O guia antiphishing mais detalhado para o ecossistema Bitcoin na web

Autor Original: OneKey Chinês (X:@OneKeyCN)

Nota do editor: A atualização do Taproot e Segwit introduziu novos recursos na rede BTC e também expandiu indiretamente os dados do bloco, contribuindo para a explosão do ecossistema BTC de 2023 até o presente. No entanto, a introdução de novos ativos e recursos vem com novos desafios de segurança. Como maximizar a segurança de ativos no ecossistema BTC com infraestrutura de segurança limitada?OneKey Chinese preparou um guia anti-phishing para jogadores ecológicos de Bitcoin, organizado pelo Odaily Planet Daily da seguinte forma:

No final de 2021, a atualização do Taproot entrou em vigor nos blocos 709, 632. Naquela época, as pessoas estavam imersas no boom do NFT do Ethereum, e ninguém sabia que esta seria a atualização mais “enriquecedora” do BTC.

Juntamente com a atualização do Segwit, o Taproot introduziu novos recursos na rede BTC e também escalou indiretamente os dados de bloco (equivalente a 1 MB a 4 MB), que se tornou o estopim para a explosão do ecossistema BTC de 2023 até o presente. O surgimento de novos ativos, como Taproot Assets, Ordinals BRC-20, ARC-20, Runes, etc., também manteve a taxa de adoção de transferências da Taproot pela metade ou até acima.

No entanto, com a introdução de novos ativos e recursos, surgem novos desafios de segurança.

O ecossistema Bitcoin tem um modelo subjacente que é diferente do ecossistema Ethereum. Atualmente, acredita-se que o cenário de “muitas coisas a serem construídas” e “um alto limiar para compreensão” na ecologia de novos ativos do BTC faça muitos usuários se sentirem animados - afinal, isso muitas vezes significa uma oportunidade de “ficar rico”.

No entanto, isto também apresentará novos requisitos para a sensibilização dos utilizadores para operações seguras, caso contrário, é fácil perder moedas sem explicação. Houve até incidentes, como o mercado anterior da Atomic que usou indevidamente tipos de assinatura e levou a hackers.

O OneKey a seguir diz como proteger ativos e evitar phishing em um ecossistema BTC com infraestrutura de segurança limitada.

Uma breve análise do impacto específico da atualização do Taproot

Antes de falarmos sobre as medidas antiphishing específicas, precisamos prever o impacto da atualização do Taproot.

Além da promoção indireta mencionada anteriormente da prosperidade do ecossistema multi-ativos BTC, houve realmente grandes mudanças na parte inferior da transação BTC, principalmente duas: assinatura Schnorr e tecnologia MAST. E quando esses dois são combinados com PSBT (Transações Parcialmente Assinadas), há mais espaço para os hackers fazerem truques.

Um deles é assinado por Schnorr. Isso mesmo, essa atualização trocou a assinatura ECDSA no white paper. A característica técnica desta assinatura é que várias assinaturas ou chaves públicas são agregadas em uma. No passado, as assinaturas múltiplas eram necessárias para serem confirmadas repetidamente, mas agora elas só precisam ser verificadas uma vez, o que reduz diretamente a pegada de assinaturas.

Uma delas é a tecnologia MAST. Se o primeiro é uma assinatura agregada, então o MAST é usado para “agregar” vários scripts (para scripts, você pode pensar nele como um “contrato inteligente” finito para Bitcoin). Ao mesmo tempo, ao enviar o custo de desbloqueio de verificação, você só precisa verificar uma das condições de gasto. A pegada de scripts complexos para muitas condições pode ser muito reduzida.

Estas duas tecnologias têm o maior impacto na privacidade, mas também implicam margem para riscos de segurança.

Para registros de transferência, todas as transferências UTXO terão a mesma aparência após a atualização. No Mempool, o tipo de transferência é exibido como P2TR, e os endereços são todos os endereços do mesmo comprimento começando com bc1p.

Anteriormente, você podia facilmente distinguir a diferença entre uma transferência para um endereço normal (P2PKH/P2WPKH) e uma transferência para um endereço de script (P2SH/P2WSH).

Agora, até você olhar para quantas pessoas gastam um UTXO, você não pode dizer a diferença entre transferir dinheiro para um endereço regular e transferir dinheiro para um endereço script.

Para scripts, a verificação do minerador só precisa expor uma das condições de custo do script, e outros scripts de ramificação são desconhecidos para o mundo exterior.

5 dicas para evitar phishing de novos ativos no ecossistema Bitcoin

Obviamente, a infraestrutura de segurança da atual ecologia de ativos do BTC é muito menos poderosa do que a do Ethereum, e há muitas coisas que os usuários precisam entender e aprender primeiro.

Ao mesmo tempo, o princípio do phishing também é diferente do do Ethereum, e muitos ataques de phishing podem não ser bem compreendidos por todo o mercado até serem descobertos. Por exemplo, o incidente de segurança de assinatura *SIGNHASH_NONE no mercado Atomic , a carteira Unisat / Xverse também é um alerta de segurança que foi adicionado posteriormente.

