Посібник з безпеки взаємодії у блокчейні: повний посібник з захисту активів користувачів Web3

З розширенням екосистеми блокчейн, у блокчейні транзакції стали важливою складовою повсякденних операцій користувачів Web3. Активи користувачів прискорено переміщуються з централізованих платформ до децентралізованих мереж, і ця тенденція також означає, що відповідальність за безпеку активів поступово переходить від платформи до самих користувачів. У блокчейні користувачі повинні нести відповідальність за кожну взаємодію, незалежно від того, чи це імпорт гаманця, доступ до децентралізованих додатків, чи підписання авторизацій та ініціювання транзакцій; будь-яка необережна дія може стати загрозою безпеці, викликавши витік приватного ключа, зловживання авторизацією або фішингові атаки та інші серйозні наслідки.

Хоча основні плагіни гаманців і браузери поступово інтегрують функції виявлення фішингу, попередження про ризики та інші можливості, проте, з огляду на все більш складні методи атак, покладатися лише на пасивну оборону інструментів все ще важко повністю уникнути ризиків. Щоб допомогти користувачам більш чітко визначати потенційні ризики в транзакціях у блокчейні, ми на основі практичного досвіду систематизували найбільш поширені ризикові сценарії на всіх етапах, а також спільно з рекомендаціями щодо захисту та порадами з використання інструментів розробили комплексні рекомендації з безпеки транзакцій у блокчейні, що має на меті допомогти кожному користувачу Web3 побудувати "автономний контрольований" захист.

Основні принципи безпечної торгівлі:

• Відмовтеся від сліпого підписання: рішуче не підписуйте транзакції чи повідомлення, які ви не розумієте.
• Повторна перевірка: перед здійсненням будь-якої угоди обов'язково кілька разів перевірте точність відповідної інформації.

Один, Рекомендації щодо безпечної торгівлі

Ключ до захисту цифрових активів полягає в безпечних транзакціях. Дослідження показують, що використання безпечних гаманців та двохетапної перевірки (2FA) може значно знизити ризики. Ось конкретні поради:

• Виберіть безпечний гаманець:

Пріоритет слід надавати постачальникам гаманців з доброю репутацією, таким як апаратні гаманці або відомі програмні гаманці. Апаратні гаманці забезпечують офлайн-зберігання, що значно знижує ризик онлайн-атак, особливо підходять для зберігання великих активів.

• Уважно перевірте деталі угоди:

Перед підтвердженням транзакції обов'язково неодноразово перевірте адресу отримання, суму та мережу, щоб уникнути втрат активів через помилки введення.

• Увімкнути двофакторну аутентифікацію (2FA):

Якщо торговельна платформа або гаманець підтримують 2FA, настійно рекомендується увімкнути цю функцію для підвищення безпеки облікового запису, особливо під час використання гарячого гаманця.

• Уникайте використання загального Wi-Fi:

Не проводьте транзакції в мережах Wi-Fi, щоб уникнути фішингових атак та атак посередників.

Два, Посібник з безпечних торгових операцій

Повний процес торгівлі децентралізованими додатками складається з кількох етапів: установка гаманця, доступ до додатка, підключення гаманця, підписання повідомлень, підписання транзакцій, обробка після транзакції. Кожен етап має певні ризики безпеки, нижче будуть поетапно описані рекомендації щодо безпеки під час фактичних операцій.

1. Встановлення гаманця:

Наразі основний спосіб використання децентралізованих додатків - це взаємодія через гаманці-розширення для браузера. Основними гаманцями, що використовуються в Ethereum та сумісних ланцюгах, є кілька відомих гаманців-розширень.

При установці гаманця браузера необхідно переконатися, що ви завантажуєте його з офіційного магазину додатків, уникаючи встановлення з третіх сайтів, щоб уникнути інсталяції гаманця з бекдором. Користувачам, яким це дозволяє умови, рекомендується використовувати апаратний гаманець у поєднанні для подальшого підвищення загальної безпеки управління приватними ключами.

Під час установки резервної фрази для гаманця (зазвичай це 12-24 слова для відновлення) рекомендується зберігати її в безпечному фізичному місці, подалі від цифрових пристроїв, наприклад, написати від руки і зберігати в сейфі.

2. Доступ до децентралізованих додатків

Фішинг в Інтернеті є поширеним методом атак у Web3. Типовий випадок полягає в тому, що під виглядом airdrop користувачів спонукають відвідати фішингові додатки, після чого, підключивши гаманець, їх спонукають підписати авторизацію токенів, транзакції або підпис токенів, що призводить до втрати активів.

