Guía de seguridad de transacciones Web3: Construir una defensa de seguridad controlada por el usuario
Con el continuo desarrollo del ecosistema blockchain, las transacciones en cadena se han convertido en una parte importante de las actividades diarias de los usuarios de Web3. Los activos de los usuarios están gradualmente trasladándose de plataformas centralizadas a redes descentralizadas, y esta tendencia significa que la responsabilidad de la seguridad de los activos está pasando de las plataformas a los propios usuarios. En un entorno en cadena, los usuarios deben hacerse responsables de cada interacción, incluyendo la importación de billeteras, el acceso a DApps, la firma de autorizaciones y el inicio de transacciones. Cualquier error en la operación puede dar lugar a riesgos de seguridad, lo que puede causar la filtración de claves privadas, el abuso de autorizaciones o ataques de phishing, entre otras graves consecuencias.
A pesar de que actualmente los principales complementos de billetera y navegadores están integrando gradualmente funciones de identificación y alerta de riesgos, enfrentar métodos de ataque cada vez más complejos hace que depender únicamente de la defensa pasiva de herramientas sea difícil para evitar completamente los riesgos. Para ayudar a los usuarios a identificar mejor los riesgos potenciales en las transacciones en cadena, hemos recopilado una guía completa de seguridad en transacciones en cadena basada en la experiencia práctica, con el objetivo de ayudar a los usuarios de Web3 a establecer un sistema de protección de seguridad "autónomo y controlado".
Principios fundamentales del comercio seguro:
Rechazar la firma ciega: no firmar transacciones o mensajes que no se entiendan.
Verificación repetida: Antes de realizar cualquier transacción, asegúrese de verificar varias veces la precisión de la información relevante.
Sugerencias para un comercio seguro
La clave para proteger los activos digitales radica en las transacciones seguras. Los estudios muestran que el uso de billeteras seguras y la verificación en dos pasos (2FA) pueden reducir significativamente el riesgo. Las recomendaciones específicas son las siguientes:
Elegir una billetera segura y confiable:
Prioriza billeteras de hardware de buena reputación o billeteras de software conocidas. Las billeteras de hardware ofrecen almacenamiento fuera de línea, lo que reduce efectivamente el riesgo de ataques en línea, y son adecuadas para almacenar grandes cantidades de activos.
Verifique atentamente los detalles de la transacción:
Antes de confirmar la transacción, asegúrate de verificar la dirección de recepción, el monto y la información de la red, para evitar pérdidas debido a errores de entrada.
Habilitar la autenticación de dos factores (2FA):
Si la plataforma de intercambio o la billetera soportan 2FA, se recomienda encarecidamente habilitarla para mejorar la seguridad de la cuenta, especialmente al usar billeteras calientes.
Evite usar Wi-Fi público:
No realices transacciones en redes Wi-Fi públicas para evitar ataques de phishing y ataques de intermediarios.
Guía de operaciones de comercio seguro
Un proceso completo de transacción de DApp incluye múltiples etapas: instalación de la billetera, acceso a la DApp, conexión de la billetera, firma de mensajes, firma de transacciones y procesamiento posterior a la transacción. Cada etapa conlleva ciertos riesgos de seguridad, a continuación se detallarán las precauciones a tener en cuenta en cada fase.
1. Instalación de la billetera
Actualmente, las DApps interactúan principalmente a través de billeteras de navegador. Para Ethereum y cadenas compatibles con EVM, las billeteras comunes incluyen MetaMask, entre otras.
Al instalar la billetera del complemento de Chrome, asegúrese de descargarla desde la tienda oficial de aplicaciones, evitando instalarla desde sitios web de terceros para prevenir la instalación de software de billetera con puertas traseras. Se recomienda a los usuarios que puedan hacerlo que utilicen junto con una billetera de hardware para mejorar aún más la seguridad de la gestión de claves privadas.
Al hacer una copia de seguridad de la frase semilla (que normalmente es una frase de recuperación de 12 a 24 palabras), se recomienda almacenarla en un lugar físico seguro, lejos de dispositivos digitales, como escribirla en papel y guardarla en una caja fuerte.
