Tác giả gốc: OneKey Chinese (X:@OneKeyCN)
*Ghi chú của biên tập viên: Việc nâng cấp Taproot và Segwit đã giới thiệu các tính năng mới cho mạng BTC, đồng thời gián tiếp mở rộng dữ liệu khối, góp phần làm bùng nổ hệ sinh thái BTC từ năm 2023 đến nay. Tuy nhiên, việc giới thiệu các tài sản và tính năng mới đi kèm với những thách thức bảo mật mới. Làm thế nào để tối đa hóa bảo mật tài sản trong hệ sinh thái BTC với cơ sở hạ tầng bảo mật hạn chế?OneKey Chinese đã chuẩn bị một hướng dẫn chống lừa đảo cho những người chơi sinh thái Bitcoin, được tổ chức bởi Odaily Planet Daily như sau: *
Vào cuối năm 2021, bản nâng cấp Taproot có hiệu lực tại các khối 709, 632. Vào thời điểm đó, mọi người đang đắm chìm trong sự bùng nổ Ethereum NFT, và không ai biết rằng đây sẽ là bản nâng cấp “làm giàu” nhất của BTC.
Cùng với việc nâng cấp Segwit, Taproot đã giới thiệu các tính năng mới cho mạng BTC, đồng thời cũng gián tiếp mở rộng quy mô dữ liệu khối (tương đương từ 1 MB đến 4 MB), trở thành ngòi nổ cho sự bùng nổ của hệ sinh thái BTC từ năm 2023 đến nay. Sự xuất hiện của các tài sản mới như Taproot Assets, Ordinals BRC-20, ARC-20, Runes, v.v., cũng đã giữ tỷ lệ chấp nhận chuyển nhượng của Taproot ở mức một nửa hoặc thậm chí cao hơn.
Tuy nhiên, với việc giới thiệu các tài sản và tính năng mới đi kèm với những thách thức bảo mật mới.
Hệ sinh thái Bitcoin có một mô hình cơ bản khác với hệ sinh thái Ethereum. Hiện tại, bối cảnh “rất nhiều thứ cần được xây dựng” và “ngưỡng hiểu biết cao” trong hệ sinh thái tài sản mới của BTC được cho là sẽ khiến nhiều người dùng cảm thấy phấn khích - xét cho cùng, điều này thường có nghĩa là cơ hội để “làm giàu”.
Tuy nhiên, điều này cũng sẽ đưa ra những yêu cầu mới đối với nhận thức của người dùng về hoạt động an toàn, nếu không rất dễ bị mất coin mà không cần giải thích. Thậm chí đã có những sự cố như thị trường Atomic trước đây lạm dụng các loại chữ ký và dẫn đến hack.
OneKey sau đây cho bạn biết cách bảo vệ tài sản và ngăn chặn lừa đảo trong hệ sinh thái BTC với cơ sở hạ tầng bảo mật hạn chế.
Phân tích ngắn gọn về tác động cụ thể của việc nâng cấp Taproot
Trước khi chúng ta nói về các biện pháp chống lừa đảo cụ thể, chúng ta cần báo trước tác động của việc nâng cấp Taproot.
Ngoài việc thúc đẩy gián tiếp sự thịnh vượng của hệ sinh thái đa tài sản BTC đã đề cập trước đó, thực sự đã có những thay đổi lớn ở dưới cùng của giao dịch BTC, chủ yếu là hai: chữ ký Schnorr và công nghệ MAST. Và khi cả hai được kết hợp với PSBT (Giao dịch đã ký một phần), sẽ có nhiều chỗ hơn cho tin tặc chơi trò lừa đảo.
Một được ký bởi Schnorr. Đúng vậy, bản nâng cấp này đã hoán đổi chữ ký ECDSA trong sách trắng. Tính năng kỹ thuật của chữ ký này là nhiều chữ ký hoặc khóa công khai được tổng hợp thành một. Trước đây, nhiều chữ ký được yêu cầu phải được xác nhận nhiều lần, nhưng bây giờ chúng chỉ cần được xác minh một lần, điều này trực tiếp làm giảm dấu chân của chữ ký.
Một là công nghệ MAST. Nếu trước đây là một chữ ký tổng hợp, thì MAST được sử dụng để “tổng hợp” nhiều tập lệnh (đối với các tập lệnh, bạn có thể nghĩ về nó như một “hợp đồng thông minh” hữu hạn cho Bitcoin). Đồng thời, khi gửi chi phí mở khóa xác minh, bạn chỉ cần xác minh một trong các điều kiện chi tiêu. Dấu chân của các tập lệnh phức tạp trong nhiều điều kiện có thể được giảm đáng kể.
