Руководство по безопасности транзакций пользователей Web3 в блокчейне
С развитием экосистемы блокчейна, транзакции в блокчейне стали важной частью повседневной деятельности пользователей Web3. Активы пользователей постепенно перемещаются с централизованных платформ на децентрализованные сети, и эта тенденция также означает, что ответственность за безопасность активов переходит от платформы к самим пользователям. В блокчейн-среде пользователи должны нести ответственность за каждое взаимодействие, будь то импорт кошелька, доступ к децентрализованным приложениям или подписание авторизации и инициирование транзакций; любое неосторожное действие может привести к угрозам безопасности, таким как утечка личных ключей, злоупотребление авторизацией или серьезные последствия в результате фишинговых атак.
Несмотря на то, что в настоящее время основные плагины для кошельков и браузеры постепенно интегрируют функции распознавания фишинга, предупреждения о рисках и т. д., полагаться только на пассивную защиту инструментов все еще сложно для полного избегания рисков в условиях все более сложных методов атак. Чтобы помочь пользователям лучше идентифицировать потенциальные рисковые точки в цепочных транзакциях, мы на основе практического опыта собрали высокочастотные сценарии рисков по всему процессу и, сочетая их с рекомендациями по защите и советами по использованию инструментов, разработали систематическое руководство по безопасности цепочных транзакций, целью которого является помощь каждому пользователю Web3 в создании "самообеспечиваемой" линии безопасности.
Основные принципы безопасной торговли:
Отказ от слепой подписи: не подписывайте сделки или сообщения, которые вы не понимаете.
Многократная проверка: перед выполнением любой транзакции обязательно многократно проверяйте точность соответствующей информации.
Один, рекомендации по безопасной торговле
Безопасная торговля является ключом к защите цифровых активов. Исследования показывают, что использование безопасных кошельков и двухфакторной аутентификации (2FA) может значительно снизить риски. Вот конкретные рекомендации:
Используйте безопасный кошелек:
Выберите надежного поставщика кошельков, такого как аппаратные кошельки или известные программные кошельки. Аппаратные кошельки обеспечивают оффлайн-хранение, что уменьшает риск онлайн-атак и подходит для хранения крупных активов.
Дважды проверьте детали транзакции:
Перед подтверждением транзакции всегда проверяйте адрес получателя, сумму и сеть (например, убедитесь, что вы используете правильный в блокчейне, такой как Эфириум или другие совместимые цепочки и т.д.), чтобы избежать потерь из-за ошибок ввода.
Включите двухфакторную аутентификацию (2FA):
Если торговая платформа или кошелек поддерживают 2FA, обязательно включите его для повышения безопасности аккаунта, особенно при использовании горячего кошелька.
Избегайте использования общественного Wi-Fi:
Не проводите сделки в общедоступных сетях Wi-Fi, чтобы предотвратить атаки фишинга и атаки посредников.
Два, как проводить безопасные сделки
Полный процесс транзакции децентрализованного приложения включает несколько этапов: установка кошелька, доступ к приложению, подключение кошелька, подпись сообщения, подпись транзакции, обработка после транзакции. На каждом этапе существуют определенные риски безопасности, ниже будут последовательно изложены рекомендации по безопасному выполнению операций.
1. Установка кошелька:
В настоящее время основным способом использования децентрализованных приложений является взаимодействие через браузерные плагин-кошельки. Основные кошельки, используемые в Ethereum и совместимых цепочках, включают в себя несколько вариантов.
При установке кошелька расширения Chrome необходимо убедиться, что вы скачиваете и устанавливаете его из официального магазина приложений, чтобы избежать установки кошелька с задними дверями с третьих сайтов. Пользователям, имеющим возможность, рекомендуется комбинировать использование аппаратного кошелька для повышения общей безопасности хранения частных ключей.
