Посібник з безпеки угод Web3: побудова автономної системи захисту
З розвитком екосистеми на базі блокчейн, ланцюгові транзакції стали невід'ємною частиною повсякденних операцій користувачів Web3. Активи користувачів швидко переходять від централізованих платформ до децентралізованих мереж, що також означає, що відповідальність за безпеку активів переходить від платформи до самих користувачів. У середовищі на базі блокчейн користувачі повинні нести відповідальність за кожен крок взаємодії, включаючи імпорт гаманця, доступ до DApp, підпис авторизації та ініціювання транзакцій. Будь-яка необережна дія може призвести до серйозних наслідків, таких як витік приватного ключа, зловживання авторизацією або фішинг-атаки.
Хоча в даний час основні плагіни гаманців та браузери поступово інтегрують функції виявлення фішингу та ризикових попереджень, проте, стикаючись із все більш складними методами атак, покладатися лише на пасивний захист інструментів все ще складно повністю уникнути ризиків. Щоб допомогти користувачам чіткіше ідентифікувати потенційні ризикові точки в ланцюгових транзакціях, ми на основі практичного досвіду систематизували часто зустрічаються ризикові сценарії по всьому процесу, а також розробили систематичний посібник з безпеки ланцюгових транзакцій, поєднуючи рекомендації щодо захисту та поради щодо використання інструментів, з метою допомогти кожному користувачеві Web3 побудувати "автономну контрольовану" лінію захисту.
Основні принципи безпечної торгівлі:
Відмовтеся від сліпого підписання: не підписуйте угоди чи повідомлення, які не розумієте.
Повторна перевірка: перед будь-якою угодою обов'язково кілька разів перевірте точність відповідної інформації.
Один, Рекомендації щодо безпечних угод
Ключ до захисту цифрових активів полягає в безпечних транзакціях. Дослідження показують, що використання безпечних гаманців і двофакторної автентифікації (2FA) може суттєво знизити ризики. Конкретні рекомендації такі:
Вибір безпечного гаманця:
В першу чергу слід звертати увагу на провайдерів гаманців з гарною репутацією, таких як деякі відомі апаратні або програмні гаманці. Апаратні гаманці забезпечують офлайн-зберігання, знижуючи ризик онлайн-атак, що робить їх підходящими для зберігання великих сум активів.
Уважно перевірте деталі угоди:
Перед підтвердженням транзакції обов'язково перевірте адресу отримання, суму та мережу (наприклад, переконайтесь, що використовується правильний ланцюг), щоб уникнути втрат через помилки введення.
Увімкніть двофакторну аутентифікацію:
Якщо торговельна платформа або гаманець підтримує 2FA, обов'язково увімкніть його, щоб підвищити безпеку облікового запису, особливо при використанні гарячого гаманця.
Уникайте використання загального Wi-Fi:
Не проводьте угоди в публічних мережах Wi-Fi, щоб уникнути фішинг-атак та атак посередників.
Два, Посібник з безпечних торгових операцій
Повний процес交易DApp включає кілька етапів: встановлення гаманця, доступ до DApp, підключення гаманця, підписання повідомлення, підписання交易та обробка після交易. Кожен етап має певні ризики безпеки, нижче будуть поетапно представлені рекомендації щодо безпеки під час виконання.
1. Встановлення гаманця
Наразі DApp в основному взаємодіють через гаманці-плагіни для браузера. Серед популярних гаманців, що використовуються на EVM-ланцюгах, є деякі відомі плагін-гаманці.
При встановленні гаманця Chrome плагіна, слід завантажувати його з офіційного магазину додатків, щоб уникнути встановлення з сайтів третіх осіб та запобігти встановленню гаманця з бекдором. Користувачам, які мають таку можливість, рекомендується використовувати апаратний гаманець в комбінації, щоб ще більше підвищити загальну безпеку зберігання приватних ключів.
Під час резервного копіювання семянної фрази (зазвичай 12-24 слова відновлення) рекомендується зберігати її в безпечному фізичному місці, подалі від цифрових пристроїв, наприклад, записати на папері та зберегти в сейфі.
2. Відвідайте DApp
Фішинг на веб-сайті є поширеним методом атак у Web3. Типовим випадком є спонукання користувачів відвідати фішинговий DApp під виглядом аердропу, після чого, коли користувач підключає гаманець, їх спонукають підписати авторизацію токена, транзакцію переказу або підпис токена, що призводить до втрати активів.
