Руководство по безопасности сделок Web3: защита ваших цифровых активов
С развитием экосистемы блокчейна, онлайновые транзакции стали неотъемлемой частью повседневной жизни пользователей Web3. Все больше пользователей переводят свои активы с централизованных платформ на децентрализованные сети, и эта тенденция означает, что ответственность за безопасность активов постепенно переходит от платформы к самим пользователям. В блокчейн-среде пользователи должны нести ответственность за каждое действие, будь то импорт кошелька, доступ к децентрализованным приложениям или подписание инициации транзакций; любая ошибка может привести к угрозам безопасности, таким как утечка приватных ключей, злоупотребление авторизацией или серьезные последствия от фишинговых атак.
Несмотря на то, что в настоящее время основные плагины кошельков и браузеров постепенно интегрируют функции распознавания фишинга и предупреждения о рисках, полагаться только на пассивную защиту инструментов все еще сложно для полного избежания рисков в условиях все более сложных методов атак. Чтобы помочь пользователям более четко идентифицировать потенциальные риски в цепочечных транзакциях, в данной статье на основе практического опыта систематизированы высокочастотные рисковые сценарии по всем этапам, а также разработаны систематизированные рекомендации по защите и советы по использованию инструментов, с целью помочь каждому пользователю Web3 создать "самостоятельно контролируемую" линию безопасности.
Основные принципы безопасной торговли:
Откажитесь от слепого подписания: никогда не подписывайте транзакции или сообщения, которые вы не понимаете.
Повторная проверка: перед проведением любой сделки обязательно многократно проверяйте точность соответствующей информации.
Рекомендации по безопасной торговле
Безопасная торговля является ключом к защите цифровых активов. Исследования показывают, что использование безопасных кошельков и двухфакторной аутентификации (2FA) может значительно снизить риски. Вот конкретные рекомендации:
Используйте безопасный кошелек:
Выберите поставщика кошелька с хорошей репутацией, например, аппаратный кошелек или надежный программный кошелек. Аппаратные кошельки обеспечивают оффлайн-хранение, что снижает риск онлайн-атак, и подходят для хранения крупных цифровых активов.
Дважды проверьте детали транзакции:
Перед подтверждением транзакции обязательно проверьте адрес получателя, сумму и сеть (, такие как Ethereum или BNB Chain, чтобы избежать потерь из-за ошибок ввода.
Включить двухфакторную аутентификацию )2FA(:
Если торговая платформа или кошелек поддерживают 2FA, обязательно включите его для повышения безопасности аккаунта, особенно при использовании горячего кошелька.
Избегайте использования общедоступного Wi-Fi:
Не проводите сделки в общественных сетях Wi-Fi, чтобы избежать фишинга и атак посредников.
Как провести безопасную сделку
Полный процесс торговли децентрализованным приложением включает несколько этапов: установка кошелька, доступ к приложению, подключение кошелька, подпись сообщений, подпись транзакций и обработка после транзакции. На каждом этапе существуют определенные риски безопасности, ниже последовательно будут представлены меры предосторожности в ходе фактической работы.
) 1. Установка кошелька
В настоящее время основным способом использования децентрализованных приложений является взаимодействие через кошельки-плагины для браузера. Основные кошельки, используемые на совместимых с виртуальной машиной Ethereum цепочках, включают MetaMask и другие.
При установке кошелька в виде плагина для Chrome необходимо убедиться, что он загружается и устанавливается из интернет-магазина Chrome, чтобы избежать установки кошельков с бекдорами с третьих сайтов. Пользователям с возможностью рекомендуется использовать аппаратные кошельки в сочетании, чтобы дополнительно повысить общую безопасность хранения приватных ключей.
При установке резервной фразы для кошелька ### обычно используется фраза восстановления из 12-24 слов (, рекомендуется хранить ее в безопасном месте, вдали от цифровых устройств ), например, записать на бумаге и сохранить в сейфе (.
) 2. Доступ к децентрализованным приложениям
Фишинг в вебе является распространённым методом атак в Web3. Типичный случай заключается в том, чтобы под предлогом airdrop'а заманить пользователей на фишинговые приложения, где после подключения кошелька их побуждают подписывать авторизацию токенов, транзакции перевода или подписи авторизации токенов, что приводит к потере активов.
