Посібник з безпеки交易 Web3: побудова безпечного захисту, контрольованого користувачем
З розвитком екосистеми блокчейн, онлайнові транзакції стали важливою частиною щоденної діяльності користувачів Web3. Активи користувачів поступово переходять з централізованих платформ до децентралізованих мереж, і ця тенденція означає, що відповідальність за безпеку активів переходить від платформ до самих користувачів. У онлайновому середовищі користувачі повинні нести відповідальність за кожен крок взаємодії, включаючи імпорт гаманця, доступ до DApp, підписання авторизацій та ініціювання транзакцій тощо. Будь-яка помилка в діях може призвести до загроз безпеці, таких як витік приватного ключа, зловживання авторизацією або фішинг-атаки.
Незважаючи на те, що на даний момент основні плагіни гаманців та браузерів поступово інтегрують функції виявлення ризиків і попередження, проте, з огляду на дедалі складніші методи атак, покладатися лише на пасивний захист інструментів все ще важко повністю уникнути ризиків. Щоб допомогти користувачам краще виявляти потенційні ризики в ланцюгових транзакціях, ми на основі практичного досвіду підготували комплексний посібник з безпеки ланцюгових транзакцій, який має на меті допомогти користувачам Web3 створити "самостійно контрольовану" систему безпеки.
Основні принципи безпечної торгівлі:
Відмовтеся від сліпого підписання: рішуче не підписуйте угоди або повідомлення, які не розумієте.
Повторна перевірка: перед проведенням будь-якої угоди обов'язково кілька разів перевірте точність відповідної інформації.
Рекомендації щодо безпечної торгівлі
Ключ до захисту цифрових активів полягає в безпечних транзакціях. Дослідження показують, що використання безпечних гаманців та двофакторної аутентифікації (2FA) може значно знизити ризики. Конкретні рекомендації такі:
Виберіть безпечний і надійний гаманець:
Перевага надається апаратним гаманцям з доброю репутацією або відомим програмним гаманцям. Апаратні гаманці забезпечують офлайн-зберігання, що ефективно знижує ризик онлайн-атак, що підходить для зберігання великих активів.
Уважно перевірте деталі交易:
Перед підтвердженням транзакції обов'язково перевірте адресу отримання, суму та інформацію про мережу, щоб уникнути втрат через помилки введення.
Увімкніть двофакторну аутентифікацію (2FA):
Якщо торгова платформа або гаманець підтримують 2FA, настійно рекомендується його увімкнути, щоб підвищити безпеку облікового запису, особливо при використанні гарячого гаманця.
Уникайте використання громадського Wi-Fi:
Не проводьте транзакції у громадних мережах Wi-Fi, щоб уникнути фішингових атак та атак посередників.
Посібник з безпечних торгових операцій
Повний процес торгівлі DApp складається з кількох етапів: встановлення гаманця, доступ до DApp, підключення гаманця, підписання повідомлень, підписання угод та обробка після угоди. На кожному етапі існують певні ризики безпеки, нижче буде детально описано зауваження для кожної стадії.
1. Встановлення гаманця
Наразі DApp в основному взаємодіє через плагіни для браузера. Для Ethereum та EVM-сумісних ланцюгів поширеними гаманцями є MetaMask та інші.
При установці гаманця плагіна Chrome, будь ласка, переконайтеся, що ви завантажуєте його з офіційного магазину додатків, уникаючи встановлення з веб-сайтів третіх осіб, щоб запобігти встановленню програмного забезпечення гаманця з бекдорами. Користувачам, які мають таку можливість, рекомендується використовувати апаратний гаманець для подальшого підвищення безпеки управління приватними ключами.
При резервному копіюванні насіннєвої фрази (зазвичай від 12 до 24 слів для відновлення) рекомендується зберігати її в безпечному фізичному місці, подалі від цифрових пристроїв, наприклад, записати на папері та зберігати в сейфі.
