Руководство по безопасности Web3: создание безопасной линии обороны, контролируемой пользователями
С развитием экосистемы блокчейна, ончейн-транзакции стали важной частью повседневной деятельности пользователей Web3. Активы пользователей постепенно перемещаются с централизованных платформ на децентрализованные сети, и эта тенденция означает, что ответственность за безопасность активов переходит от платформы к самим пользователям. В ончейн-среде пользователи должны нести ответственность за каждое взаимодействие, включая импорт кошелька, доступ к DApp, подпись авторизации и инициирование транзакций. Любая ошибка в действиях может привести к угрозам безопасности, что может вызвать утечку приватных ключей, злоупотребление авторизацией или серьезные последствия, такие как фишинг.
Несмотря на то, что на данный момент основные кошельки-плагины и браузеры постепенно интегрируют функции идентификации и предупреждения о рисках, полагаться только на пассивную защиту инструментов все еще трудно для полного избегания рисков из-за все более сложных методов атак. Чтобы помочь пользователям лучше идентифицировать потенциальные риски в цепочных транзакциях, мы на основе практического опыта разработали полный гид по безопасности цепочных транзакций, целью которого является помощь пользователям Web3 в создании "автономной и управляемой" системы безопасности.
Основные принципы безопасной торговли:
Отказ от слепой подписи: категорически не подписывать транзакции или сообщения, которые не понимаешь.
Повторная проверка: перед совершением любой сделки обязательно несколько раз проверьте точность соответствующей информации.
Рекомендации по безопасной торговле
Ключ к защите цифровых активов заключается в безопасных транзакциях. Исследования показывают, что использование безопасных кошельков и двухфакторной аутентификации (2FA) может значительно снизить риски. Конкретные рекомендации следующие:
Выберите безопасный и надежный кошелек:
Предпочитайте аппаратные кошельки с хорошей репутацией или известные программные кошельки. Аппаратные кошельки предлагают оффлайн-хранение, эффективно снижая риск онлайн-атак, что подходит для хранения крупных активов.
Внимательно проверьте детали сделки:
Перед подтверждением транзакции обязательно проверьте адрес получателя, сумму и информацию о сети, чтобы избежать потерь из-за ошибок ввода.
Включите двухфакторную аутентификацию (2FA):
Если торговая платформа или кошелек поддерживают 2FA, настоятельно рекомендуется активировать его для повышения безопасности аккаунта, особенно при использовании горячего кошелька.
Избегайте использования общественного Wi-Fi:
Не совершайте сделки в общественных сетях Wi-Fi, чтобы предотвратить фишинг и атаки посредников.
Руководство по безопасным торговым операциям
Полный процесс транзакции DApp включает несколько этапов: установка кошелька, доступ к DApp, подключение кошелька, подписание сообщения, подписание транзакции и обработка после транзакции. На каждом этапе существуют определенные риски безопасности, ниже будут подробно описаны меры предосторожности на каждом этапе.
1. Установка кошелька
В настоящее время DApp в основном взаимодействует через кошельки-плагины для браузеров. Для Ethereum и совместимых с EVM цепей обычно используются кошельки, такие как MetaMask.
При установке кошелька в виде расширения Chrome убедитесь, что вы загружаете его из официального магазина приложений, избегая установки с третьих сайтов, чтобы предотвратить установку кошельков с задними дверями. Пользователям, у которых есть такая возможность, рекомендуется использовать аппаратный кошелек для повышения безопасности управления приватными ключами.
При резервном копировании семенного фразы (обычно состоящей из 12-24 слов для восстановления) рекомендуется хранить ее в безопасном физическом месте, вдали от цифровых устройств, например, записать на бумаге и хранить в сейфе.
2. Доступ к DApp
Веб-фишинг является распространенным методом атак в Web3. Типичный случай заключается в использовании аирдропа в качестве приманки, чтобы направить пользователей на фишинговое DApp, где после подключения кошелька пользователей заставляют подписывать разрешения на токены, транзакции перевода или подписи разрешений на токены, что приводит к потере активов.
Поэтому при доступе к DApp необходимо проявлять высокую бдительность, чтобы избежать陷入网络钓鱼陷阱.
Перед посещением DApp следует подтвердить правильность URL-адреса. Рекомендуется:
Избегайте прямого доступа через поисковые системы, так как злоумышленники могут продвигать свои фишинговые сайты, покупая рекламные места.
Будьте осторожны при нажатии на ссылки в социальных сетях, адреса в комментариях или сообщениях могут быть фишинговыми.
Многосторонняя проверка точности URL DApp может быть выполнена через DApp рынок, официальные аккаунты проекта в социальных сетях и другие каналы.
