Самое подробное руководство по борьбе с фишингом в экосистеме биткоина в Интернете

Автор оригинала: OneKey Chinese (X:@OneKeyCN)

Примечание редактора: обновление Taproot и Segwit привнесло новые функции в сеть BTC, а также косвенно расширило данные блоков, способствуя взрыву экосистемы BTC с 2023 года по настоящее время. Однако внедрение новых ресурсов и функций сопряжено с новыми проблемами безопасности. Как максимизировать безопасность активов в экосистеме BTC с ограниченной инфраструктурой безопасности?OneKey Chinese подготовила руководство по борьбе с фишингом для экологических игроков биткоина, организованное Odaily Planet Daily следующим образом:

В конце 2021 года на блоках 709, 632 вступило в силу обновление Taproot. В то время люди были погружены в бум Ethereum NFT, и никто не знал, что это будет самый «богатый» апгрейд BTC.

Вместе с обновлением Segwit Taproot внедрил новые функции в сеть BTC, а также косвенно масштабировал данные блоков (эквивалентно от 1 МБ до 4 МБ), что стало предохранителем для взрыва экосистемы BTC с 2023 года по настоящее время. Появление новых активов, таких как Taproot Assets, Ordinals BRC-20, ARC-20, Runes и т. д., также сохранило уровень внедрения Taproot на уровне половины или даже выше.

Однако с появлением новых активов и функций возникают новые проблемы безопасности.

Экосистема Биткойна имеет базовую модель, которая отличается от экосистемы Ethereum. В настоящее время считается, что сцена «много чего нужно построить» и «высокий порог понимания» в экологии новых активов BTC вызывает у многих пользователей чувство восторга — ведь это часто означает возможность «разбогатеть».

Однако это также выдвинет новые требования к осведомленности пользователей о безопасных операциях, иначе легко потерять монеты без объяснения причин. Были даже инциденты, подобные предыдущему маркетплейсу Atomic, который неправильно использовал типы подписей и приводил к взлому.

В следующем OneKey рассказывается, как защитить активы и предотвратить фишинг в экосистеме BTC с ограниченной инфраструктурой безопасности.

Краткий анализ конкретных последствий обновления Taproot

Прежде чем мы поговорим о конкретных мерах по борьбе с фишингом, мы должны предвосхитить последствия обновления Taproot.

В дополнение к ранее упомянутому косвенному содействию процветанию мультиактивной экосистемы BTC, на самом деле произошли большие изменения в нижней части транзакции BTC, в основном две: подпись Шнорра и технология MAST. А когда эти два фактора сочетаются с PSBT (частично подписанными транзакциями), у хакеров появляется больше возможностей для маневра.

Один из них подписан Шнорром. Все верно, это обновление заменило подпись ECDSA в белой книге. Техническая особенность этой подписи заключается в том, что несколько подписей или открытых ключей агрегируются в одну. В прошлом несколько подписей должны были подтверждаться снова и снова, но теперь их нужно проверять только один раз, что напрямую уменьшает объем подписей.

Одним из них является технология MAST. Если первый представляет собой агрегированную подпись, то MAST используется для «агрегации» нескольких скриптов (для скриптов вы можете думать об этом как о конечном «смарт-контракте» для Биткойна). В то же время, при отправке проверочной стоимости разблокировки вам нужно проверить только одно из условий расходов. Объем работы сложных скриптов для многих условий может быть значительно уменьшен.

Эти две технологии оказывают наибольшее влияние на конфиденциальность, но они также подразумевают пространство для рисков безопасности.

Для записей о переносах все передачи UTXO будут выглядеть одинаково после обновления. В Mempool тип передачи отображается как P2TR, а адреса — это все адреса одинаковой длины, начинающиеся с bc1p.

Раньше можно было легко отличить перевод на обычный адрес (P2PKH/P2WPKH) от перевода на адрес скрипта (P2SH/P2WSH).

До тех пор, пока вы не посмотрите, сколько людей тратят UTXO, вы не сможете отличить перевод денег на обычный адрес и перевод денег на адрес скрипта.

Для скриптов верификация майнера должна предоставлять только одно из стоимостных условий скрипта, а другие скрипты ветви неизвестны внешнему миру.

5 советов по предотвращению фишинга новых активов в экосистеме биткоина

Очевидно, что инфраструктура безопасности текущей экологии активов BTC гораздо менее мощная, чем у Ethereum, и есть много вещей, которые пользователи должны понять и изучить в первую очередь.

В то же время принцип фишинга также отличается от принципа Ethereum, и многие фишинговые атаки могут быть плохо поняты всему рынку до тех пор, пока они не будут обнаружены. Например, инцидент безопасности подписи *SIGNHASH_NONE в маркетплейсе Atomic, кошельке Unisat/Xverse также является предупреждением безопасности, которое было добавлено позже.

