Безопасное взаимодействие в блокчейне: Полное руководство по защите активов пользователей Web3
С расширением экосистемы блокчейна, в блокчейне транзакции стали важной частью повседневных операций пользователей Web3. Активы пользователей ускоренно мигрируют с централизованных платформ на децентрализованные сети, и эта тенденция также означает, что ответственность за безопасность активов постепенно переходит от платформ к самим пользователям. В блокчейн-среде пользователи должны нести ответственность за каждое взаимодействие, независимо от того, импортируют ли они кошелек, обращаются к децентрализованным приложениям или подписывают авторизацию и инициируют транзакции; любое неосторожное действие может стать источником угрозы безопасности и вызвать утечку приватных ключей, злоупотребление авторизацией или фишинг.
Хотя в настоящее время основные плагины для кошельков и браузеры постепенно интегрируют функции распознавания фишинга, уведомления о рисках и другие возможности, полагаться только на пассивную защиту инструментов по-прежнему сложно для полного избежания рисков в условиях все более сложных методов атак. Чтобы помочь пользователям более четко определить потенциальные рисковые точки в цепочечных транзакциях, мы на основе практического опыта проанализировали высокочастотные рисковые сценарии на всех этапах и, сочетая рекомендации по защите и советы по использованию инструментов, разработали системное руководство по безопасности цепочных транзакций, целью которого является помощь каждому пользователю Web3 в создании "самостоятельно контролируемой" линии защиты.
Основные принципы безопасной торговли:
Отказ от слепой подписи: категорически не подписывайте непонятные транзакции или сообщения.
Многоразовая проверка: перед проведением любой транзакции обязательно несколько раз проверьте точность соответствующей информации.
Ключ к защите цифровых активов заключается в безопасных транзакциях. Исследования показывают, что использование безопасных кошельков и двухфакторной аутентификации (2FA) может значительно снизить риски. Вот конкретные рекомендации:
Выберите безопасный кошелек:
Приоритет следует отдать провайдерам кошельков с хорошей репутацией, таким как аппаратные кошельки или известные программные кошельки. Аппаратные кошельки обеспечивают офлайн-хранение, что значительно снижает риск онлайн-атак, особенно для хранения крупных активов.
Тщательно проверьте детали сделки:
Перед подтверждением транзакции обязательно несколько раз проверьте адрес получателя, сумму и сеть, чтобы избежать потерь активов из-за ошибок ввода.
Включите двухфакторную аутентификацию (2FA):
Если торговая платформа или кошелек поддерживают 2FA, настоятельно рекомендуется включить эту функцию для повышения безопасности аккаунта, особенно при использовании горячего кошелька.
Избегайте использования общественного Wi-Fi:
Не проводите сделки в общественных сетях Wi-Fi, чтобы избежать фишинга и атак посредников.
Два, Руководство по безопасным торговым операциям
Полный процесс торговли децентрализованным приложением включает несколько этапов: установка кошелька, доступ к приложению, подключение кошелька, подпись сообщений, подпись транзакций, обработка после транзакции. На каждом этапе существуют определенные риски безопасности, ниже будут последовательно представлены рекомендации по обращению в реальной практике.
1. Установка кошелька:
В настоящее время основным способом использования децентрализованных приложений является взаимодействие через кошельки-плагины для браузеров. Основные кошельки, используемые в Ethereum и совместимых цепочках, включают несколько известных плагинов-кошельков.
При установке кошелька в виде браузерного плагина необходимо убедиться, что он загружается и устанавливается из официального магазина приложений, чтобы избежать установки программного обеспечения кошелька с задними дверями с третьих сайтов. Пользователям, у которых есть такая возможность, рекомендуется также использовать аппаратные кошельки для дальнейшего повышения общей безопасности управления приватными ключами.
При установке резервной фразы для кошелька (обычно это фраза восстановления из 12-24 слов) рекомендуется хранить ее в безопасном физическом месте, вдали от цифровых устройств, например, записав от руки и сохранив в сейфе.
