Guide de sécurité des transactions Web3 : Protégez vos actifs off-chain
Avec le développement continu de l'écosystème décentralisé, les transactions off-chain sont devenues une partie importante des opérations quotidiennes des utilisateurs de Web3. Les actifs des utilisateurs migrent des plateformes centralisées vers des réseaux décentralisés, ce qui signifie que la responsabilité de la sécurité des actifs se déplace progressivement des plateformes vers les utilisateurs eux-mêmes. Dans un environnement off-chain, les utilisateurs doivent être responsables de chaque interaction, que ce soit l'importation de portefeuilles, l'accès aux applications ou la signature d'autorisations et le lancement de transactions. La moindre erreur opérationnelle peut entraîner des risques de sécurité, provoquant des fuites de clés privées, des abus d'autorisation ou encore des escroqueries sur le réseau.
Bien que les plugins de portefeuille et les navigateurs dominants intègrent progressivement des fonctions de détection et d'alerte des risques, il est encore difficile d'éviter complètement les risques face à des méthodes d'attaque de plus en plus complexes, en s'appuyant uniquement sur la défense passive des outils. Pour aider les utilisateurs à identifier plus clairement les points de risque potentiels dans les transactions on-chain, nous avons, sur la base de notre expérience pratique, répertorié les scénarios à haut risque tout au long du processus, et élaboré un guide systématique de sécurité des transactions on-chain qui combine des recommandations de protection et des astuces d'utilisation des outils, visant à aider chaque utilisateur de Web3 à construire une ligne de défense "autonome et contrôlable".
Principes fondamentaux du commerce sécurisé :
Refuser de signer à l'aveugle : Ne signez jamais des transactions ou des messages que vous ne comprenez pas.
Vérification répétée : Avant d'effectuer toute transaction, il est impératif de vérifier plusieurs fois l'exactitude des informations pertinentes.
I. Conseils pour un trading sécurisé
Les transactions sécurisées sont essentielles pour protéger les actifs numériques. Des études montrent que l'utilisation de portefeuilles sécurisés et de la vérification en deux étapes (2FA) peut réduire considérablement les risques. Voici des recommandations spécifiques :
Utiliser un portefeuille sécurisé :
Choisissez des fournisseurs de portefeuilles réputés, comme des portefeuilles matériels ou des portefeuilles logiciels bien connus. Les portefeuilles matériels offrent un stockage hors ligne, réduisant ainsi le risque d'attaques en ligne, ce qui les rend adaptés au stockage de grandes quantités d'actifs.
Vérifiez deux fois les détails de la transaction :
Avant de confirmer la transaction, vérifiez toujours l'adresse de réception, le montant et le réseau pour éviter les pertes dues à des erreurs de saisie.
Activer l'authentification à deux facteurs (2FA) :
Si la plateforme de trading ou le portefeuille supporte la 2FA, assurez-vous de l'activer pour augmenter la sécurité de votre compte, surtout lors de l'utilisation d'un portefeuille chauffant.
Évitez d'utiliser le Wi-Fi public :
Ne faites pas de transactions sur un réseau Wi-Fi public pour éviter le phishing et les attaques de l'homme du milieu.
Deux, comment effectuer des transactions sécurisées
Un processus de transaction d'application décentralisée complet comprend plusieurs étapes : installation du portefeuille, accès à l'application, connexion du portefeuille, signature de message, signature de transaction, traitement post-transaction. Chaque étape présente des risques de sécurité, et les points d'attention lors des opérations pratiques seront présentés successivement.
1. Installation du portefeuille :
Actuellement, la méthode d'utilisation principale des applications décentralisées est d'interagir via des portefeuilles de navigateur. Lors de l'installation d'un portefeuille de navigateur Chrome, il est nécessaire de confirmer que le téléchargement provient du magasin d'applications officiel, afin d'éviter l'installation de logiciels de portefeuille avec des portes dérobées provenant de sites tiers. Les utilisateurs ayant des conditions recommandent d'utiliser en combinaison un portefeuille matériel pour améliorer davantage la sécurité globale dans la gestion des clés privées.
Lors de l'installation d'une phrase de sauvegarde de portefeuille (généralement une phrase de récupération de 12 à 24 mots), il est conseillé de la stocker dans un endroit physique sécurisé, loin des appareils numériques.
