Guía de seguridad de transacciones Web3: Construyendo un sistema de protección autónomo y controlable
A medida que el ecosistema en la cadena sigue desarrollándose, las transacciones en la cadena se han convertido en operaciones indispensables para los usuarios de Web3. Los activos de los usuarios están acelerando su migración de plataformas centralizadas a redes descentralizadas, lo que también significa que la responsabilidad de la seguridad de los activos está pasando de la plataforma a los propios usuarios. En un entorno en la cadena, los usuarios deben ser responsables de cada interacción, incluyendo la importación de billeteras, el acceso a DApps, la firma de autorizaciones y el inicio de transacciones, entre otros. Cualquier operación descuidada podría provocar graves consecuencias, como la filtración de claves privadas, el abuso de autorizaciones o ataques de phishing.
A pesar de que actualmente los complementos de billetera y los navegadores principales han integrado funciones como la detección de phishing y las advertencias de riesgo, enfrentar técnicas de ataque cada vez más complejas requiere más que depender pasivamente de herramientas para evitar riesgos. Para ayudar a los usuarios a identificar más claramente los puntos de riesgo potencial en las transacciones en cadena, hemos recopilado, basándonos en la experiencia práctica, los escenarios de riesgo más frecuentes a lo largo del proceso, y junto con recomendaciones de protección y técnicas de uso de herramientas, hemos desarrollado una guía sistemática de seguridad para transacciones en cadena, con el objetivo de ayudar a cada usuario de Web3 a construir una línea de defensa "autónoma y controlable".
Los principios fundamentales del comercio seguro:
Rechaza firmar sin entender: nunca firmes transacciones o mensajes que no comprendas.
Verificación repetida: Antes de realizar cualquier transacción, asegúrese de verificar la precisión de la información relacionada varias veces.
1. Sugerencias para un comercio seguro
La clave para proteger los activos digitales es realizar transacciones seguras. Los estudios muestran que usar billeteras seguras y la verificación en dos pasos (2FA) puede reducir significativamente el riesgo. Las recomendaciones específicas son las siguientes:
Elige una billetera segura:
Prioriza proveedores de billeteras con buena reputación, como algunas billeteras de hardware o software conocidas. Las billeteras de hardware ofrecen almacenamiento fuera de línea, reduciendo el riesgo de ataques en línea, lo que las hace adecuadas para almacenar grandes sumas de activos.
Verificar detenidamente los detalles de la transacción:
Antes de confirmar la transacción, asegúrese de verificar la dirección de recepción, el monto y la red (como asegurarse de usar la cadena correcta) para evitar pérdidas debido a errores de entrada.
Habilitar la verificación en dos pasos:
Si la plataforma de intercambio o la billetera admite 2FA, asegúrese de activarlo para aumentar la seguridad de la cuenta, especialmente al usar una billetera caliente.
Evitar el uso de Wi-Fi público:
No realices transacciones en redes Wi-Fi públicas para evitar ataques de phishing y ataques de intermediarios.
Dos, Guía de operaciones de transacción segura
Un proceso completo de transacción DApp implica múltiples etapas: instalación de la billetera, acceso a DApp, conexión de la billetera, firma de mensajes, firma de transacciones y procesamiento posterior de transacciones. Cada etapa presenta ciertos riesgos de seguridad, a continuación se describirán las precauciones a tener en cuenta en la operación práctica.
1. Instalación de la billetera
Actualmente, las DApps interactúan principalmente a través de billeteras de complemento del navegador. Las billeteras más populares utilizadas en las cadenas EVM incluyen algunas billeteras de complemento conocidas.
Al instalar la billetera de la extensión de Chrome, se debe descargar desde la tienda de aplicaciones oficial, evitando la instalación desde sitios web de terceros para prevenir la instalación de software de billetera con puertas traseras. Se recomienda a los usuarios que lo permitan combinar el uso de una billetera de hardware para mejorar aún más la seguridad general de la custodia de claves privadas.
Al hacer una copia de seguridad de la frase semilla (generalmente una frase de recuperación de 12 a 24 palabras), se recomienda almacenarla en un lugar físico seguro, lejos de dispositivos digitales, como escribirla en papel y guardarla en una caja de seguridad.
2. Acceder a DApp
El phishing web es una técnica común en los ataques de Web3. Un caso típico es inducir a los usuarios a visitar DApps de phishing bajo el pretexto de un airdrop, donde, tras conectar su billetera, se les induce a firmar autorizaciones de tokens, transacciones de transferencia o firmas de autorización de tokens, lo que resulta en pérdidas de activos.
