Руководство по безопасной торговле в Web3: защитите свои активы в блокчейне
С развитием экосистемы блокчейна, в блокчейн-транзакции стали неотъемлемой частью повседневных операций пользователей Web3. Активы пользователей переходят с централизованных платформ на децентрализованные сети, что означает, что ответственность за безопасность активов постепенно переходит от платформы к самим пользователям. В блокчейн-среде пользователи должны нести ответственность за каждое взаимодействие, будь то импорт кошелька, доступ к приложениям или подпись авторизации и инициирование транзакций; любая неосторожная операция может стать угрозой безопасности, что приведет к утечке приватных ключей, злоупотреблению авторизацией или фишинговым атакам и другим серьезным последствиям.
Хотя в настоящее время основные плагины для кошельков и браузеры постепенно интегрируют функции распознавания фишинга, предупреждения о рисках и другие, полагаться только на пассивную защиту инструментов в условиях все более сложных методов атак по-прежнему сложно полностью избежать рисков. Чтобы помочь пользователям более четко идентифицировать потенциальные рисковые точки в цепочных транзакциях, в этой статье на основе практического опыта систематизированы частые рисковые сценарии на всех этапах процесса, а также предложены рекомендации по защите и советы по использованию инструментов, что позволило разработать комплексное руководство по безопасности цепочных транзакций, направленное на помощь каждому пользователю Web3 в создании "самостоятельно контролируемой" линии защиты.
Основные принципы безопасной торговли:
Отказ от слепого подписания: не подписывайте транзакции или сообщения, которые вы не понимаете.
Повторная проверка: перед проведением любой транзакции обязательно многократно проверяйте точность соответствующей информации.
Один. Рекомендации по безопасной торговле
Безопасная торговля является ключом к защите цифровых активов. Исследования показывают, что использование безопасных кошельков и двухфакторной аутентификации (2FA) может значительно уменьшить риски. Вот конкретные рекомендации:
Используйте безопасный кошелек: выбирайте поставщиков кошельков с хорошей репутацией, таких как аппаратные кошельки или известные программные кошельки. Аппаратные кошельки обеспечивают оффлайн-хранение, что снижает риск онлайн-атак и подходит для хранения крупных активов.
Дважды проверьте детали транзакции: перед подтверждением транзакции всегда проверяйте адрес получения, сумму и сеть (например, убедитесь, что вы используете правильный в блокчейне, такой как Ethereum или BNB Chain и т. д.), чтобы избежать потерь из-за ошибок ввода.
Включите двухфакторную аутентификацию (2FA): если торговая платформа или кошелек поддерживают 2FA, обязательно включите его для повышения безопасности аккаунта, особенно при использовании горячего кошелька.
Избегайте использования общественного Wi-Fi: не проводите транзакции в общественных Wi-Fi сетях, чтобы предотвратить фишинг и атаки посредников.
2. Как безопасно совершать сделки
Полный процесс транзакции децентрализованного приложения включает несколько этапов: установка кошелька, доступ к приложению, подключение кошелька, подпись сообщения, подпись транзакции, обработка после транзакции. На каждом этапе существуют определенные риски безопасности, ниже будут последовательно представлены меры предосторожности в ходе практического применения.
Примечание: в этот раз основное внимание будет уделено процессу безопасного взаимодействия в Ethereum и других совместимых с EVM цепочках; инструменты и конкретные технические детали, используемые в других не-EVM цепочках, могут отличаться.
1. Установка кошелька
В настоящее время основным способом использования децентрализованных приложений является взаимодействие через кошельки в виде плагинов для браузеров. Основные кошельки, используемые в EVM-цепочках, включают в себя множество вариантов.
При установке кошелька в виде расширения Chrome необходимо убедиться, что его скачивают из магазина приложений Chrome, чтобы избежать установки кошельков с бэкдорами с третьих сайтов. Пользователям, у которых есть такая возможность, рекомендуется использовать аппаратные кошельки для дополнительного повышения общей безопасности хранения приватных ключей.