Перед відвідуванням DApp слід підтвердити правильність адреси. Рекомендується:
Уникайте прямого доступу через пошукові системи
Обережно натискайте на посилання в соціальних мережах
Перевірка правильності URL-адреси DApp з багатьох джерел
Додати безпечний сайт до закладок браузера
Після відкриття веб-сторінки DApp необхідно провести перевірку безпеки адресного рядка:
Перевірте, чи домен і URL не схожі на підроблені
Підтвердіть, що це посилання HTTPS, браузер має показувати значок замка
3. Підключити гаманець
Після входу в DApp, може автоматично або після активного натискання на підключення, ініціюватись операція підключення гаманця. Плагін-гаманець проведе деякі перевірки та відобразить інформацію про поточний DApp.
Після підключення гаманця, зазвичай, коли користувач нічого більше не робить, DApp не буде активно викликати плагін гаманець. Якщо сайт після входу часто викликає гаманець з вимогою підписати повідомлення або угоду, навіть після відмови від підписання продовжує з'являтися запит на підпис, це, ймовірно, є ознакою фішингового сайту, з яким потрібно бути обережним.
4. Підпис повідомлення
У крайніх випадках, якщо зловмисник успішно зламав офіційний веб-сайт протоколу або замінив вміст сторінки за допомогою атак, таких як захоплення фронтенду, звичайним користувачам дуже важко оцінити безпеку веб-сайту.
У цей момент підпис плагін-гаманця стає останньою лінією захисту активів користувача. Якщо відмовитися від зловмисних підписів, можна уникнути втрати активів. Користувачі повинні ретельно перевіряти зміст підпису перед підписанням будь-яких повідомлень та угод, відмовляючись від сліпого підпису.
Типові види підписів включають:
eth_sign:підписувати хешовані дані
personal_sign: підписання відкритої інформації, зазвичай використовується для перевірки входу користувача або підтвердження ліцензійної угоди
eth_signTypedData (EIP-712): підпис даних структури, зазвичай використовується для Permit ERC20, замовлень NFT тощо
5. Підпис транзакції
Підпис транзакції використовується для авторизації транзакцій в блокчейні, таких як перекази або виклики смарт-контрактів. Користувачі підписують за допомогою приватного ключа, мережа перевіряє дійсність транзакції. Багато плагін-гаманців декодують повідомлення, що підлягають підписанню, і відображають відповідний контент, користувачам слід дотримуватись принципу уникнення сліпого підписання. Рекомендації з безпеки:
Уважно перевірте адресу отримувача, суму та мережу, щоб уникнути помилок
Для великих транзакцій рекомендується використовувати офлайн-підпис, щоб зменшити ризик онлайн-атак.
Зверніть увагу на газові витрати, переконайтеся, що вони розумні, щоб запобігти шахрайству.
Для користувачів, які мають певні технічні навички, можна використовувати метод ручної перевірки: скопіюйте адресу контракту цільового взаємодії в блокчейн-браузер для перевірки, основні моменти, на які слід звернути увагу, це чи є контракт з відкритим кодом, чи були нещодавно великі обсяги угод, а також чи є у браузера офіційна або зловмисна мітка для цієї адреси.
6. Обробка після交易
Навіть якщо вдалося уникнути фішингових веб-сторінок і шкідливих підписів, після交易 все ще потрібно проводити управління ризиками.
Після交易 слід терміново перевірити стан на блокчейні, щоб підтвердити, чи відповідає він очікуваному стану під час підписання. У разі виявлення аномалій терміново здійснити трансфер активів, скасування авторизації та інші заходи для зменшення збитків.
Управління дозволами ERC20 також є важливим. У деяких випадках, після того як користувач надає токенам дозволи на контракт, через кілька років ці контракти можуть зазнати атаки, і зловмисники можуть використати надані дозволи для крадіжки коштів користувача. Щоб запобігти таким ситуаціям, рекомендується дотримуватися таких стандартів:
Мінімізація авторизації: обмеження кількості токенів, що авторизуються відповідно до вимог транзакції, щоб уникнути використання за замовчуванням безмежної авторизації.
