Guia de Segurança para Transações na cadeia de Usuários Web3
À medida que o ecossistema blockchain continua a se desenvolver, as transações na cadeia tornaram-se uma parte importante das operações diárias dos usuários de Web3. Os ativos dos usuários estão gradualmente se transferindo de plataformas centralizadas para redes descentralizadas, e essa tendência também significa que a responsabilidade pela segurança dos ativos está se deslocando das plataformas para os próprios usuários. No ambiente na cadeia, os usuários precisam ser responsáveis por cada interação, seja importando uma carteira, acessando aplicativos descentralizados, ou assinando autorizações e iniciando transações; qualquer operação descuidada pode resultar em riscos de segurança, levando a vazamentos de chaves privadas, abuso de autorizações ou ataques de phishing, entre outras consequências graves.
Apesar de os principais plugins de carteira e navegadores estarem gradualmente a integrar funcionalidades como reconhecimento de phishing e alertas de risco, face a métodos de ataque cada vez mais complexos, depender apenas da defesa passiva das ferramentas ainda é difícil para evitar completamente os riscos. Para ajudar os usuários a identificar melhor os potenciais pontos de risco nas transações na cadeia, com base na experiência prática, organizamos cenários de risco frequentes em todo o processo e, juntamente com recomendações de proteção e dicas de uso de ferramentas, elaboramos um guia sistemático de segurança para transações na cadeia, com o objetivo de ajudar cada usuário do Web3 a construir uma linha de defesa "autônoma e controlável".
Princípios fundamentais para transações seguras:
Recusar a assinatura cega: Não assine transações ou mensagens que não compreenda.
Verificação repetida: Antes de realizar qualquer transação, é essencial verificar a precisão das informações relacionadas várias vezes.
Um, Sugestões para Transações Seguras
Transações seguras são a chave para proteger ativos digitais. Estudos mostram que usar uma carteira segura e a autenticação de dois fatores (2FA) pode reduzir significativamente o risco. Aqui estão algumas recomendações específicas:
Usar uma carteira segura:
Escolha fornecedores de carteiras com boa reputação, como carteiras de hardware ou carteiras de software conhecidas. As carteiras de hardware oferecem armazenamento offline, reduzindo o risco de ataques online, sendo adequadas para armazenar grandes ativos.
Verifique os detalhes da transação novamente:
Antes de confirmar a transação, verifique sempre o endereço de recebimento, o montante e a rede (por exemplo, certifique-se de que está a utilizar a cadeia correta, como Ethereum ou outras cadeias compatíveis, etc.), para evitar perdas devido a erros de entrada.
Ativar a verificação em duas etapas (2FA):
Se a plataforma de negociação ou a carteira suportar 2FA, certifique-se de ativá-lo para aumentar a segurança da conta, especialmente ao usar carteiras quentes.
Evite usar Wi-Fi público:
Não faça transações em redes Wi-Fi públicas para evitar ataques de phishing e ataques de intermediários.
Dois, como realizar transações seguras
Um processo completo de transação de aplicações descentralizadas inclui várias etapas: instalação da carteira, acesso à aplicação, conexão da carteira, assinatura de mensagens, assinatura de transações e processamento pós-transação. Cada etapa apresenta certos riscos de segurança, e a seguir serão apresentadas as precauções a serem tomadas durante a operação real.
1. Instalação da carteira:
Atualmente, a forma principal de interação com aplicações descentralizadas é através de carteiras de extensão de navegador. As carteiras mais utilizadas na Ethereum e em cadeias compatíveis incluem várias opções.
Ao instalar a carteira do plugin Chrome, é necessário confirmar que está a descarregar a partir da loja oficial de aplicações, evitando a instalação a partir de sites de terceiros, para prevenir a instalação de software de carteira com backdoors. Recomenda-se aos utilizadores que têm condições que utilizem em conjunto uma carteira de hardware, para aumentar ainda mais a segurança geral na guarda das chaves privadas.