2. Accéder à l'application
Le phishing est une méthode courante d'attaque dans le Web3. Un exemple typique est d'inciter les utilisateurs à visiter des applications de phishing sous le prétexte d'un airdrop, puis de les persuader de signer des autorisations de jetons, des transactions de transfert ou des signatures d'autorisation de jetons après qu'ils aient connecté leur portefeuille, entraînant une perte d'actifs.
Ainsi, lors de l'accès à l'application, les utilisateurs doivent rester vigilants afin d'éviter de tomber dans les pièges de phishing sur le web.
Avant d'accéder à l'application, veuillez confirmer l'exactitude de l'URL. Suggestions :
Évitez d'accéder directement via des moteurs de recherche : les attaquants de phishing peuvent faire en sorte que leur site de phishing soit mieux classé en achetant des espaces publicitaires.
Évitez de cliquer sur les liens dans les médias sociaux : les URL publiées dans les commentaires ou les messages peuvent être des liens de phishing.
Vérifiez plusieurs fois la précision de l'URL de l'application : vous pouvez la vérifier auprès de plusieurs sources fiables.
Ajouter un site Web sécurisé aux favoris du navigateur : accéder directement à partir des favoris par la suite.
Après avoir ouvert la page de l'application, il est également nécessaire d'effectuer une vérification de sécurité de la barre d'adresse :
Vérifiez si le nom de domaine et l'URL ressemblent à une contrefaçon.
Vérifiez s'il s'agit d'un lien HTTPS, le navigateur doit afficher le symbole du cadenas.
Les portefeuilles d'extension grand public actuellement disponibles sur le marché intègrent également certaines fonctionnalités de notification de risque, capables d'afficher des alertes fortes lors de l'accès à des sites web à risque.
3. Connecter le portefeuille
Une fois dans l'application, la connexion au portefeuille peut être déclenchée automatiquement ou après avoir cliqué activement sur Connect. Le portefeuille en tant que plug-in effectuera certaines vérifications et affichera des informations concernant l'application actuelle.
Après avoir connecté le portefeuille, l'application n'ouvrira généralement pas le portefeuille plugin de manière proactive tant que l'utilisateur n'effectue pas d'autres actions. Si le site demande fréquemment des signatures de messages ou des signatures de transactions après la connexion, et continue de faire apparaître des demandes de signature même après un refus, il est très probable qu'il s'agisse d'un site de phishing, et il convient de faire preuve de prudence.
4. Signature de message
Dans des cas extrêmes, par exemple si un attaquant attaque le site officiel du protocole ou effectue une attaque de type hijacking via le frontend, et remplace le contenu de la page. Il est très difficile pour un utilisateur ordinaire d'évaluer la sécurité du site dans ce genre de situation.
À ce moment-là, la signature du portefeuille plugin est la dernière barrière pour protéger les actifs de l'utilisateur. Tant que l'utilisateur refuse les signatures malveillantes, il peut garantir que ses actifs ne subissent pas de pertes. L'utilisateur doit examiner attentivement le contenu de la signature lorsqu'il signe tout message et transaction, et refuser les signatures aveugles pour éviter les pertes d'actifs.
5. Signature de transaction
La signature de transaction est utilisée pour autoriser les transactions sur la chaîne, telles que les transferts ou l'appel de contrats intelligents. L'utilisateur signe avec sa clé privée, et le réseau vérifie la validité de la transaction. Actuellement, de nombreux portefeuilles plug-in déchiffrent et affichent le contenu pertinent des messages à signer. Il est impératif de respecter le principe de ne pas signer à l'aveugle. Conseils de sécurité :
Vérifiez soigneusement l'adresse du bénéficiaire, le montant et le réseau pour éviter les erreurs.
Il est recommandé de signer hors ligne pour les transactions importantes afin de réduire le risque d'attaques en ligne.
Faites attention aux frais de gaz, assurez-vous qu'ils sont raisonnables et évitez les arnaques.
Pour les utilisateurs ayant une certaine expertise technique, il est également possible d'utiliser certaines méthodes d'inspection manuelles courantes : en copiant l'adresse du contrat interactif cible dans un explorateur de blockchain pour l'examiner, les éléments à vérifier incluent principalement si le contrat est open source, s'il y a eu un grand nombre de transactions récemment et si cette adresse a été marquée comme officielle ou malveillante, etc.
