Guía de seguridad para la interacción en Web3 on-chain
Con el continuo desarrollo del ecosistema blockchain, las transacciones on-chain se han convertido en una parte indispensable de la vida diaria de los usuarios de Web3. Los activos de los usuarios están migrando de plataformas centralizadas a redes descentralizadas, lo que significa que la responsabilidad de la seguridad de los activos se está trasladando gradualmente de la plataforma a los propios usuarios. En un entorno on-chain, los usuarios necesitan ser responsables de cada paso que tomen, ya sea importando una cartera, utilizando una DApp, realizando autorizaciones de firma o iniciando transacciones; cualquier descuido puede convertirse en un riesgo de seguridad, lo que podría resultar en la filtración de claves privadas, abuso de autorizaciones o sufrir ataques de phishing, entre otras consecuencias graves.
Aunque actualmente los principales complementos de billetera y navegadores han integrado gradualmente funciones de identificación y alerta de riesgos, enfrentar técnicas de ataque cada vez más complejas hace que depender únicamente de la defensa pasiva de las herramientas sea difícil para evitar completamente los riesgos. Para ayudar a los usuarios a identificar mejor los riesgos potenciales en las transacciones on-chain, este artículo, basado en la experiencia práctica, ha recopilado escenarios de riesgo de alta incidencia en todo el proceso, y, combinando sugerencias de protección y técnicas de uso de herramientas, ha elaborado un conjunto de pautas de seguridad para transacciones on-chain, con el objetivo de ayudar a cada usuario de Web3 a establecer una defensa de seguridad "autónoma y controlable".
Principios clave para el comercio seguro:
Rechazar la firma ciega: no firmar transacciones o mensajes que no entiendas.
Verificación repetida: Antes de realizar cualquier transacción, asegúrese de verificar la exactitud de la información relacionada varias veces.
1. Sugerencias para un comercio seguro
La clave para proteger los activos digitales radica en las transacciones seguras. Los estudios muestran que el uso de billeteras seguras y la autenticación de dos factores (2FA) pueden reducir significativamente el riesgo. A continuación se presentan recomendaciones específicas:
Seleccionar una billetera segura:
Utiliza proveedores de billeteras con buena reputación, como billeteras de hardware o billeteras de software reconocidas. Las billeteras de hardware ofrecen almacenamiento fuera de línea, reduciendo el riesgo de ataques en línea, y son adecuadas para almacenar grandes activos.
Revisa cuidadosamente los detalles de la transacción:
Antes de confirmar la transacción, asegúrese de verificar la dirección de recepción, el monto y la red (como asegurarse de usar la cadena correcta) para evitar pérdidas debido a errores de entrada.
Habilitar la autenticación de dos factores:
Si la plataforma de intercambio o la billetera soporta 2FA, asegúrate de habilitarlo para mejorar la seguridad de la cuenta, especialmente al usar una billetera caliente.
Evita usar Wi-Fi público:
No realices transacciones en redes Wi-Fi públicas para evitar ataques de phishing y ataques de intermediarios.
Dos, Guía de operaciones de comercio seguro
Un proceso completo de transacción de DApp incluye múltiples etapas: instalación de la billetera, acceso al DApp, conexión de la billetera, firma de mensajes, firma de transacciones y procesamiento posterior a la transacción. Cada etapa conlleva ciertos riesgos de seguridad, a continuación se presentarán las precauciones a tener en cuenta en la operación práctica.
1. Instalación de la billetera:
Actualmente, la forma principal de interactuar con DApps es a través de billeteras de navegador. Las billeteras comúnmente utilizadas en cadenas EVM incluyen varias opciones.
Al instalar la billetera del complemento de Chrome, se debe asegurar de descargarla desde la tienda oficial de aplicaciones, evitando la instalación desde sitios web de terceros, para prevenir la instalación de software de billetera con puertas traseras. Se recomienda a los usuarios que lo permitan combinar el uso de una billetera de hardware, para aumentar aún más la seguridad en la gestión de claves privadas.