Поэтому, при доступе к децентрализованным приложениям, пользователям необходимо оставаться бдительными, чтобы избежать ловушек веб-фишинга.
Перед доступом к приложению следует подтвердить правильность URL-адреса. Рекомендуется:
Избегайте прямого доступа через поисковые системы: злоумышленники могут повысить рейтинг своих фишинговых сайтов, покупая рекламные места.
Избегайте нажатия на ссылки в социальных сетях: URL-адреса, размещенные в комментариях или сообщениях, могут быть фишинговыми.
Повторно подтверждайте правильность веб-адреса приложения: можно проверить через децентрализованные рынки приложений, официальные аккаунты социальных сетей проекта и другие источники.
Добавьте безопасный сайт в закладки браузера: затем можно будет напрямую заходить из закладок.
После открытия веб-страницы приложения также необходимо провести проверку безопасности адресной строки:
Проверьте, похожи ли доменное имя и URL на подделку.
Проверьте, является ли ссылка HTTPS, браузер должен отображать значок замка.
В настоящее время на рынке основные плагин-кошельки также интегрировали определенные функции предупреждения о рисках, которые могут отображать сильные напоминания при посещении рискованных сайтов.
3. Подключить кошелек
После входа в приложение может автоматически произойти подключение кошелька или это действие будет инициировано при нажатии кнопки "Подключить". Плагин-кошелек проведет некоторые проверки и отобразит информацию для текущего приложения.
После подключения кошелька обычно приложение не будет активно вызывать плагин-кошелек, если пользователь не выполняет никаких других действий. Если сайт часто вызывает кошелек для запроса подписи сообщения, подписания транзакций, даже после отказа от подписи, и продолжает всплывать с запросом на подпись, то это может быть признаком фишингового сайта, и с этим следует обращаться с осторожностью.
4. Подпись сообщения
В крайних случаях, например, если злоумышленник атаковал официальный сайт протокола или осуществил атаки, такие как перехват через фронтенд, содержимое страницы может быть заменено. Обычным пользователям бывает трудно проверить безопасность сайта в такой ситуации.
На данном этапе подпись плагина-кошелька является последним барьером для пользователя, сохраняющего свои цифровые активы. Если отклонить злонамеренные подписи, можно защитить свои активы от потерь. Пользователь должен внимательно проверять содержимое подписи при подписании любых сообщений и транзакций, отказываясь от слепых подписей, чтобы избежать потерь активов.
Распространенные типы подписей включают:
eth_sign: Подписывание хэш-данных.
personal_sign:Подпись открытой информации, наиболее часто встречается при проверке входа пользователя или подтверждении лицензионного соглашения.
eth_signTypedData###EIP-712(: Подпись структурированных данных, часто используется для разрешений ERC20, размещения NFT и т.д.
![Безошибочные взаимодействия на блокчейне, сохраняйте руководство по безопасным сделкам Web3])https://img-cdn.gateio.im/webp-social/moments-6af084a4250aee742e535f7435bf93c2.webp(
) 5. Подпись сделки
Подпись транзакции используется для авторизации транзакций в блокчейне, таких как переводы или вызов смарт-контрактов. Пользователь подписывает с помощью приватного ключа, сеть проверяет действительность транзакции. В настоящее время многие плагин-кошельки декодируют сообщения, ожидающие подписи, и отображают соответствующий контент, обязательно следуйте принципу «не подписывать вслепую», рекомендации по безопасности:
Тщательно проверьте адрес получателя, сумму и сеть, чтобы избежать ошибок.
Для крупных сделок рекомендуется использовать офлайн-подпись, чтобы уменьшить риск онлайн-атак.
Обратите внимание на gas-расходы, убедитесь, что они разумные, чтобы избежать мошенничества.
Для пользователей с определенной технической подготовкой также можно использовать некоторые распространенные методы ручной проверки: копируя адрес целевого контракта в блокчейн-браузер для проверки. Основное содержание проверки включает в себя, является ли контракт открытым, есть ли в последнее время большое количество сделок и присвоил ли блокчейн-браузер этому адресу официальный или злонамеренный ярлык.