2. Acceder a DApp
El phishing web es una técnica común en los ataques de Web3. Un caso típico es usar un airdrop como cebo, lo que lleva a los usuarios a visitar un DApp de phishing, donde se les induce a firmar autorizaciones de tokens, transacciones de transferencia o firmas de autorización de tokens una vez que conectan su billetera, lo que resulta en pérdidas de activos.
Por lo tanto, al acceder a DApp, se debe mantener una alta vigilancia para evitar caer en trampas de phishing en la web.
Antes de acceder a la DApp, confirme la corrección de la URL. Sugerencia:
Evite acceder directamente a través de motores de búsqueda, ya que los atacantes podrían hacer que su sitio web de phishing tenga un mejor ranking mediante la compra de espacios publicitarios.
Ten cuidado al hacer clic en los enlaces de las redes sociales, las URL en comentarios o mensajes pueden ser enlaces de phishing.
Verificar la precisión de la URL de la DApp mediante la comparación entre el mercado de DApps, las cuentas oficiales de redes sociales del proyecto y otros canales.
Agrega sitios web seguros a los marcadores del navegador para acceder directamente desde los marcadores en el futuro.
Después de abrir la página web de DApp, también es necesario realizar una verificación de seguridad en la barra de direcciones:
Verificar si hay situaciones de suplantación de dominio y URL.
Confirma si es un enlace HTTPS, el navegador debe mostrar el símbolo de candado de seguridad.
Actualmente, las principales billeteras de complemento han integrado ciertas funciones de advertencia de riesgos, que pueden dar fuertes advertencias al acceder a sitios web sospechosos.
3. Conectar billetera
Al ingresar a la DApp, es posible que se active automáticamente o al hacer clic en Conectar la operación de conexión de la billetera. La billetera de plugin realizará algunas verificaciones y mostrará información sobre la DApp actual.
Generalmente, después de conectar la billetera, si el usuario no realiza ninguna otra acción, el DApp no invocará proactivamente la billetera del plugin. Si el sitio web solicita frecuentemente firmar o aprobar transacciones después de iniciar sesión, incluso después de rechazar la firma, es muy probable que sea un sitio web de phishing y debe manejarse con precaución.
4. Firma de mensaje
En situaciones extremas, como cuando un atacante ha logrado infiltrarse en el sitio web oficial del protocolo o ha modificado el contenido de la página a través de métodos de secuestro del frontend, es muy difícil para los usuarios comunes discernir la seguridad del sitio.
En este momento, la función de firma de la billetera del complemento se convierte en la última línea de defensa para proteger los activos de los usuarios. Siempre que se rechacen las firmas maliciosas, se puede prevenir efectivamente la pérdida de activos. Los usuarios deben revisar cuidadosamente el contenido de la firma al firmar cualquier mensaje y transacción, y rechazar las firmas ciegas para evitar la pérdida de activos.
Los tipos de firma comunes incluyen:
eth_sign: utilizado para firmar datos hash.
personal_sign: Se utiliza para firmar información en texto claro, siendo más común durante la verificación de inicio de sesión del usuario o la confirmación de acuerdos de licencia.
eth_signTypedData (EIP-712): utilizado para firmar datos estructurados, comúnmente usado en escenarios como el Permiso de ERC20, pedidos de NFT, etc.
5. Firma de transacción
La firma de transacciones se utiliza para autorizar transacciones en la blockchain, como transferencias o llamadas a contratos inteligentes. Los usuarios firman con su clave privada, y la red verifica la validez de la transacción. Actualmente, muchas billeteras de plugins analizan el mensaje a firmar y muestran el contenido relevante; los usuarios deben seguir el principio de no firmar ciegamente. Se recomiendan las siguientes medidas de seguridad:
Verifica cuidadosamente la dirección del destinatario, la cantidad y la red para evitar errores.
Se recomienda utilizar la firma fuera de línea para transacciones grandes, con el fin de reducir el riesgo de ataques en línea.
Presta atención a las tarifas de gas, asegúrate de que las tarifas sean razonables y mantente alerta ante posibles fraudes.
Para los usuarios con un cierto trasfondo técnico, también se pueden adoptar algunos métodos de verificación manual: copiar la dirección del contrato objetivo en un explorador de blockchain (como etherscan) para su revisión, prestando especial atención a si el contrato es de código abierto, si ha habido un gran número de transacciones recientemente, y si el explorador de blockchain ha etiquetado esa dirección con una etiqueta oficial o maliciosa, entre otros.
