Оригінальний автор: OneKey Китайська (X:@OneKeyCN)
Примітка редактора: Оновлення Taproot і Segwit внесло нові функції в мережу BTC, а також опосередковано розширило дані блоку, сприяючи вибуху екосистеми BTC з 2023 року по теперішній час. Однак поява нових активів і функцій пов’язана з новими викликами безпеки. Як максимізувати безпеку активів в екосистемі BTC з обмеженою інфраструктурою безпеки?Компанія OneKey Chinese підготувала посібник з боротьби з фішингом для екологічних гравців біткойнів, організований Odaily Planet Daily наступним чином:
Наприкінці 2021 року набуло чинності оновлення Taproot на блоках 709, 632. У той час люди були занурені в бум Ethereum NFT, і ніхто не знав, що це буде самий «заможний» апгрейд BTC.
Разом з оновленням Segwit Taproot представив нові функції в мережі BTC, а також опосередковано масштабував дані блоків (еквівалент від 1 МБ до 4 МБ), що стало запобіжником для вибуху екосистеми BTC з 2023 року по теперішній час. Поява нових активів, таких як Taproot Assets, Ordinals BRC-20, ARC-20, Runes і т.д., також зберегла рівень прийняття трансферів Taproot на рівні половини або навіть вище.
Однак із появою нових активів і функцій виникають нові виклики безпеці.
Екосистема Bitcoin має базову модель, яка відрізняється від екосистеми Ethereum. В даний час вважається, що сцена «багато речей, які потрібно побудувати» і «високого порогу розуміння» в екології нових активів BTC викликає у багатьох користувачів хвилювання - адже це часто означає можливість «розбагатіти».
Однак це також висуне нові вимоги до обізнаності користувачів про безпечні операції, інакше легко втратити монети без пояснення причин. Були навіть інциденти, такі як попередній маркетплейс Atomic, який неправильно використовував типи підписів і призводив до злому.
У наступному OneKey розповідається, як захистити активи та запобігти фішингу в екосистемі BTC з обмеженою інфраструктурою безпеки.
Короткий аналіз конкретного впливу оновлення Taproot
Перш ніж говорити про конкретні заходи боротьби з фішингом, нам потрібно передбачити наслідки оновлення Taproot.
На додаток до раніше згаданого непрямого сприяння процвітанню екосистеми мультиактивів BTC, насправді в нижній частині транзакції BTC відбулися великі зміни, в основному дві: підпис Шнорра і технологія MAST. А коли ці два поняття поєднуються з PSBT (частково підписаними транзакціями), у хакерів з’являється більше простору для хитрощів.
Один з них підписаний Шнорром. Правильно, це оновлення замінило підпис ECDSA в білій книзі. Технічна особливість цього підпису полягає в тому, що кілька підписів або відкритих ключів об’єднуються в один. Раніше потрібно було підтверджувати кілька підписів знову і знову, але тепер їх потрібно перевіряти лише один раз, що безпосередньо зменшує площу підписів.
Одним з них є технологія MAST. Якщо перший є сукупним підписом, то MAST використовується для “агрегації” декількох скриптів (для скриптів ви можете думати про це як про кінцевий “смарт-контракт” для Bitcoin). При цьому при поданні верифікації вартості розблокування потрібно перевірити лише одну з умов витрат. Вплив складних скриптів на багато станів може бути значно зменшений.
Ці дві технології мають найбільший вплив на конфіденційність, але вони також передбачають можливість ризиків для безпеки.
Для записів про передачу всі перекази UTXO виглядатимуть однаково після оновлення. У Mempool тип передачі відображається як P2TR, а адреси – це всі адреси однакової довжини, що починаються з bc1p.
Раніше ви могли легко відрізнити передачу на звичайну адресу (P2PKH/P2WPKH) від передачі на адресу скрипта (P2SH/P2WSH).
Тепер, поки ви не подивитеся, скільки людей витрачають UTXO, ви не зможете відрізнити переказ грошей на звичайну адресу від переказу грошей на адресу скрипта.
Для скриптів верифікація майнера повинна виставити лише одну з умов вартості скрипта, а інші скрипти гілок невідомі зовнішньому світу.
5 порад щодо запобігання фішингу нових активів в екосистемі Bitcoin
Очевидно, що інфраструктура безпеки поточної екології активів BTC набагато менш потужна, ніж у Ethereum, і є багато речей, які користувачі повинні зрозуміти та вивчити в першу чергу.
У той же час принцип фішингу також відрізняється від принципу Ethereum, і багато фішингових атак можуть бути не дуже добре зрозумілі всьому ринку, поки вони не будуть виявлені. Наприклад, інцидент безпеки підпису *SIGNHASH_NONE на маркетплейсі Atomic, гаманці Unisat / Xverse також є попередженням безпеки, яке було додано пізніше.
(1) Перша ментальна техніка: кліше базові навички безпеки шифрування
Тобто зверніть увагу на безпеку приватного ключа в автономному сховищі, зверніть увагу на те, чи є це довіреною URL-адресою, і зверніть увагу на захист комп’ютера від троянських вірусів тощо.
