Guia de Segurança de Transações Web3: Proteja o seu ativo digital
Com o contínuo desenvolvimento do ecossistema blockchain, as transações on-chain tornaram-se uma parte indispensável da vida diária dos usuários do Web3. Cada vez mais usuários estão transferindo ativos de plataformas centralizadas para redes descentralizadas, e essa tendência significa que a responsabilidade pela segurança dos ativos está gradualmente se deslocando das plataformas para os próprios usuários. No ambiente blockchain, os usuários precisam ser responsáveis por cada etapa da operação, seja importando carteiras, acessando aplicativos descentralizados, ou assinando autorizações e iniciando transações, qualquer erro operacional pode acarretar riscos de segurança, resultando em vazamento de chaves privadas, abuso de autorizações ou sérias consequências como ataques de phishing.
Embora atualmente os principais plugins de carteira e navegadores estejam gradualmente integrando funções de identificação de phishing e alertas de risco, diante de métodos de ataque cada vez mais complexos, confiar apenas na defesa passiva das ferramentas ainda é difícil para evitar completamente os riscos. Para ajudar os usuários a identificar mais claramente os potenciais riscos nas transações on-chain, este artigo, com base na experiência prática, mapeou os cenários de alto risco ao longo de todo o processo e, combinando sugestões de proteção e dicas de uso de ferramentas, elaborou um conjunto sistemático de diretrizes de segurança para transações on-chain, visando ajudar cada usuário do Web3 a estabelecer uma linha de defesa "autônoma e controlável".
Princípios fundamentais para uma negociação segura:
Recusar a assinatura cega: nunca assine transações ou mensagens que não compreenda.
Verificação repetida: Antes de realizar qualquer transação, é imprescindível verificar várias vezes a precisão das informações relacionadas.
Sugestões para Transações Seguras
Transações seguras são a chave para proteger ativos digitais. Estudos mostram que o uso de carteiras seguras e autenticação de dois fatores (2FA) pode reduzir significativamente os riscos. Aqui estão algumas recomendações específicas:
Usar uma carteira segura:
Escolha provedores de carteira com boa reputação, como carteiras de hardware ou carteiras de software confiáveis. As carteiras de hardware oferecem armazenamento offline, reduzindo o risco de ataques online, sendo adequadas para armazenar grandes quantidades de ativo digital.
Verifique os detalhes da transação duas vezes:
Antes de confirmar a transação, verifique cuidadosamente o endereço de recebimento, o montante e a rede (, como Ethereum ou BNB Chain, para evitar perdas devido a erros de entrada.
Ativar a verificação em duas etapas)2FA(:
Se a plataforma de negociação ou a carteira suportarem 2FA, certifique-se de ativá-lo para aumentar a segurança da conta, especialmente ao usar carteiras quentes.
Evite usar Wi-Fi público:
Não faça transações em redes Wi-Fi públicas para prevenir ataques de phishing e ataques de intermediários.
Como realizar transações seguras
Um fluxo de transação de aplicação descentralizada completo inclui várias etapas: instalação da carteira, acesso à aplicação, conexão da carteira, assinatura de mensagens, assinatura de transações e processamento pós-transação. Cada etapa apresenta certos riscos de segurança, a seguir serão apresentadas as precauções a serem tomadas durante a operação real.
) 1. Instalação da carteira
Atualmente, a forma principal de uso de aplicações descentralizadas é através de carteiras de extensão de navegador. As carteiras principais usadas nas cadeias compatíveis com a Máquina Virtual Ethereum incluem MetaMask, entre outras.
Ao instalar a carteira de extensão do Chrome, é necessário confirmar que está a fazer o download a partir da loja de aplicações do Chrome, evitando a instalação a partir de sites de terceiros, para prevenir a instalação de software de carteira com backdoors. Recomenda-se a usuários com condições a combinação com carteiras de hardware, para aumentar ainda mais a segurança geral na custódia das chaves privadas.
Ao instalar a frase-semente de backup da carteira, ### normalmente consiste em uma frase de recuperação de 12 a 24 palavras, (, é aconselhável armazená-la em um local seguro, longe de dispositivos digitais, ) por exemplo, escrever em papel e guardar num cofre (.
