Guia de Segurança de Transações Web3: Proteja seus ativos na cadeia
Com o contínuo desenvolvimento do ecossistema descentralizado, as transações na cadeia tornaram-se uma parte importante das operações diárias dos usuários do Web3. Os ativos dos usuários estão migrando de plataformas centralizadas para redes descentralizadas, o que significa que a responsabilidade pela segurança dos ativos também está gradualmente se transferindo das plataformas para os próprios usuários. Em um ambiente na cadeia, os usuários precisam ser responsáveis por cada interação, seja importando uma carteira, acessando aplicativos ou assinando autorizações e iniciando transações; qualquer erro em uma operação pode se tornar um risco à segurança, resultando em vazamento de chaves privadas, abuso de autorizações ou fraudes na rede, entre outras consequências graves.
Embora atualmente as principais extensões de carteira e navegadores tenham gradualmente integrado funções de identificação e alerta de riscos, enfrentar métodos de ataque cada vez mais complexos apenas com a defesa passiva das ferramentas ainda é difícil para evitar completamente os riscos. Para ajudar os usuários a identificar mais claramente os pontos de risco potenciais nas transações na cadeia, com base na experiência prática, organizamos cenários de riscos frequentes ao longo de todo o processo e, em conjunto com recomendações de proteção e dicas de uso de ferramentas, elaboramos um guia sistemático de segurança para transações na cadeia, com o objetivo de ajudar cada usuário do Web3 a construir uma linha de defesa de segurança "autônoma e controlável".
Os princípios fundamentais para transações seguras:
Recusar assinaturas cegas: nunca assine transações ou mensagens que não compreenda.
Verificação repetida: Antes de realizar qualquer transação, é essencial verificar várias vezes a precisão das informações relacionadas.
I. Sugestões para Transações Seguras
A negociação segura é a chave para proteger os ativos digitais. Estudos mostram que o uso de carteiras seguras e a verificação em duas etapas (2FA) podem reduzir significativamente os riscos. Aqui estão algumas recomendações específicas:
Usar uma carteira segura:
Escolha provedores de carteira de boa reputação, como carteiras de hardware ou carteiras de software conhecidas. As carteiras de hardware oferecem armazenamento offline, reduzindo o risco de ataques online, sendo adequadas para armazenar ativos de grande valor.
Verifique os detalhes da transação duas vezes:
Antes de confirmar a transação, verifique sempre o endereço de recebimento, o montante e a rede, para evitar perdas devido a erros de entrada.
Ativar a autenticação de dois fatores (2FA):
Se a plataforma de negociação ou a carteira suportar 2FA, certifique-se de ativá-la para aumentar a segurança da conta, especialmente ao usar carteiras quentes.
Evite usar Wi-Fi público:
Não faça transações em redes Wi-Fi públicas para evitar phishing e ataques de intermediários.
Dois, como realizar transações seguras
Um processo de transação completo de uma aplicação descentralizada inclui várias etapas: instalação da carteira, acesso à aplicação, conexão da carteira, assinatura de mensagens, assinatura de transações e processamento pós-transação. Cada etapa apresenta certos riscos de segurança, e a seguir serão apresentadas as precauções a serem tomadas durante a operação.
1. Instalação da carteira:
Atualmente, a forma principal de utilização de aplicações descentralizadas é através de carteiras de plugin de navegador. Ao instalar uma carteira de plugin do Chrome, é necessário confirmar que está a ser instalada a partir da loja de aplicações oficial, evitando a instalação a partir de sites de terceiros, para prevenir a instalação de software de carteira com backdoors. Recomenda-se aos utilizadores que têm condições a utilização combinada de carteiras de hardware, para aumentar ainda mais a segurança geral na guarda das chaves privadas.
Ao instalar a frase de backup da carteira (normalmente uma frase de recuperação de 12-24 palavras), recomenda-se armazená-la em um local físico seguro, longe de dispositivos digitais.
2. Aceder à aplicação
A pesca na web é uma técnica comum em ataques Web3. Um caso típico é induzir os usuários a visitar aplicações de phishing sob o pretexto de airdrops, levando-os a assinar autorizações de token, transações de transferência ou assinaturas de autorização de token após conectarem suas carteiras, resultando em perdas de ativos.
Portanto, ao acessar o aplicativo, os usuários devem permanecer vigilantes e evitar cair nas armadilhas de phishing na web.
Antes de acessar o aplicativo, confirme a correção do URL. Sugestão:
Evite acessar diretamente através de motores de busca: atacantes de phishing podem fazer com que seus sites de phishing tenham uma classificação mais alta ao comprar espaço publicitário.
