tether公司
|
银行
|
美元,
其他储备资产
|
美债
惊不惊喜,意不意外?USDT不是真正的底层资产,穿透下去,猜疑链还没结束呢!你以为抄了私钥就高枕无忧,那就大错特错了。
从这个模型开始,包括后面的更复杂、更长的猜疑链,就不标记扣分项了。因为全是扣分项,处处安全风险,都快漏成筛子了。哈哈~
使用Metamask插件钱包,持有WBTC(以太坊上的Wrapped BTC):
我
|
浏览器
|
插件商店
|
助记词备份(纸)
|
Metamask
|
以太坊区块链
|
WBTC
|
托管公司(多家)
|
比特币区块链
|
BTC
使用Ledger硬件钱包+Metamask,持有放在lido里质押生息的ETH:
我
|
助记词备份(纸)
|
Ledger硬件钱包
|
浏览器
|
插件商店
|
Metamask(无私钥)
|
lido质押网站
|
以太坊区块链
|
stETH
|
lido托管网络
|
ETH
如此种种。相信各位读者应该很容易领悟和掌握这一思维方法了。
区块链最重要的三件事是什么?第一是安全,第二是安全,第三还是安全。
小心驶得万年船。
希望教链的这个猜疑链思维方法,能够帮到各位读者,切实提高安全认知,少踩坑,不迷路!
(公众号:刘教链。知识星球:公众号回复“星球”)
(免责声明:本文内容均不构成任何投资建议。加密货币为极高风险品种,有随时归零的风险,请谨慎参与,自我负责。)
比推快讯
更多 >>- 美法官驳回 Coinbase 传唤 SEC 主席 Gary Gensler 的请求,要求其重新制定计划
- 消息人士:OKX 计划将马耳他作为其欧盟枢纽,以遵守该地区新的 MiCA 法规
- 美SEC专员:加密货币市场存在欺诈行为
- LMAX Group策略师:如果美股的糟糕表现演变为更广泛的调整,加密货币可能会进一步下跌
- Lido:由SSV.Network提供支持的DVT技术模块现已部署
- Arkham :德国政府的BTC余额仅剩4925枚,价值约合2.8亿美元
- CryptoQuant:短期持有者的交易活动推动比特币交易所储备激增,而非德国政府
- CryptoQuant CEO:孙宇晨在6.7万美元价位开设大量BTC多头仓位,仓位至少有 4.2 亿美元
- Immunefi:BNB Chain自成立以来因黑客攻击和Rug Pull而造成的损失高达 16.4 亿美元
- Coinbase 推出“一站式”加密应用程序,旨在简化用户体验
- 今日美国九只现货比特币ETF净增持1661枚比特币,价值约合9582万美元
- SocialFi平台RECRD完成400万美元融资,Sui基金会领投
- 美国众议院未能推翻拜登总统否决撤销 SAB 121 法案的决定
- Hamster Kombat 匿名创始人:正在计划进行第二次空投
- Genesis Trading钱包地址转出6,499枚ETH,价值超2000万美元
- 互换市场完全定价美联储9月将降息25个基点
- Paxos 在美 SEC 对 BUSD 稳定币的调查中胜诉,SEC 不会采取执法行动
- 摩根大通将美联储降息预期从11月改为9月
- MicroStrategy 为持有比特币最多企业,股权拆分将助推其股价上涨
- DWF Labs宣布与知名歌手Iggy Azalea达成战略合作伙伴关系
- Celer Network:对 Celer 域名的接管企图已被成功拦截,所有 DNS 记录都已恢复
- 矿企 Ionic Digital 任命 John Penver首席财务官推动IPO
- BNB Chain 公布首届 BNB 孵化联盟活动胜者,将入选 MVB 加速器计划
- 灰度向Coinbase Prime地址转入366枚BTC
- 芝商所与CF Benchmarks将推出新的加密货币参考利率和实时指数
- Fireblocks 将首批加密货币托管公司纳入其全球托管计划
- 英国法律机构称目前尚不需要针对DAO制定专门立法
- CPI 数据公布后,交易员开始定价美联储年内降息三次
- 1,099枚BTC从未知钱包转移到B2C2 Group,价值超6500美元
- Coinbase:加密货币选民或成美国大选关键力量
- 摩根大通:加密货币市场预计将于8月反弹
- Tether:明年9月起不再接受 Omni、Kusama、SLP、EOS 和 Algorand 上的 USDT 或 EURT 兑换
- Binance:向所有企业账户开放多验证器提现验证
- 美国6月通胀普遍下降,提振降息预期
- 美国至7月6日当周初请失业金人数 22.2万人,预期23.6万人,前值23.8万人
- 美国6月未季调CPI年率 3%,预期3.10%,前值3.30%
- 美国6月季调后CPI月率 -0.1%,预期0.10%,前值0.00%
- 美国6月未季调核心CPI年率 3.3%,预期3.40%,前值3.40%,为三年内最低水平
- MicroStrategy 宣布进行1拆10股票分割
- “德国政府” 钱包地址于10分钟前再次转出2800枚BTC
- Rage Trade发布代币经济学,将空投6.5%代币
- Bitwise Q2 市场报告:个人持有者拥有1200万枚BTC,占比 57%,待挖掘 BTC 仅剩140万枚
- “德国政府”钱包地址再次将100枚BTC转至Cumberland DRW地址
- Lido 社区质押模块测试网已面向所有用户开放
- 加密货币投机指数已跌破10%,或表明比特币牛市将重启
- HTX 已完成对 pGALA 增发攻击事件受损用户的赔付
- Pyth Network 发布 Express Relay 缓解 MEV 问题
- RenrenBit 标记地址向 Bitfinex 转入超6450万枚USDT
- 一地址两小时前收到 Blast 赎回的1300枚ETH后已全部充值进币安
- “德国政府”钱包地址再次将约152枚BTC转至Cumberland DRW地址
比推专栏
更多 >>观点
项目
比推热门文章
- 【比推每日新闻精选】摩根大通将美联储降息预期从11月提前至9月;Paxos 在美 SEC 对 BUSD 稳定币的调查中胜诉,SEC 不会采取执法行动;Arkham :德国政府的BTC余额仅剩4925枚,价值约合2.8亿美元
- 【比推每日市场动态】美CPI引发市场过山车效应,9月降息几乎“板上钉钉”了
- 美法官驳回 Coinbase 传唤 SEC 主席 Gary Gensler 的请求,要求其重新制定计划
- 消息人士:OKX 计划将马耳他作为其欧盟枢纽,以遵守该地区新的 MiCA 法规
- 美SEC专员:加密货币市场存在欺诈行为
- LMAX Group策略师:如果美股的糟糕表现演变为更广泛的调整,加密货币可能会进一步下跌
- Lido:由SSV.Network提供支持的DVT技术模块现已部署
- Arkham :德国政府的BTC余额仅剩4925枚,价值约合2.8亿美元
- CryptoQuant:短期持有者的交易活动推动比特币交易所储备激增,而非德国政府
- CryptoQuant CEO:孙宇晨在6.7万美元价位开设大量BTC多头仓位,仓位至少有 4.2 亿美元