Tác giả: OneKey Chinese, Nguồn: Tác giả Twitter @OneKeyCN
Cuối năm 2021, Taproot được nâng cấp ở khối thứ 709.632 có hiệu lực. Khi đó, mọi người đang đắm chìm trong cơn sốt Ethereum NFT và không ai biết rằng đây sẽ là đợt nâng cấp “làm giàu” nhất của BTC.
Các bản nâng cấp của Taproot và Segwit cùng nhau giới thiệu các tính năng mới cho mạng BTC, đồng thời cho phép mở rộng gián tiếp dữ liệu khối (tương đương 1 MB đến 4 MB), trở thành năm 2023 Nguyên nhân gây ra vụ nổ sinh thái BTC kể từ năm nay. Sự xuất hiện của các tài sản mới như Taproot Assets, Ordinals BRC-20, ARC-20, Runes, v.v. cũng đã giữ tỷ lệ chấp nhận chuyển khoản của Taproot ở mức một nửa hoặc hơn.
Tuy nhiên, việc giới thiệu các nội dung mới và tính năng mới cũng đi kèm với những thách thức bảo mật mới.
Hệ sinh thái Bitcoin có mô hình cơ bản khác với hệ sinh thái Ethereum. Tình hình hiện tại trong hệ sinh thái tài sản mới BTC, nơi “nhiều thứ cần được xây dựng” và “ngưỡng hiểu biết tương đối cao” được cho là khiến nhiều người dùng phấn khích - xét cho cùng, điều này thường đồng nghĩa với cơ hội “làm giàu”.
Nhưng điều này cũng sẽ đặt ra những yêu cầu mới đối với nhận thức của người dùng về hoạt động an toàn, nếu không sẽ dễ bị mất xu mà không hề hay biết. Thậm chí đã xảy ra những sự cố như vụ tai nạn trước đó khi thị trường Atomic sử dụng không chính xác các loại chữ ký, dẫn đến các cuộc tấn công của hacker.
OneKey sau đây giải thích một cách đơn giản về cách bảo vệ an ninh tài sản ở mức độ lớn nhất và ngăn chặn lừa đảo trong hệ sinh thái BTC với cơ sở hạ tầng bảo mật hạn chế.
Phân tích ngắn gọn về tác động cụ thể của việc nâng cấp Taproot
Trước khi mô tả giải pháp chống-cụ thể các biện pháp lừa đảo, Chúng tôi cần trình bày tác động của việc nâng cấp Taproot.
Ngoài việc thúc đẩy gián tiếp sự thịnh vượng của hệ sinh thái đa tài sản BTC đã đề cập trước đó, những thay đổi lớn đã thực sự diễn ra ở cuối các giao dịch BTC, chủ yếu là hai: Chữ ký Schnorr và công nghệ MAST. Sự kết hợp của cả hai với PSBT (Giao dịch chữ ký một phần) giúp tin tặc có nhiều cơ hội hơn để lừa đảo.
Một là chữ ký Schnorr. Có, bản nâng cấp này đã thay thế chữ ký ECDSA trong sách trắng. Đặc tính kỹ thuật của chữ ký này là nhiều chữ ký hoặc khóa chung được tổng hợp thành một. Trước đây, công việc cần nhiều chữ ký để xác nhận giờ đây chỉ cần xác minh một lần, điều này trực tiếp làm giảm không gian bị chữ ký chiếm giữ.
Một là công nghệ MAST. Nếu trước đây là chữ ký tổng hợp thì MAST được dùng để “tổng hợp” nhiều tập lệnh (đối với tập lệnh, bạn có thể hiểu chúng là những “hợp đồng thông minh” có giới hạn của Bitcoin). Đồng thời, khi gửi xác minh mở khóa chi tiêu, bạn chỉ cần xác minh một trong các điều kiện chi tiêu. Không gian bị chiếm giữ bởi các tập lệnh phức tạp với nhiều điều kiện có thể được giảm đi đáng kể.
Hai công nghệ này có tác động lớn nhất đến quyền riêng tư và cũng tiềm ẩn những rủi ro về bảo mật.