Evite clicar em links nas redes sociais: os URLs publicados em comentários ou mensagens podem ser links de phishing.
Confirme repetidamente a correção do endereço da aplicação: pode ser verificado através de múltiplas fontes confiáveis.
Adicione o site seguro aos favoritos do navegador: acesse diretamente a partir dos favoritos posteriormente.
Ao abrir a página da aplicação, também é necessário realizar uma verificação de segurança na barra de endereços:
Verifique se o domínio e o endereço da web parecem falsificados.
Verifique se é um link HTTPS, o navegador deve mostrar o ícone de cadeado.
Atualmente, as principais carteiras de plugins disponíveis no mercado também integram uma certa funcionalidade de aviso de risco, que pode exibir um forte alerta ao acessar sites de risco.
3. Conectar carteira
Após entrar no aplicativo, pode ser que a operação de conectar a carteira seja acionada automaticamente ou após clicar ativamente em Conectar. A carteira de plugin fará algumas verificações e exibirá informações relacionadas ao aplicativo atual.
Após conectar a carteira, normalmente, quando o usuário não realiza outras operações, o aplicativo não ativa proativamente a carteira de plug-in. Se o site frequentemente solicitar que a carteira assine mensagens ou transações após o login, e mesmo após recusar a assinatura, continuar a aparecer pop-ups para assinatura, é muito provável que se trate de um site de phishing, e deve-se ter cautela.
4. Assinatura de Mensagem
Em situações extremas, como quando atacantes atacam o site oficial do protocolo ou realizam ataques de sequestro na interface, substituindo o conteúdo da página. É difícil para usuários comuns identificarem a segurança do site em tais cenários.
Neste momento, a assinatura da carteira de plugins é a última barreira que protege os ativos do usuário. Desde que se recuse a assinaturas maliciosas, é possível garantir que seus ativos não sejam perdidos. O usuário deve revisar cuidadosamente o conteúdo da assinatura ao assinar qualquer mensagem ou transação e recusar assinaturas automáticas, evitando assim perdas de ativos.
5. Assinatura de Transação
A assinatura da transação é utilizada para autorizar transações na cadeia, como transferências ou chamadas de contratos inteligentes. O usuário assina com a chave privada, e a rede valida a eficácia da transação. Atualmente, muitas carteiras de plugin decodificam mensagens a serem assinadas e exibem o conteúdo relevante; é imprescindível seguir o princípio de não assinar cegamente. Sugestões de segurança:
Verifique cuidadosamente o endereço do destinatário, o montante e a rede para evitar erros.
Transações de grande valor devem ser assinadas offline para reduzir o risco de ataques online.
Atenção às taxas de gas, certifique-se de que são razoáveis para evitar fraudes.
Para os usuários com um certo nível de conhecimento técnico, também podem usar alguns métodos comuns de verificação manual: revisar o endereço do contrato interativo copiado no explorador de blockchain, onde o conteúdo da revisão inclui principalmente se o contrato é de código aberto, se houve um grande número de transações recentemente e se esse endereço tem um rótulo oficial ou um rótulo malicioso, entre outros.
6. Processamento pós-negociação
Escapar de páginas de phishing e assinaturas maliciosas não significa que tudo está resolvido; a gestão de riscos ainda é necessária após as transações.
Após a transação, deve-se verificar rapidamente a situação na cadeia da transação e confirmar se está consistente com o estado esperado no momento da assinatura. Se forem detectadas anomalias, deve-se realizar rapidamente operações de stop-loss, como transferência de ativos ou revogação de autorização.
A gestão de aprovação ERC20 também é muito importante. Em alguns casos, após os usuários autorizarem tokens em certos contratos, anos depois esses contratos foram atacados, e os atacantes aproveitaram o limite de autorização de tokens do contrato atacado para roubar os fundos dos usuários. Para evitar tais situações, recomendamos que os usuários sigam os seguintes padrões para a prevenção de riscos:
Minimização de autorização. Ao realizar a autorização de tokens, a quantidade de tokens autorizados deve ser limitada de acordo com as necessidades da transação. Se uma transação requer autorização de 100 USDT, então a quantidade autorizada deve ser limitada a 100 USDT, em vez de usar a autorização padrão sem limites.
Revogar rapidamente as autorizações de tokens desnecessárias. Os usuários podem fazer login na ferramenta de gestão de autorizações dedicada para consultar a situação das autorizações do endereço correspondente, revogar as autorizações de protocolos que não tiveram interações por um longo período, evitando que vulnerabilidades nos protocolos resultem na utilização do limite de autorização do usuário e causem perdas de ativos.
