Guía de seguridad de interacción on-chain: Estrategia completa para la protección de activos de usuarios de Web3

Con la continua expansión del ecosistema de blockchain, las transacciones on-chain se han convertido en una parte importante de las operaciones diarias de los usuarios de Web3. Los activos de los usuarios están migrando rápidamente de plataformas centralizadas a redes descentralizadas, y esta tendencia también significa que la responsabilidad de la seguridad de los activos está pasando gradualmente de las plataformas a los propios usuarios. En un entorno on-chain, los usuarios deben ser responsables de cada interacción, ya sea importar una billetera, acceder a aplicaciones descentralizadas o firmar autorizaciones e iniciar transacciones; cualquier operación imprudente podría convertirse en un riesgo de seguridad, causando filtraciones de claves privadas, abuso de autorizaciones o ataques de phishing, entre otras consecuencias graves.

Aunque los complementos de billetera y los navegadores más utilizados actualmente han integrado funciones como la identificación de phishing y advertencias de riesgo, enfrentar técnicas de ataque cada vez más complejas solo con defensas pasivas a través de herramientas sigue siendo difícil para evitar completamente los riesgos. Para ayudar a los usuarios a identificar más claramente los puntos de riesgo potencial en las transacciones on-chain, hemos elaborado, basándonos en experiencias prácticas, una lista de escenarios de riesgo de alta frecuencia en todo el proceso, y junto con sugerencias de protección y técnicas de uso de herramientas, hemos desarrollado un conjunto de directrices sistemáticas de seguridad para transacciones on-chain, con el objetivo de ayudar a cada usuario de Web3 a construir una "línea de defensa segura y autónoma".

Principios fundamentales para un comercio seguro:

• Rechazar la firma ciega: No firmar transacciones o mensajes que no se entiendan.
• Verificación repetida: Antes de realizar cualquier transacción, asegúrese de verificar varias veces la precisión de la información relacionada.

I. Sugerencias para transacciones seguras

La clave para proteger los activos digitales radica en las transacciones seguras. Los estudios demuestran que el uso de billeteras seguras y la verificación en dos pasos (2FA) pueden reducir significativamente el riesgo. Aquí están las recomendaciones específicas:

• Elige una billetera segura:

Prioriza proveedores de billeteras con buena reputación, como billeteras de hardware o billeteras de software reconocidas. Las billeteras de hardware ofrecen almacenamiento fuera de línea, lo que reduce significativamente el riesgo de ataques en línea, siendo especialmente adecuadas para almacenar activos de gran valor.

• Verificar cuidadosamente los detalles de la transacción:

Antes de confirmar la transacción, asegúrate de verificar repetidamente la dirección de recepción, el monto y la red para evitar la pérdida de activos debido a errores de entrada.

• Activar la verificación en dos pasos (2FA):

Si la plataforma de intercambio o la billetera admite 2FA, se recomienda encarecidamente habilitar esta función para mejorar la seguridad de la cuenta, especialmente al usar billeteras calientes.

• Evita usar Wi-Fi público:

No realices transacciones en redes Wi-Fi públicas para evitar ser víctima de ataques de phishing y ataques de intermediarios.

2. Guía de operaciones de comercio seguro

Un proceso completo de transacción de una aplicación descentralizada incluye múltiples etapas: instalación de la billetera, acceso a la aplicación, conexión de la billetera, firma de mensajes, firma de transacciones y procesamiento posterior a la transacción. Cada etapa presenta ciertos riesgos de seguridad, a continuación se describirán las precauciones a tener en cuenta durante la operación.

1. Instalación de la billetera:

Actualmente, la forma principal de uso de las aplicaciones descentralizadas es a través de billeteras de extensión de navegador. Las billeteras más populares utilizadas en Ethereum y cadenas compatibles incluyen varias billeteras de extensión conocidas.

Al instalar una billetera de extensión del navegador, es necesario asegurarse de descargarla desde la tienda oficial de aplicaciones y evitar la instalación desde sitios web de terceros, para prevenir la instalación de software de billetera con puertas traseras. Se recomienda a los usuarios que lo permitan combinar el uso de una billetera de hardware para mejorar aún más la seguridad general de la gestión de claves privadas.

Al instalar la frase semilla de respaldo de la billetera (generalmente una frase de recuperación de 12 a 24 palabras), se recomienda almacenarla en un lugar físico seguro, lejos de dispositivos digitales, como escribirla a mano y guardarla en una caja fuerte.

2. Acceder a aplicaciones descentralizadas

El phishing web es una técnica común en los ataques de Web3. Un caso típico es inducir a los usuarios a visitar aplicaciones de phishing bajo el pretexto de un airdrop, donde tras conectar su billetera, se les induce a firmar autorizaciones de tokens, transacciones de transferencia o firmas de autorización de tokens, lo que resulta en la pérdida de activos.