Своєчасно відкликати непотрібні дозволи: регулярно перевіряти статус дозволів адреси, відкликати дозволи для довгостроково неактивних угод, щоб запобігти витоку активів через вразливості угод.
Три. Стратегія ізоляції коштів
Навіть якщо ви усвідомлюєте ризики і вжили належних заходів для їх запобігання, рекомендується впровадити ефективну ізоляцію коштів, щоб зменшити рівень втрат у крайніх випадках. Рекомендувані стратегії такі:
Використовуйте мультипідписний гаманець або холодний гаманець для зберігання великих активів
Використовуйте плагін-гаманець або EOA-гаманець як гарячий гаманець для щоденних взаємодій
Регулярно змінюйте адреси гарячих гаманців, щоб уникнути тривалого впливу ризикового середовища
Якщо ви стали жертвою фішингу, рекомендується негайно вжити такі заходи для зменшення втрат:
Використовуйте професійні інструменти для скасування високоризикових авторизацій
Якщо підписано permit, але активи ще не були передані, можна негайно ініціювати новий підпис, щоб зробити старий підпис недійсним.
У разі необхідності швидко перемістіть залишкові активи на нову адресу або холодний гаманець
Чотири, Безпечна участь в аірдропах
Airdrop - це поширений спосіб просування блокчейн-проектів, але також існують потенційні ризики. Ось кілька порад:
Дослідження фону проєкту: забезпечити наявність чіткого білого документа, відкритої інформації про команду та доброї репутації в спільноті
Використовуйте спеціальну адресу: зареєструйте спеціальний гаманець та електронну пошту, щоб ізолювати ризики від основного рахунку
Обережно натискайте на посилання: отримуйте інформацію про аеродропи лише через офіційні канали, уникайте натискання на підозрілі посилання в соціальних мережах
П'ять, Рекомендації щодо вибору та використання плагінів
Враховуючи те, що в змісті правил безпеки блокчейну багато аспектів, кожен раз взаємодія може бути складною для детального перевірки, вибір безпечних плагінів має вирішальне значення і може допомогти в оцінці ризиків. Конкретні рекомендації такі:
Використовуйте довірені розширення: надавайте перевагу популярним і широко визнаним розширенням для браузера, які надають функції гаманця і підтримують взаємодію з DApp.
Перевірка рейтингу: перед встановленням нового плагіна перегляньте рейтинг користувачів та кількість установок. Високий рейтинг та велика кількість установок зазвичай свідчать про надійність плагіна, зменшуючи ризик шкідливого коду.
Тримайте оновленим: регулярно оновлюйте плагін, щоб отримати останні функції безпеки та виправлення. Застарілі плагіни можуть містити відомі вразливості, які легко можуть бути використані зловмисниками.
Шість, висновок
Дотримуючись наведених вище рекомендацій щодо безпечних угод, користувачі можуть більш спокійно взаємодіяти в дедалі складнішій екосистемі блокчейн, реально підвищуючи рівень захисту своїх активів. Незважаючи на те, що технологія блокчейн має переваги децентралізації та прозорості, це також означає, що користувачі повинні самостійно протистояти численним ризикам, включаючи фішинг підписів, витік приватних ключів, шкідливі DApp.
Щоб досягти справжньої безпеки при інтеграції в блокчейн, покладатися лише на інструменти попередження недостатньо; ключовим є формування системного усвідомлення безпеки та звичок у користуванні. Використовуючи апаратні гаманці, впроваджуючи стратегії ізоляції коштів, регулярно перевіряючи повноваження та оновлюючи плагіни та реалізуючи принципи "багаторазової перевірки, відмови від сліпих підписів, ізоляції коштів" під час проведення транзакцій, можна справді досягти "вільної та безпечної інтеграції в блокчейн".
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Повний посібник з Web3 торгівлі: побудова особистої безпеки активів
Посібник з безпеки угод Web3: побудова автономної системи захисту
З розвитком екосистеми на базі блокчейн, ланцюгові транзакції стали невід'ємною частиною повсякденних операцій користувачів Web3. Активи користувачів швидко переходять від централізованих платформ до децентралізованих мереж, що також означає, що відповідальність за безпеку активів переходить від платформи до самих користувачів. У середовищі на базі блокчейн користувачі повинні нести відповідальність за кожен крок взаємодії, включаючи імпорт гаманця, доступ до DApp, підпис авторизації та ініціювання транзакцій. Будь-яка необережна дія може призвести до серйозних наслідків, таких як витік приватного ключа, зловживання авторизацією або фішинг-атаки.
