Руководство по безопасной торговле в Web3: Защита ваших цифровых активов
С развитием экосистемы блокчейна, ончейн-транзакции стали важной частью повседневных операций пользователей Web3. Все больше активов пользователей перемещается с централизованных платформ на децентрализованные сети, и эта тенденция также означает, что ответственность за безопасность активов постепенно переходит от платформы к самим пользователям. В децентрализованной среде пользователи должны нести ответственность за каждое действие, будь то импорт кошелька, доступ к приложениям или авторизация подписи и инициирование транзакций, любое небрежное действие может привести к серьезным угрозам безопасности, таким как утечка приватного ключа, злоупотребление авторизацией или фишинговые атаки.
Хотя на данный момент основные кошельки и браузерные плагины постепенно интегрируют функции выявления рисков и уведомления, полагаться только на пассивную защиту инструментов в условиях все более сложных методов атак все еще трудно полностью избежать рисков. Чтобы помочь пользователям лучше идентифицировать потенциальные риски в онлайновых транзакциях, наши эксперты по безопасности на основе практического опыта обобщили высокорискованные сценарии для всего процесса и совместили их с рекомендациями по защите и советами по использованию инструментов, разработав систематическое руководство по безопасности онлайновых транзакций, предназначенное для помощи каждому пользователю Web3 в создании "самоуправляемой" линии обороны.
Основные принципы безопасной торговли:
Отказ от слепого подписания: категорически не подписывать сделки или сообщения, которые не понимаете.
Повторная проверка: перед проведением любой сделки обязательно несколько раз проверьте точность соответствующей информации.
Рекомендации по безопасной торговле
Ключ к обеспечению безопасности цифровых активов заключается в безопасной торговле. Исследования показывают, что использование безопасного кошелька и двухфакторной аутентификации (2FA) может значительно снизить риски. Вот конкретные рекомендации:
Выберите безопасный кошелек:
Используйте кошельки от проверенных провайдеров, таких как аппаратные кошельки Ledger или Trezor, или некоторые известные программные кошельки. Аппаратные кошельки обеспечивают оффлайн-хранение, что снижает риск онлайн-атак, и подходят для хранения крупных цифровых активов.
Тщательно проверьте детали сделки:
Перед подтверждением сделки обязательно проверьте адрес получения, сумму и сеть (, чтобы убедиться, что вы используете правильную блокчейн-сеть ), чтобы избежать потерь из-за ошибок ввода.
Включите двухфакторную аутентификацию (2FA):
Если торговая платформа или кошелек поддерживают 2FA, обязательно активируйте эту функцию, чтобы повысить безопасность аккаунта, особенно при использовании горячих кошельков.
Избегайте использования общественного Wi-Fi:
Не проводите сделки в общественных Wi-Fi сетях, чтобы избежать фишинга и атак посредников.
Руководство по безопасной торговле
Полный процесс транзакции децентрализованного приложения ( DApp ) включает в себя несколько этапов: установка кошелька, доступ к DApp, подключение кошелька, подписание сообщений, подписание транзакций и обработка после транзакции. На каждом этапе существуют определенные риски безопасности, ниже будут последовательно изложены меры предосторожности при выполнении операций.
1. Установка кошелька
В настоящее время основной способ использования DApp — это взаимодействие через кошельки в виде плагинов для браузера. Основные кошельки, используемые в Ethereum и совместимых цепочках, включают некоторые известные кошельки-плагины.
При установке плагина-кошелька для браузера необходимо убедиться, что он загружается и устанавливается из официального магазина приложений, чтобы избежать установки кошелька с бэкдорами с третьих сайтов. Пользователям, у которых есть такая возможность, рекомендуется использовать аппаратный кошелек в сочетании с этим, чтобы дополнительно повысить общую безопасность управления приватными ключами.
