Guía de Comercio Seguro en Web3: Protege tus activos digitales
Con el continuo desarrollo del ecosistema blockchain, las transacciones en cadena se han convertido en una parte importante de las actividades diarias de los usuarios de Web3. Los activos de los usuarios están gradualmente trasladándose de plataformas centralizadas a redes descentralizadas, lo que significa que la responsabilidad de la seguridad de los activos también se está trasladando de la plataforma a los propios usuarios. En un entorno descentralizado, los usuarios deben ser responsables de cada paso de la operación, ya sea importar una billetera, usar una DApp, realizar autorizaciones de firma o iniciar transacciones; cualquier operación imprudente puede provocar problemas de seguridad, lo que lleva a la filtración de claves privadas, abuso de autorizaciones o sufrir ataques de phishing, entre otras consecuencias graves.
Aunque actualmente los complementos de billetera y los navegadores principales han integrado gradualmente funciones como la identificación de phishing y las alertas de riesgo, enfrentar técnicas de ataque cada vez más complejas solo confiando en defensas pasivas de herramientas aún no puede eliminar completamente el riesgo. Para ayudar a los usuarios a identificar mejor los riesgos potenciales en las transacciones en cadena, hemos resumido, basándonos en la experiencia práctica, los escenarios de alto riesgo a lo largo del proceso y, combinando recomendaciones de protección y técnicas de uso de herramientas, hemos elaborado una guía completa de seguridad para transacciones en cadena, con el objetivo de ayudar a cada usuario de Web3 a establecer una línea de defensa "autónoma y controlable".
Principios fundamentales del comercio seguro:
Rechazar la firma ciega: no firmar bajo ninguna circunstancia transacciones o mensajes que no se entiendan.
Verificación repetida: Antes de realizar cualquier transacción, asegúrese de verificar varias veces la exactitud de la información relacionada.
Sugerencias para transacciones seguras
La clave para proteger los activos digitales radica en las transacciones seguras. Los estudios muestran que el uso de carteras seguras y la autenticación de dos factores (2FA) pueden reducir significativamente el riesgo. A continuación se presentan recomendaciones específicas:
Elegir una billetera segura:
Utiliza billeteras de buena reputación, como billeteras de hardware o billeteras de software conocidas. Las billeteras de hardware ofrecen almacenamiento fuera de línea, lo que reduce el riesgo de ataques en línea, y son adecuadas para almacenar grandes cantidades de activos.
Verifica cuidadosamente los detalles de la transacción:
Antes de confirmar la transacción, asegúrate de verificar la dirección de recepción, el monto y la red (por ejemplo, asegurándote de usar la blockchain correcta) para evitar pérdidas debido a errores de entrada.
Activar la autenticación en dos pasos:
Si la plataforma de intercambio o la billetera soportan 2FA, asegúrate de habilitarlo, especialmente al usar billeteras calientes, esto puede mejorar significativamente la seguridad de la cuenta.
Evitar el uso de Wi-Fi público:
No realice transacciones en redes Wi-Fi públicas para evitar ser víctima de ataques de phishing y ataques de intermediarios.
Cómo realizar transacciones seguras
Un proceso completo de transacción de DApp incluye múltiples etapas: instalación de la billetera, acceso a la DApp, conexión de la billetera, firma de mensajes, firma de transacciones y procesamiento posterior a la transacción. Cada etapa presenta ciertos riesgos de seguridad, a continuación se presentarán uno a uno los aspectos a tener en cuenta en la operación real.
1. Instalación de la billetera
Actualmente, la principal forma de interactuar con DApp es a través de billeteras de navegador como MetaMask en cadenas compatibles con EVM.
Al instalar la billetera del complemento de Chrome, se debe asegurar de descargarla desde la tienda oficial de aplicaciones, evitando la instalación desde sitios web de terceros, para prevenir la instalación de software de billetera con puertas traseras. Se recomienda a los usuarios que puedan hacerlo que utilicen simultáneamente una billetera de hardware para mejorar aún más la seguridad en la gestión de las claves privadas.