6. Procesamiento posterior a la transacción
Incluso si se logra evitar páginas de phishing y firmas maliciosas, se debe llevar a cabo la gestión de riesgos después de la transacción.
Después de completar la transacción, se debe revisar a tiempo el estado de la transacción en la cadena, confirmando si coincide con el estado esperado al momento de la firma. Si se detecta alguna anomalía, se deben tomar inmediatamente medidas de mitigación de pérdidas, como la transferencia de activos o la revocación de autorizaciones.
La gestión de la aprobación de ERC20 también es muy importante. Ha habido casos que muestran que, después de que los usuarios otorgaron autorización de tokens a ciertos contratos, años después esos contratos fueron atacados, y los atacantes utilizaron el límite de autorización de tokens del contrato atacado para robar los fondos de los usuarios. Para prevenir este tipo de riesgos, se recomienda a los usuarios seguir los siguientes principios:
Minimizar la autorización. Al autorizar tokens, se debe limitar la cantidad de tokens autorizados según las necesidades de la transacción. Por ejemplo, si una transacción requiere autorizar 100 USDT, entonces la cantidad autorizada debe limitarse a 100 USDT, en lugar de usar la autorización ilimitada por defecto.
Revoke inmediatamente las autorizaciones de tokens no deseados. Los usuarios pueden iniciar sesión en plataformas como revoke.cash para verificar el estado de las autorizaciones de sus direcciones, revocando las autorizaciones de protocolos que no han tenido interacciones durante mucho tiempo, para evitar que se produzcan vulnerabilidades en el protocolo que puedan llevar a la pérdida de activos debido al uso de las autorizaciones del usuario.
Estrategia de segregación de fondos
Incluso si se tiene conciencia de los riesgos y se han tomado medidas de prevención adecuadas, se recomienda implementar una estrategia efectiva de aislamiento de fondos para reducir el grado de daño a los fondos en situaciones extremas. Las estrategias recomendadas son las siguientes:
Utiliza una billetera multifirma o una billetera fría para almacenar activos de gran valor;
Utiliza una cartera de plugin o una cartera EOA como cartera caliente para interacciones diarias;
Cambiar regularmente la dirección del monedero caliente para reducir la posibilidad de que la dirección esté expuesta a un entorno de riesgo durante mucho tiempo.
Si desafortunadamente se encuentra con un ataque de phishing, se recomienda tomar las siguientes medidas de inmediato para reducir las pérdidas:
Utiliza herramientas como Revoke.cash para revocar autorizaciones de alto riesgo;
Si se ha firmado un permiso pero el activo aún no se ha transferido, se puede iniciar inmediatamente una nueva firma para invalidar el nonce de la firma antigua;
Si es necesario, transfiera rápidamente los activos restantes a una nueva dirección o a una billetera fría.
Participación segura en actividades de airdrop
El airdrop es una forma común de promoción de proyectos de blockchain, pero también conlleva riesgos. A continuación, se presentan algunos consejos:
Investigación de antecedentes del proyecto: Asegurarse de que el proyecto tenga un libro blanco claro, información del equipo pública y una buena reputación en la comunidad;
Utilizar direcciones específicas: registrar una billetera y un correo electrónico dedicados, aislando el riesgo de la cuenta principal;
Haz clic con precaución en los enlaces: obtén información sobre airdrops solo a través de canales oficiales, evita hacer clic en enlaces sospechosos en plataformas sociales.
Sugerencias para la selección y uso de herramientas de plugins
El contenido de las normas de seguridad de blockchain es extenso y puede ser difícil realizar un chequeo detallado en cada interacción, por lo que es crucial elegir herramientas de plugins seguras que nos ayuden a hacer juicios sobre los riesgos. Las recomendaciones específicas son las siguientes:
Elija extensiones de confianza: use extensiones de navegador ampliamente utilizadas como MetaMask (para el ecosistema de Ethereum). Estos complementos ofrecen funciones de billetera y admiten la interacción con DApps.