Ao instalar a frase-semente de backup da carteira (geralmente uma frase de recuperação de 12-24 palavras), recomenda-se armazená-la em um local seguro, longe de dispositivos digitais (por exemplo, escrevendo-a em papel e guardando-a em um cofre).
2. Aceder a aplicações descentralizadas
A pesca na web é uma técnica comum em ataques Web3. Um caso típico é induzir os usuários a visitar aplicações de phishing sob o pretexto de airdrops, levando-os a assinar autorizações de tokens, transações de transferência ou assinaturas de autorização de tokens após conectarem suas carteiras, resultando em perdas de ativos.
Assim, ao acessar aplicações descentralizadas, os usuários precisam manter-se vigilantes para evitar cair nas armadilhas de phishing na web.
Antes de acessar o aplicativo, verifique a correção do endereço da web. Sugestão:
Evite aceder diretamente através de motores de busca: atacantes de phishing podem fazer com que os seus sites de phishing tenham uma classificação elevada ao comprar espaço publicitário.
Evite clicar em links nas redes sociais: os endereços publicados em comentários ou mensagens podem ser links de phishing.
Confirme repetidamente a correção do URL da aplicação: pode ser verificado através de várias plataformas de dados confiáveis, contas oficiais de redes sociais do projeto, entre outros.
Adicione o site seguro aos favoritos do navegador: acesse diretamente a partir dos favoritos posteriormente.
Após abrir a página da aplicação, também é necessário realizar uma verificação de segurança na barra de endereços:
Verifique se o domínio e o URL parecem falsificados.
Verifique se é um link HTTPS, o navegador deve exibir o ícone de cadeado 🔒.
Atualmente, as principais carteiras de plugin disponíveis no mercado também integram uma certa funcionalidade de aviso de risco, que pode exibir um forte aviso ao acessar sites de risco.
3. Conectar carteira
Após entrar na aplicação, pode ser que a operação de conectar a carteira seja acionada automaticamente ou após clicar ativamente em Conectar. A carteira de plugin realizará algumas verificações e apresentará informações relacionadas à aplicação atual.
Após conectar a carteira, normalmente, quando o usuário não realiza outras operações, o aplicativo não invocará ativamente a carteira de plugin. Se o site frequentemente solicitar a assinatura de mensagens ou a assinatura de transações após o login, e mesmo após recusar a assinatura continuar a aparecer janelas para assinar, é muito provável que se trate de um site de phishing, e deve-se ter cautela.
4. Assinatura de Mensagem
Em situações extremas, como quando um atacante ataca o site oficial do protocolo ou utiliza ataques de sequestro na interface, substituindo o conteúdo da página. É difícil para um usuário comum identificar a segurança do site em tais cenários.
Neste momento, a assinatura da carteira de plugin é a última barreira que os usuários têm para proteger os seus próprios ativos. Desde que se recusem a aceitar assinaturas maliciosas, podem garantir que os seus ativos não sejam perdidos. Os usuários devem examinar cuidadosamente o conteúdo da assinatura ao assinar qualquer mensagem e transação, recusando assinaturas cegas, para evitar perdas de ativos.
Os tipos de assinatura mais comuns incluem:
eth_sign: assinar dados de hash.
personal_sign: Assinar informações em texto claro, sendo mais comum durante a verificação de login do usuário ou confirmação de acordos de permissão.
eth_signTypedData (EIP-712): assina dados estruturados, comumente usado para o Permit ERC20, listagens de NFT, etc.
5. Assinatura de Transação
A assinatura da transação é usada para autorizar transações na cadeia, como transferências ou chamadas de contratos inteligentes. O usuário assina com a chave privada, e a rede verifica a validade da transação. Atualmente, muitas carteiras de plugins decodificam as mensagens a serem assinadas e exibem o conteúdo relevante, é essencial seguir o princípio de não assinar cegamente. Recomendações de segurança:
Verifique cuidadosamente o endereço do destinatário, o montante e a rede para evitar erros.
Recomenda-se a assinatura offline para transações de grande valor, a fim de reduzir o risco de ataques online.
