Посібник з безпечних транзакцій Web3: Захистіть свої активи у блокчейні
З розвитком екосистеми блокчейну, у блокчейні транзакції стали невід'ємною частиною повсякденної діяльності користувачів Web3. Активи користувачів поступово переміщуються з централізованих платформ до децентралізованих мереж, що означає, що відповідальність за безпеку активів також поступово переходить від платформ до самих користувачів. У середовищі у блокчейні користувачі повинні нести відповідальність за кожен етап взаємодії, незалежно від того, імпортують вони гаманець, отримують доступ до додатків, чи підписують авторизацію та ініціюють транзакції, будь-яка необережна дія може стати загрозою безпеці, що призведе до витоку приватного ключа, зловживання авторизацією або фішингових атак та інших серйозних наслідків.
Хоча наразі основні плагіни для гаманців та браузери поступово інтегрували функції виявлення фішингових атак, попередження про ризики та інші, проте, з огляду на дедалі складніші методи атак, покладатися лише на пасивний захист інструментів все ще важко повністю уникнути ризиків. Щоб допомогти користувачам чіткіше ідентифікувати потенційні ризикові точки в угодах у блокчейні, ця стаття на основі практичного досвіду систематизувала високочастотні ризикові сценарії в повному процесі, а також розробила системний посібник з безпеки угод у блокчейні, поєднуючи рекомендації щодо захисту та поради щодо використання інструментів, з метою допомогти кожному користувачу Web3 створити "самостійно контрольовану" лінію безпеки.
Основні принципи безпечних транзакцій:
Відмовтеся від сліпого підписання: не підписуйте угоди чи повідомлення, які ви не розумієте.
Повторна перевірка: перед проведенням будь-якої транзакції обов'язково кілька разів перевірте точність відповідної інформації.
Один, Рекомендації щодо безпечної торгівлі
Безпечна торгівля є ключем до захисту цифрових активів. Дослідження показують, що використання безпечних гаманців та двофакторної аутентифікації (2FA) може суттєво знизити ризики. Ось конкретні рекомендації:
Використовуйте безпечний гаманець: обирайте постачальників гаманців з хорошою репутацією, таких як апаратні гаманці або відомі програмні гаманці. Апаратні гаманці забезпечують офлайн-зберігання, що знижує ризик онлайн-атак, і підходять для зберігання великих активів.
Подвійна перевірка деталей транзакції: перед підтвердженням транзакції завжди перевіряйте адресу отримання, суму та мережу (наприклад, переконайтеся, що ви використовуєте правильний у блокчейні, як-от Ethereum або BNB Chain тощо), щоб уникнути втрат через помилки введення.
Увімкніть двофакторну автентифікацію (2FA): якщо торговельна платформа або гаманець підтримує 2FA, обов'язково увімкніть його для підвищення безпеки облікового запису, особливо при використанні гарячого гаманця.
Уникайте використання громадського Wi-Fi: не проводьте транзакції в мережах громадського Wi-Fi, щоб уникнути фішингових атак і атак посередників.
Два, як здійснити безпечну угоду
Повний процес торгівлі децентралізованими додатками складається з кількох етапів: встановлення гаманця, доступ до додатку, підключення гаманця, підписання повідомлення, підписання угоди, обробка угоди після завершення. Кожен етап має певні ризики безпеки, нижче наведено рекомендації щодо обережності під час фактичного виконання.
Примітка: у цьому випадку основна увага приділяється безпечним процесам взаємодії в Ethereum та на всіх EVM-сумісних ланцюгах, інструменти та конкретні технічні деталі, що використовуються на інших не-EVM ланцюгах, можуть відрізнятися.
1. Встановлення гаманця
Наразі основним способом використання децентралізованих додатків є взаємодія через гаманці-розширення для браузера. Основні гаманці, які використовуються у EVM-ланцюгах, включають різні варіанти.
При установці гаманця плагіна Chrome необхідно підтвердити завантаження з магазину додатків Chrome, уникаючи встановлення з третіх сайтів, щоб запобігти встановленню гаманця з бекдором. Користувачам, які мають можливості, рекомендується комбінувати використання апаратного гаманця для подальшого підвищення загальної безпеки зберігання приватних ключів.
