Руководство по безопасности сделок в Web3: ключевые практики защиты цифровых активов
С развитием экосистемы блокчейн, онлайновые транзакции стали неотъемлемой частью повседневной жизни пользователей Web3. Активы пользователей быстро перемещаются с централизованных платформ на децентрализованные сети, что означает, что ответственность за безопасность активов постепенно переходит от платформы к самим пользователям. В онлайновой среде каждое действие требует от пользователя самостоятельной ответственности, будь то импорт кошелька, доступ к приложениям или подписание авторизации и инициирование транзакций; любая неосторожная операция может привести к проблемам с безопасностью, таким как утечка приватных ключей, злоупотребление авторизацией или серьезные последствия от фишинговых атак.
Хотя в настоящее время основные кошельки и браузеры постепенно интегрируют функции распознавания фишинга и предупреждения о рисках, полагаться только на пассивную защиту инструментов все еще трудно полностью избежать рисков в условиях все более сложных методов атак. Чтобы помочь пользователям лучше распознавать потенциальные риски в цепочечных транзакциях, мы на основе практического опыта составили список высокорисковых сценариев по всем процессам и, объединив рекомендации по защите и советы по использованию инструментов, разработали систематическое руководство по безопасности цепочечных транзакций, целью которого является помочь каждому пользователю Web3 создать "самостоятельно управляемую" защиту.
Основные принципы безопасной торговли:
Отказ от слепого подписания: категорически не подписывать сделки или сообщения, которые не понимаете.
Повторная проверка: перед проведением любой сделки обязательно многократно проверяйте точность соответствующей информации.
Один, советы по безопасной торговле
Ключ к защите цифровых активов заключается в безопасных транзакциях. Исследования показывают, что использование безопасных кошельков и двухфакторной аутентификации (2FA) может значительно снизить риски. Вот конкретные рекомендации:
Выберите безопасный кошелек:
Приоритизируйте надежных поставщиков кошельков, таких как аппаратные кошельки или известные программные кошельки. Аппаратные кошельки предлагают функцию оффлайн-хранения, что эффективно снижает риск онлайн-атак, что особенно подходит для хранения крупных цифровых активов.
Тщательно проверьте детали транзакции:
Перед подтверждением сделки обязательно проверьте адрес получения, сумму и сеть (например, убедитесь, что используете правильную цепочку), чтобы избежать убытков из-за ошибок ввода.
Включите двухфакторную аутентификацию (2FA):
Если торговая платформа или кошелек поддерживают 2FA, настоятельно рекомендуется включить его, чтобы повысить безопасность учетной записи, особенно при использовании горячего кошелька.
Держитесь подальше от общественного Wi-Fi:
Избегайте проведения транзакций в публичных сетях Wi-Fi, чтобы предотвратить атаки фишинга и атаки посредников.
Два, как проводить безопасные сделки
Полный процесс торговли децентрализованным приложением включает в себя несколько этапов: установка кошелька, доступ к приложению, подключение кошелька, подпись сообщения, подпись сделки, обработка после сделки. На каждом этапе существуют определенные риски безопасности, ниже будут подробно описаны меры предосторожности в ходе реальной операции.
1. Установка кошелька:
В настоящее время децентрализованные приложения в основном взаимодействуют через кошельки-плагины для браузера. Основные кошельки, совместимые с EVM, включают несколько вариантов.
При установке кошелька Chrome обязательно загружайте и устанавливайте его из официального магазина приложений Chrome, избегая установки с третьих сайтов, чтобы предотвратить установку программного обеспечения кошелька с задними дверями. Пользователям, имеющим такую возможность, рекомендуется использовать аппаратный кошелек в сочетании с программным, чтобы дополнительно повысить общую безопасность управления приватными ключами.
При установке резервной фразы для кошелька (обычно это восстановительная фраза из 12-24 слов) рекомендуется хранить её в безопасном оффлайн-месте, вдали от цифровых устройств (например, записать на бумаге и сохранить в сейфе).
2. Доступ к децентрализованным приложениям
Веб-фишинг является распространенным приемом в атаках Web3. Типичный случай заключается в том, что под предлогом аирдропа пользователей заманивают на фишинговые приложения, после чего они, подключив кошелек, подписывают авторизацию токенов, транзакции перевода или подписи авторизации токенов, что приводит к потере активов.
Поэтому, при доступе к децентрализованным приложениям, пользователи должны сохранять высокую бдительность, чтобы избежать陷阱 веб-фишинга.
