الدليل الأكثر تعمقًا لمكافحة التصيد الاحتيالي لبيئة BTC (تمت ترقية Taproot إلى الإصدار الأحدث)

المؤلف: OneKey الصينية، المصدر: المؤلف Twitter @OneKeyCN

في نهاية عام 2021، تمت ترقية Taproot عند الكتلة 709,632 تدخل حيز التنفيذ. في ذلك الوقت، كان الناس منغمسين في جنون Ethereum NFT، ولم يكن أحد يعلم أن هذه ستكون ترقية BTC الأكثر "إنشاءًا للثروة".

تقدم ترقيات Taproot وSegwit معًا ميزات جديدة لشبكة BTC، وتسمح أيضًا بتوسيع بيانات الكتلة بشكل غير مباشر (أي ما يعادل 1 ميجابايت إلى 4 ميجابايت)، ليصبح عام 2023 هو المحفز للانفجار البيئي BTC منذ هذا العام. كما أدى ظهور أصول جديدة مثل Taproot Assets وOrdinals BRC-20 وARC-20 وRunes وما إلى ذلك إلى إبقاء معدل اعتماد نقل Taproot عند النصف أو أكثر.

ومع ذلك، يأتي تقديم أصول جديدة وميزات جديدة مصحوبًا أيضًا بتحديات أمنية جديدة.

يحتوي نظام Bitcoin البيئي على نموذج أساسي مختلف عن نظام Ethereum البيئي. يُعتقد أن الوضع الحالي في النظام البيئي الجديد للأصول BTC حيث "تحتاج إلى بناء الكثير من الأشياء" و"عتبة الفهم مرتفعة نسبيًا" يجعل العديد من المستخدمين متحمسين - بعد كل شيء، وهذا يعني غالبًا فرصة "الثراء".

ولكن هذا سيطرح أيضًا متطلبات جديدة لوعي المستخدمين بالعمليات الآمنة، وإلا فسيكون من السهل فقدان العملات المعدنية دون معرفة ذلك. بل كانت هناك حوادث مثل الحادث السابق حيث استخدم السوق الذري بشكل غير صحيح أنواع التوقيع، مما أدى إلى هجمات القراصنة.

يشرح OneKey التالي بعبارات بسيطة كيفية حماية أمان الأصول إلى أقصى حد ومنع التصيد الاحتيالي في نظام BTC البيئي ذي البنية التحتية الأمنية المحدودة.

تحليل موجز للتأثير المحدد لترقية Taproot

قبل وصف الإجراءات المضادة المحددة تدابير التصيد الاحتيالي، نحتاج إلى توضيح تأثير ترقية Taproot.

بالإضافة إلى الترويج غير المباشر المذكور سابقًا لازدهار النظام البيئي متعدد الأصول BTC، فقد حدثت بالفعل تغييرات كبيرة في الجزء السفلي من معاملات BTC، بشكل أساسي اثنان: توقيع شنور وتقنية MAST. إن الجمع بين الاثنين مع PSBT (معاملة التوقيع الجزئي) يمنح المتسللين مساحة أكبر للتصيد الاحتيالي.

أحدها هو توقيع شنور. نعم، لقد حلت هذه الترقية محل توقيع ECDSA في المستند التقني. السمة التقنية لهذا التوقيع هي أنه يتم تجميع التوقيعات المتعددة أو المفاتيح العامة في توقيع واحد. في الماضي، كان العمل الذي يتطلب توقيعات متعددة للتأكيد يحتاج الآن إلى التحقق مرة واحدة فقط، مما يقلل بشكل مباشر من المساحة التي يشغلها التوقيع.

أحدها هو تقنية MAST. إذا كان الأول عبارة عن توقيع مجمع، فسيتم استخدام MAST "لتجميع" نصوص برمجية متعددة (بالنسبة للنصوص البرمجية، يمكنك فهمها على أنها "عقود ذكية" محدودة للبيتكوين). وفي الوقت نفسه، عند التقديم للتحقق من فتح الإنفاق، ما عليك سوى التحقق من أحد شروط الإنفاق. يمكن تقليل المساحة التي تشغلها النصوص المعقدة ذات الشروط المتعددة بشكل كبير.