Antes de acceder a la DApp, confirme la corrección de la dirección web. Sugerencia:
Evitar acceder directamente a través de motores de búsqueda
Tenga cuidado al hacer clic en enlaces en las redes sociales
Verificar la corrección de la URL de la DApp a través de múltiples fuentes.
Agregar sitios web seguros a los favoritos del navegador
Después de abrir la página web de DApp, es necesario realizar una revisión de seguridad en la barra de direcciones:
Verifica si el dominio y la URL parecen falsificados
Confirme si es un enlace HTTPS, el navegador debe mostrar el símbolo de candado.
3. Conectar billetera
Al ingresar a la DApp, puede que se active automáticamente o tras hacer clic en Conectar para iniciar la operación de conexión de la billetera. La billetera de extensiones realizará algunas verificaciones y mostrará información sobre la DApp actual.
Después de conectar la billetera, normalmente, cuando el usuario no realiza ninguna otra operación, la DApp no invocará activamente la billetera del plugin. Si el sitio web solicita frecuentemente la firma de mensajes o la firma de transacciones después de iniciar sesión, e incluso sigue apareciendo la solicitud de firma después de rechazarla, esto podría ser un indicio de un sitio de phishing y debe manejarse con precaución.
4. Firma de mensaje
En situaciones extremas, como cuando un atacante logra infiltrarse en el sitio web oficial del protocolo o reemplaza el contenido de la página a través de ataques de secuestro del frontend, es muy difícil para los usuarios comunes identificar la seguridad del sitio web.
En este momento, la firma de la billetera de complemento se convierte en la última línea de defensa para que los usuarios protejan sus propios activos. Siempre que se rechacen las firmas maliciosas, se puede evitar la pérdida de activos. Los usuarios deben revisar cuidadosamente el contenido de la firma antes de firmar cualquier mensaje y transacción, y rechazar la firma ciega.
Los tipos de firma más comunes incluyen:
eth_sign: firma de datos hash
personal_sign: Firmar información en texto claro, comúnmente utilizada para la verificación de inicio de sesión del usuario o la confirmación de acuerdos de licencia.
eth_signTypedData (EIP-712): firma de datos estructurados, comúnmente utilizada en el Permiso de ERC20, órdenes de NFT, etc.
5. Firma de la transacción
La firma de transacciones se utiliza para autorizar transacciones en la blockchain, como transferencias o llamadas a contratos inteligentes. Los usuarios firman con su clave privada y la red verifica la validez de la transacción. Muchos monederos de plugins decodifican el mensaje a firmar y muestran el contenido relevante, los usuarios deben seguir el principio de no firmar ciegamente. Consejos de seguridad:
Verifique cuidadosamente la dirección del receptor, la cantidad y la red para evitar errores.
Se recomienda utilizar firmas offline para transacciones de gran volumen, reduciendo el riesgo de ataques en línea.
Presta atención a las tarifas de gas, asegúrate de que sean razonables y prevén estafas.
Para los usuarios con ciertas habilidades técnicas, se puede adoptar un método de revisión manual: copiar la dirección del contrato objetivo de interacción en el explorador de blockchain para su revisión, verificando principalmente si el contrato es de código abierto, si ha habido un gran número de transacciones recientemente, y si el explorador ha etiquetado la dirección como oficial o maliciosa, entre otros.
6. Procesamiento posterior a la transacción
Incluso si logras evitar páginas de phishing y firmas maliciosas, aún necesitas realizar una gestión de riesgos después de la transacción.
Después de la transacción, se debe verificar a tiempo la situación en la cadena para confirmar si coincide con el estado esperado al momento de la firma. Si se detectan anomalías, se deben realizar de inmediato operaciones de detención de pérdidas, como la transferencia de activos o la revocación de autorizaciones.
La gestión de la aprobación ERC20 también es importante. En ciertos casos, después de que los usuarios otorgan autorización de tokens a un contrato, estos contratos sufren ataques años después, y los atacantes aprovechan los límites de autorización para robar los fondos de los usuarios. Para prevenir tales situaciones, se recomienda seguir los siguientes estándares:
Autorización mínima: autorizar una cantidad limitada de tokens según las necesidades de la transacción, evitando el uso de la autorización ilimitada por defecto.
Revocar oportunamente las autorizaciones innecesarias: consultar periódicamente la situación de las autorizaciones de la dirección, revocar las autorizaciones de protocolos que no han interactuado durante mucho tiempo, para prevenir la pérdida de activos debido a vulnerabilidades en el protocolo.