2. Доступ к децентрализованным приложениям
Фишинг в вебе является распространённым методом атак в Web3. Типичный случай заключается в том, чтобы под предлогом аирдропа заманить пользователей на фишинговые приложения, после чего, когда пользователь подключает кошелёк, его вынуждают подписать авторизацию токенов, транзакцию перевода или подпись авторизации токенов, что приводит к потере активов.
Поэтому при доступе к децентрализованным приложениям пользователям необходимо проявлять повышенную осторожность, чтобы избежать ловушек веб-фишинга.
Перед тем как посещать приложение, следует подтвердить точность URL. Рекомендуется:
Избегайте прямого доступа через поисковые системы: злоумышленники могут повысить рейтинг своих фишинговых сайтов, покупая рекламные места.
Осторожно нажимайте на ссылки в социальных сетях: URL-адреса, опубликованные в комментариях или сообщениях, могут быть фишинговыми ссылками.
Многократная проверка правильности веб-сайта приложения: можно проверить через известные платформы данных DeFi, официальные аккаунты социальных сетей проекта и другие каналы.
Добавьте безопасный сайт в закладки браузера: в дальнейшем можно будет посещать его напрямую из закладок.
После открытия веб-страницы приложения необходимо дополнительно провести проверку безопасности адресной строки:
Проверьте, существуют ли подделки домена и URL.
Подтвердите, что это HTTPS-ссылка, браузер должен отображать значок замка🔒.
В настоящее время основные плагин-кошельки на рынке также интегрировали определенные функции предупреждения о рисках, которые могут отображать сильные напоминания при посещении рискованных веб-сайтов.
3. Подключить кошелек
После входа в приложение может автоматически или после активного нажатия кнопки подключения быть вызвана операция подключения кошелька. Плагин-кошелек проведет некоторые проверки и отобразит информацию для текущего приложения.
После подключения кошелька, обычно приложение не будет активно вызывать плагин-кошелек, если пользователь не совершает других действий. Если веб-сайт часто вызывает кошелек для запроса подписи сообщений, подписания транзакций, даже после отказа от подписи, и продолжает всплывать запросы на подпись, это может быть фишинговый сайт, и нужно быть особенно осторожным.
4. Подпись сообщения
В экстремальных случаях, например, если злоумышленник вторгся на официальный сайт протокола или заменил содержимое страницы другим способом, например, через фронтенд, обычным пользователям будет трудно определить безопасность сайта в такой ситуации.
В этот момент подпись плагина-кошелька является последней защитной линией пользователя для защиты своих активов. Просто отказываясь от вредоносных подписей, можно обеспечить безопасность активов. Пользователи должны внимательно проверять содержимое подписи перед подписанием любых сообщений и транзакций, отказываясь от слепых подписей, чтобы избежать потерь активов.
Распространенные типы подписей включают:
eth_sign: Подпись хэшированных данных.
personal_sign: Подпись открытой информации, наиболее часто используется при проверке входа пользователя или подтверждении лицензионного соглашения.
eth_signTypedData (EIP-712): подпись структурированных данных, часто используется для Permit ERC20, выставления на продажу NFT и т.д.
5: Подпись транзакции
Подпись транзакции используется для авторизации транзакций в блокчейне, таких как переводы или вызов смарт-контрактов. Пользователь подписывает своим приватным ключом, сеть проверяет действительность транзакции. В настоящее время многие плагинные кошельки декодируют подписанные сообщения и отображают соответствующее содержимое, пользователям обязательно следует придерживаться принципа "не подписывать вслепую", рекомендации по безопасности:
Тщательно проверьте адрес получателя, сумму и сеть, чтобы избежать ошибок.
Рекомендуется использовать оффлайн-подпись для крупных транзакций, чтобы снизить риск онлайн-атак.
Обратите внимание на газовые сборы, убедитесь, что они разумные, чтобы избежать возможных мошенничеств.
Для пользователей с определенными техническими знаниями также можно использовать некоторые общие методы ручной проверки: скопировав адрес целевого контракта в блокчейн-браузер, чтобы провести проверку, основные моменты проверки включают в себя: является ли контракт открытым исходным кодом, были ли в последнее время большие объемы торгов и отмечает ли браузер этот адрес официальной меткой или меткой мошенничества и т.д.