Al hacer una copia de seguridad de la frase de recuperación de la billetera (que generalmente consiste en 12 a 24 palabras), se recomienda almacenarla en un lugar seguro y fuera de línea, lejos de dispositivos electrónicos (como escribirla en papel y guardarla en una caja fuerte).
2. Acceder a DApp
El phishing web es una técnica común en los ataques de Web3. Un caso típico es inducir a los usuarios a visitar una DApp de phishing bajo el pretexto de un airdrop, y después de que el usuario conecte su billetera, se les induce a firmar autorizaciones de tokens, transacciones de transferencia o firmas de autorización de tokens, lo que resulta en la pérdida de activos.
Por lo tanto, al acceder a la DApp, los usuarios deben mantenerse alerta para evitar caer en trampas de phishing en la web.
Antes de acceder a la DApp, debe confirmar la corrección de la URL. Sugerencia:
Evite acceder directamente a través de motores de búsqueda: los atacantes de phishing pueden hacer que sus sitios web de phishing se clasifiquen más alto comprando espacios publicitarios.
Evita hacer clic en los enlaces en las redes sociales: las URL en los comentarios o mensajes pueden ser enlaces de phishing.
Confirme varias veces la exactitud de la URL de DApp: puede verificarla a través de múltiples canales confiables.
Agrega el sitio web seguro a los marcadores del navegador: luego accede directamente desde los marcadores.
Después de abrir la página web de DApp, también se necesita realizar una verificación de seguridad en la barra de direcciones:
Verificar si el dominio y la URL tienen imitaciones.
Confirme si es un enlace HTTPS, el navegador debe mostrar el ícono de candado 🔒.
Actualmente, las principales billeteras de plugins han integrado ciertas funciones de advertencia de riesgos, que pueden dar advertencias fuertes al acceder a sitios web de riesgo.
3. Conectar billetera
Al ingresar a la DApp, puede que se active automáticamente o al hacer clic en Conectar la operación de conexión de la billetera. La billetera de complemento realizará algunas verificaciones y mostrará información sobre la DApp actual.
Después de conectar la cartera, generalmente, cuando el usuario no realiza otras operaciones, la DApp no invoca proactivamente la cartera del complemento. Si el sitio web solicita frecuentemente que la cartera firme mensajes o transacciones después de iniciar sesión, e incluso sigue apareciendo la solicitud de firma después de rechazarla, es muy probable que sea un sitio web de phishing y debe manejarse con precaución.
4. Firma de mensaje
En situaciones extremas, como cuando un atacante invade el sitio web oficial del protocolo o reemplaza el contenido de la página a través de métodos como el secuestro del frontend, es difícil para los usuarios comunes identificar la seguridad del sitio web en tales casos.
En este momento, la firma del monedero de complemento se convierte en la última línea de defensa para proteger los activos digitales de los usuarios. Siempre que se rechacen las firmas maliciosas, se puede evitar la pérdida de activos. Los usuarios deben revisar cuidadosamente el contenido al firmar cualquier mensaje y transacción, y rechazar las firmas ciegas para garantizar la seguridad de los activos.
Los tipos de firma comunes incluyen:
eth_sign: Firmar datos hash.
personal_sign: Firmar información en texto plano, comúnmente utilizado para la verificación de inicio de sesión del usuario o la confirmación de acuerdos de licencia.
eth_signTypedData (EIP-712): firma de datos estructurados, comúnmente utilizada para el Permiso de ERC20, órdenes de NFT, etc.
5. Firma de la transacción
La firma de transacciones se utiliza para autorizar transacciones en la cadena de bloques, como transferencias o invocaciones de contratos inteligentes. Los usuarios utilizan claves privadas para firmar, y la red verifica la validez de la transacción. Actualmente, muchas billeteras de plugins analizan el mensaje a firmar y muestran el contenido relevante, es imprescindible seguir el principio de no firmar ciegamente, recomendaciones de seguridad:
Verifique cuidadosamente la dirección del destinatario, el monto y la red para evitar errores.