Під час встановлення резервної фрази для гаманця (зазвичай це від 12 до 24 слів для відновлення) рекомендується зберігати її в безпечному місці, подалі від цифрових пристроїв (наприклад, записати на папері та зберегти в сейфі).
2. Відвідування децентралізованих додатків
Фішинг в Інтернеті є поширеним методом атак у Web3. Типовий випадок полягає в тому, що користувачів спокушають відвідати фішингові додатки під приводом аеродропу, після чого їх спонукають підписувати авторизацію токенів, транзакції переказу або підпис на авторизацію токенів після підключення гаманця, що призводить до втрати активів.
Тому, під час доступу до децентралізованих додатків, користувачам потрібно бути обережними, щоб уникнути пасток фішингових веб-сторінок.
Перед доступом до децентралізованих додатків слід підтвердити правильність URL-адреси. Рекомендується:
Уникайте прямого доступу через пошукові системи: зловмисники можуть підвищити рейтинг своїх фішингових сайтів, купуючи рекламні місця.
Уникайте натискання на посилання в соціальних мережах: URL-адреси, що публікуються в коментарях або повідомленнях, можуть бути фішинговими.
Повторно перевірте правильність адреси застосунку: можна перевірити через платформи даних, офіційні облікові записи соціальних мереж проєкту тощо.
Додайте безпечний сайт до закладок браузера: надалі відвідуйте його безпосередньо з закладок.
Після відкриття веб-сторінки програми також потрібно провести перевірку безпеки адресного рядка:
Перевірте, чи доменне ім'я та URL не виглядають підробленими.
Перевірте, чи є це посиланням HTTPS, браузер має показувати значок замка🔒.
На сьогоднішній день основні плагін-гаманці на ринку також інтегрували певні функції попередження про ризики, які можуть показувати сильне попередження при відвідуванні ризикових веб-сайтів.
3. Підключити гаманець
Після входу до децентралізованого застосунку може автоматично або після активного натискання на "Підключити" бути ініційовано підключення гаманця. Плагін гаманець проведе деякі перевірки та відобразить інформацію для поточного застосунку.
Після підключення гаманця зазвичай, якщо користувач не виконує інших дій, застосунок не буде активно викликати плагін-гаманець. Якщо вебсайт часто запитує підписання повідомлень, підписання транзакцій після входу, навіть після відмови від підпису, і продовжує з'являтися вікно підпису, це може бути ознакою фішингового сайту, з яким потрібно бути обережним.
4. Підпис повідомлення
У крайніх випадках, наприклад, коли зловмисник атакує офіційний веб-сайт протоколу або використовує атаки, такі як перехоплення через фронтенд, щоб змінити вміст сторінки. Звичайним користувачам дуже важко в таких ситуаціях оцінити безпеку веб-сайту.
У цей час підпис плагіна-гаманця є останньою перешкодою для користувача для збереження своїх активів. Якщо відмовитися від злонамірних підписів, можна захистити свої активи від втрат. Користувачі повинні уважно перевіряти вміст підпису перед підписанням будь-якого повідомлення чи угоди та відмовлятися від сліпих підписів, щоб уникнути втрати активів.
Звичайні типи підписів включають:
eth_sign: підписати хешовані дані.
personal_sign: підписання відкритої інформації, найчастіше використовується під час перевірки входу користувача або підтвердження угоди про дозвіл.
eth_signTypedData (EIP-712): підписання структурованих даних, часто використовується для Permit ERC20, NFT-замовлень тощо.
5. Підпис угоди
Підпис транзакції використовується для авторизації транзакцій у блокчейні, таких як перекази або виклики смарт-контрактів. Користувач підписує приватним ключем, а мережа перевіряє дійсність транзакції. Наразі багато плагін-гаманців декодують повідомлення, що підлягають підписанню, і відображають відповідний контент. Обов'язково дотримуйтесь принципу «не підписуйте сліпо», рекомендації з безпеки:
Уважно перевірте адресу отримувача, суму та мережу, щоб уникнути помилок.
