Panduan anti-phishing paling mendalam untuk ekosistem Bitcoin di web

Penulis asli: OneKey Chinese (X:@OneKeyCN)

Catatan editor: Peningkatan Taproot dan Segwit telah memperkenalkan fitur-fitur baru ke jaringan BTC, dan juga secara tidak langsung memperluas data blok, berkontribusi pada ledakan ekosistem BTC dari tahun 2023 hingga saat ini. Namun, pengenalan aset dan fitur baru hadir dengan tantangan keamanan baru. OneKey Chinese telah menyiapkan panduan anti-phishing untuk pemain ekologi Bitcoin, yang diselenggarakan oleh Odaily Planet Daily sebagai berikut:

Pada akhir tahun 2021, peningkatan Taproot mulai berlaku di blok 709, 632. Pada saat itu, orang-orang tenggelam dalam ledakan NFT Ethereum, dan tidak ada yang tahu bahwa ini akan menjadi peningkatan BTC yang paling “menghasilkan kekayaan”.

Bersama dengan peningkatan Segwit, Taproot telah memperkenalkan fitur-fitur baru ke jaringan BTC, dan juga secara tidak langsung menskalakan data blok (setara dengan 1 MB hingga 4 MB), yang telah menjadi sumbu ledakan ekosistem BTC dari tahun 2023 hingga saat ini. Munculnya aset baru seperti Taproot Assets, Ordinals BRC-20, ARC-20, Runes, dll., Juga membuat tingkat adopsi transfer Taproot setengah atau bahkan lebih.

Namun, dengan diperkenalkannya aset dan fitur baru, muncul tantangan keamanan baru.

Ekosistem Bitcoin memiliki model dasar yang berbeda dari ekosistem Ethereum. Saat ini, adegan “banyak hal yang harus dibangun” dan “ambang batas pemahaman yang tinggi” dalam ekologi aset baru BTC diyakini membuat banyak pengguna merasa bersemangat - lagipula, ini sering berarti kesempatan untuk “menjadi kaya”.

Namun, ini juga akan mengedepankan persyaratan baru untuk kesadaran pengguna tentang operasi yang aman, jika tidak, mudah kehilangan koin tanpa penjelasan. Bahkan ada insiden seperti pasar Atomic sebelumnya yang menyalahgunakan jenis tanda tangan dan menyebabkan peretasan.

OneKey berikut memberi tahu Anda cara melindungi aset dan mencegah phishing di ekosistem BTC dengan infrastruktur keamanan terbatas.

Analisis singkat tentang dampak spesifik dari peningkatan Taproot

Sebelum kita berbicara tentang langkah-langkah anti-phishing tertentu, kita perlu meramalkan dampak dari peningkatan Taproot.

Selain promosi tidak langsung yang disebutkan sebelumnya tentang kemakmuran ekosistem multi-aset BTC, sebenarnya ada perubahan besar di bagian bawah transaksi BTC, terutama dua: tanda tangan Schnorr dan teknologi MAST. Dan ketika keduanya digabungkan dengan PSBT (Partially Signed Transactions), ada lebih banyak ruang bagi peretas untuk bermain trik.

Satu ditandatangani oleh Schnorr. Itu benar, peningkatan ini menukar tanda tangan ECDSA di kertas putih. Fitur teknis dari tanda tangan ini adalah bahwa beberapa tanda tangan atau kunci publik digabungkan menjadi satu. Di masa lalu, beberapa tanda tangan harus dikonfirmasi berulang kali, tetapi sekarang mereka hanya perlu diverifikasi sekali, yang secara langsung mengurangi jejak tanda tangan.

Salah satunya adalah teknologi MAST. Jika yang pertama adalah tanda tangan agregat, maka MAST digunakan untuk “menggabungkan” beberapa skrip (untuk skrip, Anda dapat menganggapnya sebagai “kontrak pintar” terbatas untuk Bitcoin). Pada saat yang sama, saat mengirimkan biaya buka kunci verifikasi, Anda hanya perlu memverifikasi salah satu ketentuan pengeluaran. Jejak skrip kompleks untuk banyak kondisi dapat sangat dikurangi.

Kedua teknologi ini memiliki dampak terbesar pada privasi, tetapi mereka juga menyiratkan ruang untuk risiko keamanan.

Untuk catatan transfer, semua transfer UTXO akan terlihat sama setelah peningkatan. Di Mempool, jenis transfer ditampilkan sebagai P2TR, dan semua alamat adalah alamat dengan panjang yang sama dimulai dengan bc1p.

Sebelumnya, Anda dapat dengan mudah membedakan antara transfer ke alamat normal (P2PKH/P2WPKH) dan transfer ke alamat skrip (P2SH/P2WSH).

Sekarang sampai Anda melihat berapa banyak orang yang menghabiskan UTXO, Anda tidak dapat membedakan antara mentransfer uang ke alamat biasa dan mentransfer uang ke alamat skrip.

Untuk skrip, verifikasi penambang hanya perlu mengekspos salah satu kondisi biaya skrip, dan skrip cabang lainnya tidak diketahui dunia luar.

5 tips untuk mencegah phishing aset baru di ekosistem Bitcoin

Jelas, infrastruktur keamanan ekologi aset BTC saat ini jauh lebih kuat daripada Ethereum, dan ada banyak hal yang perlu dipahami dan dipelajari pengguna terlebih dahulu.

Pada saat yang sama, prinsip phishing juga berbeda dari Ethereum, dan banyak serangan phishing mungkin tidak dipahami dengan baik oleh seluruh pasar sampai ditemukan. Misalnya, insiden keamanan tanda tangan *SIGNHASH_NONE di pasar Atom, dompet Unisat / Xverse juga merupakan peringatan keamanan yang ditambahkan kemudian.