Verifica las opiniones de los usuarios: antes de instalar un nuevo complemento, revisa las calificaciones de los usuarios y la cantidad de instalaciones. Las altas calificaciones y un gran número de instalaciones suelen indicar que el complemento es más confiable, reduciendo el riesgo de código malicioso.
Mantente actualizado: Actualiza regularmente los complementos para obtener las últimas funciones de seguridad y correcciones. Los complementos caducados pueden tener vulnerabilidades conocidas que son fáciles de explotar por los atacantes.
Resumen
Al seguir las pautas de seguridad de transacciones mencionadas anteriormente, los usuarios pueden interactuar de manera más tranquila en un ecosistema de blockchain cada vez más complejo, mejorando efectivamente la capacidad de protección de sus activos. A pesar de que la tecnología blockchain tiene como ventajas centrales la descentralización y la transparencia, esto también significa que los usuarios deben enfrentarse de manera independiente a múltiples riesgos, incluyendo phishing de firmas, filtración de claves privadas y DApps maliciosos.
Para lograr una verdadera seguridad en la cadena, depender únicamente de herramientas de aviso no es suficiente; establecer una conciencia de seguridad sistemática y hábitos operativos es clave. A través del uso de billeteras de hardware, la implementación de estrategias de aislamiento de fondos, la verificación periódica de autorizaciones y la actualización de complementos, así como la incorporación del concepto de "verificación múltiple, rechazo de firmas ciegas, aislamiento de fondos" en las operaciones de transacciones, se puede lograr verdaderamente "subir a la cadena de manera libre y segura".
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
14 me gusta
Recompensa
14
8
Compartir
Comentar
0/400
FlashLoanKing
· hace3h
Cuando se pierde dinero, solo entonces se sabe que se necesita ayuda.
Ver originalesResponder0
AirdropATM
· hace19h
¿Tantas palabras? ¿No puedes simplemente darme una lista de permitidos?
Ver originalesResponder0
SelfRugger
· 08-03 12:43
Si eres tonto, te tomarán por tonto wgmi
Ver originalesResponder0
ForkMaster
· 08-03 12:42
¿No es que todos los días están echándole la culpa a los tontos, verdad? Cuando yo hacía sandwiches y hacía shorting, nadie me creía, ¿y ahora?
Ver originalesResponder0
HodlBeliever
· 08-03 12:41
Los mecanismos de control de riesgos no dependen solo de herramientas; un esquema Ponzi puede colapsar en 30 segundos.
Ver originalesResponder0
CommunityLurker
· 08-03 12:38
Un tontos también debe aprender a protegerse, esto lo entiende.
Ver originalesResponder0
LadderToolGuy
· 08-03 12:29
Firmar un nombre y ya perdí unos k Arruinado
Ver originalesResponder0
TokenDustCollector
· 08-03 12:27
Verdaderamente todos entienden el valor base de la tarjeta.
Web3 usuarios imprescindibles: guía completa de seguridad en transacciones on-chain
Guía de seguridad de transacciones Web3: Construir una defensa de seguridad controlada por el usuario
Con el continuo desarrollo del ecosistema blockchain, las transacciones en cadena se han convertido en una parte importante de las actividades diarias de los usuarios de Web3. Los activos de los usuarios están gradualmente trasladándose de plataformas centralizadas a redes descentralizadas, y esta tendencia significa que la responsabilidad de la seguridad de los activos está pasando de las plataformas a los propios usuarios. En un entorno en cadena, los usuarios deben hacerse responsables de cada interacción, incluyendo la importación de billeteras, el acceso a DApps, la firma de autorizaciones y el inicio de transacciones. Cualquier error en la operación puede dar lugar a riesgos de seguridad, lo que puede causar la filtración de claves privadas, el abuso de autorizaciones o ataques de phishing, entre otras graves consecuencias.
A pesar de que actualmente los principales complementos de billetera y navegadores están integrando gradualmente funciones de identificación y alerta de riesgos, enfrentar métodos de ataque cada vez más complejos hace que depender únicamente de la defensa pasiva de herramientas sea difícil para evitar completamente los riesgos. Para ayudar a los usuarios a identificar mejor los riesgos potenciales en las transacciones en cadena, hemos recopilado una guía completa de seguridad en transacciones en cadena basada en la experiencia práctica, con el objetivo de ayudar a los usuarios de Web3 a establecer un sistema de protección de seguridad "autónomo y controlado".