Atenção às taxas de gas, assegure-se de que são razoáveis, evite fraudes.
Para utilizadores com alguma capacidade técnica, também podem usar alguns métodos comuns de verificação manual: copiar o endereço do contrato de interação para o explorador da blockchain e realizar uma auditoria. O conteúdo da auditoria inclui principalmente se o contrato é de código aberto, se houve um grande número de transações recentemente e se o endereço recebeu uma etiqueta oficial ou uma etiqueta maliciosa.
6. Processamento pós-negócio
Escapar de páginas de phishing e assinaturas maliciosas não significa que tudo está bem; a gestão de riscos ainda é necessária após a negociação.
Após a transação, deve-se verificar rapidamente a situação na cadeia da transação, confirmando se está de acordo com o estado previsto no momento da assinatura. Se forem detectadas anomalias, deve-se realizar imediatamente operações de mitigação, como transferência de ativos e revogação de autorização.
A aprovação ERC20 e a gestão de autorizações são também muito importantes. Em alguns casos, após os usuários autorizarem tokens para certos contratos, esses contratos foram atacados anos depois, e os atacantes usaram os limites de autorização de tokens dos contratos atacados para roubar os fundos dos usuários. Para evitar tais situações, recomendamos que os usuários sigam os seguintes padrões para a mitigação de riscos:
Minimizar a autorização. Ao realizar a autorização de tokens, a quantidade de tokens autorizados deve ser limitada de acordo com a necessidade da transação. Se uma transação exigir a autorização de 100 USDT, a quantidade autorizada deve ser limitada a 100 USDT, e não deve ser utilizada a autorização padrão ilimitada.
Revogue rapidamente as autorizações de tokens desnecessárias. Os usuários podem fazer login nas ferramentas relevantes para verificar a situação de autorização do endereço correspondente, revogar as autorizações de protocolos que não tiveram interação por um longo período, evitando que vulnerabilidades nos protocolos causem perdas de ativos devido à utilização do limite de autorização do usuário.
Três, Estratégia de Isolamento de Fundos
Na presença de consciência de risco e tendo realizado uma prevenção de riscos adequada, também se recomenda a realização de uma eficaz separação de fundos, a fim de reduzir o nível de perda de fundos em situações extremas. As estratégias recomendadas são as seguintes:
Use uma carteira multi-assinatura ou uma carteira fria para armazenar ativos de grande valor;
Usar uma carteira de plugin ou uma carteira EOA como carteira quente para interações diárias;
Mude regularmente o endereço da carteira quente para evitar que o endereço fique exposto a ambientes de risco.
Se, por acaso, realmente ocorrer uma situação de phishing, recomendamos que execute imediatamente as seguintes medidas para reduzir as perdas:
Utilize ferramentas relevantes para cancelar autorizações de alto risco;
Se uma assinatura de permit foi assinada, mas os ativos ainda não foram transferidos, pode-se iniciar uma nova assinatura imediatamente para tornar a nonce da assinatura antiga inválida;
Se necessário, transfira rapidamente os ativos restantes para um novo endereço ou carteira fria.
Quatro, como participar com segurança em atividades de airdrop
As airdrops são uma forma comum de promoção de projetos de blockchain, mas também escondem riscos. Aqui estão algumas sugestões:
Pesquisa de fundo do projeto: garantir que o projeto tenha um white paper claro, informações da equipe públicas e uma boa reputação na comunidade;
Usar endereços dedicados: registre uma carteira e um e-mail dedicados, isolando o risco da conta principal;
Clique com cautela nos links: obtenha informações sobre a airdrop apenas através de canais oficiais, evite clicar em links suspeitos nas plataformas sociais;
V. Seleção e recomendações de uso das ferramentas de plugin
O conteúdo das diretrizes de segurança da blockchain é extenso, e pode não ser possível realizar uma verificação detalhada em cada interação. Escolher plugins seguros é crucial, pois pode nos ajudar a fazer julgamentos de risco. Abaixo estão as recomendações específicas:
Extensões confiáveis: use extensões de navegador amplamente utilizadas. Esses plugins oferecem funcionalidades de carteira e suportam interações com aplicações descentralizadas.
