Guia de Segurança de Transações Web3: Construir uma linha de defesa segura sob controle do usuário
Com o contínuo desenvolvimento do ecossistema blockchain, as transações on-chain tornaram-se uma parte importante das atividades diárias dos usuários de Web3. Os ativos dos usuários estão gradualmente se transferindo de plataformas centralizadas para redes descentralizadas, e essa tendência significa que a responsabilidade pela segurança dos ativos está se deslocando da plataforma para os próprios usuários. Em um ambiente on-chain, os usuários precisam ser responsáveis por cada interação, incluindo a importação de carteiras, o acesso a DApps, a assinatura de autorizações e a iniciação de transações. Qualquer erro operacional pode acarretar riscos de segurança, levando a consequências graves, como vazamento de chaves privadas, abuso de autorizações ou ataques de phishing.
Apesar de atualmente as principais extensões de carteiras e navegadores estarem gradualmente integrando funções de identificação e alerta de riscos, enfrentar métodos de ataque cada vez mais complexos somente com a defesa passiva das ferramentas ainda é difícil para evitar completamente os riscos. Para ajudar os usuários a reconhecer melhor os riscos potenciais nas transações em cadeia, organizamos um conjunto abrangente de diretrizes de segurança para transações em cadeia com base em experiências práticas, visando ajudar os usuários do Web3 a estabelecer um sistema de proteção de segurança "autônomo e controlável".
Os princípios fundamentais para uma negociação segura:
Recusar a assinatura cega: não assine transações ou mensagens que não compreenda.
Verificação repetida: antes de realizar qualquer transação, é imprescindível verificar várias vezes a precisão das informações relevantes.
Sugestões de negociação segura
A chave para proteger os ativos digitais está nas transações seguras. Estudos mostram que o uso de carteiras seguras e da autenticação em duas etapas (2FA) pode reduzir significativamente o risco. As recomendações específicas são as seguintes:
Escolher uma carteira segura e confiável:
Priorize carteiras de hardware com boa reputação ou carteiras de software conhecidas. As carteiras de hardware oferecem armazenamento offline, reduzindo efetivamente o risco de ataques online, sendo adequadas para armazenar grandes quantias de ativos.
Verifique cuidadosamente os detalhes da transação:
Antes de confirmar a transação, certifique-se de verificar o endereço de recebimento, o valor e as informações da rede, para evitar perdas devido a erros de entrada.
Ativar a autenticação em dois fatores (2FA):
Se a plataforma de negociação ou a carteira suportar 2FA, é altamente recomendável ativá-lo para aumentar a segurança da conta, especialmente ao usar carteiras quentes.
Evitar o uso de Wi-Fi público:
Não faça transações em redes Wi-Fi públicas para evitar ataques de phishing e ataques de intermediários.
Guia de Operações de Negociação Segura
Um fluxo de transação completo de DApp inclui várias etapas: instalação da carteira, acesso ao DApp, conexão da carteira, assinatura de mensagens, assinatura de transações e processamento pós-transação. Cada etapa apresenta certos riscos de segurança, e a seguir serão detalhadas as precauções a serem tomadas em cada fase.
1. Instalação da carteira
Atualmente, os DApps interagem principalmente através de carteiras de extensão de navegador. Para Ethereum e cadeias compatíveis com EVM, as carteiras mais comuns incluem MetaMask.
Ao instalar a carteira de extensão do Chrome, certifique-se de baixá-la da loja de aplicativos oficial, evitando a instalação a partir de sites de terceiros, para prevenir a instalação de software de carteira com backdoors. Recomenda-se que os usuários, quando possível, utilizem em conjunto uma carteira de hardware para aumentar ainda mais a segurança na gestão das chaves privadas.
Ao fazer backup da frase semente (geralmente uma frase de recuperação de 12 a 24 palavras), é aconselhável armazená-la em um local físico seguro, longe de dispositivos digitais, como escrevê-la em papel e guardá-la em um cofre.