Đối với hồ sơ chuyển, tất cả các lần chuyển UTXO sẽ trông giống nhau sau khi nâng cấp. Trong Mempool, loại truyền được hiển thị dưới dạng P2TR và địa chỉ đều là các địa chỉ có cùng độ dài bắt đầu bằng bc1p.
Trước đây, bạn có thể dễ dàng phân biệt sự khác biệt giữa việc chuyển sang địa chỉ thông thường (P2PKH / P2WPKH) và chuyển sang địa chỉ tập lệnh (P2SH / P2WSH).
Bây giờ, trước khi xem người khác sử dụng UTXO, bạn không thể phân biệt được sự khác biệt giữa việc chuyển sang địa chỉ thông thường và chuyển sang địa chỉ tập lệnh.
Đối với các tập lệnh, việc xác minh của người khai thác chỉ cần tiết lộ một điều kiện chi tiêu của tập lệnh và các tập lệnh nhánh khác không được thế giới bên ngoài biết đến.
5 mẹo để ngăn chặn hành vi lừa đảo tài sản mới trong hệ sinh thái Bitcoin
Rõ ràng, hiện tại BTC đang Cơ sở hạ tầng bảo mật của hệ sinh thái tài sản của lớp này kém mạnh mẽ hơn nhiều so với Ethereum và có nhiều điều mà người dùng cần phải hiểu và tìm hiểu trước tiên.
Đồng thời, nguyên tắc lừa đảo khác với nguyên tắc của Ethereum. Nhiều cuộc tấn công lừa đảo có thể không được toàn bộ thị trường hiểu rõ trước khi chúng bị phát hiện. Ví dụ: sự cố bảo mật chữ ký *SIGNHASH_NONE trên thị trường Atomic và ví Unisat/Xverse cũng đã thêm lời nhắc bảo mật sau này.
(1) Thủ thuật đầu tiên: các kỹ năng cơ bản phổ biến về bảo mật mã hóa.
Nghĩa là chú ý đến tính bảo mật của việc lưu trữ ngoại tuyến khóa riêng, chú ý xem đó có phải là trang web đáng tin cậy hay không, chú ý bảo vệ máy tính khỏi bị tấn công. bị nhiễm virus Trojan, v.v.
Tuy nhiên, trong thị trường FOMO, người dùng có thể muốn "gấp rút" các dự án mới trước khi hình thành sự đồng thuận tin cậy. Lúc này, vài Mindfulness tiếp theo là đặc biệt quan trọng.
(2) Bí quyết thứ hai: làm rõ đầu vào và đầu ra.
Ethereum có "chữ ký mù". Nghĩa là, khi ký, nếu ví không phân tích cú pháp, bạn chỉ có thể thấy một mớ ký tự lộn xộn và bạn không thể đoán trước được điều gì sẽ xảy ra với tài sản sau khi ký. Điều này cũng tạo ra nguy cơ mất tiền.
Trong Bitcoin, đầu vào và đầu ra của giao dịch phải được xác định rõ ràng, cũng như địa chỉ chuyển tương ứng của đầu vào và đầu ra. (Đó là: "Từ đâu đến, bao nhiêu xu đến" và "Đã đi đâu, bao nhiêu xu đi".)
Khi ký, bất kể có sử dụng PSBT hay không, những thay đổi sẽ xảy ra trước và sau giao dịch sẽ được hiển thị rõ ràng trong ví. Vì vậy, việc kiểm tra xem đầu vào và đầu ra có đáp ứng mong đợi của bạn hay không là rất quan trọng.
Ví dụ: nếu tin tặc muốn lấy đi tất cả các NFT dòng chữ Ordinals của bạn cùng một lúc, thì tất cả các NFT dòng chữ của bạn sẽ được hiển thị trong đầu vào giao dịch (INPUT). Tất cả đã được đưa vào. Đồng thời, kết quả đầu ra (OUTPUT) sẽ hiển thị họ đã đi đến những địa chỉ lạ.
