Guía de seguridad de transacciones para usuarios de Web3

Con el continuo desarrollo del ecosistema blockchain, las transacciones en cadena se han convertido en una parte importante de las operaciones diarias de los usuarios de Web3. Los activos de los usuarios están pasando de plataformas centralizadas a redes descentralizadas, y esta tendencia significa que la responsabilidad de la seguridad de los activos está gradualmente pasando de la plataforma a los propios usuarios. En un entorno blockchain, los usuarios deben hacerse responsables de cada paso que realizan, ya sea importando una billetera, accediendo a aplicaciones descentralizadas, o realizando autorizaciones de firma e iniciando transacciones; cualquier operación descuidada puede convertirse en un riesgo de seguridad, lo que puede llevar a la filtración de claves privadas, abuso de autorizaciones o sufrir ataques de phishing, entre otras graves consecuencias.

Aunque actualmente los principales complementos de billetera y navegadores han integrado gradualmente funciones como la detección de phishing y las alertas de riesgo, ante las cada vez más complejas técnicas de ataque, depender únicamente de la defensa pasiva de herramientas aún es difícil para evitar completamente los riesgos. Para ayudar a los usuarios a identificar mejor los riesgos potenciales en las transacciones en cadena, este artículo, basado en la experiencia real, organiza los escenarios de riesgo de alta frecuencia en todo el proceso y, junto con recomendaciones de protección y técnicas de uso de herramientas, elabora una guía sistemática de seguridad para transacciones en cadena, con el objetivo de ayudar a cada usuario de Web3 a construir una "defensa de seguridad autónoma y controlable".

Principios fundamentales del comercio seguro:

• Rechazar la firma ciega: No firme bajo ninguna circunstancia transacciones o mensajes que no entienda.
• Verificación repetida: Antes de realizar cualquier transacción, asegúrese de verificar varias veces la precisión de la información relevante.

I. Consejos para transacciones seguras

Las transacciones seguras son clave para proteger los activos digitales. Los estudios muestran que el uso de billeteras seguras y la autenticación de dos factores (2FA) pueden reducir significativamente el riesgo. Las recomendaciones específicas son las siguientes:

• Seleccionar una billetera segura:

Utiliza proveedores de billeteras de buena reputación, como billeteras de hardware o billeteras de software confiables. Las billeteras de hardware ofrecen almacenamiento fuera de línea, lo que reduce el riesgo de ataques en línea, lo que las hace adecuadas para almacenar grandes cantidades de activos.

• Verificar cuidadosamente los detalles de la transacción:

Antes de confirmar la transacción, asegúrate de verificar la dirección de recepción, el monto y la red, para evitar pérdidas debidas a errores de entrada.

• Habilitar la autenticación en dos pasos:

Si la plataforma de intercambio o la billetera admiten 2FA, asegúrese de activarlo para mejorar la seguridad de la cuenta, especialmente al usar una billetera caliente.

• Evita usar Wi-Fi público:

No realices transacciones en redes Wi-Fi públicas para evitar ser víctima de ataques de phishing y ataques de intermediarios.

II. Cómo realizar transacciones seguras

Un proceso completo de transacción de aplicaciones descentralizadas incluye múltiples etapas: instalación de la billetera, acceso a la aplicación, conexión de la billetera, firma de mensajes, firma de transacciones y procesamiento posterior a la transacción. Cada etapa presenta ciertos riesgos de seguridad, a continuación se detallarán las precauciones a tener en cuenta en la operación práctica.

1. Instalación de la billetera:

Actualmente, la forma principal de interactuar con aplicaciones descentralizadas es a través de billeteras de extensión para navegadores. Las billeteras más utilizadas en cadenas compatibles con EVM incluyen varias opciones.

Al instalar una billetera de complemento del navegador, es necesario asegurarse de descargarla e instalarla desde la tienda oficial de aplicaciones, evitando la instalación desde sitios web de terceros, para prevenir la instalación de software de billetera con puertas traseras. Se recomienda a los usuarios que tienen la posibilidad combinar el uso de una billetera de hardware para mejorar aún más la seguridad en la gestión de claves privadas.

Al hacer una copia de seguridad de la frase de recuperación de la billetera (generalmente un frase de 12 a 24 palabras), se recomienda almacenarla en un lugar seguro y fuera de línea, lejos de dispositivos digitales (por ejemplo, escribirla en papel y guardarla en una caja de seguridad).

2. Acceder a aplicaciones descentralizadas

El phishing web es una técnica común en los ataques de Web3. Un caso típico es inducir a los usuarios a visitar aplicaciones de phishing bajo el pretexto de un airdrop, y después de que los usuarios conecten sus billeteras, se les induce a firmar autorizaciones de tokens, transacciones de transferencia o firmas de autorización de tokens, lo que resulta en la pérdida de activos.