Verificação da classificação: Antes de instalar um novo plugin, verifique a classificação dos usuários e o número de instalações. Uma alta classificação e um grande número de instalações geralmente indicam que o plugin é mais confiável, reduzindo o risco de código malicioso.
Mantenha-se atualizado: atualize regularmente os seus plugins para obter as últimas funcionalidades de segurança e correções. Plugins desatualizados podem conter vulnerabilidades conhecidas, que podem ser facilmente exploradas por atacantes.
Seis, Conclusão
Ao seguir as diretrizes de segurança para transações acima mencionadas, os usuários podem interagir com mais confiança em um ecossistema de blockchain cada vez mais complexo, melhorando efetivamente a capacidade de proteção dos ativos. Embora a tecnologia blockchain tenha como principais vantagens a descentralização e a transparência, isso também significa que os usuários precisam lidar de forma independente com múltiplos riscos, incluindo phishing de assinatura, vazamento de chaves privadas e aplicativos maliciosos.
Para alcançar uma verdadeira segurança na cadeia, depender apenas de ferramentas de alerta não é suficiente; é fundamental estabelecer uma consciência de segurança e hábitos operacionais sistemáticos. Através do uso de carteiras de hardware, implementação de estratégias de isolamento de fundos, verificação regular de autorizações e atualização de plugins, entre outras medidas de proteção, e ao incorporar na operação de transações o conceito de "múltiplas verificações, recusa de assinaturas cegas e isolamento de fundos", é possível realmente "subir na cadeia com liberdade e segurança".
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
10 Curtidas
Recompensa
10
4
Repostar
Compartilhar
Comentário
0/400
DeFiChef
· 07-27 15:22
A Carteira também pode ser uma armadilha, todos devem ter cuidado.
Ver originalResponder0
governance_ghost
· 07-25 13:11
Tudo tem que depender de nós, estou muito nervoso.
Ver originalResponder0
SchrodingerAirdrop
· 07-25 13:09
Não se preocupe com a segurança, é só avançar!
Ver originalResponder0
StrawberryIce
· 07-25 13:02
Estudar é estudar, cair nas armadilhas é outra coisa~
Dominar a segurança das transações em Blockchain e construir um sistema de defesa de ativos Web3
Guia de Segurança para Transações na cadeia de Usuários Web3
À medida que o ecossistema blockchain continua a se desenvolver, as transações na cadeia tornaram-se uma parte importante das operações diárias dos usuários de Web3. Os ativos dos usuários estão gradualmente se transferindo de plataformas centralizadas para redes descentralizadas, e essa tendência também significa que a responsabilidade pela segurança dos ativos está se deslocando das plataformas para os próprios usuários. No ambiente na cadeia, os usuários precisam ser responsáveis por cada interação, seja importando uma carteira, acessando aplicativos descentralizados, ou assinando autorizações e iniciando transações; qualquer operação descuidada pode resultar em riscos de segurança, levando a vazamentos de chaves privadas, abuso de autorizações ou ataques de phishing, entre outras consequências graves.
Apesar de os principais plugins de carteira e navegadores estarem gradualmente a integrar funcionalidades como reconhecimento de phishing e alertas de risco, face a métodos de ataque cada vez mais complexos, depender apenas da defesa passiva das ferramentas ainda é difícil para evitar completamente os riscos. Para ajudar os usuários a identificar melhor os potenciais pontos de risco nas transações na cadeia, com base na experiência prática, organizamos cenários de risco frequentes em todo o processo e, juntamente com recomendações de proteção e dicas de uso de ferramentas, elaboramos um guia sistemático de segurança para transações na cadeia, com o objetivo de ajudar cada usuário do Web3 a construir uma linha de defesa "autônoma e controlável".