Тому, під час доступу до децентралізованих додатків, користувачі повинні зберігати високу обережність, щоб уникнути потрапляння в пастку фішингових веб-сторінок.

Перед доступом до програми слід підтвердити точність веб-адреси. Рекомендації:

• Уникайте прямого доступу через пошукові системи: зловмисники можуть підвищити рейтинг своїх фішингових сайтів, купуючи рекламні місця.
• Обережно натискайте на посилання в соціальних мережах: URL-адреси, опубліковані в коментарях або повідомленнях, можуть бути фішинговими.
• Перевірка правильності веб-сайту за допомогою декількох джерел: можна перевірити через відомі платформи даних DeFi, офіційні соціальні медіа-акаунти проекту та інші канали.
• Додайте безпечний веб-сайт до закладок браузера: наступні рази відвідуйте його безпосередньо з закладок.

Після відкриття веб-сторінки програми потрібно також провести перевірку адресного рядка на безпеку:

• Перевірте, чи існують випадки підробки доменних імен та веб-сайтів.
• Підтвердіть, чи є це HTTPS-посиланням, браузер має відображати значок замка🔒.

Наразі основні плагіни-гаманці на ринку також інтегрували певні функції попередження про ризики, які можуть відображати сильне нагадування при доступі до ризикованих веб-сайтів.

3. Підключити гаманець

Після входу в додаток може автоматично або після активного натискання кнопки підключення бути ініційовано підключення гаманця. Плагін-гаманець проведе деякі перевірки та відобразить інформацію щодо поточного додатка.

Після підключення гаманця, зазвичай, коли користувач нічого більше не робить, додаток не ініціює активне виклик плагін-гаманця. Якщо сайт після входу часто запитує підписати повідомлення, підписати транзакцію, навіть після відмови від підписання продовжує з'являтися запит на підпис, то це, ймовірно, фішинг-сайт, до якого слід ставитися з особливою обережністю.

4. Підпис повідомлення

У крайніх випадках, наприклад, якщо зловмисник вдереться на офіційний веб-сайт протоколу або змінив вміст сторінки шляхом захоплення фронтенду, звичайним користувачам буде важко оцінити безпеку сайту в таких сценаріях.

У цей час підпис плагін-гаманець є останньою лінією захисту користувача для захисту своїх активів. Досить відмовитися від зловмисних підписів, щоб забезпечити безпеку активів. Користувачі повинні ретельно перевіряти вміст підпису, відмовлятися від сліпих підписів під час підписання будь-яких повідомлень та угод, щоб уникнути втрати активів.

Типові типи підписів включають:

• eth_sign: підписати хеш-дані.
• personal_sign: підписання відкритої інформації, найчастіше використовується під час перевірки входу користувача або підтвердження угоди про дозвіл.
• eth_signTypedData (EIP-712): підписання структурованих даних, зазвичай використовується для Permit ERC20, NFT ордерів тощо.

5：Підпис угоди

Підпис угоди використовується для авторизації транзакцій у блокчейні, таких як перекази або виклик смарт-контрактів. Користувач підписує приватним ключем, а мережа перевіряє дійсність транзакції. Наразі багато плагін-гаманець декодують підписані повідомлення та показують відповідний вміст, користувачі повинні дотримуватися принципу обережності при підписанні, рекомендації щодо безпеки:

• Уважно перевірте адресу отримувача, суму та мережу, щоб уникнути помилок.
• Рекомендується використовувати офлайн-підпис для великих транзакцій, щоб зменшити ризик онлайн-атак.
• Зверніть увагу на витрати газу, забезпечте їх адекватність, щоб уникнути можливих шахрайств.

Для користувачів, які мають певні технічні знання, також можна використовувати деякі поширені методи ручної перевірки: шляхом копіювання адреси цільового контракту в блокчейн-браузер для перевірки, основні елементи перевірки включають, чи є контракт з відкритим кодом, чи були нещодавно великі обсяги угод, а також чи помітив браузер офіційні або шкідливі мітки для цієї адреси тощо.

6. Обробка після торгівлі

Уникаючи фішингових веб-сторінок та шкідливих підписів, це не означає, що ви повністю в безпеці; після交易 все ще потрібно проводити управління ризиками.

Після угоди слід своєчасно перевірити стан угоди у блокчейні, щоб підтвердити, чи відповідає він очікуваному стану під час підписання. Якщо виявлено аномалії, необхідно терміново вжити заходів для переведення активів, скасування авторизації та інших дій для обмеження збитків.