Lấy việc sử dụng Unisat để đặt hàng Ordinals NFT trên MagicEden làm ví dụ. Khi bạn đặt hàng một hoặc nhiều NFT dòng chữ trong thị trường MagiEden, yêu cầu chữ ký PSBT bật lên sẽ hiển thị rằng đầu vào (INPUT) của giao dịch là một trong những dòng chữ hoặc nhiều dòng chữ của bạn và đầu ra sẽ được hiển thị. Sau khi giao dịch thành công, bạn sẽ nhận được bao nhiêu Bitcoin.
(3) Mẹo thứ ba: Hãy cẩn thận với kiểu chữ ký.
Bạn có thể xem kiến thức khoa học phổ biến về các loại chữ ký hiện tại của Bitcoin tại đây (https://btcstudy.org/2021/11/09/bitcoin-signature-types- thở dài/).
Các loại chữ ký duy nhất cần chú ý ở đây là SIGHASH_NONE (0x02) và SIGHASH_NONE | SIGHASH_ANYONECANPAY (0x82). Cả hai điều này đều có nghĩa là bạn "chỉ ký vào đầu vào của giao dịch, bất kể đầu ra của giao dịch".
Đối với nội dung ghi chú giao dịch, loại chữ ký an toàn phải là SIGHASH_SINGLE | SIGHASH_ANYONECANPAY (0x83), loại chữ ký này có thể xây dựng một giao dịch hoàn chỉnh mà không cần sự tin cậy thông qua PSBT. Đây cũng là loại chữ ký được sử dụng bởi các thị trường giao dịch chữ khắc chính thống như MagicEden và OKX.
Lấy việc sử dụng nhầm chữ ký SIGHASH_NONE | SIGHASH_ANYONECANPAY (0x82) (0x82) trước đây của thị trường Atomic làm ví dụ.
Khi bạn đặt hàng nội dung dòng chữ Atom, bạn sẽ thấy đầu vào và đầu ra chính xác khi ký, nghĩa là "nó quy định rằng nội dung tôi đã đặt đơn hàng là đầu vào đây, đầu ra cũng có tiền tôi có thể nhận được."
Tuy nhiên, tin tặc hoàn toàn có thể lấy được đầu ra sửa đổi PSBT này và các giao dịch đã gửi cũng sẽ được các thợ mỏ đóng gói, cuối cùng khiến bạn không thể nhận được tiền cho lệnh chờ xử lý . Nói tóm lại, đó là do loại chữ ký được sử dụng chỉ ký vào phần đầu vào, cuối cùng dẫn đến "mua hàng bằng 0 đô la".
May mắn thay, các ví sinh thái BTC chính thống hiện tại, chẳng hạn như Unisat và Xverse, đã hỗ trợ đánh dấu lời nhắc hoặc cấm các loại chữ ký như SIGHASH_NONE. Nếu bạn thấy lời nhắc về loại chữ ký liên quan, đừng sử dụng chữ ký này trừ khi nó dành cho mục đích đặc biệt.
(4) Mẹo thứ tư: hãy cẩn thận khi sử dụng tập lệnh.
Nếu một dự án hoặc nền tảng yêu cầu bạn chuyển nội dung sang địa chỉ tập lệnh, bạn phải hết sức cẩn thận. Khi ký, bạn sẽ thấy tài sản của mình chuyển đến một địa chỉ lạ ở đầu ra.
Dựa vào nội dung trước, bạn sẽ biết rằng sau khi Taproot được nâng cấp, địa chỉ tập lệnh và địa chỉ khóa riêng của người dùng là như nhau.
Nếu kẻ trộm cố gắng sử dụng địa chỉ khóa riêng để lừa đảo, tài sản nhận được có thể được chuyển giao trực tiếp.
Nếu đó là địa chỉ tập lệnh thực. Điều đó phụ thuộc vào việc họ có tiết lộ toàn bộ nội dung của địa chỉ tập lệnh hay không. Nếu nội dung không đầy đủ được xuất bản, mặc dù người dùng thường có thể ký và chuyển giao tài sản trong quá trình sử dụng, nhưng một hoặc nhiều điều kiện mở khóa UTXO độc hại có thể bị ẩn. Có thể một ngày nào đó trong tương lai, toàn bộ tài sản UTXO sẽ đột ngột bị “đóng cửa” và chuyển đi.
