Guia de Segurança de Transações Web3: Práticas Chave para Proteger Ativos Digitais
Com o contínuo desenvolvimento do ecossistema blockchain, as transações on-chain tornaram-se uma parte indispensável da vida cotidiana dos usuários de Web3. Os ativos dos usuários estão migrando rapidamente de plataformas centralizadas para redes descentralizadas, o que significa que a responsabilidade pela segurança dos ativos também está gradualmente sendo transferida das plataformas para os próprios usuários. No ambiente on-chain, cada passo da operação deve ser responsabilidade do usuário, seja importar uma carteira, acessar uma aplicação, ou assinar autorizações e iniciar transações; qualquer operação descuidada pode resultar em riscos de segurança, levando a consequências graves como a exposição de chaves privadas, abuso de autorizações ou ataques de phishing.
Embora atualmente os plugins de carteira e navegadores mais populares tenham integrado gradualmente funções como identificação de phishing e alertas de risco, enfrentar métodos de ataque cada vez mais complexos apenas com a defesa passiva das ferramentas ainda é difícil para evitar completamente os riscos. Para ajudar os usuários a identificar melhor os potenciais riscos nas transações on-chain, com base em nossa experiência prática, mapeamos cenários de alto risco em todo o processo e, juntamente com recomendações de proteção e dicas de uso de ferramentas, elaboramos um guia sistemático de segurança para transações on-chain, com o objetivo de ajudar cada usuário do Web3 a estabelecer uma linha de defesa de segurança "autônoma e controlável".
Princípios fundamentais de transações seguras:
Recusar assinatura cega: Não assine transações ou mensagens que não compreende.
Verificação repetida: Antes de realizar qualquer transação, é essencial confirmar várias vezes a precisão das informações relevantes.
I. Sugestões para Transações Seguras
A chave para proteger ativos digitais está em transações seguras. Pesquisas mostram que o uso de carteiras seguras e autenticação de dois fatores (2FA) pode reduzir significativamente os riscos. Aqui estão algumas recomendações específicas:
Escolha uma carteira segura:
Priorize fornecedores de carteiras com boa reputação, como carteiras de hardware ou carteiras de software conhecidas. As carteiras de hardware oferecem funcionalidades de armazenamento offline, reduzindo efetivamente o risco de ataques online, sendo especialmente adequadas para armazenar grandes ativos.
Verifique cuidadosamente os detalhes da transação:
Antes de confirmar a transação, é imprescindível verificar o endereço de recebimento, o montante e a rede (como garantir que está a usar a cadeia correta) para evitar perdas devido a erros de entrada.
Ativar a autenticação em dois fatores (2FA):
Se a plataforma de negociação ou a carteira suportar 2FA, é altamente recomendável ativá-lo para aumentar a segurança da conta, especialmente ao usar carteiras quentes.
Afaste-se do Wi-Fi público:
Evite realizar transações em redes Wi-Fi públicas para prevenir ataques de phishing e ataques de intermediários.
Dois, como realizar transações seguras
Um processo completo de transação de aplicativos descentralizados envolve várias etapas: instalação da carteira, acesso ao aplicativo, conexão da carteira, assinatura de mensagens, assinatura de transações e processamento pós-transação. Cada etapa apresenta certos riscos de segurança, e a seguir serão detalhadas as precauções a serem tomadas durante a operação real.
1. Instalação da carteira:
Atualmente, as aplicações descentralizadas interagem principalmente através de carteiras de plugin de navegador. As carteiras mais populares utilizadas em cadeias compatíveis com EVM incluem várias opções.
Ao instalar a carteira de extensão do Chrome, é fundamental fazer o download a partir da loja oficial de aplicações do Chrome, evitando a instalação a partir de sites de terceiros para prevenir a instalação de software de carteira com backdoors. Recomenda-se que os usuários, se as condições permitirem, utilizem uma carteira de hardware em conjunto, para aumentar ainda mais a segurança geral da gestão das chaves privadas.