6. Обработка после сделки
Избегание фишинговых страниц и вредоносных подписей не означает, что всё в порядке; после сделки также необходимо проводить управление рисками.
После сделки необходимо своевременно проверить состояние транзакции в блокчейне и подтвердить, соответствует ли оно ожидаемому состоянию на момент подписи. Если обнаружены аномалии, немедленно выполните операции по перемещению активов, отмене авторизации и другие действия по ограничению убытков.
Управление одобрением ERC20 также очень важно. В некоторых случаях пользователи предоставили разрешение на токены для определенных контрактов, а спустя годы эти контракты были атакованы, и злоумышленники использовали лимиты одобрения токенов атакуемого контракта для кражи средств пользователей. Чтобы избежать подобных ситуаций, мы рекомендуем пользователям следовать следующим стандартам для предотвращения рисков:
Минимизация полномочий. При проведении авторизации токенов необходимо ограничить количество авторизованных токенов в зависимости от потребностей сделки. Если для какой-либо сделки требуется авторизация 100 USDT, то количество авторизации должно быть ограничено 100 USDT, а не использовать стандартную неограниченную авторизацию.
Своевременно отменяйте ненужные авторизации токенов. Пользователи могут войти в инструмент управления авторизацией, чтобы проверить состояние авторизаций соответствующего адреса, отменить авторизацию протоколов, которые долгое время не взаимодействовали, чтобы предотвратить уязвимости протокола, которые могут привести к использованию авторизационного лимита пользователя и потере активов.
Стратегия изоляции средств
При наличии осознания рисков и достаточной профилактики рисков также рекомендуется проводить эффективное разделение средств, чтобы в крайних случаях снизить степень ущерба для средств. Рекомендуемые стратегии следующие:
Используйте мультиподписной кошелек или холодный кошелек для хранения крупных цифровых активов;
Используйте плагин-кошелек или обычный кошелек в качестве горячего кошелька для повседневного взаимодействия;
Регулярно изменяйте адрес горячего кошелька, чтобы предотвратить его постоянное воздействие на рискованную среду.
Если вы случайно стали жертвой фишинга, мы рекомендуем немедленно предпринять следующие меры для минимизации потерь:
Используйте инструменты управления авторизацией для отмены высоких рисков авторизации;
Если подписан знак permit, но активы еще не были переведены, можно немедленно инициировать новую подпись, чтобы аннулировать старую подпись nonce;
При необходимости быстро переведите оставшиеся активы на новый адрес или холодный кошелек.
![Безошибочные взаимодействия в блокчейне, пожалуйста, сохраните руководство по безопасным сделкам в Web3]###https://img-cdn.gateio.im/webp-social/moments-6ee2b511a2456347db280731b41163ca.webp(
Как безопасно участвовать в аирдроп-акциях
Аирдропы — это распространенный способ продвижения проектов на блокчейне, но в них также скрыты риски. Вот несколько советов:
Исследование фона проекта: обеспечить наличие четкого белого документа, открытой информации о команде и репутации сообщества;
Использование специального адреса: зарегистрируйте специальный кошелек и электронную почту, чтобы изолировать риски основного счета;
Будьте осторожны при нажатии на ссылки: получайте информацию о раздаче только через официальные каналы, избегайте нажатия на подозрительные ссылки в социальных платформах;
Рекомендации по выбору и использованию плагинов
Содержание правил безопасности блокчейна обширно, и не всегда возможно проводить тщательную проверку при каждом взаимодействии. Выбор безопасных плагинов имеет решающее значение и может помочь нам в оценке рисков. Вот конкретные рекомендации:
Доверенные расширения: используйте такие расширения браузера, как MetaMask), которые широко используются в экосистеме Ethereum(. Эти плагины предоставляют функции кошелька и поддерживают взаимодействие с децентрализованными приложениями.
Проверка рейтинга: перед установкой нового плагина проверьте рейтинг пользователей и количество установок. Высокий рейтинг и большое количество установок обычно указывают на то, что плагин более надежен, что снижает риск вредоносного кода.