2. Відвідати DApp
Фішинг в Інтернеті є поширеним методом атак у Web3. Типовий випадок - це використання аірдропу як приманки, що спонукає користувачів відвідати фішинговий DApp, де після підключення гаманця їх спонукають підписати авторизацію токенів, транзакції переказу або підписання авторизацій токенів, що призводить до втрати активів.
Тому, під час доступу до DApp необхідно бути дуже обережним, щоб уникнути потрапляння в пастки фішингу.
Перед відвідуванням DApp слід підтвердити правильність веб-адреси. Рекомендується:
Уникайте прямого доступу через пошукові системи, оскільки зловмисники можуть підвищити рейтинг своїх фішингових сайтів, купуючи рекламні місця.
Обережно натискайте на посилання в соціальних мережах, коментарі чи URL-адреси в повідомленнях можуть бути фішинговими.
Багатостороння перевірка точності URL DApp може здійснюватися через ринок DApp, офіційні облікові записи соціальних мереж проекту та інші канали для перехресної перевірки.
Додайте безпечний веб-сайт до закладок браузера, щоб надалі відвідувати його безпосередньо з закладок.
Після відкриття веб-сторінки DApp необхідно ще перевірити адресний рядок на безпеку:
Перевірте, чи існують випадки підробки доменів та веб-сайтів.
Підтвердіть, що це HTTPS-зв'язок, браузер повинен відображати значок безпеки.
Наразі основні плагін-гаманці вже інтегрували певні функції попередження про ризики, які можуть надати сильне попередження при відвідуванні підозрілих веб-сайтів.
3. Підключити гаманець
Після входу в DApp може автоматично або після натискання на Connect відбутися підключення гаманця. Плагін гаманець проведе деякі перевірки та відобразить інформацію про поточний DApp.
Зазвичай, після підключення гаманця, якщо користувач не виконує інших дій, DApp не буде активно викликати плагін-гаманець. Якщо сайт після входу часто вимагає підписання або підтвердження транзакцій, навіть після відмови від підпису, і далі постійно з'являються запити на підпис, це, ймовірно, є ознакою фішингового сайту, з яким потрібно бути обережним.
4. Підпис повідомлення
У екстремальних випадках, коли зловмисник успішно зламав офіційний веб-сайт протоколу або змінив вміст сторінки через перехоплення з фронтенду, звичайним користувачам дуже важко визначити безпеку сайту.
У цей час функція підпису плагінного гаманця стає останньою лінією захисту активів користувачів. Досить відмовитися від злонамірених підписів, щоб ефективно запобігти втраті активів. Користувачі повинні уважно перевіряти вміст підпису перед підписанням будь-якого повідомлення або угоди, відмовляючись від сліпого підпису, щоб уникнути втрати активів.
Типові види підписів включають:
eth_sign: використовується для підписання хешованих даних.
personal_sign: використовується для підписання відкритої інформації, найчастіше під час перевірки входу користувача або підтвердження угоди про дозвіл.
eth_signTypedData (EIP-712): використовується для підписання структурованих даних, часто використовується в сценаріях Permit ERC20, NFT-лістинг тощо.
5. Підпис交易
Підпис交易使用ється для авторизації транзакцій у блокчейні, таких як перекази або виклики смарт-контрактів. Користувачі підписують за допомогою приватного ключа, а мережа перевіряє дійсність транзакції. Наразі багато плагінних гаманців розшифровують повідомлення для підпису та демонструють відповідний вміст, користувачі повинні дотримуватись принципу, що не підписують сліпо, рекомендації з безпеки такі:
Уважно перевірте адресу отримувача, суму та мережу, щоб уникнути помилок.
Рекомендується використовувати офлайн-підпис для великих транзакцій, щоб знизити ризик онлайн-атак.
Зверніть увагу на газові витрати, переконайтеся, що витрати розумні, будьте обережні з можливими шахрайськими діями.