Se recomienda utilizar firmas fuera de línea para transacciones grandes, reduciendo el riesgo de ataques en línea.
Presta atención a las tarifas de gas, asegúrate de que sean razonables para evitar posibles estafas.
Para los usuarios con un cierto nivel de conocimientos técnicos, se pueden utilizar algunos métodos de verificación manual: por ejemplo, copiar la dirección del contrato objetivo de interacción en un explorador de blockchain para revisarla, verificando principalmente si el contrato es de código abierto, si ha habido un gran volumen de transacciones recientemente, y si el explorador ha etiquetado oficialmente la dirección o le ha asignado etiquetas de malicia, entre otros.
6. Procesamiento posterior a la transacción
Incluso si se evita con éxito las páginas de phishing y las firmas maliciosas, aún es necesario realizar una gestión de riesgos después de la transacción.
Después de la transacción, se debe verificar a tiempo el estado en la cadena de la transacción para confirmar si coincide con las expectativas al momento de la firma. Si se detecta alguna anomalía, se deben tomar de inmediato medidas de mitigación de pérdidas, como transferir activos o revocar autorizaciones.
La gestión de la aprobación ERC20 también es muy importante. En algunos casos, después de que los usuarios otorgaron autorización de tokens a ciertos contratos, estos contratos fueron atacados años después, y el atacante utilizó el límite de autorización de tokens del contrato atacado para robar los fondos de los usuarios. Para evitar tales situaciones, se recomienda a los usuarios seguir los siguientes estándares para prevenir riesgos:
Autorización mínima. Al autorizar tokens, se debe limitar la cantidad de tokens autorizados según las necesidades de la transacción. Si una transacción requiere autorizar 100 USDT, la cantidad autorizada debe limitarse a 100 USDT y no utilizar la autorización predeterminada ilimitada.
Revocar a tiempo las autorizaciones de tokens no necesarias. Los usuarios pueden iniciar sesión en las herramientas correspondientes para consultar la situación de autorización de la dirección correspondiente, revocar las autorizaciones de protocolos que no han sido interactuados durante mucho tiempo, para evitar que el protocolo presente vulnerabilidades que puedan resultar en la pérdida de activos debido al uso de los límites de autorización del usuario.
Estrategia de aislamiento de fondos
Incluso si se tiene conciencia de los riesgos y se han tomado medidas adecuadas de prevención, se recomienda implementar una efectiva separación de fondos para reducir el grado de daño en situaciones extremas. Se recomiendan las siguientes estrategias:
Utilizar carteras multifirma o carteras frías para almacenar grandes activos.
Utilizar una billetera de plugin o una billetera EOA como billetera caliente para interacciones diarias;
Cambiar regularmente la dirección de la billetera caliente para evitar que la dirección esté expuesta a un entorno de riesgo durante mucho tiempo.
Si por accidente se encuentra con un ataque de phishing, se recomienda tomar las siguientes medidas de inmediato para reducir las pérdidas:
Utilice las herramientas relacionadas para revocar la autorización de alto riesgo;
Si se ha firmado un permiso pero el activo digital aún no se ha transferido, se puede iniciar inmediatamente una nueva firma para invalidar el nonce de la firma anterior;
Si es necesario, transfiera rápidamente los activos restantes a una nueva dirección o a una billetera fría.
Cómo participar de manera segura en actividades de airdrop
El airdrop es una forma común de promoción en proyectos de blockchain, pero también conlleva riesgos. A continuación se presentan algunos consejos:
Investigación de antecedentes del proyecto: asegurarse de que el proyecto tenga un libro blanco claro, información pública del equipo y una buena reputación en la comunidad;
Utilizar una dirección dedicada: registrarse con una billetera y un correo electrónico dedicados, aislando así el riesgo del cuenta principal;
Tenga cuidado al hacer clic en el enlace: obtenga información sobre airdrops únicamente a través de canales oficiales, evite hacer clic en enlaces sospechosos en plataformas sociales;
Selección y recomendaciones para el uso de herramientas de plugins
El contenido de las normas de seguridad de la blockchain es extenso y puede ser difícil realizar un examen detallado en cada interacción, por lo que es crucial elegir complementos seguros que nos ayuden a hacer juicios de riesgo. A continuación se presentan recomendaciones específicas:
Elija extensiones de confianza: use extensiones de navegador ampliamente utilizadas como MetaMask (para el ecosistema de Ethereum). Estos complementos ofrecen funciones de billetera y admiten la interacción con DApps.