Рекомендується підписувати великі угоди в оффлайн-режимі, щоб зменшити ризик онлайн-атак.
Зверніть увагу на витрати на газ, забезпечте їх розумність, уникайте шахрайств.
Для користувачів, які мають певний технічний запас, також можна використовувати деякі загальні методи ручної перевірки: копіюючи адресу цільового контракту до блокчейн-браузера для перевірки, основні пункти перевірки включають, чи є контракт відкритим, чи не було останнім часом великої кількості транзакцій та чи позначено браузером цю адресу офіційною або шкідливою міткою.
6. Обробка після угоди
Уникнення фішингових веб-сторінок та шкідливих підписів не означає, що все в порядку; після угоди також потрібно проводити управління ризиками.
Після угоди слід своєчасно перевірити стан угоди в у блокчейні, підтвердивши, чи відповідає він очікуваному стану під час підписання. Якщо будуть виявлені аномалії, терміново необхідно провести операції з переведення активів, відкликання авторизації та інші заходи для обмеження збитків.
Управління дозволами ERC20 також є дуже важливим. В деяких випадках користувачі надавали токен-авторизацію певним контрактам, а через кілька років ці контракти зазнавали атак, і зловмисники використовували дозволи токенів атакованого контракту, щоб вкрасти кошти користувачів. Щоб уникнути таких ситуацій, рекомендується користувачам дотримуватися наступних стандартів для запобігання ризикам:
Мінімізація авторизації. Коли здійснюється авторизація токенів, необхідно обмежити кількість авторизованих токенів відповідно до потреби транзакції. Якщо для якоїсь транзакції потрібно авторизувати 100USDT, то кількість авторизації повинна бути обмежена 100USDT, а не використовувати за замовчуванням безмежну авторизацію.
Своєчасно відкликайтесь непридатні авторизації токенів. Користувачі можуть увійти в інструмент управління авторизаціями, щоб перевірити стан авторизацій відповідних адрес, відкликати авторизації протоколів, які не взаємодіяли тривалий час, щоб запобігти потенційним вразливостям протоколу, які можуть призвести до втрати активів через використання авторизаційних лімітів користувача.
Три, стратегія ізоляції коштів
За наявності усвідомлення ризиків та проведення достатньої профілактики ризиків також рекомендується забезпечити ефективну ізоляцію коштів, щоб зменшити ступінь втрат у разі екстремальних обставин. Рекомендовані стратегії такі:
Використовуйте мультипідписний гаманець або холодний гаманець для зберігання великих активів;
Використовуйте плагін-гаманець або EOA-гаманець як гарячий гаманець для щоденної взаємодії;
Регулярно змінюйте адреси гарячих гаманців, щоб запобігти постійному піддаванню адреси ризиковому середовищу.
Якщо випадково дійсно трапилася ситуація з фішингом, рекомендується негайно вжити такі заходи для зменшення втрат:
Скасувати високі повноваження за допомогою інструменту управління доступом;
Якщо підписано permit, але активи ще не були передані, можна негайно ініціювати новий підпис, щоб зробити старий nonce підпису недійсним;
У разі необхідності, швидко перенесіть залишкові активи на нову адресу або холодний гаманець.
Чотири, як безпечно брати участь у аірдропах
Аірдропи є поширеним способом просування блокчейн-проектів, але в них також приховані ризики. Ось кілька порад:
Дослідження фону проекту: забезпечити наявність чіткої білої книги, відкритої інформації про команду та репутації в спільноті;
Використовуйте спеціальну адресу: зареєструйте спеціальний гаманець та електронну пошту, щоб ізолювати ризики основного рахунку;
Обережно натискайте на посилання: отримуйте інформацію про аеродропи лише через офіційні канали, уникайте натискання на сумнівні посилання в соціальних мережах;
5. Пропозиції щодо вибору та використання інструментів плагіна
Вміст правил безпеки у блокчейні великий, і не завжди можливо детально перевірити кожну взаємодію, тому вибір безпечних плагінів є надзвичайно важливим, оскільки вони можуть допомогти нам у здійсненні оцінки ризиків. Ось конкретні поради:
Довірені розширення: використовуйте розширення браузера, які мають високе загальне використання. Ці плагіни надають функції гаманця, підтримують взаємодію з децентралізованими додатками.