Al hacer una copia de seguridad de la frase de recuperación de su billetera (normalmente un conjunto de 12 a 24 palabras), se recomienda almacenarla en un lugar seguro y fuera de línea, lejos de los dispositivos digitales (por ejemplo, escribirla en papel y guardarla en una caja de seguridad).
2. Acceder a DApp
El phishing web es una técnica común en los ataques de Web3. Un caso típico es inducir a los usuarios a visitar DApps de phishing bajo el pretexto de un airdrop, lo que lleva a los usuarios a conectar sus billeteras y firmar autorizaciones de tokens, transacciones de transferencia o firmas de autorización de tokens, resultando en pérdidas de activos.
Por lo tanto, al acceder a DApp, los usuarios deben mantenerse alerta y evitar caer en trampas de phishing en la web.
Antes de acceder a la DApp, debe confirmar la corrección de la URL. Sugerencia:
Evita acceder directamente a través de motores de búsqueda: los atacantes de phishing pueden hacer que sus sitios de phishing aparezcan en los primeros lugares comprando espacios publicitarios.
Evita hacer clic en enlaces en las redes sociales: las URL en comentarios o mensajes pueden ser enlaces de phishing.
Página web de la DApp de verificación múltiple: se puede verificar a través del mercado de DApps, cuentas oficiales de redes sociales del proyecto y otros canales.
Agregar el sitio web seguro a los marcadores del navegador: acceder directamente desde los marcadores en el futuro.
Después de abrir la página web de DApp, también es necesario realizar una verificación de seguridad en la barra de direcciones:
Verifique si el nombre de dominio y la URL tienen imitaciones.
Confirma si es un enlace HTTPS, el navegador debe mostrar el símbolo de candado 🔒.
Actualmente, las billeteras de plugins más populares han integrado ciertas funciones de advertencia de riesgos, que pueden dar fuertes recordatorios al acceder a sitios web de riesgo.
3. Conectar la cartera
Al ingresar a la DApp, puede que se active automáticamente o al hacer clic en Conectar para realizar la operación de conexión de la billetera. La billetera de plugin realizará algunas verificaciones y mostrará información sobre la DApp actual.
Después de conectar la billetera, generalmente, cuando el usuario no realiza otras operaciones, la DApp no invocará activamente la billetera del plugin. Si el sitio web solicita repetidamente la firma de mensajes o transacciones de la billetera después de iniciar sesión, e incluso sigue apareciendo la solicitud de firma después de rechazarla, es muy probable que sea un sitio web de phishing, y se debe manejar con precaución.
4. Firma de mensaje
En situaciones extremas, como cuando un atacante invade el sitio web oficial del protocolo o reemplaza el contenido de la página mediante ataques de secuestro en el front-end, es difícil para los usuarios comunes discernir la seguridad del sitio.
En este momento, la firma de la billetera de extensión se convierte en la última línea de defensa para proteger los activos del usuario. Siempre que se rechacen las firmas maliciosas, se puede evitar la pérdida de activos. Los usuarios deben revisar cuidadosamente el contenido al firmar cualquier mensaje y transacción, rechazando la firma ciega para garantizar la seguridad de los activos.
Los tipos de firma comunes incluyen:
eth_sign: Firmar datos hash.
personal_sign: Firma de información en texto claro, comúnmente utilizada para la verificación de inicio de sesión del usuario o la confirmación de acuerdos de licencia.
eth_signTypedData (EIP-712): firma de datos estructurados, comúnmente utilizada en el Permiso de ERC20, órdenes de NFT, etc.
5: Firma de transacción
La firma de la transacción se utiliza para autorizar transacciones en la cadena de bloques, como transferencias o llamadas a contratos inteligentes. Los usuarios firman con su clave privada y la red verifica la validez de la transacción. Actualmente, muchas carteras de plugins analizan los mensajes pendientes de firma y muestran el contenido relacionado; es fundamental seguir el principio de no firmar ciegamente. Recomendaciones de seguridad:
Verifique cuidadosamente la dirección de recepción, el monto y la red para evitar errores.
Se recomienda utilizar firmas fuera de línea para transacciones de gran cantidad, con el fin de reducir el riesgo de ataques en línea.