Однак на ринку FOMO можуть знайтися користувачі, які захочуть «поквапитися» до того, як новий проєкт сформує довірчий консенсус, і наступні кілька хитрощів особливо важливі.
(2) Друга ментальна техніка: чіткий вхід і вихід
Наприклад, якщо хакер хоче вивудити всі ваші NFT з написом Ordinals одночасно, ВВЕДЕННЯ транзакції обов’язково покаже, що всі ваші NFT з написом були розміщені. ПРИ ЦЬОМУ НА ВИХОДІ БУДЕ ПОКАЗАНО, ЩО ВСІ ВОНИ ВИРУШИЛИ ЗА НЕЗНАЙОМОЮ АДРЕСОЮ.
Візьмемо, наприклад, використання Unisat для розміщення NFT з написом Ordinals на MagicEden. Коли ви розміщуєте ордер на один або кілька NFT з написом на маркетплейсі MagiEden, спливаючий запит на підпис PSBT покаже, що вхідним сигналом транзакції є один або кілька ваших написів, а вихід покаже, скільки біткоїнів ви отримаєте після успішної транзакції.
(3) Третя ментальна техніка: будьте обережні з типом підпису
Ви можете побачити популярну науку про поточний тип підпису біткойна тут (…) )。
Скажімо, це справжня адреса скрипта. Це залежить від того, чи розкривають вони повний вміст адреси скрипта. Якщо контент неповний, можна приховати одну або кілька шкідливих умов розблокування UTXO, навіть якщо користувач може нормально підписати актив передачі під час його використання. Він може раптово «закрити мережу» і одного разу в майбутньому перевести всі активи UTXO.
На щастя, для поточної програми для транзакції різних активів написів не потрібно використовувати складні скрипти, а PSBT (Частково підписана транзакція) використовується для вказівки введення і виведення.
Однак в майбутній операції BTC L2 існує велика ймовірність того, що будуть задіяні складні багатоумовні скрипти Bitcoin. Наприклад, у скрипті стейкінгу біткоїнів Babylon (@babylon_chain) є відносно складна логіка слешінгу та логіка розблокування.
Якщо ви хочете використовувати цей власний метод стейкінгу Bitcoin Script, особливо важливо відкрити вихідний код скрипта та перевірити безпеку та цілісність, інакше користувачі повинні мати абсолютну довіру до сторони проекту.
(5) П’ята ментальна техніка: звертайте увагу на динаміку безпеки та приділяйте увагу профілактиці
Слідкуйте за найпопулярнішими обліковими записами в полі безпеки, щоб бути в курсі останніх методів фішингу та отримувати попередження якомога швидше. Наприклад, Cosine @evilcos від SlowMist, Go Plus Security Official @GoPlusSecurity, Scam Sniffer@realScamSniffer, наш офіційний обліковий запис OneKey @OneKeyCN.
Коли справа доходить до запобігання до того, як це станеться, ми можемо перенести уроки безпеки з інших місць.
Наприклад, в Ethereum є такий метод фішингу - тобто побудова адрес зі схожими орелами і решками, в результаті чого користувачі втрачають активи, помилково копіюючи їх в історії. А при побудові транзакцій підпису BTC також можна наступити на яму, оскільки вихідна адреса чітко не перевіряється.
У основних екологічних гаманцях BTC, таких як Unisat / Xverse, адреса Taproot відображається як bc1px… e9wh0 (приклад), а bc1p є фіксованим початком адреси Taproot.
Це дорівнює всього 6 буквам для підтвердження. У порівнянні зі стандартною конфігурацією гаманців Ethereum, які мають загальну функцію адресної книги і в основному відображають більше 10 цифр, цього явно недостатньо.
Це означає, що є велика ймовірність, що хакери зможуть здійснювати спеціальний фішинг, генеруючи відповідні адреси (хоча на даний момент їх не так багато в Bitcoin).
Тому, якщо ви робите щось, щоб цього не сталося, слід перевірити адресу якомога повніше.
Все одно…
Вивчайте біткойн.
Вивчіть безпеку Біткойн.
Оскільки Taproot представляє нові активи та нові сценарії для Bitcoin, ми також повинні вивчати нові форми загроз безпеці, особливо методи фішингу, що постійно розвиваються.
Особливо зараз, коли екологічна інфраструктура не ідеальна, час від часу трапляються навіть неправильна експлуатація, втрата монет і спалювання монет, не кажучи вже про добре сплановану риболовлю.
І останнє, але не менш важливе: OneKey завжди ставить безпеку на перше місце, стежачи за розвитком технологій, оновлюючи та ділячись політиками безпеки. Екосистема BTC є однією з головних дійових осіб цього бичачого забігу, і ми продовжуватимемо приділяти увагу викликам безпеки екосистеми BTC і працювати разом, щоб просувати та створювати більш безпечне середовище криптоактивів.
Посилання на оригінал статті
