Руководство по безопасным交易 в Web3: создание автономной и контролируемой системы защиты
С развитием экосистемы на блокчейне, транзакции на блокчейне стали неотъемлемой частью повседневной жизни пользователей Web3. Активы пользователей стремительно переходят с централизованных платформ на децентрализованные сети, что также означает, что ответственность за безопасность активов переходит от платформы к самим пользователям. В условиях блокчейна пользователи должны нести ответственность за каждое взаимодействие, включая импорт кошелька, доступ к DApp, подпись авторизации и инициирование транзакций. Любая неосторожная операция может привести к утечке приватных ключей, злоупотреблению авторизацией или фишинговым атакам и другим серьезным последствиям.
Несмотря на то, что текущие популярные плагины для кошельков и браузеров постепенно интегрируют функции распознавания фишинга и предупреждений о рисках, только полагаться на пассивную защиту инструментов все еще сложно полностью избежать рисков в условиях все более сложных методов атак. Чтобы помочь пользователям более четко идентифицировать потенциальные точки риска в цепочечных транзакциях, мы на основе практического опыта составили перечень высокочастотных сценариев рисков на всех этапах процесса и, объединяя рекомендации по защите и советы по использованию инструментов, разработали систему безопасного руководства по цепочечным транзакциям, целью которой является помощь каждому пользователю Web3 в создании "самостоятельно контролируемой" безопасности.
Основные принципы безопасной торговли:
Отказ от слепой подписи: никогда не подписывайте сделки или сообщения, которые вы не понимаете.
Повторная проверка: Перед проведением какой-либо сделки обязательно многократно проверяйте точность соответствующей информации.
1. Рекомендации по безопасной торговле
Ключевым моментом в защите цифровых активов является безопасная торговля. Исследования показывают, что использование безопасных кошельков и двухфакторной аутентификации (2FA) может значительно снизить риски. Конкретные рекомендации следующие:
Выберите безопасный кошелек:
Предпочитайте кошельки от известных поставщиков с хорошей репутацией, таких как некоторые известные аппаратные или программные кошельки. Аппаратные кошельки обеспечивают офлайн-хранение, что снижает риск онлайн-атак, и подходят для хранения крупных активов.
Тщательно проверьте детали сделки:
Перед подтверждением транзакции обязательно проверьте адрес получателя, сумму и сеть (например, убедитесь, что вы используете правильную цепь), чтобы избежать потерь из-за ошибок ввода.
Включите двухфакторную аутентификацию:
Если торговая платформа или кошелек поддерживают 2FA, обязательно включите его для повышения безопасности учетной записи, особенно при использовании горячего кошелька.
Избегайте использования общедоступного Wi-Fi:
Не проводите сделки в общественных Wi-Fi сетях, чтобы избежать фишинга и атак посредников.
2. Руководство по безопасным торговым операциям
Полный процесс транзакции DApp включает несколько этапов: установка кошелька, доступ к DApp, подключение кошелька, подпись сообщения, подпись транзакции и обработка после транзакции. На каждом этапе существуют определенные риски безопасности, ниже будут поочередно представлены меры предосторожности в реальной операции.
1. Установка кошелька
В настоящее время DApp в основном взаимодействует через браузерные плагин-кошельки. Основные популярные кошельки для EVM-цепей включают некоторые известные плагин-кошельки.
При установке кошелька в виде плагина для Chrome следует загружать его только из официального магазина приложений, избегая установки с третьих сайтов, чтобы предотвратить установку программного обеспечения кошелька с задними дверями. Пользователям, у которых есть такая возможность, рекомендуется дополнительно использовать аппаратные кошельки, чтобы повысить общую безопасность хранения приватных ключей.
При резервном копировании семенной фразы (обычно состоящей из 12-24 слов для восстановления) рекомендуется хранить её в безопасном физическом месте, вдали от цифровых устройств, например, записать на бумаге и сохранить в сейфе.
2. Доступ к DApp
Фишинг в Интернете является распространённым методом атак в Web3. Типичный случай заключается в том, что пользователи заманиваются на фишинговый DApp под предлогом аирдропа, а после подключения кошелька их заставляют подписывать авторизацию токенов, транзакции перевода или подписи авторизации токенов, что приводит к потере активов.
