This commit is contained in:
evilcos 2022-04-15 14:34:01 +08:00 committed by GitHub
parent 878a1c853f
commit f0b57f5f36
No known key found for this signature in database
GPG Key ID: 4AEE18F83AFDEB23

View File

@ -11,6 +11,7 @@ Blockchain dark forest selfguard handbook<br>
| 日期 | 更新日志 | | 日期 | 更新日志 |
| --- | --- | | --- | --- |
| 2022/4/15 | V1 出现,仅仅修正了点错别字,一些不错的建议,我将在之后的小版本里加入,感谢:) |
| 2022/4/12 | V1 Beta 出现,中文,用碎片时间断断续续写了三周:grinning: | | 2022/4/12 | V1 Beta 出现,中文,用碎片时间断断续续写了三周:grinning: |
*注:选择 GitHub 方便协同及看到历史更新记录。你可以 Watch、Fork 及 Star当然我更希望你能参与贡献:)* *注:选择 GitHub 方便协同及看到历史更新记录。你可以 Watch、Fork 及 Star当然我更希望你能参与贡献:)*
@ -112,7 +113,7 @@ Blockchain dark forest selfguard handbook<br>
*注:用以太坊举例,关于私钥/助记词的基础知识请自行扩展。* *注:用以太坊举例,关于私钥/助记词的基础知识请自行扩展。*
私钥即身份,如果私钥丢了或被盗了,那么这个身份也就不是你的了。钱包应用其实很多,知名的也不少,我并不打算也不可能一一介绍。该手册确实会提到一些具体的钱包,请注意,能被提到的必然是我有基本信任的,但我不担保你在使用过程中可能出现的安全问题或目标钱包可能出现并不在我预期内的安全风险(后文我不会再不断去废话这些,引子里提到的两大安全法则希望你牢记心中)。 私钥即身份,如果私钥丢了或被盗了,那么这个身份也就不是你的了。钱包应用其实很多,知名的也不少,我并不打算也不可能一一介绍。不过该手册确实会提到一些具体的钱包,请注意,能被提到的必然是我有基本信任的,但我不担保你在使用过程中可能出现的安全问题或目标钱包可能出现并不在我预期内的安全风险(后文我不会再不断去废话这些,引子里提到的两大安全法则希望你牢记心中)。
钱包从应用分类来说主要包括几种PC 钱包、浏览器扩展钱包、移动端钱包、硬件钱包及网页钱包等。从触网与否来说主要可以分为冷钱包和热钱包。当我们要进入这个世界,首先要思考将拥有的钱包的用途,用途决定了你将用哪个钱包,同时用途也决定了你会如何对待这个钱包。 钱包从应用分类来说主要包括几种PC 钱包、浏览器扩展钱包、移动端钱包、硬件钱包及网页钱包等。从触网与否来说主要可以分为冷钱包和热钱包。当我们要进入这个世界,首先要思考将拥有的钱包的用途,用途决定了你将用哪个钱包,同时用途也决定了你会如何对待这个钱包。
@ -176,7 +177,7 @@ BIP39这就对助记词提了要求比如一般 12 个英文单词,
Keyless顾名思义是无私钥的意思。在这我们把 Keyless 分为两大场景(注意,这里的区分不代表业内公认区分方式,只能说是方便我讲解): Keyless顾名思义是无私钥的意思。在这我们把 Keyless 分为两大场景(注意,这里的区分不代表业内公认区分方式,只能说是方便我讲解):
* Custody,即托管方式。比如中心化交易所、钱包,用户只需注册账号,并不拥有私钥,安全完全依托于这些中心化平台。 * Custodial,即托管方式。比如中心化交易所、钱包,用户只需注册账号,并不拥有私钥,安全完全依托于这些中心化平台。
* Non-Custodial即非托管方式。用户唯一掌握类似私钥的权力但却不是直接的加密货币私钥或助记词。比如依托知名 Cloud 平台做托管、认证授权,此时知名 Cloud 平台成为木桶的那块短板。还有利用了安全多方计算(MPC)来确保不存在单点风险,同时也结合知名 Cloud将用户体验做到最好。 * Non-Custodial即非托管方式。用户唯一掌握类似私钥的权力但却不是直接的加密货币私钥或助记词。比如依托知名 Cloud 平台做托管、认证授权,此时知名 Cloud 平台成为木桶的那块短板。还有利用了安全多方计算(MPC)来确保不存在单点风险,同时也结合知名 Cloud将用户体验做到最好。
对我来说Keyless 的几种方式我都有使用。实力雄厚及口碑良好的中心化平台体验好,只要不是因为自身原因导致的被盗币(比如账号相关权限被盗),这些平台也会兜底赔付。至于 MPC 为主的 Keyless 方案是我觉得很有前景且应该尽快普及的我用过不错的如ZenGo、Fireblocks、Safeheron。优势很明显我这简单提几点 对我来说Keyless 的几种方式我都有使用。实力雄厚及口碑良好的中心化平台体验好,只要不是因为自身原因导致的被盗币(比如账号相关权限被盗),这些平台也会兜底赔付。至于 MPC 为主的 Keyless 方案是我觉得很有前景且应该尽快普及的我用过不错的如ZenGo、Fireblocks、Safeheron。优势很明显我这简单提几点
@ -238,7 +239,7 @@ Keyless顾名思义是无私钥的意思。在这我们把 Keyless 分为两
* Device * Device
* Brain * Brain