Перевірка рейтингу: перед встановленням нового плагіна перевірте рейтинги користувачів та кількість установок. Високий рейтинг і велика кількість установок зазвичай вказують на те, що плагін є більш надійним, що зменшує ризик наявності шкідливого коду.
Тримайте оновлення: регулярно оновлюйте свої плагіни, щоб отримати останні функції безпеки та виправлення. Прострочені плагіни можуть містити відомі вразливості, які легко можуть бути використані зловмисниками.
Шість, висновок
Слідуючи наведеним вище рекомендаціям з безпечних транзакцій, користувачі можуть більш спокійно взаємодіяти в дедалі складнішій екосистемі у блокчейні, суттєво підвищуючи свою здатність захищати активи. Хоча технологія блокчейн є децентралізованою та прозорою, це також означає, що користувачам потрібно самостійно справлятися з множинними ризиками, такими як фішинг підписів, витік приватних ключів, шкідливі програми.
Щоб досягти справжньої безпеки у блокчейні, покладатися лише на інструменти нагадування явно недостатньо. Ключовим є формування системного усвідомлення безпеки та операційних звичок. Використовуючи апаратні гаманці, впроваджуючи стратегії ізоляції коштів, регулярно перевіряючи дозволи та оновлюючи плагіни, а також реалізуючи принципи "багаторазової перевірки, відмови від сліпого підпису, ізоляції коштів" під час проведення транзакцій, можна дійсно досягти "свободи та безпеки у блокчейні".
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
11 лайків
Нагородити
11
4
Репост
Поділіться
Прокоментувати
0/400
StakeHouseDirector
· 21год тому
Навіть сирі яйця можуть бути вкрадені, хто може бути надійним?
Переглянути оригіналвідповісти на0
OnchainGossiper
· 21год тому
Не безпечно, то використовуйте протокол сої
Переглянути оригіналвідповісти на0
ForkMaster
· 21год тому
Одразу видно, що криптоветерани обдурюють невдах старими методами, лише білий капелюх знає ці хитрощі.
Переглянути оригіналвідповісти на0
CryptoMom
· 21год тому
На чому це засновано, що знову ми повинні нести відповідальність?
Посібник з безпеки транзакцій у Web3 у блокчейні: Стратегії управління ризиками та захисту активів по всьому процесу
Посібник з безпечних транзакцій Web3: Захистіть свої активи у блокчейні
З розвитком екосистеми блокчейну, у блокчейні транзакції стали невід'ємною частиною повсякденної діяльності користувачів Web3. Активи користувачів поступово переміщуються з централізованих платформ до децентралізованих мереж, що означає, що відповідальність за безпеку активів також поступово переходить від платформ до самих користувачів. У середовищі у блокчейні користувачі повинні нести відповідальність за кожен етап взаємодії, незалежно від того, імпортують вони гаманець, отримують доступ до додатків, чи підписують авторизацію та ініціюють транзакції, будь-яка необережна дія може стати загрозою безпеці, що призведе до витоку приватного ключа, зловживання авторизацією або фішингових атак та інших серйозних наслідків.
Хоча наразі основні плагіни для гаманців та браузери поступово інтегрували функції виявлення фішингових атак, попередження про ризики та інші, проте, з огляду на дедалі складніші методи атак, покладатися лише на пасивний захист інструментів все ще важко повністю уникнути ризиків. Щоб допомогти користувачам чіткіше ідентифікувати потенційні ризикові точки в угодах у блокчейні, ця стаття на основі практичного досвіду систематизувала високочастотні ризикові сценарії в повному процесі, а також розробила системний посібник з безпеки угод у блокчейні, поєднуючи рекомендації щодо захисту та поради щодо використання інструментів, з метою допомогти кожному користувачу Web3 створити "самостійно контрольовану" лінію безпеки.