Verificación de calificación: antes de instalar un nuevo complemento, consulte la calificación de los usuarios y la cantidad de instalaciones. Una alta calificación y un gran número de instalaciones suelen indicar que el complemento es más confiable, reduciendo el riesgo de código malicioso.
Mantenerse actualizado: actualice los complementos regularmente para obtener las últimas funciones de seguridad y correcciones. Los complementos obsoletos pueden tener vulnerabilidades conocidas que los atacantes pueden aprovechar.
Conclusión
Al seguir las pautas de seguridad para transacciones mencionadas anteriormente, los usuarios pueden interactuar de manera más tranquila en un ecosistema blockchain cada vez más complejo, mejorando eficazmente la capacidad de protección de activos. Aunque la tecnología blockchain tiene como principales ventajas la descentralización y la transparencia, esto también significa que los usuarios deben enfrentar de forma independiente múltiples riesgos, incluyendo el phishing de firmas, la filtración de claves privadas y DApps maliciosas.
Para lograr una verdadera seguridad en la cadena, depender únicamente de las herramientas de aviso no es suficiente; establecer una conciencia de seguridad y hábitos operativos sistemáticos es clave. A través del uso de billeteras de hardware, la implementación de estrategias de aislamiento de fondos, la revisión periódica de autorizaciones y la actualización de complementos, así como la adopción del concepto de "verificación múltiple, rechazo de firmas ciegas, aislamiento de fondos" en las operaciones de intercambio, se puede lograr realmente "subir a la cadena de manera libre y segura".
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
Guía de seguridad de transacciones Web3: protegiendo el activo digital en 6 etapas
Guía de Comercio Seguro en Web3: Protege tus activos digitales
Con el continuo desarrollo del ecosistema blockchain, las transacciones en cadena se han convertido en una parte importante de las actividades diarias de los usuarios de Web3. Los activos de los usuarios están gradualmente trasladándose de plataformas centralizadas a redes descentralizadas, lo que significa que la responsabilidad de la seguridad de los activos también se está trasladando de la plataforma a los propios usuarios. En un entorno descentralizado, los usuarios deben ser responsables de cada paso de la operación, ya sea importar una billetera, usar una DApp, realizar autorizaciones de firma o iniciar transacciones; cualquier operación imprudente puede provocar problemas de seguridad, lo que lleva a la filtración de claves privadas, abuso de autorizaciones o sufrir ataques de phishing, entre otras consecuencias graves.
Aunque actualmente los complementos de billetera y los navegadores principales han integrado gradualmente funciones como la identificación de phishing y las alertas de riesgo, enfrentar técnicas de ataque cada vez más complejas solo confiando en defensas pasivas de herramientas aún no puede eliminar completamente el riesgo. Para ayudar a los usuarios a identificar mejor los riesgos potenciales en las transacciones en cadena, hemos resumido, basándonos en la experiencia práctica, los escenarios de alto riesgo a lo largo del proceso y, combinando recomendaciones de protección y técnicas de uso de herramientas, hemos elaborado una guía completa de seguridad para transacciones en cadena, con el objetivo de ayudar a cada usuario de Web3 a establecer una línea de defensa "autónoma y controlable".
Principios fundamentales del comercio seguro:
Sugerencias para transacciones seguras
La clave para proteger los activos digitales radica en las transacciones seguras. Los estudios muestran que el uso de carteras seguras y la autenticación de dos factores (2FA) pueden reducir significativamente el riesgo. A continuación se presentan recomendaciones específicas:
Elegir una billetera segura: Utiliza billeteras de buena reputación, como billeteras de hardware o billeteras de software conocidas. Las billeteras de hardware ofrecen almacenamiento fuera de línea, lo que reduce el riesgo de ataques en línea, y son adecuadas para almacenar grandes cantidades de activos.