6. Обработка после сделки
Избежание фишинговых веб-страниц и вредоносных подписей не означает, что вы в полной безопасности; после сделки все равно необходимо проводить управление рисками.
После сделки следует своевременно проверить состояние транзакции в блокчейне и подтвердить, соответствует ли оно ожидаемому состоянию на момент подписания. В случае обнаружения аномалий необходимо немедленно предпринять действия по перемещению активов, отмене полномочий и другим мерам по ограничению убытков.
Управление одобрением ERC20 также очень важно. Были случаи, когда пользователи предоставляли токен-одобрения определённым контрактам, а спустя много лет эти контракты подвергались атакам, и злоумышленники использовали лимиты токенов, предоставленные атакованным контрактам, для кражи средств пользователей. Чтобы избежать подобных ситуаций, рекомендуется пользователям следовать следующим стандартам для предотвращения рисков:
Минимизация авторизации. При авторизации токенов следует ограничивать количество соответствующих токенов в зависимости от потребностей сделки. Например, если для сделки требуется авторизация 100 USDT, то количество авторизации должно быть ограничено 100 USDT, а не использовать стандартную неограниченную авторизацию.
Своевременно отменяйте ненужные авторизации токенов. Пользователи могут войти в профессиональный инструмент управления авторизацией, чтобы проверить статус авторизации соответствующего адреса, отменить авторизацию протоколов, с которыми не было взаимодействия в течение длительного времени, чтобы предотвратить появление уязвимостей в протоколе, которые могут привести к использованию лимита авторизации пользователя и, как следствие, к потерям активов.
Три, стратегия изоляции средств
На основе осознания рисков и надлежащей профилактики рисков также рекомендуется реализовать эффективное разделение средств, чтобы снизить степень их повреждения в экстремальных ситуациях. Рекомендуемые стратегии следующие:
Используйте мультиподписные кошельки или холодные кошельки для хранения крупных активов;
Используйте плагин-кошелек или обычный кошелек, принадлежащий внешнему владельцу, в качестве горячего кошелька для повседневного взаимодействия;
Регулярно меняйте адрес горячего кошелька, чтобы избежать постоянного воздействия адреса в рискованной среде.
Если вы, к сожалению, стали жертвой фишинга, рекомендуется немедленно предпринять следующие меры для снижения ущерба:
Используйте профессиональные инструменты управления авторизацией для отмены высоких рисков авторизации;
Если подписан permit-подпись, но активы еще не переведены, можно немедленно инициировать новую подпись, чтобы сделать старую подпись nonce недействительной;
При необходимости быстро переведите оставшиеся активы на новый адрес или холодный кошелек.
Четыре, безопасное участие в аирдропах
Аирдропы — это распространенный способ продвижения блокчейн-проектов, но в этом также скрыты риски. Вот несколько советов:
Исследование фона проекта: убедитесь, что проект имеет четкий белый документ, открытую информацию о команде и хорошую репутацию в сообществе;
Используйте выделенный адрес: зарегистрируйте специальный кошелек и почту, чтобы изолировать риски от основного аккаунта;
Осторожно нажимайте на ссылки: получайте информацию оairdrop только через официальные каналы, избегайте нажатия на подозрительные ссылки в социальных сетях;
Пять, выбор и рекомендации по использованию плагинов
Содержание правил безопасности в блокчейне разнообразно и может быть трудно тщательно проверять их при каждом взаимодействии, поэтому выбор безопасных плагинов имеет решающее значение, так как они могут помочь нам в оценке рисков. Вот конкретные рекомендации:
Выберите надежные расширения: используйте широко используемые и авторитетные браузерные расширения. Эти плагины предоставляют функции кошелька и поддерживают взаимодействие с децентрализованными приложениями.
