Руководство по безопасной торговле в Web3: защита ваших цифровых активов
С развитием экосистемы блокчейн, ончейн-транзакции стали важной частью повседневной активности пользователей Web3. Активы пользователей постепенно переходят с централизованных платформ на децентрализованные сети, что означает, что ответственность за безопасность активов также переходит от платформы к самим пользователям. В децентрализованной среде пользователи должны нести ответственность за каждое свое действие, будь то импорт кошелька, использование DApp или выполнение подписания и инициирование транзакций; любое неосторожное действие может привести к проблемам с безопасностью, таким как утечка приватного ключа, злоупотребление полномочиями или серьезные последствия, такие как фишинг.
Хотя в настоящее время основные кошельки, плагины и браузеры постепенно интегрируют функции распознавания фишинга и предупреждений о рисках, полагаться только на пассивную защиту инструментов недостаточно для полного устранения рисков перед лицом все более сложных методов атак. Чтобы помочь пользователям лучше распознавать потенциальные риски в цепочечных транзакциях, мы на основе реального опыта обобщили высокорисковые сценарии на всех этапах и, сочетая рекомендации по защите и советы по использованию инструментов, разработали полный справочник по безопасности цепочечных транзакций, целью которого является помочь каждому пользователю Web3 создать "самостоятельно контролируемую" защиту.
Основные принципы безопасной торговли:
Отказ от слепого подписания: категорически не подписывайте сделки или сообщения, которые вы не понимаете.
Повторная проверка: перед проведением любой сделки обязательно многократно проверяйте точность соответствующей информации.
Рекомендации по безопасной торговле
Ключ к защите цифровых активов заключается в безопасных сделках. Исследования показывают, что использование безопасных кошельков и двухфакторной аутентификации (2FA) может значительно снизить риски. Вот конкретные рекомендации:
Выберите безопасный кошелек:
Используйте кошельки с хорошей репутацией, такие как аппаратные кошельки или известные программные кошельки. Аппаратные кошельки обеспечивают оффлайн-хранение, снижая риск онлайн-атак, и подходят для хранения крупных цифровых активов.
Тщательно проверьте детали сделки:
Перед подтверждением транзакции обязательно проверьте адрес получения, сумму и сеть (например, убедитесь, что используется правильная блокчейн), чтобы избежать потерь из-за неверного ввода.
Включите двухфакторную аутентификацию:
Если торговая платформа или кошелек поддерживают 2FA, обязательно включите его, особенно при использовании горячего кошелька, это может значительно повысить безопасность аккаунта.
Избегайте использования общедоступного Wi-Fi:
Не проводите сделки в общественных сетях Wi-Fi, чтобы избежать фишинга и атак посредников.
Как осуществлять безопасные сделки
Полный процесс торговли DApp включает в себя несколько этапов: установка кошелька, доступ к DApp, подключение кошелька, подпись сообщения, подпись сделки и послеторговая обработка. На каждом этапе существуют определенные риски безопасности, ниже будут поочередно представлены меры предосторожности при фактическом выполнении.
1. Установка кошелька
В настоящее время основным способом взаимодействия с DApp является использование кошельков в виде плагинов для браузера. Кошельки, совместимые с EVM, включают такие, как MetaMask.
При установке кошелька в виде расширения Chrome необходимо убедиться, что он загружен из официального магазина приложений, чтобы избежать установки программного обеспечения для кошельков с задними дверями, загруженного с третьих сайтов. Пользователям, у которых есть такая возможность, рекомендуется одновременно использовать аппаратный кошелек для повышения безопасности управления приватными ключами.
При резервном копировании мнемонической фразы кошелька (обычно состоящей из 12-24 слов) рекомендуется хранить её в безопасном оффлайн-месте, вдали от электронных устройств (например, записав на бумаге и сохранив в сейфе).
2. Доступ к DApp
Фишинг в интернете — это распространенный метод атак в Web3. Типичный случай заключается в том, чтобы под предлогом аирдропа заманить пользователей на фишинговый DApp, после чего, когда пользователи подключат свои кошельки, их заставляют подписывать авторизацию токенов, транзакции перевода или подписи авторизации токенов, что приводит к потере активов.
Поэтому при доступе к DApp пользователи должны быть осторожны, чтобы избежать ловушек фишинга на веб-страницах.