Por lo tanto, al acceder a aplicaciones descentralizadas, los usuarios deben mantenerse alerta para evitar caer en trampas de phishing en la web.

Antes de acceder a la aplicación, debe confirmar la corrección de la URL. Sugerencia:

• Evitar acceder directamente a través de motores de búsqueda: los atacantes de phishing pueden hacer que su sitio web de phishing tenga una clasificación alta al comprar espacios publicitarios.
• Evita hacer clic en los enlaces en las redes sociales: las URL compartidas en comentarios o mensajes pueden ser enlaces de phishing.
• Verificar repetidamente la corrección de la URL de la aplicación: se puede comprobar a través de plataformas de datos DeFi, mercados de aplicaciones y cuentas oficiales de redes sociales del proyecto.
• Agregar el sitio web seguro a los marcadores del navegador: accede directamente desde los marcadores más adelante.

Al abrir la página de la aplicación, también es necesario realizar una verificación de seguridad en la barra de direcciones:

• Verifica si el nombre de dominio y la URL parecen falsos.
• Verifica si es un enlace HTTPS, el navegador debe mostrar el ícono de candado 🔒.

Las principales billeteras de extensión en el mercado actual también han integrado ciertas funciones de advertencia de riesgos, que pueden mostrar recordatorios fuertes al acceder a sitios web de riesgo.

3. Conectar billetera

Al ingresar a la aplicación descentralizada, puede que se inicie automáticamente o al hacer clic activamente en Conectar, la operación de conexión de la billetera. La billetera de extensión realizará algunas verificaciones y mostrará información relacionada con la aplicación actual.

Después de conectar la billetera, normalmente la aplicación no activará proactivamente la billetera del plugin si el usuario no realiza otras acciones. Si el sitio web solicita con frecuencia la firma de mensajes o la firma de transacciones después de iniciar sesión, e incluso sigue apareciendo la solicitud de firma después de rechazarla, es muy probable que se trate de un sitio web de phishing, y se debe manejar con precaución.

4. Firma de mensajes

En circunstancias extremas, como cuando un atacante ha invadido el sitio web oficial del protocolo o ha realizado ataques como el secuestro del front-end, el contenido de la página ha sido reemplazado. Es muy difícil para los usuarios comunes identificar la seguridad del sitio web en este escenario.

En este momento, la firma de la billetera de plugins es la última barrera que protege los activos del usuario. Siempre que se rechacen las firmas maliciosas, se pueden proteger los activos de pérdidas. Los usuarios deben revisar cuidadosamente el contenido de la firma al firmar cualquier mensaje y transacción, y rechazar la firma ciega para evitar pérdidas de activos.

Los tipos de firma comunes incluyen:

• Firmar datos hash
• La firma de información en texto claro es más común durante la verificación de inicio de sesión del usuario o la confirmación de acuerdos de licencia.
• Firma de datos estructurados, comúnmente utilizada para permisos de tokens, listados de NFT, etc.

5. Firma de la transacción

La firma de la transacción se utiliza para autorizar transacciones en la blockchain, como transferencias o llamadas a contratos inteligentes. El usuario firma con su clave privada y la red verifica la validez de la transacción. Actualmente, muchas billeteras de complemento decodifican y muestran el contenido relacionado con el mensaje pendiente de firma, es importante seguir el principio de no firmar a ciegas. Sugerencias de seguridad:

• Verifique cuidadosamente la dirección del destinatario, la cantidad y la red para evitar errores.
• Se recomienda firmar transacciones de gran valor fuera de línea para reducir el riesgo de ataques en línea.
• Presta atención a las tarifas de gas, asegúrate de que sean razonables y evita estafas.

Para los usuarios con cierto nivel de conocimientos técnicos, también se pueden utilizar algunos métodos comunes de revisión manual: revisar el contrato objetivo copiando la dirección del contrato en un explorador de blockchain. Los contenidos a revisar incluyen si el contrato es de código abierto, si ha habido un gran número de transacciones recientemente y si el explorador ha marcado la dirección con una etiqueta oficial o con una etiqueta de malicia, entre otros.

6. Procesamiento posterior a la transacción

Escapar de las páginas de phishing y las firmas maliciosas no significa que todo esté bien, después de la transacción también se debe realizar una gestión de riesgos.

Después de la transacción, se debe verificar oportunamente el estado en la cadena de la transacción y confirmar si coincide con el estado esperado al momento de la firma. Si se detecta alguna anomalía, se deben realizar de inmediato operaciones de mitigación como la transferencia de activos o la revocación de autorizaciones.