При установке резервной фразы для кошелька ( обычно используется восстановительная фраза из 12-24 слов ). Рекомендуется хранить ее в безопасном оффлайн-месте, вдали от цифровых устройств (, например, записать на бумаге и хранить в сейфе ).
2. Посетите DApp
Фишинг в вебе является распространённым методом атак в Web3. Типичный случай заключается в том, что пользователей заманивают на фишинговые приложения под предлогом аирдропа, после чего, когда пользователь подключает свой кошелёк, их подталкивают к подписанию авторизации токена, транзакции перевода или подписи авторизации токена, что приводит к потерям активов.
Поэтому при посещении DApp пользователям необходимо быть осторожными, чтобы избежать ловушек веб-фишинга.
Перед посещением DApp следует подтвердить правильность URL. Рекомендуется:
Избегайте прямого доступа через поисковые системы: злоумышленники могут повысить рейтинг своих фишинговых сайтов, покупая рекламные места.
Избегайте нажатия на ссылки в социальных сетях: ссылки, опубликованные в комментариях или сообщениях, могут быть фишинговыми.
Повторно проверьте правильность URL DApp: можно сверить с авторитетными платформами данных DApp, официальными аккаунтами проектов в социальных сетях и другими источниками.
Добавьте безопасный сайт в закладки браузера: в дальнейшем можно будет заходить напрямую из закладок.
После открытия веб-страницы DApp необходимо также провести проверку безопасности адресной строки:
Проверьте, похожи ли доменное имя и URL на подделку.
Проверьте, является ли это HTTPS-ссылкой, браузер должен отображать значок замка🔒.
В настоящее время основные плагин-кошельки на рынке также интегрировали определенные функции предупреждения о рисках, которые могут отображать сильные уведомления при доступе к рискованным веб-сайтам.
3. Подключить кошелек
После входа в DApp может автоматически запуститься операция подключения кошелька или она может быть инициирована после нажатия кнопки "Подключить". Плагин-кошелек проведет некоторые проверки, покажет информацию и т.д. для текущего DApp.
После подключения кошелька, как правило, DApp не будет активно вызывать плагин-кошелёк, если пользователь не выполняет другие действия. Если сайт часто вызывает кошелёк для подписи сообщений, подписания транзакций после входа в систему, и даже продолжает всплывать с запросами на подпись после отказа, это может свидетельствовать о фишинговом сайте, с которым нужно быть осторожным.
4. Подпись сообщения
В экстремальных случаях, например, если злоумышленник успешно взломал официальный сайт протокола или заменил содержимое страницы с помощью атаки на фронтенд, обычным пользователям будет сложно определить безопасность сайта в такой ситуации.
В это время подпись плагина-кошелька является последним барьером для защиты активов пользователя. Если отклонить злонамеренные подписи, можно защитить свои активы от потерь. Пользователь должен внимательно проверять содержание подписи при подписании любых сообщений и транзакций, отказываясь от слепой подписи, чтобы избежать потери активов.
Распространенные типы подписи включают:
eth_sign: Подписывает хэш-данные.
personal_sign: Подписание открытой информации, наиболее часто встречается при подтверждении входа пользователя или соглашения о разрешении.
eth_signTypedData(EIP-712): Подпись структурированных данных, часто используется для Permit ERC20, ордеров на NFT и т.д.
5. Подпись транзакции
Подпись транзакции используется для авторизации транзакций в блокчейне, таких как переводы или вызовы смарт-контрактов. Пользователь подписывает с помощью закрытого ключа, сеть проверяет действительность транзакции. В настоящее время многие плагин-кошельки расшифровывают сообщения для подписи и отображают соответствующее содержание, обязательно следуйте принципу осознанной подписи, рекомендации по безопасности:
Тщательно проверьте адрес получателя, сумму и сеть, чтобы избежать ошибок.
Рекомендуется использовать офлайн-подписание для крупных сделок, чтобы снизить риски онлайн-атак.
Обратите внимание на газовые расходы, убедитесь, что они разумные, чтобы избежать мошенничества.