При установке кошелька и резервном копировании семенной фразы (обычно состоящей из 12-24 слов) рекомендуется хранить ее в безопасном месте, вдали от цифровых устройств (например, записать на бумаге и хранить в сейфе).
2. Доступ к децентрализованным приложениям
Фишинг в вебе является распространённым методом атак в Web3. Типичный случай заключается в том, чтобы под предлогом аирдропа заставить пользователей посетить фишинговое приложение, после чего, когда пользователь подключит кошелёк, его побуждают подписать авторизацию токенов, совершить перевод или подписать авторизацию токенов, что приводит к потере активов.
Поэтому при доступе к децентрализованным приложениям пользователям необходимо быть внимательными, чтобы избежать ловушек веб-фишинга.
Перед доступом к приложению следует подтвердить правильность URL-адреса. Рекомендуется:
Избегайте прямого доступа через поисковые системы: злоумышленники могут поднять свои фишинговые сайты в рейтинге, покупая рекламные места.
Избегайте нажатия на ссылки в социальных сетях: URL-адреса, опубликованные в комментариях или сообщениях, могут быть фишинговыми.
Повторно проверьте правильность адреса приложения: это можно сделать с помощью нескольких надежных данных платформ, официальных аккаунтов проектов в социальных сетях и других источников.
Добавьте безопасный сайт в закладки браузера: в дальнейшем можно будет напрямую заходить из закладок.
После открытия веб-страницы приложения также необходимо провести проверку безопасности адресной строки:
Проверьте, похожи ли доменное имя и URL на подделку.
Проверьте, является ли ссылка HTTPS, браузер должен отображать значок замка🔒.
В настоящее время основные кошельки-плагины на рынке также интегрировали определенные функции предупреждения о рисках, которые могут отображать сильное предупреждение при доступе к рискованным веб-сайтам.
3. Подключить кошелек
После входа в приложение может автоматически или после активного нажатия на "Connect" произойти подключение кошелька. Плагин-кошелек проведет некоторые проверки и отобразит информацию для текущего приложения.
После подключения кошелька приложение обычно не будет активно вызывать плагин-кошелек, если пользователь не выполняет других действий. Если сайт после входа в систему часто вызывает кошелек для запроса подписи сообщения, подписания транзакции или даже продолжает всплывать с запросами на подпись после отказа, то это также может быть признаком фишинга, и необходимо проявлять осторожность.
4. Подпись сообщения
В экстремальных случаях, например, если злоумышленник атаковал официальный сайт протокола или провел такие атаки, как захват переднего конца, и изменил содержимое страницы. Обычному пользователю очень трудно в такой ситуации определить безопасность сайта.
В этот момент подпись плагина-кошелька является последним барьером для пользователей, защищающим их активы. Достаточно отклонить злонамеренные подписи, чтобы гарантировать сохранность собственных активов. Пользователи должны тщательно проверять содержание подписи при подписании любых сообщений и сделок, отклонять слепые подписи, чтобы избежать потери активов.
Распространенные типы подписей включают:
eth_sign: Подпись хэшированных данных.
personal_sign: Подпись открытой информации, наиболее часто встречается при проверке входа пользователя или подтверждении лицензионного соглашения.
eth_signTypedData (EIP-712): подпись структурированных данных, часто используется для Permit ERC20, размещения NFT и т.д.
5. Подпись транзакции
Подпись транзакции используется для авторизации транзакций в блокчейне, таких как переводы или вызов смарт-контрактов. Пользователь подписывает с помощью приватного ключа, сеть проверяет действительность транзакции. В настоящее время многие плагин-кошельки декодируют ожидающие подписи сообщения и показывают соответствующее содержание, обязательно следуйте принципу "не подписывать вслепую", рекомендации по безопасности:
Тщательно проверьте адрес получателя, сумму и сеть, чтобы избежать ошибок.
Рекомендуется использовать офлайн-подпись для крупных сделок, чтобы снизить риск онлайн-атак.