При установке резервной фразы для кошелька (обычно это восстановительная фраза из 12-24 слов) рекомендуется хранить её в безопасном месте, вдали от цифровых устройств (например, записать на бумаге и сохранить в сейфе).
2. Доступ к децентрализованным приложениям
Фишинг в интернете является распространенной тактикой атак в Web3. Типичный случай заключается в том, чтобы под предлогом аirdrop'а заманить пользователей посетить фишинговое приложение, после чего, когда пользователь подключает свой кошелек, его склоняют подписывать авторизацию токена, проводить транзакции или подписывать авторизацию токена, что приводит к потерям активов.
Поэтому при посещении децентрализованных приложений пользователям следует быть внимательными, чтобы избежать ловушек веб-фишинга.
Перед доступом к децентрализованному приложению необходимо подтвердить правильность URL-адреса. Рекомендуется:
Избегайте прямого доступа через поисковые системы: Фишинг-атакующие могут повысить рейтинг своих фишинговых сайтов, покупая рекламные места.
Избегайте нажатия на ссылки в социальных сетях: URL-адреса, опубликованные в комментариях или сообщениях, могут быть фишинговыми ссылками.
Повторная проверка правильности URL-адреса приложения: можно сверить через платформу данных, официальные аккаунты социальных сетей проекта и другие источники.
Добавьте безопасный сайт в закладки браузера: в дальнейшем можно будет напрямую заходить из закладок.
После открытия веб-страницы приложения также необходимо провести проверку безопасности адресной строки:
Проверьте, похожи ли домены и URL-адреса на поддельные.
Проверьте, является ли ссылка HTTPS, браузер должен отображать значок замка🔒.
На данный момент популярные плагин-кошельки на рынке также интегрировали определенные функции предупреждения о рисках, которые могут показывать сильное предупреждение при посещении рискованных веб-сайтов.
3. Подключить кошелек
После входа в децентрализованное приложение может автоматически произойти подключение кошелька или это действие может быть инициировано нажатием кнопки "Подключить". Плагин-кошелек проведет некоторые проверки и отобразит информацию для текущего приложения.
После подключения кошелька приложение обычно не вызывает плагин-кошелек, если пользователь не предпринимает никаких действий. Если веб-сайт часто вызывает кошелек для подписания сообщений или подписания транзакций после входа в систему, даже если пользователь отказывается подписывать, и продолжает всплывать с запросами на подпись, это может указывать на фишинговый сайт, и к этому нужно относиться осторожно.
4. Подпись сообщения
В экстремальных случаях, например, если злоумышленник атакует официальный сайт протокола или использует атаки типа "вредоносный фронт", чтобы заменить содержимое страницы, обычным пользователям будет сложно определить безопасность сайта в такой ситуации.
На этом этапе подпись плагина-кошелька является последней линией защиты активов пользователей. Если отклонить вредоносные подписи, можно защитить свои активы от потерь. Пользователи должны внимательно проверять содержимое подписи при подписании любых сообщений и транзакций, отказываясь от слепых подписей, чтобы избежать потерь активов.
Распространенные типы подписей включают:
eth_sign: Подписать хэш-данные.
personal_sign: Подписание открытой информации, наиболее часто встречается при проверке входа пользователя или подтверждении лицензионного соглашения.
eth_signTypedData (EIP-712): Подпись структурированных данных, часто используется для Permit ERC20, NFT-заявок и т.д.
5. Подпись транзакции
Подпись транзакции используется для авторизации транзакций в блокчейне, таких как переводы или вызовы смарт-контрактов. Пользователь подписывает с помощью приватного ключа, сеть проверяет действительность транзакции. В настоящее время многие плагин-кошельки декодируют сообщения, ожидающие подписи, и отображают соответствующую информацию, обязательно следуйте принципу "не подписывать вслепую", рекомендации по безопасности:
Тщательно проверьте адрес получателя, сумму и сеть, чтобы избежать ошибок.
Рекомендуется использовать оффлайн-подпись для крупных транзакций, чтобы снизить риск онлайн-атак.