Ao instalar a frase de recuperação da carteira (geralmente uma frase de recuperação de 12 a 24 palavras), recomenda-se armazená-la em um local seguro offline, longe de dispositivos digitais (por exemplo, escrevê-la em papel e guardá-la num cofre).
2. Acesso a aplicações descentralizadas
A pesca na web é uma técnica comum em ataques Web3. Um caso típico é induzir os usuários a acessar aplicações de phishing sob o pretexto de airdrop, levando-os a assinar autorizações de tokens, transações de transferência ou assinaturas de autorização de tokens após conectarem suas carteiras, resultando em perda de ativos.
Assim, ao acessar aplicações descentralizadas, os usuários devem manter uma alta vigilância para evitar cair nas armadilhas de phishing na web.
Antes de acessar o aplicativo, deve-se confirmar a correção do URL. Sugestão:
Evite acessar diretamente através de motores de busca: atacantes de phishing podem comprar espaço publicitário para fazer com que seu site de phishing apareça em posições de destaque.
Evite clicar em links nas redes sociais: os URLs publicados em comentários ou mensagens podem ser links de phishing.
Confirme repetidamente a correção do URL da aplicação: pode ser verificado através de várias plataformas autorizadas.
Adicione sites seguros aos favoritos do navegador: acesse diretamente a partir dos favoritos posteriormente.
Após abrir a página da aplicação, também é necessário realizar uma verificação de segurança na barra de endereços:
Verifique se há confusão de similaridade entre o nome de domínio e o URL.
Confirme se é um link HTTPS, o navegador deve exibir o ícone do cadeado 🔒.
Atualmente, as principais wallets de plugins disponíveis no mercado também integram algumas funcionalidades de aviso de risco, podendo exibir alertas fortes ao acessar sites de risco.
3. Conectar a carteira
Após entrar na aplicação, pode ser acionada automaticamente ou após clicar ativamente para conectar a carteira. A carteira de plugin realizará algumas verificações e exibirá informações relacionadas à aplicação atual.
Após conectar a carteira, normalmente a aplicação não chama ativamente a carteira de plugin quando o usuário não realiza outras operações. Se o site solicita frequentemente a assinatura de mensagens ou a assinatura de transações após o login, ou até mesmo continua a aparecer solicitações de assinatura após a recusa, é muito provável que seja um site de phishing, sendo necessário ter cuidado.
4. Assinatura de Mensagem
Em situações extremas, se um atacante conseguir invadir o site oficial do protocolo ou substituir o conteúdo da página através de ataques como o hijacking da interface, será muito difícil para um usuário comum identificar a segurança do site nesse cenário.
Neste momento, a assinatura da carteira de plugin é a última linha de defesa do usuário para proteger os seus ativos. Desde que recuse assinaturas maliciosas, é possível garantir que os seus ativos não sejam perdidos. Os usuários devem revisar cuidadosamente o conteúdo da assinatura ao assinar qualquer mensagem e transação, recusando a assinatura cega, para evitar a perda de ativos.
Os tipos de assinatura mais comuns incluem:
eth_sign: assinar dados hash.
personal_sign: Assinar informações em texto simples, sendo mais comum durante a verificação de login do usuário ou confirmação de acordos de permissão.
eth_signTypedData (EIP-712): assinatura de dados estruturados, comumente usada em operações de interação com tokens específicos.
5: Assinatura de Transação
A assinatura de transação é utilizada para autorizar transações em blockchain, como transferências ou chamadas a contratos inteligentes. Os usuários assinam com a chave privada, e a rede verifica a validade da transação. Atualmente, muitas carteiras de plugin decodificam mensagens a serem assinadas e exibem conteúdos relacionados, devendo sempre seguir o princípio de não assinar cegamente. Recomendações de segurança:
Verifique cuidadosamente o endereço do beneficiário, o montante e a rede, para evitar erros.
Para transações de grande valor, recomenda-se a assinatura offline para reduzir o risco de ataques online.
Atenção às taxas de gas, assegure-se de que são razoáveis e evite fraudes.
