Guia de Negociação Segura Web3: Proteja os seus ativos digitais
Com o contínuo desenvolvimento do ecossistema blockchain, as transações em cadeia tornaram-se uma parte importante das atividades diárias dos usuários do Web3. Os ativos dos usuários estão gradualmente se transferindo de plataformas centralizadas para redes descentralizadas, o que significa que a responsabilidade pela segurança dos ativos também está mudando das plataformas para os próprios usuários. Em um ambiente descentralizado, os usuários precisam ser responsáveis por cada passo da operação, seja importando uma carteira, usando DApp, ou realizando autorizações de assinatura e iniciando transações; qualquer operação imprudente pode levar a problemas de segurança, resultando em vazamento de chaves privadas, abuso de autorizações ou ataques de phishing, entre outras consequências graves.
Embora atualmente as principais extensões de carteira e navegadores tenham integrado gradualmente funções como reconhecimento de phishing e alertas de risco, diante de métodos de ataque cada vez mais complexos, depender apenas da defesa passiva das ferramentas ainda não é suficiente para eliminar completamente os riscos. Para ajudar os usuários a identificar melhor os riscos potenciais nas transações em cadeia, resumimos, com base em experiências práticas, cenários de alto risco em todo o processo, e combinamos recomendações de proteção e dicas de uso de ferramentas, elaborando um guia completo de segurança para transações em cadeia, com o objetivo de ajudar cada usuário do Web3 a estabelecer uma linha de defesa "autônoma e controlável".
Os princípios fundamentais de uma transação segura:
Recusar assinatura cega: não assine transações ou mensagens que não entende.
Verificação repetida: Antes de realizar qualquer transação, é imprescindível verificar várias vezes a precisão das informações relevantes.
Sugestões para Transações Seguras
A chave para proteger ativos digitais é a transação segura. Estudos mostram que o uso de carteiras seguras e autenticação em dois fatores (2FA) pode reduzir significativamente os riscos. Aqui estão algumas recomendações específicas:
Escolher uma carteira segura:
Utilize carteiras de boa reputação, como carteiras de hardware ou carteiras de software conhecidas. As carteiras de hardware oferecem armazenamento offline, reduzindo o risco de ataques online, sendo adequadas para armazenar grandes quantidades de ativos.
Verifique cuidadosamente os detalhes da transação:
Antes de confirmar a transação, é imprescindível verificar o endereço de recebimento, o montante e a rede (como garantir que a blockchain correta está a ser utilizada), para evitar perdas devido a erros de entrada.
Ativar a autenticação em duas etapas:
Se a plataforma de negociação ou a carteira suportar 2FA, certifique-se de ativá-lo, especialmente ao usar carteiras quentes, isso pode aumentar significativamente a segurança da conta.
Evite utilizar Wi-Fi público:
Não faça transações em redes Wi-Fi públicas para evitar ataques de phishing e ataques de intermediários.
Como realizar transações seguras
Um fluxo de transação DApp completo inclui várias etapas: instalação da carteira, acesso ao DApp, conexão da carteira, assinatura de mensagens, assinatura de transações e processamento pós-transação. Cada etapa apresenta certos riscos de segurança, e a seguir serão apresentadas as precauções a serem tomadas durante a operação real.
1. Instalação da carteira
Atualmente, a principal forma de interagir com DApps é através de carteiras de navegador em forma de plugin. As carteiras comumente usadas em cadeias compatíveis com EVM incluem MetaMask.
Ao instalar a carteira de extensão do Chrome, deve-se garantir que seja baixada da loja oficial de aplicativos, evitando a instalação de sites de terceiros, para prevenir a instalação de software de carteira com backdoor. Recomenda-se que os usuários, se possível, utilizem também uma carteira de hardware para aumentar ainda mais a segurança na gestão das chaves privadas.
Ao fazer backup das palavras-chave da carteira (geralmente uma frase de recuperação de 12 a 24 palavras), é aconselhável armazená-las em um local seguro offline, longe de dispositivos eletrônicos (como escrever em papel e guardar em um cofre).
2. Acessar DApp
A pesca na web é uma técnica comum em ataques Web3. Um caso típico é induzir os usuários a acessar DApps de phishing sob o pretexto de airdrops, levando-os a assinar autorizações de token, transações de transferência ou assinaturas de autorização de token após conectarem suas carteiras, resultando em perdas de ativos.
Portanto, ao acessar o DApp, os usuários devem estar atentos para evitar cair em armadilhas de phishing na web.
Antes de acessar o DApp, confirme a correção do endereço da web. Sugestão:
Evite acessar diretamente através de motores de busca: atacantes de phishing podem comprar espaços publicitários para fazer com que seus sites de phishing apareçam em posições elevadas.