Обратите внимание на газовые сборы, убедитесь, что они разумные, чтобы избежать мошенничества.
Для пользователей с определённой технической подготовкой также можно использовать некоторые распространённые методы ручной проверки: скопировав адрес целевого контракта в блокчейне в блокчейн-браузер для проверки. Основные аспекты проверки включают: является ли контракт открытым исходным кодом, есть ли в последнее время большое количество транзакций и присвоил ли браузер этому адресу официальный или злонамеренный тег и т.д.
6. Обработка после сделки
Избежание фишинговых страниц и вредоносных подписей не означает, что все в порядке, после сделки также необходимо проводить управление рисками.
После сделки необходимо своевременно проверить состояние транзакции в блокчейне и подтвердить, соответствует ли оно ожидаемому состоянию на момент подписания. Если обнаружены аномалии, своевременно выполните операции по переводу активов, аннулированию полномочий и другим мерам по ограничению убытков.
Управление одобрением ERC20 также очень важно. В некоторых случаях пользователи предоставляли токен-одобрение определенным контрактам, и спустя годы эти контракты подверглись атаке, а злоумышленники использовали лимиты токен-одобрения атакуемых контрактов для кражи средств пользователей. Чтобы избежать подобных ситуаций, рекомендуется следовать следующим стандартам для предотвращения рисков:
Минимизация авторизации. При проведении авторизации токенов необходимо ограничить количество токенов в соответствии с требованиями сделки. Если для сделки требуется авторизация 100 USDT, то количество авторизации должно быть ограничено 100 USDT, а не использовать стандартную неограниченную авторизацию.
Своевременно отменяйте ненужные разрешения на токены. Пользователи могут войти в инструмент управления разрешениями, чтобы проверить состояние разрешений для соответствующего адреса, отменяя разрешения для протоколов, с которыми не было взаимодействия в течение длительного времени, чтобы предотвратить возможные уязвимости протокола, которые могут привести к потере активов из-за использования разрешений пользователя.
Три, стратегия изоляции средств
При наличии осознания рисков и достаточных мер по их предотвращению также рекомендуется проводить эффективную изоляцию средств, чтобы снизить уровень ущерба в крайних ситуациях. Рекомендуемые стратегии следующие:
Используйте мультиподписные кошельки или холодные кошельки для хранения крупных активов;
Используйте плагин-кошелек или EOA-кошелек в качестве горячего кошелька для повседневного взаимодействия;
Регулярно меняйте адреса горячих кошельков, чтобы предотвратить постоянное воздействие адресов на рискованные среды.
Если случайно действительно произошла ситуация с фишингом, рекомендуется немедленно предпринять следующие меры для снижения потерь:
Используйте инструменты управления авторизацией для отмены высоких разрешений;
Если подпись permit была подписана, но актив еще не был перемещен, можно немедленно инициировать новую подпись, чтобы сделать недействительной старую подпись nonce;
При необходимости быстро переведите оставшиеся активы на новый адрес или холодный кошелек.
Четыре, как безопасно участвовать в airdrop-акциях
Airdrop — это распространенный способ продвижения проектов в блокчейне, но в этом также скрыты риски. Вот несколько советов:
Исследование фона проекта: обеспечить наличие четкого белого документа, открытой информации о команде и репутации сообщества;
Используйте специальный адрес: зарегистрируйте специальный кошелек и электронную почту, чтобы изолировать риски основного аккаунта;
Осторожно нажимайте на ссылки: получайте информацию о аирдропах только через официальные каналы, избегайте нажатия на подозрительные ссылки в социальных сетях;
Пять, Рекомендации по выбору и использованию инструментов плагинов
Содержимое кодекса безопасности в блокчейне обширно, и возможно, что не всегда удается проводить тщательную проверку при каждом взаимодействии. Выбор безопасных плагинов имеет решающее значение и может помочь нам в оценке рисков. Вот конкретные рекомендации:
Доверенные расширения: используйте популярные браузерные расширения. Эти плагины предоставляют функции кошелька и поддерживают взаимодействие с децентрализованными приложениями.