Для користувачів з певним технічним досвідом також можна використовувати деякі методи ручної перевірки: скопіюйте адресу цільового контракту в блокчейн-оглядач (наприклад, etherscan) для перевірки, звертаючи особливу увагу на те, чи є контракт відкритим, чи було останнім часом багато транзакцій, а також чи позначив блокчейн-оглядач цю адресу офіційною або шкідливою міткою тощо.
6. Обробка після торгівлі
Навіть якщо вдалося успішно уникнути фішингових веб-сторінок і зловмисних підписів, після угоди все ще потрібно проводити управління ризиками.
Після завершення угоди слід вчасно перевірити стан угоди в блокчейні, щоб підтвердити, чи відповідає він очікуваному стану під час підписання. Якщо виявлено аномалії, необхідно негайно вжити заходів для зменшення збитків, таких як переміщення активів або скасування авторизації.
Управління дозволами ERC20 також є дуже важливим. Було кілька випадків, коли користувачі надали токени для певних контрактів, а через кілька років ці контракти піддавалися атакам, зловмисники використовували дозволені токени атакованого контракту для крадіжки коштів користувачів. Щоб уникнути таких ризиків, рекомендується дотримуватися таких принципів:
Мінімізація авторизації. При авторизації токенів слід обмежити кількість авторизованих токенів відповідно до потреби угоди. Наприклад, якщо для угоди потрібно авторизувати 100 USDT, то кількість авторизації повинна бути обмежена до 100 USDT, а не використовувати стандартну невизначену авторизацію.
Вчасно відкликати непотрібні авторизації токенів. Користувачі можуть увійти на платформи, такі як revoke.cash, щоб перевірити стан авторизації адреси, відкликати авторизації протоколів, які давно не використовувалися, щоб запобігти подальшим вразливостям у протоколах, що можуть призвести до втрати активів через використання авторизацій користувачів.
Стратегія ізоляції коштів
Навіть якщо ви усвідомлюєте ризики і вжили достатніх заходів для їх запобігання, рекомендується впровадити ефективну стратегію ізоляції коштів, щоб знизити ступінь втрат у екстремальних ситуаціях. Рекомендується така стратегія:
Використовуйте мультипідписні гаманці або холодні гаманці для зберігання великих активів;
Використовуйте плагінні гаманці або EOA-гаманці як гарячі гаманці для щоденного взаємодії;
Регулярно змінюйте адреси гарячих гаманців, щоб зменшити ймовірність тривалого впливу адреси на ризикове середовище.
Якщо вам не пощастило стати жертвою фішингової атаки, рекомендується негайно вжити такі заходи для зменшення втрат:
Використовуйте інструменти, такі як Revoke.cash, для скасування високоризикових дозволів;
Якщо підписано permit підпис, але активи ще не були передані, можна негайно ініціювати новий підпис, щоб зробити старий підпис nonce недійсним;
За необхідності швидко перемістіть залишкові активи на нову адресу або холодний гаманець.
Безпечна участь в аірдропах
Аірдроп є звичайним способом просування блокчейн-проектів, але в ньому також приховані ризики. Ось кілька порад:
Дослідження фону проекту: забезпечити наявність чіткого білого документа, відкритої інформації про команду та хорошу репутацію в спільноті;
Використовуйте спеціальну адресу: зареєструйте спеціальний гаманець і електронну пошту, щоб ізолювати ризики від основного рахунку;
Обережно натискайте на посилання: отримуйте інформацію про аірдроп лише через офіційні канали, уникайте натискання на підозрілі посилання в соціальних мережах.
Вибір та рекомендації щодо використання плагінів
Правила безпеки блокчейну містять багато пунктів, і може бути важко детально їх перевіряти під час кожної взаємодії, тому вибір безпечних плагінів є вкрай важливим, адже вони можуть допомогти нам у визначенні ризиків. Конкретні рекомендації такі:
Виберіть надійні розширення: використовуйте широко використовувані браузерні розширення, такі як MetaMask (для екосистеми Ethereum). Ці плагіни надають функції гаманця та підтримують взаємодію з DApp.