Добавьте безопасный сайт в закладки браузера, чтобы в дальнейшем получать к нему доступ напрямую из закладок.
После открытия веб-страницы DApp необходимо также провести проверку адресной строки на безопасность:
Проверьте, существуют ли случаи подделки доменных имен и URL.
Убедитесь, что это ссылка HTTPS, браузер должен отображать значок безопасного замка.
В настоящее время основные плагин-кошельки интегрировали определенные функции предупреждения о рисках, которые могут выдавать сильные предупреждения при посещении подозрительных сайтов.
3. Подключить кошелек
После входа в DApp может автоматически или после нажатия на Connect произойти операция подключения кошелька. Плагин-кошелек выполнит некоторые проверки и отобразит информацию о текущем DApp.
Обычно, после подключения кошелька, если пользователь не выполняет других действий, DApp не будет активно вызывать плагин-кошелек. Если сайт часто требует подписи или подписания транзакций после входа в систему, даже после отказа от подписи, и продолжает всплывать с запросами на подпись, это может быть признаком фишингового сайта, и с этим следует обращаться осторожно.
4. Подпись сообщения
В экстремальных случаях, когда злоумышленник успешно вторгся в официальный сайт протокола или изменил содержимое страницы, например, с помощью перехвата на фронтенде, обычным пользователям будет сложно определить безопасность сайта.
В это время функция подписи плагина кошелька становится последней линией защиты активов пользователей. Просто отклоняя злонамеренные подписи, можно эффективно предотвратить потерю активов. Пользователи должны внимательно проверять содержание подписи, прежде чем подписывать любые сообщения и транзакции, и отказываться от слепой подписи, чтобы избежать потери активов.
Распространенные типы подписей включают:
eth_sign: используется для подписания хешированных данных.
personal_sign: используется для подписи открытой информации, чаще всего встречается при проверке входа пользователя или подтверждении лицензионного соглашения.
eth_signTypedData (EIP-712): используется для подписания структурированных данных, часто применяется в таких сценариях, как Permit для ERC20, размещение заявок на NFT и т.д.
5. Подпись сделки
Подпись транзакции используется для авторизации транзакций в блокчейне, таких как переводы или вызовы смарт-контрактов. Пользователь подписывает с помощью приватного ключа, а сеть проверяет действительность транзакции. В настоящее время многие плагин-кошельки распознают сообщения, ожидающие подписи, и отображают соответствующее содержимое, пользователи должны следовать принципу, чтобы не подписывать без понимания, рекомендации по безопасности следующие:
Тщательно проверьте адрес получателя, сумму и сеть, чтобы избежать ошибок.
Для крупных сделок рекомендуется использовать оффлайн-подпись, чтобы снизить риск онлайн-атак.
Обратите внимание на gas-расходы, убедитесь, что расходы разумные, будьте осторожны с возможными мошенническими действиями.
Для пользователей с определенным техническим фоном также можно использовать некоторые методы ручной проверки: скопируйте адрес целевого контракта и вставьте его в блокчейн-браузер (например, etherscan) для проверки, обращая основное внимание на то, является ли контракт открытым, были ли недавно совершены крупные сделки, а также отмечает ли блокчейн-браузер данный адрес официальной меткой или меткой злоумышленника.
6. Обработка после сделки
Даже если удалось успешно избежать фишинговых страниц и злонамеренных подписей, после сделки все равно необходимо провести управление рисками.
После завершения сделки необходимо своевременно проверить состояние транзакции в блокчейне и подтвердить, соответствует ли оно ожидаемому состоянию на момент подписания. В случае обнаружения аномалий необходимо немедленно предпринять меры по защите активов, такие как перевод активов и отмена авторизации.
Управление разрешениями ERC20 также очень важно. Были случаи, когда пользователи предоставили разрешения на токены для некоторых контрактов, и спустя годы эти контракты подверглись атакам, а злоумышленники использовали лимиты разрешений на токены атакуемого контракта для кражи средств пользователей. Чтобы предотвратить такие риски, рекомендуется следовать следующим принципам:
Минимизация полномочий. При авторизации токенов следует ограничивать количество авторизованных токенов в зависимости от потребностей транзакции. Например, если для одной транзакции требуется авторизация 100 USDT, то количество авторизации должно быть ограничено 100 USDT, а не использовать стандартную безлимитную авторизацию.
Своевременно отзывать ненужные разрешения на токены. Пользователи могут войти на платформы, такие как revoke.cash, чтобы проверить состояние разрешений адреса, отозвать разрешения долгосрочных неактивных соглашений, чтобы предотвратить возможные уязвимости в соглашениях, которые могут привести к использованию разрешенных средств пользователем и потерям активов.
