Com o contínuo desenvolvimento do ecossistema blockchain, as transações na cadeia tornaram-se uma parte indispensável da vida diária dos usuários do Web3. Os ativos dos usuários estão migrando de plataformas centralizadas para redes descentralizadas, o que significa que a responsabilidade pela segurança dos ativos está gradualmente se transferindo da plataforma para os próprios usuários. Em um ambiente na cadeia, os usuários precisam ser responsáveis por cada passo da operação, seja importando uma carteira, usando um DApp, ou realizando autorizações de assinatura e iniciando transações, qualquer descuido pode se transformar em um risco de segurança, levando a sérias consequências como vazamento de chaves privadas, abuso de autorizações ou ataques de phishing.
Embora atualmente os plugins de carteiras e navegadores mainstream tenham integrado gradualmente funções de identificação e alerta de riscos, enfrentar métodos de ataque cada vez mais complexos apenas com a defesa passiva das ferramentas ainda torna difícil evitar completamente os riscos. Para ajudar os usuários a identificar melhor os riscos potenciais nas transações na cadeia, este artigo, com base na experiência prática, organiza cenários de alto risco em todo o processo e, juntamente com sugestões de proteção e dicas de uso de ferramentas, elabora um guia sistemático de segurança para transações na cadeia, com o objetivo de ajudar cada usuário de Web3 a estabelecer uma linha de defesa "autônoma e controlável".
Princípios fundamentais da negociação segura:
Recusar assinaturas cegas: não assine transações ou mensagens que não compreende.
Verificação repetida: Antes de realizar qualquer transação, é imprescindível verificar várias vezes a precisão das informações relevantes.
1. Sugestões para transações seguras
A chave para proteger os ativos digitais está nas transações seguras. Estudos mostram que o uso de carteiras seguras e autenticação de dois fatores (2FA) pode reduzir significativamente o risco. Aqui estão algumas recomendações específicas:
Escolher uma carteira segura:
Use fornecedores de carteiras de boa reputação, como carteiras de hardware ou carteiras de software conhecidas. As carteiras de hardware oferecem armazenamento offline, reduzindo o risco de ataques online, sendo adequadas para armazenar grandes quantidades de ativos.
Verifique os detalhes da transação com atenção:
Antes de confirmar a transação, verifique sempre o endereço de recebimento, o montante e a rede (como garantir que está a usar a cadeia correta), para evitar perdas devido a erros de entrada.
Ativar a autenticação em duas etapas:
Se a plataforma de negociação ou a carteira suportar 2FA, é imprescindível ativá-la para aumentar a segurança da conta, especialmente ao usar carteiras quentes.
Evite usar Wi-Fi público:
Não realize transações em redes Wi-Fi públicas para evitar ataques de phishing e ataques de intermediários.
Dois, Guia de Operações de Negociação Segura
Um processo completo de transação DApp inclui várias etapas: instalação da carteira, acesso ao DApp, conexão da carteira, assinatura de mensagens, assinatura de transações e processamento pós-transação. Cada etapa apresenta certos riscos de segurança, e a seguir serão apresentadas as precauções a serem tomadas durante a operação.
1. Instalação da carteira:
Atualmente, a forma mainstream de interagir com DApps é através de carteiras de extensão de navegador. As carteiras comuns para cadeias EVM incluem várias opções.
Ao instalar a carteira do plugin Chrome, deve-se garantir que seja baixada da loja de aplicações oficial, evitando a instalação a partir de sites de terceiros, para prevenir a instalação de software de carteira com backdoors. Usuários que tiverem condições são aconselhados a usar uma carteira de hardware em conjunto, para aumentar ainda mais a segurança da gestão das chaves privadas.
Ao fazer backup das palavras-chave da carteira (geralmente uma frase de recuperação de 12 a 24 palavras), é aconselhável armazená-las em um local seguro e offline, longe de dispositivos digitais (como escrevê-las em papel e guardá-las num cofre).