Princípios fundamentais para transações seguras:
Um, Sugestões para Transações Seguras
Transações seguras são a chave para proteger ativos digitais. Estudos mostram que usar uma carteira segura e a autenticação de dois fatores (2FA) pode reduzir significativamente o risco. Aqui estão algumas recomendações específicas:
Escolha fornecedores de carteiras com boa reputação, como carteiras de hardware ou carteiras de software conhecidas. As carteiras de hardware oferecem armazenamento offline, reduzindo o risco de ataques online, sendo adequadas para armazenar grandes ativos.
Antes de confirmar a transação, verifique sempre o endereço de recebimento, o montante e a rede (por exemplo, certifique-se de que está a utilizar a cadeia correta, como Ethereum ou outras cadeias compatíveis, etc.), para evitar perdas devido a erros de entrada.
Se a plataforma de negociação ou a carteira suportar 2FA, certifique-se de ativá-lo para aumentar a segurança da conta, especialmente ao usar carteiras quentes.
Não faça transações em redes Wi-Fi públicas para evitar ataques de phishing e ataques de intermediários.
Dois, como realizar transações seguras
Um processo completo de transação de aplicações descentralizadas inclui várias etapas: instalação da carteira, acesso à aplicação, conexão da carteira, assinatura de mensagens, assinatura de transações e processamento pós-transação. Cada etapa apresenta certos riscos de segurança, e a seguir serão apresentadas as precauções a serem tomadas durante a operação real.
1. Instalação da carteira:
Atualmente, a forma principal de interação com aplicações descentralizadas é através de carteiras de extensão de navegador. As carteiras mais utilizadas na Ethereum e em cadeias compatíveis incluem várias opções.
Ao instalar a carteira do plugin Chrome, é necessário confirmar que está a descarregar a partir da loja oficial de aplicações, evitando a instalação a partir de sites de terceiros, para prevenir a instalação de software de carteira com backdoors. Recomenda-se aos utilizadores que têm condições que utilizem em conjunto uma carteira de hardware, para aumentar ainda mais a segurança geral na guarda das chaves privadas.
Ao instalar a frase-semente de backup da carteira (geralmente uma frase de recuperação de 12-24 palavras), recomenda-se armazená-la em um local seguro, longe de dispositivos digitais (por exemplo, escrevendo-a em papel e guardando-a em um cofre).
2. Aceder a aplicações descentralizadas
A pesca na web é uma técnica comum em ataques Web3. Um caso típico é induzir os usuários a visitar aplicações de phishing sob o pretexto de airdrops, levando-os a assinar autorizações de tokens, transações de transferência ou assinaturas de autorização de tokens após conectarem suas carteiras, resultando em perdas de ativos.
Assim, ao acessar aplicações descentralizadas, os usuários precisam manter-se vigilantes para evitar cair nas armadilhas de phishing na web.
Antes de acessar o aplicativo, verifique a correção do endereço da web. Sugestão:
Após abrir a página da aplicação, também é necessário realizar uma verificação de segurança na barra de endereços:
Atualmente, as principais carteiras de plugin disponíveis no mercado também integram uma certa funcionalidade de aviso de risco, que pode exibir um forte aviso ao acessar sites de risco.
3. Conectar carteira
Após entrar na aplicação, pode ser que a operação de conectar a carteira seja acionada automaticamente ou após clicar ativamente em Conectar. A carteira de plugin realizará algumas verificações e apresentará informações relacionadas à aplicação atual.
Após conectar a carteira, normalmente, quando o usuário não realiza outras operações, o aplicativo não invocará ativamente a carteira de plugin. Se o site frequentemente solicitar a assinatura de mensagens ou a assinatura de transações após o login, e mesmo após recusar a assinatura continuar a aparecer janelas para assinar, é muito provável que se trate de um site de phishing, e deve-se ter cautela.
4. Assinatura de Mensagem
Em situações extremas, como quando um atacante ataca o site oficial do protocolo ou utiliza ataques de sequestro na interface, substituindo o conteúdo da página. É difícil para um usuário comum identificar a segurança do site em tais cenários.