La gestión de la autorización de tokens también es muy importante. En algunos casos, los usuarios autorizaron tokens para ciertos contratos, y años después, esos contratos fueron atacados. Los atacantes aprovecharon los límites de autorización de tokens de los contratos atacados para robar los fondos de los usuarios. Para evitar tales situaciones, se recomienda que los usuarios sigan los siguientes estándares para prevenir riesgos:

• Minimizar la autorización. Al realizar la autorización de tokens, se debe limitar la cantidad de tokens autorizados según las necesidades de la transacción. Si una transacción requiere autorizar 100 tokens, entonces la cantidad de autorización debe limitarse a 100, y no utilizar la autorización predeterminada ilimitada.
• Revocar a tiempo las autorizaciones de tokens innecesarias. Los usuarios pueden iniciar sesión en la herramienta de gestión de autorizaciones para consultar la situación de autorización de la dirección correspondiente y revocar las autorizaciones de los protocolos que no han tenido interacción durante un largo periodo, evitando así que el protocolo tenga vulnerabilidades que puedan llevar a la pérdida de activos debido al uso de los límites de autorización del usuario.

Tres, Estrategia de Aislamiento de Fondos

En caso de tener conciencia de riesgos y haber realizado suficientes medidas de prevención de riesgos, también se sugiere llevar a cabo una efectiva separación de fondos para reducir el grado de daño de los fondos en situaciones extremas. Se recomiendan las siguientes estrategias:

• Utiliza una billetera multifirma o una billetera fría para almacenar activos de gran valor;
• Utiliza una billetera de extensión o una billetera normal como billetera caliente para interacciones diarias;
• Cambiar regularmente la dirección del monedero caliente para evitar que la dirección esté expuesta continuamente a un entorno de riesgo.

Si accidentalmente te conviertes en víctima de phishing, se recomienda tomar las siguientes medidas de inmediato para reducir las pérdidas:

• Utilizar la herramienta de gestión de autorizaciones para revocar autorizaciones de alto riesgo;
• Si se ha firmado una firma de permiso pero los activos aún no se han transferido, se puede iniciar inmediatamente una nueva firma para invalidar la firma anterior;
• Si es necesario, transfiera rápidamente los activos restantes a una nueva dirección o a una billetera fría.

Cuatro, ¿cómo participar de forma segura en las actividades de airdrop?

El airdrop es una forma común de promoción de proyectos de blockchain, pero también conlleva riesgos ocultos. A continuación, se presentan algunos consejos:

• Investigación de antecedentes del proyecto: asegurar que el proyecto tenga un libro blanco claro, información del equipo pública y una buena reputación en la comunidad;
• Utilizar direcciones dedicadas: registrar una billetera y un correo electrónico dedicados para aislar el riesgo de la cuenta principal;
• Haga clic en el enlace con precaución: obtenga información sobre el airdrop únicamente a través de canales oficiales, evite hacer clic en enlaces sospechosos en plataformas sociales;

Cinco, selección y recomendaciones para el uso de herramientas de plugins

El contenido de las normas de seguridad de blockchain es extenso, y puede que no siempre se pueda realizar una verificación minuciosa en cada interacción. Elegir complementos seguros es crucial, ya que pueden ayudarnos a hacer una evaluación de riesgos. A continuación se presentan recomendaciones específicas:

• Extensiones de confianza: utiliza extensiones de navegador que son ampliamente utilizadas. Estos complementos ofrecen funciones de billetera y admiten la interacción con aplicaciones descentralizadas.
• Verificación de calificaciones: antes de instalar un nuevo complemento, verifica las calificaciones de los usuarios y la cantidad de instalaciones. Una alta calificación y un gran número de instalaciones suelen indicar que el complemento es más confiable, lo que reduce el riesgo de código malicioso.
• Mantén actualizado: Actualiza regularmente tus complementos para obtener las últimas funciones de seguridad y correcciones. Los complementos desactualizados pueden contener vulnerabilidades conocidas que son fácilmente explotables por los atacantes.

Seis, Conclusión

Al seguir las directrices de seguridad de transacciones mencionadas anteriormente, los usuarios pueden interactuar de manera más tranquila en un ecosistema de blockchain cada vez más complejo, mejorando efectivamente su capacidad de protección de activos. A pesar de que la tecnología blockchain tiene como ventajas centrales la descentralización y la transparencia, esto también significa que los usuarios deben enfrentarse de manera independiente a múltiples riesgos, incluyendo el phishing de firmas, la filtración de claves privadas y aplicaciones maliciosas.

Para lograr una verdadera seguridad en la cadena, depender únicamente de herramientas de alerta no es suficiente; establecer una conciencia de seguridad sistemática y hábitos operativos es clave. A través del uso de billeteras de hardware, la implementación de estrategias de aislamiento de fondos, la verificación periódica de autorizaciones y la actualización de complementos, así como la aplicación de los principios de "verificación múltiple, rechazo de firmar ciegamente, aislamiento de fondos" en las operaciones de transacción, se puede lograr realmente "subir a la cadena de manera libre y segura".