Presta atención a las tarifas de gas, asegúrate de que sean razonables y prevén estafas.
Para los usuarios con una buena base técnica, también se pueden utilizar algunos métodos de verificación manual: copiar la dirección del contrato objetivo de interacción en un explorador de blockchain para revisarla, verificando principalmente si el contrato es de código abierto, si ha habido un gran número de transacciones recientemente, y si el explorador ha agregado una etiqueta oficial o una etiqueta maliciosa a esa dirección, entre otros.
6. Procesamiento posterior a la transacción
Incluso si se logra evitar páginas de phishing y firmas maliciosas, aún se necesita gestionar el riesgo después de la transacción.
Después de la transacción, se debe verificar oportunamente la situación on-chain para confirmar si coincide con las expectativas al momento de la firma. Si se detecta alguna anomalía, se deben tomar de inmediato medidas de stop-loss como la transferencia de activos o la revocación de autorizaciones.
La gestión de la aprobación ERC20 también es crucial. En algunos casos, después de que los usuarios otorgaron autorización de tokens a ciertos contratos, estos contratos fueron atacados años después, y los atacantes utilizaron el límite de autorización para robar los fondos de los usuarios. Para evitar tales situaciones, se recomienda a los usuarios seguir los siguientes estándares para la prevención de riesgos:
Minimizar la autorización. Al realizar la autorización de tokens, se debe limitar la cantidad de tokens autorizados según las necesidades de la transacción. Por ejemplo, si una transacción requiere autorizar 100 USDT, la cantidad autorizada debe limitarse a 100 USDT, en lugar de utilizar la autorización predeterminada ilimitada.
Revocar a tiempo las autorizaciones de tokens no necesarios. Los usuarios pueden iniciar sesión en el sitio web correspondiente para consultar el estado de autorización de la dirección, revocar las autorizaciones de contratos que no han interactuado durante mucho tiempo, para prevenir que las vulnerabilidades posteriores del contrato causen pérdidas de activos debido al uso de la cantidad autorizada.
Tres, Estrategia de Aislamiento de Fondos
Con una conciencia de riesgo y una adecuada prevención, también se sugiere implementar un efectivo aislamiento de fondos para reducir el grado de pérdida de capital en situaciones extremas. Las estrategias recomendadas son las siguientes:
Utilice una billetera multifirma o una billetera fría para almacenar activos de gran valor;
Utilizar una billetera de plugin o una billetera EOA como billetera caliente para la interacción diaria;
Cambiar regularmente la dirección del monedero caliente para reducir la exposición prolongada de la dirección en un entorno de riesgo.
Si desafortunadamente sufres un phishing, se recomienda tomar las siguientes medidas de inmediato para reducir las pérdidas:
Utiliza herramientas relacionadas para cancelar autorizaciones de alto riesgo;
Si se firma un permiso pero los activos aún no se han transferido, se puede iniciar inmediatamente una nueva firma para invalidar el nonce de la firma anterior;
Si es necesario, transfiera rápidamente los activos restantes a una nueva dirección o a una billetera fría.
Cuatro, Participar de forma segura en actividades de airdrop
El airdrop es una forma común de promoción en proyectos de blockchain, pero también conlleva riesgos. A continuación se presentan algunos consejos:
Investigación de antecedentes del proyecto: asegurarse de que el proyecto tenga un libro blanco detallado, información del equipo pública y una buena reputación en la comunidad;
Uso de direcciones dedicadas: registre una billetera y un correo electrónico dedicados, aislando el riesgo de la cuenta principal;
Cuidado al hacer clic en enlaces: obtenga información sobre airdrops únicamente a través de canales oficiales y evite hacer clic en enlaces sospechosos en plataformas sociales;
Cinco, selección y recomendaciones para el uso de herramientas de plugins
El contenido de las normas de seguridad de blockchain es extenso, lo que puede dificultar una revisión detallada en cada interacción. Elegir plugins seguros es crucial, ya que pueden ayudarnos en la evaluación de riesgos. Aquí están las recomendaciones específicas:
Extensiones confiables: utiliza extensiones de navegador ampliamente utilizadas. Estos plugins ofrecen funciones de billetera y admiten la interacción con DApps.
