文章来源:SophonLabs
原文标题:《加密投资者必备Opsec指南》
在这篇文章中,我们将讨论如何修改日常在线的操作细节以提高opsec。在深入研究之前,请考虑一开始可能会让人不知所措。您不必立即采用最佳网络安全实践。这个想法是列出不同的选项,并鼓励您采取一些小步骤,这将有助于逐步改进您通常的在线和链上活动。
如果加密资产被黑客入侵过,那么你很可能以前从未费心考虑过opsec。大家可能认为自己是完全安全的,因为您按照大多数人的建议使用硬件钱包。但是你有没有仔细检查过你的在线例行程序?你有没有发现过当前系统中的缺陷?
因为这些问题的答案很可能是「否」,所以我想展示如何安全地处理每个加密投资者必须定期处理的3个不同领域:钱包、密码和电子邮件。
钱包
由于钱包持有访问用户资金的密钥,因此它是应该保护的第一个区域。最终,任何最终导致被盗资金的黑客攻击都设法通过访问用户的私钥来实现。
如果您正在阅读本文,您可能已经听到了「不是您的钥匙,不是您的硬币」这句名言的次数,次数数不清。因此,我将假设您可以控制您的私钥,在本文中,我不会考虑由第三方保护的钱包。
那么,用户在以自我托管的方式保护他们的资金时有哪些选择?
软件钱包
第一级安全在于所谓的「热钱包」。软件钱包始终连接到互联网,因此是最方便和易于管理的。这种类型的钱包允许用户持有他们的私钥,释放抗审查资产的全部潜力。然而,这些类型的钱包具有如此便利性的缺点是以牺牲安全性为代价的,因为如果持有钱包的设备被黑客入侵,攻击者可以轻松访问其私钥并窃取钱包的资金。
天桥资本内部人士指责Brett Messing的加密投资决策失误让该基金陷入困境:金色财经报道,据彭博社发文称,天桥资本(SkyBridge Capital)几个内部人士透露,总裁兼合伙人Brett Messing也要为该公司的几次失误负责。Brett Messing曾说服Anthony Scaramucci在加密货币上进行了一项灾难性的投资,让他的对冲基金损失了数千万美元。
内部人士称早就对Messing在华尔街的声誉表示担忧,因为其曾于2021年违反卖空规则被SEC罚款170万美元。2020年,Messing是SkyBridge决定亏本出售其部分最大仓位的推动力。该决定遭到投资团队的反击,结果证明这是灾难性的,因为头寸最后反弹。2020年底,Messing带领SkyBridge投资加密货币。该公司开始大量购买比特币,其价格自当年3月以来飙升了近三倍。随着数字资产暴跌,该公司的主要投资基金也暴跌。在一次会议上,员工大声抱怨SkyBridge在加密货币上押下重注,违背了公司的内部风险准则。[2023/4/7 13:50:17]
如果您想坚持使用此选项,您应该将资金分散在不同的钱包之间,以最大程度地减少潜在漏洞的影响。
记住:你不想把所有的鸡蛋放在一个篮子里。
硬件钱包
第二级安全属于冷钱包。这些类型的钱包允许用户将私钥存储在离线设备中。使用这些设备可确保除非攻击者设法物理获取设备或恢复阶段,否则他们将无法获取私钥。
尽管冷钱包更安全,因为它们还迫使用户在签署交易时拥有硬件设备,但与热钱包相比,它们不太方便。
最常见的硬件钱包是由Ledger,Trezor和Grid+制造的钱包。尽管冷钱包已经具有更高的安全性,但通过将资金分散在不同品牌的钱包之间来最小化风险并不是一个坏主意。通过这样做,您将在这些公司之一受到损害的不太可能的情况下受到保护。
研究:三星在加密投资领域最活跃、谷歌母公司Alphabet单笔金额最大:9月19日消息,根据研究公司Blockdata对2021年9月至2022年6月中旬期间40家顶级公司对区块链和加密初创公司的投资的分析,韩国电子巨头三星是最活跃的,投资了13家公司。投资了7家公司的大华银行紧随其后,紧随其后的是两家美国金融服务巨头花旗集团(6家)和高盛(5家)。
其中,谷歌的母公司Alphabet在参与最大融资轮次的顶级公司中排名第一,最高轮次参与了近15.1亿美元的融资。(Bitcoin.com)[2022/9/19 7:06:11]