Três, estratégia de isolamento de fundos
Com a consciência de risco e a realização de uma prevenção de risco adequada, também se recomenda a realização de uma separação eficaz de fundos, a fim de reduzir o grau de perda de capital em situações extremas. As estratégias recomendadas são as seguintes:
Utilize uma carteira multi-assinatura ou uma carteira fria para armazenar grandes ativos;
Utilize uma carteira de plugin ou uma carteira EOA como carteira quente para interações diárias;
Mude regularmente o endereço da carteira quente para evitar que o endereço esteja exposto continuamente a ambientes de risco.
Se por acaso ocorrer uma situação de phishing, recomendamos que execute imediatamente as seguintes medidas para reduzir as perdas:
Usar a ferramenta de gestão de autorizações para cancelar autorizações de alto risco;
Se a assinatura do permit foi realizada, mas os ativos ainda não foram transferidos, é possível iniciar uma nova assinatura imediatamente para invalidar o nonce da assinatura antiga;
Se necessário, transfira rapidamente os ativos restantes para um novo endereço ou carteira fria.
Quatro, como participar de atividades de airdrop de forma segura
O airdrop é uma forma comum de promoção de projetos de blockchain, mas também esconde riscos. Aqui estão algumas sugestões:
Pesquisa de fundo do projeto: garantir que o projeto tenha um white paper claro, informações da equipe públicas e reputação na comunidade;
Usar um endereço dedicado: registar uma carteira e um e-mail dedicados, isolando o risco da conta principal;
Cuidado ao clicar em links: obtenha informações sobre airdrops apenas através de canais oficiais, evite clicar em links suspeitos nas plataformas sociais;
Cinco, sugestões para a escolha e utilização de ferramentas de plugins
O conteúdo do código de segurança da blockchain é extenso e pode não ser possível realizar uma verificação detalhada a cada interação. A escolha de plugins seguros é crucial, pois pode nos ajudar a fazer uma avaliação de risco. Aqui estão as recomendações específicas:
Extensões confiáveis: Utilize extensões de navegador que são amplamente utilizadas. Esses plugins oferecem funcionalidades de carteira e suportam a interação com aplicativos descentralizados.
Verificação de classificações: Antes de instalar um novo plugin, verifique as classificações dos utilizadores e o número de instalações. Classificações altas e um grande número de instalações geralmente indicam que o plugin é mais confiável, reduzindo o risco de código malicioso.
Mantenha-se atualizado: atualize regularmente os seus plugins para obter as últimas funcionalidades de segurança e correções. Plugins desatualizados podem conter vulnerabilidades conhecidas, que podem ser exploradas por atacantes.
Seis, Conclusão
Ao seguir as diretrizes de segurança de transação acima, os usuários podem interagir de forma mais tranquila em um ecossistema de blockchain cada vez mais complexo, melhorando efetivamente a capacidade de proteção dos ativos. Embora a tecnologia blockchain tenha a descentralização e a transparência como suas principais vantagens, isso também significa que os usuários devem lidar de forma independente com múltiplos riscos, incluindo phishing de assinatura, vazamento de chaves privadas e aplicativos maliciosos.
Para alcançar uma verdadeira segurança na cadeia, depender apenas de avisos de ferramentas é insuficiente; estabelecer uma consciência sistemática de segurança e hábitos operacionais é a chave. Usando carteiras de hardware, implementando estratégias de isolamento de fundos, verificando regularmente autorizações e atualizando plugins, entre outras medidas de proteção, e aplicando os princípios de "verificação múltipla, recusa de assinaturas cegas e isolamento de fundos" nas operações de negociação, é que se pode realmente conseguir "subir à cadeia de forma livre e segura".
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
9 gostos
Recompensa
9
4
Republicar
Partilhar
Comentar
0/400
mev_me_maybe
· 08-09 05:14
Não sou eu que digo, os links ainda assim fazem com que as pessoas percam dinheiro.
Ver originalResponder0
ZKSherlock
· 08-09 05:11
na verdade... a descentralização apenas transfere os riscos de segurança de cex para os usuários. não vou mentir, a matemática por trás dos zkps lidaria com isso muito melhor do que as atuais ferramentas de "detecção de riscos" smh
Ver originalResponder0
ImpermanentSage
· 08-09 05:08
A segurança em primeiro lugar, não sobra nada.
Ver originalResponder0
LiquidityWitch
· 08-09 05:03
A importância da segurança só é compreendida após a emissão da moeda.