6. Traitement après transaction
Échapper aux pages de phishing et aux signatures malveillantes ne signifie pas que tout est parfait, il est toujours nécessaire de gérer les risques après la transaction.
Après la transaction, il est important de vérifier rapidement l'état de la transaction sur la chaîne, afin de confirmer s'il correspond à l'état prévu au moment de la signature. Si des anomalies sont détectées, il convient d'effectuer rapidement des opérations de transfert d'actifs, de révocation d'autorisation, etc. pour limiter les pertes.
La gestion de l'approbation ERC20 est également très importante. Dans certains cas, après avoir autorisé des jetons pour certains contrats, ces contrats ont été attaqués des années plus tard, et les attaquants ont utilisé le montant d'autorisation de jetons des contrats attaqués pour voler les fonds des utilisateurs. Pour éviter de telles situations, nous recommandons aux utilisateurs de suivre les normes suivantes pour prévenir les risques :
Autorisation minimale. Lorsqu'une autorisation de jetons est effectuée, le nombre de jetons autorisés doit être limité en fonction des besoins de la transaction. Par exemple, si une transaction nécessite l'autorisation de 100 USDT, alors le nombre d'autorisations pour cette transaction doit être limité à 100 USDT, et il ne faut pas utiliser l'autorisation illimitée par défaut.
Révoquez rapidement les autorisations de jetons non nécessaires. Les utilisateurs peuvent se connecter à un outil de gestion des autorisations dédié pour vérifier l'état des autorisations des adresses correspondantes, révoquer les autorisations des protocoles qui n'ont pas interagi depuis longtemps, afin d'éviter que des failles dans les protocoles n'entraînent une perte d'actifs en raison de l'utilisation des limites d'autorisation des utilisateurs.
Trois, stratégie d'isolement des fonds
En ayant une conscience des risques et en ayant pris des mesures suffisantes de prévention des risques, il est également conseillé de procéder à une séparation efficace des fonds afin de réduire le degré de perte des fonds en cas de situations extrêmes. Les stratégies recommandées sont les suivantes :
Utilisez un portefeuille multi-signatures ou un portefeuille froid pour stocker des actifs importants ;
Utilisez un portefeuille de plugin ou un portefeuille EOA comme portefeuille chaud pour les interactions quotidiennes ;
Changer régulièrement l'adresse du portefeuille chaud pour éviter que l'adresse ne soit constamment exposée à un environnement à risque.
Si vous êtes victime d'une tentative de phishing, nous vous recommandons de prendre immédiatement les mesures suivantes pour réduire les pertes :
Utilisez l'outil de gestion des autorisations pour annuler les autorisations à risque élevé ;
Si un permis a été signé mais que l'actif n'a pas encore été transféré, une nouvelle signature peut être immédiatement initiée pour rendre l'ancienne signature nonce invalide ;
Si nécessaire, transférez rapidement les actifs restants vers une nouvelle adresse ou un portefeuille froid.
Quatre, comment participer en toute sécurité aux activités de airdrop
L'airdrop est un moyen courant de promouvoir des projets blockchain, mais il comporte également des risques. Voici quelques conseils :
Recherche de contexte du projet : s'assurer que le projet dispose d'un livre blanc clair, d'informations publiques sur l'équipe et d'une réputation au sein de la communauté ;
Utiliser une adresse dédiée : enregistrez un portefeuille et un e-mail dédiés pour isoler les risques du compte principal ;
Cliquez avec prudence sur les liens : obtenez des informations sur les airdrops uniquement par des canaux officiels, évitez de cliquer sur des liens suspects sur les plateformes sociales ;
Cinq, choix et recommandations d'utilisation des outils de plugins
Le contenu des règles de sécurité de la blockchain est vaste, il se peut que nous ne puissions pas effectuer des vérifications détaillées à chaque interaction. Il est essentiel de choisir des plugins sécurisés, car ils peuvent nous aider à évaluer les risques. Voici des recommandations spécifiques :
Extensions de confiance : utilisez des extensions de navigateur largement adoptées. Ces plugins offrent des fonctionnalités de portefeuille et prennent en charge l'interaction avec des applications décentralisées.