Tres, Estrategia de Aislamiento de Fondos
Incluso si se tiene conciencia de los riesgos y se toman las precauciones adecuadas, se recomienda implementar una efectiva segregación de fondos para reducir el nivel de pérdidas en situaciones extremas. Las estrategias recomendadas son las siguientes:
Utilizar una billetera multifirma o una billetera fría para almacenar grandes activos
Utiliza una billetera de complemento o una billetera EOA como billetera caliente para interacciones diarias
Cambiar regularmente la dirección del monedero caliente para evitar la exposición a entornos de riesgo a largo plazo.
Si desafortunadamente sufres un phishing, se recomienda tomar las siguientes medidas de inmediato para reducir las pérdidas:
Utilizar herramientas profesionales para cancelar autorizaciones de alto riesgo
Si se ha firmado el permiso pero los activos aún no se han transferido, se puede iniciar de inmediato una nueva firma para invalidar el nonce de la firma anterior.
Si es necesario, transfiera rápidamente los activos restantes a una nueva dirección o a una billetera fría.
Cuatro, participar de forma segura en actividades de airdrop
El airdrop es una forma común de promoción de proyectos de blockchain, pero también existen riesgos potenciales. A continuación, se presentan algunas recomendaciones:
Investigación de antecedentes del proyecto: Asegurar que el proyecto tenga un libro blanco claro, información del equipo pública y una buena reputación en la comunidad.
Utilizar una dirección dedicada: Registre una billetera y un correo electrónico dedicados, aislando así el riesgo del cuenta principal.
Haz clic con precaución en los enlaces: obtén información sobre airdrops únicamente a través de canales oficiales, evita hacer clic en enlaces sospechosos en las plataformas sociales.
Cinco, selección y recomendaciones para el uso de herramientas de plugins
Dado que el contenido del código de seguridad de la blockchain es extenso y puede ser difícil realizar una revisión minuciosa en cada interacción, es crucial elegir complementos seguros que puedan ayudar en la evaluación de riesgos. Las recomendaciones específicas son las siguientes:
Utiliza extensiones de confianza: Prioriza el uso de extensiones de navegador con alta tasa de uso y ampliamente reconocidas, que ofrezcan funciones de billetera y soporten la interacción con DApps.
Verificación de calificaciones: antes de instalar un nuevo complemento, consulte las calificaciones de los usuarios y el número de instalaciones. Una alta calificación y un gran número de instalaciones suelen indicar que el complemento es más confiable, lo que reduce el riesgo de código malicioso.
Mantenerse actualizado: actualice regularmente los complementos para obtener las últimas funciones de seguridad y correcciones. Los complementos obsoletos pueden tener vulnerabilidades conocidas que son susceptibles de ser explotadas por los atacantes.
Seis, Conclusión
Siguiendo las pautas de seguridad de transacciones mencionadas, los usuarios pueden interactuar de manera más tranquila en un ecosistema de blockchain cada vez más complejo, mejorando efectivamente su capacidad de protección de activos. Aunque la tecnología blockchain tiene como ventajas clave la descentralización y la transparencia, esto también significa que los usuarios deben enfrentarse de manera independiente a múltiples riesgos, incluyendo el phishing de firmas, la filtración de claves privadas y las DApps maliciosas.
Para lograr una verdadera seguridad en la cadena, depender únicamente de herramientas de aviso no es suficiente; establecer una conciencia de seguridad y hábitos operativos sistemáticos es clave. A través del uso de billeteras de hardware, la implementación de estrategias de aislamiento de fondos, la revisión regular de autorizaciones y la actualización de complementos, así como la incorporación de la filosofía de "verificación múltiple, rechazo a la firma ciega, aislamiento de fondos" en las operaciones de trading, se puede lograr realmente "subir a la cadena de forma libre y segura".
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
Guía completa de comercio Web3: Construyendo una línea de defensa para la seguridad del activo personal
Guía de seguridad de transacciones Web3: Construyendo un sistema de protección autónomo y controlable
A medida que el ecosistema en la cadena sigue desarrollándose, las transacciones en la cadena se han convertido en operaciones indispensables para los usuarios de Web3. Los activos de los usuarios están acelerando su migración de plataformas centralizadas a redes descentralizadas, lo que también significa que la responsabilidad de la seguridad de los activos está pasando de la plataforma a los propios usuarios. En un entorno en la cadena, los usuarios deben ser responsables de cada interacción, incluyendo la importación de billeteras, el acceso a DApps, la firma de autorizaciones y el inicio de transacciones, entre otros. Cualquier operación descuidada podría provocar graves consecuencias, como la filtración de claves privadas, el abuso de autorizaciones o ataques de phishing.