Evite clicar em links nas redes sociais: URLs em comentários ou mensagens podem ser links de phishing.
Confirme várias vezes a correção do URL da DApp: pode ser verificado cruzando através de várias fontes confiáveis.
Adicione sites seguros aos favoritos do navegador: depois acesse diretamente a partir dos favoritos.
Após abrir a página DApp, é necessário realizar uma verificação de segurança na barra de endereços:
Verifique se o domínio e o URL possuem cópias falsas.
Confirme se é um link HTTPS, o navegador deve mostrar o ícone de cadeado 🔒.
Atualmente, as principais carteiras de plugins já integraram algumas funcionalidades de aviso de risco, podendo emitir um forte alerta ao acessar sites de risco.
3. Conectar carteira
Após entrar no DApp, pode haver uma operação de conexão de carteira que é acionada automaticamente ou ao clicar em Conectar. A carteira de extensão fará algumas verificações e mostrará informações sobre o DApp atual.
Após conectar a carteira, geralmente, quando o usuário não realiza outras operações, o DApp não invoca ativamente a carteira de plug-in. Se o site solicitar frequentemente a assinatura de mensagens ou a assinatura de transações após o login, e mesmo após recusar a assinatura, continuar a exibir solicitações de assinatura, é muito provável que seja um site de phishing e deve ser tratado com cautela.
4. Assinatura de Mensagem
Em situações extremas, como quando um atacante invade o site oficial do protocolo ou substitui o conteúdo da página através de sequestro do front-end, é difícil para os usuários comuns identificar a segurança do site nesta situação.
Neste momento, a assinatura da carteira de plugin torna-se a última linha de defesa para proteger os ativos dos usuários. Desde que sejam recusadas assinaturas maliciosas, é possível evitar a perda de ativos. Os usuários devem revisar cuidadosamente o conteúdo ao assinar qualquer mensagem ou transação, recusando assinaturas automáticas, para garantir a segurança dos ativos.
Os tipos de assinatura mais comuns incluem:
eth_sign: assinar dados de hash.
personal_sign: Assinar informações em texto simples, frequentemente usado para validação de login de usuário ou confirmação de acordos de licença.
eth_signTypedData (EIP-712): assinatura de dados estruturados, frequentemente utilizada para Permissão de ERC20, listagens de NFT, etc.
5. Assinatura de transação
A assinatura da transação é utilizada para autorizar transações na blockchain, como transferências ou chamadas de contratos inteligentes. Os usuários assinam com a chave privada, e a rede verifica a validade da transação. Atualmente, muitas carteiras de plugin analisam mensagens a serem assinadas e exibem o conteúdo relevante; é essencial seguir o princípio de não assinar cegamente. Recomendações de segurança:
Verifique cuidadosamente o endereço do beneficiário, o valor e a rede para evitar erros.
Para transações de grande valor, recomenda-se o uso de assinatura offline, a fim de reduzir o risco de ataques online.
Preste atenção às taxas de gas, assegure-se de que são razoáveis, evite possíveis fraudes.
Para os usuários com alguma base técnica, também podem ser adotados alguns métodos de verificação manual: por exemplo, copiar o endereço do contrato-alvo para um explorador de blockchain para revisão, verificando principalmente se o contrato é de código aberto, se houve um grande número de transações recentemente, e se o explorador rotulou o endereço como oficial ou malicioso, entre outros.
6. Processamento pós-negociação
Mesmo que consiga evitar páginas de phishing e assinaturas maliciosas, ainda é necessário realizar a gestão de risco após a transação.
Após a transação, deve-se verificar rapidamente a situação da transação na blockchain, confirmando se está de acordo com as expectativas no momento da assinatura. Se forem detectadas anomalias, medidas de mitigação como transferência de ativos e revogação de autorizações devem ser imediatamente tomadas.
A gestão de autorização ERC20 também é muito importante. Em alguns casos, após os usuários autorizarem tokens para certos contratos, anos depois, esses contratos foram atacados, e os atacantes utilizaram o limite de autorização de tokens dos contratos atacados para roubar os fundos dos usuários. Para evitar tais situações, recomenda-se que os usuários sigam os seguintes padrões para a prevenção de riscos:
Minimização de autorização. Ao autorizar tokens, a quantidade de tokens autorizada deve ser limitada de acordo com a necessidade da transação. Se uma transação requerer a autorização de 100 USDT, então a quantidade autorizada deve ser limitada a 100 USDT, e não deve ser utilizada a autorização padrão ilimitada.