Перед доступом к DApp следует убедиться в правильности адреса сайта. Рекомендуется:
Избегайте прямого доступа через поисковые системы: фишинговые атакующие могут повысить рейтинг своих фишинговых сайтов, покупая рекламные места.
Избегайте нажатия на ссылки в социальных сетях: URL-адреса в комментариях или сообщениях могут быть фишинговыми.
Многоразовая проверка правильности URL DApp: можно перекрестно проверить через несколько надежных источников.
Добавьте безопасный сайт в закладки браузера: затем можно будет получить доступ напрямую из закладок.
После открытия веб-страницы DApp необходимо также провести проверку безопасности адресной строки:
Проверьте, существуют ли подделки доменных имен и веб-сайтов.
Убедитесь, что это ссылка HTTPS, браузер должен отображать значок замка🔒.
На данный момент основные плагин-кошельки интегрировали определенные функции предупреждения о рисках, которые могут выдать сильное предупреждение при посещении рискованных сайтов.
3. Подключить кошелек
После входа в DApp может автоматически или после нажатия на кнопку "Подключить" произойти подключение кошелька. Плагин-кошелек проведет некоторые проверки и отобразит информацию о текущем DApp.
После подключения кошелька DApp обычно не вызывает плагин-кошелек, если пользователь не выполняет других действий. Если сайт часто запрашивает подпись сообщений или подписания транзакций после входа в систему, даже после отказа от подписи, и продолжает всплывать с запросами на подпись, это может быть фишинговый сайт, с которым нужно обращаться осторожно.
4. Подпись сообщения
В экстремальных случаях, таких как атака на официальный сайт протокола или замена содержимого страниц через перехват на фронтенде, обычным пользователям очень трудно определить безопасность сайта в такой ситуации.
В этот момент подпись плагина-кошелька становится последней линией защиты активов пользователя. Просто отказавшись от злонамеренной подписи, можно избежать потери активов. Пользователи должны внимательно проверять содержание перед подписанием любых сообщений и транзакций, отказываясь от слепой подписи, чтобы обеспечить безопасность активов.
Распространенные типы подписей включают:
eth_sign:подписать хешированные данные.
personal_sign:Подписывание открытой информации, часто используется для проверки входа пользователя или подтверждения лицензионного соглашения.
eth_signTypedData (EIP-712): Подпись структурированных данных, часто используется для разрешений ERC20, ордеров NFT и т.д.
5. Подпись сделки
Подпись транзакции используется для авторизации транзакций в блокчейне, таких как переводы или вызов смарт-контрактов. Пользователи подписывают с помощью закрытого ключа, а сеть проверяет действительность транзакции. В настоящее время многие плагин-кошельки анализируют сообщение, ожидающее подписи, и отображают соответствующий контент, обязательно следуйте принципу неслепой подписи, рекомендации по безопасности:
Тщательно проверьте адрес получателя, сумму и сеть, чтобы избежать ошибок.
Рекомендуется использовать оффлайн-подпись для крупных сделок, чтобы снизить риск онлайн-атак.
Обратите внимание на gas-расходы, убедитесь, что они разумные, чтобы избежать возможных мошенничеств.
Для пользователей с определенной технической подготовкой также могут быть использованы некоторые методы ручной проверки: например, скопировать адрес целевого контракта в блокчейн-браузер для проверки, в первую очередь проверить, является ли контракт открытым исходным кодом, были ли недавние большие объемы торгов, а также пометил ли браузер этот адрес официальной меткой или меткой злоумышленника и т.д.
6. Обработка после сделки
Даже если удастся успешно избежать фишинговых страниц и вредоносных подписей, после сделки все равно необходимо проводить управление рисками.
После сделки необходимо своевременно проверить состояние транзакции в блокчейне и подтвердить, соответствует ли оно ожидаемому, когда была подписана сделка. Если обнаружены аномалии, следует немедленно принять меры по переводу активов, отмене авторизации и другим мерам по предотвращению убытков.
Управление одобрением ERC20 также очень важно. В некоторых случаях пользователи предоставили токен-одобрение некоторым контрактам, и спустя много лет эти контракты были атакованы; злоумышленники использовали лимит одобрения токенов атакованного контракта, чтобы украсть средства пользователей. Чтобы избежать подобных ситуаций, рекомендуется, чтобы пользователи следовали следующим стандартам для предотвращения рисков:
Минимизация полномочий. При авторизации токенов следует ограничивать количество токенов в соответствии с потребностями сделки. Если для сделки требуется авторизация 100 USDT, то количество авторизации должно быть ограничено 100 USDT, а не использовать стандартную безлимитную авторизацию.