Проверка рейтинга: перед установкой нового плагина проверьте рейтинг пользователей и количество установок. Высокий рейтинг и большое количество установок обычно указывают на более надежный плагин, что снижает риск наличия вредоносного кода.
Поддерживайте обновления: регулярно обновляйте свои плагины, чтобы получить последние функции безопасности и исправления. Устаревшие плагины могут содержать известные уязвимости, которые могут быть использованы злоумышленниками.
Шесть, заключение
Следуя вышеупомянутым руководствам по безопасным сделкам, пользователи могут более уверенно взаимодействовать в все более сложной экосистеме в блокчейне, что действительно повысит уровень защиты активов. Хотя технологии блокчейна основаны на принципах децентрализованности и прозрачности, это также означает, что пользователи должны самостоятельно справляться с множеством рисков, включая фишинг с подделкой подписей, утечку приватных ключей и вредоносные приложения.
Чтобы достичь действительно безопасной интеграции в блокчейн, полагаться только на инструменты уведомления явно недостаточно; ключевым является создание системного сознания о безопасности и привычек работы. Используя аппаратные кошельки, внедряя стратегии изоляции средств, регулярно проверяя разрешения и обновляя плагины и другие меры защиты, а также придерживаясь принципов "многофакторной проверки, отказа от слепого подписания и изоляции средств" в операциях, можно действительно достичь "свободной и безопасной интеграции в блокчейн".
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
11 Лайков
Награда
11
4
Репост
Поделиться
комментарий
0/400
StakeHouseDirector
· 21ч назад
Если даже сырые яйца могут быть украдены, то кто может быть надежным?
Посмотреть ОригиналОтветить0
OnchainGossiper
· 21ч назад
Не безопасно, используйте протокол сои
Посмотреть ОригиналОтветить0
ForkMaster
· 21ч назад
Сразу видно, что это старый метод, использующийся крипто-ветеранами для разыгрывания людей как лохов. Только белые шляпы понимают эти тонкости.
Посмотреть ОригиналОтветить0
CryptoMom
· 21ч назад
На каком основании снова заставляют нас нести ответственность?
Руководство по безопасности транзакций Web3 в блокчейне: стратегии управления рисками и защиты активов на всех этапах
Руководство по безопасной торговле в Web3: защитите свои активы в блокчейне
С развитием экосистемы блокчейна, в блокчейн-транзакции стали неотъемлемой частью повседневных операций пользователей Web3. Активы пользователей переходят с централизованных платформ на децентрализованные сети, что означает, что ответственность за безопасность активов постепенно переходит от платформы к самим пользователям. В блокчейн-среде пользователи должны нести ответственность за каждое взаимодействие, будь то импорт кошелька, доступ к приложениям или подпись авторизации и инициирование транзакций; любая неосторожная операция может стать угрозой безопасности, что приведет к утечке приватных ключей, злоупотреблению авторизацией или фишинговым атакам и другим серьезным последствиям.
Хотя в настоящее время основные плагины для кошельков и браузеры постепенно интегрируют функции распознавания фишинга, предупреждения о рисках и другие, полагаться только на пассивную защиту инструментов в условиях все более сложных методов атак по-прежнему сложно полностью избежать рисков. Чтобы помочь пользователям более четко идентифицировать потенциальные рисковые точки в цепочных транзакциях, в этой статье на основе практического опыта систематизированы частые рисковые сценарии на всех этапах процесса, а также предложены рекомендации по защите и советы по использованию инструментов, что позволило разработать комплексное руководство по безопасности цепочных транзакций, направленное на помощь каждому пользователю Web3 в создании "самостоятельно контролируемой" линии защиты.
Основные принципы безопасной торговли:
Один. Рекомендации по безопасной торговле
Безопасная торговля является ключом к защите цифровых активов. Исследования показывают, что использование безопасных кошельков и двухфакторной аутентификации (2FA) может значительно уменьшить риски. Вот конкретные рекомендации:
Используйте безопасный кошелек: выбирайте поставщиков кошельков с хорошей репутацией, таких как аппаратные кошельки или известные программные кошельки. Аппаратные кошельки обеспечивают оффлайн-хранение, что снижает риск онлайн-атак и подходит для хранения крупных активов.