Revogar rapidamente as autorizações de tokens desnecessárias. Os usuários podem fazer login nas ferramentas relevantes para verificar a situação das autorizações do endereço correspondente e revogar as autorizações de protocolos que não foram interagidos por um longo período, para evitar que falhas nos protocolos resultem na utilização dos limites de autorização dos usuários, causando perdas de ativos.
Estratégia de Isolamento de Fundos
Mesmo com a consciência dos riscos e a adoção de medidas adequadas de prevenção, recomenda-se a implementação de uma eficaz separação de fundos para reduzir o grau de dano dos ativos em situações extremas. As estratégias recomendadas são as seguintes:
Armazenar grandes ativos em carteiras multi-assinatura ou carteiras frias;
Usar uma carteira de plug-in ou uma carteira EOA como carteira quente para interações diárias;
Mudar regularmente o endereço da carteira quente para evitar que o endereço fique exposto a um ambiente de risco por muito tempo.
Se você acidentalmente se deparar com um ataque de phishing, recomenda-se tomar imediatamente as seguintes medidas para reduzir perdas:
Utilize ferramentas relacionadas para cancelar autorizações de alto risco;
Se a assinatura do permit foi feita, mas os ativos ainda não foram transferidos, pode-se imediatamente iniciar uma nova assinatura para tornar a nonce da assinatura antiga inválida;
Se necessário, transfira rapidamente os ativos restantes para um novo endereço ou carteira fria.
Como participar de atividades de airdrop de forma segura
Os airdrops são uma forma comum de promoção de projetos de blockchain, mas também apresentam riscos. Aqui estão algumas dicas:
Pesquisa de antecedentes do projeto: garantir que o projeto tenha um white paper claro, informações de equipe públicas e uma boa reputação na comunidade;
Usar um endereço dedicado: registar uma carteira e um e-mail dedicados, isolando o risco da conta principal;
Clique com cuidado nos links: obtenha informações sobre airdrops apenas através de canais oficiais, evite clicar em links suspeitos nas plataformas sociais;
Sugestões para a escolha e uso de ferramentas de plugins
O conteúdo do código de segurança da blockchain é extenso e pode ser difícil realizar uma verificação minuciosa a cada interação, portanto, escolher plugins seguros é crucial, pois podem nos ajudar a fazer julgamentos de risco. Abaixo estão sugestões específicas:
Escolha extensões de confiança: use extensões de navegador amplamente utilizadas, como o MetaMask (para o ecossistema Ethereum). Estes plugins oferecem funcionalidades de carteira e suportam interações com DApps.
Verificação de classificação: antes de instalar novos plugins, verifique a classificação dos utilizadores e o número de instalações. Uma alta classificação e um grande número de instalações geralmente indicam que o plugin é mais confiável, reduzindo o risco de código malicioso.
Mantenha-se atualizado: atualize regularmente os plugins para obter as mais recentes funcionalidades de segurança e correções. Plugins desatualizados podem ter vulnerabilidades conhecidas, que podem ser exploradas por atacantes.
Conclusão
Ao seguir as diretrizes de segurança para transações mencionadas acima, os usuários podem interagir de forma mais tranquila em um ecossistema de blockchain cada vez mais complexo, melhorando efetivamente a proteção de seus ativos. Embora a tecnologia de blockchain tenha a descentralização e a transparência como suas principais vantagens, isso também significa que os usuários precisam lidar sozinhos com múltiplos riscos, incluindo phishing de assinatura, vazamento de chaves privadas e DApps maliciosos.
Para alcançar uma verdadeira segurança na cadeia, depender apenas de ferramentas de aviso é absolutamente insuficiente; estabelecer uma consciência de segurança sistemática e hábitos operacionais é a chave. Ao utilizar carteiras de hardware, implementar estratégias de isolamento de fundos, verificar regularmente autorizações e atualizar plugins, entre outras medidas de proteção, e ao aplicar o conceito de "verificação múltipla, recusar assinaturas cegas, isolamento de fundos" nas operações de transação, é possível realmente "subir na cadeia de forma livre e segura".
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
16 Curtidas
Recompensa
16
9
Repostar
Compartilhar
Comentário
0/400
ImpermanentLossEnjoyer
· 08-03 09:08
Prevenir é melhor do que remediar, múltiplos seguros.