Своевременно отменяйте не нужные токены авторизации. Пользователи могут войти в соответствующие инструменты, чтобы проверить статус авторизации соответствующего адреса, отменить авторизацию долгосрочно не взаимодействующих с протоколом, чтобы предотвратить возникновение уязвимостей в протоколе, которые могут привести к потере активов из-за использования лимита авторизации пользователя.
Стратегия隔离资金
Даже если имеется осознание рисков и приняты адекватные меры по их предотвращению, рекомендуется реализовать эффективное разделение средств, чтобы в крайних ситуациях снизить уровень потерь капитала. Рекомендуемые стратегии следующие:
Используйте мультиподписной кошелек или холодный кошелек для хранения крупных цифровых активов;
Используйте кошелек плагина или EOA-кошелек в качестве горячего кошелька для повседневного взаимодействия;
Регулярно меняйте адреса горячих кошельков, чтобы предотвратить длительное воздействие адреса на рискованную среду.
Если вы случайно столкнулись с фишинг-атакой, рекомендуется немедленно принять следующие меры для снижения потерь:
Используйте соответствующие инструменты для отмены высокорисковых авторизаций;
Если была подписана подпись permit, но актив еще не был передан, можно немедленно инициировать новую подпись, чтобы сделать старый nonce подписи недействительным.
При необходимости быстро переместите оставшиеся активы на новый адрес или холодный кошелек.
Как безопасно участвовать в аирдропах
Аирдропы — это распространенный способ продвижения блокчейн-проектов, но в них также скрыты риски. Вот несколько советов:
Исследование фона проекта: обеспечить наличие четкого白皮书, открытой информации о команде и хорошей репутации в сообществе;
Использование специального адреса: зарегистрируйте специальный кошелек и электронную почту, чтобы изолировать риски от основного аккаунта;
Осторожно нажимайте на ссылки: получайте информацию о airdrop только через официальные каналы, избегайте нажатия на подозрительные ссылки в социальных сетях;
Выбор и рекомендации по использованию плагинов
Содержимое кодекса безопасности блокчейна разнообразно и может быть сложно тщательно проверять его при каждом взаимодействии, поэтому выбор безопасных плагинов имеет решающее значение и может помочь нам в оценке рисков. Вот конкретные рекомендации:
Выберите доверенные расширения: используйте такие широко распространенные браузерные расширения, как MetaMask (для экосистемы Ethereum). Эти плагины предлагают функции кошелька и поддерживают взаимодействие с DApp.
Проверка рейтинга: перед установкой нового плагина посмотрите на рейтинг пользователей и количество установок. Высокий рейтинг и большое количество установок обычно указывают на то, что плагин более надежен и снижает риск вредоносного кода.
Поддерживайте обновления: регулярно обновляйте плагины, чтобы получить последние функции безопасности и исправления. Устаревшие плагины могут содержать известные уязвимости, которые могут быть использованы злоумышленниками.
Заключение
Следуя вышеуказанным рекомендациям по безопасной торговле, пользователи могут более уверенно взаимодействовать в все более сложной экосистеме блокчейна, эффективно повышая защиту своих активов. Хотя технология блокчейн имеет свои основные преимущества в децентрализации и прозрачности, это также означает, что пользователи должны самостоятельно справляться с множеством рисков, включая фишинг подписей, утечку приватных ключей, вредоносные DApp.
Чтобы добиться настоящей безопасности при выходе на блокчейн, полагаться только на инструменты уведомления явно недостаточно; ключевым является создание системного осознания безопасности и привычек в операциях. Используя аппаратные кошельки, реализуя стратегии изоляции средств, регулярно проверяя авторизации и обновления плагинов и внедряя в торговую деятельность концепцию "многофакторной аутентификации, отказа от слепых подписей и изоляции средств", можно действительно достичь "свободного и безопасного выхода на блокчейн".