) 2. Aceder a aplicações descentralizadas
A pesca na web é uma técnica comum em ataques Web3. Um caso típico é induzir os usuários a visitar aplicações de phishing sob o pretexto de airdrops, levando-os a assinar autorizações de tokens, transações de transferência ou assinaturas de autorização de tokens após conectar a carteira, resultando em perdas de ativos.
Assim, ao acessar aplicativos descentralizados, os usuários devem permanecer vigilantes para evitar cair nas armadilhas de phishing na web.
Antes de acessar o aplicativo, confirme a correção do URL. Sugestão:
Evite acessar diretamente através de motores de busca: atacantes de phishing podem comprar espaços publicitários para fazer com que seus sites de phishing apareçam nas primeiras posições.
Evite clicar em links nas redes sociais: os URLs publicados em comentários ou mensagens podem ser links de phishing.
Confirme repetidamente a correção do URL da aplicação: pode ser verificado através de vários meios, como o mercado de aplicações descentralizadas, contas oficiais de redes sociais do projeto, etc.
Adicione o site seguro aos favoritos do navegador: acesse diretamente a partir dos favoritos posteriormente.
Após abrir a página da aplicação, também é necessário realizar uma verificação de segurança na barra de endereços:
Verifique se o domínio e o URL se assemelham a uma falsificação.
Verifique se é um link HTTPS, o navegador deve mostrar o ícone de cadeado.
Atualmente, as principais carteiras de plugins disponíveis no mercado também integraram algumas funcionalidades de aviso de risco, podendo exibir um forte aviso ao acessar sites de risco.
3. Conectar carteira
Após entrar na aplicação, a operação de conexão da carteira pode ser ativada automaticamente ou ao clicar ativamente em Conectar. A carteira de extensão fará algumas verificações e exibirá informações relacionadas à aplicação atual.
Após conectar a carteira, normalmente, quando o usuário não realiza outras operações, o aplicativo não invoca proativamente a carteira do plugin. Se o site frequentemente invocar a carteira após o login, pedindo para assinar mensagens, assinar transações, e mesmo após recusar a assinatura, continuar a exibir pop-ups de assinatura, então é muito provável que se trate de um site de phishing, e deve ser tratado com cautela.
4. Assinatura de mensagem
Em situações extremas, como quando um atacante ataca o site oficial do protocolo ou realiza ataques de hijacking no front-end, substituindo o conteúdo da página. É difícil para os usuários comuns identificarem a segurança do site neste cenário.
Neste momento, a assinatura da carteira de plugin é a última barreira para o usuário proteger seus próprios ativos. Desde que rejeitem assinaturas maliciosas, podem garantir que seus ativos não sofram perdas. Os usuários devem examinar cuidadosamente o conteúdo da assinatura ao assinar qualquer mensagem e transação, rejeitando assinaturas cegas, para evitar perdas de ativos.
Os tipos de assinatura comuns incluem:
eth_sign: assinar dados de hash.
personal_sign: Assinatura de informações em texto simples, sendo a mais comum durante a verificação de login do usuário ou confirmação de acordos de permissão.
eth_signTypedData###EIP-712(: assinatura de dados estruturados, comumente usada para Permit de ERC20, listagens de NFT, etc.
![Interações na cadeia sem erros, guia de transações seguras Web3, por favor, guarde])https://img-cdn.gateio.im/webp-social/moments-6af084a4250aee742e535f7435bf93c2.webp(
) 5. Assinatura de transação
A assinatura de transação é usada para autorizar transações na blockchain, como transferências ou chamadas de contratos inteligentes. Os usuários assinam com a chave privada, e a rede verifica a validade da transação. Atualmente, muitas carteiras de plugin decodificam as mensagens a serem assinadas e exibem o conteúdo relevante, devendo sempre seguir o princípio de não assinar cegamente. Recomendações de segurança:
Verifique cuidadosamente o endereço do beneficiário, o montante e a rede, para evitar erros.
Para grandes transações, recomenda-se assinatura offline para reduzir o risco de ataques online.
Preste atenção às taxas de gas, assegure-se de que são razoáveis, evite fraudes.