Стратегия изоляции средств
Даже если у вас есть осознание рисков и вы приняли достаточные меры предосторожности, рекомендуется реализовать эффективную стратегию изоляции средств, чтобы снизить степень ущерба в крайних ситуациях. Рекомендуемые стратегии следующие:
Используйте мультиподписные кошельки или холодные кошельки для хранения крупных активов;
Используйте плагин-кошелек или EOA-кошелек в качестве горячего кошелька для повседневного взаимодействия;
Регулярно меняйте адреса горячих кошельков, чтобы уменьшить вероятность длительного воздействия адресов на рискованную среду.
Если вы, к сожалению, столкнулись с фишинг-атакой, рекомендуется немедленно принять следующие меры для снижения потерь:
Используйте инструменты, такие как Revoke.cash, для отзыва высокорисковых разрешений;
Если подпись permit была подписана, но актив еще не был передан, можно немедленно инициировать новую подпись, чтобы сделать старую подпись недействительной;
При необходимости быстро переместите оставшиеся активы на новый адрес или холодный кошелек.
Безопасное участие в аирдропах
Аирдропы — это распространённый способ продвижения блокчейн-проектов, однако в этом также скрыты риски. Вот несколько советов:
Исследование фона проекта: обеспечить наличие четкого белого документа, открытой информации о команде и хорошей репутации в сообществе;
Используйте специальный адрес: зарегистрируйте отдельный кошелек и электронную почту, чтобы изолировать риски от основного аккаунта;
Осторожно нажимайте на ссылки: получайте информацию оairdrop только через официальные каналы, избегайте нажатия на подозрительные ссылки в социальных сетях.
Выбор и рекомендации по использованию плагинов
Содержание правил безопасности блокчейна обширно, и может быть сложно проводить детальную проверку при каждом взаимодействии, поэтому выбор безопасных плагинов и инструментов имеет решающее значение, так как они могут помочь нам в оценке рисков. Конкретные рекомендации следующие:
Выбирайте надежные расширения: используйте широко используемые браузерные расширения, такие как MetaMask (для экосистемы Ethereum). Эти плагины предлагают функции кошелька и поддерживают взаимодействие с DApp.
Проверьте отзывы пользователей: перед установкой нового плагина посмотрите на оценки пользователей и количество установок. Высокие оценки и большое количество установок обычно указывают на то, что плагин более надежен и снижает риск наличия вредоносного кода.
Поддерживайте обновления: регулярно обновляйте плагины, чтобы получить последние функции безопасности и исправления. Устаревшие плагины могут иметь известные уязвимости, которые легко могут быть использованы злоумышленниками.
Резюме
Следуя приведенным выше рекомендациям по безопасности сделок, пользователи могут более уверенно взаимодействовать в все более сложной экосистеме блокчейна, эффективно повышая защиту своих активов. Несмотря на то, что технологией блокчейн движут децентрализация и прозрачность, это также означает, что пользователи должны самостоятельно справляться с множеством рисков, включая фишинг подписей, утечку приватных ключей и злонамеренные DApp.
Чтобы добиться истинной безопасности при выходе на блокчейн, полагаться только на инструменты уведомления совершенно недостаточно; ключевым моментом является создание системного сознания безопасности и производственных привычек. Использование аппаратных кошельков, внедрение стратегий изоляции средств, регулярная проверка разрешений и обновление плагинов и другие меры защиты, а также внедрение принципов "многофакторной аутентификации, отказа от слепых подписей и изоляции средств" в процессе торгов действительно позволяет достичь "свободного и безопасного выхода на блокчейн".
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
14 Лайков
Награда
14
8
Поделиться
комментарий
0/400
FlashLoanKing
· 3ч назад
Когда деньги потеряны, тогда понимаешь, что нужно обратиться за помощью.
Посмотреть ОригиналОтветить0
AirdropATM
· 19ч назад
Говорите так много, разве не можете просто дать мне разрешенный список?
Посмотреть ОригиналОтветить0
SelfRugger
· 08-03 12:43
Если ты неудачник, то тебя будут разыгрывать как лоха wgmi
Посмотреть ОригиналОтветить0
ForkMaster
· 08-03 12:42
Неужели ты каждый день просто сливаешь неудачников, да? Когда-то я шортил, делая сэндвичи, и никто не верил, а теперь что?
Посмотреть ОригиналОтветить0
HodlBeliever
· 08-03 12:41
Механизм управления рисками не только зависит от инструментов; финансовая пирамида может рухнуть за 30 секунд.