Перед доступом к приложению необходимо подтвердить правильность URL-адреса. Рекомендуется:
Избегайте прямого доступа через поисковые системы: злоумышленники могут повысить рейтинг своих фишинговых сайтов, покупая рекламные места.
Избегайте нажатия на ссылки в социальных сетях: URL-адреса, опубликованные в комментариях или сообщениях, могут быть фишинговыми.
Повторно проверьте правильность веб-адреса приложения: можно сверить с несколькими авторитетными платформами.
Добавьте безопасный сайт в закладки браузера: в дальнейшем можно будет посещать его напрямую из закладок.
После открытия веб-страницы приложения также необходимо провести проверку безопасности адресной строки:
Проверьте, существуют ли сходства и путаница в доменных именах и URL.
Подтвердите, что это ссылка HTTPS, браузер должен отображать значок замка 🔒.
В настоящее время основные плагин-кошельки на рынке также интегрировали определенные функции предупреждения о рисках, которые могут отображать сильные уведомления при доступе к рискованным сайтам.
3. Подключить кошелек
После входа в приложение может автоматически или после активного нажатия на кнопку произойти подключение кошелька. Плагин-кошелек проведет некоторые проверки и отображение информации для текущего приложения.
После подключения кошелька приложение обычно не будет активно вызывать плагин-кошелек, если пользователь не выполняет других действий. Если сайт после входа в систему часто вызывает кошелек для подписания сообщений, подписания сделок, и даже после отказа от подписания продолжает постоянно всплывать с запросами на подписания, это может быть фишинговый сайт, к которому нужно относиться с осторожностью.
4. Подпись сообщения
В экстремальных случаях, если злоумышленник успешно взломал официальный сайт протокола или заменил содержимое страницы через атаки, такие как перехват на фронтенде, обычным пользователям будет сложно определить безопасность сайта в такой ситуации.
В этот момент подпись плагина-кошелька является последней линией защиты активов пользователя. Просто отказавшись от злонамеренных подписей, можно защитить свои активы от потерь. Пользователи должны внимательно проверять содержание подписей при подписании любых сообщений и транзакций, отказываясь от слепых подписей, чтобы избежать потерь активов.
Распространенные типы подписей включают:
eth_sign: подпись хешированных данных.
personal_sign: Подпись открытой информации, наиболее часто используется при подтверждении входа пользователя или соглашения о разрешении.
eth_signTypedData (EIP-712): подписывание структурированных данных, обычно используется для взаимодействия с определенными токенами.
5: Подпись транзакции
Подпись транзакции используется для авторизации транзакций в блокчейне, таких как переводы или вызовы смарт-контрактов. Пользователь подписывает с помощью приватного ключа, а сеть проверяет действительность транзакции. В настоящее время многие плагин-кошельки декодируют сообщения, ожидающие подписи, и отображают соответствующее содержимое. Обязательно следуйте принципу "не подписывать вслепую", рекомендации по безопасности:
Тщательно проверьте адрес получателя, сумму и сеть, чтобы избежать ошибок.
Рекомендуется использовать офлайн-подпись для крупных транзакций, чтобы снизить риск онлайн-атак.
Обратите внимание на газовые сборы, убедитесь, что они разумны, чтобы избежать мошенничества.
Для пользователей с определённым техническим запасом также можно использовать некоторые распространённые методы ручной проверки: путём копирования адреса целевого контракта в блокчейн-браузер для проверки, содержание проверки включает в себя, является ли контракт открытым, были ли в последнее время массовые транзакции и присвоен ли этому адресу официальный или злонамеренный ярлык и т.д.
6. Обработка после сделки
Избегание фишинговых веб-страниц и вредоносных подписей не означает полной безопасности; после сделки все равно необходимо проводить управление рисками.
После сделки следует своевременно проверить статус транзакции в блокчейне и подтвердить его соответствие ожидаемому состоянию на момент подписания. Если обнаружены аномалии, немедленно выполните операции по перемещению активов, отмене прав и другим мерам по ограничению убытков.
Управление авторизацией токенов также очень важно. В некоторых случаях пользователи предоставляли авторизацию токенов определенным контрактам, и спустя много лет эти контракты подверглись атаке. Нападающие использовали лимит авторизации токенов атакуемого контракта для кражи средств пользователей. Чтобы избежать таких ситуаций, мы рекомендуем пользователям следовать следующим стандартам для предотвращения рисков:
Минимизация полномочий. При авторизации токенов следует ограничивать количество токенов в соответствии с требованиями транзакции. Если для данной транзакции необходимо авторизовать 100 токенов, то количество авторизованных токенов должно быть ограничено 100, а не использовать стандартную неограниченную авторизацию.
