دليل مكافحة التصيد الاحتيالي الأكثر تعمقا لنظام Bitcoin البيئي على الويب

المؤلف الأصلي : OneKey الصينية (X: @OneKeyCN)

• ملاحظة المحرر: أدخلت ترقية Taproot و Segwit ميزات جديدة إلى شبكة BTC ، كما وسعت بشكل غير مباشر بيانات الكتلة ، مما ساهم في انفجار نظام BTC البيئي من عام 2023 حتى الوقت الحاضر. ومع ذلك ، فإن إدخال أصول وميزات جديدة يأتي مع تحديات أمنية جديدة. كيفية تعظيم أمن الأصول في النظام البيئي BTC مع بنية تحتية أمنية محدودة؟ أعدت OneKey Chinese دليلا لمكافحة التصيد الاحتيالي للاعبين البيئيين في Bitcoin ، نظمته Odaily Planet Daily على النحو التالي:*

في نهاية عام 2021 ، دخلت ترقية Taproot حيز التنفيذ في الكتل 709 ، 632. في ذلك الوقت ، كان الناس منغمسين في طفرة Ethereum NFT ، ولم يكن أحد يعلم أن هذه ستكون الترقية الأكثر “ربحا للثروة” ل BTC.

جنبا إلى جنب مع ترقية Segwit ، قدمت Taproot ميزات جديدة لشبكة BTC ، كما قامت بتوسيع نطاق بيانات الكتلة بشكل غير مباشر (ما يعادل 1 ميغابايت إلى 4 ميغابايت) ، والتي أصبحت فتيل انفجار النظام البيئي BTC من عام 2023 حتى الوقت الحاضر. كما أدى ظهور أصول جديدة مثل Taproot Assets و Ordinals BRC-20 و ARC-20 و Runes وما إلى ذلك إلى الحفاظ على معدل اعتماد نقل Taproot عند النصف أو حتى أعلى.

ومع ذلك ، مع إدخال أصول وميزات جديدة تأتي تحديات أمنية جديدة.

يحتوي نظام Bitcoin البيئي على نموذج أساسي يختلف عن نظام Ethereum البيئي. في الوقت الحاضر ، يعتقد أن مشهد “الكثير من الأشياء التي سيتم بناؤها” و “عتبة عالية للفهم” في بيئة الأصول الجديدة BTC يجعل العديد من المستخدمين يشعرون بالإثارة - بعد كل شيء ، هذا يعني غالبا فرصة “الثراء”.

ومع ذلك ، سيؤدي هذا أيضا إلى طرح متطلبات جديدة لوعي المستخدمين بالعمليات الآمنة ، وإلا فمن السهل فقدان العملات المعدنية دون تفسير. كانت هناك حوادث مثل السوق الذرية السابقة التي أساءت استخدام أنواع التوقيع وأدت إلى القرصنة.

يخبرك OneKey التالي بكيفية حماية الأصول ومنع التصيد الاحتيالي في نظام BTC البيئي مع بنية تحتية أمنية محدودة.

تحليل موجز للتأثير المحدد لترقية Taproot

قبل أن نتحدث عن تدابير مكافحة التصيد الاحتيالي المحددة ، نحتاج إلى التنبؤ بتأثير ترقية Taproot.

بالإضافة إلى الترويج غير المباشر المذكور سابقا لازدهار النظام البيئي متعدد الأصول ل BTC ، كانت هناك بالفعل تغييرات كبيرة في الجزء السفلي من صفقة BTC ، خاصة اثنين: توقيع Schnorr وتقنية MAST. وعندما يتم دمج هذين مع PSBT (المعاملات الموقعة جزئيا) ، هناك مساحة أكبر للمتسللين للعب الحيل.

واحد موقع من قبل شنور. هذا صحيح ، هذه الترقية استبدلت توقيع ECDSA في المستند التقني. الميزة التقنية لهذا التوقيع هي أنه يتم تجميع توقيعات متعددة أو مفاتيح عامة في واحد. في الماضي ، كان مطلوبا تأكيد التوقيعات المتعددة مرارا وتكرارا ، ولكن الآن يجب التحقق منها مرة واحدة فقط ، مما يقلل بشكل مباشر من بصمة التوقيعات.