Обратите внимание на газовые сборы, убедитесь, что они разумны, чтобы избежать мошенничества.
Для пользователей с определёнными техническими знаниями также можно использовать некоторые распространённые методы ручной проверки: скопировать адрес целевого контракта взаимодействия в браузер блокчейна для проверки. Основное внимание следует уделить таким аспектам, как является ли контракт открытым исходным кодом, были ли в последнее время крупные транзакции и есть ли у этого адреса официальный или злонамеренный ярлык.
6. Постобработка сделок
Избежав фишинговых страниц и вредоносных подписей, не значит, что все в порядке; после сделки также необходимо проводить управление рисками.
После сделки следует своевременно проверить статус транзакции в блокчейне и подтвердить, соответствует ли он ожидаемому состоянию на момент подписания. Если обнаружены аномалии, необходимо быстро произвести операции по переводу активов, аннулированию полномочий и другим мерам по ограничению убытков.
Управление одобрением ERC20 также очень важно. В некоторых случаях пользователи давали токены разрешения определенным контрактам, а спустя много лет эти контракты подверглись атаке, и злоумышленники использовали лимит токенов, предоставленный атакованным контрактом, чтобы похитить средства пользователей. Чтобы избежать таких ситуаций, мы рекомендуем пользователям следовать следующим стандартам для предотвращения рисков:
Минимизация авторизации. При проведении авторизации токенов следует ограничить количество авторизованных токенов в соответствии с потребностями сделки. Если для сделки требуется авторизация 100 USDT, то количество авторизации должно быть ограничено 100 USDT, а не использовать стандартную неограниченную авторизацию.
Своевременно отменяйте ненужные авторизации токенов. Пользователи могут войти в соответствующие инструменты, чтобы проверить статус авторизации по соответствующим адресам, отменить авторизацию протоколов, которые долгое время не взаимодействовали, чтобы предотвратить возможность использования авторизационных лимитов пользователей и потери активов из-за уязвимостей протоколов.
При наличии осознания рисков и достаточных мер по предотвращению рисков также рекомендуется проводить эффективное разделение средств, чтобы в экстремальных ситуациях снизить степень потерь. Рекомендуемая стратегия такова:
Используйте мультиподписной кошелек или холодный кошелек для хранения крупных активов;
Используйте плагин-кошелек или EOA-кошелек в качестве горячего кошелька для повседневного взаимодействия;
Регулярно меняйте адреса горячих кошельков, чтобы предотвратить продолжительное воздействие адресов на рискованные среды.
Если вы случайно стали жертвой фишинга, мы рекомендуем немедленно предпринять следующие меры для снижения потерь:
Используйте соответствующие инструменты для отмены высокорисковых авторизаций;
Если вы подписали разрешение, но активы ещё не были переведены, вы можете немедленно инициировать новую подпись, чтобы сделать старую подпись недействительной;
При необходимости быстро переместите оставшиеся активы на новый адрес или холодный кошелек.
Четыре, как безопасно участвовать в аирдропах
Airdrop — это распространенный способ продвижения блокчейн-проектов, но в нем также скрыты риски. Вот несколько рекомендаций:
Исследование фона проекта: обеспечить наличие четкого белого документа, открытой информации о команде и репутации сообщества;
Используйте специальный адрес: зарегистрируйте специальный кошелек и электронную почту, чтобы изолировать риски основного счета;
Осторожно нажимайте на ссылки: получайте информацию о аирдропах только через официальные каналы, избегайте нажатия на подозрительные ссылки в социальных сетях;
Пятый. Рекомендации по выбору и использованию инструментов плагинов
Содержание правил безопасности в блокчейне обширно, и возможно не всегда можно проводить тщательную проверку при каждом взаимодействии. Выбор безопасных плагинов имеет решающее значение и может помочь нам в оценке рисков. Ниже приведены конкретные рекомендации:
Доверенные расширения: используйте широко распространенные расширения для браузеров. Эти плагины предоставляют функции кошелька и поддерживают взаимодействие с децентрализованными приложениями.
