随着区块链生态的发展,加密资产经济迎来了爆发式的增长,据统计,加密货币市值已超1.66万亿美元,毫无疑问,加密资产已经逐渐在人们日常投资活动中占据了重要的一席之地。
作为一种具有内在价值的资产,加密资产具有不可逆、难溯源等特点,这让黑客有了强烈的作案动机。据慢雾区块链被黑档案库(hacked.slowmist.io)统计,光是2021上半年全球加密资产损失就超17亿美元,这些损失大部分来自交易所、钱包服务或相关企业,少部分来自于个人用户。基于此,慢雾科技在原有十二大服务的基础上,正式上线加密资产安全解决方案,为用户提供持续的、全方位的资产保障。
加密资产安全解决方案
线上热资产安全解决方案
线上热资产主要是指加密货币私钥放置在线上服务器中对应的资产,需要频繁使用来进行签名交易等,如交易所的热、温钱包等都属于线上热资产。这类资产由于放置在线上服务器中,被黑客攻击的可能性大大增加,是需要重点防护的资产。由于私钥的重要性,提高安全存储等级(如硬件加密芯片保护)、去除单点风险等都是防范攻击的重要手段。慢雾推荐以“协同存管方案”和“私钥/助记词安全配置方案”两个方向来提升线上热资产的安全性。
协同存管方案此方案旨在解决线上私钥的单点存储及使用的风险。在以前的方案中,解决私钥单点问题主要通过使用多签,而随着区块链的快速发展,链的种类越来越多,传统的多签(如比特币的多签及以太坊的智能合约多签等)无法适用于所有链的多签方式,导致为了不同的链需要开发不同的多签方案,安全流程极其繁琐和不可控;尤其是线上的热资产本身的场景就需要适应多种链及币种,如交易所、量化等场景。能兼容所有区块链及币种的通用多签方案是最好的方式,而目前最成熟的解决方案是MPC(安全多方计算)。
慢雾:Moonbirds的Nesting Contract相关漏洞在特定场景下才能产生危害:据慢雾区情报反馈,Moonbirds 发布安全公告,Nesting Contract 存在安全问题。当用户在 OpenSea 或者 LooksRare等NFT交易市场进行挂单售卖时。卖家不能仅通过执行 nesting(筑巢) 来禁止NFT售卖,而是要在交易市场中下架相关的 NFT 售卖订单。否则在某个特定场景下买家将会绕过 Moonbirds 在nesting(筑巢)时不能交易的限制。慢雾安全团队经过研究发现该漏洞需要在特定场景才能产生危害属于低风险。建议 Moonbirds 用户自行排查已 nesting(筑巢)的 NFT 是否还在 NTF 市场中上架,如果已上架要及时进行下架。更多的漏洞细节请等待 Moonbirds 官方的披露。[2022/5/30 3:50:23]
私钥/助记词安全配置方案
在无法使用MPC方案的情况下,如一些小型的加密货币服务、或项目已经成熟变更周期长时,可以针对已有的私钥、助记词等存储及使用进行加强处理。
详情:
https://github.com/slowmist/cryptocurrency-security/blob/main/Online-Hot-Asset-Security-Solution.md
冷资产安全解决方案
加密世界的冷资产主要是指不会经常进行交易的大额资产,并且私钥保存在断网隔离的状态下。理论上来讲冷资产越"冷"越好,即私钥保证永不触网,并且尽量少的交易,尽量避免暴露地址信息等。安全上的方案建议一方面是私钥存储的安全性,做到尽可能的"冷";另一方面是使用上的管理流程,尽可能避免私钥泄漏、不在预期内的转账或其它未知的行为。
慢雾简析Qubit被盗原因:对白名单代币进行转账操作时未对其是否是0地址再次进行检查:据慢雾区情报,2022 年 01 月 28 日,Qubit 项目的 QBridge 遭受攻击损失约 8000 万美金。慢雾安全团队进行分析后表示,本次攻击的主要原因在于在充值普通代币与 native 代币分开实现的情况下,在对白名单内的代币进行转账操作时未对其是否是 0 地址再次进行检查,导致本该通过 native 充值函数进行充值的操作却能顺利走通普通代币充值逻辑。慢雾安全团队建议在对充值代币进行白名单检查后仍需对充值的是否为 native 代币进行检查。[2022/1/28 9:19:19]
冷钱包使用推荐方案
当前冷钱包大体上分为硬件钱包和App冷钱包两类。硬件钱包即使用单独的硬件来存储私钥,通过蓝牙或有线与App、网页等连接来实现签名数据的传输。冷钱包是指手机在断网的情况下使用钱包,并且进行离线签名的场景。
冷资产管理流程解决方案
由于冷资产的价值相对较大,属于黑客重点攻击的对象,金钱的诱惑也容易催生出内部作案的可能。如果是一个公司或组织的共有资产,推荐使用一套完善的使用流程来规避被攻击和单点做恶的风险,并且做好流程中每一步的日志记录,以备安全审查。
详情:
https://github.com/slowmist/cryptocurrency-security/blob/main/Cold-Asset-Security-Solution.md