Principios fundamentales del comercio seguro:
Sugerencias para un comercio seguro
La clave para proteger los activos digitales radica en las transacciones seguras. Los estudios muestran que el uso de billeteras seguras y la verificación en dos pasos (2FA) pueden reducir significativamente el riesgo. Las recomendaciones específicas son las siguientes:
Elegir una billetera segura y confiable: Prioriza billeteras de hardware de buena reputación o billeteras de software conocidas. Las billeteras de hardware ofrecen almacenamiento fuera de línea, lo que reduce efectivamente el riesgo de ataques en línea, y son adecuadas para almacenar grandes cantidades de activos.
Verifique atentamente los detalles de la transacción: Antes de confirmar la transacción, asegúrate de verificar la dirección de recepción, el monto y la información de la red, para evitar pérdidas debido a errores de entrada.
Habilitar la autenticación de dos factores (2FA): Si la plataforma de intercambio o la billetera soportan 2FA, se recomienda encarecidamente habilitarla para mejorar la seguridad de la cuenta, especialmente al usar billeteras calientes.
Evite usar Wi-Fi público: No realices transacciones en redes Wi-Fi públicas para evitar ataques de phishing y ataques de intermediarios.
Guía de operaciones de comercio seguro
Un proceso completo de transacción de DApp incluye múltiples etapas: instalación de la billetera, acceso a la DApp, conexión de la billetera, firma de mensajes, firma de transacciones y procesamiento posterior a la transacción. Cada etapa conlleva ciertos riesgos de seguridad, a continuación se detallarán las precauciones a tener en cuenta en cada fase.
1. Instalación de la billetera
Actualmente, las DApps interactúan principalmente a través de billeteras de navegador. Para Ethereum y cadenas compatibles con EVM, las billeteras comunes incluyen MetaMask, entre otras.
Al instalar la billetera del complemento de Chrome, asegúrese de descargarla desde la tienda oficial de aplicaciones, evitando instalarla desde sitios web de terceros para prevenir la instalación de software de billetera con puertas traseras. Se recomienda a los usuarios que puedan hacerlo que utilicen junto con una billetera de hardware para mejorar aún más la seguridad de la gestión de claves privadas.
Al hacer una copia de seguridad de la frase semilla (que normalmente es una frase de recuperación de 12 a 24 palabras), se recomienda almacenarla en un lugar físico seguro, lejos de dispositivos digitales, como escribirla en papel y guardarla en una caja fuerte.
2. Acceder a DApp
El phishing web es una técnica común en los ataques de Web3. Un caso típico es usar un airdrop como cebo, lo que lleva a los usuarios a visitar un DApp de phishing, donde se les induce a firmar autorizaciones de tokens, transacciones de transferencia o firmas de autorización de tokens una vez que conectan su billetera, lo que resulta en pérdidas de activos.
Por lo tanto, al acceder a DApp, se debe mantener una alta vigilancia para evitar caer en trampas de phishing en la web.
Antes de acceder a la DApp, confirme la corrección de la URL. Sugerencia:
Después de abrir la página web de DApp, también es necesario realizar una verificación de seguridad en la barra de direcciones:
Actualmente, las principales billeteras de complemento han integrado ciertas funciones de advertencia de riesgos, que pueden dar fuertes advertencias al acceder a sitios web sospechosos.
3. Conectar billetera
Al ingresar a la DApp, es posible que se active automáticamente o al hacer clic en Conectar la operación de conexión de la billetera. La billetera de plugin realizará algunas verificaciones y mostrará información sobre la DApp actual.
Generalmente, después de conectar la billetera, si el usuario no realiza ninguna otra acción, el DApp no invocará proactivamente la billetera del plugin. Si el sitio web solicita frecuentemente firmar o aprobar transacciones después de iniciar sesión, incluso después de rechazar la firma, es muy probable que sea un sitio web de phishing y debe manejarse con precaución.
4. Firma de mensaje
En situaciones extremas, como cuando un atacante ha logrado infiltrarse en el sitio web oficial del protocolo o ha modificado el contenido de la página a través de métodos de secuestro del frontend, es muy difícil para los usuarios comunes discernir la seguridad del sitio.