Управління схвалення ERC20 також є дуже важливим. Існують випадки, коли користувачі надали токенне схвалення певним контрактам, а через кілька років ці контракти зазнали атаки, і зловмисники використали обсяг токенного схвалення атакованого контракту для викрадення коштів користувачів. Щоб уникнути подібних ситуацій, рекомендується дотримуватися наступних стандартів для запобігання ризикам:

• Мінімізація авторизації. Під час авторизації токенів слід обмежити відповідну кількість токенів відповідно до вимог угоди. Наприклад, якщо для певної угоди потрібно авторизувати 100 USDT, то кількість авторизації повинна бути обмежена до 100 USDT, а не використовувати за замовчуванням не обмежену авторизацію.
• Вчасно скасовуйте непотрібні дозволи на токени. Користувачі можуть увійти в професійний інструмент управління дозволами, щоб перевірити статус дозволів відповідної адреси, скасовувати дозволи на протоколи, з якими не було взаємодії протягом тривалого часу, щоб запобігти виникненню вразливостей у протоколах, які можуть призвести до втрати активів через використання дозволів користувачів.

Три, стратегія ізоляції коштів

На основі усвідомлення ризиків та належної профілактики ризиків також рекомендується впровадження ефективної ізоляції коштів, щоб зменшити ступінь їх пошкодження в екстремальних ситуаціях. Рекомендується наступна стратегія:

• Використовуйте мультипідписний гаманець або холодний гаманець для зберігання великих активів;
• Використовуйте плагінні гаманці або звичайні гаманці з зовнішніми власниками для щоденних взаємодій у якості гарячого гаманця;
• Регулярно змінюйте адреси гарячих гаманців, щоб уникнути постійного піддавання ризику.

Якщо ви потрапили під фішинг-атаку, рекомендується негайно вжити наступних заходів для зменшення втрат:

• Використовуйте професійні інструменти управління авторизацією для скасування високих ризиків авторизації;
• Якщо підписано permit, але активи ще не були переміщені, можна негайно ініціювати новий підпис, щоб зробити старий підпис nonce недійсним;
• За необхідності, швидко перенесіть залишкові активи на нову адресу або холодний гаманець.

Чотири, Безпечна участь у аеродропах

Аірдроп є поширеним способом просування блокчейн-проєктів, але в ньому також приховані ризики. Ось кілька порад:

• Дослідження фону проекту: забезпечте наявність чіткого білого документа, відкритої інформації про команду та хорошої репутації в спільноті;
• Використання спеціальної адреси: зареєструйте спеціальний гаманець та електронну пошту, щоб ізолювати ризики від основного рахунку;
• Обережно натискайте на посилання: отримуйте інформацію про аірдроп лише через офіційні канали, уникайте натискання на підозрілі посилання в соціальних мережах;

П'яте, вибір і рекомендації щодо використання плагінів

Правила безпеки у блокчейні містять багато інформації, і може бути важко проводити детальну перевірку під час кожної взаємодії, тому вибір безпечних плагінів є надзвичайно важливим, оскільки вони можуть допомогти нам зробити оцінку ризиків. Нижче наведені конкретні рекомендації:

• Вибір надійних розширень: використовуйте широко використовувані та перевірені браузерні розширення. Ці плагіни надають функції гаманця та підтримують взаємодію з децентралізованими додатками.
• Перевірка рейтингу: перед встановленням нових плагінів перегляньте рейтинг користувачів та кількість установок. Високий рейтинг та велика кількість установок зазвичай вказують на те, що плагін є більш надійним, зменшуючи ризик наявності шкідливого коду.
• Залишайтеся в курсі: регулярно оновлюйте плагіни для отримання останніх функцій безпеки та виправлень вразливостей. Застарілі плагіни можуть містити відомі вразливості, які легко можуть бути використані зловмисниками.

Шість, висновок

Слідуючи наведеним вище рекомендаціям щодо безпечних угод, користувачі можуть більш впевнено взаємодіяти в дедалі складнішій екосистемі у блокчейні, суттєво підвищуючи можливості захисту своїх активів. Хоча технологія блокчейн має своїм основним перевагою децентралізацію та прозорість, це також означає, що користувачі повинні самостійно справлятися з багатьма ризиками, включаючи фішинг підписів, витік приватних ключів, шкідливі додатки.

Щоб досягти справжньої безпеки у блокчейні, покладатися лише на інструменти для сповіщення абсолютно недостатньо, важливо встановити системну обізнаність про безпеку та звички у роботі. Використовуючи апаратні гаманці, реалізуючи стратегії ізоляції коштів, регулярно перевіряючи авторизацію та оновлення плагінів та інші заходи захисту, а також впроваджуючи в операціях з торгівлі принципи "багаторазової перевірки, відмови від сліпого підпису, ізоляції коштів", можна дійсно досягти "свободи і безпеки на блокчейні".