Для пользователей с определенными техническими навыками также можно использовать некоторые распространенные методы ручной проверки: скопировать адрес целевого контракта в блокчейн-браузер для проверки, содержание проверки в основном включает в себя, является ли контракт открытым, были ли в последнее время значительные транзакции и пометил ли браузер этот адрес официальной меткой или меткой злоумышленника и т.д.
6. Обработка после сделки
Избежание фишинговых страниц и вредоносных подписей не означает, что все в порядке; после сделки также необходимо проводить управление рисками.
После сделки следует своевременно проверить статус транзакции в блокчейне и подтвердить, соответствует ли он ожидаемому состоянию на момент подписания. Если обнаружены аномалии, необходимо незамедлительно выполнить операции по переводу активов, аннулированию авторизации и другим действиям для минимизации убытков.
Управление одобрением ERC20 также очень важно. В некоторых случаях пользователи предоставляют разрешения на токены для определенных контрактов, и спустя годы эти контракты подвергаются атакам. Злоумышленники используют лимит одобрения токенов атакуемого контракта для кражи средств пользователей. Чтобы избежать подобных ситуаций, наша команда безопасности рекомендует пользователям следовать следующим стандартам для предотвращения рисков:
Минимизация полномочий. При проведении авторизации токенов следует ограничить количество токенов, соответствующее потребностям сделки. Если для сделки требуется авторизовать 100 USDT, то количество этой авторизации должно быть ограничено 100 USDT, а не использовать стандартную неограниченную авторизацию.
Своевременно отменяйте ненужные авторизации токенов. Пользователи могут войти в некоторые инструменты управления авторизацией, чтобы проверить состояние авторизации соответствующего адреса, отменить авторизацию протоколов, которые долгое время не взаимодействовали, чтобы предотвратить уязвимости протокола, которые могут привести к потере активов из-за использования лимита авторизации пользователя.
Стратегия изоляции средств
При наличии осведомленности о рисках и проведении достаточных мер по их предотвращению также рекомендуется осуществлять эффективное разделение средств, чтобы снизить степень ущерба в экстремальных ситуациях. Рекомендуемая стратегия следующая:
Используйте мультиподписные кошельки или холодные кошельки для хранения крупных цифровых активов;
Используйте плагин-кошелек или EOA-кошелек в качестве горячего кошелька для повседневного взаимодействия;
Регулярно меняйте адреса горячих кошельков, чтобы предотвратить постоянное воздействие адресов на рисковые среды.
Если вы случайно стали жертвой фишинга, мы рекомендуем немедленно выполнить следующие меры для снижения потерь:
Используйте инструменты управления доступом для отмены высоких рисков разрешений;
Если подпись permit была подписана, но актив еще не был переведен, можно немедленно инициировать новую подпись, чтобы сделать старую подпись с nonce недействительной;
При необходимости быстро переведите оставшиеся активы на новый адрес или холодный кошелек.
Безопасное участие в аирдропах
Airdrop — это распространенный способ продвижения блокчейн-проектов, но в нем также скрыты риски. Вот несколько советов:
Исследование фона проекта: обеспечить наличие четкого белого документа, публичной информации о команде и репутации сообщества;
Используйте специальный адрес: зарегистрируйте специальный кошелек и почту, чтобы изолировать риски основного аккаунта;
Осторожно нажимайте на ссылки: получайте информацию оairdrop только через официальные каналы, избегайте нажатия на подозрительные ссылки в социальных сетях;
Выбор и рекомендации по использованию плагинов
Содержимое кодекса безопасности блокчейна обширно, и не всегда возможно проводить тщательную проверку при каждом взаимодействии. Выбор безопасных плагинов имеет решающее значение, так как они могут помочь нам в оценке рисков. Ниже приведены конкретные рекомендации:
Доверенные расширения: используйте браузерные расширения с высокой популярностью, такие как некоторые известные плагины для кошельков. Эти плагины предоставляют функции кошелька и поддерживают взаимодействие с DApp.