Поддерживайте обновления: регулярно обновляйте ваши плагины, чтобы получить последние функции безопасности и исправления. Просроченные плагины могут содержать известные уязвимости, которые могут быть использованы злоумышленниками.
Заключение
Следуя приведенным выше рекомендациям по безопасной торговле, пользователи смогут более уверенно взаимодействовать в все более сложной экосистеме блокчейна, значительно повысив защиту своих активов. Несмотря на то, что технология блокчейн имеет свои ключевые преимущества в виде децентрализации и прозрачности, это также означает, что пользователям необходимо самостоятельно справляться с множеством рисков, включая фишинг подписей, утечку приватных ключей и вредоносные приложения.
Для достижения настоящей безопасности при выходе на блокчейн недостаточно полагаться только на инструменты оповещения; ключевым моментом является создание системного сознания безопасности и операционных привычек. Используя аппаратные кошельки, внедряя стратегии изоляции средств, регулярно проверяя разрешения и обновляя плагины и другие меры защиты, а также внедряя концепцию "многоуровневой проверки, отказа от слепой подписи, изоляции средств" в торговые операции, можно действительно достичь "свободного и безопасного выхода на блокчейн".
![Безошибочные взаимодействия на блокчейне, пожалуйста, сохраните руководство по безопасным транзакциям Web3])https://img-cdn.gateio.im/webp-social/moments-3ec8c352d17c8834aba758d3de7beb70.webp(
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
12 Лайков
Награда
12
7
Поделиться
комментарий
0/400
PretendingSerious
· 2ч назад
Боясь быть обманутым, винить только себя?
Посмотреть ОригиналОтветить0
LightningAllInHero
· 19ч назад
Снова учат всех быть неудачниками.
Посмотреть ОригиналОтветить0
LightningPacketLoss
· 07-22 06:06
教科书式 разыгрывайте людей как лохов
Посмотреть ОригиналОтветить0
MetaverseHermit
· 07-22 06:06
Не потеряете, если только не потеряете свой Закрытый ключ.
Посмотреть ОригиналОтветить0
ZkSnarker
· 07-22 05:55
Ну, технически это твои ключи, твоя ответственность... но, серьезно, кто вообще читает эти предупреждающие сообщения?
Руководство по безопасности сделок Web3: 7 ключевых шагов для защиты ваших цифровых активов
Руководство по безопасности сделок Web3: защита ваших цифровых активов
С развитием экосистемы блокчейна, онлайновые транзакции стали неотъемлемой частью повседневной жизни пользователей Web3. Все больше пользователей переводят свои активы с централизованных платформ на децентрализованные сети, и эта тенденция означает, что ответственность за безопасность активов постепенно переходит от платформы к самим пользователям. В блокчейн-среде пользователи должны нести ответственность за каждое действие, будь то импорт кошелька, доступ к децентрализованным приложениям или подписание инициации транзакций; любая ошибка может привести к угрозам безопасности, таким как утечка приватных ключей, злоупотребление авторизацией или серьезные последствия от фишинговых атак.
Несмотря на то, что в настоящее время основные плагины кошельков и браузеров постепенно интегрируют функции распознавания фишинга и предупреждения о рисках, полагаться только на пассивную защиту инструментов все еще сложно для полного избежания рисков в условиях все более сложных методов атак. Чтобы помочь пользователям более четко идентифицировать потенциальные риски в цепочечных транзакциях, в данной статье на основе практического опыта систематизированы высокочастотные рисковые сценарии по всем этапам, а также разработаны систематизированные рекомендации по защите и советы по использованию инструментов, с целью помочь каждому пользователю Web3 создать "самостоятельно контролируемую" линию безопасности.
Основные принципы безопасной торговли:
Рекомендации по безопасной торговле
Безопасная торговля является ключом к защите цифровых активов. Исследования показывают, что использование безопасных кошельков и двухфакторной аутентификации (2FA) может значительно снизить риски. Вот конкретные рекомендации:
Используйте безопасный кошелек: Выберите поставщика кошелька с хорошей репутацией, например, аппаратный кошелек или надежный программный кошелек. Аппаратные кошельки обеспечивают оффлайн-хранение, что снижает риск онлайн-атак, и подходят для хранения крупных цифровых активов.
