FIL:慢雾出品 | 加密资产安全解决方案正式上线_mist币怎么质押

随着区块链生态的发展，加密资产经济迎来了爆发式的增长，据统计，加密货币市值已超1.66万亿美元，毫无疑问，加密资产已经逐渐在人们日常投资活动中占据了重要的一席之地。

作为一种具有内在价值的资产，加密资产具有不可逆、难溯源等特点，这让黑客有了强烈的作案动机。据慢雾区块链被黑档案库(hacked.slowmist.io)统计，光是2021上半年全球加密资产损失就超17亿美元，这些损失大部分来自交易所、钱包服务或相关企业，少部分来自于个人用户。基于此，慢雾科技在原有十二大服务的基础上，正式上线加密资产安全解决方案，为用户提供持续的、全方位的资产保障。

加密资产安全解决方案

线上热资产安全解决方案

线上热资产主要是指加密货币私钥放置在线上服务器中对应的资产，需要频繁使用来进行签名交易等，如交易所的热、温钱包等都属于线上热资产。这类资产由于放置在线上服务器中，被黑客攻击的可能性大大增加，是需要重点防护的资产。由于私钥的重要性，提高安全存储等级(如硬件加密芯片保护)、去除单点风险等都是防范攻击的重要手段。慢雾推荐以“协同存管方案”和“私钥/助记词安全配置方案”两个方向来提升线上热资产的安全性。

协同存管方案此方案旨在解决线上私钥的单点存储及使用的风险。在以前的方案中，解决私钥单点问题主要通过使用多签，而随着区块链的快速发展，链的种类越来越多，传统的多签(如比特币的多签及以太坊的智能合约多签等)无法适用于所有链的多签方式，导致为了不同的链需要开发不同的多签方案，安全流程极其繁琐和不可控；尤其是线上的热资产本身的场景就需要适应多种链及币种，如交易所、量化等场景。能兼容所有区块链及币种的通用多签方案是最好的方式，而目前最成熟的解决方案是MPC(安全多方计算)。

慢雾：从Multichain流出的资金总额高达2.65亿美元，分布在9条链:金色财经报道，自7月7日以来，从 Multichain 流出的资金总额高达 2.65 亿美元，分布在 Ethereum、BNB Chain、Polygon、Avalanche、Arbitrum、Optimism、Fantom、Cronos、Moonbeam 链。其中 6582 万美元已经被 Circle 和 Tether 冻结，1,296,990.99 ICE（约 162 万美元） 被 Token 发行方 Burn。流出的资金中，包括：

1）从 Multichain: Old BSC Bridge 转出的 USDT；

2）从 Multichain: Fantom Bridge 转出的 USDC、DAI、LINK、UNIDX、USDT、WOO、ICE、CRV、YFI、TUSD、WETH、WBTC；

3）从 Anyswap: Bridge Fantom 转出的 BIFI；

4）从 Multichain: Moonriver Bridge 转出的 USDC、USDT、DAI、WBTC；

5）从 MultiChain: Doge Bridge 转出的 USDC；

6）从 Multichain: Executor 转出的 DAI、USDC、BTCB、WBTC、WETH、Dai.e、WBTC.e、Bridged USDC、BTC、fUSDT、ETH 等；

7）从被 Etherscan 标记为 Fake_Phishing183873 的 0xe1910...49c53 转出的 WBTC、USDT、ETH，同时我们认为该标记（Fake Phishing183873）或许是 Etherscan 上的虚假标记，地址可能以前属于 Multichain 官方账户。[2023/7/11 10:48:30]

私钥/助记词安全配置方案

慢雾：昨日MEV机器人攻击者恶意构造无效区块，建议中继运营者及时升级:金色财经报道，慢雾分析显示，昨日MEV机器人被攻击的问题原因在于即使信标区块不正确，中继仍将有效载荷（payload）返回给提议者，导致了提议者在另一个区块被最终确定之前就能访问区块内容。攻击者利用此问题，恶意构造了无效的区块，使得该区块无法被验证，中继无法进行广播（状态码为202）从而提前获得交易内容。mev-boost-relay昨日已紧急发布新版本缓解此问题，建议中继运营者及时升级中继。

据此前报道，昨日夹击MEV机器人的恶意验证者已被Slash惩罚并踢出验证者队列。[2023/4/4 13:43:37]

在无法使用MPC方案的情况下，如一些小型的加密货币服务、或项目已经成熟变更周期长时，可以针对已有的私钥、助记词等存储及使用进行加强处理。

详情：

https://github.com/slowmist/cryptocurrency-security/blob/main/Online-Hot-Asset-Security-Solution.md

冷资产安全解决方案

加密世界的冷资产主要是指不会经常进行交易的大额资产，并且私钥保存在断网隔离的状态下。理论上来讲冷资产越"冷"越好，即私钥保证永不触网，并且尽量少的交易，尽量避免暴露地址信息等。安全上的方案建议一方面是私钥存储的安全性，做到尽可能的"冷"；另一方面是使用上的管理流程，尽可能避免私钥泄漏、不在预期内的转账或其它未知的行为。