Vérifiez la note : Avant d'installer un nouveau plugin, vérifiez la note des utilisateurs et le nombre d'installations. Une note élevée et un grand nombre d'installations indiquent généralement que le plugin est plus fiable, réduisant le risque de code malveillant.
Restez à jour : mettez régulièrement à jour vos plugins pour bénéficier des dernières fonctionnalités de sécurité et correctifs. Les plugins obsolètes peuvent contenir des vulnérabilités connues, facilement exploitables par des attaquants.
VI. Conclusion
En suivant les directives de sécurité des transactions mentionnées ci-dessus, les utilisateurs peuvent interagir de manière plus sereine dans un écosystème blockchain de plus en plus complexe, améliorant ainsi leur capacité de protection des actifs. Bien que la technologie blockchain repose sur des avantages clés tels que la décentralisation et la transparence, cela signifie également que les utilisateurs doivent faire face de manière indépendante à de multiples risques, y compris la fraude par signature, la fuite de clés privées et les applications malveillantes.
Pour réaliser une véritable sécurité hors chaîne, il ne suffit pas de se fier uniquement aux outils de rappel ; établir une conscience de sécurité systématique et des habitudes opérationnelles est la clé. En utilisant des portefeuilles matériels, en mettant en œuvre des stratégies d'isolement des fonds, en vérifiant régulièrement les autorisations et en mettant à jour les plugins, et en appliquant dans les opérations de transaction le principe de "vérification multiple, refus de la signature aveugle, isolement des fonds", on peut réellement parvenir à "s'inscrire librement et en toute sécurité".
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
9 J'aime
Récompense
9
4
Reposter
Partager
Commentaire
0/400
mev_me_maybe
· 08-09 05:14
Ce n'est pas moi qui dis que les liens permettent quand même aux gens de se faire voler de l'argent.
Voir l'originalRépondre0
ZKSherlock
· 08-09 05:11
en fait... la décentralisation déplace simplement les risques de sécurité des cex vers les utilisateurs. je ne vais pas mentir, les mathématiques derrière les zkps géreraient cela beaucoup mieux que les outils actuels de "détection des risques" smh
Voir l'originalRépondre0
ImpermanentSage
· 08-09 05:08
La sécurité avant tout, il ne reste plus rien.
Voir l'originalRépondre0
LiquidityWitch
· 08-09 05:03
L'importance de la sécurité n'est comprise qu'après l'émission des jetons.
Construire une ligne de défense sécurisée pour les transactions personnelles : Guide complet de protection des actifs Web3
Guide de sécurité des transactions Web3 : Protégez vos actifs off-chain
Avec le développement continu de l'écosystème décentralisé, les transactions off-chain sont devenues une partie importante des opérations quotidiennes des utilisateurs de Web3. Les actifs des utilisateurs migrent des plateformes centralisées vers des réseaux décentralisés, ce qui signifie que la responsabilité de la sécurité des actifs se déplace progressivement des plateformes vers les utilisateurs eux-mêmes. Dans un environnement off-chain, les utilisateurs doivent être responsables de chaque interaction, que ce soit l'importation de portefeuilles, l'accès aux applications ou la signature d'autorisations et le lancement de transactions. La moindre erreur opérationnelle peut entraîner des risques de sécurité, provoquant des fuites de clés privées, des abus d'autorisation ou encore des escroqueries sur le réseau.
Bien que les plugins de portefeuille et les navigateurs dominants intègrent progressivement des fonctions de détection et d'alerte des risques, il est encore difficile d'éviter complètement les risques face à des méthodes d'attaque de plus en plus complexes, en s'appuyant uniquement sur la défense passive des outils. Pour aider les utilisateurs à identifier plus clairement les points de risque potentiels dans les transactions on-chain, nous avons, sur la base de notre expérience pratique, répertorié les scénarios à haut risque tout au long du processus, et élaboré un guide systématique de sécurité des transactions on-chain qui combine des recommandations de protection et des astuces d'utilisation des outils, visant à aider chaque utilisateur de Web3 à construire une ligne de défense "autonome et contrôlable".