Para usuários com um certo conhecimento técnico, também é possível usar alguns métodos comuns de verificação manual: revisar o endereço do contrato interativo copiado no explorador de blockchain, onde os principais aspectos a serem verificados incluem se o contrato é de código aberto, se houve um grande número de transações recentemente e se o explorador de blockchain marcou o endereço com um rótulo oficial ou rótulo malicioso.
6. Processamento pós-negociação
Escapar de páginas de phishing e assinaturas maliciosas não significa que está tudo bem; após a transação, ainda é necessário realizar a gestão de riscos.
Após a negociação, deve-se verificar rapidamente a situação da transação na blockchain e confirmar se está de acordo com o estado esperado no momento da assinatura. Caso se detectem anomalias, é importante realizar operações de mitigação, como transferência de ativos e revogação de autorizações.
A gestão de autorização ERC20 também é muito importante. Em alguns casos, os usuários concederam autorização de tokens a certos contratos e, anos depois, esses contratos foram atacados, com o atacante utilizando o limite de autorização de tokens do contrato atacado para roubar os fundos dos usuários. Para evitar tais situações, recomendamos que os usuários sigam os seguintes padrões para mitigação de riscos:
Minimização da autorização. Ao realizar a autorização de tokens, a quantidade de tokens autorizados deve ser limitada de acordo com as necessidades da transação. Se uma transação requerer a autorização de 100 USDT, então a quantidade autorizada deve ser limitada a 100 USDT, e não deve ser utilizado o valor padrão de autorização ilimitada.
Revogar rapidamente as autorizações de tokens desnecessárias. Os usuários podem fazer login na ferramenta de gestão de autorizações para verificar a situação das autorizações do endereço correspondente, revogando as autorizações de protocolos que não tiveram interação por um longo período, evitando que vulnerabilidades nos protocolos causem perdas de ativos devido ao uso indevido das quotas de autorização dos usuários.
Estratégia de Isolamento de Fundos
Na presença de consciência de risco e após ter tomado precauções de risco suficientes, também é aconselhável realizar um efetivo isolamento de fundos, a fim de reduzir o grau de dano aos fundos em situações extremas. A estratégia recomendada é a seguinte:
Utilize carteira multi-assinatura ou carteira fria para armazenar grandes ativos.
Usar uma carteira de plugin ou uma carteira comum como carteira quente para interações diárias;
Mudar regularmente o endereço da carteira quente para evitar que o endereço fique exposto a ambientes de risco.
Se por acaso acontecer uma situação de phishing, recomendamos que execute imediatamente as seguintes medidas para reduzir as perdas:
Usar ferramentas de gestão de autorização para cancelar autorizações de alto risco;
Se a assinatura do permit foi feita, mas os ativos ainda não foram transferidos, é possível iniciar uma nova assinatura imediatamente para invalidar o nonce da assinatura antiga;
Se necessário, transfira rapidamente os ativos restantes para um novo endereço ou carteira fria.
![Interações na blockchain sem erros, por favor, guarde este guia de transações seguras Web3]###https://img-cdn.gateio.im/webp-social/moments-6ee2b511a2456347db280731b41163ca.webp(
Como participar de atividades de airdrop de forma segura
O airdrop é uma forma comum de promoção de projetos de blockchain, mas também esconde riscos. Aqui estão algumas sugestões:
Pesquisa de fundo do projeto: garantir que o projeto tenha um white paper claro, informações da equipe públicas e uma boa reputação na comunidade;
Utilizar endereços dedicados: registar uma carteira e um e-mail dedicados, isolando o risco da conta principal;
Cuidado ao clicar em links: obtenha informações sobre airdrops apenas através de canais oficiais, evite clicar em links suspeitos nas plataformas sociais;
Sugestões para a escolha e uso de ferramentas de plugin
O conteúdo do código de segurança da blockchain é extenso, e pode não ser possível realizar uma verificação detalhada em cada interação. Escolher plugins seguros é crucial, pois pode nos ajudar a fazer uma avaliação de riscos. Abaixo estão sugestões específicas:
Extensões confiáveis: Use extensões de navegador amplamente utilizadas, como MetaMask) para o ecossistema Ethereum(. Esses plugins oferecem funcionalidades de carteira e suportam a interação com aplicativos descentralizados.