注意:您还应该考虑到为潜在的钱包恢复过程做好准备很重要。如果您最终无法访问持有私钥的设备,您需要确保拥有私钥的备份并知道如何恢复钱包。Grid+的一个很酷的功能是能够使用SafeCards,这是受密码保护的私钥备份。
智能合约钱包
顾名思义,智能合约钱包是一种由智能合约而不是私钥管理的钱包。此功能由于其灵活性,使这些类型的钱包最安全。使用自定义逻辑的能力增加了额外的验证层,甚至可以添加每日传输限制等约束。最重要的是,他们还有帐户恢复机制。
在所有提到的功能中,最有趣的是多重签名交易。这些属性需要多个钱包的签名才能确认任何交易。如果您决定使用智能合约钱包,您应该设置一个NofM多重签名,其中包含N>1。这些配置将确保始终需要至少2个签名来签署交易,从而最大限度地降低利用风险并确保不会因单点故障而成功攻击。
尽管智能合约钱包在签署交易时需要付出更多的努力,但它们在帐户恢复方面也非常方便。具有N<M的NofM多重签名设置允许仍然可以访问钱包资金,即使无法访问其中一个私钥。
韩国加密投资机构Hashed本月将推出第二只1.7亿美元基金:9月7日消息,韩国加密投资机构Hashed本月将推出第二只区块链基金,计划筹集逾2000亿韩元(1.73亿美元)。Hashed在去年12月推出了首只1.2亿美元的区块链基金,得到了韩国IT巨头Naver和Kakao的支持。据Naver财报,该公司为那只基金至少投入了140亿韩元(逾1200万美元),并称Hashed在区块链领域拥有最多经验。Hashed对每家公司的投资通常在100-1000万美元之间。该公司参与了Axie Infinity制作公司Sky Mavis 2019年的种子轮融资,并于今年5月与亿万富翁Mark Cuban一起参与了Sky Mavis的750万美元融资。Hashed也向印度游戏流媒体平台Loco投资了250万美元。Hashed创始人Simon Seojoon Kim是一名早期ETH投资者,其财富主要来源于此,他目前仍持有大量ETH。(彭博社)[2021/9/7 23:05:18]
EOA和智能合约钱包之间的比较。
例如,一个强大的设置是使用GnosisSafe,它需要来自以下2种钱包的4个签名:
个人1:计算机中的软件钱包,仅用于与加密相关的东西。
个人2:存放在家中的硬件钱包,因此易于访问。
备份1:由受信任的人保护的第二个硬件钱包。
本月加密投资产品的资产管理规模下降9.5%:金色财经报道,受加密市场崩盘影响,本月加密货币投资产品管理的总资产下降了9.5%至405亿美元。据CryptoCompare数据,自5月份以来,所有主要加密货币投资产品的平均每周资产流入量下降了215%,记录了8600万美元的流出量。值得注意的是,加密货币交易所交易基金(ETF)管理的资产净增加了8.5%至18亿美元。以比特币为基础的加密投资产品管理的资产减少了6.4%至291亿美元,这意味着其目前占总资产管理规模的71.9%,高于上月的69.5%。以以太坊为基础的加密投资产品管理资产下降了15.2%至95亿美元,目前占总资产管理规模的23.4%。在所有ETF中,3iQ CoinShares比特币ETF的资产管理规模最高,为7.52亿美元,其次是Purpose比特币ETF,为7.15亿美元。尽管总资产管理规模减少了不到10%,但本月的日均交易量目前为4.944亿美元,与5月相比下降了63.1%。[2021/6/24 0:04:12]
备份2:由另一个信任的人保护的纸质助记词。
尽管可以使用如上所述的非常强大的钱包配置,但是最终仍然可以采取一些措施进一步提高其安全性。例如还可以用不易损坏的东西代替纸钱包,例如CryptoSteel钱包。还可以设置地址白名单,每日交易限额,甚至转移资金时的冻结时间。
关于钱包的最终想法
上述的每种钱包类型都提供不同级别的安全性,但重要的是要了解它们也具有不同级别的便利性和易用性。正因为如此,即使您在安全阶梯上向上移动,组合不同的选项也是有意义的。
密码
大多数加密投资者将他们的安全措施限制在钱包中,但忘记了黑客可以通过访问他们的帐户窃取财产。所以也应该防止帐户被黑客入侵?