(1) Teknik mental pertama: keterampilan dasar klise keamanan enkripsi

Artinya, perhatikan keamanan penyimpanan offline dari kunci pribadi, perhatikan apakah itu URL tepercaya, dan perhatikan untuk melindungi komputer dari virus Trojan, dll.

Namun, di pasar FOMO, mungkin ada pengguna yang ingin “terburu-buru” sebelum proyek baru membentuk konsensus kepercayaan, dan beberapa trik berikutnya sangat penting.

(2) Teknik mental kedua: input dan output yang jelas

Misalnya, jika seorang peretas ingin mengambil semua NFT prasasti Ordinal Anda sekaligus, INPUT transaksi pasti akan menunjukkan bahwa semua NFT prasasti Anda telah dimasukkan. PADA SAAT YANG SAMA, OUTPUT AKAN MENUNJUKKAN BAHWA MEREKA SEMUA TELAH PERGI KE ALAMAT YANG TIDAK DIKENAL.

Ambil contoh, penggunaan Unisat untuk menempatkan NFT prasasti Ordinal di MagicEden. Saat Anda memesan satu atau lebih NFT prasasti di pasar MagiEden, permintaan tanda tangan PSBT pop-up akan menunjukkan bahwa input transaksi adalah satu atau lebih prasasti Anda, dan output akan menunjukkan berapa banyak bitcoin yang akan Anda terima setelah transaksi berhasil.

(3) Teknik mental ketiga: Hati-hati dengan jenis tanda tangan

Anda dapat melihat ilmu populer tentang jenis tanda tangan Bitcoin saat ini di sini (…) ）。

Katakanlah itu adalah alamat skrip yang sebenarnya. Itu tergantung pada apakah mereka mengekspos isi lengkap dari alamat skrip. Jika konten tidak lengkap, dimungkinkan untuk menyembunyikan satu atau beberapa kondisi buka kunci UTXO berbahaya, meskipun pengguna dapat menandatangani aset transfer secara normal saat menggunakannya. Mungkin tiba-tiba “menutup jaring” dan mentransfer semua aset UTXO suatu hari nanti.

Untungnya, untuk aplikasi saat ini, transaksi berbagai aset prasasti tidak perlu menggunakan skrip yang rumit, dan PSBT (Partially Signed Transaction) digunakan untuk menentukan input dan output.

Namun, dalam operasi BTC L2 di masa depan, ada kemungkinan besar bahwa skrip Bitcoin multi-kondisi yang kompleks akan terlibat. Misalnya, dalam skrip staking Bitcoin Babylon (@babylon_chain), ada logika pemotongan dan logika membuka kunci yang relatif rumit.

Jika Anda ingin menggunakan metode staking asli Bitcoin Script ini, sangat penting untuk membuka sumber skrip dan memverifikasi keamanan dan integritas, jika tidak, pengguna harus memiliki kepercayaan mutlak pada pihak proyek.

(5) Teknik mental kelima: memperhatikan dinamika keselamatan dan memperhatikan pencegahan

Ikuti akun teratas di bidang keamanan untuk memastikan bahwa Anda dapat mengikuti metode phishing terbaru dan mendapatkan peringatan sesegera mungkin. Seperti Cosine @evilcos SlowMist, @GoPlusSecurity Resmi Keamanan Go Plus, Sniffer@realScamSniffer Scam, Akun Resmi OneKey kami, @OneKeyCN.

Ketika datang ke pencegahan sebelum itu terjadi, kita dapat mentransfer pelajaran keamanan dari tempat lain. Misalnya, di Ethereum, ada metode phishing seperti itu - yaitu, membangun alamat dengan kepala dan ekor yang serupa, menyebabkan pengguna kehilangan aset dengan menyalinnya secara keliru dalam riwayat. Dan ketika membangun transaksi tanda tangan BTC, juga dimungkinkan untuk menginjak lubang karena alamat keluaran tidak diperiksa dengan jelas.

Dalam dompet ekologi BTC arus utama seperti Unisat / Xverse, alamat Taproot ditampilkan sebagai bc1px… e9wh0 (contoh), dan bc1p adalah awal tetap dari alamat Taproot.

Ini setara dengan hanya 6 huruf untuk konfirmasi. Dibandingkan dengan konfigurasi standar dompet Ethereum yang memiliki fungsi buku alamat umum dan pada dasarnya menampilkan lebih dari 10 digit, itu jelas tidak cukup.

Ini berarti bahwa ada kemungkinan besar peretas akan dapat melakukan phishing khusus dengan menghasilkan alamat yang cocok (meskipun tidak banyak di Bitcoin saat ini).

Karena itu, jika Anda melakukan sesuatu untuk mencegahnya terjadi, Anda harus memeriksa alamatnya selengkap mungkin.

Anyway…

** Pelajari Bitcoin. **

Pelajari Keamanan Bitcoin.

Saat Taproot memperkenalkan aset baru dan skenario baru untuk Bitcoin, kita juga harus mempelajari bentuk-bentuk baru ancaman keamanan, terutama teknik phishing yang terus berkembang.

Apalagi sekarang infrastruktur ekologisnya belum sempurna, bahkan kesalahan operasi dan kehilangan koin serta pembakaran koin terjadi dari waktu ke waktu, belum lagi penangkapan ikan yang terencana dengan baik.

Last but not least: OneKey selalu mengutamakan keamanan, mengikuti perkembangan teknologi dan memperbarui serta berbagi kebijakan keamanan. Ekosistem BTC adalah salah satu protagonis dari bull run ini, dan kami akan terus memperhatikan tantangan keamanan ekosistem BTC dan bekerja sama untuk mempromosikan dan membangun lingkungan aset kripto yang lebih aman.

Link ke artikel asli