余弦：区块链黑暗森林自助手册

原文链接：

前言

区块链是一项伟大的发明，它带来了一些生产关系的变化，让“信任”这个宝贵的东西得到了部分解决。然而，现实是残酷的usb区块化，人们对区块链的理解存在诸多误解。这些误会导致坏人很容易钻空子，频频将黑手伸入人们的钱包，造成大量资金损失。这已经是一片黑暗的森林了。

基于此，慢雾科技创始人余弦输出区块链黑暗森林自助手册。

本手册（当前的 V1 Beta）大约有 37,000 字。限于篇幅，这里只列出手册中的关键目录结构，也是一种指南。完整内容可见：

我们选择 GitHub 平台作为本手册的主要发布位置是因为：方便协作，查看历史更新记录。你可以 Watch、Fork 和 Star，当然我们希望你能做出贡献。

好了，介绍开始……

简介

如果你持有加密货币或者对这个世界感兴趣，那么你未来可能会持有加密货币，那么这本手册值得你反复阅读和认真练习。阅读本手册需要一定的知识背景。希望初学者不用害怕这些知识障碍，因为很多都是可以“玩”的。

在区块链的黑暗森林世界中，首先要牢记以下两条安全法则：

零信任：简单地说，保持怀疑，永远保持怀疑。

不断验证：如果你想相信，你必须有能力验证你的怀疑，并让它成为一种习惯。

关键内容

一、创建钱包

1.找到正确的官网

一个。谷歌

b.业内知名，如CoinMarketCap

c。询问更多值得信赖的人

< @2.下载并安装应用程序

一个。 PC钱包：建议检查是否被篡改（文件一致性检查）

b.浏览器扩展钱包：备注目标扩展下载页面的用户数和评分

c。手机钱包：判断方法类似于扩展钱包

d。硬件钱包：在官网来源指导下购买，注意是否有被篡改的情况

e。网络钱包：不建议使用这种网络钱包

创建钱包时，助记词的外观非常敏感，请注意周围没有可能导致偷窥的人，相机等。同时注意助记词出现的是否足够随机

1.无钥匙两种场景（这里区分是为了方便解释）

一个。托管，即托管方式。例如，在中心化交易所和钱包中usb区块化，用户只需要注册一个账户，并不拥有私钥。安全性完全依赖于这些集中式平台。

b. Non-Custodial，即非托管方式。用户只有类似私钥的权力，但不是直接加密货币私钥（或助记词）

<@2.基于MPC的Keyless方案的优缺点

二、备用钱包

1.明文：主要是12个英文单词

<@2.With password: mnemonic with password 之后，你会得到一个不同的种子。该种子用于派生一系列私钥、公钥和对应的地址。

3.多签：可以理解为目标资金需要多签授权才可以使用，多签非常灵活，可以设置审批策略。

4.Shamir的秘密分享：Shamir的秘密分享方案，作用是将种子分成多个分片，恢复钱包时，需要恢复指定数量的分片

1.多重备份

一个。 Cloud：Google/Apple/Microsoft，结合GPG/1Password等

b.纸：将助记词（纯文本、SSS等）复制到纸卡上

c。设备：电脑/iPad/iPhone/移动硬盘/U盘等

d。大脑：注意大脑记忆风险（记忆/事故）

<@2.加密

一个。一定要定期不定期验证

p>

b.部分验证也是可能的

c。注意验证过程的保密性和安全性

三、使用钱包

1.冻结在链上

<@2.选择知名平台、个人等作为交易对手

1.如何使用冷钱包

一个。接收加密货币：配合观察钱包，如imToken、Trust Wallet等。

b.发送加密货币：二维码/USB/蓝牙

<@ 2.冷钱包风险点

一个。你所看到的就是你签署的这个用户交互安全机制是缺失的

b.用户相关知识背景缺失

1.与 DApp（DeFi、NFT、GameFi 等）交互

<@2.恶意代码或后门方法

一个。钱包运行时，恶意代码会将相关助记词直接打包上传到黑客控制的服务器上。

b.钱包运行时，用户发起转账时，钱包后台偷偷替换目标地址和金额等信息。这时候用户很难注意到

c。销毁助记词生成相关的随机数熵值，使这些助记词更容易破解

1.智能合约安全

一个。权限过多：增加时间锁（Timelock）/多签admin等

b.逐步学习阅读安全审计报告

<@2.区块链基础安全：共识账本安全/虚拟机安全等

3.前端安全

一个。内恶：前端页面中的目标智能合约地址被替换/植入授权钓鱼脚本

b.第三方作恶：供应链作恶/前端页面引入的第三方远程 JavaScript 文件作恶或被黑

4.通讯安全