Ngay cả khi họ mở toàn bộ tập lệnh, các ví hiện có trên thị trường không có chức năng xác minh tính toàn vẹn của tập lệnh MAST và sự tương ứng của tập lệnh. Bạn cần hiểu Người dùng kỹ thuật còn lại để xác nhận điều này bằng thuật toán của Taproot. Hoặc rất tin tưởng vào dự án và đội ngũ.
May mắn thay, đối với các ứng dụng hiện tại, các giao dịch của nhiều tài sản ghi chú khác nhau không yêu cầu sử dụng các tập lệnh phức tạp. PSBT (Giao dịch chữ ký một phần) được sử dụng để chỉ định đầu vào và đầu ra Chỉ cần .
Tuy nhiên, trong các hoạt động BTC L2 trong tương lai, có khả năng cao là các tập lệnh Bitcoin phức tạp và đa điều kiện sẽ tham gia. Ví dụ: tập lệnh đặt cược Bitcoin của Babylon @babylon_chain có logic chặt và logic mở khóa tương đối phức tạp.
Nếu bạn muốn sử dụng phương thức đặt cược gốc này của tập lệnh Bitcoin, điều đặc biệt quan trọng là phải mở tập lệnh và xác minh tính bảo mật và tính toàn vẹn của nó. Nếu không, người dùng Tuyệt đối tin tưởng vào phía dự án.
(5) Mẹo thứ năm: chú ý đến các xu hướng an toàn và đề phòng trước khi chúng xảy ra.
Theo dõi các tài khoản hàng đầu trong lĩnh vực bảo mật để đảm bảo rằng bạn có thể cập nhật các kỹ thuật lừa đảo mới nhất và nhận được cảnh báo sớm nhất có thể. Chẳng hạn như Cosine @evilcos của SlowMist, @GoPlusSecurity chính thức của Go Plus Security, Scam Sniffer @realScamSniffer, tài khoản chính thức OneKey của chúng tôi @OneKeyCN .
Để ngăn chặn sự cố trước khi chúng xảy ra, chúng tôi có thể chuyển trải nghiệm bảo mật từ nơi khác.
Ví dụ, trong Ethereum có một phương thức lừa đảo như vậy - đó là xây dựng các địa chỉ có đầu và đuôi giống nhau, khiến người dùng sao chép sai trong lịch sử và mất chúng tài sản. Khi xây dựng giao dịch chữ ký BTC cũng có thể rơi vào bẫy vì địa chỉ đầu ra không được kiểm tra rõ ràng.
Trong các ví sinh thái BTC chính thống như Unisat/Xverse, địa chỉ Taproot được hiển thị dưới dạng bc1px…e9wh0 (ví dụ) và bc1p là phần đầu cố định của Taproot Địa chỉ.
Điều này tương đương với việc chỉ hiển thị 6 chữ cái để xác nhận. Việc ví Ethereum có chức năng sổ địa chỉ chung là tương đối chuẩn và về cơ bản hiển thị hơn 10 chữ số, điều này rõ ràng là không đủ.
Điều này có nghĩa là tin tặc có thể thực hiện hành vi lừa đảo tùy chỉnh bằng cách tạo ra các địa chỉ trùng khớp (mặc dù chưa có nhiều địa chỉ trên Bitcoin).
Vì vậy, nếu bạn làm điều gì đó cực đoan và bóp chết nó từ trong trứng nước, bạn nên kiểm tra địa chỉ một cách đầy đủ nhất có thể.
Tóm lại...
Nghiên cứu về Bitcoin.
Nghiên cứu bảo mật Bitcoin.
Khi Taproot giới thiệu các tài sản mới và kịch bản mới cho Bitcoin, chúng ta cũng phải tìm hiểu các dạng đe dọa bảo mật mới, đặc biệt là các kỹ thuật lừa đảo đang phát triển.
Đặc biệt là hiện nay cơ sở hạ tầng sinh thái không hoàn hảo, thậm chí các hoạt động sai trái như mất xu và đốt tiền xu thỉnh thoảng vẫn xảy ra chứ chưa nói đến lừa đảo được lên kế hoạch kỹ lưỡng. .
Catherine
Zoey
Bitcoinist
Beincrypto
cryptopotato
Cointelegraph