2. Aceder ao DApp
A pesca na web é uma técnica comum em ataques Web3. Um caso típico é usar airdrops como isca para levar os usuários a acessar DApps de phishing, onde, após conectar a carteira, são induzidos a assinar autorizações de tokens, transações de transferência ou assinaturas de autorização de tokens, resultando em perda de ativos.
Portanto, ao acessar DApps, é necessário manter alta vigilância para evitar cair em armadilhas de phishing na web.
Antes de acessar o DApp, confirme a correção do URL. Sugestão:
Evite acessar diretamente através de motores de busca, pois os atacantes podem fazer com que seus sites de phishing tenham uma classificação mais alta ao comprar espaços publicitários.
Tenha cuidado ao clicar em links nas redes sociais, os URLs em comentários ou mensagens podem ser links de phishing.
Verifique a precisão do URL do DApp através de múltiplas validações, podendo cruzar informações através do mercado de DApps, contas oficiais de redes sociais do projeto e outros canais.
Adicione o site seguro aos favoritos do navegador, depois acesse diretamente a partir dos favoritos.
Após abrir a página da DApp, é necessário realizar uma verificação de segurança na barra de endereços:
Verifique se há casos de falsificação de domínio e URL.
Confirme se é um link HTTPS, o navegador deve mostrar o ícone de cadeado seguro.
Atualmente, as principais carteiras de extensão já integraram algumas funcionalidades de aviso de risco, capazes de dar um forte alerta ao acessar sites suspeitos.
3. Conectar carteira
Ao entrar no DApp, pode ser que a operação de conexão da carteira seja acionada automaticamente ou após clicar em Conectar. A carteira de plugin fará algumas verificações e exibirá informações sobre o DApp atual.
Normalmente, após conectar a carteira, se o usuário não realizar outras ações, o DApp não invocará proativamente a carteira de plugin. Se o site solicitar frequentemente assinaturas ou a assinatura de transações após o login, mesmo após a recusa da assinatura, isso pode ser uma característica de um site de phishing e deve ser tratado com cautela.
4. Assinatura de Mensagem
Em situações extremas, como um atacante que consiga invadir o site oficial do protocolo ou modificar o conteúdo da página através de métodos como a captura de front-end, é difícil para os usuários comuns distinguir a segurança do site.
Neste momento, a função de assinatura da carteira de plugins torna-se a última linha de defesa na proteção dos ativos dos usuários. Basta recusar assinaturas maliciosas para evitar efetivamente a perda de ativos. Os usuários devem revisar cuidadosamente o conteúdo da assinatura ao assinar qualquer mensagem e transação, recusando a assinatura cega, a fim de evitar a perda de ativos.
Os tipos de assinatura mais comuns incluem:
eth_sign: utilizado para assinar dados hash.
personal_sign: utilizado para assinar informações em texto claro, sendo mais comum durante a verificação de login do usuário ou a confirmação de acordos de permissão.
eth_signTypedData (EIP-712): utilizado para assinar dados estruturados, comumente usado em cenários como Permissão de ERC20, listagem de NFT, etc.
5. Assinatura da transação
A assinatura da transação é usada para autorizar transações em blockchain, como transferências ou chamadas de contratos inteligentes. Os usuários assinam com a chave privada, e a rede verifica a validade da transação. Atualmente, muitas carteiras de plugin analisam a mensagem a ser assinada e exibem o conteúdo relevante, e os usuários devem seguir o princípio de não assinar cegamente, as recomendações de segurança são as seguintes:
Verifique cuidadosamente o endereço do beneficiário, o montante e a rede para evitar erros.
Para grandes transações, recomenda-se o uso de assinatura offline para reduzir o risco de ataques online.
Atenção às taxas de gas, certifique-se de que as taxas são razoáveis e fique alerta para possíveis fraudes.
Para utilizadores com algum conhecimento técnico, também é possível adotar alguns métodos de verificação manual: copiar o endereço do contrato de destino para um explorador de blockchain (como o etherscan) para revisão, com foco principal em se o contrato é de código aberto, se houve um grande número de transações recentemente, e se o explorador de blockchain rotulou o endereço com uma etiqueta oficial ou uma etiqueta maliciosa, entre outros.