Verifica cuidadosamente los detalles de la transacción: Antes de confirmar la transacción, asegúrate de verificar la dirección de recepción, el monto y la red (por ejemplo, asegurándote de usar la blockchain correcta) para evitar pérdidas debido a errores de entrada.
Activar la autenticación en dos pasos: Si la plataforma de intercambio o la billetera soportan 2FA, asegúrate de habilitarlo, especialmente al usar billeteras calientes, esto puede mejorar significativamente la seguridad de la cuenta.
Evitar el uso de Wi-Fi público: No realice transacciones en redes Wi-Fi públicas para evitar ser víctima de ataques de phishing y ataques de intermediarios.
Cómo realizar transacciones seguras
Un proceso completo de transacción de DApp incluye múltiples etapas: instalación de la billetera, acceso a la DApp, conexión de la billetera, firma de mensajes, firma de transacciones y procesamiento posterior a la transacción. Cada etapa presenta ciertos riesgos de seguridad, a continuación se presentarán uno a uno los aspectos a tener en cuenta en la operación real.
1. Instalación de la billetera
Actualmente, la principal forma de interactuar con DApp es a través de billeteras de navegador como MetaMask en cadenas compatibles con EVM.
Al instalar la billetera del complemento de Chrome, se debe asegurar de descargarla desde la tienda oficial de aplicaciones, evitando la instalación desde sitios web de terceros, para prevenir la instalación de software de billetera con puertas traseras. Se recomienda a los usuarios que puedan hacerlo que utilicen simultáneamente una billetera de hardware para mejorar aún más la seguridad en la gestión de las claves privadas.
Al hacer una copia de seguridad de la frase de recuperación de la billetera (que generalmente consiste en 12 a 24 palabras), se recomienda almacenarla en un lugar seguro y fuera de línea, lejos de dispositivos electrónicos (como escribirla en papel y guardarla en una caja fuerte).
2. Acceder a DApp
El phishing web es una técnica común en los ataques de Web3. Un caso típico es inducir a los usuarios a visitar una DApp de phishing bajo el pretexto de un airdrop, y después de que el usuario conecte su billetera, se les induce a firmar autorizaciones de tokens, transacciones de transferencia o firmas de autorización de tokens, lo que resulta en la pérdida de activos.
Por lo tanto, al acceder a la DApp, los usuarios deben mantenerse alerta para evitar caer en trampas de phishing en la web.
Antes de acceder a la DApp, debe confirmar la corrección de la URL. Sugerencia:
Después de abrir la página web de DApp, también se necesita realizar una verificación de seguridad en la barra de direcciones:
Actualmente, las principales billeteras de plugins han integrado ciertas funciones de advertencia de riesgos, que pueden dar advertencias fuertes al acceder a sitios web de riesgo.
3. Conectar billetera
Al ingresar a la DApp, puede que se active automáticamente o al hacer clic en Conectar la operación de conexión de la billetera. La billetera de complemento realizará algunas verificaciones y mostrará información sobre la DApp actual.
Después de conectar la cartera, generalmente, cuando el usuario no realiza otras operaciones, la DApp no invoca proactivamente la cartera del complemento. Si el sitio web solicita frecuentemente que la cartera firme mensajes o transacciones después de iniciar sesión, e incluso sigue apareciendo la solicitud de firma después de rechazarla, es muy probable que sea un sitio web de phishing y debe manejarse con precaución.
4. Firma de mensaje
En situaciones extremas, como cuando un atacante invade el sitio web oficial del protocolo o reemplaza el contenido de la página a través de métodos como el secuestro del frontend, es difícil para los usuarios comunes identificar la seguridad del sitio web en tales casos.
