刘教链
BTC(比特币)在隔夜强势反弹,硬生生将高开低走逆转为连续上涨,并且一鼓作气重新站上了7万美元的高点。多头表现出色,这段时间的战线打得非常出色!受到这种精神的推动,加密市场全面上涨,UNI(Uniswap)也趁势大举反弹,一度涨超过10%,接近12美元的水平。
昨天的6月4日内参提到了一个令人悲伤、令人警醒的消息:某网友把高达100万美元(约700多万人民币)的加密资产放在某交易平台上,不幸被黑客窃取了登录凭证,远程进入账户将其洗劫一空。令人警醒的是,这个案例中出现了凭证盗用、交易行为异常等在传统互联网中司空见惯的安全措施,但在区块链世界的头部平台入侵检测系统居然没发现任何异常。
傻傻的小白,你还相信那些交易所大佬说的,认为把币放在交易所中心化托管比自己保管更安全吗?
安全公司的分析指出,除了指出该网友自己电脑浏览器安装了恶意插件,导致黑客盗取了登录凭证之外,还写了一大堆普通人根本不可能看懂的有关Chrome插件的技术名词和解释。把普通用户培养成互联网安全专家是不可能的事情。从这个角度来看,区块链安全问题永远无法得到解决。
而且这样的故事只讲了一半,会产生一个误导,即这样的安全事故责任全部都在该用户身上。
错!
教链认为应该明确一个web3资产管理的基本原则:谁实际控制资产,谁就负有更大甚至全部的安全义务和责任。
这才符合人类社会最基本的“权力-责任”对等原则。
从这个原则出发,我们才能理解为什么支付宝要实施那么多用户端的安全措施,为什么银行要关心用户汇款和防范电信诈骗。如果抛弃这个原则,支付宝或银行就可以说,用户自己上当受骗,与我何干?
由于区块链资产的超主权性质,使得承担这一份安全义务和责任的成本极高,往往成为中心化平台难以承受的重担。因此,区块链的基本思想之一就是让每个人自己保管私钥,自己控制资产。各负其责,分担了责任和义务,也分散了成本,这才使得区块链变得可行。
现在的加密世界,就像刘慈欣的《三体》里描述的“黑暗森林”,到处都充满了不可知的危险。涉足其中的小白们,稍有不慎,就会被潜伏在黑暗中的“猎人”一枪毙命。
本文中,教链提出了一个区块链安全的“猜疑链”模型(这个名词也来自《三体》),来告诉大家如何简单识别区块链的安全风险,以“苟全性命于乱世”。
「凡是有可能会出错的地方,迟早一定会出错!」——墨菲定律
教链提出的这个区块链安全猜疑链,将从你到你的资产之间的每个环节整理成一个链条。根据墨菲定律,链条中的每个环节的安全性都值得怀疑,因此链条越长,猜疑链的整体安全性就越低。
就像计算物理定律需要确定参照系一样,要评估猜疑链的安全性,也要先建立区块链安全的参照系。这个参照系就是最短的猜疑链:自己用私钥保管比特币(具体操作方法已在之前的文章中介绍过)。
自己用私钥保管比特币的最短猜疑链可以用下面这样的图示来表示:
我——生成器(离线)——私钥(纸)——比特币区块链——BTC
或者如果是脑钱包的话,图示如下:
我(私钥口令)——编码器(离线)——比特币区块链——BTC
有了这两个最短猜疑链模型作为参照,我们就可以评估其他任何web3安全的猜疑链模型的安全风险了:
1. 如果猜疑链的环节增多,安全性就会下降,风险就会增加。
2. 对于一个具体的环节,安全性的比较顺序一般是:非电子介质 > 电子设备,离线 > 在线,无需信任第三方 > 需要信任第三方,等等。
「我们需要的是一个基于密码学证明而非信任的电子支付系统,……而无需一个受信任的第三方。」——中本聪,《比特币白皮书》
以某交易平台作为对比,将资产(以比特币为例)放在中心化交易平台上:
我——电脑(-)——浏览器(-)——交易平台(-)——比特币区块链——BTC
(-)表示扣分项。电脑是电子设备,扣分。浏览器访问交易平台是联网在线的,扣分。交易平台控制比特币,这意味着你需要信任它作为第三方,扣分。
在这个案例中,被盗百万美元的安全事故正是出在“浏览器”和“交易平台”这两个安全性降低、猜疑度升高的环节。浏览器被恶意插件入侵,交易平台未能监测到异常状态和行为。两者结合导致了悲剧的发生。
还可以举几个例子来展示猜疑链的用法:
使用联网的手机App软件钱包(非托管式)保管比特币:
我——手机(-)——应用商店、下载网站(-)——助记词备份(纸)——App(-)——比特币区块链——BTC
联网手机是扣分项。苹果手机的安全性 > 安卓手机。App是扣分项。开源、经过验证的App > 新的、未知的App。非官方下载的、他人发送的安装包,直接红色警报!如果你有这种坏习惯,被盗币破产只是时间问题。
使用助记词保管USDT:
我——生成器(离线)——私钥(纸)——某USDT所在的区块链——USDT——Tether公司——银行——美元、其他储备资产——美债
惊不惊喜,意不意外?USDT不是真正的底层资产,继续追溯下去,猜疑链还没结束!如果你认为私钥备份就万事大吉,那你就大错特错了。
从这个模型开始,包括后面更复杂、更长的猜疑链,就不再标记扣分项了,因为到处都是扣分项,安全风险无处不在,几乎漏成了筛子。哈哈~
使用Metamask插件钱包,持有以太坊上的Wrapped BTC(WBTC):
我——浏览器——插件商店——助记词备份(纸)——Metamask——以太坊区块链——WBTC——托管公司(多家)——比特币区块链——BTC
使用Ledger硬件钱包+Metamask,持有放在lido里质押生息的以太坊(ETH):
我——助记词备份(纸)——Ledger硬件钱包——浏览器——插件商店——Metamask(无私钥)——lido质押网站——以太坊区块链——stETH——lido托管网络——ETH
如此种种。相信各位读者应该很容易理解和掌握这种思维方法。
区块链最重要的三个事情是什么?第一是安全,第二是安全,第三还是安全。
小心驶得万年船。
希望教链的这种猜疑链思维方法能够帮到各位读者,真正提高安全意识,少踩坑,不迷路!
(公众号:刘教链。知识星球:公众号回复“星球”)
(免责声明:本文内容不构成任何投资建议。加密货币属于高风险资产,存在随时归零的风险,请谨慎参与,自行负责。)
标签
Uniswap
刘教链
投资心得
比特币
随笔
来源链接:
https://mp.weixin.qq.com/s/dzubbPwlq-O7hgm5olqSqw
说明:比推所有文章只代表作者观点,不构成投资建议
原文链接:https://www.bitpush.news/articles/6845895
相关新闻
【比推每日市场动态】比特币上探7.1万美元,宏观数据仍将左右市场情绪
以太坊铭文(Ethscriptions):一周年回顾与未来展望
Bankless:比特币能否突破历史新高?
大小区块之争永不止息
一文了解比特币 OP_CAT:中本聪曾删除为什么要恢复