Хоча в даний час основні плагіни гаманців та браузери поступово інтегрують функції виявлення фішингу та ризикових попереджень, проте, стикаючись із все більш складними методами атак, покладатися лише на пасивний захист інструментів все ще складно повністю уникнути ризиків. Щоб допомогти користувачам чіткіше ідентифікувати потенційні ризикові точки в ланцюгових транзакціях, ми на основі практичного досвіду систематизували часто зустрічаються ризикові сценарії по всьому процесу, а також розробили систематичний посібник з безпеки ланцюгових транзакцій, поєднуючи рекомендації щодо захисту та поради щодо використання інструментів, з метою допомогти кожному користувачеві Web3 побудувати "автономну контрольовану" лінію захисту.
Основні принципи безпечної торгівлі:
Один, Рекомендації щодо безпечних угод
Ключ до захисту цифрових активів полягає в безпечних транзакціях. Дослідження показують, що використання безпечних гаманців і двофакторної автентифікації (2FA) може суттєво знизити ризики. Конкретні рекомендації такі:
Вибір безпечного гаманця: В першу чергу слід звертати увагу на провайдерів гаманців з гарною репутацією, таких як деякі відомі апаратні або програмні гаманці. Апаратні гаманці забезпечують офлайн-зберігання, знижуючи ризик онлайн-атак, що робить їх підходящими для зберігання великих сум активів.
Уважно перевірте деталі угоди: Перед підтвердженням транзакції обов'язково перевірте адресу отримання, суму та мережу (наприклад, переконайтесь, що використовується правильний ланцюг), щоб уникнути втрат через помилки введення.
Увімкніть двофакторну аутентифікацію: Якщо торговельна платформа або гаманець підтримує 2FA, обов'язково увімкніть його, щоб підвищити безпеку облікового запису, особливо при використанні гарячого гаманця.
Уникайте використання загального Wi-Fi: Не проводьте угоди в публічних мережах Wi-Fi, щоб уникнути фішинг-атак та атак посередників.
Два, Посібник з безпечних торгових операцій
Повний процес交易DApp включає кілька етапів: встановлення гаманця, доступ до DApp, підключення гаманця, підписання повідомлення, підписання交易та обробка після交易. Кожен етап має певні ризики безпеки, нижче будуть поетапно представлені рекомендації щодо безпеки під час виконання.
1. Встановлення гаманця
Наразі DApp в основному взаємодіють через гаманці-плагіни для браузера. Серед популярних гаманців, що використовуються на EVM-ланцюгах, є деякі відомі плагін-гаманці.
При встановленні гаманця Chrome плагіна, слід завантажувати його з офіційного магазину додатків, щоб уникнути встановлення з сайтів третіх осіб та запобігти встановленню гаманця з бекдором. Користувачам, які мають таку можливість, рекомендується використовувати апаратний гаманець в комбінації, щоб ще більше підвищити загальну безпеку зберігання приватних ключів.
Під час резервного копіювання семянної фрази (зазвичай 12-24 слова відновлення) рекомендується зберігати її в безпечному фізичному місці, подалі від цифрових пристроїв, наприклад, записати на папері та зберегти в сейфі.
2. Відвідайте DApp
Фішинг на веб-сайті є поширеним методом атак у Web3. Типовим випадком є спонукання користувачів відвідати фішинговий DApp під виглядом аердропу, після чого, коли користувач підключає гаманець, їх спонукають підписати авторизацію токена, транзакцію переказу або підпис токена, що призводить до втрати активів.
Перед відвідуванням DApp слід підтвердити правильність адреси. Рекомендується:
Після відкриття веб-сторінки DApp необхідно провести перевірку безпеки адресного рядка:
3. Підключити гаманець
Після входу в DApp, може автоматично або після активного натискання на підключення, ініціюватись операція підключення гаманця. Плагін-гаманець проведе деякі перевірки та відобразить інформацію про поточний DApp.