Neste momento, a assinatura da carteira de plugin é a última barreira que os usuários têm para proteger os seus próprios ativos. Desde que se recusem a aceitar assinaturas maliciosas, podem garantir que os seus ativos não sejam perdidos. Os usuários devem examinar cuidadosamente o conteúdo da assinatura ao assinar qualquer mensagem e transação, recusando assinaturas cegas, para evitar perdas de ativos.
Os tipos de assinatura mais comuns incluem:
5. Assinatura de Transação
A assinatura da transação é usada para autorizar transações na cadeia, como transferências ou chamadas de contratos inteligentes. O usuário assina com a chave privada, e a rede verifica a validade da transação. Atualmente, muitas carteiras de plugins decodificam as mensagens a serem assinadas e exibem o conteúdo relevante, é essencial seguir o princípio de não assinar cegamente. Recomendações de segurança:
Para utilizadores com alguma capacidade técnica, também podem usar alguns métodos comuns de verificação manual: copiar o endereço do contrato de interação para o explorador da blockchain e realizar uma auditoria. O conteúdo da auditoria inclui principalmente se o contrato é de código aberto, se houve um grande número de transações recentemente e se o endereço recebeu uma etiqueta oficial ou uma etiqueta maliciosa.
6. Processamento pós-negócio
Escapar de páginas de phishing e assinaturas maliciosas não significa que tudo está bem; a gestão de riscos ainda é necessária após a negociação.
Após a transação, deve-se verificar rapidamente a situação na cadeia da transação, confirmando se está de acordo com o estado previsto no momento da assinatura. Se forem detectadas anomalias, deve-se realizar imediatamente operações de mitigação, como transferência de ativos e revogação de autorização.
A aprovação ERC20 e a gestão de autorizações são também muito importantes. Em alguns casos, após os usuários autorizarem tokens para certos contratos, esses contratos foram atacados anos depois, e os atacantes usaram os limites de autorização de tokens dos contratos atacados para roubar os fundos dos usuários. Para evitar tais situações, recomendamos que os usuários sigam os seguintes padrões para a mitigação de riscos:
Três, Estratégia de Isolamento de Fundos
Na presença de consciência de risco e tendo realizado uma prevenção de riscos adequada, também se recomenda a realização de uma eficaz separação de fundos, a fim de reduzir o nível de perda de fundos em situações extremas. As estratégias recomendadas são as seguintes:
Se, por acaso, realmente ocorrer uma situação de phishing, recomendamos que execute imediatamente as seguintes medidas para reduzir as perdas:
Quatro, como participar com segurança em atividades de airdrop
As airdrops são uma forma comum de promoção de projetos de blockchain, mas também escondem riscos. Aqui estão algumas sugestões:
V. Seleção e recomendações de uso das ferramentas de plugin
O conteúdo das diretrizes de segurança da blockchain é extenso, e pode não ser possível realizar uma verificação detalhada em cada interação. Escolher plugins seguros é crucial, pois pode nos ajudar a fazer julgamentos de risco. Abaixo estão as recomendações específicas:
Seis, Conclusão
Ao seguir as diretrizes de segurança para transações acima mencionadas, os usuários podem interagir com mais confiança em um ecossistema de blockchain cada vez mais complexo, melhorando efetivamente a capacidade de proteção dos ativos. Embora a tecnologia blockchain tenha como principais vantagens a descentralização e a transparência, isso também significa que os usuários precisam lidar de forma independente com múltiplos riscos, incluindo phishing de assinatura, vazamento de chaves privadas e aplicativos maliciosos.
Para alcançar uma verdadeira segurança na cadeia, depender apenas de ferramentas de alerta não é suficiente; é fundamental estabelecer uma consciência de segurança e hábitos operacionais sistemáticos. Através do uso de carteiras de hardware, implementação de estratégias de isolamento de fundos, verificação regular de autorizações e atualização de plugins, entre outras medidas de proteção, e ao incorporar na operação de transações o conceito de "múltiplas verificações, recusa de assinaturas cegas e isolamento de fundos", é possível realmente "subir na cadeia com liberdade e segurança".