En este momento, la función de firma de la billetera del complemento se convierte en la última línea de defensa para proteger los activos de los usuarios. Siempre que se rechacen las firmas maliciosas, se puede prevenir efectivamente la pérdida de activos. Los usuarios deben revisar cuidadosamente el contenido de la firma al firmar cualquier mensaje y transacción, y rechazar las firmas ciegas para evitar la pérdida de activos.
Los tipos de firma comunes incluyen:
5. Firma de transacción
La firma de transacciones se utiliza para autorizar transacciones en la blockchain, como transferencias o llamadas a contratos inteligentes. Los usuarios firman con su clave privada, y la red verifica la validez de la transacción. Actualmente, muchas billeteras de plugins analizan el mensaje a firmar y muestran el contenido relevante; los usuarios deben seguir el principio de no firmar ciegamente. Se recomiendan las siguientes medidas de seguridad:
Para los usuarios con un cierto trasfondo técnico, también se pueden adoptar algunos métodos de verificación manual: copiar la dirección del contrato objetivo en un explorador de blockchain (como etherscan) para su revisión, prestando especial atención a si el contrato es de código abierto, si ha habido un gran número de transacciones recientemente, y si el explorador de blockchain ha etiquetado esa dirección con una etiqueta oficial o maliciosa, entre otros.
6. Procesamiento posterior a la transacción
Incluso si se logra evitar páginas de phishing y firmas maliciosas, se debe llevar a cabo la gestión de riesgos después de la transacción.
Después de completar la transacción, se debe revisar a tiempo el estado de la transacción en la cadena, confirmando si coincide con el estado esperado al momento de la firma. Si se detecta alguna anomalía, se deben tomar inmediatamente medidas de mitigación de pérdidas, como la transferencia de activos o la revocación de autorizaciones.
La gestión de la aprobación de ERC20 también es muy importante. Ha habido casos que muestran que, después de que los usuarios otorgaron autorización de tokens a ciertos contratos, años después esos contratos fueron atacados, y los atacantes utilizaron el límite de autorización de tokens del contrato atacado para robar los fondos de los usuarios. Para prevenir este tipo de riesgos, se recomienda a los usuarios seguir los siguientes principios:
Estrategia de segregación de fondos
Incluso si se tiene conciencia de los riesgos y se han tomado medidas de prevención adecuadas, se recomienda implementar una estrategia efectiva de aislamiento de fondos para reducir el grado de daño a los fondos en situaciones extremas. Las estrategias recomendadas son las siguientes:
Si desafortunadamente se encuentra con un ataque de phishing, se recomienda tomar las siguientes medidas de inmediato para reducir las pérdidas:
Participación segura en actividades de airdrop
El airdrop es una forma común de promoción de proyectos de blockchain, pero también conlleva riesgos. A continuación, se presentan algunos consejos:
Sugerencias para la selección y uso de herramientas de plugins
El contenido de las normas de seguridad de blockchain es extenso y puede ser difícil realizar un chequeo detallado en cada interacción, por lo que es crucial elegir herramientas de plugins seguras que nos ayuden a hacer juicios sobre los riesgos. Las recomendaciones específicas son las siguientes:
Resumen
Al seguir las pautas de seguridad de transacciones mencionadas anteriormente, los usuarios pueden interactuar de manera más tranquila en un ecosistema de blockchain cada vez más complejo, mejorando efectivamente la capacidad de protección de sus activos. A pesar de que la tecnología blockchain tiene como ventajas centrales la descentralización y la transparencia, esto también significa que los usuarios deben enfrentarse de manera independiente a múltiples riesgos, incluyendo phishing de firmas, filtración de claves privadas y DApps maliciosos.
Para lograr una verdadera seguridad en la cadena, depender únicamente de herramientas de aviso no es suficiente; establecer una conciencia de seguridad sistemática y hábitos operativos es clave. A través del uso de billeteras de hardware, la implementación de estrategias de aislamiento de fondos, la verificación periódica de autorizaciones y la actualización de complementos, así como la incorporación del concepto de "verificación múltiple, rechazo de firmas ciegas, aislamiento de fondos" en las operaciones de transacciones, se puede lograr verdaderamente "subir a la cadena de manera libre y segura".