(1) Первая ментальная техника: клише о базовых навыках шифрования

То есть, обращайте внимание на безопасность автономного хранения закрытого ключа, обращайте внимание на то, является ли он доверенным URL-адресом, обращайте внимание на защиту компьютера от троянских вирусов и т. д.

Однако на рынке FOMO могут найтись пользователи, которые захотят «поторопиться» до того, как новый проект сформирует консенсус доверия, и следующие несколько хитростей особенно важны.

(2) Вторая ментальная техника: четкий ввод и вывод

Например, если хакер захочет выудить все ваши NFT с надписью Ordinals сразу, INPUT транзакции определенно покажет, что все ваши NFT с надписью были вложены. ПРИ ЭТОМ ВЫВОД ПОКАЖЕТ, ЧТО ВСЕ ОНИ УШЛИ ПО НЕЗНАКОМОМУ АДРЕСУ.

Возьмем, к примеру, использование Unisat для размещения NFT с надписью Ordinals на MagicEden. Когда вы размещаете заказ на один или несколько NFT с надписью на торговой площадке MagiEden, всплывающий запрос подписи PSBT покажет, что входом транзакции является одна или несколько ваших подписей, а на выходе будет указано, сколько биткоинов вы получите после успешной транзакции.

(3) Третья ментальная техника: будьте осторожны с типом подписи

Вы можете ознакомиться с популярной научной информацией о текущем типе подписи Биткоина здесь (…) ）。

Допустим, это реальный адрес скрипта. Это зависит от того, предоставляют ли они полное содержимое адреса скрипта. Если содержимое неполное, можно скрыть одно или несколько вредоносных условий разблокировки UTXO, даже если пользователь может подписать ресурс передачи при его использовании. Он может внезапно «закрыть сеть» и передать все активы UTXO в один прекрасный день в будущем.

К счастью, для текущего приложения транзакция различных ресурсов записи не требует использования сложных скриптов, а PSBT (частично подписанная транзакция) используется для указания входных и выходных данных.

Однако в будущей операции BTC L2 есть большая вероятность, что будут задействованы сложные мультикондиционные скрипты Bitcoin. Например, в скрипте стейкинга биткоина Babylon (@babylon_chain) есть относительно сложная логика слэшинга и логика разблокировки.

Если вы хотите использовать этот собственный метод стейкинга Bitcoin Script, особенно важно открыть исходный код скрипта и проверить безопасность и целостность, в противном случае пользователи должны иметь абсолютное доверие к участнику проекта.

(5) Пятая ментальная техника: обращайте внимание на динамику безопасности и обращайте внимание на профилактику

Следите за самыми популярными учетными записями в поле безопасности, чтобы быть в курсе последних методов фишинга и получать предупреждения как можно скорее. Например, косинус @evilcos SlowMist, официальный @GoPlusSecurity безопасности Go Plus, Sniffer@realScamSniffer Scam, наш официальный аккаунт OneKey @OneKeyCN.

Когда дело доходит до предотвращения до того, как это произойдет, мы можем перенести уроки безопасности из других мест. Например, в Ethereum есть такой метод фишинга – то есть построение адресов с похожим орлом и решкой, в результате чего пользователи теряют активы, ошибочно копируя их в истории. А при построении транзакций подписи BTC также можно наступить на яму, потому что выходной адрес четко не проверяется.

В основных экологических кошельках BTC, таких как Unisat / Xverse, адрес Taproot отображается как bc1px… e9wh0 (пример), а bc1p — фиксированное начало адреса Taproot.

Это соответствует всего 6 буквам для подтверждения. По сравнению со стандартной конфигурацией кошельков Ethereum, которые имеют общую функцию адресной книги и в основном отображают более 10 цифр, этого явно недостаточно.

Это означает, что существует большая вероятность того, что хакеры смогут выполнять пользовательский фишинг, генерируя совпадающие адреса (хотя на данный момент их не так много на Биткойне).

Поэтому, если вы что-то делаете, чтобы этого не произошло, вы должны проверить адрес как можно полнее.

Все равно…

Изучайте биткоин.

Изучите безопасность биткоина.

По мере того, как Taproot представляет новые активы и новые сценарии для Биткойна, мы также должны изучать новые формы угроз безопасности, особенно постоянно развивающиеся методы фишинга.

Особенно сейчас, когда экологическая инфраструктура не идеальна, время от времени случаются даже неправильная эксплуатация, потеря монет и сжигание монет, не говоря уже о хорошо спланированном рыболовстве.

И последнее, но не менее важное: OneKey всегда ставит безопасность на первое место, идет в ногу с развитием технологий, обновляет и обменивается политиками безопасности. Экосистема BTC является одним из главных героев этого бычьего ралли, и мы продолжим уделять внимание проблемам безопасности экосистемы BTC и работать вместе над продвижением и созданием более безопасной среды криптоактивов.

Ссылка на оригинальную статью