Проверка рейтинга: перед установкой нового плагина проверьте пользовательские рейтинги и количество установок. Высокий рейтинг и большое количество установок обычно указывают на то, что плагин более надежен, что снижает риск наличия вредоносного кода.
Поддерживайте обновление: регулярно обновляйте свои плагины, чтобы получить последние функции безопасности и исправления. Устаревшие плагины могут содержать известные уязвимости, которые могут быть использованы злоумышленниками.
Заключение
Следуя вышеуказанным рекомендациям по безопасной торговле, пользователи могут более уверенно взаимодействовать в все более сложной экосистеме блокчейна, значительно улучшая защиту своих активов. Хотя технологии блокчейна имеют в своей основе преимущества децентрализации и прозрачности, это также означает, что пользователям необходимо самостоятельно справляться с множеством рисков, включая фишинг подписей, утечку частных ключей и вредоносные приложения.
Чтобы добиться настоящей безопасности при внедрении в блокчейн, полагаться только на инструменты уведомления недостаточно; ключевым является формирование системного сознания безопасности и операционных привычек. Используя аппаратные кошельки, внедряя стратегии изоляции средств, регулярно проверяя авторизацию и обновляя плагины и другие меры защиты, а также руководствуясь принципами "многоуровневая проверка, отказ от слепой подписи, изоляция средств" в процессе торговых операций, можно действительно обеспечить "свободное и безопасное внедрение в блокчейн".
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
13 Лайков
Награда
13
4
Репост
Поделиться
комментарий
0/400
Rekt_Recovery
· 08-13 22:02
потерял 6 цифр в дефи... но все еще дышу. ваш дружелюбный сосед-деген, делящийся боевыми историями и надеждой
Посмотреть ОригиналОтветить0
alpha_leaker
· 08-13 22:02
новичок必看啊!学会了再说
Посмотреть ОригиналОтветить0
Ramen_Until_Rich
· 08-13 22:00
Только жареная лапша может привести к богатству~
Посмотреть ОригиналОтветить0
AltcoinHunter
· 08-13 21:57
Еще одна статья, которая будет играть для лохов. Если все понимают, то останется сколько неудачников?
Руководство по безопасности сделок в Web3: создание всесторонней системы защиты активов
Руководство по безопасной торговле в Web3: Защита ваших цифровых активов
С развитием экосистемы блокчейна, ончейн-транзакции стали важной частью повседневных операций пользователей Web3. Все больше активов пользователей перемещается с централизованных платформ на децентрализованные сети, и эта тенденция также означает, что ответственность за безопасность активов постепенно переходит от платформы к самим пользователям. В децентрализованной среде пользователи должны нести ответственность за каждое действие, будь то импорт кошелька, доступ к приложениям или авторизация подписи и инициирование транзакций, любое небрежное действие может привести к серьезным угрозам безопасности, таким как утечка приватного ключа, злоупотребление авторизацией или фишинговые атаки.
Хотя на данный момент основные кошельки и браузерные плагины постепенно интегрируют функции выявления рисков и уведомления, полагаться только на пассивную защиту инструментов в условиях все более сложных методов атак все еще трудно полностью избежать рисков. Чтобы помочь пользователям лучше идентифицировать потенциальные риски в онлайновых транзакциях, наши эксперты по безопасности на основе практического опыта обобщили высокорискованные сценарии для всего процесса и совместили их с рекомендациями по защите и советами по использованию инструментов, разработав систематическое руководство по безопасности онлайновых транзакций, предназначенное для помощи каждому пользователю Web3 в создании "самоуправляемой" линии обороны.