Перед доступом к DApp необходимо подтвердить правильность URL-адреса. Рекомендуется:
После открытия веб-страницы DApp необходимо провести проверку безопасности адресной строки:
Проверьте, похожи ли доменное имя и URL на подделку.
Подтвердите, является ли это HTTPS-ссылкой, браузер должен отображать значок замка
3. Подключить кошелек
После входа в DApp может произойти автоматическое подключение кошелька или это действие может быть вызвано нажатием кнопки "Подключить". Плагин-кошелек проведет некоторые проверки и отобразит информацию о текущем DApp.
После подключения кошелька обычно DApp не будет активно вызывать плагин-кошелек, если пользователь не выполняет другие действия. Если сайт часто вызывает кошелек для подписи сообщений или подписания сделок после входа в систему, даже если отказать в подписи, и продолжает появляться запрос на подпись, это может быть признаком фишингового сайта, с которым следует обращаться осторожно.
4. Подпись сообщения
В экстремальных случаях, если злоумышленник успешно взломает официальный сайт протокола или заменит содержимое страницы с помощью атак, таких как перехват на фронтенде, обычным пользователям будет трудно оценить безопасность сайта.
В этот момент подпись плагина-кошелька становится последней линией защиты активов пользователя. Просто отказавшись от злонамеренной подписи, можно избежать потери активов. Пользователи должны тщательно проверять содержание подписи, подписывая любые сообщения и транзакции, и отказываться от слепых подписей.
Распространенные типы подписей включают:
eth_sign: Подписать хешированные данные
personal_sign: Подпись открытой информации, часто используется для проверки подлинности пользователя при входе в систему или подтверждении лицензионного соглашения.
eth_signTypedData (EIP-712): Подпись структурированных данных, часто используется для разрешений ERC20, размещения NFT и т.д.
5. Подпись сделки
Подпись транзакции используется для авторизации транзакций в блокчейне, таких как переводы или вызовы смарт-контрактов. Пользователи подписывают с помощью приватного ключа, а сеть проверяет действительность транзакции. Многие плагин-кошельки декодируют сообщение для подписи и отображают соответствующее содержимое, пользователям настоятельно рекомендуется следовать принципу недопустимости слепой подписи. Рекомендации по безопасности:
Тщательно проверьте адрес получателя, сумму и сеть, чтобы избежать ошибок.
Для крупных сделок рекомендуется использовать оффлайн-подпись, чтобы уменьшить риск онлайн-атак.
Обратите внимание на газовые сборы, убедитесь, что они разумные, и защищайтесь от мошенничества
Для пользователей с определенными техническими навыками можно использовать метод ручной проверки: скопируйте адрес целевого контракта и вставьте его в блокчейн-браузер для проверки, в основном проверьте, является ли контракт открытым исходным кодом, были ли недавние крупные транзакции, а также отметил ли браузер этот адрес как официальный или вредоносный.
6. Обработка после сделки
Даже если вам удалось избежать фишинговых страниц и вредоносных подписей, после сделки необходимо провести управление рисками.
После сделки необходимо своевременно проверить состояние на блокчейне, чтобы подтвердить, соответствует ли оно ожидаемому состоянию на момент подписания. В случае обнаружения аномалий необходимо незамедлительно провести операции по переводу активов, аннулированию полномочий и другим мерам по ограничению убытков.
Управление разрешениями ERC20 также важно. В некоторых случаях, после того как пользователи предоставляют разрешения на токены для контрактов, эти контракты становятся жертвами атак спустя много лет, и злоумышленники используют разрешенные лимиты для кражи средств пользователей. Для предотвращения таких ситуаций рекомендуется следовать следующим стандартам:
Минимизация полномочий: ограничьте количество токенов, выданных по мере необходимости для сделок, чтобы избежать использования неограниченных полномочий по умолчанию.
Своевременно отменяйте ненужные разрешения: регулярно проверяйте статус разрешений адреса, отменяйте разрешения долгосрочных неактивных соглашений, чтобы предотвратить утечку активов из-за уязвимостей в соглашениях.