Дважды проверьте детали транзакции: Перед подтверждением транзакции обязательно проверьте адрес получателя, сумму и сеть (, такие как Ethereum или BNB Chain, чтобы избежать потерь из-за ошибок ввода.
Включить двухфакторную аутентификацию )2FA(: Если торговая платформа или кошелек поддерживают 2FA, обязательно включите его для повышения безопасности аккаунта, особенно при использовании горячего кошелька.
Избегайте использования общедоступного Wi-Fi: Не проводите сделки в общественных сетях Wi-Fi, чтобы избежать фишинга и атак посредников.
Как провести безопасную сделку
Полный процесс торговли децентрализованным приложением включает несколько этапов: установка кошелька, доступ к приложению, подключение кошелька, подпись сообщений, подпись транзакций и обработка после транзакции. На каждом этапе существуют определенные риски безопасности, ниже последовательно будут представлены меры предосторожности в ходе фактической работы.
) 1. Установка кошелька
В настоящее время основным способом использования децентрализованных приложений является взаимодействие через кошельки-плагины для браузера. Основные кошельки, используемые на совместимых с виртуальной машиной Ethereum цепочках, включают MetaMask и другие.
При установке кошелька в виде плагина для Chrome необходимо убедиться, что он загружается и устанавливается из интернет-магазина Chrome, чтобы избежать установки кошельков с бекдорами с третьих сайтов. Пользователям с возможностью рекомендуется использовать аппаратные кошельки в сочетании, чтобы дополнительно повысить общую безопасность хранения приватных ключей.
При установке резервной фразы для кошелька ### обычно используется фраза восстановления из 12-24 слов (, рекомендуется хранить ее в безопасном месте, вдали от цифровых устройств ), например, записать на бумаге и сохранить в сейфе (.
) 2. Доступ к децентрализованным приложениям
Фишинг в вебе является распространённым методом атак в Web3. Типичный случай заключается в том, чтобы под предлогом airdrop'а заманить пользователей на фишинговые приложения, где после подключения кошелька их побуждают подписывать авторизацию токенов, транзакции перевода или подписи авторизации токенов, что приводит к потере активов.
Поэтому, при доступе к децентрализованным приложениям, пользователям необходимо оставаться бдительными, чтобы избежать ловушек веб-фишинга.
Перед доступом к приложению следует подтвердить правильность URL-адреса. Рекомендуется:
После открытия веб-страницы приложения также необходимо провести проверку безопасности адресной строки:
В настоящее время на рынке основные плагин-кошельки также интегрировали определенные функции предупреждения о рисках, которые могут отображать сильные напоминания при посещении рискованных сайтов.
3. Подключить кошелек
После входа в приложение может автоматически произойти подключение кошелька или это действие будет инициировано при нажатии кнопки "Подключить". Плагин-кошелек проведет некоторые проверки и отобразит информацию для текущего приложения.
После подключения кошелька обычно приложение не будет активно вызывать плагин-кошелек, если пользователь не выполняет никаких других действий. Если сайт часто вызывает кошелек для запроса подписи сообщения, подписания транзакций, даже после отказа от подписи, и продолжает всплывать с запросом на подпись, то это может быть признаком фишингового сайта, и с этим следует обращаться с осторожностью.
4. Подпись сообщения
В крайних случаях, например, если злоумышленник атаковал официальный сайт протокола или осуществил атаки, такие как перехват через фронтенд, содержимое страницы может быть заменено. Обычным пользователям бывает трудно проверить безопасность сайта в такой ситуации.
На данном этапе подпись плагина-кошелька является последним барьером для пользователя, сохраняющего свои цифровые активы. Если отклонить злонамеренные подписи, можно защитить свои активы от потерь. Пользователь должен внимательно проверять содержимое подписи при подписании любых сообщений и транзакций, отказываясь от слепых подписей, чтобы избежать потерь активов.