Hai công nghệ này có tác động lớn nhất đến quyền riêng tư, nhưng chúng cũng tiềm ẩn rủi ro bảo mật.
Đối với hồ sơ chuyển, tất cả các lần chuyển UTXO sẽ trông giống nhau sau khi nâng cấp. Trong Mempool, loại chuyển được hiển thị dưới dạng P2TR và các địa chỉ là tất cả các địa chỉ có cùng độ dài bắt đầu bằng bc1p.
Trước đây, bạn có thể dễ dàng nhận ra sự khác biệt giữa chuyển đến địa chỉ bình thường (P2PKH / P2WPKH) và chuyển đến địa chỉ tập lệnh (P2SH / P2WSH).
Bây giờ cho đến khi bạn xem có bao nhiêu người chi tiêu UTXO, bạn không thể biết sự khác biệt giữa chuyển tiền đến địa chỉ thông thường và chuyển tiền đến địa chỉ tập lệnh.
Đối với các tập lệnh, xác minh thợ đào chỉ cần hiển thị một trong các điều kiện chi phí của tập lệnh và các tập lệnh nhánh khác không được thế giới bên ngoài biết đến.
5 mẹo để ngăn chặn lừa đảo tài sản mới trong hệ sinh thái Bitcoin
Rõ ràng, cơ sở hạ tầng bảo mật của hệ sinh thái tài sản hiện tại của BTC kém mạnh hơn nhiều so với Ethereum và có rất nhiều điều mà người dùng cần hiểu và tìm hiểu trước tiên.
Đồng thời, nguyên tắc lừa đảo cũng khác với Ethereum và nhiều cuộc tấn công lừa đảo có thể không được toàn bộ thị trường hiểu rõ cho đến khi chúng được phát hiện. Ví dụ: sự cố bảo mật chữ ký *SIGNHASH_NONE trên thị trường Atomic, ví Unisat / Xverse cũng là một cảnh báo bảo mật được thêm vào sau đó.
(1) Kỹ thuật tinh thần đầu tiên: các kỹ năng cơ bản sáo rỗng về bảo mật mã hóa
Đó là, chú ý đến bảo mật lưu trữ ngoại tuyến của khóa riêng, chú ý xem đó có phải là URL đáng tin cậy hay không và chú ý bảo vệ máy tính khỏi vi-rút Trojan, v.v.
Tuy nhiên, trong thị trường FOMO, có thể có những người dùng muốn “vội vàng” trước khi một dự án mới hình thành sự đồng thuận tin tưởng, và một vài thủ thuật tiếp theo đặc biệt quan trọng.
(2) Kỹ thuật tinh thần thứ hai: đầu vào và đầu ra rõ ràng
Ví dụ: nếu tin tặc muốn bắt tất cả các NFT khắc Ordinals của bạn cùng một lúc, INPUT của giao dịch chắc chắn sẽ hiển thị rằng tất cả NFT khắc của bạn đã được đưa vào. ĐỒNG THỜI, ĐẦU RA SẼ HIỂN THỊ RẰNG TẤT CẢ HỌ ĐÃ ĐI ĐẾN MỘT ĐỊA CHỈ XA LẠ.
Lấy ví dụ, việc sử dụng Unisat để đặt NFT khắc Ordinals trên MagicEden. Khi bạn đặt hàng cho một hoặc nhiều NFT khắc trên thị trường MagiEden, một yêu cầu chữ ký PSBT bật lên sẽ hiển thị rằng đầu vào của giao dịch là một hoặc nhiều dòng chữ của bạn và đầu ra sẽ hiển thị số lượng bitcoin bạn sẽ nhận được sau khi giao dịch thành công.
(3) Kỹ thuật tinh thần thứ ba: Hãy cẩn thận với loại chữ ký
Bạn có thể xem khoa học phổ biến về loại chữ ký hiện tại của Bitcoin tại đây (…) )。
Giả sử đó là một địa chỉ kịch bản thực sự. Nó phụ thuộc vào việc họ có tiết lộ toàn bộ nội dung của địa chỉ tập lệnh hay không. Nếu nội dung không đầy đủ, có thể ẩn một hoặc nhiều điều kiện mở khóa UTXO độc hại, ngay cả khi người dùng có thể ký tài sản chuyển nhượng bình thường khi sử dụng. Nó có thể đột ngột “đóng mạng” và chuyển tất cả tài sản UTXO một ngày nào đó trong tương lai.