Por lo tanto, al acceder a aplicaciones descentralizadas, los usuarios deben mantenerse alerta y evitar caer en las trampas de phishing en la web.

Antes de acceder a la aplicación, confirme la exactitud de la URL. Sugerencia:

• Evita acceder directamente a través de motores de búsqueda: los atacantes de phishing pueden hacer que sus sitios web de phishing tengan un mejor ranking comprando espacios publicitarios.
• Ten cuidado al hacer clic en los enlaces en las redes sociales: las URL publicadas en comentarios o mensajes pueden ser enlaces de phishing.
• Verificar la exactitud de la URL de la aplicación a través de varios canales: se puede verificar a través de plataformas de datos DeFi reconocidas, cuentas oficiales de redes sociales del proyecto, entre otros.
• Agregar el sitio web seguro a los marcadores del navegador: acceder directamente desde los marcadores más adelante.

Después de abrir la página de la aplicación, también es necesario realizar una verificación de seguridad en la barra de direcciones:

• Verificar si hay situaciones de suplantación de dominio y URL.
• Confirma si es un enlace HTTPS, el navegador debe mostrar el símbolo de candado 🔒.

Actualmente, las principales billeteras de plugins en el mercado también han integrado ciertas funciones de advertencia de riesgos, que pueden mostrar recordatorios fuertes al acceder a sitios web de riesgo.

3. Conectar billetera

Al ingresar a la aplicación, es posible que se active automáticamente o tras hacer clic en el botón de conexión para conectar la cartera. La cartera de extensión realizará algunas verificaciones y mostrará información relacionada con la aplicación actual.

Después de conectar la billetera, normalmente la aplicación no activa proactivamente la billetera de complemento cuando el usuario no realiza otras operaciones. Si el sitio web solicita con frecuencia que la billetera firme mensajes, firme transacciones e incluso sigue apareciendo solicitudes de firma después de rechazar la firma, es muy probable que sea un sitio de phishing, por lo que se debe tener especial cuidado.

4. Firma de mensajes

En situaciones extremas, como cuando un atacante invade el sitio web oficial del protocolo o sustituye el contenido de la página a través de un secuestro en el front-end, es muy difícil para los usuarios comunes identificar la seguridad del sitio web en tales escenarios.

En este momento, la firma de la billetera de plugins es la última línea de defensa del usuario para proteger sus activos. Siempre que se rechacen las firmas maliciosas, se puede garantizar la seguridad de los activos. Los usuarios deben revisar cuidadosamente el contenido de la firma al firmar cualquier mensaje y transacción, rechazando las firmas ciegas para evitar la pérdida de activos.

Los tipos de firma más comunes incluyen:

• eth_sign: Firmar datos hash.
• personal_sign: Firmar información en texto claro, es lo más común durante la verificación de inicio de sesión del usuario o la confirmación del acuerdo de autorización.
• eth_signTypedData (EIP-712): firma de datos estructurados, comúnmente utilizado para el Permiso de ERC20, órdenes de NFT, etc.

5: Firma de la transacción

La firma de la transacción se utiliza para autorizar las transacciones en la cadena de bloques, como transferencias o llamadas a contratos inteligentes. Los usuarios firman con su clave privada, y la red verifica la validez de la transacción. Actualmente, muchas billeteras de plugins decodifican los mensajes a firmar y muestran el contenido relevante; los usuarios deben seguir el principio de no firmar ciegamente. Consejos de seguridad:

• Verifique cuidadosamente la dirección del beneficiario, el monto y la red para evitar errores.
• Se recomienda utilizar el método de firma fuera de línea para transacciones grandes, reduciendo el riesgo de ataques en línea.
• Presta atención a las tarifas de gas, asegúrate de que sean razonables y evita posibles estafas.

Para los usuarios con cierto conocimiento técnico, también se pueden utilizar algunos métodos comunes de verificación manual: revisar el contrato objetivo de interacción copiando su dirección en un explorador de blockchain, donde los principales contenidos a examinar incluyen si el contrato es de código abierto, si ha habido un gran volumen de transacciones recientemente y si el explorador ha etiquetado la dirección con etiquetas oficiales o maliciosas, entre otros.

6. Procesamiento posterior a la transacción

Evitar páginas de phishing y firmas maliciosas no significa que estés completamente a salvo; después de la transacción, aún es necesario realizar una gestión de riesgos.

Después de la transacción, se debe verificar a tiempo el estado on-chain de la transacción para confirmar si coincide con el estado esperado al momento de la firma. Si se detecta alguna anomalía, se deben tomar de inmediato medidas de mitigación, como la transferencia de activos y la revocación de autorizaciones.