Проверка рейтинга: Перед установкой нового плагина проверьте рейтинг пользователей и количество установок. Высокий рейтинг и большое количество установок обычно указывают на то, что плагин более надежен, что снижает риск наличия вредоносного кода.
Поддерживайте обновления: регулярно обновляйте свои плагины, чтобы получить последние функции безопасности и исправления. Устаревшие плагины могут содержать известные уязвимости, которые могут быть использованы злоумышленниками.
Шесть, Заключение
Следуя приведенным выше рекомендациям по безопасным транзакциям, пользователи могут более уверенно взаимодействовать в все более сложной экосистеме в блокчейне, существенно повышая свои способности по защите активов. Несмотря на то, что технологии блокчейна имеют в качестве своих основных преимуществ децентрализацию и прозрачность, это также означает, что пользователи должны самостоятельно справляться с множеством рисков, включая фишинг подписей, утечку приватных ключей и вредоносные приложения.
Чтобы достичь настоящей безопасности в блокчейне, полагаться только на инструменты для уведомлений совершенно недостаточно, ключевым является формирование системного сознания безопасности и операционных привычек. Используя аппаратные кошельки, реализуя стратегии изоляции средств, регулярно проверяя разрешения и обновляя плагины, а также внедряя в торговые операции концепцию "многоуровенной проверки, отказа от слепого подписания, изоляции средств", можно действительно достичь "свободного и безопасного использования блокчейна".
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
10 Лайков
Награда
10
4
Поделиться
комментарий
0/400
DeFiChef
· 07-27 15:22
Кошелек тоже будет ловить рыбу, будьте осторожны.
Посмотреть ОригиналОтветить0
governance_ghost
· 07-25 13:11
Все зависит от себя, паниковать на полную катушку.
Посмотреть ОригиналОтветить0
SchrodingerAirdrop
· 07-25 13:09
Не заморачивайся о безопасности, просто иди вперед!
Осваивайте безопасность транзакций в Блокчейне, создавайте защитную систему активов Web3
Руководство по безопасности транзакций пользователей Web3 в блокчейне
С развитием экосистемы блокчейна, транзакции в блокчейне стали важной частью повседневной деятельности пользователей Web3. Активы пользователей постепенно перемещаются с централизованных платформ на децентрализованные сети, и эта тенденция также означает, что ответственность за безопасность активов переходит от платформы к самим пользователям. В блокчейн-среде пользователи должны нести ответственность за каждое взаимодействие, будь то импорт кошелька, доступ к децентрализованным приложениям или подписание авторизации и инициирование транзакций; любое неосторожное действие может привести к угрозам безопасности, таким как утечка личных ключей, злоупотребление авторизацией или серьезные последствия в результате фишинговых атак.
Несмотря на то, что в настоящее время основные плагины для кошельков и браузеры постепенно интегрируют функции распознавания фишинга, предупреждения о рисках и т. д., полагаться только на пассивную защиту инструментов все еще сложно для полного избегания рисков в условиях все более сложных методов атак. Чтобы помочь пользователям лучше идентифицировать потенциальные рисковые точки в цепочных транзакциях, мы на основе практического опыта собрали высокочастотные сценарии рисков по всему процессу и, сочетая их с рекомендациями по защите и советами по использованию инструментов, разработали систематическое руководство по безопасности цепочных транзакций, целью которого является помощь каждому пользователю Web3 в создании "самообеспечиваемой" линии безопасности.
Основные принципы безопасной торговли:
Один, рекомендации по безопасной торговле
Безопасная торговля является ключом к защите цифровых активов. Исследования показывают, что использование безопасных кошельков и двухфакторной аутентификации (2FA) может значительно снизить риски. Вот конкретные рекомендации:
Выберите надежного поставщика кошельков, такого как аппаратные кошельки или известные программные кошельки. Аппаратные кошельки обеспечивают оффлайн-хранение, что уменьшает риск онлайн-атак и подходит для хранения крупных активов.