6. Processamento após a transação
Mesmo que tenha conseguido evitar páginas de phishing e assinaturas maliciosas, ainda é necessário realizar a gestão de riscos após a transação.
Após a conclusão da transação, deve-se verificar prontamente a situação da transação na blockchain, confirmando se está de acordo com o estado esperado no momento da assinatura. Se forem detectadas anomalias, devem ser imediatamente tomadas medidas de mitigação de perdas, como a transferência de ativos e a revogação de autorizações.
A gestão de aprovação ERC20 também é muito importante. Já houve casos em que, após os usuários autorizarem tokens em certos contratos, esses contratos foram atacados anos depois, e os atacantes usaram o limite de autorização de tokens do contrato atacado para roubar os fundos dos usuários. Para prevenir esse tipo de risco, recomenda-se que os usuários sigam os seguintes princípios:
Minimização da autorização. Ao autorizar tokens, deve-se limitar a quantidade de tokens autorizados com base nas necessidades da transação. Por exemplo, se uma transação requer autorização de 100 USDT, a quantidade autorizada deve ser limitada a 100 USDT, e não usar a autorização padrão ilimitada.
Revogue atempadamente as autorizações de tokens desnecessárias. Os utilizadores podem aceder a plataformas como revoke.cash para consultar a situação das autorizações do endereço, revogando as autorizações de protocolos que não foram interagidos durante muito tempo, prevenindo assim que vulnerabilidades nos protocolos causem perdas de ativos devido à utilização das autorizações dos utilizadores.
Estratégia de Isolamento de Fundos
Mesmo com a consciência dos riscos e a adoção de medidas preventivas adequadas, recomenda-se implementar uma estratégia eficaz de isolamento de fundos, para reduzir o grau de prejuízo dos fundos em situações extremas. As estratégias recomendadas são as seguintes:
Utilize carteiras multi-assinatura ou carteiras frias para armazenar grandes ativos;
Usar uma carteira de plug-in ou uma carteira EOA como carteira quente para interações diárias;
Mudar regularmente o endereço da carteira quente, reduzindo a possibilidade de o endereço estar exposto a ambientes de risco por longos períodos.
Se você infelizmente encontrar um ataque de phishing, recomenda-se tomar as seguintes medidas imediatamente para reduzir as perdas:
Utilize ferramentas como Revoke.cash para revogar autorizações de alto risco;
Se a assinatura do permit foi realizada, mas os ativos ainda não foram transferidos, é possível iniciar uma nova assinatura imediatamente para invalidar o nonce da assinatura antiga;
Se necessário, transfira rapidamente os ativos restantes para um novo endereço ou carteira fria.
Participação segura em atividades de airdrop
O airdrop é uma forma comum de promoção de projetos de blockchain, mas também esconde riscos. Aqui estão algumas sugestões:
Pesquisa de contexto do projeto: garantir que o projeto tenha um white paper claro, informações da equipe disponíveis publicamente e uma boa reputação na comunidade;
Utilizar endereço dedicado: Registar uma carteira e um e-mail específicos, isolando o risco da conta principal;
Cuidado ao clicar em links: obtenha informações sobre airdrops apenas através de canais oficiais, evite clicar em links suspeitos nas plataformas sociais.
Sugestões para a seleção e uso de ferramentas de plug-in
O conteúdo do código de segurança da blockchain é extenso e pode ser difícil realizar uma verificação detalhada a cada interação; portanto, é crucial escolher ferramentas de plugin seguras que possam nos ajudar a fazer julgamentos de risco. As recomendações específicas são as seguintes:
Escolha extensões confiáveis: use extensões de navegador amplamente utilizadas, como MetaMask (para o ecossistema Ethereum). Esses plugins oferecem funcionalidades de carteira e suportam a interação com DApps.
Verifique as avaliações dos usuários: antes de instalar um novo plugin, veja as classificações dos usuários e a quantidade de instalações. Altas classificações e um grande número de instalações geralmente indicam que o plugin é mais confiável, diminuindo o risco de código malicioso.
