余弦：区块链黑暗森林自助手册

前言

区块链是一项伟大的发明，它带来了一定的生产关系的变化，让“信任”这个宝贵的东西得以部分解决。然而，现实是残酷的，人们对区块链的理解存在诸多误解。这些误会导致坏人很容易钻空子，频频将黑手伸入人们的钱包，造成大量经济损失。这已经是一片黑暗的森林。

基于此，慢雾科技创始人余弦输出了区块链黑暗森林中的自助手册。

本手册（当前 V1 Beta）大约 37,000 字。限于篇幅，这里只列出手册中的关键目录结构，也可以作为参考。完整内容可在以下位置找到：

我们选择 GitHub 平台作为本手册的主要发布位置：它易于协作并查看历史更新。你可以 Watch、Fork 和 Star，当然我们希望你能做出贡献。

好的，让我们开始阅读……

介绍

如果您拥有加密货币或对世界感兴趣，并且可能在未来加密货币的优缺点，这本手册值得您反复阅读和认真练习。阅读本手册需要一定的知识背景。我希望初学者不必害怕这些知识障碍，因为很多都是可以“玩”的。

在区块链的黑暗森林世界中，首先要牢记以下两条安全规则：

零信任：只是持怀疑态度，而且总是持怀疑态度。

持续验证：为了让你相信，你必须有能力验证你的怀疑，并让它成为一种习惯。

关键内容

一、创建钱包

1.找到正确的官网

一种。谷歌

湾。CoinMarketCap等业内知名收藏

C。询问更多值得信赖的人

2.下载并安装应用程序

一种。PC钱包：建议检查是否被篡改（文件一致性检查）

湾。浏览器扩展钱包：关注目标扩展下载页面的用户数和评分

C。手机钱包：判断方法类似于扩容钱包

d。硬件钱包：在官网源码指导下购买，注意是否有被篡改的情况

e. 网络钱包：不建议使用这种在线钱包

在创建钱包时，助记词的出现非常敏感，请注意周围没有人，相机等，这可能会导致偷窥。还要注意助记词是否足够随机

1. 无钥匙两种情况（这里为了方便区分）

一种。保管，保管方式。例如，在中心化交易所和钱包中，用户只需要注册一个账户，并不拥有私钥。安全性完全依赖于这些集中式平台。

湾。Non-Custodial加密货币的优缺点，即非托管。用户拥有类似私钥但没有直接加密私钥（或助记词）的唯一权力

2.基于 MPC 的 Keyless 解决方案的优缺点

二、备用钱包

1. 明文：主要是12个英文单词

2. 带密码：助记词加上密码后，会得到不同的种子。该种子用于派生一系列私钥、公钥和相应的地址。

3. 多重签名：可以理解为目标资金需要多重签名和授权才能使用。多重签名非常灵活，可以设置审批策略

4. Shamir 的秘密分享：Shamir 的秘密分享方案，作用是将种子分成多个分片。恢复钱包时，需要使用指定数量的分片进行恢复

1. 多个备份

一种。Cloud：Google/Apple/Microsoft，结合GPG/1Password等

湾。纸：将助记词（明文、SSS等）复制到纸卡上

C。设备：电脑/iPad/iPhone/移动硬盘/U盘等

d。大脑：注意大脑记忆风险（记忆/事故）

2.加密

一种。一定要做定期和不定期的验证

湾。也可以使用部分验证

C。注意验证过程的保密性和安全性

三、使用钱包

1. 冻结链上

2.选择信誉良好的平台和个人作为交易对手

1.如何使用冷钱包

一种。接收加密货币：与观察钱包合作，如imToken、Trust Wallet等。

湾。发送加密货币：二维码/USB/蓝牙

2. 冷钱包风险点

一种。所见即所得的用户交互安全机制缺失

湾。用户相关知识背景缺失

1. 与 DApp 交互（DeFi、NFT、GameFi 等）

2.恶意代码或后门作恶方式

一种。钱包运行时，恶意代码会直接打包相关助记词上传到黑客控制的服务器

湾。钱包运行时，当用户发起转账，偷偷更换钱包后台的目标地址、金额等信息时，此时用户很难察觉

C。销毁助记词生成相关的随机数熵值，使这些助记词更容易破解

1. 智能合约安全

一种。权限过多：增加时间锁（Timelock）/多签admin等。

湾。逐步学会阅读安全审计报告

2. 区块链基础安全：共识账本安全/虚拟机安全等。

3. 前端安全

一种。内恶：前端页面中的目标智能合约地址被授权钓鱼脚本替换/植入

湾。第三方作恶：供应链作恶/前端页面引入的第三方远程 JavaScript 文件作恶或被黑

4. 通信安全