Своевременно отменяйте ненужные авторизации токенов. Пользователи могут войти в соответствующие инструменты, чтобы проверить статус авторизации соответствующего адреса, отменить авторизацию протоколов, которые долгое время не взаимодействовали, чтобы предотвратить возможные уязвимости в протоколах, которые могут привести к потере активов из-за использования лимитов авторизации пользователей.
Три, стратегия изоляции средств
При наличии рискованного сознания и достаточной подготовки к рискам также рекомендуется осуществлять эффективное разделение средств, чтобы в экстремальных случаях снизить степень потерь капитала. Рекомендуемые стратегии следующие:
Используйте мультиподписные кошельки или холодные кошельки для хранения крупных цифровых активов;
Используйте плагин-кошелек или обычный кошелек в качестве горячего кошелька для повседневного взаимодействия;
Регулярно меняйте адрес горячего кошелька, чтобы предотвратить постоянное воздействие адреса на рисковую среду.
Если вы столкнулись с ситуацией фишинга, рекомендуется немедленно предпринять следующие меры для снижения потерь:
Используйте соответствующие инструменты для отмены высокорисковых разрешений;
Если была подписана определенная подпись, но активы еще не были переведены, можно немедленно инициировать новую подпись, чтобы сделать старую подпись недействительной;
При необходимости быстро переместите остаточные активы на новый адрес или холодный кошелек.
Четыре, как безопасно участвовать в аирдропах
Airdrop — это распространенный способ продвижения блокчейн-проектов, но в нем также скрыты риски. Вот несколько советов:
Исследование фона проекта: убедитесь, что у проекта есть четкий белый документ, открытая информация о команде и репутация сообщества;
Используйте специальный адрес: зарегистрируйте специальный кошелек и электронную почту, чтобы изолировать риски основного аккаунта;
Осторожно кликайте на ссылки: получайте информацию о аирдропах только через официальные каналы, избегайте подозрительных ссылок в социальных сетях;
Пять, рекомендации по выбору и использованию плагинов
Содержимое правил безопасности блокчейна обширно, и возможно, не всегда удается тщательно проверять каждое взаимодействие. Выбор безопасных плагинов имеет решающее значение, так как они могут помочь нам в оценке рисков. Вот конкретные рекомендации:
Доверенные расширения: используйте браузерные расширения с высокой популярностью. Эти плагины предоставляют функции кошелька и поддерживают взаимодействие с децентрализованными приложениями.
Проверка рейтинга: перед установкой нового плагина проверьте пользовательский рейтинг и количество установок. Высокий рейтинг и большое количество установок обычно указывают на то, что плагин более надежен и снижает риск наличия вредоносного кода.
Поддерживайте актуальность: регулярно обновляйте свои плагины, чтобы получить последние функции безопасности и исправления. Устаревшие плагины могут содержать известные уязвимости, которые легко могут быть использованы злоумышленниками.
Шесть. Заключение
Следуя вышеуказанным рекомендациям по безопасной торговле, пользователи смогут более уверенно взаимодействовать в все более сложной экосистеме блокчейна, существенно повысив защиту своих активов. Несмотря на то, что технологии блокчейна основаны на децентрализации и прозрачности, это также означает, что пользователи должны самостоятельно справляться с множеством рисков, включая фишинг подписей, утечку приватных ключей и вредоносные приложения.
Чтобы достичь настоящей безопасности при размещении на блокчейне, полагаться только на инструменты уведомления совершенно недостаточно; ключевым является формирование системного сознания безопасности и операционных привычек. Используя аппаратные кошельки, внедряя стратегию изоляции средств, регулярно проверяя авторизации и обновляя плагины, а также реализуя в торговых операциях концепцию "многофакторной аутентификации, отказа от слепой подписи, изоляции средств", можно действительно достичь "свободного и безопасного размещения на блокчейне".
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
14 Лайков
Награда
14
4
Поделиться
комментарий
0/400
SillyWhale
· 08-06 16:47
Признайте реальность, управляйте своим токеном сами.
Посмотреть ОригиналОтветить0
HodlBeliever
· 08-06 16:47
Оценка соотношения риска и доходности на уровне общего объема активов является ключевым моментом.
Посмотреть ОригиналОтветить0
NotFinancialAdvice
· 08-06 16:44
Важное напоминание. Просто будьте осторожны.
Посмотреть ОригиналОтветить0
ParallelChainMaxi
· 08-06 16:31
Автор снова развернуто высказался? В блокчейне просто нажми и все.