Mantenha-se atualizado: atualize os plugins regularmente para obter as últimas funcionalidades de segurança e correções. Plugins desatualizados podem ter vulnerabilidades conhecidas, que podem ser exploradas por atacantes.
Resumo
Ao seguir as diretrizes de segurança para transações mencionadas acima, os usuários podem interagir de forma mais tranquila em um ecossistema blockchain cada vez mais complexo, aumentando efetivamente a capacidade de proteção de ativos. Embora a tecnologia blockchain tenha como principais vantagens a descentralização e a transparência, isso também significa que os usuários precisam enfrentar de forma independente múltiplos riscos, incluindo phishing por assinatura, vazamento de chaves privadas e DApps maliciosos.
Para alcançar uma verdadeira segurança na blockchain, depender apenas de ferramentas de alerta não é suficiente; estabelecer uma consciência de segurança sistêmica e hábitos operacionais é a chave. Ao utilizar carteiras de hardware, implementar estratégias de isolamento de fundos, verificar regularmente as autorizações e atualizar plugins, entre outras medidas de proteção, e ao aplicar na operação de transações os princípios de "multivalidação, recusar assinaturas cegas, isolamento de fundos", é que se consegue realmente "subir na blockchain de forma livre e segura".
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
14 gostos
Recompensa
14
8
Partilhar
Comentar
0/400
FlashLoanKing
· 3h atrás
Só se pede ajuda quando se perde dinheiro.
Ver originalResponder0
AirdropATM
· 20h atrás
Falar tanto assim, não pode simplesmente me dar uma Lista de permissões?
Ver originalResponder0
SelfRugger
· 08-03 12:43
é idiotas que vão fazer as pessoas de parvas wgmi
Ver originalResponder0
ForkMaster
· 08-03 12:42
Não é só que está sempre a passar a responsabilidade aos idiotas, certo? Naquela época, eu fazia sanduíches e estava a fazer shorting, ninguém acreditava, e agora?
Ver originalResponder0
HodlBeliever
· 08-03 12:41
O mecanismo de gestão de riscos não depende apenas de ferramentas; um esquema de financiamento pode colapsar em 30 segundos.
Ver originalResponder0
CommunityLurker
· 08-03 12:38
Um idiota também deve aprender a se proteger, isso ele ainda entende.
Ver originalResponder0
LadderToolGuy
· 08-03 12:29
Assinei e perdi alguns k Rekt
Ver originalResponder0
TokenDustCollector
· 08-03 12:27
A verdadeira posição de mercado é compreendida por todos.
Web3 usuários essenciais: guia completo de segurança em transações na cadeia
Guia de Segurança de Transações Web3: Construir uma linha de defesa segura sob controle do usuário
Com o contínuo desenvolvimento do ecossistema blockchain, as transações on-chain tornaram-se uma parte importante das atividades diárias dos usuários de Web3. Os ativos dos usuários estão gradualmente se transferindo de plataformas centralizadas para redes descentralizadas, e essa tendência significa que a responsabilidade pela segurança dos ativos está se deslocando da plataforma para os próprios usuários. Em um ambiente on-chain, os usuários precisam ser responsáveis por cada interação, incluindo a importação de carteiras, o acesso a DApps, a assinatura de autorizações e a iniciação de transações. Qualquer erro operacional pode acarretar riscos de segurança, levando a consequências graves, como vazamento de chaves privadas, abuso de autorizações ou ataques de phishing.
Apesar de atualmente as principais extensões de carteiras e navegadores estarem gradualmente integrando funções de identificação e alerta de riscos, enfrentar métodos de ataque cada vez mais complexos somente com a defesa passiva das ferramentas ainda é difícil para evitar completamente os riscos. Para ajudar os usuários a reconhecer melhor os riscos potenciais nas transações em cadeia, organizamos um conjunto abrangente de diretrizes de segurança para transações em cadeia com base em experiências práticas, visando ajudar os usuários do Web3 a estabelecer um sistema de proteção de segurança "autônomo e controlável".