Распространенные типы подписей включают:
![Безошибочные взаимодействия на блокчейне, сохраняйте руководство по безопасным сделкам Web3])https://img-cdn.gateio.im/webp-social/moments-6af084a4250aee742e535f7435bf93c2.webp(
) 5. Подпись сделки
Подпись транзакции используется для авторизации транзакций в блокчейне, таких как переводы или вызов смарт-контрактов. Пользователь подписывает с помощью приватного ключа, сеть проверяет действительность транзакции. В настоящее время многие плагин-кошельки декодируют сообщения, ожидающие подписи, и отображают соответствующий контент, обязательно следуйте принципу «не подписывать вслепую», рекомендации по безопасности:
Для пользователей с определенной технической подготовкой также можно использовать некоторые распространенные методы ручной проверки: копируя адрес целевого контракта в блокчейн-браузер для проверки. Основное содержание проверки включает в себя, является ли контракт открытым, есть ли в последнее время большое количество сделок и присвоил ли блокчейн-браузер этому адресу официальный или злонамеренный ярлык.
6. Обработка после сделки
Избегание фишинговых страниц и вредоносных подписей не означает, что всё в порядке; после сделки также необходимо проводить управление рисками.
После сделки необходимо своевременно проверить состояние транзакции в блокчейне и подтвердить, соответствует ли оно ожидаемому состоянию на момент подписи. Если обнаружены аномалии, немедленно выполните операции по перемещению активов, отмене авторизации и другие действия по ограничению убытков.
Управление одобрением ERC20 также очень важно. В некоторых случаях пользователи предоставили разрешение на токены для определенных контрактов, а спустя годы эти контракты были атакованы, и злоумышленники использовали лимиты одобрения токенов атакуемого контракта для кражи средств пользователей. Чтобы избежать подобных ситуаций, мы рекомендуем пользователям следовать следующим стандартам для предотвращения рисков:
Стратегия изоляции средств
При наличии осознания рисков и достаточной профилактики рисков также рекомендуется проводить эффективное разделение средств, чтобы в крайних случаях снизить степень ущерба для средств. Рекомендуемые стратегии следующие:
Если вы случайно стали жертвой фишинга, мы рекомендуем немедленно предпринять следующие меры для минимизации потерь:
![Безошибочные взаимодействия в блокчейне, пожалуйста, сохраните руководство по безопасным сделкам в Web3]###https://img-cdn.gateio.im/webp-social/moments-6ee2b511a2456347db280731b41163ca.webp(
Как безопасно участвовать в аирдроп-акциях
Аирдропы — это распространенный способ продвижения проектов на блокчейне, но в них также скрыты риски. Вот несколько советов:
Рекомендации по выбору и использованию плагинов
Содержание правил безопасности блокчейна обширно, и не всегда возможно проводить тщательную проверку при каждом взаимодействии. Выбор безопасных плагинов имеет решающее значение и может помочь нам в оценке рисков. Вот конкретные рекомендации:
Заключение
Следуя приведенным выше рекомендациям по безопасной торговле, пользователи смогут более уверенно взаимодействовать в все более сложной экосистеме блокчейна, значительно повысив защиту своих активов. Несмотря на то, что технология блокчейн имеет свои ключевые преимущества в виде децентрализации и прозрачности, это также означает, что пользователям необходимо самостоятельно справляться с множеством рисков, включая фишинг подписей, утечку приватных ключей и вредоносные приложения.
Для достижения настоящей безопасности при выходе на блокчейн недостаточно полагаться только на инструменты оповещения; ключевым моментом является создание системного сознания безопасности и операционных привычек. Используя аппаратные кошельки, внедряя стратегии изоляции средств, регулярно проверяя разрешения и обновляя плагины и другие меры защиты, а также внедряя концепцию "многоуровневой проверки, отказа от слепой подписи, изоляции средств" в торговые операции, можно действительно достичь "свободного и безопасного выхода на блокчейн".
![Безошибочные взаимодействия на блокчейне, пожалуйста, сохраните руководство по безопасным транзакциям Web3])https://img-cdn.gateio.im/webp-social/moments-3ec8c352d17c8834aba758d3de7beb70.webp(