En este momento, la firma del monedero de complemento se convierte en la última línea de defensa para proteger los activos digitales de los usuarios. Siempre que se rechacen las firmas maliciosas, se puede evitar la pérdida de activos. Los usuarios deben revisar cuidadosamente el contenido al firmar cualquier mensaje y transacción, y rechazar las firmas ciegas para garantizar la seguridad de los activos.
Los tipos de firma comunes incluyen:
5. Firma de la transacción
La firma de transacciones se utiliza para autorizar transacciones en la cadena de bloques, como transferencias o invocaciones de contratos inteligentes. Los usuarios utilizan claves privadas para firmar, y la red verifica la validez de la transacción. Actualmente, muchas billeteras de plugins analizan el mensaje a firmar y muestran el contenido relevante, es imprescindible seguir el principio de no firmar ciegamente, recomendaciones de seguridad:
Para los usuarios con un cierto nivel de conocimientos técnicos, se pueden utilizar algunos métodos de verificación manual: por ejemplo, copiar la dirección del contrato objetivo de interacción en un explorador de blockchain para revisarla, verificando principalmente si el contrato es de código abierto, si ha habido un gran volumen de transacciones recientemente, y si el explorador ha etiquetado oficialmente la dirección o le ha asignado etiquetas de malicia, entre otros.
6. Procesamiento posterior a la transacción
Incluso si se evita con éxito las páginas de phishing y las firmas maliciosas, aún es necesario realizar una gestión de riesgos después de la transacción.
Después de la transacción, se debe verificar a tiempo el estado en la cadena de la transacción para confirmar si coincide con las expectativas al momento de la firma. Si se detecta alguna anomalía, se deben tomar de inmediato medidas de mitigación de pérdidas, como transferir activos o revocar autorizaciones.
La gestión de la aprobación ERC20 también es muy importante. En algunos casos, después de que los usuarios otorgaron autorización de tokens a ciertos contratos, estos contratos fueron atacados años después, y el atacante utilizó el límite de autorización de tokens del contrato atacado para robar los fondos de los usuarios. Para evitar tales situaciones, se recomienda a los usuarios seguir los siguientes estándares para prevenir riesgos:
Estrategia de aislamiento de fondos
Incluso si se tiene conciencia de los riesgos y se han tomado medidas adecuadas de prevención, se recomienda implementar una efectiva separación de fondos para reducir el grado de daño en situaciones extremas. Se recomiendan las siguientes estrategias:
Si por accidente se encuentra con un ataque de phishing, se recomienda tomar las siguientes medidas de inmediato para reducir las pérdidas:
Cómo participar de manera segura en actividades de airdrop
El airdrop es una forma común de promoción en proyectos de blockchain, pero también conlleva riesgos. A continuación se presentan algunos consejos:
Selección y recomendaciones para el uso de herramientas de plugins
El contenido de las normas de seguridad de la blockchain es extenso y puede ser difícil realizar un examen detallado en cada interacción, por lo que es crucial elegir complementos seguros que nos ayuden a hacer juicios de riesgo. A continuación se presentan recomendaciones específicas:
Conclusión
Al seguir las pautas de seguridad para transacciones mencionadas anteriormente, los usuarios pueden interactuar de manera más tranquila en un ecosistema blockchain cada vez más complejo, mejorando eficazmente la capacidad de protección de activos. Aunque la tecnología blockchain tiene como principales ventajas la descentralización y la transparencia, esto también significa que los usuarios deben enfrentar de forma independiente múltiples riesgos, incluyendo el phishing de firmas, la filtración de claves privadas y DApps maliciosas.
Para lograr una verdadera seguridad en la cadena, depender únicamente de las herramientas de aviso no es suficiente; establecer una conciencia de seguridad y hábitos operativos sistemáticos es clave. A través del uso de billeteras de hardware, la implementación de estrategias de aislamiento de fondos, la revisión periódica de autorizaciones y la actualización de complementos, así como la adopción del concepto de "verificación múltiple, rechazo de firmas ciegas, aislamiento de fondos" en las operaciones de intercambio, se puede lograr realmente "subir a la cadena de manera libre y segura".