Construir uma linha de defesa de segurança para transações pessoais na cadeia: guia completo para proteção de ativos Web3
Guia de Segurança de Transações Web3: Proteja seus ativos na cadeia
Com o contínuo desenvolvimento do ecossistema descentralizado, as transações na cadeia tornaram-se uma parte importante das operações diárias dos usuários do Web3. Os ativos dos usuários estão migrando de plataformas centralizadas para redes descentralizadas, o que significa que a responsabilidade pela segurança dos ativos também está gradualmente se transferindo das plataformas para os próprios usuários. Em um ambiente na cadeia, os usuários precisam ser responsáveis por cada interação, seja importando uma carteira, acessando aplicativos ou assinando autorizações e iniciando transações; qualquer erro em uma operação pode se tornar um risco à segurança, resultando em vazamento de chaves privadas, abuso de autorizações ou fraudes na rede, entre outras consequências graves.
Embora atualmente as principais extensões de carteira e navegadores tenham gradualmente integrado funções de identificação e alerta de riscos, enfrentar métodos de ataque cada vez mais complexos apenas com a defesa passiva das ferramentas ainda é difícil para evitar completamente os riscos. Para ajudar os usuários a identificar mais claramente os pontos de risco potenciais nas transações na cadeia, com base na experiência prática, organizamos cenários de riscos frequentes ao longo de todo o processo e, em conjunto com recomendações de proteção e dicas de uso de ferramentas, elaboramos um guia sistemático de segurança para transações na cadeia, com o objetivo de ajudar cada usuário do Web3 a construir uma linha de defesa de segurança "autônoma e controlável".
Os princípios fundamentais para transações seguras:
I. Sugestões para Transações Seguras
A negociação segura é a chave para proteger os ativos digitais. Estudos mostram que o uso de carteiras seguras e a verificação em duas etapas (2FA) podem reduzir significativamente os riscos. Aqui estão algumas recomendações específicas:
Escolha provedores de carteira de boa reputação, como carteiras de hardware ou carteiras de software conhecidas. As carteiras de hardware oferecem armazenamento offline, reduzindo o risco de ataques online, sendo adequadas para armazenar ativos de grande valor.
Antes de confirmar a transação, verifique sempre o endereço de recebimento, o montante e a rede, para evitar perdas devido a erros de entrada.
Se a plataforma de negociação ou a carteira suportar 2FA, certifique-se de ativá-la para aumentar a segurança da conta, especialmente ao usar carteiras quentes.
Não faça transações em redes Wi-Fi públicas para evitar phishing e ataques de intermediários.
Dois, como realizar transações seguras
Um processo de transação completo de uma aplicação descentralizada inclui várias etapas: instalação da carteira, acesso à aplicação, conexão da carteira, assinatura de mensagens, assinatura de transações e processamento pós-transação. Cada etapa apresenta certos riscos de segurança, e a seguir serão apresentadas as precauções a serem tomadas durante a operação.
1. Instalação da carteira:
Atualmente, a forma principal de utilização de aplicações descentralizadas é através de carteiras de plugin de navegador. Ao instalar uma carteira de plugin do Chrome, é necessário confirmar que está a ser instalada a partir da loja de aplicações oficial, evitando a instalação a partir de sites de terceiros, para prevenir a instalação de software de carteira com backdoors. Recomenda-se aos utilizadores que têm condições a utilização combinada de carteiras de hardware, para aumentar ainda mais a segurança geral na guarda das chaves privadas.
Ao instalar a frase de backup da carteira (normalmente uma frase de recuperação de 12-24 palavras), recomenda-se armazená-la em um local físico seguro, longe de dispositivos digitais.
2. Aceder à aplicação
A pesca na web é uma técnica comum em ataques Web3. Um caso típico é induzir os usuários a visitar aplicações de phishing sob o pretexto de airdrops, levando-os a assinar autorizações de token, transações de transferência ou assinaturas de autorização de token após conectarem suas carteiras, resultando em perdas de ativos.
Portanto, ao acessar o aplicativo, os usuários devem permanecer vigilantes e evitar cair nas armadilhas de phishing na web.
Antes de acessar o aplicativo, confirme a correção do URL. Sugestão:
Ao abrir a página da aplicação, também é necessário realizar uma verificação de segurança na barra de endereços:
Atualmente, as principais carteiras de plugins disponíveis no mercado também integram uma certa funcionalidade de aviso de risco, que pode exibir um forte alerta ao acessar sites de risco.
3. Conectar carteira
Após entrar no aplicativo, pode ser que a operação de conectar a carteira seja acionada automaticamente ou após clicar ativamente em Conectar. A carteira de plugin fará algumas verificações e exibirá informações relacionadas ao aplicativo atual.