Principes fondamentaux du commerce sécurisé :
I. Conseils pour un trading sécurisé
Les transactions sécurisées sont essentielles pour protéger les actifs numériques. Des études montrent que l'utilisation de portefeuilles sécurisés et de la vérification en deux étapes (2FA) peut réduire considérablement les risques. Voici des recommandations spécifiques :
Choisissez des fournisseurs de portefeuilles réputés, comme des portefeuilles matériels ou des portefeuilles logiciels bien connus. Les portefeuilles matériels offrent un stockage hors ligne, réduisant ainsi le risque d'attaques en ligne, ce qui les rend adaptés au stockage de grandes quantités d'actifs.
Avant de confirmer la transaction, vérifiez toujours l'adresse de réception, le montant et le réseau pour éviter les pertes dues à des erreurs de saisie.
Si la plateforme de trading ou le portefeuille supporte la 2FA, assurez-vous de l'activer pour augmenter la sécurité de votre compte, surtout lors de l'utilisation d'un portefeuille chauffant.
Ne faites pas de transactions sur un réseau Wi-Fi public pour éviter le phishing et les attaques de l'homme du milieu.
Deux, comment effectuer des transactions sécurisées
Un processus de transaction d'application décentralisée complet comprend plusieurs étapes : installation du portefeuille, accès à l'application, connexion du portefeuille, signature de message, signature de transaction, traitement post-transaction. Chaque étape présente des risques de sécurité, et les points d'attention lors des opérations pratiques seront présentés successivement.
1. Installation du portefeuille :
Actuellement, la méthode d'utilisation principale des applications décentralisées est d'interagir via des portefeuilles de navigateur. Lors de l'installation d'un portefeuille de navigateur Chrome, il est nécessaire de confirmer que le téléchargement provient du magasin d'applications officiel, afin d'éviter l'installation de logiciels de portefeuille avec des portes dérobées provenant de sites tiers. Les utilisateurs ayant des conditions recommandent d'utiliser en combinaison un portefeuille matériel pour améliorer davantage la sécurité globale dans la gestion des clés privées.
Lors de l'installation d'une phrase de sauvegarde de portefeuille (généralement une phrase de récupération de 12 à 24 mots), il est conseillé de la stocker dans un endroit physique sécurisé, loin des appareils numériques.
2. Accéder à l'application
Le phishing est une méthode courante d'attaque dans le Web3. Un exemple typique est d'inciter les utilisateurs à visiter des applications de phishing sous le prétexte d'un airdrop, puis de les persuader de signer des autorisations de jetons, des transactions de transfert ou des signatures d'autorisation de jetons après qu'ils aient connecté leur portefeuille, entraînant une perte d'actifs.
Ainsi, lors de l'accès à l'application, les utilisateurs doivent rester vigilants afin d'éviter de tomber dans les pièges de phishing sur le web.
Avant d'accéder à l'application, veuillez confirmer l'exactitude de l'URL. Suggestions :
Après avoir ouvert la page de l'application, il est également nécessaire d'effectuer une vérification de sécurité de la barre d'adresse :
Les portefeuilles d'extension grand public actuellement disponibles sur le marché intègrent également certaines fonctionnalités de notification de risque, capables d'afficher des alertes fortes lors de l'accès à des sites web à risque.
3. Connecter le portefeuille
Une fois dans l'application, la connexion au portefeuille peut être déclenchée automatiquement ou après avoir cliqué activement sur Connect. Le portefeuille en tant que plug-in effectuera certaines vérifications et affichera des informations concernant l'application actuelle.
Après avoir connecté le portefeuille, l'application n'ouvrira généralement pas le portefeuille plugin de manière proactive tant que l'utilisateur n'effectue pas d'autres actions. Si le site demande fréquemment des signatures de messages ou des signatures de transactions après la connexion, et continue de faire apparaître des demandes de signature même après un refus, il est très probable qu'il s'agisse d'un site de phishing, et il convient de faire preuve de prudence.
4. Signature de message
Dans des cas extrêmes, par exemple si un attaquant attaque le site officiel du protocole ou effectue une attaque de type hijacking via le frontend, et remplace le contenu de la page. Il est très difficile pour un utilisateur ordinaire d'évaluer la sécurité du site dans ce genre de situation.
