La guía antiphishing más detallada del ecosistema Bitcoin en la web

Autor original: OneKey Chinese (X:@OneKeyCN)

Nota del editor: La actualización de Taproot y Segwit ha introducido nuevas funciones en la red BTC, y también ha ampliado indirectamente los datos de los bloques, contribuyendo a la explosión del ecosistema BTC desde 2023 hasta la actualidad. Sin embargo, la introducción de nuevos activos y características conlleva nuevos desafíos de seguridad. ¿Cómo maximizar la seguridad de los activos en el ecosistema BTC con una infraestructura de seguridad limitada?OneKey Chinese ha preparado una guía antiphishing para los jugadores ecológicos de Bitcoin, organizada por Odaily Planet Daily de la siguiente manera:

A finales de 2021, la actualización de Taproot entró en vigor en los bloques 709 y 632. En ese momento, la gente estaba inmersa en el auge de los NFT de Ethereum, y nadie sabía que esta sería la actualización más “enriquecedora” de BTC.

Junto con la actualización de Segwit, Taproot ha introducido nuevas funciones en la red BTC, y también ha escalado indirectamente los datos de bloque (equivalentes a 1 MB a 4 MB), lo que se ha convertido en el fusible de la explosión del ecosistema BTC desde 2023 hasta la actualidad. La aparición de nuevos activos como Taproot Assets, Ordinals BRC-20, ARC-20, Runes, etc., también ha mantenido la tasa de adopción de transferencias de Taproot a la mitad o incluso por encima.

Sin embargo, con la introducción de nuevos activos y características vienen nuevos desafíos de seguridad.

El ecosistema de Bitcoin tiene un modelo subyacente que es diferente del ecosistema de Ethereum. En la actualidad, se cree que el escenario de “muchas cosas por construir” y “un alto umbral de comprensión” en la ecología de nuevos activos de BTC hace que muchos usuarios se sientan emocionados, después de todo, esto a menudo significa una oportunidad para “hacerse rico”.

Sin embargo, esto también planteará nuevos requisitos para que los usuarios sean conscientes de las operaciones seguras, de lo contrario es fácil perder monedas sin explicación. Incluso ha habido incidentes, como el anterior mercado de Atomic, que hizo un mal uso de los tipos de firma y dio lugar a la piratería.

La siguiente OneKey le indica cómo proteger los activos y evitar el phishing en un ecosistema BTC con una infraestructura de seguridad limitada.

Un breve análisis del impacto específico de la actualización de Taproot

Antes de hablar de las medidas antiphishing específicas, debemos presagiar el impacto de la actualización de Taproot.

Además de la promoción indirecta mencionada anteriormente de la prosperidad del ecosistema multiactivo de BTC, en realidad ha habido grandes cambios en la parte inferior de la transacción de BTC, principalmente dos: la firma Schnorr y la tecnología MAST. Y cuando estos dos se combinan con PSBT (transacciones parcialmente firmadas), hay más espacio para que los piratas informáticos jueguen una mala pasada.

Uno está firmado por Schnorr. Así es, esta actualización cambió la firma de ECDSA en el libro blanco. La característica técnica de esta firma es que varias firmas o claves públicas se agregan en una sola. En el pasado, se requería que se confirmaran varias firmas una y otra vez, pero ahora solo deben verificarse una vez, lo que reduce directamente la huella de firmas.

Una de ellas es la tecnología MAST. Si la primera es una firma agregada, entonces MAST se usa para “agregar” múltiples scripts (para scripts, puede pensar en él como un “contrato inteligente” finito para Bitcoin). Al mismo tiempo, al enviar el costo de desbloqueo de la verificación, solo necesita verificar una de las condiciones de gasto. La huella de scripts complejos para muchas condiciones se puede reducir considerablemente.

Estas dos tecnologías tienen el mayor impacto en la privacidad, pero también implican un espacio para los riesgos de seguridad.

En el caso de los registros de transferencias, todas las transferencias UTXO tendrán el mismo aspecto después de la actualización. En Mempool, el tipo de transferencia se muestra como P2TR y las direcciones son todas direcciones de la misma longitud que comienzan con bc1p.

Anteriormente, se podía distinguir fácilmente entre una transferencia a una dirección normal (P2PKH/P2WPKH) y una transferencia a una dirección de script (P2SH/P2WSH).

Ahora, hasta que no veas cuántas personas gastan un UTXO, no puedes notar la diferencia entre transferir dinero a una dirección normal y transferir dinero a una dirección de script.

En el caso de los scripts, la verificación del minero solo necesita exponer una de las condiciones de costo del script, y otros scripts de rama son desconocidos para el mundo exterior.

5 consejos para evitar el phishing de nuevos activos en el ecosistema Bitcoin

Obviamente, la infraestructura de seguridad de la ecología de activos actual de BTC es mucho menos poderosa que la de Ethereum, y hay muchas cosas que los usuarios deben comprender y aprender primero.

Al mismo tiempo, el principio del phishing también es diferente al de Ethereum, y es posible que muchos ataques de phishing no sean bien comprendidos por todo el mercado hasta que se descubran. Por ejemplo, el *SIGNHASH_NONE incidente de seguridad de la firma en el mercado de Atomic, la billetera Unisat / Xverse también es una alerta de seguridad que se agregó más tarde.