Verificación de la calificación: antes de instalar un nuevo complemento, verifica la calificación de los usuarios y la cantidad de instalaciones. Una alta calificación y un gran número de instalaciones suelen indicar que el complemento es más confiable, reduciendo el riesgo de código malicioso.
Actualización oportuna: Actualiza los complementos regularmente para obtener las últimas funciones de seguridad y correcciones. Los complementos obsoletos pueden tener vulnerabilidades conocidas que son fácilmente explotables por los atacantes.
Seis, resumen
Al seguir las pautas de seguridad para transacciones mencionadas anteriormente, los usuarios pueden interactuar de manera más tranquila en un ecosistema blockchain cada vez más complejo, mejorando efectivamente la capacidad de protección de activos. Aunque la tecnología blockchain tiene como ventajas principales la descentralización y la transparencia, esto también significa que los usuarios deben enfrentar de manera independiente múltiples riesgos, incluyendo el phishing de firmas, la filtración de claves privadas y las DApps maliciosas.
Para lograr una verdadera seguridad on-chain, no es suficiente confiar únicamente en las herramientas de aviso; establecer una conciencia de seguridad sistemática y hábitos de operación es clave. A través del uso de billeteras de hardware, la implementación de estrategias de aislamiento de fondos, la verificación regular de autorizaciones y la actualización de complementos, así como la incorporación del concepto de "verificación múltiple, rechazo de firmas ciegas, aislamiento de fondos" en las operaciones de transacción, se puede lograr realmente "subir a la cadena de manera libre y segura".
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
16 me gusta
Recompensa
16
5
Compartir
Comentar
0/400
JustHodlIt
· hace8h
Después de pensarlo, mejor colocar la moneda en el intercambio centralizado.
Ver originalesResponder0
OfflineNewbie
· 08-01 08:38
Sí, estar atrapado una vez ya te convierte en un experto.
Ver originalesResponder0
WhaleWatcher
· 08-01 08:35
Ay, en estos tiempos ni siquiera se atreve a firmar su billetera al azar.
Ver originalesResponder0
RugResistant
· 08-01 08:28
ngmi si no lees esto... el maestro de auditoría de seguridad está soltando algunas verdades aquí fr
Guía de seguridad del activo Web3: Prevención de riesgos en todo el proceso de interacción on-chain
Guía de seguridad para la interacción en Web3 on-chain
Con el continuo desarrollo del ecosistema blockchain, las transacciones on-chain se han convertido en una parte indispensable de la vida diaria de los usuarios de Web3. Los activos de los usuarios están migrando de plataformas centralizadas a redes descentralizadas, lo que significa que la responsabilidad de la seguridad de los activos se está trasladando gradualmente de la plataforma a los propios usuarios. En un entorno on-chain, los usuarios necesitan ser responsables de cada paso que tomen, ya sea importando una cartera, utilizando una DApp, realizando autorizaciones de firma o iniciando transacciones; cualquier descuido puede convertirse en un riesgo de seguridad, lo que podría resultar en la filtración de claves privadas, abuso de autorizaciones o sufrir ataques de phishing, entre otras consecuencias graves.
Aunque actualmente los principales complementos de billetera y navegadores han integrado gradualmente funciones de identificación y alerta de riesgos, enfrentar técnicas de ataque cada vez más complejas hace que depender únicamente de la defensa pasiva de las herramientas sea difícil para evitar completamente los riesgos. Para ayudar a los usuarios a identificar mejor los riesgos potenciales en las transacciones on-chain, este artículo, basado en la experiencia práctica, ha recopilado escenarios de riesgo de alta incidencia en todo el proceso, y, combinando sugerencias de protección y técnicas de uso de herramientas, ha elaborado un conjunto de pautas de seguridad para transacciones on-chain, con el objetivo de ayudar a cada usuario de Web3 a establecer una defensa de seguridad "autónoma y controlable".