Проверка рейтинга: перед установкой нового плагина посмотрите на пользовательский рейтинг и количество установок. Высокий рейтинг и большое количество установок обычно указывают на то, что плагин более надежен, что снижает риск наличия вредоносного кода.
Оставайтесь в курсе: регулярно обновляйте плагины, чтобы получить последние функции безопасности и исправления уязвимостей. Устаревшие плагины могут содержать известные уязвимости, которые могут быть использованы злоумышленниками.
Шесть, Заключение
Следуя приведенным выше рекомендациям по безопасным сделкам, пользователи смогут более уверенно взаимодействовать в все более сложной экосистеме блокчейна, что значительно повысит защиту их активов. Хотя технологии блокчейна имеют свои ключевые преимущества в децентрализации и прозрачности, это также означает, что пользователи должны самостоятельно справляться с множеством рисков, включая фишинг с использованием подписей, утечку приватных ключей и вредоносные приложения.
Для достижения истинной безопасности в блокчейне недостаточно полагаться только на инструменты уведомления; ключевым моментом является создание системного осознания безопасности и производственных привычек. Используя аппаратные кошельки, внедряя стратегии изоляции средств, регулярно проверяя разрешения и обновляя плагины и другие защитные меры, а также внедряя в торговые операции концепцию "многоуровенной проверки, отказа от слепой подписи, изоляции средств", можно по-настоящему обеспечить "свободный и безопасный доступ к блокчейну".
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
24 Лайков
Награда
24
8
Поделиться
комментарий
0/400
CountdownToBroke
· 07-09 17:29
Как неудачники, нас разыгрывают как лохов.
Посмотреть ОригиналОтветить0
ForkThisDAO
· 07-09 17:00
Вот и всё, учись на практике.
Посмотреть ОригиналОтветить0
OldLeekConfession
· 07-08 10:38
Эти "избежания рисков" действительно не лучше, чем просто лечь, как чеснок.
Посмотреть ОригиналОтветить0
SnapshotBot
· 07-06 20:20
Полагаться на технологии, чтобы предотвратить мошенничество? Лучше полагаться на человеческую бдительность.
Посмотреть ОригиналОтветить0
BasementAlchemist
· 07-06 20:19
一次失误提桶Мошенничество
Посмотреть ОригиналОтветить0
StakeHouseDirector
· 07-06 20:18
Приходится самим выполнять операции в цепочке, это ужасно неудобно.
Посмотреть ОригиналОтветить0
ApeEscapeArtist
· 07-06 20:11
Свою сумку ты говоришь, что можешь хорошо управлять, так?
Посмотреть ОригиналОтветить0
AirdropCollector
· 07-06 19:51
неудачники, которых уже разыгрывали, не говорят лжи
Руководство по безопасности активов Web3: Полное руководство по защите взаимодействия в блокчейне
Безопасное взаимодействие в блокчейне: Полное руководство по защите активов пользователей Web3
С расширением экосистемы блокчейна, в блокчейне транзакции стали важной частью повседневных операций пользователей Web3. Активы пользователей ускоренно мигрируют с централизованных платформ на децентрализованные сети, и эта тенденция также означает, что ответственность за безопасность активов постепенно переходит от платформ к самим пользователям. В блокчейн-среде пользователи должны нести ответственность за каждое взаимодействие, независимо от того, импортируют ли они кошелек, обращаются к децентрализованным приложениям или подписывают авторизацию и инициируют транзакции; любое неосторожное действие может стать источником угрозы безопасности и вызвать утечку приватных ключей, злоупотребление авторизацией или фишинг.
Хотя в настоящее время основные плагины для кошельков и браузеры постепенно интегрируют функции распознавания фишинга, уведомления о рисках и другие возможности, полагаться только на пассивную защиту инструментов по-прежнему сложно для полного избежания рисков в условиях все более сложных методов атак. Чтобы помочь пользователям более четко определить потенциальные рисковые точки в цепочечных транзакциях, мы на основе практического опыта проанализировали высокочастотные рисковые сценарии на всех этапах и, сочетая рекомендации по защите и советы по использованию инструментов, разработали системное руководство по безопасности цепочных транзакций, целью которого является помощь каждому пользователю Web3 в создании "самостоятельно контролируемой" линии защиты.