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
16 Лайков
Награда
16
9
Репост
Поделиться
комментарий
0/400
ImpermanentLossEnjoyer
· 08-03 09:08
Защита от непредвиденных обстоятельств и множество страховок
Руководство по безопасности Web3: защита цифрового актива в 6 ключевых этапах
Руководство по безопасной торговле в Web3: защита ваших цифровых активов
С развитием экосистемы блокчейн, ончейн-транзакции стали важной частью повседневной активности пользователей Web3. Активы пользователей постепенно переходят с централизованных платформ на децентрализованные сети, что означает, что ответственность за безопасность активов также переходит от платформы к самим пользователям. В децентрализованной среде пользователи должны нести ответственность за каждое свое действие, будь то импорт кошелька, использование DApp или выполнение подписания и инициирование транзакций; любое неосторожное действие может привести к проблемам с безопасностью, таким как утечка приватного ключа, злоупотребление полномочиями или серьезные последствия, такие как фишинг.
Хотя в настоящее время основные кошельки, плагины и браузеры постепенно интегрируют функции распознавания фишинга и предупреждений о рисках, полагаться только на пассивную защиту инструментов недостаточно для полного устранения рисков перед лицом все более сложных методов атак. Чтобы помочь пользователям лучше распознавать потенциальные риски в цепочечных транзакциях, мы на основе реального опыта обобщили высокорисковые сценарии на всех этапах и, сочетая рекомендации по защите и советы по использованию инструментов, разработали полный справочник по безопасности цепочечных транзакций, целью которого является помочь каждому пользователю Web3 создать "самостоятельно контролируемую" защиту.
Основные принципы безопасной торговли:
Рекомендации по безопасной торговле
Ключ к защите цифровых активов заключается в безопасных сделках. Исследования показывают, что использование безопасных кошельков и двухфакторной аутентификации (2FA) может значительно снизить риски. Вот конкретные рекомендации:
Выберите безопасный кошелек: Используйте кошельки с хорошей репутацией, такие как аппаратные кошельки или известные программные кошельки. Аппаратные кошельки обеспечивают оффлайн-хранение, снижая риск онлайн-атак, и подходят для хранения крупных цифровых активов.
Тщательно проверьте детали сделки: Перед подтверждением транзакции обязательно проверьте адрес получения, сумму и сеть (например, убедитесь, что используется правильная блокчейн), чтобы избежать потерь из-за неверного ввода.
Включите двухфакторную аутентификацию: Если торговая платформа или кошелек поддерживают 2FA, обязательно включите его, особенно при использовании горячего кошелька, это может значительно повысить безопасность аккаунта.
Избегайте использования общедоступного Wi-Fi: Не проводите сделки в общественных сетях Wi-Fi, чтобы избежать фишинга и атак посредников.
Как осуществлять безопасные сделки
Полный процесс торговли DApp включает в себя несколько этапов: установка кошелька, доступ к DApp, подключение кошелька, подпись сообщения, подпись сделки и послеторговая обработка. На каждом этапе существуют определенные риски безопасности, ниже будут поочередно представлены меры предосторожности при фактическом выполнении.
1. Установка кошелька
В настоящее время основным способом взаимодействия с DApp является использование кошельков в виде плагинов для браузера. Кошельки, совместимые с EVM, включают такие, как MetaMask.
При установке кошелька в виде расширения Chrome необходимо убедиться, что он загружен из официального магазина приложений, чтобы избежать установки программного обеспечения для кошельков с задними дверями, загруженного с третьих сайтов. Пользователям, у которых есть такая возможность, рекомендуется одновременно использовать аппаратный кошелек для повышения безопасности управления приватными ключами.
При резервном копировании мнемонической фразы кошелька (обычно состоящей из 12-24 слов) рекомендуется хранить её в безопасном оффлайн-месте, вдали от электронных устройств (например, записав на бумаге и сохранив в сейфе).
2. Доступ к DApp
Фишинг в интернете — это распространенный метод атак в Web3. Типичный случай заключается в том, чтобы под предлогом аирдропа заманить пользователей на фишинговый DApp, после чего, когда пользователи подключат свои кошельки, их заставляют подписывать авторизацию токенов, транзакции перевода или подписи авторизации токенов, что приводит к потере активов.
Поэтому при доступе к DApp пользователи должны быть осторожны, чтобы избежать ловушек фишинга на веб-страницах.
Перед доступом к DApp следует убедиться в правильности адреса сайта. Рекомендуется:
После открытия веб-страницы DApp необходимо также провести проверку безопасности адресной строки:
На данный момент основные плагин-кошельки интегрировали определенные функции предупреждения о рисках, которые могут выдать сильное предупреждение при посещении рискованных сайтов.
3. Подключить кошелек
После входа в DApp может автоматически или после нажатия на кнопку "Подключить" произойти подключение кошелька. Плагин-кошелек проведет некоторые проверки и отобразит информацию о текущем DApp.