Para os usuários com um certo conhecimento técnico, também podem usar alguns métodos comuns de verificação manual: revisar o endereço do contrato interativo copiado no explorador de blockchain, onde os principais conteúdos a serem revisados incluem se o contrato é de código aberto, se houve um grande número de transações recentemente e se o endereço foi rotulado oficialmente ou com uma etiqueta maliciosa.
6. Processamento pós-negociação
Evitar páginas de phishing e assinaturas maliciosas não significa que você está completamente seguro; após a transação, ainda é necessário realizar a gestão de riscos.
Após a negociação, deve-se verificar rapidamente a situação da transação na blockchain e confirmar se está de acordo com o estado esperado no momento da assinatura. Se forem encontradas anomalias, deve-se realizar imediatamente operações de stop-loss, como a transferência de ativos e a revogação de autorizações.
A gestão de autorização de tokens também é muito importante. Em alguns casos, após os usuários autorizarem tokens para certos contratos, esses contratos foram atacados anos depois, e os atacantes utilizaram os limites de autorização de tokens dos contratos atacados para roubar os fundos dos usuários. Para evitar tais situações, recomendamos que os usuários sigam os seguintes padrões para prevenção de riscos:
Minimizar a autorização. Ao realizar a autorização de tokens, a quantidade de tokens autorizados deve ser limitada de acordo com as necessidades da transação. Se uma transação requer autorização de 100 tokens, a quantidade autorizada deve ser limitada a 100, em vez de usar a autorização padrão ilimitada.
Revogar atempadamente as autorizações de tokens desnecessárias. Os usuários podem aceder às ferramentas relevantes para consultar a situação das autorizações do endereço correspondente, revogar as autorizações de protocolos que não tiveram interações durante um longo período, de modo a evitar que vulnerabilidades nos protocolos resultem na utilização do limite de autorização dos usuários, causando perdas de ativos.
Três, estratégia de isolamento de fundos
Na presença de consciência de risco e após ter realizado uma prevenção adequada do risco, também se recomenda a realização de uma eficaz separação de fundos, de modo a reduzir o grau de danos aos fundos em situações extremas. As estratégias recomendadas são as seguintes:
Use uma carteira multi-assinatura ou carteira fria para armazenar grandes quantidades de ativo digital;
Use a wallet plugin or a regular wallet as a hot wallet for daily interactions;
Alterar regularmente o endereço da carteira quente, para evitar que o endereço permaneça exposto em ambientes de risco.
Se você infelizmente encontrar uma situação de phishing, é aconselhável tomar imediatamente as seguintes medidas para reduzir as perdas:
Utilize as ferramentas relevantes para cancelar autorizações de alto risco;
Se uma assinatura específica foi assinada, mas o ativo ainda não foi transferido, pode-se iniciar imediatamente uma nova assinatura para invalidar a assinatura antiga;
Se necessário, transfira rapidamente os ativos restantes para um novo endereço ou carteira fria.
Quatro, como participar de forma segura em atividades de airdrop
Airdrops são uma forma comum de promoção de projetos de blockchain, mas também escondem riscos. Aqui estão algumas sugestões:
Pesquisa de antecedentes do projeto: garantir que o projeto tenha um white paper claro, informações da equipe públicas e uma boa reputação na comunidade;
Usar endereços dedicados: Registar uma carteira e um e-mail dedicados, isolando o risco da conta principal;
Clique com cautela nos links: obtenha informações sobre a airdrop apenas através de canais oficiais, evite clicar em links suspeitos nas plataformas sociais;
Cinco, sugestões para a escolha e uso de ferramentas de plug-in
O conteúdo do código de segurança da blockchain é extenso, e pode não ser possível realizar uma verificação detalhada em cada interação. A escolha de plugins seguros é crucial, pois pode nos ajudar a fazer uma avaliação de riscos. Abaixo estão sugestões específicas:
Extensões confiáveis: Utilize extensões de navegador amplamente usadas. Esses plugins oferecem funcionalidades de carteira e suportam a interação com aplicações descentralizadas.