Основные принципы безопасной торговли:
! Никаких недоразумений во взаимодействии в сети, пожалуйста, отложите руководство по безопасным транзакциям Web3
1. Рекомендации по безопасной торговле
Ключ к защите цифровых активов заключается в безопасных транзакциях. Исследования показывают, что использование безопасных кошельков и двухфакторной аутентификации (2FA) может значительно снизить риски. Вот конкретные рекомендации:
Приоритет следует отдать провайдерам кошельков с хорошей репутацией, таким как аппаратные кошельки или известные программные кошельки. Аппаратные кошельки обеспечивают офлайн-хранение, что значительно снижает риск онлайн-атак, особенно для хранения крупных активов.
Перед подтверждением транзакции обязательно несколько раз проверьте адрес получателя, сумму и сеть, чтобы избежать потерь активов из-за ошибок ввода.
Если торговая платформа или кошелек поддерживают 2FA, настоятельно рекомендуется включить эту функцию для повышения безопасности аккаунта, особенно при использовании горячего кошелька.
Не проводите сделки в общественных сетях Wi-Fi, чтобы избежать фишинга и атак посредников.
Два, Руководство по безопасным торговым операциям
Полный процесс торговли децентрализованным приложением включает несколько этапов: установка кошелька, доступ к приложению, подключение кошелька, подпись сообщений, подпись транзакций, обработка после транзакции. На каждом этапе существуют определенные риски безопасности, ниже будут последовательно представлены рекомендации по обращению в реальной практике.
1. Установка кошелька:
В настоящее время основным способом использования децентрализованных приложений является взаимодействие через кошельки-плагины для браузеров. Основные кошельки, используемые в Ethereum и совместимых цепочках, включают несколько известных плагинов-кошельков.
При установке кошелька в виде браузерного плагина необходимо убедиться, что он загружается и устанавливается из официального магазина приложений, чтобы избежать установки программного обеспечения кошелька с задними дверями с третьих сайтов. Пользователям, у которых есть такая возможность, рекомендуется также использовать аппаратные кошельки для дальнейшего повышения общей безопасности управления приватными ключами.
При установке резервной фразы для кошелька (обычно это фраза восстановления из 12-24 слов) рекомендуется хранить ее в безопасном физическом месте, вдали от цифровых устройств, например, записав от руки и сохранив в сейфе.
2. Доступ к децентрализованным приложениям
Фишинг в вебе является распространённым методом атак в Web3. Типичный случай заключается в том, чтобы под предлогом аирдропа заманить пользователей на фишинговые приложения, после чего, когда пользователь подключает кошелёк, его вынуждают подписать авторизацию токенов, транзакцию перевода или подпись авторизации токенов, что приводит к потере активов.
Поэтому при доступе к децентрализованным приложениям пользователям необходимо проявлять повышенную осторожность, чтобы избежать ловушек веб-фишинга.
Перед тем как посещать приложение, следует подтвердить точность URL. Рекомендуется:
После открытия веб-страницы приложения необходимо дополнительно провести проверку безопасности адресной строки:
В настоящее время основные плагин-кошельки на рынке также интегрировали определенные функции предупреждения о рисках, которые могут отображать сильные напоминания при посещении рискованных веб-сайтов.
3. Подключить кошелек
После входа в приложение может автоматически или после активного нажатия кнопки подключения быть вызвана операция подключения кошелька. Плагин-кошелек проведет некоторые проверки и отобразит информацию для текущего приложения.
После подключения кошелька, обычно приложение не будет активно вызывать плагин-кошелек, если пользователь не совершает других действий. Если веб-сайт часто вызывает кошелек для запроса подписи сообщений, подписания транзакций, даже после отказа от подписи, и продолжает всплывать запросы на подпись, это может быть фишинговый сайт, и нужно быть особенно осторожным.