Verifique a classificação: antes de instalar um novo plugin, verifique a classificação dos usuários e o número de instalações. Uma alta classificação e um grande número de instalações geralmente indicam que o plugin é mais confiável, reduzindo o risco de código malicioso.
Mantenha-se atualizado: atualize regularmente os seus plugins para obter as mais recentes funcionalidades de segurança e correções. Plugins desatualizados podem conter vulnerabilidades conhecidas, que podem ser exploradas por atacantes.
Conclusão
Ao seguir as diretrizes de segurança de transação acima, os usuários podem interagir de forma mais tranquila em um ecossistema blockchain em constante complexidade, melhorando efetivamente a capacidade de proteção dos ativos. Embora a tecnologia blockchain tenha a descentralização e a transparência como suas principais vantagens, isso também significa que os usuários devem enfrentar de forma independente múltiplos riscos, incluindo phishing de assinatura, vazamento de chaves privadas e aplicativos maliciosos.
Para alcançar uma verdadeira segurança na blockchain, depender apenas de ferramentas de alerta não é suficiente; estabelecer uma consciência de segurança sistemática e hábitos operacionais é fundamental. Ao utilizar carteiras de hardware, implementar estratégias de isolamento de fundos, revisar regularmente as autorizações e atualizar plugins, e ao aplicar na operação de transações o princípio de "verificação múltipla, recusa de assinatura cega, isolamento de fundos", é que se pode realmente alcançar "uma blockchain livre e segura".
![Interações em cadeia sem erros, por favor, guarde o guia de negociação segura Web3])https://img-cdn.gateio.im/webp-social/moments-3ec8c352d17c8834aba758d3de7beb70.webp(
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
12 Curtidas
Recompensa
12
7
Compartilhar
Comentário
0/400
PretendingSerious
· 2h atrás
Tem medo de ser enganado e culpa-se a si mesmo?
Ver originalResponder0
LightningAllInHero
· 19h atrás
又在教大家当idiotas呢
Ver originalResponder0
LightningPacketLoss
· 07-22 06:06
教科书式 fazer as pessoas de parvas
Ver originalResponder0
MetaverseHermit
· 07-22 06:06
Não vai perder, a menos que perca a sua Chave privada.
Ver originalResponder0
ZkSnarker
· 07-22 05:55
bem, tecnicamente são as tuas chaves, é a tua responsabilidade... mas a sério, quem é que lê aqueles popups de aviso, de qualquer forma?
Guia de segurança de transações Web3: 7 passos chave para proteger o seu ativo digital
Guia de Segurança de Transações Web3: Proteja o seu ativo digital
Com o contínuo desenvolvimento do ecossistema blockchain, as transações on-chain tornaram-se uma parte indispensável da vida diária dos usuários do Web3. Cada vez mais usuários estão transferindo ativos de plataformas centralizadas para redes descentralizadas, e essa tendência significa que a responsabilidade pela segurança dos ativos está gradualmente se deslocando das plataformas para os próprios usuários. No ambiente blockchain, os usuários precisam ser responsáveis por cada etapa da operação, seja importando carteiras, acessando aplicativos descentralizados, ou assinando autorizações e iniciando transações, qualquer erro operacional pode acarretar riscos de segurança, resultando em vazamento de chaves privadas, abuso de autorizações ou sérias consequências como ataques de phishing.
Embora atualmente os principais plugins de carteira e navegadores estejam gradualmente integrando funções de identificação de phishing e alertas de risco, diante de métodos de ataque cada vez mais complexos, confiar apenas na defesa passiva das ferramentas ainda é difícil para evitar completamente os riscos. Para ajudar os usuários a identificar mais claramente os potenciais riscos nas transações on-chain, este artigo, com base na experiência prática, mapeou os cenários de alto risco ao longo de todo o processo e, combinando sugestões de proteção e dicas de uso de ferramentas, elaborou um conjunto sistemático de diretrizes de segurança para transações on-chain, visando ajudar cada usuário do Web3 a estabelecer uma linha de defesa "autônoma e controlável".
Princípios fundamentais para uma negociação segura:
Sugestões para Transações Seguras
Transações seguras são a chave para proteger ativos digitais. Estudos mostram que o uso de carteiras seguras e autenticação de dois fatores (2FA) pode reduzir significativamente os riscos. Aqui estão algumas recomendações específicas:
Usar uma carteira segura: Escolha provedores de carteira com boa reputação, como carteiras de hardware ou carteiras de software confiáveis. As carteiras de hardware oferecem armazenamento offline, reduzindo o risco de ataques online, sendo adequadas para armazenar grandes quantidades de ativo digital.