La gestión de la aprobación ERC20 también es muy importante. Ha habido casos que muestran que, después de que los usuarios otorgaron autorización de tokens a ciertos contratos, estos contratos fueron atacados años después, y los atacantes aprovecharon el límite de autorización de tokens del contrato afectado para robar los fondos de los usuarios. Para evitar tales situaciones, se recomienda a los usuarios seguir los siguientes estándares para la prevención de riesgos:

• Minimizar la autorización. Al autorizar tokens, se debe limitar la cantidad de tokens autorizados según las necesidades de la transacción. Por ejemplo, si una transacción requiere autorizar 100USDT, la cantidad autorizada debe limitarse a 100USDT, en lugar de utilizar la autorización predeterminada ilimitada.
• Revocar a tiempo las autorizaciones de tokens innecesarios. Los usuarios pueden iniciar sesión en la herramienta de gestión de autorizaciones profesional para consultar el estado de autorización de la dirección correspondiente y revocar las autorizaciones de los protocolos que no han tenido interacción durante mucho tiempo, para evitar que los protocolos presenten vulnerabilidades que puedan llevar a la pérdida de activos debido al uso de los límites de autorización del usuario.

Tres, estrategia de aislamiento de fondos

Sobre la base de tener conciencia de los riesgos y de realizar una adecuada prevención de riesgos, también se sugiere implementar una efectiva segregación de fondos, para reducir el grado de daño a los fondos en situaciones extremas. La estrategia recomendada es la siguiente:

• Utiliza una billetera multifirma o una billetera fría para almacenar activos de gran valor;
• Utilice una cartera de plugin o una cartera externa de propiedad general como cartera caliente para interacciones diarias;
• Cambiar regularmente la dirección del monedero caliente para evitar que la dirección esté expuesta continuamente a un entorno de riesgo.

Si desafortunadamente sufres un ataque de phishing, se recomienda tomar las siguientes medidas de inmediato para reducir las pérdidas:

• Utilizar herramientas de gestión de autorizaciones profesionales para cancelar autorizaciones de alto riesgo;
• Si se ha firmado un permiso pero los activos no se han transferido, se puede iniciar inmediatamente una nueva firma para invalidar el nonce de la firma anterior;
• Si es necesario, transfiera rápidamente los activos restantes a una nueva dirección o billetera fría.

Cuatro, participar de manera segura en actividades de airdrop

El airdrop es una forma común de promoción de proyectos de blockchain, pero también conlleva riesgos. A continuación, se presentan algunos consejos:

• Investigación de antecedentes del proyecto: asegurarse de que el proyecto tenga un libro blanco claro, información del equipo pública y una buena reputación en la comunidad;
• Utilizar una dirección dedicada: registrar una billetera y un correo electrónico dedicados, aislando el riesgo de la cuenta principal;
• Precaución al hacer clic en enlaces: obtenga información sobre airdrops únicamente a través de canales oficiales, evite hacer clic en enlaces sospechosos en plataformas sociales;

Cinco, recomendaciones para la selección y uso de herramientas de plugins

El contenido de las normas de seguridad de la blockchain es extenso y puede ser difícil realizar una revisión detallada en cada interacción, por lo que es crucial elegir complementos seguros que nos ayuden a hacer juicios de riesgo. A continuación, se presentan sugerencias específicas:

• Selecciona extensiones de confianza: utiliza extensiones de navegador ampliamente utilizadas y de buena reputación. Estos complementos ofrecen funciones de billetera y admiten la interacción con aplicaciones descentralizadas.
• Verificación de calificación: antes de instalar un nuevo complemento, consulta la calificación de los usuarios y el número de instalaciones. Una alta calificación y un gran número de instalaciones generalmente indican que el complemento es más confiable, lo que reduce el riesgo de código malicioso.
• Mantener actualizado: Actualiza regularmente los complementos para obtener las últimas funciones de seguridad y correcciones de vulnerabilidades. Los complementos obsoletos pueden contener vulnerabilidades conocidas que son fáciles de explotar por los atacantes.

Seis, Conclusión

Al seguir las pautas de seguridad para transacciones mencionadas anteriormente, los usuarios pueden interactuar con mayor confianza en el cada vez más complejo ecosistema de blockchain, mejorando efectivamente su capacidad de protección de activos. Aunque la tecnología blockchain tiene como principales ventajas la descentralización y la transparencia, esto también significa que los usuarios deben enfrentarse de manera independiente a múltiples riesgos, incluidos el phishing de firmas, la filtración de claves privadas y las aplicaciones maliciosas.

Para lograr una verdadera seguridad on-chain, depender únicamente de las herramientas de aviso no es suficiente; establecer una conciencia de seguridad sistemática y hábitos operativos es clave. A través del uso de billeteras de hardware, la implementación de estrategias de aislamiento de fondos, la revisión periódica de autorizaciones y la actualización de complementos, así como la promoción del concepto de "multifirma, rechazo de firmas ciegas, aislamiento de fondos" en las operaciones de transacción, se puede lograr realmente "subir a la cadena de manera libre y segura".