Principios clave para el comercio seguro:
1. Sugerencias para un comercio seguro
La clave para proteger los activos digitales radica en las transacciones seguras. Los estudios muestran que el uso de billeteras seguras y la autenticación de dos factores (2FA) pueden reducir significativamente el riesgo. A continuación se presentan recomendaciones específicas:
Seleccionar una billetera segura: Utiliza proveedores de billeteras con buena reputación, como billeteras de hardware o billeteras de software reconocidas. Las billeteras de hardware ofrecen almacenamiento fuera de línea, reduciendo el riesgo de ataques en línea, y son adecuadas para almacenar grandes activos.
Revisa cuidadosamente los detalles de la transacción: Antes de confirmar la transacción, asegúrese de verificar la dirección de recepción, el monto y la red (como asegurarse de usar la cadena correcta) para evitar pérdidas debido a errores de entrada.
Habilitar la autenticación de dos factores: Si la plataforma de intercambio o la billetera soporta 2FA, asegúrate de habilitarlo para mejorar la seguridad de la cuenta, especialmente al usar una billetera caliente.
Evita usar Wi-Fi público: No realices transacciones en redes Wi-Fi públicas para evitar ataques de phishing y ataques de intermediarios.
Dos, Guía de operaciones de comercio seguro
Un proceso completo de transacción de DApp incluye múltiples etapas: instalación de la billetera, acceso al DApp, conexión de la billetera, firma de mensajes, firma de transacciones y procesamiento posterior a la transacción. Cada etapa conlleva ciertos riesgos de seguridad, a continuación se presentarán las precauciones a tener en cuenta en la operación práctica.
1. Instalación de la billetera:
Actualmente, la forma principal de interactuar con DApps es a través de billeteras de navegador. Las billeteras comúnmente utilizadas en cadenas EVM incluyen varias opciones.
Al instalar la billetera del complemento de Chrome, se debe asegurar de descargarla desde la tienda oficial de aplicaciones, evitando la instalación desde sitios web de terceros, para prevenir la instalación de software de billetera con puertas traseras. Se recomienda a los usuarios que lo permitan combinar el uso de una billetera de hardware, para aumentar aún más la seguridad en la gestión de claves privadas.
Al hacer una copia de seguridad de la frase de recuperación de su billetera (normalmente un conjunto de 12 a 24 palabras), se recomienda almacenarla en un lugar seguro y fuera de línea, lejos de los dispositivos digitales (por ejemplo, escribirla en papel y guardarla en una caja de seguridad).
2. Acceder a DApp
El phishing web es una técnica común en los ataques de Web3. Un caso típico es inducir a los usuarios a visitar DApps de phishing bajo el pretexto de un airdrop, lo que lleva a los usuarios a conectar sus billeteras y firmar autorizaciones de tokens, transacciones de transferencia o firmas de autorización de tokens, resultando en pérdidas de activos.
Por lo tanto, al acceder a DApp, los usuarios deben mantenerse alerta y evitar caer en trampas de phishing en la web.
Antes de acceder a la DApp, debe confirmar la corrección de la URL. Sugerencia:
Después de abrir la página web de DApp, también es necesario realizar una verificación de seguridad en la barra de direcciones:
Actualmente, las billeteras de plugins más populares han integrado ciertas funciones de advertencia de riesgos, que pueden dar fuertes recordatorios al acceder a sitios web de riesgo.
3. Conectar la cartera
Al ingresar a la DApp, puede que se active automáticamente o al hacer clic en Conectar para realizar la operación de conexión de la billetera. La billetera de plugin realizará algunas verificaciones y mostrará información sobre la DApp actual.
Después de conectar la billetera, generalmente, cuando el usuario no realiza otras operaciones, la DApp no invocará activamente la billetera del plugin. Si el sitio web solicita repetidamente la firma de mensajes o transacciones de la billetera después de iniciar sesión, e incluso sigue apareciendo la solicitud de firma después de rechazarla, es muy probable que sea un sitio web de phishing, y se debe manejar con precaución.
4. Firma de mensaje
En situaciones extremas, como cuando un atacante invade el sitio web oficial del protocolo o reemplaza el contenido de la página mediante ataques de secuestro en el front-end, es difícil para los usuarios comunes discernir la seguridad del sitio.