واحد هو تكنولوجيا ماست. إذا كان الأول عبارة عن توقيع مجمع ، فسيتم استخدام MAST “لتجميع” نصوص متعددة (بالنسبة للنصوص ، يمكنك التفكير في الأمر على أنه “عقد ذكي” محدود ل Bitcoin). في الوقت نفسه ، عند إرسال تكلفة إلغاء قفل التحقق ، ما عليك سوى التحقق من أحد شروط الإنفاق. يمكن تقليل بصمة البرامج النصية المعقدة للعديد من الحالات بشكل كبير.

هاتان التقنيتان لهما أكبر تأثير على الخصوصية ، لكنهما يعنيان أيضا مجالا للمخاطر الأمنية.

بالنسبة لسجلات النقل، ستبدو جميع عمليات نقل UTXO كما هي بعد الترقية. في Mempool ، يتم عرض نوع النقل ك P2TR ، والعناوين كلها عناوين من نفس الطول تبدأ ب bc1p.

في السابق ، كان بإمكانك بسهولة معرفة الفرق بين النقل إلى عنوان عادي (P2PKH / P2WPKH) والنقل إلى عنوان البرنامج النصي (P2SH / P2WSH).

الآن حتى تنظر إلى عدد الأشخاص الذين ينفقون UTXO ، لا يمكنك معرفة الفرق بين تحويل الأموال إلى عنوان عادي وتحويل الأموال إلى عنوان نصي.

بالنسبة للنصوص البرمجية ، يحتاج التحقق من عامل المنجم فقط إلى الكشف عن أحد شروط تكلفة البرنامج النصي ، كما أن البرامج النصية الفرعية الأخرى غير معروفة للعالم الخارجي.

5 نصائح لمنع التصيد الاحتيالي للأصول الجديدة في نظام Bitcoin البيئي

من الواضح أن البنية التحتية الأمنية لبيئة الأصول الحالية ل BTC أقل قوة بكثير من تلك الموجودة في Ethereum ، وهناك العديد من الأشياء التي يحتاج المستخدمون إلى فهمها وتعلمها أولا.

في الوقت نفسه ، يختلف مبدأ التصيد الاحتيالي أيضا عن مبدأ Ethereum ، وقد لا يتم فهم العديد من هجمات التصيد الاحتيالي جيدا من قبل السوق بأكمله حتى يتم اكتشافها. على سبيل المثال ، حادث أمان التوقيع \ * SIGNHASH \ _NONE في السوق الذرية ، تعد محفظة Unisat / Xverse أيضا تنبيها أمنيا تمت إضافته لاحقا.

(1) التقنية العقلية الأولى: المهارات الأساسية المبتذلة لأمن التشفير

أي ، انتبه إلى أمان التخزين في وضع عدم الاتصال للمفتاح الخاص ، وانتبه إلى ما إذا كان عنوان URL موثوقا به ، وانتبه لحماية الكمبيوتر من فيروسات طروادة ، إلخ.

ومع ذلك ، في سوق FOMO ، قد يكون هناك مستخدمون يرغبون في “التسرع” قبل أن يشكل مشروع جديد إجماعا على الثقة ، والحيل القليلة التالية مهمة بشكل خاص.

(2) التقنية العقلية الثانية: مدخلات ومخرجات واضحة

على سبيل المثال ، إذا أراد أحد المتسللين اصطياد جميع NFTs الخاصة بالنقش الترتيبي مرة واحدة ، فسيظهر إدخال المعاملة بالتأكيد أنه تم وضع جميع NFTs المدرجة لديك. في الوقت نفسه ، سيظهر الإخراج أنهم جميعا ذهبوا إلى عنوان غير مألوف.

خذ ، على سبيل المثال ، استخدام Unisat لوضع نقش ترتيبي NFT على MagicEden. عند تقديم طلب للحصول على واحد أو أكثر من NFTs المدرجة في سوق MagiEden ، سيظهر طلب توقيع PSBT المنبثق أن إدخال المعاملة هو واحد أو أكثر من النقوش الخاصة بك ، وسيظهر الإخراج عدد عملات البيتكوين التي ستتلقاها بمجرد نجاح المعاملة.

(3) الأسلوب العقلي الثالث: كن حذرا مع نوع التوقيع

يمكنك رؤية العلم الشائع لنوع التوقيع الحالي للبيتكوين هنا (…) ）。

لنفترض أنه عنوان نصي حقيقي. يعتمد ذلك على ما إذا كانوا يعرضون المحتويات الكاملة لعنوان البرنامج النصي. إذا كان المحتوى غير مكتمل ، فمن الممكن إخفاء واحد أو أكثر من شروط إلغاء قفل UTXO الضارة ، حتى إذا كان بإمكان المستخدم توقيع أصل النقل بشكل طبيعي عند استخدامه. قد “يغلق الشبكة” فجأة وينقل جميع أصول UTXO يوما ما في المستقبل.