**Cloud**,许多人谈云备份色变,似乎黑客真的就上天入地,来无影去无踪的。其实攻防对抗永远都是成本对抗,看谁投入的大,无论是人才还是钱。对于我来说,我会比较信任 Google、Apple、微软等提供的相关云端服务因为我知道他们的安全团队是如何实力安全投入是如何之大。但除了对抗外部黑客入侵我还很关心内部安全风控的能力及隐私数据保护有关的约束力。我比较信任的几个都算是把这些我在意的安全风险规避得不错的。但凡绝无绝对。如果我选择这些云来备份我非常重要的数据(如钱包),我一定还会给钱包再做至少一次加密的。 **Cloud**,许多人谈云备份色变,似乎黑客真的就上天入地,来无影去无踪的。其实攻防对抗永远都是成本对抗,看谁投入的大,无论是人才还是钱。对于我来说,我会比较信任 Google、Apple、微软等提供的相关云端服务因为我知道他们的安全团队是如何实力安全投入是如何之大。但除了对抗外部黑客入侵我还很关心内部安全风控的能力及隐私数据保护有关的约束力。我比较信任的几个都算是把这些我在意的安全风险规避得不错的。但凡绝无绝对。如果我选择这些云来备份我非常重要的数据(如钱包),我一定还会给钱包再做至少一次加密的。
我强烈推荐掌握 GPG除了前面提到的“签名验证”用途之外加解密方面安全性也足够强了。关于 GPG 这块的入门可以参考: 我强烈推荐掌握 GPG除了前面提到的“签名验证”用途之外加解密方面安全性也足够强了。关于 GPG 这块的入门可以参考:
@ -277,7 +278,7 @@ Keyless顾名思义是无私钥的意思。在这我们把 Keyless 分为两
在 isBlackListed 输入目标钱包地址即可判断。USDT 所在的其他链大体同理(别较真)。 在 isBlackListed 输入目标钱包地址即可判断。USDT 所在的其他链大体同理(别较真)。
但你的比特币、以太坊是不会出现链上冻结情况的也许未来出现了这个情况那这点本来非常坚定的去中心化信仰可能也就没了。我们现在经常听到的加密货币冻结实际上绝大多数并不是发生在链上的而是发生在中心化平台里如中心化交易所Binance、Coinbase 等)。你的加密货币在这些中心化平台里,意味着你并不是真正意义上持有这些加密货币,中心化平台冻结的其实是你的账号,尤其是你的交易、提币权限。冻结这个概念其实很容易对圈外人造成解,于是出现一些很烂的自媒体胡乱解读及散播比特币的各种阴谋论。 但你的比特币、以太坊是不会出现链上冻结情况的也许未来出现了这个情况那这点本来非常坚定的去中心化信仰可能也就没了。我们现在经常听到的加密货币冻结实际上绝大多数并不是发生在链上的而是发生在中心化平台里如中心化交易所Binance、Coinbase 等)。你的加密货币在这些中心化平台里,意味着你并不是真正意义上持有这些加密货币,中心化平台冻结的其实是你的账号,尤其是你的交易、提币权限。冻结这个概念其实很容易对圈外人造成解,于是出现一些很烂的自媒体胡乱解读及散播比特币的各种阴谋论。
虽然你的比特币、以太坊等不会在链上被冻结,但如果你的这些加密货币本身就涉及到相关执法单位在处理的案件,一旦你的加密货币转移进中心化平台,这些中心化平台就有可能因为 AML 等要求将你的加密货币冻结。 虽然你的比特币、以太坊等不会在链上被冻结,但如果你的这些加密货币本身就涉及到相关执法单位在处理的案件,一旦你的加密货币转移进中心化平台,这些中心化平台就有可能因为 AML 等要求将你的加密货币冻结。
@ -678,7 +679,7 @@ Windows 10(及以上版本) 和 macOS 的安全性都挺让人满意了,你选
### 网络 ### 网络
网络方面的安全问题曾经是烂透了,这几年逐步好起来了,尤其是 HTTPS Everywhere 策略普及了后。如果真的发生了网络劫持(中间人攻击),那么系统会有相应的错误反馈。但凡都有例外,所以网络方面,能有安全的选择当然选择安全的。比如不乱连陌生 Wi-Fi尤其是 4G/5G 这种安全性高的网络如此普及的情况下,除非信号不好,着急使用。 网络方面的安全问题曾经是烂透了,这几年逐步好起来了,尤其是 HTTPS Everywhere 策略普及了后。如果真的发生了网络劫持(中间人攻击),那么系统会有相应的错误反馈。但凡都有例外,所以网络方面,能有安全的选择当然选择安全的。比如不乱连陌生 Wi-Fi尤其是 4G/5G 这种安全性高的网络如此普及的情况下,除非信号不好,着急使用。
如果你很有安全洁癖,你非常重要敏感的设备是可以考虑独立网络的。选择口碑好的路由器、运营商,切勿贪图小便宜,并祈祷路由器、运营商层面不会有高级作恶行为出现。 如果你很有安全洁癖,你非常重要敏感的设备是可以考虑独立网络的。选择口碑好的路由器、运营商,切勿贪图小便宜,并祈祷路由器、运营商层面不会有高级作恶行为出现。
@ -1066,6 +1067,7 @@ Trezor https://trezor.io/
Rabby https://rabby.io/ Rabby https://rabby.io/
EdgeWallet https://edge.app/ EdgeWallet https://edge.app/
MyEtherWallet https://www.myetherwallet.com/ MyEtherWallet https://www.myetherwallet.com/
Phantom https://phantom.app/
Tornado Cash https://tornado.cash/ Tornado Cash https://tornado.cash/
Binance https://www.binance.com/ Binance https://www.binance.com/
Coinbase https://coinbase.com Coinbase https://coinbase.com