Руководство по безопасности сделок Web3: создание автономной и контролируемой системы защиты в блокчейне
Руководство по безопасности сделок в Web3: ключевые практики защиты цифровых активов
С развитием экосистемы блокчейн, онлайновые транзакции стали неотъемлемой частью повседневной жизни пользователей Web3. Активы пользователей быстро перемещаются с централизованных платформ на децентрализованные сети, что означает, что ответственность за безопасность активов постепенно переходит от платформы к самим пользователям. В онлайновой среде каждое действие требует от пользователя самостоятельной ответственности, будь то импорт кошелька, доступ к приложениям или подписание авторизации и инициирование транзакций; любая неосторожная операция может привести к проблемам с безопасностью, таким как утечка приватных ключей, злоупотребление авторизацией или серьезные последствия от фишинговых атак.
Хотя в настоящее время основные кошельки и браузеры постепенно интегрируют функции распознавания фишинга и предупреждения о рисках, полагаться только на пассивную защиту инструментов все еще трудно полностью избежать рисков в условиях все более сложных методов атак. Чтобы помочь пользователям лучше распознавать потенциальные риски в цепочечных транзакциях, мы на основе практического опыта составили список высокорисковых сценариев по всем процессам и, объединив рекомендации по защите и советы по использованию инструментов, разработали систематическое руководство по безопасности цепочечных транзакций, целью которого является помочь каждому пользователю Web3 создать "самостоятельно управляемую" защиту.
Основные принципы безопасной торговли:
Один, советы по безопасной торговле
Ключ к защите цифровых активов заключается в безопасных транзакциях. Исследования показывают, что использование безопасных кошельков и двухфакторной аутентификации (2FA) может значительно снизить риски. Вот конкретные рекомендации:
Приоритизируйте надежных поставщиков кошельков, таких как аппаратные кошельки или известные программные кошельки. Аппаратные кошельки предлагают функцию оффлайн-хранения, что эффективно снижает риск онлайн-атак, что особенно подходит для хранения крупных цифровых активов.
Перед подтверждением сделки обязательно проверьте адрес получения, сумму и сеть (например, убедитесь, что используете правильную цепочку), чтобы избежать убытков из-за ошибок ввода.
Если торговая платформа или кошелек поддерживают 2FA, настоятельно рекомендуется включить его, чтобы повысить безопасность учетной записи, особенно при использовании горячего кошелька.
Избегайте проведения транзакций в публичных сетях Wi-Fi, чтобы предотвратить атаки фишинга и атаки посредников.
Два, как проводить безопасные сделки
Полный процесс торговли децентрализованным приложением включает в себя несколько этапов: установка кошелька, доступ к приложению, подключение кошелька, подпись сообщения, подпись сделки, обработка после сделки. На каждом этапе существуют определенные риски безопасности, ниже будут подробно описаны меры предосторожности в ходе реальной операции.
1. Установка кошелька:
В настоящее время децентрализованные приложения в основном взаимодействуют через кошельки-плагины для браузера. Основные кошельки, совместимые с EVM, включают несколько вариантов.
При установке кошелька Chrome обязательно загружайте и устанавливайте его из официального магазина приложений Chrome, избегая установки с третьих сайтов, чтобы предотвратить установку программного обеспечения кошелька с задними дверями. Пользователям, имеющим такую возможность, рекомендуется использовать аппаратный кошелек в сочетании с программным, чтобы дополнительно повысить общую безопасность управления приватными ключами.
При установке резервной фразы для кошелька (обычно это восстановительная фраза из 12-24 слов) рекомендуется хранить её в безопасном оффлайн-месте, вдали от цифровых устройств (например, записать на бумаге и сохранить в сейфе).
2. Доступ к децентрализованным приложениям
Веб-фишинг является распространенным приемом в атаках Web3. Типичный случай заключается в том, что под предлогом аирдропа пользователей заманивают на фишинговые приложения, после чего они, подключив кошелек, подписывают авторизацию токенов, транзакции перевода или подписи авторизации токенов, что приводит к потере активов.
Поэтому, при доступе к децентрализованным приложениям, пользователи должны сохранять высокую бдительность, чтобы избежать陷阱 веб-фишинга.
Перед доступом к приложению необходимо подтвердить правильность URL-адреса. Рекомендуется:
После открытия веб-страницы приложения также необходимо провести проверку безопасности адресной строки:
В настоящее время основные плагин-кошельки на рынке также интегрировали определенные функции предупреждения о рисках, которые могут отображать сильные уведомления при доступе к рискованным сайтам.