Три. Стратегия изоляции средств
Даже если вы осведомлены о рисках и приняли меры предосторожности, рекомендуется реализовать эффективное разделение средств, чтобы снизить степень потерь в крайних случаях. Рекомендуемые стратегии следующие:
Используйте мультиподписные кошельки или холодные кошельки для хранения крупных активов
Используйте плагин-кошелек или EOA-кошелек в качестве горячего кошелька для повседневного взаимодействия
Регулярно меняйте адреса горячих кошельков, чтобы избежать длительного воздействия на рискованную среду.
Если вы стали жертвой фишинга, рекомендуется немедленно предпринять следующие меры для снижения потерь:
Используйте профессиональные инструменты для отмены высокорисковых разрешений
Если подпись permit была подписана, но активы еще не были переведены, вы можете немедленно инициировать новую подпись, чтобы сделать старую подпись недействительной.
В случае необходимости быстро переведите оставшиеся активы на новый адрес или холодный кошелек
Четыре, безопасное участие в аирдропах
Airdrop является распространенным способом продвижения блокчейн-проектов, но также сопряжен с потенциальными рисками. Вот несколько советов:
Исследование фона проекта: обеспечение наличия четкого белого документа, открытой информации о команде и хорошей репутации сообщества
Используйте специальный адрес: зарегистрируйте специальный кошелек и электронную почту, чтобы изолировать риски от основного аккаунта
Осторожно нажимайте на ссылки: получайте информацию о дропах только через официальные каналы, избегайте нажатия на подозрительные ссылки в социальных платформах.
Пять, рекомендации по выбору и использованию плагинов
Учитывая множество аспектов содержания правил безопасности блокчейна, каждое взаимодействие может быть сложно тщательно проверить, поэтому выбор безопасных плагинов имеет решающее значение и может помочь в оценке рисков. Конкретные рекомендации следующие:
Используйте доверенные расширения: предпочтительно выбирать расширения браузера с высокой популярностью и широким признанием, которые предоставляют функции кошелька и поддерживают взаимодействие с DApp.
Проверка рейтинга: перед установкой нового плагина посмотрите на рейтинг пользователей и количество установок. Высокий рейтинг и большое количество установок обычно указывают на то, что плагин более надежен и снижает риск наличия вредоносного кода.
Поддерживайте обновления: регулярно обновляйте плагины, чтобы получить последние функции безопасности и исправления. Устаревшие плагины могут иметь известные уязвимости, которые легко могут быть использованы злоумышленниками.
Шесть, заключение
Следуя вышеупомянутым рекомендациям по безопасной торговле, пользователи могут более уверенно взаимодействовать в всё более сложной экосистеме блокчейна, существенно повышая защиту своих активов. Хотя технология блокчейна имеет в качестве основных преимуществ децентрализацию и прозрачность, это также означает, что пользователям необходимо самостоятельно справляться с множеством рисков, включая фишинг подписей, утечку приватных ключей и вредоносные DApp.
Для достижения настоящей безопасности при выходе на блокчейн недостаточно полагаться только на инструменты уведомления; ключевым является формирование системного сознания безопасности и привычек работы. Используя аппаратные кошельки, внедряя стратегии изоляции средств, регулярно проверяя полномочия и обновляя плагины, а также следуя принципам "многофакторной аутентификации, отказа от слепых подписей и изоляции средств" в процессе транзакций, можно действительно добиться "свободного и безопасного выхода на блокчейн".
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
9 Лайков
Награда
9
4
Поделиться
комментарий
0/400
NewPumpamentals
· 7ч назад
Холодный кошелек保平安
Посмотреть ОригиналОтветить0
SighingCashier
· 7ч назад
Новичок действительно неудачник в мире криптовалют.
Полное руководство по Web3-транзакциям: создание личной безопасности активов
Руководство по безопасным交易 в Web3: создание автономной и контролируемой системы защиты
С развитием экосистемы на блокчейне, транзакции на блокчейне стали неотъемлемой частью повседневной жизни пользователей Web3. Активы пользователей стремительно переходят с централизованных платформ на децентрализованные сети, что также означает, что ответственность за безопасность активов переходит от платформы к самим пользователям. В условиях блокчейна пользователи должны нести ответственность за каждое взаимодействие, включая импорт кошелька, доступ к DApp, подпись авторизации и инициирование транзакций. Любая неосторожная операция может привести к утечке приватных ключей, злоупотреблению авторизацией или фишинговым атакам и другим серьезным последствиям.