Verifique a classificação: Antes de instalar um novo plugin, verifique a classificação dos usuários e o número de instalações. Uma alta classificação e um grande número de instalações geralmente indicam que o plugin é mais confiável, reduzindo o risco de código malicioso.
Mantenha-se atualizado: atualize regularmente os seus plugins para obter as mais recentes funcionalidades de segurança e correções. Plugins desatualizados podem conter vulnerabilidades conhecidas, tornando-os suscetíveis a ataques.
VI. Conclusão
Ao seguir as diretrizes de segurança para transações mencionadas acima, os usuários podem interagir de forma mais tranquila em um ecossistema de blockchain em crescente complexidade, melhorando efetivamente a capacidade de proteção de ativos. Embora a tecnologia blockchain tenha como principais vantagens a descentralização e a transparência, isso também significa que os usuários devem lidar de forma independente com múltiplos riscos, incluindo phishing de assinatura, vazamento de chaves privadas e aplicativos maliciosos.
Para alcançar uma verdadeira segurança na blockchain, depender apenas de ferramentas de alerta não é suficiente; estabelecer uma consciência de segurança sistemática e hábitos operacionais é a chave. Ao utilizar carteiras de hardware, implementar estratégias de isolamento de fundos, realizar verificações regulares de autorizações e atualizar plugins, entre outras medidas de proteção, e ao incorporar na operação de transações o conceito de "verificação em múltiplas etapas, recusar assinaturas cegas, isolamento de fundos", é que se pode realmente alcançar a "liberdade e segurança na blockchain".
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
14 Curtidas
Recompensa
14
4
Compartilhar
Comentário
0/400
SillyWhale
· 08-06 16:47
Reconheça a realidade, cuide da sua própria moeda.
Ver originalResponder0
HodlBeliever
· 08-06 16:47
A avaliação de risco e retorno em relação ao volume total de ativos é a chave, hein.
Ver originalResponder0
NotFinancialAdvice
· 08-06 16:44
Lembrete importante, cuide-se.
Ver originalResponder0
ParallelChainMaxi
· 08-06 16:31
O autor já está a divagar outra vez? Transações na cadeia é só clicar e pronto.
Guia de Segurança de Transações Web3: Construir um Sistema de Proteção na Cadeia Autônomo e Controlável
Guia de Segurança de Transações Web3: Práticas Chave para Proteger Ativos Digitais
Com o contínuo desenvolvimento do ecossistema blockchain, as transações on-chain tornaram-se uma parte indispensável da vida cotidiana dos usuários de Web3. Os ativos dos usuários estão migrando rapidamente de plataformas centralizadas para redes descentralizadas, o que significa que a responsabilidade pela segurança dos ativos também está gradualmente sendo transferida das plataformas para os próprios usuários. No ambiente on-chain, cada passo da operação deve ser responsabilidade do usuário, seja importar uma carteira, acessar uma aplicação, ou assinar autorizações e iniciar transações; qualquer operação descuidada pode resultar em riscos de segurança, levando a consequências graves como a exposição de chaves privadas, abuso de autorizações ou ataques de phishing.
Embora atualmente os plugins de carteira e navegadores mais populares tenham integrado gradualmente funções como identificação de phishing e alertas de risco, enfrentar métodos de ataque cada vez mais complexos apenas com a defesa passiva das ferramentas ainda é difícil para evitar completamente os riscos. Para ajudar os usuários a identificar melhor os potenciais riscos nas transações on-chain, com base em nossa experiência prática, mapeamos cenários de alto risco em todo o processo e, juntamente com recomendações de proteção e dicas de uso de ferramentas, elaboramos um guia sistemático de segurança para transações on-chain, com o objetivo de ajudar cada usuário do Web3 a estabelecer uma linha de defesa de segurança "autônoma e controlável".