慢雾：警惕针对 Blur NFT 市场的批量挂单签名“零元购”钓鱼风险:金色财经报道，近期，慢雾生态安全合作伙伴 Scam Sniffer 演示了一个针对 Blur NFT 市场批量挂单签名的“零元购”钓鱼攻击测试，通过一个如图这样的“Root 签名”即可以极低成本（特指“零元购”）钓走目标用户在 Blur 平台授权的所有 NFT，Blur 平台的这个“Root 签名”格式类似“盲签”，用户无法识别这种签名的影响。慢雾安全团队验证了该攻击的可行性及危害性。特此提醒 Blur 平台的所有用户警惕，当发现来非 Blur 官方域名(blur.io)的“Root 签名”，一定要拒绝，避免潜在的资产损失。[2023/3/7 12:46:39]

冷钱包使用推荐方案

当前冷钱包大体上分为硬件钱包和App冷钱包两类。硬件钱包即使用单独的硬件来存储私钥，通过蓝牙或有线与App、网页等连接来实现签名数据的传输。冷钱包是指手机在断网的情况下使用钱包，并且进行离线签名的场景。

冷资产管理流程解决方案

由于冷资产的价值相对较大，属于黑客重点攻击的对象，金钱的诱惑也容易催生出内部作案的可能。如果是一个公司或组织的共有资产，推荐使用一套完善的使用流程来规避被攻击和单点做恶的风险，并且做好流程中每一步的日志记录，以备安全审查。

详情：

https://github.com/slowmist/cryptocurrency-security/blob/main/Cold-Asset-Security-Solution.md

慢雾：LendHub疑似被攻击损失近600万美金，1100枚ETH已转移到Tornado Cash:金色财经报道，据慢雾区情报，HECO生态跨链借贷平台LendHub疑似被攻击，主要黑客获利地址为0x9d01..ab03。黑客于1月12日从Tornado.Cash接收100ETH后，将部分资金跨链到Heco链展开攻击后获利，后使用多个平台（如TransitSwap、Multichain、Uniswap、Curve和OptimismBridge）跨链或兑换被盗资金。截至目前，黑客已分11笔共转1,100ETH到Tornado.Cash。被攻击的具体原因尚待分析，慢雾安全团队将持续跟进此事件。[2023/1/13 11:10:43]

DeFi资产安全解决方案

当前大多数区块链参与方更多的是参与DeFi项目，如挖矿、借贷及理财等。而参与DeFi项目本质上是把手中的资产转移或授权给DeFi项目方，存在个人极大程度上不可控的安全风险。本方案旨在列出DeFi项目的风险点，并且整理出规避这些风险的方式，总体上可分为以下几个方面：

DeFi项目风险评估

DeFi项目资产异常监控及告警

多签合约的使用

DeFi保险推荐方案

详情：

https://github.com/slowmist/cryptocurrency-security/blob/main/DeFi-Asset-Security-Solution.md

动态 | 慢雾 TradingView 0day 漏洞预警:据 Joinsec 情报及慢雾安全团队的深入分析，通用 K 线展示 JS 库 TradingView 再次发现两个 0day 漏洞，可绕过 Cloudflare 及浏览器 CSP 防御机制，并且不会在 Web 服务上留下日志。第一个 0day 漏洞如果被利用成功会导致用户帐号权限被盗、交易恶意操作等，从而造成资产损失；第二个 0day 漏洞可以实施钓鱼攻击盗取用户账号密码，也可在特殊场景下绕过目标 Web 服务的 CSRF 防御。TradingView 在数字货币交易等平台被非常广泛地应用，属于商业软件，版本分布未知。鉴于历史披露及新发现的 0day 漏洞相关场景来看，我们强烈建议使用 TradingView 的项目方保持警惕，注意用户的异常反馈。细节我们会在合适时机下披露。[2019/3/1]

资产所有权安全备份解决方案

加密资产所有权备份，即对私钥或助记词的备份，因为它们承载着对加密货币的完整所有权，一旦被盗或丢失则会损失所有资产。

对于加密资产领域来说，私钥/助记词的备份反而是很大的短板，资产使用上的场景都可以有大量对应的产品来解决，无论是热钱包还是冷钱包，使用上可以保证安全，但很容易忽略其备份的重要性。目前大多数的盗币或者丢币的情况，反而是因为私钥/助记词的备份泄漏或丢失而导致的。备份的重要性等同于加密资产本身，必须要重视起来。

私钥/助记词的备份上也可以考虑降低单点风险，并且使用一些安全的备份方式、介质或流程等。以下是推荐的加密资产所有权备份方案。

Shamir

**MPC

**

备份介质安全存储方案

详情：

https://github.com/slowmist/cryptocurrency-security/blob/main/Asset-Ownership-Backup-Security-Solution.md