Несмотря на то, что текущие популярные плагины для кошельков и браузеров постепенно интегрируют функции распознавания фишинга и предупреждений о рисках, только полагаться на пассивную защиту инструментов все еще сложно полностью избежать рисков в условиях все более сложных методов атак. Чтобы помочь пользователям более четко идентифицировать потенциальные точки риска в цепочечных транзакциях, мы на основе практического опыта составили перечень высокочастотных сценариев рисков на всех этапах процесса и, объединяя рекомендации по защите и советы по использованию инструментов, разработали систему безопасного руководства по цепочечным транзакциям, целью которой является помощь каждому пользователю Web3 в создании "самостоятельно контролируемой" безопасности.
Основные принципы безопасной торговли:
1. Рекомендации по безопасной торговле
Ключевым моментом в защите цифровых активов является безопасная торговля. Исследования показывают, что использование безопасных кошельков и двухфакторной аутентификации (2FA) может значительно снизить риски. Конкретные рекомендации следующие:
Выберите безопасный кошелек: Предпочитайте кошельки от известных поставщиков с хорошей репутацией, таких как некоторые известные аппаратные или программные кошельки. Аппаратные кошельки обеспечивают офлайн-хранение, что снижает риск онлайн-атак, и подходят для хранения крупных активов.
Тщательно проверьте детали сделки: Перед подтверждением транзакции обязательно проверьте адрес получателя, сумму и сеть (например, убедитесь, что вы используете правильную цепь), чтобы избежать потерь из-за ошибок ввода.
Включите двухфакторную аутентификацию: Если торговая платформа или кошелек поддерживают 2FA, обязательно включите его для повышения безопасности учетной записи, особенно при использовании горячего кошелька.
Избегайте использования общедоступного Wi-Fi: Не проводите сделки в общественных Wi-Fi сетях, чтобы избежать фишинга и атак посредников.
2. Руководство по безопасным торговым операциям
Полный процесс транзакции DApp включает несколько этапов: установка кошелька, доступ к DApp, подключение кошелька, подпись сообщения, подпись транзакции и обработка после транзакции. На каждом этапе существуют определенные риски безопасности, ниже будут поочередно представлены меры предосторожности в реальной операции.
1. Установка кошелька
В настоящее время DApp в основном взаимодействует через браузерные плагин-кошельки. Основные популярные кошельки для EVM-цепей включают некоторые известные плагин-кошельки.
При установке кошелька в виде плагина для Chrome следует загружать его только из официального магазина приложений, избегая установки с третьих сайтов, чтобы предотвратить установку программного обеспечения кошелька с задними дверями. Пользователям, у которых есть такая возможность, рекомендуется дополнительно использовать аппаратные кошельки, чтобы повысить общую безопасность хранения приватных ключей.
При резервном копировании семенной фразы (обычно состоящей из 12-24 слов для восстановления) рекомендуется хранить её в безопасном физическом месте, вдали от цифровых устройств, например, записать на бумаге и сохранить в сейфе.
2. Доступ к DApp
Фишинг в Интернете является распространённым методом атак в Web3. Типичный случай заключается в том, что пользователи заманиваются на фишинговый DApp под предлогом аирдропа, а после подключения кошелька их заставляют подписывать авторизацию токенов, транзакции перевода или подписи авторизации токенов, что приводит к потере активов.
Перед доступом к DApp необходимо подтвердить правильность URL-адреса. Рекомендуется:
После открытия веб-страницы DApp необходимо провести проверку безопасности адресной строки:
3. Подключить кошелек
После входа в DApp может произойти автоматическое подключение кошелька или это действие может быть вызвано нажатием кнопки "Подключить". Плагин-кошелек проведет некоторые проверки и отобразит информацию о текущем DApp.