A pesar de que actualmente los complementos de billetera y los navegadores principales han integrado funciones como la detección de phishing y las advertencias de riesgo, enfrentar técnicas de ataque cada vez más complejas requiere más que depender pasivamente de herramientas para evitar riesgos. Para ayudar a los usuarios a identificar más claramente los puntos de riesgo potencial en las transacciones en cadena, hemos recopilado, basándonos en la experiencia práctica, los escenarios de riesgo más frecuentes a lo largo del proceso, y junto con recomendaciones de protección y técnicas de uso de herramientas, hemos desarrollado una guía sistemática de seguridad para transacciones en cadena, con el objetivo de ayudar a cada usuario de Web3 a construir una línea de defensa "autónoma y controlable".
Los principios fundamentales del comercio seguro:
1. Sugerencias para un comercio seguro
La clave para proteger los activos digitales es realizar transacciones seguras. Los estudios muestran que usar billeteras seguras y la verificación en dos pasos (2FA) puede reducir significativamente el riesgo. Las recomendaciones específicas son las siguientes:
Elige una billetera segura: Prioriza proveedores de billeteras con buena reputación, como algunas billeteras de hardware o software conocidas. Las billeteras de hardware ofrecen almacenamiento fuera de línea, reduciendo el riesgo de ataques en línea, lo que las hace adecuadas para almacenar grandes sumas de activos.
Verificar detenidamente los detalles de la transacción: Antes de confirmar la transacción, asegúrese de verificar la dirección de recepción, el monto y la red (como asegurarse de usar la cadena correcta) para evitar pérdidas debido a errores de entrada.
Habilitar la verificación en dos pasos: Si la plataforma de intercambio o la billetera admite 2FA, asegúrese de activarlo para aumentar la seguridad de la cuenta, especialmente al usar una billetera caliente.
Evitar el uso de Wi-Fi público: No realices transacciones en redes Wi-Fi públicas para evitar ataques de phishing y ataques de intermediarios.
Dos, Guía de operaciones de transacción segura
Un proceso completo de transacción DApp implica múltiples etapas: instalación de la billetera, acceso a DApp, conexión de la billetera, firma de mensajes, firma de transacciones y procesamiento posterior de transacciones. Cada etapa presenta ciertos riesgos de seguridad, a continuación se describirán las precauciones a tener en cuenta en la operación práctica.
1. Instalación de la billetera
Actualmente, las DApps interactúan principalmente a través de billeteras de complemento del navegador. Las billeteras más populares utilizadas en las cadenas EVM incluyen algunas billeteras de complemento conocidas.
Al instalar la billetera de la extensión de Chrome, se debe descargar desde la tienda de aplicaciones oficial, evitando la instalación desde sitios web de terceros para prevenir la instalación de software de billetera con puertas traseras. Se recomienda a los usuarios que lo permitan combinar el uso de una billetera de hardware para mejorar aún más la seguridad general de la custodia de claves privadas.
Al hacer una copia de seguridad de la frase semilla (generalmente una frase de recuperación de 12 a 24 palabras), se recomienda almacenarla en un lugar físico seguro, lejos de dispositivos digitales, como escribirla en papel y guardarla en una caja de seguridad.
2. Acceder a DApp
El phishing web es una técnica común en los ataques de Web3. Un caso típico es inducir a los usuarios a visitar DApps de phishing bajo el pretexto de un airdrop, donde, tras conectar su billetera, se les induce a firmar autorizaciones de tokens, transacciones de transferencia o firmas de autorización de tokens, lo que resulta en pérdidas de activos.
Antes de acceder a la DApp, confirme la corrección de la dirección web. Sugerencia:
Después de abrir la página web de DApp, es necesario realizar una revisión de seguridad en la barra de direcciones:
3. Conectar billetera
Al ingresar a la DApp, puede que se active automáticamente o tras hacer clic en Conectar para iniciar la operación de conexión de la billetera. La billetera de extensiones realizará algunas verificaciones y mostrará información sobre la DApp actual.