Основные принципы безопасной торговли:
Рекомендации по безопасной торговле
Ключ к обеспечению безопасности цифровых активов заключается в безопасной торговле. Исследования показывают, что использование безопасного кошелька и двухфакторной аутентификации (2FA) может значительно снизить риски. Вот конкретные рекомендации:
Выберите безопасный кошелек: Используйте кошельки от проверенных провайдеров, таких как аппаратные кошельки Ledger или Trezor, или некоторые известные программные кошельки. Аппаратные кошельки обеспечивают оффлайн-хранение, что снижает риск онлайн-атак, и подходят для хранения крупных цифровых активов.
Тщательно проверьте детали сделки: Перед подтверждением сделки обязательно проверьте адрес получения, сумму и сеть (, чтобы убедиться, что вы используете правильную блокчейн-сеть ), чтобы избежать потерь из-за ошибок ввода.
Включите двухфакторную аутентификацию (2FA): Если торговая платформа или кошелек поддерживают 2FA, обязательно активируйте эту функцию, чтобы повысить безопасность аккаунта, особенно при использовании горячих кошельков.
Избегайте использования общественного Wi-Fi: Не проводите сделки в общественных Wi-Fi сетях, чтобы избежать фишинга и атак посредников.
Руководство по безопасной торговле
Полный процесс транзакции децентрализованного приложения ( DApp ) включает в себя несколько этапов: установка кошелька, доступ к DApp, подключение кошелька, подписание сообщений, подписание транзакций и обработка после транзакции. На каждом этапе существуют определенные риски безопасности, ниже будут последовательно изложены меры предосторожности при выполнении операций.
1. Установка кошелька
В настоящее время основной способ использования DApp — это взаимодействие через кошельки в виде плагинов для браузера. Основные кошельки, используемые в Ethereum и совместимых цепочках, включают некоторые известные кошельки-плагины.
При установке плагина-кошелька для браузера необходимо убедиться, что он загружается и устанавливается из официального магазина приложений, чтобы избежать установки кошелька с бэкдорами с третьих сайтов. Пользователям, у которых есть такая возможность, рекомендуется использовать аппаратный кошелек в сочетании с этим, чтобы дополнительно повысить общую безопасность управления приватными ключами.
При установке резервной фразы для кошелька ( обычно используется восстановительная фраза из 12-24 слов ). Рекомендуется хранить ее в безопасном оффлайн-месте, вдали от цифровых устройств (, например, записать на бумаге и хранить в сейфе ).
2. Посетите DApp
Фишинг в вебе является распространённым методом атак в Web3. Типичный случай заключается в том, что пользователей заманивают на фишинговые приложения под предлогом аирдропа, после чего, когда пользователь подключает свой кошелёк, их подталкивают к подписанию авторизации токена, транзакции перевода или подписи авторизации токена, что приводит к потерям активов.
Поэтому при посещении DApp пользователям необходимо быть осторожными, чтобы избежать ловушек веб-фишинга.
Перед посещением DApp следует подтвердить правильность URL. Рекомендуется:
После открытия веб-страницы DApp необходимо также провести проверку безопасности адресной строки:
В настоящее время основные плагин-кошельки на рынке также интегрировали определенные функции предупреждения о рисках, которые могут отображать сильные уведомления при доступе к рискованным веб-сайтам.
3. Подключить кошелек
После входа в DApp может автоматически запуститься операция подключения кошелька или она может быть инициирована после нажатия кнопки "Подключить". Плагин-кошелек проведет некоторые проверки, покажет информацию и т.д. для текущего DApp.
После подключения кошелька, как правило, DApp не будет активно вызывать плагин-кошелёк, если пользователь не выполняет другие действия. Если сайт часто вызывает кошелёк для подписи сообщений, подписания транзакций после входа в систему, и даже продолжает всплывать с запросами на подпись после отказа, это может свидетельствовать о фишинговом сайте, с которым нужно быть осторожным.
4. Подпись сообщения
В экстремальных случаях, например, если злоумышленник успешно взломал официальный сайт протокола или заменил содержимое страницы с помощью атаки на фронтенд, обычным пользователям будет сложно определить безопасность сайта в такой ситуации.