Guia de Segurança de Transações Web3: Proteja o ativo digital em 6 etapas
Guia de Negociação Segura Web3: Proteja os seus ativos digitais
Com o contínuo desenvolvimento do ecossistema blockchain, as transações em cadeia tornaram-se uma parte importante das atividades diárias dos usuários do Web3. Os ativos dos usuários estão gradualmente se transferindo de plataformas centralizadas para redes descentralizadas, o que significa que a responsabilidade pela segurança dos ativos também está mudando das plataformas para os próprios usuários. Em um ambiente descentralizado, os usuários precisam ser responsáveis por cada passo da operação, seja importando uma carteira, usando DApp, ou realizando autorizações de assinatura e iniciando transações; qualquer operação imprudente pode levar a problemas de segurança, resultando em vazamento de chaves privadas, abuso de autorizações ou ataques de phishing, entre outras consequências graves.
Embora atualmente as principais extensões de carteira e navegadores tenham integrado gradualmente funções como reconhecimento de phishing e alertas de risco, diante de métodos de ataque cada vez mais complexos, depender apenas da defesa passiva das ferramentas ainda não é suficiente para eliminar completamente os riscos. Para ajudar os usuários a identificar melhor os riscos potenciais nas transações em cadeia, resumimos, com base em experiências práticas, cenários de alto risco em todo o processo, e combinamos recomendações de proteção e dicas de uso de ferramentas, elaborando um guia completo de segurança para transações em cadeia, com o objetivo de ajudar cada usuário do Web3 a estabelecer uma linha de defesa "autônoma e controlável".
Os princípios fundamentais de uma transação segura:
Sugestões para Transações Seguras
A chave para proteger ativos digitais é a transação segura. Estudos mostram que o uso de carteiras seguras e autenticação em dois fatores (2FA) pode reduzir significativamente os riscos. Aqui estão algumas recomendações específicas:
Escolher uma carteira segura: Utilize carteiras de boa reputação, como carteiras de hardware ou carteiras de software conhecidas. As carteiras de hardware oferecem armazenamento offline, reduzindo o risco de ataques online, sendo adequadas para armazenar grandes quantidades de ativos.
Verifique cuidadosamente os detalhes da transação: Antes de confirmar a transação, é imprescindível verificar o endereço de recebimento, o montante e a rede (como garantir que a blockchain correta está a ser utilizada), para evitar perdas devido a erros de entrada.
Ativar a autenticação em duas etapas: Se a plataforma de negociação ou a carteira suportar 2FA, certifique-se de ativá-lo, especialmente ao usar carteiras quentes, isso pode aumentar significativamente a segurança da conta.
Evite utilizar Wi-Fi público: Não faça transações em redes Wi-Fi públicas para evitar ataques de phishing e ataques de intermediários.
Como realizar transações seguras
Um fluxo de transação DApp completo inclui várias etapas: instalação da carteira, acesso ao DApp, conexão da carteira, assinatura de mensagens, assinatura de transações e processamento pós-transação. Cada etapa apresenta certos riscos de segurança, e a seguir serão apresentadas as precauções a serem tomadas durante a operação real.
1. Instalação da carteira
Atualmente, a principal forma de interagir com DApps é através de carteiras de navegador em forma de plugin. As carteiras comumente usadas em cadeias compatíveis com EVM incluem MetaMask.
Ao instalar a carteira de extensão do Chrome, deve-se garantir que seja baixada da loja oficial de aplicativos, evitando a instalação de sites de terceiros, para prevenir a instalação de software de carteira com backdoor. Recomenda-se que os usuários, se possível, utilizem também uma carteira de hardware para aumentar ainda mais a segurança na gestão das chaves privadas.
Ao fazer backup das palavras-chave da carteira (geralmente uma frase de recuperação de 12 a 24 palavras), é aconselhável armazená-las em um local seguro offline, longe de dispositivos eletrônicos (como escrever em papel e guardar em um cofre).
2. Acessar DApp
A pesca na web é uma técnica comum em ataques Web3. Um caso típico é induzir os usuários a acessar DApps de phishing sob o pretexto de airdrops, levando-os a assinar autorizações de token, transações de transferência ou assinaturas de autorização de token após conectarem suas carteiras, resultando em perdas de ativos.
Portanto, ao acessar o DApp, os usuários devem estar atentos para evitar cair em armadilhas de phishing na web.
Antes de acessar o DApp, confirme a correção do endereço da web. Sugestão:
Após abrir a página DApp, é necessário realizar uma verificação de segurança na barra de endereços:
Atualmente, as principais carteiras de plugins já integraram algumas funcionalidades de aviso de risco, podendo emitir um forte alerta ao acessar sites de risco.
3. Conectar carteira
Após entrar no DApp, pode haver uma operação de conexão de carteira que é acionada automaticamente ou ao clicar em Conectar. A carteira de extensão fará algumas verificações e mostrará informações sobre o DApp atual.