هاتين التقنيتين لهما التأثير الأكبر على الخصوصية، كما أنهما تنطويان أيضًا على مساحة للمخاطر الأمنية.

بالنسبة لسجلات النقل، ستبدو جميع عمليات نقل UTXO كما هي بعد الترقية. في Mempool، يتم عرض نوع النقل كـ P2TR، وتكون العناوين كلها عناوين بنفس الطول تبدأ بـ bc1p.

في الماضي، كان بإمكانك بسهولة التمييز بين النقل إلى عنوان عادي (P2PKH / P2WPKH) والنقل إلى عنوان البرنامج النصي (P2SH / P2WSH).

الآن قبل أن تشاهد أشخاصًا آخرين ينفقون UTXO، لا يمكنك معرفة الفرق بين النقل إلى عنوان عادي والتحويل إلى عنوان نصي.

بالنسبة للنصوص البرمجية، يحتاج التحقق من المُعدِّن فقط إلى الكشف عن شرط إنفاق واحد للبرنامج النصي، والنصوص البرمجية الفرعية الأخرى غير معروفة للعالم الخارجي.

5 نصائح لمنع التصيد الاحتيالي الجديد للأصول في نظام Bitcoin البيئي

من الواضح أن BTC حاليًا البنية التحتية الأمنية لبيئة الأصول لهذه الطبقة أقل قوة بكثير من تلك الخاصة بالإيثريوم، وهناك العديد من الأشياء التي يحتاج المستخدمون إلى فهمها وتعلمها أولاً.

وفي الوقت نفسه، يختلف مبدأ التصيد الاحتيالي عن مبدأ Ethereum. وقد لا يفهم السوق بأكمله العديد من هجمات التصيد الاحتيالي جيدًا قبل اكتشافها. على سبيل المثال، أضاف حادث أمان التوقيع *SIGNHASH_NONE في السوق الذرية ومحفظة Unisat/Xverse أيضًا تذكيرات أمنية لاحقًا.

(1) الحيلة الأولى: المهارات الأساسية الشائعة لأمن التشفير.

أي الانتباه إلى أمان تخزين المفاتيح الخاصة في وضع عدم الاتصال، والانتباه إلى ما إذا كان موقع ويب موثوقًا به، والانتباه إلى حماية الكمبيوتر من التعرض المصابة بفيروسات طروادة وما إلى ذلك.

ومع ذلك، في سوق FOMO، قد يرغب المستخدمون في "التعجل" في مشاريع جديدة قبل تشكيل إجماع على الثقة. في هذا الوقت، سوف تكون اليقظة الذهنية القليلة التالية مهم بشكل خاص.

(2) الحيلة الثانية: توضيح الإدخال والإخراج.

يحتوي الإيثريوم على "توقيع أعمى". وهذا يعني أنه عند التوقيع، إذا لم تقم المحفظة بتحليلها، فلا يمكنك رؤية سوى فوضى من الأحرف، ولا يمكنك التنبؤ بما سيحدث للأصول بعد التوقيع. وهذا يخلق أيضًا خطر فقدان العملات المعدنية.

في Bitcoin، يجب تحديد مدخلات ومخرجات المعاملة بوضوح، بالإضافة إلى عنوان النقل المقابل للمدخلات والمخرجات. (أي: "من أين أتت، كم عدد العملات المعدنية التي جاءت" و"أين ذهبت، كم عدد العملات المعدنية التي ذهبت".)

متى التوقيع، بغض النظر عما إذا كان استخدام PSBT، سيتم عرض التغييرات التي ستحدث قبل المعاملة وبعدها بوضوح في المحفظة. لذلك، من المهم جدًا التحقق مما إذا كانت المدخلات والمخرجات تلبي توقعاتك.

على سبيل المثال، إذا أراد أحد المتسللين اصطياد جميع NFTs الخاصة بنقش Ordinals مرة واحدة، فسيتم عرض جميع NFTs الخاصة بالنقش في إدخال المعاملة (INPUT). تم وضع الجميع. وفي الوقت نفسه، سيظهر الإخراج (OUTPUT) أنهم ذهبوا إلى عناوين غريبة.