Перед подтверждением транзакции всегда проверяйте адрес получателя, сумму и сеть (например, убедитесь, что вы используете правильный в блокчейне, такой как Эфириум или другие совместимые цепочки и т.д.), чтобы избежать потерь из-за ошибок ввода.
Если торговая платформа или кошелек поддерживают 2FA, обязательно включите его для повышения безопасности аккаунта, особенно при использовании горячего кошелька.
Не проводите сделки в общедоступных сетях Wi-Fi, чтобы предотвратить атаки фишинга и атаки посредников.
Два, как проводить безопасные сделки
Полный процесс транзакции децентрализованного приложения включает несколько этапов: установка кошелька, доступ к приложению, подключение кошелька, подпись сообщения, подпись транзакции, обработка после транзакции. На каждом этапе существуют определенные риски безопасности, ниже будут последовательно изложены рекомендации по безопасному выполнению операций.
1. Установка кошелька:
В настоящее время основным способом использования децентрализованных приложений является взаимодействие через браузерные плагин-кошельки. Основные кошельки, используемые в Ethereum и совместимых цепочках, включают в себя несколько вариантов.
При установке кошелька расширения Chrome необходимо убедиться, что вы скачиваете и устанавливаете его из официального магазина приложений, чтобы избежать установки кошелька с задними дверями с третьих сайтов. Пользователям, имеющим возможность, рекомендуется комбинировать использование аппаратного кошелька для повышения общей безопасности хранения частных ключей.
При установке кошелька и резервном копировании семенной фразы (обычно состоящей из 12-24 слов) рекомендуется хранить ее в безопасном месте, вдали от цифровых устройств (например, записать на бумаге и хранить в сейфе).
2. Доступ к децентрализованным приложениям
Фишинг в вебе является распространённым методом атак в Web3. Типичный случай заключается в том, чтобы под предлогом аирдропа заставить пользователей посетить фишинговое приложение, после чего, когда пользователь подключит кошелёк, его побуждают подписать авторизацию токенов, совершить перевод или подписать авторизацию токенов, что приводит к потере активов.
Поэтому при доступе к децентрализованным приложениям пользователям необходимо быть внимательными, чтобы избежать ловушек веб-фишинга.
Перед доступом к приложению следует подтвердить правильность URL-адреса. Рекомендуется:
После открытия веб-страницы приложения также необходимо провести проверку безопасности адресной строки:
В настоящее время основные кошельки-плагины на рынке также интегрировали определенные функции предупреждения о рисках, которые могут отображать сильное предупреждение при доступе к рискованным веб-сайтам.
3. Подключить кошелек
После входа в приложение может автоматически или после активного нажатия на "Connect" произойти подключение кошелька. Плагин-кошелек проведет некоторые проверки и отобразит информацию для текущего приложения.
После подключения кошелька приложение обычно не будет активно вызывать плагин-кошелек, если пользователь не выполняет других действий. Если сайт после входа в систему часто вызывает кошелек для запроса подписи сообщения, подписания транзакции или даже продолжает всплывать с запросами на подпись после отказа, то это также может быть признаком фишинга, и необходимо проявлять осторожность.
4. Подпись сообщения
В экстремальных случаях, например, если злоумышленник атаковал официальный сайт протокола или провел такие атаки, как захват переднего конца, и изменил содержимое страницы. Обычному пользователю очень трудно в такой ситуации определить безопасность сайта.
В этот момент подпись плагина-кошелька является последним барьером для пользователей, защищающим их активы. Достаточно отклонить злонамеренные подписи, чтобы гарантировать сохранность собственных активов. Пользователи должны тщательно проверять содержание подписи при подписании любых сообщений и сделок, отклонять слепые подписи, чтобы избежать потери активов.