3. Подключить кошелек
После входа в приложение может автоматически или после активного нажатия на кнопку произойти подключение кошелька. Плагин-кошелек проведет некоторые проверки и отображение информации для текущего приложения.
После подключения кошелька приложение обычно не будет активно вызывать плагин-кошелек, если пользователь не выполняет других действий. Если сайт после входа в систему часто вызывает кошелек для подписания сообщений, подписания сделок, и даже после отказа от подписания продолжает постоянно всплывать с запросами на подписания, это может быть фишинговый сайт, к которому нужно относиться с осторожностью.
4. Подпись сообщения
В экстремальных случаях, если злоумышленник успешно взломал официальный сайт протокола или заменил содержимое страницы через атаки, такие как перехват на фронтенде, обычным пользователям будет сложно определить безопасность сайта в такой ситуации.
В этот момент подпись плагина-кошелька является последней линией защиты активов пользователя. Просто отказавшись от злонамеренных подписей, можно защитить свои активы от потерь. Пользователи должны внимательно проверять содержание подписей при подписании любых сообщений и транзакций, отказываясь от слепых подписей, чтобы избежать потерь активов.
Распространенные типы подписей включают:
5: Подпись транзакции
Подпись транзакции используется для авторизации транзакций в блокчейне, таких как переводы или вызовы смарт-контрактов. Пользователь подписывает с помощью приватного ключа, а сеть проверяет действительность транзакции. В настоящее время многие плагин-кошельки декодируют сообщения, ожидающие подписи, и отображают соответствующее содержимое. Обязательно следуйте принципу "не подписывать вслепую", рекомендации по безопасности:
Для пользователей с определённым техническим запасом также можно использовать некоторые распространённые методы ручной проверки: путём копирования адреса целевого контракта в блокчейн-браузер для проверки, содержание проверки включает в себя, является ли контракт открытым, были ли в последнее время массовые транзакции и присвоен ли этому адресу официальный или злонамеренный ярлык и т.д.
6. Обработка после сделки
Избегание фишинговых веб-страниц и вредоносных подписей не означает полной безопасности; после сделки все равно необходимо проводить управление рисками.
После сделки следует своевременно проверить статус транзакции в блокчейне и подтвердить его соответствие ожидаемому состоянию на момент подписания. Если обнаружены аномалии, немедленно выполните операции по перемещению активов, отмене прав и другим мерам по ограничению убытков.
Управление авторизацией токенов также очень важно. В некоторых случаях пользователи предоставляли авторизацию токенов определенным контрактам, и спустя много лет эти контракты подверглись атаке. Нападающие использовали лимит авторизации токенов атакуемого контракта для кражи средств пользователей. Чтобы избежать таких ситуаций, мы рекомендуем пользователям следовать следующим стандартам для предотвращения рисков:
Три, стратегия изоляции средств
При наличии рискованного сознания и достаточной подготовки к рискам также рекомендуется осуществлять эффективное разделение средств, чтобы в экстремальных случаях снизить степень потерь капитала. Рекомендуемые стратегии следующие:
Если вы столкнулись с ситуацией фишинга, рекомендуется немедленно предпринять следующие меры для снижения потерь:
Четыре, как безопасно участвовать в аирдропах
Airdrop — это распространенный способ продвижения блокчейн-проектов, но в нем также скрыты риски. Вот несколько советов:
Пять, рекомендации по выбору и использованию плагинов
Содержимое правил безопасности блокчейна обширно, и возможно, не всегда удается тщательно проверять каждое взаимодействие. Выбор безопасных плагинов имеет решающее значение, так как они могут помочь нам в оценке рисков. Вот конкретные рекомендации:
Шесть. Заключение
Следуя вышеуказанным рекомендациям по безопасной торговле, пользователи смогут более уверенно взаимодействовать в все более сложной экосистеме блокчейна, существенно повысив защиту своих активов. Несмотря на то, что технологии блокчейна основаны на децентрализации и прозрачности, это также означает, что пользователи должны самостоятельно справляться с множеством рисков, включая фишинг подписей, утечку приватных ключей и вредоносные приложения.
Чтобы достичь настоящей безопасности при размещении на блокчейне, полагаться только на инструменты уведомления совершенно недостаточно; ключевым является формирование системного сознания безопасности и операционных привычек. Используя аппаратные кошельки, внедряя стратегию изоляции средств, регулярно проверяя авторизации и обновляя плагины, а также реализуя в торговых операциях концепцию "многофакторной аутентификации, отказа от слепой подписи, изоляции средств", можно действительно достичь "свободного и безопасного размещения на блокчейне".