خذ استخدام Unisat لتقديم طلبات Ordinals NFT على MagicEden كمثال. عندما تقدم طلبًا لواحد أو أكثر من NFTs للنقش في سوق MagiEden، سيُظهر طلب توقيع PSBT المنبثق أن إدخال (INPUT) للمعاملة هو أحد نقوشك أو نقوش متعددة، وسيتم عرض الإخراج. بمجرد نجاح المعاملة، سوف تتلقى عدد عملات البيتكوين التي يمكنك الحصول عليها.

(3) النصيحة الثالثة: كن حذرًا مع نوع التوقيع.

يمكنك الاطلاع على العلوم الشائعة حول أنواع التوقيع الحالية للبيتكوين هنا (https://btcstudy.org/2021/11/09/bitcoin-signature-types- تنهد/).

أنواع التوقيع الوحيدة التي تحتاج إلى الاهتمام هنا هي SIGHASH_NONE (0x02) وSIGHASH_NONE | SIGHASH_ANYONECANPAY (0x82). ويعني كلا الأمرين أنك "تقوم فقط بالتوقيع على مدخلات المعاملة، بغض النظر عن مخرجات المعاملة".

بالنسبة لأصول نقش التداول، يجب أن يكون نوع التوقيع الآمن SIGHASH_SINGLE | SIGHASH_ANYONECANPAY (0x83)، والذي يمكنه إنشاء معاملة كاملة دون ثقة من خلال PSBT. وهذا أيضًا هو نوع التوقيع الذي تستخدمه أسواق تداول النقش السائدة مثل MagicEden وOKX.

خذ الاستخدام الخاطئ السابق للسوق الذرية لتوقيع SIGHASH_NONE | SIGHASH_ANYONECANPAY (0x82) كمثال.

عند تقديم طلب لأصل نقش Atom، فإنك ترى الإدخال والإخراج الصحيحين عند التوقيع، أي "ينص على أن الأصل الذي قمت بوضعه يتم إدخال الطلب هنا، ويحتوي الإخراج أيضًا على أموال يمكنني الحصول عليها.

ومع ذلك، يمكن للمتسللين الحصول على مخرجات تعديل PSBT هذه بالكامل، وسيتم أيضًا حزم المعاملات المقدمة بواسطة عمال المناجم، مما يمنعك في النهاية من تلقي الأموال مقابل الطلب المعلق . باختصار، يرجع السبب في ذلك إلى أن نوع التوقيع المستخدم يوقع فقط على جزء الإدخال، مما يؤدي في النهاية إلى "الشراء بدون دولار".

لحسن الحظ، تدعم محافظ BTC البيئية السائدة حاليًا، مثل Unisat وXverse، بالفعل تسليط الضوء على التذكيرات أو حظر أنواع التوقيع مثل SIGHASH_NONE. إذا رأيت مطالبة بشأن نوع توقيع ذي صلة، فلا تستخدم هذا التوقيع إلا إذا كان لأغراض خاصة.

(4) النصيحة الرابعة: كن حذرًا عند استخدام البرامج النصية.

إذا كان المشروع أو النظام الأساسي يتطلب منك نقل الأصول إلى عنوان البرنامج النصي، فيجب أن تكون أكثر حذرًا. عند التوقيع، سترى الأصول الخاصة بك تنتقل إلى عنوان غير مألوف في الإخراج.

استنادًا إلى المحتوى السابق، ستعرف أنه بعد ترقية Taproot، يكون عنوان البرنامج النصي وعنوان المفتاح الخاص للمستخدم متماثلين.

إذا حاول اللص استخدام عنوان المفتاح الخاص للخداع، فيمكن نقل الأصول المستلمة مباشرة.

إذا كان عنوانًا نصيًا حقيقيًا. يعتمد ذلك على ما إذا كانوا يكشفون عن المحتويات الكاملة لعنوان البرنامج النصي. إذا تم نشر محتوى غير كامل، على الرغم من أنه يمكن للمستخدمين عادةً التوقيع ونقل الأصول أثناء الاستخدام، فقد يتم إخفاء واحد أو أكثر من شروط فتح UTXO الضارة. من الممكن أنه في يوم من الأيام في المستقبل، سيتم "إغلاق" جميع أصول UTXO فجأة ونقلها بعيدًا.