May mắn thay, đối với ứng dụng hiện tại, giao dịch của các tài sản khắc khác nhau không cần sử dụng các tập lệnh phức tạp và PSBT (Giao dịch được ký một phần) được sử dụng để chỉ định đầu vào và đầu ra.
Tuy nhiên, trong hoạt động BTC L2 trong tương lai, có khả năng cao là các kịch bản Bitcoin đa điều kiện phức tạp sẽ tham gia. Ví dụ, trong kịch bản đặt cọc Bitcoin của Babylon (@babylon_chain), có một logic chém và logic mở khóa tương đối phức tạp.
Nếu bạn muốn sử dụng phương pháp đặt cọc gốc này của Bitcoin Script, điều đặc biệt quan trọng là phải mở mã nguồn tập lệnh và xác minh tính bảo mật và tính toàn vẹn, nếu không người dùng cần phải tin tưởng tuyệt đối vào bên dự án.
(5) Kỹ thuật tinh thần thứ năm: chú ý đến động lực an toàn và chú ý phòng ngừa
Theo dõi các tài khoản hàng đầu trong lĩnh vực bảo mật để đảm bảo rằng bạn có thể theo kịp các phương pháp lừa đảo mới nhất và nhận cảnh báo càng sớm càng tốt. Chẳng hạn như Cosine @evilcos của SlowMist, @GoPlusSecurity chính thức của Go Plus, Sniffer@realScamSniffer lừa đảo, Tài khoản chính thức OneKey của chúng tôi @OneKeyCN.
Khi nói đến phòng ngừa trước khi nó xảy ra, chúng ta có thể chuyển các bài học bảo mật từ những nơi khác.
Ví dụ, trong Ethereum, có một phương pháp lừa đảo như vậy - đó là xây dựng các địa chỉ có đầu và đuôi tương tự, khiến người dùng mất tài sản do sao chép nhầm chúng trong lịch sử. Và khi xây dựng các giao dịch chữ ký BTC, cũng có thể bước lên hố vì địa chỉ đầu ra không được kiểm tra rõ ràng.
Trong các ví sinh thái BTC chính thống như Unisat / Xverse, địa chỉ Taproot được hiển thị dưới dạng bc1px… e9wh0 (ví dụ) và bc1p là đầu cố định của địa chỉ Taproot.
Điều này tương đương với chỉ 6 chữ cái để xác nhận. So với cấu hình tiêu chuẩn của ví Ethereum có chức năng sổ địa chỉ chung và về cơ bản hiển thị hơn 10 chữ số, rõ ràng là không đủ.
Điều này có nghĩa là rất có thể tin tặc sẽ có thể thực hiện lừa đảo tùy chỉnh bằng cách tạo địa chỉ phù hợp (mặc dù hiện tại không có nhiều trên Bitcoin).
Do đó, nếu bạn làm điều gì đó để ngăn chặn nó xảy ra, bạn nên kiểm tra địa chỉ càng đầy đủ càng tốt.
Anyway…
** Nghiên cứu Bitcoin. **
** Nghiên cứu bảo mật Bitcoin.
Khi Taproot giới thiệu các tài sản mới và kịch bản mới cho Bitcoin, chúng ta cũng phải tìm hiểu các hình thức đe dọa bảo mật mới, đặc biệt là các kỹ thuật lừa đảo không ngừng phát triển.
Đặc biệt là bây giờ cơ sở hạ tầng sinh thái chưa hoàn hảo, thậm chí hoạt động sai và mất tiền xu và đốt tiền xu xảy ra theo thời gian, chưa kể đến việc đánh bắt cá được lên kế hoạch tốt.
Cuối cùng nhưng không kém phần quan trọng: OneKey luôn đặt bảo mật lên hàng đầu, theo kịp sự phát triển của công nghệ và cập nhật và chia sẻ các chính sách bảo mật. Hệ sinh thái BTC là một trong những nhân vật chính của đợt tăng giá này và chúng tôi sẽ tiếp tục chú ý đến những thách thức bảo mật của hệ sinh thái BTC và làm việc cùng nhau để thúc đẩy và xây dựng một môi trường tài sản tiền điện tử an toàn hơn.
Liên kết đến bài viết gốc