Після підключення гаманця, зазвичай, коли користувач нічого більше не робить, DApp не буде активно викликати плагін гаманець. Якщо сайт після входу часто викликає гаманець з вимогою підписати повідомлення або угоду, навіть після відмови від підписання продовжує з'являтися запит на підпис, це, ймовірно, є ознакою фішингового сайту, з яким потрібно бути обережним.
4. Підпис повідомлення
У крайніх випадках, якщо зловмисник успішно зламав офіційний веб-сайт протоколу або замінив вміст сторінки за допомогою атак, таких як захоплення фронтенду, звичайним користувачам дуже важко оцінити безпеку веб-сайту.
У цей момент підпис плагін-гаманця стає останньою лінією захисту активів користувача. Якщо відмовитися від зловмисних підписів, можна уникнути втрати активів. Користувачі повинні ретельно перевіряти зміст підпису перед підписанням будь-яких повідомлень та угод, відмовляючись від сліпого підпису.
Типові види підписів включають:
5. Підпис транзакції
Підпис транзакції використовується для авторизації транзакцій в блокчейні, таких як перекази або виклики смарт-контрактів. Користувачі підписують за допомогою приватного ключа, мережа перевіряє дійсність транзакції. Багато плагін-гаманців декодують повідомлення, що підлягають підписанню, і відображають відповідний контент, користувачам слід дотримуватись принципу уникнення сліпого підписання. Рекомендації з безпеки:
Для користувачів, які мають певні технічні навички, можна використовувати метод ручної перевірки: скопіюйте адресу контракту цільового взаємодії в блокчейн-браузер для перевірки, основні моменти, на які слід звернути увагу, це чи є контракт з відкритим кодом, чи були нещодавно великі обсяги угод, а також чи є у браузера офіційна або зловмисна мітка для цієї адреси.
6. Обробка після交易
Навіть якщо вдалося уникнути фішингових веб-сторінок і шкідливих підписів, після交易 все ще потрібно проводити управління ризиками.
Після交易 слід терміново перевірити стан на блокчейні, щоб підтвердити, чи відповідає він очікуваному стану під час підписання. У разі виявлення аномалій терміново здійснити трансфер активів, скасування авторизації та інші заходи для зменшення збитків.
Управління дозволами ERC20 також є важливим. У деяких випадках, після того як користувач надає токенам дозволи на контракт, через кілька років ці контракти можуть зазнати атаки, і зловмисники можуть використати надані дозволи для крадіжки коштів користувача. Щоб запобігти таким ситуаціям, рекомендується дотримуватися таких стандартів:
Три. Стратегія ізоляції коштів
Навіть якщо ви усвідомлюєте ризики і вжили належних заходів для їх запобігання, рекомендується впровадити ефективну ізоляцію коштів, щоб зменшити рівень втрат у крайніх випадках. Рекомендувані стратегії такі:
Якщо ви стали жертвою фішингу, рекомендується негайно вжити такі заходи для зменшення втрат:
Чотири, Безпечна участь в аірдропах
Airdrop - це поширений спосіб просування блокчейн-проектів, але також існують потенційні ризики. Ось кілька порад:
П'ять, Рекомендації щодо вибору та використання плагінів
Враховуючи те, що в змісті правил безпеки блокчейну багато аспектів, кожен раз взаємодія може бути складною для детального перевірки, вибір безпечних плагінів має вирішальне значення і може допомогти в оцінці ризиків. Конкретні рекомендації такі:
Шість, висновок
Дотримуючись наведених вище рекомендацій щодо безпечних угод, користувачі можуть більш спокійно взаємодіяти в дедалі складнішій екосистемі блокчейн, реально підвищуючи рівень захисту своїх активів. Незважаючи на те, що технологія блокчейн має переваги децентралізації та прозорості, це також означає, що користувачі повинні самостійно протистояти численним ризикам, включаючи фішинг підписів, витік приватних ключів, шкідливі DApp.
Щоб досягти справжньої безпеки при інтеграції в блокчейн, покладатися лише на інструменти попередження недостатньо; ключовим є формування системного усвідомлення безпеки та звичок у користуванні. Використовуючи апаратні гаманці, впроваджуючи стратегії ізоляції коштів, регулярно перевіряючи повноваження та оновлюючи плагіни та реалізуючи принципи "багаторазової перевірки, відмови від сліпих підписів, ізоляції коштів" під час проведення транзакцій, можна справді досягти "вільної та безпечної інтеграції в блокчейн".