Перевірте відгуки користувачів: перед установкою нового плагіна перевірте оцінки користувачів і кількість установок. Високі оцінки та велика кількість установок зазвичай свідчать про надійність плагіна, знижуючи ризик наявності шкідливого коду.
Залишайтеся в курсі: періодично оновлюйте плагін, щоб отримати останні функції безпеки та виправлення. Застарілі плагіни можуть мати відомі вразливості, які легко можуть бути використані зловмисниками.
Підсумок
Слідуючи вищезгаданим рекомендаціям щодо безпечних транзакцій, користувачі можуть більш спокійно взаємодіяти в дедалі складнішій екосистемі блокчейну, ефективно підвищуючи захист своїх активів. Незважаючи на те, що технологія блокчейн має переваги децентралізації та прозорості, це також означає, що користувачі повинні самостійно справлятися з багатьма ризиками, включаючи фішинг підписів, витоки приватних ключів та шкідливі DApp.
Щоб досягти справжньої безпеки під час виходу в ланцюг, покладатися лише на інструменти для нагадування недостатньо, важливо розвивати системне усвідомлення безпеки та звички в операціях. Використовуючи апаратні гаманці, реалізовуючи стратегії ізоляції коштів, регулярно перевіряючи дозволи та оновлюючи плагіни та впроваджуючи в торгових операціях принципи "багатофакторної аутентифікації, відмови від сліпого підпису, ізоляції коштів", можна дійсно досягти "вільного та безпечного виходу в ланцюг".
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
14 лайків
Нагородити
14
8
Поділіться
Прокоментувати
0/400
FlashLoanKing
· 3год тому
Коли гроші загублені, тоді вже знаєш, що потрібно просити про допомогу.
Переглянути оригіналвідповісти на0
AirdropATM
· 19год тому
Стільки говорити, невже не можна просто дати мені дозволений список?
Переглянути оригіналвідповісти на0
SelfRugger
· 08-03 12:43
Якщо ти невдаха, то мусиш бути обдурений людьми, як лохи wgmi
Переглянути оригіналвідповісти на0
ForkMaster
· 08-03 12:42
Не ж просто щодня скидаєш провину на невдах, так? Колись я смажив сендвічі, шортячи, всі не вірили, а тепер що?
Переглянути оригіналвідповісти на0
HodlBeliever
· 08-03 12:41
Механізм ризиків не лише покладається на інструменти, фінансова піраміда вмирає за 30 секунд.
Переглянути оригіналвідповісти на0
CommunityLurker
· 08-03 12:38
Один невдах має навчитися дбати про себе, це я розумію.
Web3 користувачів обов'язково: повний посібник з безпеки торгових операцій у блокчейні
Посібник з безпеки交易 Web3: побудова безпечного захисту, контрольованого користувачем
З розвитком екосистеми блокчейн, онлайнові транзакції стали важливою частиною щоденної діяльності користувачів Web3. Активи користувачів поступово переходять з централізованих платформ до децентралізованих мереж, і ця тенденція означає, що відповідальність за безпеку активів переходить від платформ до самих користувачів. У онлайновому середовищі користувачі повинні нести відповідальність за кожен крок взаємодії, включаючи імпорт гаманця, доступ до DApp, підписання авторизацій та ініціювання транзакцій тощо. Будь-яка помилка в діях може призвести до загроз безпеці, таких як витік приватного ключа, зловживання авторизацією або фішинг-атаки.
Незважаючи на те, що на даний момент основні плагіни гаманців та браузерів поступово інтегрують функції виявлення ризиків і попередження, проте, з огляду на дедалі складніші методи атак, покладатися лише на пасивний захист інструментів все ще важко повністю уникнути ризиків. Щоб допомогти користувачам краще виявляти потенційні ризики в ланцюгових транзакціях, ми на основі практичного досвіду підготували комплексний посібник з безпеки ланцюгових транзакцій, який має на меті допомогти користувачам Web3 створити "самостійно контрольовану" систему безпеки.