4. Подпись сообщения
В экстремальных случаях, например, если злоумышленник вторгся на официальный сайт протокола или заменил содержимое страницы другим способом, например, через фронтенд, обычным пользователям будет трудно определить безопасность сайта в такой ситуации.
В этот момент подпись плагина-кошелька является последней защитной линией пользователя для защиты своих активов. Просто отказываясь от вредоносных подписей, можно обеспечить безопасность активов. Пользователи должны внимательно проверять содержимое подписи перед подписанием любых сообщений и транзакций, отказываясь от слепых подписей, чтобы избежать потерь активов.
Распространенные типы подписей включают:
5: Подпись транзакции
Подпись транзакции используется для авторизации транзакций в блокчейне, таких как переводы или вызов смарт-контрактов. Пользователь подписывает своим приватным ключом, сеть проверяет действительность транзакции. В настоящее время многие плагинные кошельки декодируют подписанные сообщения и отображают соответствующее содержимое, пользователям обязательно следует придерживаться принципа "не подписывать вслепую", рекомендации по безопасности:
Для пользователей с определенными техническими знаниями также можно использовать некоторые общие методы ручной проверки: скопировав адрес целевого контракта в блокчейн-браузер, чтобы провести проверку, основные моменты проверки включают в себя: является ли контракт открытым исходным кодом, были ли в последнее время большие объемы торгов и отмечает ли браузер этот адрес официальной меткой или меткой мошенничества и т.д.
6. Обработка после сделки
Избежание фишинговых веб-страниц и вредоносных подписей не означает, что вы в полной безопасности; после сделки все равно необходимо проводить управление рисками.
После сделки следует своевременно проверить состояние транзакции в блокчейне и подтвердить, соответствует ли оно ожидаемому состоянию на момент подписания. В случае обнаружения аномалий необходимо немедленно предпринять действия по перемещению активов, отмене полномочий и другим мерам по ограничению убытков.
Управление одобрением ERC20 также очень важно. Были случаи, когда пользователи предоставляли токен-одобрения определённым контрактам, а спустя много лет эти контракты подвергались атакам, и злоумышленники использовали лимиты токенов, предоставленные атакованным контрактам, для кражи средств пользователей. Чтобы избежать подобных ситуаций, рекомендуется пользователям следовать следующим стандартам для предотвращения рисков:
Три, стратегия изоляции средств
На основе осознания рисков и надлежащей профилактики рисков также рекомендуется реализовать эффективное разделение средств, чтобы снизить степень их повреждения в экстремальных ситуациях. Рекомендуемые стратегии следующие:
Если вы, к сожалению, стали жертвой фишинга, рекомендуется немедленно предпринять следующие меры для снижения ущерба:
Четыре, безопасное участие в аирдропах
Аирдропы — это распространенный способ продвижения блокчейн-проектов, но в этом также скрыты риски. Вот несколько советов:
Пять, выбор и рекомендации по использованию плагинов
Содержание правил безопасности в блокчейне разнообразно и может быть трудно тщательно проверять их при каждом взаимодействии, поэтому выбор безопасных плагинов имеет решающее значение, так как они могут помочь нам в оценке рисков. Вот конкретные рекомендации:
Шесть, Заключение
Следуя приведенным выше рекомендациям по безопасным сделкам, пользователи смогут более уверенно взаимодействовать в все более сложной экосистеме блокчейна, что значительно повысит защиту их активов. Хотя технологии блокчейна имеют свои ключевые преимущества в децентрализации и прозрачности, это также означает, что пользователи должны самостоятельно справляться с множеством рисков, включая фишинг с использованием подписей, утечку приватных ключей и вредоносные приложения.
Для достижения истинной безопасности в блокчейне недостаточно полагаться только на инструменты уведомления; ключевым моментом является создание системного осознания безопасности и производственных привычек. Используя аппаратные кошельки, внедряя стратегии изоляции средств, регулярно проверяя разрешения и обновляя плагины и другие защитные меры, а также внедряя в торговые операции концепцию "многоуровенной проверки, отказа от слепой подписи, изоляции средств", можно по-настоящему обеспечить "свободный и безопасный доступ к блокчейну".