حتى لو كانت مفتوحة المصدر للبرنامج النصي بأكمله، فإن المحافظ الموجودة حاليًا في السوق لا تحتوي على وظيفة التحقق من سلامة البرنامج النصي MAST ومراسلات عنوان الإخراج.عليك أن تفهم أنه يتعين على المستخدمين التقنيين تأكيد ذلك باستخدام خوارزمية Taproot. أو ثق بالمشروع والفريق كثيرًا.

لحسن الحظ بالنسبة للتطبيقات الحالية، لا تتطلب المعاملات الخاصة بأصول النقش المختلفة استخدام نصوص برمجية معقدة. يتم استخدام PSBT (معاملة التوقيع الجزئي) لتحديد الإدخال والإخراج فقط .

ومع ذلك، في عمليات BTC L2 المستقبلية، هناك احتمال كبير بأن يتم تضمين نصوص Bitcoin المعقدة ومتعددة الشروط. على سبيل المثال، يحتوي البرنامج النصي لـ Bitcoin الخاص بـ Babylon @babylon_chain  على منطق قطع ومنطق فتح معقد نسبيًا.

إذا كنت تريد استخدام طريقة التخزين الأصلية هذه لنص Bitcoin، فمن المهم بشكل خاص فتح النص المصدر والتحقق من أمانه وسلامته. وبخلاف ذلك، فإن المستخدمين مطلقون الثقة في جانب المشروع.

(5) النصيحة الخامسة: انتبه لاتجاهات السلامة واتخاذ الاحتياطات اللازمة قبل حدوثها.

تابع الحسابات الرائدة في مجال الأمان للتأكد من قدرتك على مواكبة أحدث تقنيات التصيد والحصول على التحذيرات في أسرع وقت ممكن. مثل Cosine من SlowMist @evilcos، ومسؤول Go Plus Security @GoPlusSecurity، وScam Sniffer @realScamSniffer، وحسابنا الرسمي على OneKey @OneKeyCN .

أما بالنسبة لمنع المشاكل قبل حدوثها فيمكننا نقل التجربة الأمنية من أماكن أخرى.

على سبيل المثال، في Ethereum، توجد طريقة التصيد الاحتيالي - أي إنشاء عناوين ذات رؤوس وذيول متشابهة، مما يجعل المستخدمين ينسخونها بشكل غير صحيح في السجل وتفقدهم الأصول. عند إنشاء معاملة توقيع BTC، من الممكن أيضًا الوقوع في فخ لأنه لم يتم التحقق من عنوان الإخراج بوضوح.

في محافظ BTC البيئية السائدة مثل Unisat/Xverse، يتم عرض عنوان Taproot كـ bc1px…e9wh0 (مثال)، وbc1p هي البداية الثابتة لـ Taproot عنوان.

هذا يعادل عرض 6 أحرف فقط للتأكيد. من المعتاد نسبيًا أن تحتوي محافظ Ethereum على وظيفة دفتر عناوين مشتركة وتعرض بشكل أساسي أكثر من 10 أرقام، وهو ما لا يكفي بوضوح.

وهذا يعني أنه من الممكن تمامًا للمتسللين إجراء عمليات تصيد مخصصة عن طريق إنشاء عناوين مطابقة (على الرغم من عدم وجود الكثير منها على Bitcoin حتى الآن).

لذلك إذا قمت بشيء متطرف وقمت بقضائه في مهده، فيجب عليك التحقق من العنوان بالكامل قدر الإمكان.

على أية حال...

ادرس البيتكوين.

دراسة أمان البيتكوين.

بينما يقدم Taproot أصولًا جديدة وسيناريوهات جديدة للبيتكوين، يجب علينا أيضًا أن نتعلم أشكالًا جديدة من التهديدات الأمنية، خاصة تقنيات التصيد المتطورة.

خاصة الآن بعد أن أصبحت البنية التحتية البيئية غير كاملة، فحتى العمليات الخاطئة مثل فقدان العملة وحرقها تحدث من وقت لآخر، ناهيك عن التصيد الاحتيالي المخطط جيدًا. .