Após conectar a carteira, normalmente, quando o usuário não realiza outras operações, o aplicativo não ativa proativamente a carteira de plug-in. Se o site frequentemente solicitar que a carteira assine mensagens ou transações após o login, e mesmo após recusar a assinatura, continuar a aparecer pop-ups para assinatura, é muito provável que se trate de um site de phishing, e deve-se ter cautela.
4. Assinatura de Mensagem
Em situações extremas, como quando atacantes atacam o site oficial do protocolo ou realizam ataques de sequestro na interface, substituindo o conteúdo da página. É difícil para usuários comuns identificarem a segurança do site em tais cenários.
Neste momento, a assinatura da carteira de plugins é a última barreira que protege os ativos do usuário. Desde que se recuse a assinaturas maliciosas, é possível garantir que seus ativos não sejam perdidos. O usuário deve revisar cuidadosamente o conteúdo da assinatura ao assinar qualquer mensagem ou transação e recusar assinaturas automáticas, evitando assim perdas de ativos.
5. Assinatura de Transação
A assinatura da transação é utilizada para autorizar transações na cadeia, como transferências ou chamadas de contratos inteligentes. O usuário assina com a chave privada, e a rede valida a eficácia da transação. Atualmente, muitas carteiras de plugin decodificam mensagens a serem assinadas e exibem o conteúdo relevante; é imprescindível seguir o princípio de não assinar cegamente. Sugestões de segurança:
Para os usuários com um certo nível de conhecimento técnico, também podem usar alguns métodos comuns de verificação manual: revisar o endereço do contrato interativo copiado no explorador de blockchain, onde o conteúdo da revisão inclui principalmente se o contrato é de código aberto, se houve um grande número de transações recentemente e se esse endereço tem um rótulo oficial ou um rótulo malicioso, entre outros.
6. Processamento pós-negociação
Escapar de páginas de phishing e assinaturas maliciosas não significa que tudo está resolvido; a gestão de riscos ainda é necessária após as transações.
Após a transação, deve-se verificar rapidamente a situação na cadeia da transação e confirmar se está consistente com o estado esperado no momento da assinatura. Se forem detectadas anomalias, deve-se realizar rapidamente operações de stop-loss, como transferência de ativos ou revogação de autorização.
A gestão de aprovação ERC20 também é muito importante. Em alguns casos, após os usuários autorizarem tokens em certos contratos, anos depois esses contratos foram atacados, e os atacantes aproveitaram o limite de autorização de tokens do contrato atacado para roubar os fundos dos usuários. Para evitar tais situações, recomendamos que os usuários sigam os seguintes padrões para a prevenção de riscos:
Três, estratégia de isolamento de fundos
Com a consciência de risco e a realização de uma prevenção de risco adequada, também se recomenda a realização de uma separação eficaz de fundos, a fim de reduzir o grau de perda de capital em situações extremas. As estratégias recomendadas são as seguintes:
Se por acaso ocorrer uma situação de phishing, recomendamos que execute imediatamente as seguintes medidas para reduzir as perdas:
Quatro, como participar de atividades de airdrop de forma segura
O airdrop é uma forma comum de promoção de projetos de blockchain, mas também esconde riscos. Aqui estão algumas sugestões:
Cinco, sugestões para a escolha e utilização de ferramentas de plugins
O conteúdo do código de segurança da blockchain é extenso e pode não ser possível realizar uma verificação detalhada a cada interação. A escolha de plugins seguros é crucial, pois pode nos ajudar a fazer uma avaliação de risco. Aqui estão as recomendações específicas:
Seis, Conclusão
Ao seguir as diretrizes de segurança de transação acima, os usuários podem interagir de forma mais tranquila em um ecossistema de blockchain cada vez mais complexo, melhorando efetivamente a capacidade de proteção dos ativos. Embora a tecnologia blockchain tenha a descentralização e a transparência como suas principais vantagens, isso também significa que os usuários devem lidar de forma independente com múltiplos riscos, incluindo phishing de assinatura, vazamento de chaves privadas e aplicativos maliciosos.
Para alcançar uma verdadeira segurança na cadeia, depender apenas de avisos de ferramentas é insuficiente; estabelecer uma consciência sistemática de segurança e hábitos operacionais é a chave. Usando carteiras de hardware, implementando estratégias de isolamento de fundos, verificando regularmente autorizações e atualizando plugins, entre outras medidas de proteção, e aplicando os princípios de "verificação múltipla, recusa de assinaturas cegas e isolamento de fundos" nas operações de negociação, é que se pode realmente conseguir "subir à cadeia de forma livre e segura".