Os princípios fundamentais para uma negociação segura:
Sugestões de negociação segura
A chave para proteger os ativos digitais está nas transações seguras. Estudos mostram que o uso de carteiras seguras e da autenticação em duas etapas (2FA) pode reduzir significativamente o risco. As recomendações específicas são as seguintes:
Escolher uma carteira segura e confiável: Priorize carteiras de hardware com boa reputação ou carteiras de software conhecidas. As carteiras de hardware oferecem armazenamento offline, reduzindo efetivamente o risco de ataques online, sendo adequadas para armazenar grandes quantias de ativos.
Verifique cuidadosamente os detalhes da transação: Antes de confirmar a transação, certifique-se de verificar o endereço de recebimento, o valor e as informações da rede, para evitar perdas devido a erros de entrada.
Ativar a autenticação em dois fatores (2FA): Se a plataforma de negociação ou a carteira suportar 2FA, é altamente recomendável ativá-lo para aumentar a segurança da conta, especialmente ao usar carteiras quentes.
Evitar o uso de Wi-Fi público: Não faça transações em redes Wi-Fi públicas para evitar ataques de phishing e ataques de intermediários.
Guia de Operações de Negociação Segura
Um fluxo de transação completo de DApp inclui várias etapas: instalação da carteira, acesso ao DApp, conexão da carteira, assinatura de mensagens, assinatura de transações e processamento pós-transação. Cada etapa apresenta certos riscos de segurança, e a seguir serão detalhadas as precauções a serem tomadas em cada fase.
1. Instalação da carteira
Atualmente, os DApps interagem principalmente através de carteiras de extensão de navegador. Para Ethereum e cadeias compatíveis com EVM, as carteiras mais comuns incluem MetaMask.
Ao instalar a carteira de extensão do Chrome, certifique-se de baixá-la da loja de aplicativos oficial, evitando a instalação a partir de sites de terceiros, para prevenir a instalação de software de carteira com backdoors. Recomenda-se que os usuários, quando possível, utilizem em conjunto uma carteira de hardware para aumentar ainda mais a segurança na gestão das chaves privadas.
Ao fazer backup da frase semente (geralmente uma frase de recuperação de 12 a 24 palavras), é aconselhável armazená-la em um local físico seguro, longe de dispositivos digitais, como escrevê-la em papel e guardá-la em um cofre.
2. Aceder ao DApp
A pesca na web é uma técnica comum em ataques Web3. Um caso típico é usar airdrops como isca para levar os usuários a acessar DApps de phishing, onde, após conectar a carteira, são induzidos a assinar autorizações de tokens, transações de transferência ou assinaturas de autorização de tokens, resultando em perda de ativos.
Portanto, ao acessar DApps, é necessário manter alta vigilância para evitar cair em armadilhas de phishing na web.
Antes de acessar o DApp, confirme a correção do URL. Sugestão:
Após abrir a página da DApp, é necessário realizar uma verificação de segurança na barra de endereços:
Atualmente, as principais carteiras de extensão já integraram algumas funcionalidades de aviso de risco, capazes de dar um forte alerta ao acessar sites suspeitos.
3. Conectar carteira
Ao entrar no DApp, pode ser que a operação de conexão da carteira seja acionada automaticamente ou após clicar em Conectar. A carteira de plugin fará algumas verificações e exibirá informações sobre o DApp atual.
Normalmente, após conectar a carteira, se o usuário não realizar outras ações, o DApp não invocará proativamente a carteira de plugin. Se o site solicitar frequentemente assinaturas ou a assinatura de transações após o login, mesmo após a recusa da assinatura, isso pode ser uma característica de um site de phishing e deve ser tratado com cautela.
4. Assinatura de Mensagem
Em situações extremas, como um atacante que consiga invadir o site oficial do protocolo ou modificar o conteúdo da página através de métodos como a captura de front-end, é difícil para os usuários comuns distinguir a segurança do site.