Посмотреть ОригиналОтветить0
CommunityLurker
· 08-03 12:38
Один неудачник тоже должен научиться защищать себя, это он все же понимает.
Web3 пользователям обязательно: Полное руководство по безопасности транзакций в блокчейне
Руководство по безопасности Web3: создание безопасной линии обороны, контролируемой пользователями
С развитием экосистемы блокчейна, ончейн-транзакции стали важной частью повседневной деятельности пользователей Web3. Активы пользователей постепенно перемещаются с централизованных платформ на децентрализованные сети, и эта тенденция означает, что ответственность за безопасность активов переходит от платформы к самим пользователям. В ончейн-среде пользователи должны нести ответственность за каждое взаимодействие, включая импорт кошелька, доступ к DApp, подпись авторизации и инициирование транзакций. Любая ошибка в действиях может привести к угрозам безопасности, что может вызвать утечку приватных ключей, злоупотребление авторизацией или серьезные последствия, такие как фишинг.
Несмотря на то, что на данный момент основные кошельки-плагины и браузеры постепенно интегрируют функции идентификации и предупреждения о рисках, полагаться только на пассивную защиту инструментов все еще трудно для полного избегания рисков из-за все более сложных методов атак. Чтобы помочь пользователям лучше идентифицировать потенциальные риски в цепочных транзакциях, мы на основе практического опыта разработали полный гид по безопасности цепочных транзакций, целью которого является помощь пользователям Web3 в создании "автономной и управляемой" системы безопасности.
Основные принципы безопасной торговли:
Рекомендации по безопасной торговле
Ключ к защите цифровых активов заключается в безопасных транзакциях. Исследования показывают, что использование безопасных кошельков и двухфакторной аутентификации (2FA) может значительно снизить риски. Конкретные рекомендации следующие:
Выберите безопасный и надежный кошелек: Предпочитайте аппаратные кошельки с хорошей репутацией или известные программные кошельки. Аппаратные кошельки предлагают оффлайн-хранение, эффективно снижая риск онлайн-атак, что подходит для хранения крупных активов.
Внимательно проверьте детали сделки: Перед подтверждением транзакции обязательно проверьте адрес получателя, сумму и информацию о сети, чтобы избежать потерь из-за ошибок ввода.
Включите двухфакторную аутентификацию (2FA): Если торговая платформа или кошелек поддерживают 2FA, настоятельно рекомендуется активировать его для повышения безопасности аккаунта, особенно при использовании горячего кошелька.
Избегайте использования общественного Wi-Fi: Не совершайте сделки в общественных сетях Wi-Fi, чтобы предотвратить фишинг и атаки посредников.
Руководство по безопасным торговым операциям
Полный процесс транзакции DApp включает несколько этапов: установка кошелька, доступ к DApp, подключение кошелька, подписание сообщения, подписание транзакции и обработка после транзакции. На каждом этапе существуют определенные риски безопасности, ниже будут подробно описаны меры предосторожности на каждом этапе.
1. Установка кошелька
В настоящее время DApp в основном взаимодействует через кошельки-плагины для браузеров. Для Ethereum и совместимых с EVM цепей обычно используются кошельки, такие как MetaMask.
При установке кошелька в виде расширения Chrome убедитесь, что вы загружаете его из официального магазина приложений, избегая установки с третьих сайтов, чтобы предотвратить установку кошельков с задними дверями. Пользователям, у которых есть такая возможность, рекомендуется использовать аппаратный кошелек для повышения безопасности управления приватными ключами.
При резервном копировании семенного фразы (обычно состоящей из 12-24 слов для восстановления) рекомендуется хранить ее в безопасном физическом месте, вдали от цифровых устройств, например, записать на бумаге и хранить в сейфе.
2. Доступ к DApp
Веб-фишинг является распространенным методом атак в Web3. Типичный случай заключается в использовании аирдропа в качестве приманки, чтобы направить пользователей на фишинговое DApp, где после подключения кошелька пользователей заставляют подписывать разрешения на токены, транзакции перевода или подписи разрешений на токены, что приводит к потере активов.
Поэтому при доступе к DApp необходимо проявлять высокую бдительность, чтобы избежать陷入网络钓鱼陷阱.
Перед посещением DApp следует подтвердить правильность URL-адреса. Рекомендуется:
После открытия веб-страницы DApp необходимо также провести проверку адресной строки на безопасность:
В настоящее время основные плагин-кошельки интегрировали определенные функции предупреждения о рисках, которые могут выдавать сильные предупреждения при посещении подозрительных сайтов.