Verifique os detalhes da transação duas vezes: Antes de confirmar a transação, verifique cuidadosamente o endereço de recebimento, o montante e a rede (, como Ethereum ou BNB Chain, para evitar perdas devido a erros de entrada.
Ativar a verificação em duas etapas)2FA(: Se a plataforma de negociação ou a carteira suportarem 2FA, certifique-se de ativá-lo para aumentar a segurança da conta, especialmente ao usar carteiras quentes.
Evite usar Wi-Fi público: Não faça transações em redes Wi-Fi públicas para prevenir ataques de phishing e ataques de intermediários.
Como realizar transações seguras
Um fluxo de transação de aplicação descentralizada completo inclui várias etapas: instalação da carteira, acesso à aplicação, conexão da carteira, assinatura de mensagens, assinatura de transações e processamento pós-transação. Cada etapa apresenta certos riscos de segurança, a seguir serão apresentadas as precauções a serem tomadas durante a operação real.
) 1. Instalação da carteira
Atualmente, a forma principal de uso de aplicações descentralizadas é através de carteiras de extensão de navegador. As carteiras principais usadas nas cadeias compatíveis com a Máquina Virtual Ethereum incluem MetaMask, entre outras.
Ao instalar a carteira de extensão do Chrome, é necessário confirmar que está a fazer o download a partir da loja de aplicações do Chrome, evitando a instalação a partir de sites de terceiros, para prevenir a instalação de software de carteira com backdoors. Recomenda-se a usuários com condições a combinação com carteiras de hardware, para aumentar ainda mais a segurança geral na custódia das chaves privadas.
Ao instalar a frase-semente de backup da carteira, ### normalmente consiste em uma frase de recuperação de 12 a 24 palavras, (, é aconselhável armazená-la em um local seguro, longe de dispositivos digitais, ) por exemplo, escrever em papel e guardar num cofre (.
) 2. Aceder a aplicações descentralizadas
A pesca na web é uma técnica comum em ataques Web3. Um caso típico é induzir os usuários a visitar aplicações de phishing sob o pretexto de airdrops, levando-os a assinar autorizações de tokens, transações de transferência ou assinaturas de autorização de tokens após conectar a carteira, resultando em perdas de ativos.
Assim, ao acessar aplicativos descentralizados, os usuários devem permanecer vigilantes para evitar cair nas armadilhas de phishing na web.
Antes de acessar o aplicativo, confirme a correção do URL. Sugestão:
Após abrir a página da aplicação, também é necessário realizar uma verificação de segurança na barra de endereços:
Atualmente, as principais carteiras de plugins disponíveis no mercado também integraram algumas funcionalidades de aviso de risco, podendo exibir um forte aviso ao acessar sites de risco.
3. Conectar carteira
Após entrar na aplicação, a operação de conexão da carteira pode ser ativada automaticamente ou ao clicar ativamente em Conectar. A carteira de extensão fará algumas verificações e exibirá informações relacionadas à aplicação atual.
Após conectar a carteira, normalmente, quando o usuário não realiza outras operações, o aplicativo não invoca proativamente a carteira do plugin. Se o site frequentemente invocar a carteira após o login, pedindo para assinar mensagens, assinar transações, e mesmo após recusar a assinatura, continuar a exibir pop-ups de assinatura, então é muito provável que se trate de um site de phishing, e deve ser tratado com cautela.
4. Assinatura de mensagem
Em situações extremas, como quando um atacante ataca o site oficial do protocolo ou realiza ataques de hijacking no front-end, substituindo o conteúdo da página. É difícil para os usuários comuns identificarem a segurança do site neste cenário.
Neste momento, a assinatura da carteira de plugin é a última barreira para o usuário proteger seus próprios ativos. Desde que rejeitem assinaturas maliciosas, podem garantir que seus ativos não sofram perdas. Os usuários devem examinar cuidadosamente o conteúdo da assinatura ao assinar qualquer mensagem e transação, rejeitando assinaturas cegas, para evitar perdas de ativos.