(1) La primera técnica mental: el cliché de las habilidades básicas de la seguridad de cifrado

Es decir, preste atención a la seguridad del almacenamiento fuera de línea de la clave privada, preste atención a si es una URL confiable y preste atención a proteger la computadora de virus troyanos, etc.

Sin embargo, en el mercado de FOMO, puede haber usuarios que quieran “apresurarse” antes de que un nuevo proyecto haya formado un consenso de confianza, y los siguientes trucos son particularmente importantes.

(2) La segunda técnica mental: entrada y salida claras

Por ejemplo, si un pirata informático quiere pescar todos sus NFT de inscripción de Ordinals a la vez, la ENTRADA de la transacción definitivamente mostrará que todos sus NFT de inscripción se han colocado. AL MISMO TIEMPO, EL RESULTADO MOSTRARÁ QUE TODOS HAN IDO A UNA DIRECCIÓN DESCONOCIDA.

Tomemos, por ejemplo, el uso de Unisat para colocar un NFT con inscripción Ordinals en MagicEden. Cuando realiza un pedido de uno o más NFT de inscripción en el mercado MagiEden, una solicitud de firma PSBT emergente mostrará que la entrada de la transacción es una o más de sus inscripciones, y la salida mostrará cuántos bitcoins recibirá una vez que la transacción sea exitosa.

(3) La tercera técnica mental: Cuidado con el tipo de firma

Puedes ver la ciencia popular del tipo de firma actual de Bitcoin aquí (…) ）。

Digamos que es una dirección de script real. Depende de si exponen el contenido completo de la dirección de script. Si el contenido está incompleto, es posible ocultar una o más condiciones de desbloqueo UTXO maliciosas, incluso si el usuario puede firmar el activo de transferencia normalmente cuando lo usa. Es posible que de repente “cierre la red” y transfiera todos los activos de UTXO algún día en el futuro.

Afortunadamente, para la aplicación actual, la transacción de varios activos de inscripción no necesita usar scripts complejos, y la PSBT (transacción parcialmente firmada) se usa para especificar la entrada y la salida.

Sin embargo, en la futura operación de BTC L2, existe una alta probabilidad de que se involucren scripts complejos de Bitcoin de múltiples condiciones. Por ejemplo, en el script de staking de Bitcoin de Babylon (@babylon_chain), hay una lógica de corte y desbloqueo relativamente compleja.

Si desea utilizar este método de participación nativo de Bitcoin Script, es particularmente importante abrir el script y verificar la seguridad e integridad, de lo contrario, los usuarios deben tener una confianza absoluta en la parte del proyecto.

(5) La quinta técnica mental: prestar atención a la dinámica de seguridad y prestar atención a la prevención

Siga las cuentas principales en el campo de seguridad para asegurarse de que puede mantenerse al día con los últimos métodos de phishing y recibir advertencias lo antes posible. Como Cosine @evilcos de SlowMist, Go Plus Security Official @GoPlusSecurity, Scam Sniffer@realScamSniffer, nuestra cuenta oficial de OneKey @OneKeyCN.

Cuando se trata de prevenir antes de que suceda, podemos transferir lecciones de seguridad de otros lugares. Por ejemplo, en Ethereum, existe un método de phishing de este tipo, es decir, la construcción de direcciones con cara y cruz similares, lo que hace que los usuarios pierdan activos al copiarlos por error en el historial. Y al construir transacciones de firma de BTC, también es posible pisar el pozo porque la dirección de salida no está claramente verificada.

En las principales billeteras ecológicas de BTC como Unisat / Xverse, la dirección de Taproot se muestra como bc1px… e9wh0 (ejemplo), y bc1p es el comienzo fijo de la dirección Taproot.

Esto equivale a solo 6 cartas de confirmación. En comparación con la configuración estándar de las billeteras Ethereum que tienen una función común de libreta de direcciones y básicamente muestran más de 10 dígitos, obviamente no es suficiente.

Esto significa que existe una buena posibilidad de que los piratas informáticos puedan realizar phishing personalizado generando direcciones coincidentes (aunque no hay muchas en Bitcoin en este momento).

Por lo tanto, si haces algo para evitar que suceda, debes verificar la dirección lo más completa posible.

De todas formas…

Estudia Bitcoin.

Estudia la seguridad de Bitcoin.

A medida que Taproot introduce nuevos activos y nuevos escenarios para Bitcoin, también debemos aprender nuevas formas de amenazas de seguridad, especialmente las técnicas de phishing en constante evolución.

Especialmente ahora que la infraestructura ecológica no es perfecta, incluso el mal funcionamiento y la pérdida y quema de monedas ocurren de vez en cuando, sin mencionar la pesca bien planificada.

Por último, pero no menos importante: OneKey siempre pone la seguridad en primer lugar, manteniéndose al día con los desarrollos tecnológicos y actualizando y compartiendo políticas de seguridad. El ecosistema BTC es uno de los protagonistas de esta carrera alcista, y continuaremos prestando atención a los desafíos de seguridad del ecosistema BTC y trabajaremos juntos para promover y construir un entorno de criptoactivos más seguro.

Enlace al artículo original