3. Подключить кошелек
После входа в DApp может автоматически или после нажатия на Connect произойти операция подключения кошелька. Плагин-кошелек выполнит некоторые проверки и отобразит информацию о текущем DApp.
Обычно, после подключения кошелька, если пользователь не выполняет других действий, DApp не будет активно вызывать плагин-кошелек. Если сайт часто требует подписи или подписания транзакций после входа в систему, даже после отказа от подписи, и продолжает всплывать с запросами на подпись, это может быть признаком фишингового сайта, и с этим следует обращаться осторожно.
4. Подпись сообщения
В экстремальных случаях, когда злоумышленник успешно вторгся в официальный сайт протокола или изменил содержимое страницы, например, с помощью перехвата на фронтенде, обычным пользователям будет сложно определить безопасность сайта.
В это время функция подписи плагина кошелька становится последней линией защиты активов пользователей. Просто отклоняя злонамеренные подписи, можно эффективно предотвратить потерю активов. Пользователи должны внимательно проверять содержание подписи, прежде чем подписывать любые сообщения и транзакции, и отказываться от слепой подписи, чтобы избежать потери активов.
Распространенные типы подписей включают:
5. Подпись сделки
Подпись транзакции используется для авторизации транзакций в блокчейне, таких как переводы или вызовы смарт-контрактов. Пользователь подписывает с помощью приватного ключа, а сеть проверяет действительность транзакции. В настоящее время многие плагин-кошельки распознают сообщения, ожидающие подписи, и отображают соответствующее содержимое, пользователи должны следовать принципу, чтобы не подписывать без понимания, рекомендации по безопасности следующие:
Для пользователей с определенным техническим фоном также можно использовать некоторые методы ручной проверки: скопируйте адрес целевого контракта и вставьте его в блокчейн-браузер (например, etherscan) для проверки, обращая основное внимание на то, является ли контракт открытым, были ли недавно совершены крупные сделки, а также отмечает ли блокчейн-браузер данный адрес официальной меткой или меткой злоумышленника.
6. Обработка после сделки
Даже если удалось успешно избежать фишинговых страниц и злонамеренных подписей, после сделки все равно необходимо провести управление рисками.
После завершения сделки необходимо своевременно проверить состояние транзакции в блокчейне и подтвердить, соответствует ли оно ожидаемому состоянию на момент подписания. В случае обнаружения аномалий необходимо немедленно предпринять меры по защите активов, такие как перевод активов и отмена авторизации.
Управление разрешениями ERC20 также очень важно. Были случаи, когда пользователи предоставили разрешения на токены для некоторых контрактов, и спустя годы эти контракты подверглись атакам, а злоумышленники использовали лимиты разрешений на токены атакуемого контракта для кражи средств пользователей. Чтобы предотвратить такие риски, рекомендуется следовать следующим принципам:
Стратегия изоляции средств
Даже если у вас есть осознание рисков и вы приняли достаточные меры предосторожности, рекомендуется реализовать эффективную стратегию изоляции средств, чтобы снизить степень ущерба в крайних ситуациях. Рекомендуемые стратегии следующие:
Если вы, к сожалению, столкнулись с фишинг-атакой, рекомендуется немедленно принять следующие меры для снижения потерь:
Безопасное участие в аирдропах
Аирдропы — это распространённый способ продвижения блокчейн-проектов, однако в этом также скрыты риски. Вот несколько советов:
Выбор и рекомендации по использованию плагинов
Содержание правил безопасности блокчейна обширно, и может быть сложно проводить детальную проверку при каждом взаимодействии, поэтому выбор безопасных плагинов и инструментов имеет решающее значение, так как они могут помочь нам в оценке рисков. Конкретные рекомендации следующие:
Резюме
Следуя приведенным выше рекомендациям по безопасности сделок, пользователи могут более уверенно взаимодействовать в все более сложной экосистеме блокчейна, эффективно повышая защиту своих активов. Несмотря на то, что технологией блокчейн движут децентрализация и прозрачность, это также означает, что пользователи должны самостоятельно справляться с множеством рисков, включая фишинг подписей, утечку приватных ключей и злонамеренные DApp.
Чтобы добиться истинной безопасности при выходе на блокчейн, полагаться только на инструменты уведомления совершенно недостаточно; ключевым моментом является создание системного сознания безопасности и производственных привычек. Использование аппаратных кошельков, внедрение стратегий изоляции средств, регулярная проверка разрешений и обновление плагинов и другие меры защиты, а также внедрение принципов "многофакторной аутентификации, отказа от слепых подписей и изоляции средств" в процессе торгов действительно позволяет достичь "свободного и безопасного выхода на блокчейн".