En este momento, la firma de la billetera de extensión se convierte en la última línea de defensa para proteger los activos del usuario. Siempre que se rechacen las firmas maliciosas, se puede evitar la pérdida de activos. Los usuarios deben revisar cuidadosamente el contenido al firmar cualquier mensaje y transacción, rechazando la firma ciega para garantizar la seguridad de los activos.
Los tipos de firma comunes incluyen:
5: Firma de transacción
La firma de la transacción se utiliza para autorizar transacciones en la cadena de bloques, como transferencias o llamadas a contratos inteligentes. Los usuarios firman con su clave privada y la red verifica la validez de la transacción. Actualmente, muchas carteras de plugins analizan los mensajes pendientes de firma y muestran el contenido relacionado; es fundamental seguir el principio de no firmar ciegamente. Recomendaciones de seguridad:
Para los usuarios con una buena base técnica, también se pueden utilizar algunos métodos de verificación manual: copiar la dirección del contrato objetivo de interacción en un explorador de blockchain para revisarla, verificando principalmente si el contrato es de código abierto, si ha habido un gran número de transacciones recientemente, y si el explorador ha agregado una etiqueta oficial o una etiqueta maliciosa a esa dirección, entre otros.
6. Procesamiento posterior a la transacción
Incluso si se logra evitar páginas de phishing y firmas maliciosas, aún se necesita gestionar el riesgo después de la transacción.
Después de la transacción, se debe verificar oportunamente la situación on-chain para confirmar si coincide con las expectativas al momento de la firma. Si se detecta alguna anomalía, se deben tomar de inmediato medidas de stop-loss como la transferencia de activos o la revocación de autorizaciones.
La gestión de la aprobación ERC20 también es crucial. En algunos casos, después de que los usuarios otorgaron autorización de tokens a ciertos contratos, estos contratos fueron atacados años después, y los atacantes utilizaron el límite de autorización para robar los fondos de los usuarios. Para evitar tales situaciones, se recomienda a los usuarios seguir los siguientes estándares para la prevención de riesgos:
Tres, Estrategia de Aislamiento de Fondos
Con una conciencia de riesgo y una adecuada prevención, también se sugiere implementar un efectivo aislamiento de fondos para reducir el grado de pérdida de capital en situaciones extremas. Las estrategias recomendadas son las siguientes:
Si desafortunadamente sufres un phishing, se recomienda tomar las siguientes medidas de inmediato para reducir las pérdidas:
Cuatro, Participar de forma segura en actividades de airdrop
El airdrop es una forma común de promoción en proyectos de blockchain, pero también conlleva riesgos. A continuación se presentan algunos consejos:
Cinco, selección y recomendaciones para el uso de herramientas de plugins
El contenido de las normas de seguridad de blockchain es extenso, lo que puede dificultar una revisión detallada en cada interacción. Elegir plugins seguros es crucial, ya que pueden ayudarnos en la evaluación de riesgos. Aquí están las recomendaciones específicas:
Seis, resumen
Al seguir las pautas de seguridad para transacciones mencionadas anteriormente, los usuarios pueden interactuar de manera más tranquila en un ecosistema blockchain cada vez más complejo, mejorando efectivamente la capacidad de protección de activos. Aunque la tecnología blockchain tiene como ventajas principales la descentralización y la transparencia, esto también significa que los usuarios deben enfrentar de manera independiente múltiples riesgos, incluyendo el phishing de firmas, la filtración de claves privadas y las DApps maliciosas.
Para lograr una verdadera seguridad on-chain, no es suficiente confiar únicamente en las herramientas de aviso; establecer una conciencia de seguridad sistemática y hábitos de operación es clave. A través del uso de billeteras de hardware, la implementación de estrategias de aislamiento de fondos, la verificación regular de autorizaciones y la actualización de complementos, así como la incorporación del concepto de "verificación múltiple, rechazo de firmas ciegas, aislamiento de fondos" en las operaciones de transacción, se puede lograr realmente "subir a la cadena de manera libre y segura".