Princípios fundamentais de transações seguras:
I. Sugestões para Transações Seguras
A chave para proteger ativos digitais está em transações seguras. Pesquisas mostram que o uso de carteiras seguras e autenticação de dois fatores (2FA) pode reduzir significativamente os riscos. Aqui estão algumas recomendações específicas:
Priorize fornecedores de carteiras com boa reputação, como carteiras de hardware ou carteiras de software conhecidas. As carteiras de hardware oferecem funcionalidades de armazenamento offline, reduzindo efetivamente o risco de ataques online, sendo especialmente adequadas para armazenar grandes ativos.
Antes de confirmar a transação, é imprescindível verificar o endereço de recebimento, o montante e a rede (como garantir que está a usar a cadeia correta) para evitar perdas devido a erros de entrada.
Se a plataforma de negociação ou a carteira suportar 2FA, é altamente recomendável ativá-lo para aumentar a segurança da conta, especialmente ao usar carteiras quentes.
Evite realizar transações em redes Wi-Fi públicas para prevenir ataques de phishing e ataques de intermediários.
Dois, como realizar transações seguras
Um processo completo de transação de aplicativos descentralizados envolve várias etapas: instalação da carteira, acesso ao aplicativo, conexão da carteira, assinatura de mensagens, assinatura de transações e processamento pós-transação. Cada etapa apresenta certos riscos de segurança, e a seguir serão detalhadas as precauções a serem tomadas durante a operação real.
1. Instalação da carteira:
Atualmente, as aplicações descentralizadas interagem principalmente através de carteiras de plugin de navegador. As carteiras mais populares utilizadas em cadeias compatíveis com EVM incluem várias opções.
Ao instalar a carteira de extensão do Chrome, é fundamental fazer o download a partir da loja oficial de aplicações do Chrome, evitando a instalação a partir de sites de terceiros para prevenir a instalação de software de carteira com backdoors. Recomenda-se que os usuários, se as condições permitirem, utilizem uma carteira de hardware em conjunto, para aumentar ainda mais a segurança geral da gestão das chaves privadas.
Ao instalar a frase de recuperação da carteira (geralmente uma frase de recuperação de 12 a 24 palavras), recomenda-se armazená-la em um local seguro offline, longe de dispositivos digitais (por exemplo, escrevê-la em papel e guardá-la num cofre).
2. Acesso a aplicações descentralizadas
A pesca na web é uma técnica comum em ataques Web3. Um caso típico é induzir os usuários a acessar aplicações de phishing sob o pretexto de airdrop, levando-os a assinar autorizações de tokens, transações de transferência ou assinaturas de autorização de tokens após conectarem suas carteiras, resultando em perda de ativos.
Assim, ao acessar aplicações descentralizadas, os usuários devem manter uma alta vigilância para evitar cair nas armadilhas de phishing na web.
Antes de acessar o aplicativo, deve-se confirmar a correção do URL. Sugestão:
Após abrir a página da aplicação, também é necessário realizar uma verificação de segurança na barra de endereços:
Atualmente, as principais wallets de plugins disponíveis no mercado também integram algumas funcionalidades de aviso de risco, podendo exibir alertas fortes ao acessar sites de risco.
3. Conectar a carteira
Após entrar na aplicação, pode ser acionada automaticamente ou após clicar ativamente para conectar a carteira. A carteira de plugin realizará algumas verificações e exibirá informações relacionadas à aplicação atual.
Após conectar a carteira, normalmente a aplicação não chama ativamente a carteira de plugin quando o usuário não realiza outras operações. Se o site solicita frequentemente a assinatura de mensagens ou a assinatura de transações após o login, ou até mesmo continua a aparecer solicitações de assinatura após a recusa, é muito provável que seja um site de phishing, sendo necessário ter cuidado.
4. Assinatura de Mensagem
Em situações extremas, se um atacante conseguir invadir o site oficial do protocolo ou substituir o conteúdo da página através de ataques como o hijacking da interface, será muito difícil para um usuário comum identificar a segurança do site nesse cenário.