声音 | 外媒:澳大利亚税法使得加密投资者需要为2万美元的资产缴纳10万美元:据ambcrypto报道,澳大利亚税务局长Adrian Forza表示,根据该国加密税法规定,目前加密持有者正在为其虚拟资产支付大量税款。其中一位加密资产持有者在2018年1月申报25万美元的加密资产,这是海外公司支付的工资,目前价值为2万美元,但却需要纳税10万美元。因为根据澳大利亚税务局(ATO)的规定,虚拟资产的价值是按照收到虚拟资产时计算缴纳的。[2019/6/24]
密码安全
密码「熵」或随机性是衡量密码不可预测程度的指标。此度量基于使用的字符以及长度。密码熵预测通过猜测、暴力破解或其他常见方法破解给定密码的难度。
由于缺乏随机性,弱密码存在缺陷。例如,您是否曾经在密码中使用过亲戚或宠物的名字?也许是一个特殊的日子?不是很随机,是吗?请记住,如果黑客可以访问个人的私人信息,那么就可以轻松破解非随机生成的密码。
尽管字符的类型增加了密码的熵,但影响最大的变量是长度。因此,您应该摆脱旧的密码标准,并开始优先考虑长度而不是特殊字符。总之,您应该摆脱人类难以记住但易于破解的密码,并开始采用难以破解的易于记忆的密码。
如果你想像图片中的那个人一样,我建议使用diceware来创建强大的随机密码。通过这样做,您只需要记住几个单词,这些单词将产生高熵和安全密码。最重要的是,您可以定期添加额外的单词,因为您确定您已经内化了当前的单词。
系统稳健性
系统的整体安全性由其最薄弱的组件决定。因此,在构建安全系统时应考虑一个关键原则:分区化。
如果一个系统是用彼此隔离的组件构建的,那么该系统将更能抵抗外部攻击。即使某个组件遭到入侵,攻击者也无法访问其他组件。
因此,重要的是要关注所有帐户的安全性,并为每个帐户设置不同的密码。请注密码派生不算作独立密码。
如何处理每个帐户的完全随机凭据??通过使用密码管理器。
密码管理器生成随机、强且唯一的密码,这些密码存储在保管库中,并使用一个主密码进行加密。它们确保高安全性,用户只需记住一个强密码即可访问其所有凭据。
第三方密码管理器
第三方密码管理器是用户友好的,并提供多设备同步等功能和具有密码自动填充等功能的漂亮用户界面。它们中的大多数是免费增值,付费可以获得更高级的功能。
值得一提的一个关键区别是,虽然LastPass和1Password是闭源的,但Bitwarden是开源的。正因为如此,信任任何人都可以审核其代码的公开可用软件总是更容易。
请注意,Bitwarden可以自托管在您自己的服务器上,让您完全控制数据及其存储位置。但是自托管需要技术专业知识和服务器资源,并且可能并不适合所有人。
本地密码管理器
KeePass,KeePassXC和其他KeePass分支是免费的开源软件,自2000年代初以来一直存在活跃的开发社区。
第三方密码管理器和本地密码管理器之间的主要区别在于数据的存储位置。第三方软件将数据存储在云服务器上,而KeePass等本地密码管理器则在本地进行。
尽管第三方管理器确保数据在云中同步之前已完全加密,但此方法不如在本地严格存储信息安全。最重要的是,有些人可能会争辩说,尽管拥有安全专家团队,但这些公司是黑客的蜜罐,更有可能受到攻击。
另一个重要的区别是,本地密码管理器比第三方密码管理器更简单,用户体验更差。要添加额外功能并改进用户体验,必须安装第三方插件。尽管此功能使其高度可定制,但它也需要更高的技术知识。
额外提示:如果可能,应该始终在所有帐户中启用2FA。处理2FA时,切勿使用SMS,因为攻击者可能会获得SIM卡的副本或者通过伪基站拦截到短信验证码。最好使用Authy等应用程序或YubiKey等硬件设备。
电子邮件
密码是解锁帐户的密钥,但电子邮件最终将您的真实身份与您的在线活动联系起来。可以将电子邮件视为第二个密码。如果攻击者无法找出您的电子邮件,他们就无法访问您。
电子邮件提供商
处理电子邮件时,应该担心的第一件事是决定使用哪个电子邮件提供商。电子邮件提供商实现电子邮件服务器以代表其用户发送、接收、接受和存储电子邮件。
我建议使用Protonmail,一个专注于隐私的开源电子邮件服务提供商。由于该公司总部位于瑞士,因此他们不必遵守欧盟/美国法律,并且可以实施端到端加密。E2EE是一种通信系统,可防止第三方访问传输的数据。它能够通过使用接收方的公钥加密消息来做到这一点。此机制可确保只有接收方才能读取消息的内容。