Дважды проверьте детали транзакции: перед подтверждением транзакции всегда проверяйте адрес получения, сумму и сеть (например, убедитесь, что вы используете правильный в блокчейне, такой как Ethereum или BNB Chain и т. д.), чтобы избежать потерь из-за ошибок ввода.
Включите двухфакторную аутентификацию (2FA): если торговая платформа или кошелек поддерживают 2FA, обязательно включите его для повышения безопасности аккаунта, особенно при использовании горячего кошелька.
Избегайте использования общественного Wi-Fi: не проводите транзакции в общественных Wi-Fi сетях, чтобы предотвратить фишинг и атаки посредников.
2. Как безопасно совершать сделки
Полный процесс транзакции децентрализованного приложения включает несколько этапов: установка кошелька, доступ к приложению, подключение кошелька, подпись сообщения, подпись транзакции, обработка после транзакции. На каждом этапе существуют определенные риски безопасности, ниже будут последовательно представлены меры предосторожности в ходе практического применения.
Примечание: в этот раз основное внимание будет уделено процессу безопасного взаимодействия в Ethereum и других совместимых с EVM цепочках; инструменты и конкретные технические детали, используемые в других не-EVM цепочках, могут отличаться.
1. Установка кошелька
В настоящее время основным способом использования децентрализованных приложений является взаимодействие через кошельки в виде плагинов для браузеров. Основные кошельки, используемые в EVM-цепочках, включают в себя множество вариантов.
При установке кошелька в виде расширения Chrome необходимо убедиться, что его скачивают из магазина приложений Chrome, чтобы избежать установки кошельков с бэкдорами с третьих сайтов. Пользователям, у которых есть такая возможность, рекомендуется использовать аппаратные кошельки для дополнительного повышения общей безопасности хранения приватных ключей.
При установке резервной фразы для кошелька (обычно это восстановительная фраза из 12-24 слов) рекомендуется хранить её в безопасном месте, вдали от цифровых устройств (например, записать на бумаге и сохранить в сейфе).
2. Доступ к децентрализованным приложениям
Фишинг в интернете является распространенной тактикой атак в Web3. Типичный случай заключается в том, чтобы под предлогом аirdrop'а заманить пользователей посетить фишинговое приложение, после чего, когда пользователь подключает свой кошелек, его склоняют подписывать авторизацию токена, проводить транзакции или подписывать авторизацию токена, что приводит к потерям активов.
Поэтому при посещении децентрализованных приложений пользователям следует быть внимательными, чтобы избежать ловушек веб-фишинга.
Перед доступом к децентрализованному приложению необходимо подтвердить правильность URL-адреса. Рекомендуется:
После открытия веб-страницы приложения также необходимо провести проверку безопасности адресной строки:
На данный момент популярные плагин-кошельки на рынке также интегрировали определенные функции предупреждения о рисках, которые могут показывать сильное предупреждение при посещении рискованных веб-сайтов.
3. Подключить кошелек
После входа в децентрализованное приложение может автоматически произойти подключение кошелька или это действие может быть инициировано нажатием кнопки "Подключить". Плагин-кошелек проведет некоторые проверки и отобразит информацию для текущего приложения.
После подключения кошелька приложение обычно не вызывает плагин-кошелек, если пользователь не предпринимает никаких действий. Если веб-сайт часто вызывает кошелек для подписания сообщений или подписания транзакций после входа в систему, даже если пользователь отказывается подписывать, и продолжает всплывать с запросами на подпись, это может указывать на фишинговый сайт, и к этому нужно относиться осторожно.
4. Подпись сообщения
В экстремальных случаях, например, если злоумышленник атакует официальный сайт протокола или использует атаки типа "вредоносный фронт", чтобы заменить содержимое страницы, обычным пользователям будет сложно определить безопасность сайта в такой ситуации.