慢雾:Polkatrain 薅羊毛事故简析:据慢雾区消息,波卡生态IDO平台Polkatrain于今早发生事故,慢雾安全团队第一时间介入分析,并定位到了具体问题。本次出现问题的合约为Polkatrain项目的POLT_LBP合约,该合约有一个swap函数,并存在一个返佣机制,当用户通过swap函数购买PLOT代币的时候获得一定量的返佣,该笔返佣会通过合约里的_update函数调用transferFrom的形式转发送给用户。由于_update函数没有设置一个池子的最多的返佣数量,也未在返佣的时候判断总返佣金是否用完了,导致恶意的套利者可通过不断调用swap函数进行代币兑换来薅取合约的返佣奖励。慢雾安全团队提醒DApp项目方在设计AMM兑换机制的时候需充分考虑项目的业务场景及其经济模型,防止意外情况发生。[2021/4/5 19:46:39]
DeFi资产安全解决方案
当前大多数区块链参与方更多的是参与DeFi项目,如挖矿、借贷及理财等。而参与DeFi项目本质上是把手中的资产转移或授权给DeFi项目方,存在个人极大程度上不可控的安全风险。本方案旨在列出DeFi项目的风险点,并且整理出规避这些风险的方式,总体上可分为以下几个方面:
DeFi项目风险评估
DeFi项目资产异常监控及告警
多签合约的使用
DeFi保险推荐方案
详情:
https://github.com/slowmist/cryptocurrency-security/blob/main/DeFi-Asset-Security-Solution.md
慢雾安全:警惕Big Data Protocol合约相关风险:据慢雾区消息,知名DeFi项目Big Data Protocol因项目自身代码Bug出现无法正常领取奖励的问题。经慢雾安全团队分析,此问题系Big Data Protocol的BDP代币合约在mint函数中对seePoolAmount变量做了错误的校验,导致合约功能无法正常执行。目前合约用户只能通过紧急提现函数对资金进行提现。但紧急提现函数无法同时提现挖矿收益。
慢雾安全团队提醒用户注意Big Data Protocol合约风险,如有参与,可通过emergency Withdraw函数将资金安全取出。[2021/3/12 18:40:04]
资产所有权安全备份解决方案
加密资产所有权备份,即对私钥或助记词的备份,因为它们承载着对加密货币的完整所有权,一旦被盗或丢失则会损失所有资产。
对于加密资产领域来说,私钥/助记词的备份反而是很大的短板,资产使用上的场景都可以有大量对应的产品来解决,无论是热钱包还是冷钱包,使用上可以保证安全,但很容易忽略其备份的重要性。目前大多数的盗币或者丢币的情况,反而是因为私钥/助记词的备份泄漏或丢失而导致的。备份的重要性等同于加密资产本身,必须要重视起来。
私钥/助记词的备份上也可以考虑降低单点风险,并且使用一些安全的备份方式、介质或流程等。以下是推荐的加密资产所有权备份方案。
Shamir
**MPC
慢雾 x IMEOS市场预警:警惕数字货币转账地址劫持攻击,这个攻击链从钱包地址的展示到复制到最终黏贴环节都可能存在。从我们历史审计经验及慢雾区情报反馈来看,这个攻击在交易所或钱包转账过程,暗网勒索过程等都有相关真实案例发生。这个攻击从地下黑客风向标来看,已经颇具产业链形态,特此预警:在转账确认之前一定要再三确认目标钱包地址是否正确(不要仅看首尾字符串,需要严格一一验证)。[2018/4/12]
**
备份介质安全存储方案
详情:
https://github.com/slowmist/cryptocurrency-security/blob/main/Asset-Ownership-Backup-Security-Solution.md
资产异常监控及追踪解决方案
在做好加密资产安全存管系列措施后,为了应对诸如“黑天鹅”之类的意外情况,也需要对相关钱包地址进行监控及异常告警,让每一笔资产转移都能被内部团队确认、验证。资产异常监控及追踪的解决方案总体上可分为:
异常监控及告警个人需求可以通过区块浏览器来监控钱包地址,同时满足监控及定制告警的功能。除此之外,也可以借助支持导入“观察钱包”的钱包App(不需要导入私钥助记词,只填写钱包地址),通过App的通知功能来实现监控告警功能。团队需求建议寻找技术工程师,搭建基于消息队列的监控系统及定制化的告警系统(如邮件、Slack、企业微信等消息推送通道),这样系统的稳定性及可用性更有保障。
链上追踪依托慢雾BTI系统和AML系统中近两亿地址标签,全面覆盖了全球主流交易所,慢雾MistTrack链上追踪服务累计服务50客户,累计追回资产超2亿美金。当被盗资金流入交易所时,慢雾MistTrack系统将自动发送交易Hash和交易所地址等信息给受害者。同时,慢雾MistTrack团队将汇总输出被盗资金转移完整链路表、余额停留地址以及洗币情况总结等信息,输出完整、全面的分析报告给受害者。被盗案件立案成功后,慢雾MistTrack团队将协助联系被盗资金进入的可调证交易所,对涉案的交易所用户账号进行调证冻结。
链下追踪链下追踪主要指的是与区块链无关的信息,例如邮箱账号、IP地址、设备指纹等信息,根据链上追踪得到这些线索后,可以进一步利用相关平台对链下的信息进行分析取证,寻找一切与盗币者有关的信息。
详情:
https://github.com/slowmist/cryptocurrency-security/blob/main/Asset-Abnormal-Monitoring-And-Tracking-Solution.md
