Безопасное взаимодействие в блокчейне: Полное руководство по защите активов пользователей Web3

С расширением экосистемы блокчейна, в блокчейне транзакции стали важной частью повседневных операций пользователей Web3. Активы пользователей ускоренно мигрируют с централизованных платформ на децентрализованные сети, и эта тенденция также означает, что ответственность за безопасность активов постепенно переходит от платформ к самим пользователям. В блокчейн-среде пользователи должны нести ответственность за каждое взаимодействие, независимо от того, импортируют ли они кошелек, обращаются к децентрализованным приложениям или подписывают авторизацию и инициируют транзакции; любое неосторожное действие может стать источником угрозы безопасности и вызвать утечку приватных ключей, злоупотребление авторизацией или фишинг.

Хотя в настоящее время основные плагины для кошельков и браузеры постепенно интегрируют функции распознавания фишинга, уведомления о рисках и другие возможности, полагаться только на пассивную защиту инструментов по-прежнему сложно для полного избежания рисков в условиях все более сложных методов атак. Чтобы помочь пользователям более четко определить потенциальные рисковые точки в цепочечных транзакциях, мы на основе практического опыта проанализировали высокочастотные рисковые сценарии на всех этапах и, сочетая рекомендации по защите и советы по использованию инструментов, разработали системное руководство по безопасности цепочных транзакций, целью которого является помощь каждому пользователю Web3 в создании "самостоятельно контролируемой" линии защиты.

Основные принципы безопасной торговли:

• Отказ от слепой подписи: категорически не подписывайте непонятные транзакции или сообщения.
• Многоразовая проверка: перед проведением любой транзакции обязательно несколько раз проверьте точность соответствующей информации.

! Никаких недоразумений во взаимодействии в сети, пожалуйста, отложите руководство по безопасным транзакциям Web3

1. Рекомендации по безопасной торговле

Ключ к защите цифровых активов заключается в безопасных транзакциях. Исследования показывают, что использование безопасных кошельков и двухфакторной аутентификации (2FA) может значительно снизить риски. Вот конкретные рекомендации:

• Выберите безопасный кошелек:

Приоритет следует отдать провайдерам кошельков с хорошей репутацией, таким как аппаратные кошельки или известные программные кошельки. Аппаратные кошельки обеспечивают офлайн-хранение, что значительно снижает риск онлайн-атак, особенно для хранения крупных активов.

• Тщательно проверьте детали сделки:

Перед подтверждением транзакции обязательно несколько раз проверьте адрес получателя, сумму и сеть, чтобы избежать потерь активов из-за ошибок ввода.

• Включите двухфакторную аутентификацию (2FA):

Если торговая платформа или кошелек поддерживают 2FA, настоятельно рекомендуется включить эту функцию для повышения безопасности аккаунта, особенно при использовании горячего кошелька.

• Избегайте использования общественного Wi-Fi:

Не проводите сделки в общественных сетях Wi-Fi, чтобы избежать фишинга и атак посредников.

Два, Руководство по безопасным торговым операциям

Полный процесс торговли децентрализованным приложением включает несколько этапов: установка кошелька, доступ к приложению, подключение кошелька, подпись сообщений, подпись транзакций, обработка после транзакции. На каждом этапе существуют определенные риски безопасности, ниже будут последовательно представлены рекомендации по обращению в реальной практике.

1. Установка кошелька:

В настоящее время основным способом использования децентрализованных приложений является взаимодействие через кошельки-плагины для браузеров. Основные кошельки, используемые в Ethereum и совместимых цепочках, включают несколько известных плагинов-кошельков.

При установке кошелька в виде браузерного плагина необходимо убедиться, что он загружается и устанавливается из официального магазина приложений, чтобы избежать установки программного обеспечения кошелька с задними дверями с третьих сайтов. Пользователям, у которых есть такая возможность, рекомендуется также использовать аппаратные кошельки для дальнейшего повышения общей безопасности управления приватными ключами.

При установке резервной фразы для кошелька (обычно это фраза восстановления из 12-24 слов) рекомендуется хранить ее в безопасном физическом месте, вдали от цифровых устройств, например, записав от руки и сохранив в сейфе.

2. Доступ к децентрализованным приложениям

Фишинг в вебе является распространённым методом атак в Web3. Типичный случай заключается в том, чтобы под предлогом аирдропа заманить пользователей на фишинговые приложения, после чего, когда пользователь подключает кошелёк, его вынуждают подписать авторизацию токенов, транзакцию перевода или подпись авторизации токенов, что приводит к потере активов.