На этом этапе подпись плагина-кошелька является последней линией защиты активов пользователей. Если отклонить вредоносные подписи, можно защитить свои активы от потерь. Пользователи должны внимательно проверять содержимое подписи при подписании любых сообщений и транзакций, отказываясь от слепых подписей, чтобы избежать потерь активов.
Распространенные типы подписей включают:
5. Подпись транзакции
Подпись транзакции используется для авторизации транзакций в блокчейне, таких как переводы или вызовы смарт-контрактов. Пользователь подписывает с помощью приватного ключа, сеть проверяет действительность транзакции. В настоящее время многие плагин-кошельки декодируют сообщения, ожидающие подписи, и отображают соответствующую информацию, обязательно следуйте принципу "не подписывать вслепую", рекомендации по безопасности:
Для пользователей с определённой технической подготовкой также можно использовать некоторые распространённые методы ручной проверки: скопировав адрес целевого контракта в блокчейне в блокчейн-браузер для проверки. Основные аспекты проверки включают: является ли контракт открытым исходным кодом, есть ли в последнее время большое количество транзакций и присвоил ли браузер этому адресу официальный или злонамеренный тег и т.д.
6. Обработка после сделки
Избежание фишинговых страниц и вредоносных подписей не означает, что все в порядке, после сделки также необходимо проводить управление рисками.
После сделки необходимо своевременно проверить состояние транзакции в блокчейне и подтвердить, соответствует ли оно ожидаемому состоянию на момент подписания. Если обнаружены аномалии, своевременно выполните операции по переводу активов, аннулированию полномочий и другим мерам по ограничению убытков.
Управление одобрением ERC20 также очень важно. В некоторых случаях пользователи предоставляли токен-одобрение определенным контрактам, и спустя годы эти контракты подверглись атаке, а злоумышленники использовали лимиты токен-одобрения атакуемых контрактов для кражи средств пользователей. Чтобы избежать подобных ситуаций, рекомендуется следовать следующим стандартам для предотвращения рисков:
Три, стратегия изоляции средств
При наличии осознания рисков и достаточных мер по их предотвращению также рекомендуется проводить эффективную изоляцию средств, чтобы снизить уровень ущерба в крайних ситуациях. Рекомендуемые стратегии следующие:
Если случайно действительно произошла ситуация с фишингом, рекомендуется немедленно предпринять следующие меры для снижения потерь:
! Никаких недоразумений при ончейн-взаимодействии, пожалуйста, отложите руководство по безопасным транзакциям Web3
Четыре, как безопасно участвовать в airdrop-акциях
Airdrop — это распространенный способ продвижения проектов в блокчейне, но в этом также скрыты риски. Вот несколько советов:
Пять, Рекомендации по выбору и использованию инструментов плагинов
Содержимое кодекса безопасности в блокчейне обширно, и возможно, что не всегда удается проводить тщательную проверку при каждом взаимодействии. Выбор безопасных плагинов имеет решающее значение и может помочь нам в оценке рисков. Вот конкретные рекомендации:
Шесть, заключение
Следуя вышеупомянутым руководствам по безопасным сделкам, пользователи могут более уверенно взаимодействовать в все более сложной экосистеме в блокчейне, что действительно повысит уровень защиты активов. Хотя технологии блокчейна основаны на принципах децентрализованности и прозрачности, это также означает, что пользователи должны самостоятельно справляться с множеством рисков, включая фишинг с подделкой подписей, утечку приватных ключей и вредоносные приложения.
Чтобы достичь действительно безопасной интеграции в блокчейн, полагаться только на инструменты уведомления явно недостаточно; ключевым является создание системного сознания о безопасности и привычек работы. Используя аппаратные кошельки, внедряя стратегии изоляции средств, регулярно проверяя разрешения и обновляя плагины и другие меры защиты, а также придерживаясь принципов "многофакторной проверки, отказа от слепого подписания и изоляции средств" в операциях, можно действительно достичь "свободной и безопасной интеграции в блокчейн".