本套加密资产安全解决方案会不断完善,欢迎社区向我们提交pr不断优化这套解决方案,可点击原文链接查看更多介绍。
Key
这是慢雾科技在区块链生态数年一线安全攻防实践积累下,推出的第一个完整解决方案,针对加密资产安全的解决方案。在该解决方案中,我们将继续加速完善各种最佳实践,并在GitHub开源开放出来;同时,慢雾科技也将联手安全鹭(Safeheron)等安全公司,打造机构级的加密资产安全存管产品,共同建设好这个生态攻防面对的最关键一扇门。我们希望,不远的未来,在我们的开源开放及机构级产品极致安全的驱动下,这套解决方案最终可以成为这个生态最佳的一套安全实践。
至此,慢雾科技已推出十三大安全服务,并打造了多款区块链安全产品,用户可针对不同的功能选择不同的产品服务。未来慢雾会继续推出更多的安全服务与解决方案,持续专注于区块链生态建设,为区块链生态构建一个“黑暗森林”中的安全区域。
欢迎联系我们:。
相关资料:
加密资产安全解决?案:
https://www.slowmist.com/#solution-cryptocurrency-security
https://github.com/slowmist/cryptocurrency-security
安全鹭(Safeheron):
https://www.safeheron.com/
慢雾MistTrack链上追踪服务:
https://aml.slowmist.com/mistTrack.html
往期回顾
THORChain连遭三击,黑客会是同一个吗?
科普|加密货币,你中招了吗?(下)
慢雾招募令,加入未来的安全独角兽
梅开二度——PancakeBunny被黑分析
科普|加密货币,你中招了吗?(上)
慢雾导航
慢雾科技官网
https://www.slowmist.com/
慢雾区官网
https://slowmist.io/
慢雾GitHub
https://github.com/slowmist
Telegram
https://t.me/slowmistteam
https://twitter.com/@slowmist_team
Medium
https://medium.com/@slowmist
币乎
https://bihu.com/people/586104
知识星球
https://t.zsxq.com/Q3zNvvF
火星号
http://t.cn/AiRkv4Gz
链闻号
https://www.chainnews.com/u/958260692213.htm
免责声明:作为区块链信息平台,本站所发布文章仅代表作者个人观点,与链闻ChainNews立场无关。文章内的信息、意见等均仅供参考,并非作为或被视为实际投资建议。
本文来源于非小号媒体平台:
慢雾科技
现已在非小号资讯平台发布68篇作品,
非小号开放平台欢迎币圈作者入驻
入驻指南:
/apply_guide/
本文网址:
/news/10221589.html
免责声明:
1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险
2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场
上一篇:
小冯:以太坊再战1700有望企稳黄金注意日线反弹信号
标签:MISMISTISTHTTMISSOR币mist币今日行情IPISTR价格https://etherscan.io
近半年来B圈可谓是处于水深火热中,各种政策似乎要将加密货币在我国彻底禁止。与此形成强烈对比的是最近几天BTC的大幅度拉升,从最低点28000已经提升至42000,似乎预示着牛市即将重启.
1900/1/1 0:00:00据Cointelegraph8月3日消息,俄罗斯当地法院已命令该国最大的银行Sber解除对参与比特币交易的客户的账户服务的封锁。从2020年5月到2020年8月,客户的银行账户处理了与加密货币交易所交易相关的多项交易.
1900/1/1 0:00:00原文:Glassnode本周加密货币市场出现了强劲的走势,ETH回到了2600美元的高点。DeFi代币的交易价格也更高,基本上回到7月初的水平.
1900/1/1 0:00:00HachiCoin从他的模因原型BabyCake&BabyDot中学到了一些技巧和经验。一种由BabyCake和BabyDot在线社区成员创建的HachiCoin。HachiCoin正试图通过他新改进的速度来超越他的原型.
1900/1/1 0:00:00尊敬的虎符用户: 虎符创新区将于2021年8月3日20:30(UTC8)重磅上线POTS/USDT交易对。充值已开启,提现已开启。关于POTS(Moonpot)Moonpot是币安智能链上的一个游戏,由BeefyFinance支持.
1900/1/1 0:00:00ipfs挖矿是不是合法的?ipfs项目是真实的吗?FIL研究所给大家科普一下。国家广电总局关于ipfs-filecoin合法性在技术应用白皮书--内容审核篇基础层这一章里有专门提到了分布式存储技术,且提到了IPFS星际文件系统,咱们可.
1900/1/1 0:00:00