Após conectar a carteira, geralmente, quando o usuário não realiza outras operações, o DApp não invoca ativamente a carteira de plug-in. Se o site solicitar frequentemente a assinatura de mensagens ou a assinatura de transações após o login, e mesmo após recusar a assinatura, continuar a exibir solicitações de assinatura, é muito provável que seja um site de phishing e deve ser tratado com cautela.
4. Assinatura de Mensagem
Em situações extremas, como quando um atacante invade o site oficial do protocolo ou substitui o conteúdo da página através de sequestro do front-end, é difícil para os usuários comuns identificar a segurança do site nesta situação.
Neste momento, a assinatura da carteira de plugin torna-se a última linha de defesa para proteger os ativos dos usuários. Desde que sejam recusadas assinaturas maliciosas, é possível evitar a perda de ativos. Os usuários devem revisar cuidadosamente o conteúdo ao assinar qualquer mensagem ou transação, recusando assinaturas automáticas, para garantir a segurança dos ativos.
Os tipos de assinatura mais comuns incluem:
5. Assinatura de transação
A assinatura da transação é utilizada para autorizar transações na blockchain, como transferências ou chamadas de contratos inteligentes. Os usuários assinam com a chave privada, e a rede verifica a validade da transação. Atualmente, muitas carteiras de plugin analisam mensagens a serem assinadas e exibem o conteúdo relevante; é essencial seguir o princípio de não assinar cegamente. Recomendações de segurança:
Para os usuários com alguma base técnica, também podem ser adotados alguns métodos de verificação manual: por exemplo, copiar o endereço do contrato-alvo para um explorador de blockchain para revisão, verificando principalmente se o contrato é de código aberto, se houve um grande número de transações recentemente, e se o explorador rotulou o endereço como oficial ou malicioso, entre outros.
6. Processamento pós-negociação
Mesmo que consiga evitar páginas de phishing e assinaturas maliciosas, ainda é necessário realizar a gestão de risco após a transação.
Após a transação, deve-se verificar rapidamente a situação da transação na blockchain, confirmando se está de acordo com as expectativas no momento da assinatura. Se forem detectadas anomalias, medidas de mitigação como transferência de ativos e revogação de autorizações devem ser imediatamente tomadas.
A gestão de autorização ERC20 também é muito importante. Em alguns casos, após os usuários autorizarem tokens para certos contratos, anos depois, esses contratos foram atacados, e os atacantes utilizaram o limite de autorização de tokens dos contratos atacados para roubar os fundos dos usuários. Para evitar tais situações, recomenda-se que os usuários sigam os seguintes padrões para a prevenção de riscos:
Estratégia de Isolamento de Fundos
Mesmo com a consciência dos riscos e a adoção de medidas adequadas de prevenção, recomenda-se a implementação de uma eficaz separação de fundos para reduzir o grau de dano dos ativos em situações extremas. As estratégias recomendadas são as seguintes:
Se você acidentalmente se deparar com um ataque de phishing, recomenda-se tomar imediatamente as seguintes medidas para reduzir perdas:
Como participar de atividades de airdrop de forma segura
Os airdrops são uma forma comum de promoção de projetos de blockchain, mas também apresentam riscos. Aqui estão algumas dicas:
Sugestões para a escolha e uso de ferramentas de plugins
O conteúdo do código de segurança da blockchain é extenso e pode ser difícil realizar uma verificação minuciosa a cada interação, portanto, escolher plugins seguros é crucial, pois podem nos ajudar a fazer julgamentos de risco. Abaixo estão sugestões específicas:
Conclusão
Ao seguir as diretrizes de segurança para transações mencionadas acima, os usuários podem interagir de forma mais tranquila em um ecossistema de blockchain cada vez mais complexo, melhorando efetivamente a proteção de seus ativos. Embora a tecnologia de blockchain tenha a descentralização e a transparência como suas principais vantagens, isso também significa que os usuários precisam lidar sozinhos com múltiplos riscos, incluindo phishing de assinatura, vazamento de chaves privadas e DApps maliciosos.
Para alcançar uma verdadeira segurança na cadeia, depender apenas de ferramentas de aviso é absolutamente insuficiente; estabelecer uma consciência de segurança sistemática e hábitos operacionais é a chave. Ao utilizar carteiras de hardware, implementar estratégias de isolamento de fundos, verificar regularmente autorizações e atualizar plugins, entre outras medidas de proteção, e ao aplicar o conceito de "verificação múltipla, recusar assinaturas cegas, isolamento de fundos" nas operações de transação, é possível realmente "subir na cadeia de forma livre e segura".