После подключения кошелька обычно DApp не будет активно вызывать плагин-кошелек, если пользователь не выполняет другие действия. Если сайт часто вызывает кошелек для подписи сообщений или подписания сделок после входа в систему, даже если отказать в подписи, и продолжает появляться запрос на подпись, это может быть признаком фишингового сайта, с которым следует обращаться осторожно.
4. Подпись сообщения
В экстремальных случаях, если злоумышленник успешно взломает официальный сайт протокола или заменит содержимое страницы с помощью атак, таких как перехват на фронтенде, обычным пользователям будет трудно оценить безопасность сайта.
В этот момент подпись плагина-кошелька становится последней линией защиты активов пользователя. Просто отказавшись от злонамеренной подписи, можно избежать потери активов. Пользователи должны тщательно проверять содержание подписи, подписывая любые сообщения и транзакции, и отказываться от слепых подписей.
Распространенные типы подписей включают:
5. Подпись сделки
Подпись транзакции используется для авторизации транзакций в блокчейне, таких как переводы или вызовы смарт-контрактов. Пользователи подписывают с помощью приватного ключа, а сеть проверяет действительность транзакции. Многие плагин-кошельки декодируют сообщение для подписи и отображают соответствующее содержимое, пользователям настоятельно рекомендуется следовать принципу недопустимости слепой подписи. Рекомендации по безопасности:
Для пользователей с определенными техническими навыками можно использовать метод ручной проверки: скопируйте адрес целевого контракта и вставьте его в блокчейн-браузер для проверки, в основном проверьте, является ли контракт открытым исходным кодом, были ли недавние крупные транзакции, а также отметил ли браузер этот адрес как официальный или вредоносный.
6. Обработка после сделки
Даже если вам удалось избежать фишинговых страниц и вредоносных подписей, после сделки необходимо провести управление рисками.
После сделки необходимо своевременно проверить состояние на блокчейне, чтобы подтвердить, соответствует ли оно ожидаемому состоянию на момент подписания. В случае обнаружения аномалий необходимо незамедлительно провести операции по переводу активов, аннулированию полномочий и другим мерам по ограничению убытков.
Управление разрешениями ERC20 также важно. В некоторых случаях, после того как пользователи предоставляют разрешения на токены для контрактов, эти контракты становятся жертвами атак спустя много лет, и злоумышленники используют разрешенные лимиты для кражи средств пользователей. Для предотвращения таких ситуаций рекомендуется следовать следующим стандартам:
Три. Стратегия изоляции средств
Даже если вы осведомлены о рисках и приняли меры предосторожности, рекомендуется реализовать эффективное разделение средств, чтобы снизить степень потерь в крайних случаях. Рекомендуемые стратегии следующие:
Если вы стали жертвой фишинга, рекомендуется немедленно предпринять следующие меры для снижения потерь:
Четыре, безопасное участие в аирдропах
Airdrop является распространенным способом продвижения блокчейн-проектов, но также сопряжен с потенциальными рисками. Вот несколько советов:
Пять, рекомендации по выбору и использованию плагинов
Учитывая множество аспектов содержания правил безопасности блокчейна, каждое взаимодействие может быть сложно тщательно проверить, поэтому выбор безопасных плагинов имеет решающее значение и может помочь в оценке рисков. Конкретные рекомендации следующие:
Шесть, заключение
Следуя вышеупомянутым рекомендациям по безопасной торговле, пользователи могут более уверенно взаимодействовать в всё более сложной экосистеме блокчейна, существенно повышая защиту своих активов. Хотя технология блокчейна имеет в качестве основных преимуществ децентрализацию и прозрачность, это также означает, что пользователям необходимо самостоятельно справляться с множеством рисков, включая фишинг подписей, утечку приватных ключей и вредоносные DApp.
Для достижения настоящей безопасности при выходе на блокчейн недостаточно полагаться только на инструменты уведомления; ключевым является формирование системного сознания безопасности и привычек работы. Используя аппаратные кошельки, внедряя стратегии изоляции средств, регулярно проверяя полномочия и обновляя плагины, а также следуя принципам "многофакторной аутентификации, отказа от слепых подписей и изоляции средств" в процессе транзакций, можно действительно добиться "свободного и безопасного выхода на блокчейн".