В это время подпись плагина-кошелька является последним барьером для защиты активов пользователя. Если отклонить злонамеренные подписи, можно защитить свои активы от потерь. Пользователь должен внимательно проверять содержание подписи при подписании любых сообщений и транзакций, отказываясь от слепой подписи, чтобы избежать потери активов.
Распространенные типы подписи включают:
5. Подпись транзакции
Подпись транзакции используется для авторизации транзакций в блокчейне, таких как переводы или вызовы смарт-контрактов. Пользователь подписывает с помощью закрытого ключа, сеть проверяет действительность транзакции. В настоящее время многие плагин-кошельки расшифровывают сообщения для подписи и отображают соответствующее содержание, обязательно следуйте принципу осознанной подписи, рекомендации по безопасности:
Для пользователей с определенными техническими навыками также можно использовать некоторые распространенные методы ручной проверки: скопировать адрес целевого контракта в блокчейн-браузер для проверки, содержание проверки в основном включает в себя, является ли контракт открытым, были ли в последнее время значительные транзакции и пометил ли браузер этот адрес официальной меткой или меткой злоумышленника и т.д.
6. Обработка после сделки
Избежание фишинговых страниц и вредоносных подписей не означает, что все в порядке; после сделки также необходимо проводить управление рисками.
После сделки следует своевременно проверить статус транзакции в блокчейне и подтвердить, соответствует ли он ожидаемому состоянию на момент подписания. Если обнаружены аномалии, необходимо незамедлительно выполнить операции по переводу активов, аннулированию авторизации и другим действиям для минимизации убытков.
Управление одобрением ERC20 также очень важно. В некоторых случаях пользователи предоставляют разрешения на токены для определенных контрактов, и спустя годы эти контракты подвергаются атакам. Злоумышленники используют лимит одобрения токенов атакуемого контракта для кражи средств пользователей. Чтобы избежать подобных ситуаций, наша команда безопасности рекомендует пользователям следовать следующим стандартам для предотвращения рисков:
Стратегия изоляции средств
При наличии осведомленности о рисках и проведении достаточных мер по их предотвращению также рекомендуется осуществлять эффективное разделение средств, чтобы снизить степень ущерба в экстремальных ситуациях. Рекомендуемая стратегия следующая:
Если вы случайно стали жертвой фишинга, мы рекомендуем немедленно выполнить следующие меры для снижения потерь:
Безопасное участие в аирдропах
Airdrop — это распространенный способ продвижения блокчейн-проектов, но в нем также скрыты риски. Вот несколько советов:
Выбор и рекомендации по использованию плагинов
Содержимое кодекса безопасности блокчейна обширно, и не всегда возможно проводить тщательную проверку при каждом взаимодействии. Выбор безопасных плагинов имеет решающее значение, так как они могут помочь нам в оценке рисков. Ниже приведены конкретные рекомендации:
Заключение
Следуя вышеуказанным рекомендациям по безопасной торговле, пользователи могут более уверенно взаимодействовать в все более сложной экосистеме блокчейна, значительно улучшая защиту своих активов. Хотя технологии блокчейна имеют в своей основе преимущества децентрализации и прозрачности, это также означает, что пользователям необходимо самостоятельно справляться с множеством рисков, включая фишинг подписей, утечку частных ключей и вредоносные приложения.
Чтобы добиться настоящей безопасности при внедрении в блокчейн, полагаться только на инструменты уведомления недостаточно; ключевым является формирование системного сознания безопасности и операционных привычек. Используя аппаратные кошельки, внедряя стратегии изоляции средств, регулярно проверяя авторизацию и обновляя плагины и другие меры защиты, а также руководствуясь принципами "многоуровневая проверка, отказ от слепой подписи, изоляция средств" в процессе торговых операций, можно действительно обеспечить "свободное и безопасное внедрение в блокчейн".