Основні принципи безпечних транзакцій:
Один, Рекомендації щодо безпечної торгівлі
Безпечна торгівля є ключем до захисту цифрових активів. Дослідження показують, що використання безпечних гаманців та двофакторної аутентифікації (2FA) може суттєво знизити ризики. Ось конкретні рекомендації:
Використовуйте безпечний гаманець: обирайте постачальників гаманців з хорошою репутацією, таких як апаратні гаманці або відомі програмні гаманці. Апаратні гаманці забезпечують офлайн-зберігання, що знижує ризик онлайн-атак, і підходять для зберігання великих активів.
Подвійна перевірка деталей транзакції: перед підтвердженням транзакції завжди перевіряйте адресу отримання, суму та мережу (наприклад, переконайтеся, що ви використовуєте правильний у блокчейні, як-от Ethereum або BNB Chain тощо), щоб уникнути втрат через помилки введення.
Увімкніть двофакторну автентифікацію (2FA): якщо торговельна платформа або гаманець підтримує 2FA, обов'язково увімкніть його для підвищення безпеки облікового запису, особливо при використанні гарячого гаманця.
Уникайте використання громадського Wi-Fi: не проводьте транзакції в мережах громадського Wi-Fi, щоб уникнути фішингових атак і атак посередників.
Два, як здійснити безпечну угоду
Повний процес торгівлі децентралізованими додатками складається з кількох етапів: встановлення гаманця, доступ до додатку, підключення гаманця, підписання повідомлення, підписання угоди, обробка угоди після завершення. Кожен етап має певні ризики безпеки, нижче наведено рекомендації щодо обережності під час фактичного виконання.
Примітка: у цьому випадку основна увага приділяється безпечним процесам взаємодії в Ethereum та на всіх EVM-сумісних ланцюгах, інструменти та конкретні технічні деталі, що використовуються на інших не-EVM ланцюгах, можуть відрізнятися.
1. Встановлення гаманця
Наразі основним способом використання децентралізованих додатків є взаємодія через гаманці-розширення для браузера. Основні гаманці, які використовуються у EVM-ланцюгах, включають різні варіанти.
При установці гаманця плагіна Chrome необхідно підтвердити завантаження з магазину додатків Chrome, уникаючи встановлення з третіх сайтів, щоб запобігти встановленню гаманця з бекдором. Користувачам, які мають можливості, рекомендується комбінувати використання апаратного гаманця для подальшого підвищення загальної безпеки зберігання приватних ключів.
Під час встановлення резервної фрази для гаманця (зазвичай це від 12 до 24 слів для відновлення) рекомендується зберігати її в безпечному місці, подалі від цифрових пристроїв (наприклад, записати на папері та зберегти в сейфі).
2. Відвідування децентралізованих додатків
Фішинг в Інтернеті є поширеним методом атак у Web3. Типовий випадок полягає в тому, що користувачів спокушають відвідати фішингові додатки під приводом аеродропу, після чого їх спонукають підписувати авторизацію токенів, транзакції переказу або підпис на авторизацію токенів після підключення гаманця, що призводить до втрати активів.
Тому, під час доступу до децентралізованих додатків, користувачам потрібно бути обережними, щоб уникнути пасток фішингових веб-сторінок.
Перед доступом до децентралізованих додатків слід підтвердити правильність URL-адреси. Рекомендується:
Після відкриття веб-сторінки програми також потрібно провести перевірку безпеки адресного рядка:
На сьогоднішній день основні плагін-гаманці на ринку також інтегрували певні функції попередження про ризики, які можуть показувати сильне попередження при відвідуванні ризикових веб-сайтів.
3. Підключити гаманець
Після входу до децентралізованого застосунку може автоматично або після активного натискання на "Підключити" бути ініційовано підключення гаманця. Плагін гаманець проведе деякі перевірки та відобразить інформацію для поточного застосунку.
Після підключення гаманця зазвичай, якщо користувач не виконує інших дій, застосунок не буде активно викликати плагін-гаманець. Якщо вебсайт часто запитує підписання повідомлень, підписання транзакцій після входу, навіть після відмови від підпису, і продовжує з'являтися вікно підпису, це може бути ознакою фішингового сайту, з яким потрібно бути обережним.