À ce moment-là, la signature du portefeuille plugin est la dernière barrière pour protéger les actifs de l'utilisateur. Tant que l'utilisateur refuse les signatures malveillantes, il peut garantir que ses actifs ne subissent pas de pertes. L'utilisateur doit examiner attentivement le contenu de la signature lorsqu'il signe tout message et transaction, et refuser les signatures aveugles pour éviter les pertes d'actifs.
5. Signature de transaction
La signature de transaction est utilisée pour autoriser les transactions sur la chaîne, telles que les transferts ou l'appel de contrats intelligents. L'utilisateur signe avec sa clé privée, et le réseau vérifie la validité de la transaction. Actuellement, de nombreux portefeuilles plug-in déchiffrent et affichent le contenu pertinent des messages à signer. Il est impératif de respecter le principe de ne pas signer à l'aveugle. Conseils de sécurité :
Pour les utilisateurs ayant une certaine expertise technique, il est également possible d'utiliser certaines méthodes d'inspection manuelles courantes : en copiant l'adresse du contrat interactif cible dans un explorateur de blockchain pour l'examiner, les éléments à vérifier incluent principalement si le contrat est open source, s'il y a eu un grand nombre de transactions récemment et si cette adresse a été marquée comme officielle ou malveillante, etc.
6. Traitement après transaction
Échapper aux pages de phishing et aux signatures malveillantes ne signifie pas que tout est parfait, il est toujours nécessaire de gérer les risques après la transaction.
Après la transaction, il est important de vérifier rapidement l'état de la transaction sur la chaîne, afin de confirmer s'il correspond à l'état prévu au moment de la signature. Si des anomalies sont détectées, il convient d'effectuer rapidement des opérations de transfert d'actifs, de révocation d'autorisation, etc. pour limiter les pertes.
La gestion de l'approbation ERC20 est également très importante. Dans certains cas, après avoir autorisé des jetons pour certains contrats, ces contrats ont été attaqués des années plus tard, et les attaquants ont utilisé le montant d'autorisation de jetons des contrats attaqués pour voler les fonds des utilisateurs. Pour éviter de telles situations, nous recommandons aux utilisateurs de suivre les normes suivantes pour prévenir les risques :
Trois, stratégie d'isolement des fonds
En ayant une conscience des risques et en ayant pris des mesures suffisantes de prévention des risques, il est également conseillé de procéder à une séparation efficace des fonds afin de réduire le degré de perte des fonds en cas de situations extrêmes. Les stratégies recommandées sont les suivantes :
Si vous êtes victime d'une tentative de phishing, nous vous recommandons de prendre immédiatement les mesures suivantes pour réduire les pertes :
Quatre, comment participer en toute sécurité aux activités de airdrop
L'airdrop est un moyen courant de promouvoir des projets blockchain, mais il comporte également des risques. Voici quelques conseils :
Cinq, choix et recommandations d'utilisation des outils de plugins
Le contenu des règles de sécurité de la blockchain est vaste, il se peut que nous ne puissions pas effectuer des vérifications détaillées à chaque interaction. Il est essentiel de choisir des plugins sécurisés, car ils peuvent nous aider à évaluer les risques. Voici des recommandations spécifiques :
VI. Conclusion
En suivant les directives de sécurité des transactions mentionnées ci-dessus, les utilisateurs peuvent interagir de manière plus sereine dans un écosystème blockchain de plus en plus complexe, améliorant ainsi leur capacité de protection des actifs. Bien que la technologie blockchain repose sur des avantages clés tels que la décentralisation et la transparence, cela signifie également que les utilisateurs doivent faire face de manière indépendante à de multiples risques, y compris la fraude par signature, la fuite de clés privées et les applications malveillantes.
Pour réaliser une véritable sécurité hors chaîne, il ne suffit pas de se fier uniquement aux outils de rappel ; établir une conscience de sécurité systématique et des habitudes opérationnelles est la clé. En utilisant des portefeuilles matériels, en mettant en œuvre des stratégies d'isolement des fonds, en vérifiant régulièrement les autorisations et en mettant à jour les plugins, et en appliquant dans les opérations de transaction le principe de "vérification multiple, refus de la signature aveugle, isolement des fonds", on peut réellement parvenir à "s'inscrire librement et en toute sécurité".