Os tipos de assinatura comuns incluem:
![Interações na cadeia sem erros, guia de transações seguras Web3, por favor, guarde])https://img-cdn.gateio.im/webp-social/moments-6af084a4250aee742e535f7435bf93c2.webp(
) 5. Assinatura de transação
A assinatura de transação é usada para autorizar transações na blockchain, como transferências ou chamadas de contratos inteligentes. Os usuários assinam com a chave privada, e a rede verifica a validade da transação. Atualmente, muitas carteiras de plugin decodificam as mensagens a serem assinadas e exibem o conteúdo relevante, devendo sempre seguir o princípio de não assinar cegamente. Recomendações de segurança:
Para usuários com um certo conhecimento técnico, também é possível usar alguns métodos comuns de verificação manual: revisar o endereço do contrato interativo copiado no explorador de blockchain, onde os principais aspectos a serem verificados incluem se o contrato é de código aberto, se houve um grande número de transações recentemente e se o explorador de blockchain marcou o endereço com um rótulo oficial ou rótulo malicioso.
6. Processamento pós-negociação
Escapar de páginas de phishing e assinaturas maliciosas não significa que está tudo bem; após a transação, ainda é necessário realizar a gestão de riscos.
Após a negociação, deve-se verificar rapidamente a situação da transação na blockchain e confirmar se está de acordo com o estado esperado no momento da assinatura. Caso se detectem anomalias, é importante realizar operações de mitigação, como transferência de ativos e revogação de autorizações.
A gestão de autorização ERC20 também é muito importante. Em alguns casos, os usuários concederam autorização de tokens a certos contratos e, anos depois, esses contratos foram atacados, com o atacante utilizando o limite de autorização de tokens do contrato atacado para roubar os fundos dos usuários. Para evitar tais situações, recomendamos que os usuários sigam os seguintes padrões para mitigação de riscos:
Estratégia de Isolamento de Fundos
Na presença de consciência de risco e após ter tomado precauções de risco suficientes, também é aconselhável realizar um efetivo isolamento de fundos, a fim de reduzir o grau de dano aos fundos em situações extremas. A estratégia recomendada é a seguinte:
Se por acaso acontecer uma situação de phishing, recomendamos que execute imediatamente as seguintes medidas para reduzir as perdas:
![Interações na blockchain sem erros, por favor, guarde este guia de transações seguras Web3]###https://img-cdn.gateio.im/webp-social/moments-6ee2b511a2456347db280731b41163ca.webp(
Como participar de atividades de airdrop de forma segura
O airdrop é uma forma comum de promoção de projetos de blockchain, mas também esconde riscos. Aqui estão algumas sugestões:
Sugestões para a escolha e uso de ferramentas de plugin
O conteúdo do código de segurança da blockchain é extenso, e pode não ser possível realizar uma verificação detalhada em cada interação. Escolher plugins seguros é crucial, pois pode nos ajudar a fazer uma avaliação de riscos. Abaixo estão sugestões específicas:
Conclusão
Ao seguir as diretrizes de segurança de transação acima, os usuários podem interagir de forma mais tranquila em um ecossistema blockchain em constante complexidade, melhorando efetivamente a capacidade de proteção dos ativos. Embora a tecnologia blockchain tenha a descentralização e a transparência como suas principais vantagens, isso também significa que os usuários devem enfrentar de forma independente múltiplos riscos, incluindo phishing de assinatura, vazamento de chaves privadas e aplicativos maliciosos.
Para alcançar uma verdadeira segurança na blockchain, depender apenas de ferramentas de alerta não é suficiente; estabelecer uma consciência de segurança sistemática e hábitos operacionais é fundamental. Ao utilizar carteiras de hardware, implementar estratégias de isolamento de fundos, revisar regularmente as autorizações e atualizar plugins, e ao aplicar na operação de transações o princípio de "verificação múltipla, recusa de assinatura cega, isolamento de fundos", é que se pode realmente alcançar "uma blockchain livre e segura".
![Interações em cadeia sem erros, por favor, guarde o guia de negociação segura Web3])https://img-cdn.gateio.im/webp-social/moments-3ec8c352d17c8834aba758d3de7beb70.webp(