Neste momento, a assinatura da carteira de plugin é a última linha de defesa do usuário para proteger os seus ativos. Desde que recuse assinaturas maliciosas, é possível garantir que os seus ativos não sejam perdidos. Os usuários devem revisar cuidadosamente o conteúdo da assinatura ao assinar qualquer mensagem e transação, recusando a assinatura cega, para evitar a perda de ativos.
Os tipos de assinatura mais comuns incluem:
5: Assinatura de Transação
A assinatura de transação é utilizada para autorizar transações em blockchain, como transferências ou chamadas a contratos inteligentes. Os usuários assinam com a chave privada, e a rede verifica a validade da transação. Atualmente, muitas carteiras de plugin decodificam mensagens a serem assinadas e exibem conteúdos relacionados, devendo sempre seguir o princípio de não assinar cegamente. Recomendações de segurança:
Para os usuários com um certo conhecimento técnico, também podem usar alguns métodos comuns de verificação manual: revisar o endereço do contrato interativo copiado no explorador de blockchain, onde os principais conteúdos a serem revisados incluem se o contrato é de código aberto, se houve um grande número de transações recentemente e se o endereço foi rotulado oficialmente ou com uma etiqueta maliciosa.
6. Processamento pós-negociação
Evitar páginas de phishing e assinaturas maliciosas não significa que você está completamente seguro; após a transação, ainda é necessário realizar a gestão de riscos.
Após a negociação, deve-se verificar rapidamente a situação da transação na blockchain e confirmar se está de acordo com o estado esperado no momento da assinatura. Se forem encontradas anomalias, deve-se realizar imediatamente operações de stop-loss, como a transferência de ativos e a revogação de autorizações.
A gestão de autorização de tokens também é muito importante. Em alguns casos, após os usuários autorizarem tokens para certos contratos, esses contratos foram atacados anos depois, e os atacantes utilizaram os limites de autorização de tokens dos contratos atacados para roubar os fundos dos usuários. Para evitar tais situações, recomendamos que os usuários sigam os seguintes padrões para prevenção de riscos:
Três, estratégia de isolamento de fundos
Na presença de consciência de risco e após ter realizado uma prevenção adequada do risco, também se recomenda a realização de uma eficaz separação de fundos, de modo a reduzir o grau de danos aos fundos em situações extremas. As estratégias recomendadas são as seguintes:
Se você infelizmente encontrar uma situação de phishing, é aconselhável tomar imediatamente as seguintes medidas para reduzir as perdas:
Quatro, como participar de forma segura em atividades de airdrop
Airdrops são uma forma comum de promoção de projetos de blockchain, mas também escondem riscos. Aqui estão algumas sugestões:
Cinco, sugestões para a escolha e uso de ferramentas de plug-in
O conteúdo do código de segurança da blockchain é extenso, e pode não ser possível realizar uma verificação detalhada em cada interação. A escolha de plugins seguros é crucial, pois pode nos ajudar a fazer uma avaliação de riscos. Abaixo estão sugestões específicas:
VI. Conclusão
Ao seguir as diretrizes de segurança para transações mencionadas acima, os usuários podem interagir de forma mais tranquila em um ecossistema de blockchain em crescente complexidade, melhorando efetivamente a capacidade de proteção de ativos. Embora a tecnologia blockchain tenha como principais vantagens a descentralização e a transparência, isso também significa que os usuários devem lidar de forma independente com múltiplos riscos, incluindo phishing de assinatura, vazamento de chaves privadas e aplicativos maliciosos.
Para alcançar uma verdadeira segurança na blockchain, depender apenas de ferramentas de alerta não é suficiente; estabelecer uma consciência de segurança sistemática e hábitos operacionais é a chave. Ao utilizar carteiras de hardware, implementar estratégias de isolamento de fundos, realizar verificações regulares de autorizações e atualizar plugins, entre outras medidas de proteção, e ao incorporar na operação de transações o conceito de "verificação em múltiplas etapas, recusar assinaturas cegas, isolamento de fundos", é que se pode realmente alcançar a "liberdade e segurança na blockchain".