4. Підпис повідомлення
У крайніх випадках, наприклад, коли зловмисник атакує офіційний веб-сайт протоколу або використовує атаки, такі як перехоплення через фронтенд, щоб змінити вміст сторінки. Звичайним користувачам дуже важко в таких ситуаціях оцінити безпеку веб-сайту.
У цей час підпис плагіна-гаманця є останньою перешкодою для користувача для збереження своїх активів. Якщо відмовитися від злонамірних підписів, можна захистити свої активи від втрат. Користувачі повинні уважно перевіряти вміст підпису перед підписанням будь-якого повідомлення чи угоди та відмовлятися від сліпих підписів, щоб уникнути втрати активів.
Звичайні типи підписів включають:
5. Підпис угоди
Підпис транзакції використовується для авторизації транзакцій у блокчейні, таких як перекази або виклики смарт-контрактів. Користувач підписує приватним ключем, а мережа перевіряє дійсність транзакції. Наразі багато плагін-гаманців декодують повідомлення, що підлягають підписанню, і відображають відповідний контент. Обов'язково дотримуйтесь принципу «не підписуйте сліпо», рекомендації з безпеки:
Для користувачів, які мають певний технічний запас, також можна використовувати деякі загальні методи ручної перевірки: копіюючи адресу цільового контракту до блокчейн-браузера для перевірки, основні пункти перевірки включають, чи є контракт відкритим, чи не було останнім часом великої кількості транзакцій та чи позначено браузером цю адресу офіційною або шкідливою міткою.
6. Обробка після угоди
Уникнення фішингових веб-сторінок та шкідливих підписів не означає, що все в порядку; після угоди також потрібно проводити управління ризиками.
Після угоди слід своєчасно перевірити стан угоди в у блокчейні, підтвердивши, чи відповідає він очікуваному стану під час підписання. Якщо будуть виявлені аномалії, терміново необхідно провести операції з переведення активів, відкликання авторизації та інші заходи для обмеження збитків.
Управління дозволами ERC20 також є дуже важливим. В деяких випадках користувачі надавали токен-авторизацію певним контрактам, а через кілька років ці контракти зазнавали атак, і зловмисники використовували дозволи токенів атакованого контракту, щоб вкрасти кошти користувачів. Щоб уникнути таких ситуацій, рекомендується користувачам дотримуватися наступних стандартів для запобігання ризикам:
Три, стратегія ізоляції коштів
За наявності усвідомлення ризиків та проведення достатньої профілактики ризиків також рекомендується забезпечити ефективну ізоляцію коштів, щоб зменшити ступінь втрат у разі екстремальних обставин. Рекомендовані стратегії такі:
Якщо випадково дійсно трапилася ситуація з фішингом, рекомендується негайно вжити такі заходи для зменшення втрат:
Чотири, як безпечно брати участь у аірдропах
Аірдропи є поширеним способом просування блокчейн-проектів, але в них також приховані ризики. Ось кілька порад:
5. Пропозиції щодо вибору та використання інструментів плагіна
Вміст правил безпеки у блокчейні великий, і не завжди можливо детально перевірити кожну взаємодію, тому вибір безпечних плагінів є надзвичайно важливим, оскільки вони можуть допомогти нам у здійсненні оцінки ризиків. Ось конкретні поради:
Шість, висновок
Слідуючи наведеним вище рекомендаціям з безпечних транзакцій, користувачі можуть більш спокійно взаємодіяти в дедалі складнішій екосистемі у блокчейні, суттєво підвищуючи свою здатність захищати активи. Хоча технологія блокчейн є децентралізованою та прозорою, це також означає, що користувачам потрібно самостійно справлятися з множинними ризиками, такими як фішинг підписів, витік приватних ключів, шкідливі програми.
Щоб досягти справжньої безпеки у блокчейні, покладатися лише на інструменти нагадування явно недостатньо. Ключовим є формування системного усвідомлення безпеки та операційних звичок. Використовуючи апаратні гаманці, впроваджуючи стратегії ізоляції коштів, регулярно перевіряючи дозволи та оновлюючи плагіни, а також реалізуючи принципи "багаторазової перевірки, відмови від сліпого підпису, ізоляції коштів" під час проведення транзакцій, можна дійсно досягти "свободи та безпеки у блокчейні".