资产异常监控及追踪解决方案

在做好加密资产安全存管系列措施后，为了应对诸如“黑天鹅”之类的意外情况，也需要对相关钱包地址进行监控及异常告警，让每一笔资产转移都能被内部团队确认、验证。资产异常监控及追踪的解决方案总体上可分为：

异常监控及告警个人需求可以通过区块浏览器来监控钱包地址，同时满足监控及定制告警的功能。除此之外，也可以借助支持导入“观察钱包”的钱包App(不需要导入私钥助记词，只填写钱包地址)，通过App的通知功能来实现监控告警功能。团队需求建议寻找技术工程师，搭建基于消息队列的监控系统及定制化的告警系统(如邮件、Slack、企业微信等消息推送通道)，这样系统的稳定性及可用性更有保障。

链上追踪依托慢雾BTI系统和AML系统中近两亿地址标签，全面覆盖了全球主流交易所，慢雾MistTrack链上追踪服务累计服务50客户，累计追回资产超2亿美金。当被盗资金流入交易所时，慢雾MistTrack系统将自动发送交易Hash和交易所地址等信息给受害者。同时，慢雾MistTrack团队将汇总输出被盗资金转移完整链路表、余额停留地址以及洗币情况总结等信息，输出完整、全面的分析报告给受害者。被盗案件立案成功后，慢雾MistTrack团队将协助联系被盗资金进入的可调证交易所，对涉案的交易所用户账号进行调证冻结。

链下追踪链下追踪主要指的是与区块链无关的信息，例如邮箱账号、IP地址、设备指纹等信息，根据链上追踪得到这些线索后，可以进一步利用相关平台对链下的信息进行分析取证，寻找一切与盗币者有关的信息。

详情：

https://github.com/slowmist/cryptocurrency-security/blob/main/Asset-Abnormal-Monitoring-And-Tracking-Solution.md

本套加密资产安全解决方案会不断完善，欢迎社区向我们提交pr不断优化这套解决方案，可点击原文链接查看更多介绍。

Key

这是慢雾科技在区块链生态数年一线安全攻防实践积累下，推出的第一个完整解决方案，针对加密资产安全的解决方案。在该解决方案中，我们将继续加速完善各种最佳实践，并在GitHub开源开放出来；同时，慢雾科技也将联手安全鹭(Safeheron)等安全公司，打造机构级的加密资产安全存管产品，共同建设好这个生态攻防面对的最关键一扇门。我们希望，不远的未来，在我们的开源开放及机构级产品极致安全的驱动下，这套解决方案最终可以成为这个生态最佳的一套安全实践。

至此，慢雾科技已推出十三大安全服务，并打造了多款区块链安全产品，用户可针对不同的功能选择不同的产品服务。未来慢雾会继续推出更多的安全服务与解决方案，持续专注于区块链生态建设，为区块链生态构建一个“黑暗森林”中的安全区域。

欢迎联系我们：。

相关资料：

加密资产安全解决?案：

https://www.slowmist.com/#solution-cryptocurrency-security

https://github.com/slowmist/cryptocurrency-security

安全鹭(Safeheron)：

https://www.safeheron.com/

慢雾MistTrack链上追踪服务：

https://aml.slowmist.com/mistTrack.html

往期回顾

THORChain连遭三击，黑客会是同一个吗？

科普|加密货币，你中招了吗？(下)

慢雾招募令，加入未来的安全独角兽

梅开二度——PancakeBunny被黑分析

科普|加密货币，你中招了吗？(上)

慢雾导航

慢雾科技官网

https://www.slowmist.com/

慢雾区官网

https://slowmist.io/

慢雾GitHub

https://github.com/slowmist

Telegram

https://t.me/slowmistteam

Twitter

https://twitter.com/@slowmist_team

Medium

https://medium.com/@slowmist

币乎

https://bihu.com/people/586104

知识星球

https://t.zsxq.com/Q3zNvvF

火星号

http://t.cn/AiRkv4Gz

链闻号

https://www.chainnews.com/u/958260692213.htm

免责声明：作为区块链信息平台，本站所发布文章仅代表作者个人观点，与链闻ChainNews立场无关。文章内的信息、意见等均仅供参考，并非作为或被视为实际投资建议。

本文来源于非小号媒体平台：

慢雾科技

现已在非小号资讯平台发布68篇作品，

非小号开放平台欢迎币圈作者入驻

入驻指南：

/apply_guide/

本文网址：

/news/10221589.html

免责声明：

1.资讯内容不构成投资建议，投资者应独立决策并自行承担风险

2.本文版权归属原作所有，仅代表作者本人观点，不代表非小号的观点或立场

上一篇：

小冯：以太坊再战1700有望企稳黄金注意日线反弹信号

标签：FILFilecoinMISMISTNew hashrate of FilecoinFilecoin币下载MISA币mist币怎么质押

火币下载热门资讯