Основні принципи безпечної торгівлі:
Рекомендації щодо безпечної торгівлі
Ключ до захисту цифрових активів полягає в безпечних транзакціях. Дослідження показують, що використання безпечних гаманців та двофакторної аутентифікації (2FA) може значно знизити ризики. Конкретні рекомендації такі:
Виберіть безпечний і надійний гаманець: Перевага надається апаратним гаманцям з доброю репутацією або відомим програмним гаманцям. Апаратні гаманці забезпечують офлайн-зберігання, що ефективно знижує ризик онлайн-атак, що підходить для зберігання великих активів.
Уважно перевірте деталі交易: Перед підтвердженням транзакції обов'язково перевірте адресу отримання, суму та інформацію про мережу, щоб уникнути втрат через помилки введення.
Увімкніть двофакторну аутентифікацію (2FA): Якщо торгова платформа або гаманець підтримують 2FA, настійно рекомендується його увімкнути, щоб підвищити безпеку облікового запису, особливо при використанні гарячого гаманця.
Уникайте використання громадського Wi-Fi: Не проводьте транзакції у громадних мережах Wi-Fi, щоб уникнути фішингових атак та атак посередників.
Посібник з безпечних торгових операцій
Повний процес торгівлі DApp складається з кількох етапів: встановлення гаманця, доступ до DApp, підключення гаманця, підписання повідомлень, підписання угод та обробка після угоди. На кожному етапі існують певні ризики безпеки, нижче буде детально описано зауваження для кожної стадії.
1. Встановлення гаманця
Наразі DApp в основному взаємодіє через плагіни для браузера. Для Ethereum та EVM-сумісних ланцюгів поширеними гаманцями є MetaMask та інші.
При установці гаманця плагіна Chrome, будь ласка, переконайтеся, що ви завантажуєте його з офіційного магазину додатків, уникаючи встановлення з веб-сайтів третіх осіб, щоб запобігти встановленню програмного забезпечення гаманця з бекдорами. Користувачам, які мають таку можливість, рекомендується використовувати апаратний гаманець для подальшого підвищення безпеки управління приватними ключами.
При резервному копіюванні насіннєвої фрази (зазвичай від 12 до 24 слів для відновлення) рекомендується зберігати її в безпечному фізичному місці, подалі від цифрових пристроїв, наприклад, записати на папері та зберігати в сейфі.
2. Відвідати DApp
Фішинг в Інтернеті є поширеним методом атак у Web3. Типовий випадок - це використання аірдропу як приманки, що спонукає користувачів відвідати фішинговий DApp, де після підключення гаманця їх спонукають підписати авторизацію токенів, транзакції переказу або підписання авторизацій токенів, що призводить до втрати активів.
Тому, під час доступу до DApp необхідно бути дуже обережним, щоб уникнути потрапляння в пастки фішингу.
Перед відвідуванням DApp слід підтвердити правильність веб-адреси. Рекомендується:
Після відкриття веб-сторінки DApp необхідно ще перевірити адресний рядок на безпеку:
Наразі основні плагін-гаманці вже інтегрували певні функції попередження про ризики, які можуть надати сильне попередження при відвідуванні підозрілих веб-сайтів.
3. Підключити гаманець
Після входу в DApp може автоматично або після натискання на Connect відбутися підключення гаманця. Плагін гаманець проведе деякі перевірки та відобразить інформацію про поточний DApp.
Зазвичай, після підключення гаманця, якщо користувач не виконує інших дій, DApp не буде активно викликати плагін-гаманець. Якщо сайт після входу часто вимагає підписання або підтвердження транзакцій, навіть після відмови від підпису, і далі постійно з'являються запити на підпис, це, ймовірно, є ознакою фішингового сайту, з яким потрібно бути обережним.
4. Підпис повідомлення
У екстремальних випадках, коли зловмисник успішно зламав офіційний веб-сайт протоколу або змінив вміст сторінки через перехоплення з фронтенду, звичайним користувачам дуже важко визначити безпеку сайту.