Распространенные типы подписей включают:
5. Подпись транзакции
Подпись транзакции используется для авторизации транзакций в блокчейне, таких как переводы или вызов смарт-контрактов. Пользователь подписывает с помощью приватного ключа, сеть проверяет действительность транзакции. В настоящее время многие плагин-кошельки декодируют ожидающие подписи сообщения и показывают соответствующее содержание, обязательно следуйте принципу "не подписывать вслепую", рекомендации по безопасности:
Для пользователей с определёнными техническими знаниями также можно использовать некоторые распространённые методы ручной проверки: скопировать адрес целевого контракта взаимодействия в браузер блокчейна для проверки. Основное внимание следует уделить таким аспектам, как является ли контракт открытым исходным кодом, были ли в последнее время крупные транзакции и есть ли у этого адреса официальный или злонамеренный ярлык.
6. Постобработка сделок
Избежав фишинговых страниц и вредоносных подписей, не значит, что все в порядке; после сделки также необходимо проводить управление рисками.
После сделки следует своевременно проверить статус транзакции в блокчейне и подтвердить, соответствует ли он ожидаемому состоянию на момент подписания. Если обнаружены аномалии, необходимо быстро произвести операции по переводу активов, аннулированию полномочий и другим мерам по ограничению убытков.
Управление одобрением ERC20 также очень важно. В некоторых случаях пользователи давали токены разрешения определенным контрактам, а спустя много лет эти контракты подверглись атаке, и злоумышленники использовали лимит токенов, предоставленный атакованным контрактом, чтобы похитить средства пользователей. Чтобы избежать таких ситуаций, мы рекомендуем пользователям следовать следующим стандартам для предотвращения рисков:
! Никаких недоразумений во взаимодействии в сети, пожалуйста, отложите руководство по безопасным транзакциям Web3
Три, стратегия изоляции средств
При наличии осознания рисков и достаточных мер по предотвращению рисков также рекомендуется проводить эффективное разделение средств, чтобы в экстремальных ситуациях снизить степень потерь. Рекомендуемая стратегия такова:
Если вы случайно стали жертвой фишинга, мы рекомендуем немедленно предпринять следующие меры для снижения потерь:
Четыре, как безопасно участвовать в аирдропах
Airdrop — это распространенный способ продвижения блокчейн-проектов, но в нем также скрыты риски. Вот несколько рекомендаций:
Пятый. Рекомендации по выбору и использованию инструментов плагинов
Содержание правил безопасности в блокчейне обширно, и возможно не всегда можно проводить тщательную проверку при каждом взаимодействии. Выбор безопасных плагинов имеет решающее значение и может помочь нам в оценке рисков. Ниже приведены конкретные рекомендации:
Шесть, Заключение
Следуя приведенным выше рекомендациям по безопасным транзакциям, пользователи могут более уверенно взаимодействовать в все более сложной экосистеме в блокчейне, существенно повышая свои способности по защите активов. Несмотря на то, что технологии блокчейна имеют в качестве своих основных преимуществ децентрализацию и прозрачность, это также означает, что пользователи должны самостоятельно справляться с множеством рисков, включая фишинг подписей, утечку приватных ключей и вредоносные приложения.
Чтобы достичь настоящей безопасности в блокчейне, полагаться только на инструменты для уведомлений совершенно недостаточно, ключевым является формирование системного сознания безопасности и операционных привычек. Используя аппаратные кошельки, реализуя стратегии изоляции средств, регулярно проверяя разрешения и обновляя плагины, а также внедряя в торговые операции концепцию "многоуровенной проверки, отказа от слепого подписания, изоляции средств", можно действительно достичь "свободного и безопасного использования блокчейна".
! Никаких недоразумений во взаимодействии в сети, пожалуйста, отложите руководство по безопасным транзакциям Web3