Después de conectar la billetera, normalmente, cuando el usuario no realiza ninguna otra operación, la DApp no invocará activamente la billetera del plugin. Si el sitio web solicita frecuentemente la firma de mensajes o la firma de transacciones después de iniciar sesión, e incluso sigue apareciendo la solicitud de firma después de rechazarla, esto podría ser un indicio de un sitio de phishing y debe manejarse con precaución.
4. Firma de mensaje
En situaciones extremas, como cuando un atacante logra infiltrarse en el sitio web oficial del protocolo o reemplaza el contenido de la página a través de ataques de secuestro del frontend, es muy difícil para los usuarios comunes identificar la seguridad del sitio web.
En este momento, la firma de la billetera de complemento se convierte en la última línea de defensa para que los usuarios protejan sus propios activos. Siempre que se rechacen las firmas maliciosas, se puede evitar la pérdida de activos. Los usuarios deben revisar cuidadosamente el contenido de la firma antes de firmar cualquier mensaje y transacción, y rechazar la firma ciega.
Los tipos de firma más comunes incluyen:
5. Firma de la transacción
La firma de transacciones se utiliza para autorizar transacciones en la blockchain, como transferencias o llamadas a contratos inteligentes. Los usuarios firman con su clave privada y la red verifica la validez de la transacción. Muchos monederos de plugins decodifican el mensaje a firmar y muestran el contenido relevante, los usuarios deben seguir el principio de no firmar ciegamente. Consejos de seguridad:
Para los usuarios con ciertas habilidades técnicas, se puede adoptar un método de revisión manual: copiar la dirección del contrato objetivo de interacción en el explorador de blockchain para su revisión, verificando principalmente si el contrato es de código abierto, si ha habido un gran número de transacciones recientemente, y si el explorador ha etiquetado la dirección como oficial o maliciosa, entre otros.
6. Procesamiento posterior a la transacción
Incluso si logras evitar páginas de phishing y firmas maliciosas, aún necesitas realizar una gestión de riesgos después de la transacción.
Después de la transacción, se debe verificar a tiempo la situación en la cadena para confirmar si coincide con el estado esperado al momento de la firma. Si se detectan anomalías, se deben realizar de inmediato operaciones de detención de pérdidas, como la transferencia de activos o la revocación de autorizaciones.
La gestión de la aprobación ERC20 también es importante. En ciertos casos, después de que los usuarios otorgan autorización de tokens a un contrato, estos contratos sufren ataques años después, y los atacantes aprovechan los límites de autorización para robar los fondos de los usuarios. Para prevenir tales situaciones, se recomienda seguir los siguientes estándares:
Tres, Estrategia de Aislamiento de Fondos
Incluso si se tiene conciencia de los riesgos y se toman las precauciones adecuadas, se recomienda implementar una efectiva segregación de fondos para reducir el nivel de pérdidas en situaciones extremas. Las estrategias recomendadas son las siguientes:
Si desafortunadamente sufres un phishing, se recomienda tomar las siguientes medidas de inmediato para reducir las pérdidas:
Cuatro, participar de forma segura en actividades de airdrop
El airdrop es una forma común de promoción de proyectos de blockchain, pero también existen riesgos potenciales. A continuación, se presentan algunas recomendaciones:
Cinco, selección y recomendaciones para el uso de herramientas de plugins
Dado que el contenido del código de seguridad de la blockchain es extenso y puede ser difícil realizar una revisión minuciosa en cada interacción, es crucial elegir complementos seguros que puedan ayudar en la evaluación de riesgos. Las recomendaciones específicas son las siguientes:
Seis, Conclusión
Siguiendo las pautas de seguridad de transacciones mencionadas, los usuarios pueden interactuar de manera más tranquila en un ecosistema de blockchain cada vez más complejo, mejorando efectivamente su capacidad de protección de activos. Aunque la tecnología blockchain tiene como ventajas clave la descentralización y la transparencia, esto también significa que los usuarios deben enfrentarse de manera independiente a múltiples riesgos, incluyendo el phishing de firmas, la filtración de claves privadas y las DApps maliciosas.
Para lograr una verdadera seguridad en la cadena, depender únicamente de herramientas de aviso no es suficiente; establecer una conciencia de seguridad y hábitos operativos sistemáticos es clave. A través del uso de billeteras de hardware, la implementación de estrategias de aislamiento de fondos, la revisión regular de autorizaciones y la actualización de complementos, así como la incorporación de la filosofía de "verificación múltiple, rechazo a la firma ciega, aislamiento de fondos" en las operaciones de trading, se puede lograr realmente "subir a la cadena de forma libre y segura".