Neste momento, a função de assinatura da carteira de plugins torna-se a última linha de defesa na proteção dos ativos dos usuários. Basta recusar assinaturas maliciosas para evitar efetivamente a perda de ativos. Os usuários devem revisar cuidadosamente o conteúdo da assinatura ao assinar qualquer mensagem e transação, recusando a assinatura cega, a fim de evitar a perda de ativos.
Os tipos de assinatura mais comuns incluem:
5. Assinatura da transação
A assinatura da transação é usada para autorizar transações em blockchain, como transferências ou chamadas de contratos inteligentes. Os usuários assinam com a chave privada, e a rede verifica a validade da transação. Atualmente, muitas carteiras de plugin analisam a mensagem a ser assinada e exibem o conteúdo relevante, e os usuários devem seguir o princípio de não assinar cegamente, as recomendações de segurança são as seguintes:
Para utilizadores com algum conhecimento técnico, também é possível adotar alguns métodos de verificação manual: copiar o endereço do contrato de destino para um explorador de blockchain (como o etherscan) para revisão, com foco principal em se o contrato é de código aberto, se houve um grande número de transações recentemente, e se o explorador de blockchain rotulou o endereço com uma etiqueta oficial ou uma etiqueta maliciosa, entre outros.
6. Processamento após a transação
Mesmo que tenha conseguido evitar páginas de phishing e assinaturas maliciosas, ainda é necessário realizar a gestão de riscos após a transação.
Após a conclusão da transação, deve-se verificar prontamente a situação da transação na blockchain, confirmando se está de acordo com o estado esperado no momento da assinatura. Se forem detectadas anomalias, devem ser imediatamente tomadas medidas de mitigação de perdas, como a transferência de ativos e a revogação de autorizações.
A gestão de aprovação ERC20 também é muito importante. Já houve casos em que, após os usuários autorizarem tokens em certos contratos, esses contratos foram atacados anos depois, e os atacantes usaram o limite de autorização de tokens do contrato atacado para roubar os fundos dos usuários. Para prevenir esse tipo de risco, recomenda-se que os usuários sigam os seguintes princípios:
Estratégia de Isolamento de Fundos
Mesmo com a consciência dos riscos e a adoção de medidas preventivas adequadas, recomenda-se implementar uma estratégia eficaz de isolamento de fundos, para reduzir o grau de prejuízo dos fundos em situações extremas. As estratégias recomendadas são as seguintes:
Se você infelizmente encontrar um ataque de phishing, recomenda-se tomar as seguintes medidas imediatamente para reduzir as perdas:
Participação segura em atividades de airdrop
O airdrop é uma forma comum de promoção de projetos de blockchain, mas também esconde riscos. Aqui estão algumas sugestões:
Sugestões para a seleção e uso de ferramentas de plug-in
O conteúdo do código de segurança da blockchain é extenso e pode ser difícil realizar uma verificação detalhada a cada interação; portanto, é crucial escolher ferramentas de plugin seguras que possam nos ajudar a fazer julgamentos de risco. As recomendações específicas são as seguintes:
Resumo
Ao seguir as diretrizes de segurança para transações mencionadas acima, os usuários podem interagir de forma mais tranquila em um ecossistema blockchain cada vez mais complexo, aumentando efetivamente a capacidade de proteção de ativos. Embora a tecnologia blockchain tenha como principais vantagens a descentralização e a transparência, isso também significa que os usuários precisam enfrentar de forma independente múltiplos riscos, incluindo phishing por assinatura, vazamento de chaves privadas e DApps maliciosos.
Para alcançar uma verdadeira segurança na blockchain, depender apenas de ferramentas de alerta não é suficiente; estabelecer uma consciência de segurança sistêmica e hábitos operacionais é a chave. Ao utilizar carteiras de hardware, implementar estratégias de isolamento de fundos, verificar regularmente as autorizações e atualizar plugins, entre outras medidas de proteção, e ao aplicar na operação de transações os princípios de "multivalidação, recusar assinaturas cegas, isolamento de fundos", é que se consegue realmente "subir na blockchain de forma livre e segura".