У цей час функція підпису плагінного гаманця стає останньою лінією захисту активів користувачів. Досить відмовитися від злонамірених підписів, щоб ефективно запобігти втраті активів. Користувачі повинні уважно перевіряти вміст підпису перед підписанням будь-якого повідомлення або угоди, відмовляючись від сліпого підпису, щоб уникнути втрати активів.
Типові види підписів включають:
5. Підпис交易
Підпис交易使用ється для авторизації транзакцій у блокчейні, таких як перекази або виклики смарт-контрактів. Користувачі підписують за допомогою приватного ключа, а мережа перевіряє дійсність транзакції. Наразі багато плагінних гаманців розшифровують повідомлення для підпису та демонструють відповідний вміст, користувачі повинні дотримуватись принципу, що не підписують сліпо, рекомендації з безпеки такі:
Для користувачів з певним технічним досвідом також можна використовувати деякі методи ручної перевірки: скопіюйте адресу цільового контракту в блокчейн-оглядач (наприклад, etherscan) для перевірки, звертаючи особливу увагу на те, чи є контракт відкритим, чи було останнім часом багато транзакцій, а також чи позначив блокчейн-оглядач цю адресу офіційною або шкідливою міткою тощо.
6. Обробка після торгівлі
Навіть якщо вдалося успішно уникнути фішингових веб-сторінок і зловмисних підписів, після угоди все ще потрібно проводити управління ризиками.
Після завершення угоди слід вчасно перевірити стан угоди в блокчейні, щоб підтвердити, чи відповідає він очікуваному стану під час підписання. Якщо виявлено аномалії, необхідно негайно вжити заходів для зменшення збитків, таких як переміщення активів або скасування авторизації.
Управління дозволами ERC20 також є дуже важливим. Було кілька випадків, коли користувачі надали токени для певних контрактів, а через кілька років ці контракти піддавалися атакам, зловмисники використовували дозволені токени атакованого контракту для крадіжки коштів користувачів. Щоб уникнути таких ризиків, рекомендується дотримуватися таких принципів:
Стратегія ізоляції коштів
Навіть якщо ви усвідомлюєте ризики і вжили достатніх заходів для їх запобігання, рекомендується впровадити ефективну стратегію ізоляції коштів, щоб знизити ступінь втрат у екстремальних ситуаціях. Рекомендується така стратегія:
Якщо вам не пощастило стати жертвою фішингової атаки, рекомендується негайно вжити такі заходи для зменшення втрат:
Безпечна участь в аірдропах
Аірдроп є звичайним способом просування блокчейн-проектів, але в ньому також приховані ризики. Ось кілька порад:
Вибір та рекомендації щодо використання плагінів
Правила безпеки блокчейну містять багато пунктів, і може бути важко детально їх перевіряти під час кожної взаємодії, тому вибір безпечних плагінів є вкрай важливим, адже вони можуть допомогти нам у визначенні ризиків. Конкретні рекомендації такі:
Підсумок
Слідуючи вищезгаданим рекомендаціям щодо безпечних транзакцій, користувачі можуть більш спокійно взаємодіяти в дедалі складнішій екосистемі блокчейну, ефективно підвищуючи захист своїх активів. Незважаючи на те, що технологія блокчейн має переваги децентралізації та прозорості, це також означає, що користувачі повинні самостійно справлятися з багатьма ризиками, включаючи фішинг підписів, витоки приватних ключів та шкідливі DApp.
Щоб досягти справжньої безпеки під час виходу в ланцюг, покладатися лише на інструменти для нагадування недостатньо, важливо розвивати системне усвідомлення безпеки та звички в операціях. Використовуючи апаратні гаманці, реалізовуючи стратегії ізоляції коштів, регулярно перевіряючи дозволи та оновлюючи плагіни та впроваджуючи в торгових операціях принципи "багатофакторної аутентифікації, відмови від сліпого підпису, ізоляції коштів", можна дійсно досягти "вільного та безпечного виходу в ланцюг".