Поэтому при доступе к децентрализованным приложениям пользователям необходимо проявлять повышенную осторожность, чтобы избежать ловушек веб-фишинга.

Перед тем как посещать приложение, следует подтвердить точность URL. Рекомендуется:

• Избегайте прямого доступа через поисковые системы: злоумышленники могут повысить рейтинг своих фишинговых сайтов, покупая рекламные места.
• Осторожно нажимайте на ссылки в социальных сетях: URL-адреса, опубликованные в комментариях или сообщениях, могут быть фишинговыми ссылками.
• Многократная проверка правильности веб-сайта приложения: можно проверить через известные платформы данных DeFi, официальные аккаунты социальных сетей проекта и другие каналы.
• Добавьте безопасный сайт в закладки браузера: в дальнейшем можно будет посещать его напрямую из закладок.

После открытия веб-страницы приложения необходимо дополнительно провести проверку безопасности адресной строки:

• Проверьте, существуют ли подделки домена и URL.
• Подтвердите, что это HTTPS-ссылка, браузер должен отображать значок замка🔒.

В настоящее время основные плагин-кошельки на рынке также интегрировали определенные функции предупреждения о рисках, которые могут отображать сильные напоминания при посещении рискованных веб-сайтов.

3. Подключить кошелек

После входа в приложение может автоматически или после активного нажатия кнопки подключения быть вызвана операция подключения кошелька. Плагин-кошелек проведет некоторые проверки и отобразит информацию для текущего приложения.

После подключения кошелька, обычно приложение не будет активно вызывать плагин-кошелек, если пользователь не совершает других действий. Если веб-сайт часто вызывает кошелек для запроса подписи сообщений, подписания транзакций, даже после отказа от подписи, и продолжает всплывать запросы на подпись, это может быть фишинговый сайт, и нужно быть особенно осторожным.

4. Подпись сообщения

В экстремальных случаях, например, если злоумышленник вторгся на официальный сайт протокола или заменил содержимое страницы другим способом, например, через фронтенд, обычным пользователям будет трудно определить безопасность сайта в такой ситуации.

В этот момент подпись плагина-кошелька является последней защитной линией пользователя для защиты своих активов. Просто отказываясь от вредоносных подписей, можно обеспечить безопасность активов. Пользователи должны внимательно проверять содержимое подписи перед подписанием любых сообщений и транзакций, отказываясь от слепых подписей, чтобы избежать потерь активов.

Распространенные типы подписей включают:

• eth_sign: Подпись хэшированных данных.
• personal_sign: Подпись открытой информации, наиболее часто используется при проверке входа пользователя или подтверждении лицензионного соглашения.
• eth_signTypedData (EIP-712): подпись структурированных данных, часто используется для Permit ERC20, выставления на продажу NFT и т.д.

5: Подпись транзакции

Подпись транзакции используется для авторизации транзакций в блокчейне, таких как переводы или вызов смарт-контрактов. Пользователь подписывает своим приватным ключом, сеть проверяет действительность транзакции. В настоящее время многие плагинные кошельки декодируют подписанные сообщения и отображают соответствующее содержимое, пользователям обязательно следует придерживаться принципа "не подписывать вслепую", рекомендации по безопасности:

• Тщательно проверьте адрес получателя, сумму и сеть, чтобы избежать ошибок.
• Рекомендуется использовать оффлайн-подпись для крупных транзакций, чтобы снизить риск онлайн-атак.
• Обратите внимание на газовые сборы, убедитесь, что они разумные, чтобы избежать возможных мошенничеств.

Для пользователей с определенными техническими знаниями также можно использовать некоторые общие методы ручной проверки: скопировав адрес целевого контракта в блокчейн-браузер, чтобы провести проверку, основные моменты проверки включают в себя: является ли контракт открытым исходным кодом, были ли в последнее время большие объемы торгов и отмечает ли браузер этот адрес официальной меткой или меткой мошенничества и т.д.

6. Обработка после сделки

Избежание фишинговых веб-страниц и вредоносных подписей не означает, что вы в полной безопасности; после сделки все равно необходимо проводить управление рисками.

После сделки следует своевременно проверить состояние транзакции в блокчейне и подтвердить, соответствует ли оно ожидаемому состоянию на момент подписания. В случае обнаружения аномалий необходимо немедленно предпринять действия по перемещению активов, отмене полномочий и другим мерам по ограничению убытков.