После подключения кошелька DApp обычно не вызывает плагин-кошелек, если пользователь не выполняет других действий. Если сайт часто запрашивает подпись сообщений или подписания транзакций после входа в систему, даже после отказа от подписи, и продолжает всплывать с запросами на подпись, это может быть фишинговый сайт, с которым нужно обращаться осторожно.
4. Подпись сообщения
В экстремальных случаях, таких как атака на официальный сайт протокола или замена содержимого страниц через перехват на фронтенде, обычным пользователям очень трудно определить безопасность сайта в такой ситуации.
В этот момент подпись плагина-кошелька становится последней линией защиты активов пользователя. Просто отказавшись от злонамеренной подписи, можно избежать потери активов. Пользователи должны внимательно проверять содержание перед подписанием любых сообщений и транзакций, отказываясь от слепой подписи, чтобы обеспечить безопасность активов.
Распространенные типы подписей включают:
5. Подпись сделки
Подпись транзакции используется для авторизации транзакций в блокчейне, таких как переводы или вызов смарт-контрактов. Пользователи подписывают с помощью закрытого ключа, а сеть проверяет действительность транзакции. В настоящее время многие плагин-кошельки анализируют сообщение, ожидающее подписи, и отображают соответствующий контент, обязательно следуйте принципу неслепой подписи, рекомендации по безопасности:
Для пользователей с определенной технической подготовкой также могут быть использованы некоторые методы ручной проверки: например, скопировать адрес целевого контракта в блокчейн-браузер для проверки, в первую очередь проверить, является ли контракт открытым исходным кодом, были ли недавние большие объемы торгов, а также пометил ли браузер этот адрес официальной меткой или меткой злоумышленника и т.д.
6. Обработка после сделки
Даже если удастся успешно избежать фишинговых страниц и вредоносных подписей, после сделки все равно необходимо проводить управление рисками.
После сделки необходимо своевременно проверить состояние транзакции в блокчейне и подтвердить, соответствует ли оно ожидаемому, когда была подписана сделка. Если обнаружены аномалии, следует немедленно принять меры по переводу активов, отмене авторизации и другим мерам по предотвращению убытков.
Управление одобрением ERC20 также очень важно. В некоторых случаях пользователи предоставили токен-одобрение некоторым контрактам, и спустя много лет эти контракты были атакованы; злоумышленники использовали лимит одобрения токенов атакованного контракта, чтобы украсть средства пользователей. Чтобы избежать подобных ситуаций, рекомендуется, чтобы пользователи следовали следующим стандартам для предотвращения рисков:
Стратегия隔离资金
Даже если имеется осознание рисков и приняты адекватные меры по их предотвращению, рекомендуется реализовать эффективное разделение средств, чтобы в крайних ситуациях снизить уровень потерь капитала. Рекомендуемые стратегии следующие:
Если вы случайно столкнулись с фишинг-атакой, рекомендуется немедленно принять следующие меры для снижения потерь:
Как безопасно участвовать в аирдропах
Аирдропы — это распространенный способ продвижения блокчейн-проектов, но в них также скрыты риски. Вот несколько советов:
Выбор и рекомендации по использованию плагинов
Содержимое кодекса безопасности блокчейна разнообразно и может быть сложно тщательно проверять его при каждом взаимодействии, поэтому выбор безопасных плагинов имеет решающее значение и может помочь нам в оценке рисков. Вот конкретные рекомендации:
Заключение
Следуя вышеуказанным рекомендациям по безопасной торговле, пользователи могут более уверенно взаимодействовать в все более сложной экосистеме блокчейна, эффективно повышая защиту своих активов. Хотя технология блокчейн имеет свои основные преимущества в децентрализации и прозрачности, это также означает, что пользователи должны самостоятельно справляться с множеством рисков, включая фишинг подписей, утечку приватных ключей, вредоносные DApp.
Чтобы добиться настоящей безопасности при выходе на блокчейн, полагаться только на инструменты уведомления явно недостаточно; ключевым является создание системного осознания безопасности и привычек в операциях. Используя аппаратные кошельки, реализуя стратегии изоляции средств, регулярно проверяя авторизации и обновления плагинов и внедряя в торговую деятельность концепцию "многофакторной аутентификации, отказа от слепых подписей и изоляции средств", можно действительно достичь "свободного и безопасного выхода на блокчейн".