(1) A primeira técnica mental: as habilidades básicas clichês de segurança de criptografia

Ou seja, preste atenção à segurança do armazenamento offline da chave privada, preste atenção se é um URL confiável e preste atenção para proteger o computador contra vírus Trojan, etc.

No entanto, no mercado FOMO, pode haver usuários que querem “correr” antes que um novo projeto tenha formado um consenso de confiança, e os próximos truques são particularmente importantes.

(2) A segunda técnica mental: entrada e saída claras

Por exemplo, se um hacker quiser pescar todos os seus NFTs de inscrição Ordinals de uma só vez, a ENTRADA da transação definitivamente mostrará que todos os seus NFTs de inscrição foram colocados. AO MESMO TEMPO, A SAÍDA MOSTRARÁ QUE TODOS ELES FORAM PARA UM ENDEREÇO DESCONHECIDO.

Tome-se, por exemplo, o uso da Unisat para colocar uma inscrição Ordinals NFT no MagicEden. Quando você faz um pedido para um ou mais NFTs de inscrição no mercado MagiEden, uma solicitação de assinatura PSBT pop-up mostrará que a entrada da transação é uma ou mais de suas inscrições, e a saída mostrará quantos bitcoins você receberá quando a transação for bem-sucedida.

(3) A terceira técnica mental: Cuidado com o tipo de assinatura

Você pode ver a ciência popular do tipo de assinatura atual do Bitcoin aqui (…) ）。

Digamos que é um endereço de script real. Depende se eles expõem o conteúdo completo do endereço do script. Se o conteúdo estiver incompleto, é possível ocultar uma ou mais condições maliciosas de desbloqueio UTXO, mesmo que o usuário possa assinar o ativo de transferência normalmente ao usá-lo. Pode de repente “fechar a rede” e transferir todos os ativos UTXO um dia no futuro.

Felizmente, para a aplicação atual, a transação de vários ativos de inscrição não precisa usar scripts complexos, e o PSBT (Transação Parcialmente Assinada) é usado para especificar a entrada e a saída.

No entanto, na futura operação BTC L2, há uma alta probabilidade de que scripts complexos de Bitcoin multi-condição estejam envolvidos. Por exemplo, no script de staking Bitcoin da Babilônia (@babylon_chain), há uma lógica de corte e desbloqueio relativamente complexa.

Se você quiser usar este método de staking nativo do Bitcoin Script, é particularmente importante abrir o script de código aberto e verificar a segurança e integridade, caso contrário, os usuários precisam ter confiança absoluta no grupo do projeto.

(5) A quinta técnica mental: prestar atenção à dinâmica de segurança e prestar atenção à prevenção

Siga as principais contas no campo da segurança para garantir que você possa acompanhar os métodos de phishing mais recentes e receber avisos o mais rápido possível. Como o @evilcos Cosine do SlowMist, o @GoPlusSecurity Oficial de Segurança Go Plus, o Sniffer@realScamSniffer de fraude, nossa conta oficial OneKey, @OneKeyCN.

Quando se trata de prevenção antes que ela aconteça, podemos transferir lições de segurança de outros lugares. Por exemplo, no Ethereum, existe esse método de phishing - ou seja, construir endereços com cabeças e caudas semelhantes, fazendo com que os usuários percam ativos copiando-os erroneamente no histórico. E ao construir transações de assinatura BTC, também é possível pisar no poço porque o endereço de saída não é claramente verificado.

Nas principais carteiras ecológicas BTC, como Unisat / Xverse, o endereço Taproot é exibido como bc1px… e9wh0 (exemplo) e bc1p é o início fixo do endereço Taproot.

Isto equivale a apenas 6 cartas de confirmação. Em comparação com a configuração padrão das carteiras Ethereum que têm uma função comum de catálogo de endereços e basicamente exibem mais de 10 dígitos, obviamente não é suficiente.

Isso significa que há uma boa chance de que os hackers sejam capazes de fazer phishing personalizado gerando endereços correspondentes (embora não haja muitos no Bitcoin no momento).

Portanto, se você fizer algo para evitar que isso aconteça, você deve verificar o endereço o mais completo possível.

Enfim…

Estudo Bitcoin.

Estude a Segurança Bitcoin.

À medida que a Taproot introduz novos ativos e novos cenários para o Bitcoin, também devemos aprender novas formas de ameaças à segurança, especialmente as técnicas de phishing em constante evolução.

Especialmente agora que a infraestrutura ecológica não é perfeita, até mesmo mau funcionamento e perda de moedas e queima de moedas ocorrem de tempos em tempos, para não mencionar a pesca bem planejada.

Por último, mas não menos importante: a OneKey sempre coloca a segurança em primeiro lugar, acompanhando os desenvolvimentos tecnológicos e atualizando e compartilhando políticas de segurança. O ecossistema BTC é um dos protagonistas desta corrida de touros, e continuaremos a prestar atenção aos desafios de segurança do ecossistema BTC e trabalharemos juntos para promover e construir um ambiente de criptoativos mais seguro.

Link para o artigo original