Управление одобрением ERC20 также очень важно. Были случаи, когда пользователи предоставляли токен-одобрения определённым контрактам, а спустя много лет эти контракты подвергались атакам, и злоумышленники использовали лимиты токенов, предоставленные атакованным контрактам, для кражи средств пользователей. Чтобы избежать подобных ситуаций, рекомендуется пользователям следовать следующим стандартам для предотвращения рисков:

• Минимизация авторизации. При авторизации токенов следует ограничивать количество соответствующих токенов в зависимости от потребностей сделки. Например, если для сделки требуется авторизация 100 USDT, то количество авторизации должно быть ограничено 100 USDT, а не использовать стандартную неограниченную авторизацию.
• Своевременно отменяйте ненужные авторизации токенов. Пользователи могут войти в профессиональный инструмент управления авторизацией, чтобы проверить статус авторизации соответствующего адреса, отменить авторизацию протоколов, с которыми не было взаимодействия в течение длительного времени, чтобы предотвратить появление уязвимостей в протоколе, которые могут привести к использованию лимита авторизации пользователя и, как следствие, к потерям активов.

Три, стратегия изоляции средств

На основе осознания рисков и надлежащей профилактики рисков также рекомендуется реализовать эффективное разделение средств, чтобы снизить степень их повреждения в экстремальных ситуациях. Рекомендуемые стратегии следующие:

• Используйте мультиподписные кошельки или холодные кошельки для хранения крупных активов;
• Используйте плагин-кошелек или обычный кошелек, принадлежащий внешнему владельцу, в качестве горячего кошелька для повседневного взаимодействия;
• Регулярно меняйте адрес горячего кошелька, чтобы избежать постоянного воздействия адреса в рискованной среде.

Если вы, к сожалению, стали жертвой фишинга, рекомендуется немедленно предпринять следующие меры для снижения ущерба:

• Используйте профессиональные инструменты управления авторизацией для отмены высоких рисков авторизации;
• Если подписан permit-подпись, но активы еще не переведены, можно немедленно инициировать новую подпись, чтобы сделать старую подпись nonce недействительной;
• При необходимости быстро переведите оставшиеся активы на новый адрес или холодный кошелек.

Четыре, безопасное участие в аирдропах

Аирдропы — это распространенный способ продвижения блокчейн-проектов, но в этом также скрыты риски. Вот несколько советов:

• Исследование фона проекта: убедитесь, что проект имеет четкий белый документ, открытую информацию о команде и хорошую репутацию в сообществе;
• Используйте выделенный адрес: зарегистрируйте специальный кошелек и почту, чтобы изолировать риски от основного аккаунта;
• Осторожно нажимайте на ссылки: получайте информацию оairdrop только через официальные каналы, избегайте нажатия на подозрительные ссылки в социальных сетях;

Пять, выбор и рекомендации по использованию плагинов

Содержание правил безопасности в блокчейне разнообразно и может быть трудно тщательно проверять их при каждом взаимодействии, поэтому выбор безопасных плагинов имеет решающее значение, так как они могут помочь нам в оценке рисков. Вот конкретные рекомендации:

• Выберите надежные расширения: используйте широко используемые и авторитетные браузерные расширения. Эти плагины предоставляют функции кошелька и поддерживают взаимодействие с децентрализованными приложениями.
• Проверка рейтинга: перед установкой нового плагина посмотрите на пользовательский рейтинг и количество установок. Высокий рейтинг и большое количество установок обычно указывают на то, что плагин более надежен, что снижает риск наличия вредоносного кода.
• Оставайтесь в курсе: регулярно обновляйте плагины, чтобы получить последние функции безопасности и исправления уязвимостей. Устаревшие плагины могут содержать известные уязвимости, которые могут быть использованы злоумышленниками.

Шесть, Заключение

Следуя приведенным выше рекомендациям по безопасным сделкам, пользователи смогут более уверенно взаимодействовать в все более сложной экосистеме блокчейна, что значительно повысит защиту их активов. Хотя технологии блокчейна имеют свои ключевые преимущества в децентрализации и прозрачности, это также означает, что пользователи должны самостоятельно справляться с множеством рисков, включая фишинг с использованием подписей, утечку приватных ключей и вредоносные приложения.

Для достижения истинной безопасности в блокчейне недостаточно полагаться только на инструменты уведомления; ключевым моментом является создание системного осознания безопасности и производственных привычек. Используя аппаратные кошельки, внедряя стратегии изоляции средств, регулярно проверяя разрешения и обновляя плагины и другие защитные меры, а также внедряя в торговые операции концепцию "многоуровенной проверки, отказа от слепой подписи, изоляции средств", можно по-настоящему обеспечить "свободный и безопасный доступ к блокчейну".