Protonmail的E2EE如何工作的图表。
最重要的是,Protonmail是开源的邮件服务。拥有整洁的UI界面并且提供慷慨的免费套餐服务。
如前所述,区隔化在系统的稳健性中起着关键作用。正因为如此,前面描述的相同原则也适用于这里。为了最大程度地减少漏洞利用的影响,理想情况下,您应该为每个帐户提供单独的电子邮件。
由于为每个帐户创建全新的电子邮件可能既耗时又难以处理,因此您应该考虑以下几种选择:
聚合
帐户集群聚合旨在帮助在为每种目的创建新帐户的负担与对所有用途重复使用同一帐户的负担之间找到最佳平衡点。它的主要原则包括将在线生活中的不同活动彼此隔离开来。如果您的某个帐户被泄露或泄露,我不会影响在线生活的其他领域。
别名混淆
电子邮件别名是一种特殊类型的地址,可将发送给他们的所有电子邮件转发给您的主帐户。
尽管电子邮件别名无法完全阻止网络钓鱼攻击,但它们充当代理,因此增加了额外的安全层。使用电子邮件别名可以让您对泄露的信息产生代理权,并保护您的主电子邮件地址免受第三方侵害。这对于防止数据泄露以及收集和/或出售您的数据的公司特别方便。
SimpleLogin或AnonAddy等服务是出色的开源别名工具,可轻松帮助您停用受损或丢失的别名。它们还提供子域等附加功能,甚至允许多个主电子邮件。最重要的是,SimpleLogon最近被注重隐私的Swish公司Proton收购,这成为了他们是伟大产品的保证。
尽管强密码可以保护您免受暴力破解攻击,但它们不会保护您免受钓鱼。别名提供的一个被低估的功能是,它们不仅可以减少垃圾邮件,还可以帮助您识别不应在给定帐户中接收的可疑电子邮件。
假设您收到一封电子邮件,希望您单击链接以重新安排无法在您的位置交付的订单,但目标地址是您的新闻通讯别名帐户。如果这种情况即将发生,您可以确定该链接是恶意的。
提示:广告拦截器也是防止浏览时恶意攻击的好工具。uBlockOrigin和AdBlockPlus是免费的,强大的开源项目。
最后
安全性和便利性之间通常存在负相关关系。最终,只有您始终坚持最佳实践,系统才会安全,因此最好慢慢爬上安全阶梯并慢慢养成新习惯。这篇文章的目的是解释不同的选择,并鼓励你找到你的个人甜蜜点。
我只是想让你考虑到,随着你的投资组合的增长,更多的资金面临风险,你应该确保更强大的opsec。如果您以前从未采取过任何措施,那么突然实施重大更改可能会非常具有挑战性,因此最好从一开始就考虑所讨论的原则。
在生活中,有些教训值得从别人的经历中学习。在我个人看来,因为你有糟糕的opsec实践而遭受漏洞利用并不是你想直接学习的教训。正因为如此,每个加密投资者,以及任何关心隐私的人,都应该能够通过使用他们的密码管理器来控制他们的数字痕迹。
撰文:Salazar.eth编译:0x11,ForesightNews我们都知道zkEVM是什么,但它是如何与以太坊基础层交互的呢?这是一个对初学者友好的zkEVM工作流程.
1900/1/1 0:00:00原文标题:《PureplayOn-ChainGames》原文作者:IDTheory首席投资官JamesBrodie原文编译:比得潘@BlockBeats随着区块链技术日趋成熟.
1900/1/1 0:00:00文章作者:LiJin、MasonNystrom、TinaDai自5个月前公开发布以来,Blur已经成为了行业的顶级NFT市场和交易平台,在2023年2月空投之前.
1900/1/1 0:00:00文/?WilliamM.Peaster,Bankless作者;译/金色财经xiaozou2023年2月28日,MetaMask宣布MetaMask?SDK入驻Unity资产商店.
1900/1/1 0:00:00作者:JackyLiang编译:DeFi之道Wendy自OpenAI发布ChatGPT以来,已经过去几个月的时间了.
1900/1/1 0:00:00原文作者:X,DeFi研究员原文编译:Leo,Blockbeats近期市场热度又转向了LSD赛道,LDO、FXS、RPL为主的token纷纷上涨.
1900/1/1 0:00:00