لحسن الحظ ، بالنسبة للتطبيق الحالي ، لا تحتاج معاملة أصول النقش المختلفة إلى استخدام نصوص معقدة ، ويتم استخدام PSBT (المعاملة الموقعة جزئيا) لتحديد المدخلات والمخرجات.

ومع ذلك ، في عملية BTC L2 المستقبلية ، هناك احتمال كبير أن يتم تضمين نصوص Bitcoin المعقدة متعددة الشروط. على سبيل المثال ، في نص تخزين البيتكوين في Babylon (@babylon_chain) ، هناك منطق مائل معقد نسبيا ومنطق فتح.

إذا كنت ترغب في استخدام طريقة التخزين الأصلية هذه ل Bitcoin Script ، فمن المهم بشكل خاص فتح مصدر البرنامج النصي والتحقق من الأمان والنزاهة ، وإلا يحتاج المستخدمون إلى الثقة المطلقة في طرف المشروع.

(5) التقنية العقلية الخامسة: الاهتمام بديناميكيات السلامة والاهتمام بالوقاية

اتبع أفضل الحسابات في مجال الأمان للتأكد من أنه يمكنك مواكبة أحدث طرق التصيد الاحتيالي والحصول على تحذيرات في أقرب وقت ممكن. مثل @evilcos جيب التمام من SlowMist ، @GoPlusSecurity مسؤول الأمان Go Plus ، Sniffer@realScamSniffer الاحتيال ، حسابنا الرسمي OneKey ، @OneKeyCN.

عندما يتعلق الأمر بالوقاية قبل حدوثها ، يمكننا نقل دروس الأمان من أماكن أخرى. على سبيل المثال ، في Ethereum ، هناك طريقة تصيد احتيالي - أي إنشاء عناوين ذات رؤوس وذيول متشابهة ، مما يتسبب في فقدان المستخدمين للأصول عن طريق نسخها عن طريق الخطأ في السجل. وعند إنشاء معاملات توقيع BTC ، من الممكن أيضا أن تخطو على الحفرة لأن عنوان الإخراج لم يتم فحصه بوضوح.

في محافظ BTC البيئية السائدة مثل Unisat / Xverse ، يتم عرض عنوان Taproot ك bc1px … e9wh0 (مثال) ، و bc1p هي البداية الثابتة لعنوان Taproot.

هذا يعادل 6 أحرف فقط للتأكيد. بالمقارنة مع التكوين القياسي لمحافظ Ethereum التي لها وظيفة دفتر عناوين مشتركة وتعرض بشكل أساسي أكثر من 10 أرقام ، فمن الواضح أنها ليست كافية.

هذا يعني أن هناك فرصة جيدة لأن يتمكن المتسللون من القيام بتصيد مخصص عن طريق إنشاء عناوين مطابقة (على الرغم من عدم وجود الكثير منها على Bitcoin في الوقت الحالي).

لذلك ، إذا فعلت شيئا لمنع حدوث ذلك ، فيجب عليك التحقق من العنوان كاملا قدر الإمكان.

على أي حال…

** دراسة بيتكوين.

** دراسة أمن بيتكوين.

نظرا لأن Taproot تقدم أصولا جديدة وسيناريوهات جديدة ل Bitcoin ، يجب علينا أيضا تعلم أشكال جديدة من التهديدات الأمنية ، وخاصة تقنيات التصيد الاحتيالي المتطورة باستمرار.

خاصة الآن بعد أن أصبحت البنية التحتية البيئية ليست مثالية ، يحدث حتى سوء التشغيل وفقدان العملات المعدنية وحرق العملات المعدنية من وقت لآخر ، ناهيك عن الصيد المخطط جيدا.

أخيرا وليس آخرا: يضع OneKey دائما الأمان أولا ، ومواكبة التطورات التكنولوجية وتحديث سياسات الأمان ومشاركتها. يعد نظام BTC البيئي أحد أبطال هذا الصعود ، وسنواصل الاهتمام بالتحديات الأمنية لنظام BTC البيئي والعمل معا لتعزيز وبناء بيئة أصول تشفير أكثر أمانا.

رابط المقال الأصلي