2. Aceder ao DApp
A pesca na web é uma técnica comum em ataques Web3. Um caso típico é induzir os usuários a visitar um DApp de phishing sob o pretexto de airdrop, levando-os a assinar autorizações de tokens, transações de transferência ou assinaturas de autorização de tokens após conectar a carteira, resultando em perda de ativos.
Portanto, ao acessar DApps, os usuários devem permanecer vigilantes para evitar cair em armadilhas de phishing na web.
Antes de acessar o DApp, você deve confirmar a correção do URL. Sugestão:
Evite acessar diretamente através de motores de busca: atacantes de phishing podem fazer com que seus sites de phishing apareçam em posições altas comprando espaços publicitários.
Evite clicar em links nas redes sociais: os URLs em comentários ou mensagens podem ser links de phishing.
Verifique o URL do DApp em múltiplos canais: pode ser verificado através do mercado de DApp, contas oficiais de redes sociais do projeto, entre outros.
Adicione sites seguros aos favoritos do navegador: acesse diretamente a partir dos favoritos posteriormente.
Após abrir a página da DApp, é necessário realizar uma verificação de segurança na barra de endereços:
Verifique se o domínio e o URL têm alguma falsificação.
Confirme se é um link HTTPS, o navegador deve mostrar o ícone de cadeado 🔒.
Atualmente, as principais carteiras de plugins já integraram algumas funcionalidades de aviso de risco, que podem fornecer um forte aviso ao acessar sites de risco.
3. Conectar carteira
Ao entrar na DApp, pode ser que a operação de conexão da carteira seja acionada automaticamente ou após clicar ativamente em Conectar. A carteira de plugin realizará algumas verificações e exibirá informações sobre a DApp atual.
Após conectar a carteira, normalmente, quando o usuário não realiza outras operações, o DApp não ativa proativamente a carteira de plugin. Se o site frequentemente solicita a assinatura de mensagens ou transações após o login, mesmo após a recusa da assinatura, e continua a exibir solicitações de assinatura, é muito provável que seja um site de phishing, e deve-se ter cautela.
4. Assinatura de Mensagem
Em situações extremas, como quando um atacante invade o site oficial do protocolo ou substitui o conteúdo da página através de ataques de sequestro no frontend, é difícil para os usuários comuns discernir a segurança do site.
Neste momento, a assinatura da carteira de plugin torna-se a última linha de defesa para proteger os ativos dos usuários. Basta recusar assinaturas maliciosas para evitar prejuízos nos ativos. Os usuários devem examinar cuidadosamente o conteúdo ao assinar qualquer mensagem e transação, recusando assinaturas cegas para garantir a segurança dos ativos.
Os tipos de assinatura comuns incluem:
eth_sign: assinar dados de hash.
personal_sign: Assinatura de informações em texto claro, frequentemente utilizada para a verificação de login do usuário ou confirmação de acordos de permissão.
eth_signTypedData (EIP-712): assinar dados estruturados, comumente usado para Permissão ERC20, ordens de NFT, etc.
5: Assinatura da transação
A assinatura da transação é usada para autorizar transações na cadeia, como transferências ou chamadas de contratos inteligentes. Os usuários assinam com a chave privada, e a rede verifica a validade da transação. Atualmente, muitas carteiras de plugin analisam mensagens a serem assinadas e exibem o conteúdo relevante, é imprescindível seguir o princípio de não assinar cegamente, recomendações de segurança:
Verifique cuidadosamente o endereço de recebimento, o montante e a rede para evitar erros.
Para transações de grande valor, recomenda-se o uso de assinatura offline para reduzir o risco de ataques online.
Atenção às taxas de gas, certifique-se de que são razoáveis, previna fraudes.
Para utilizadores com uma boa base técnica, podem ser adotados alguns métodos de verificação manual: copiar o endereço do contrato alvo para o explorador de blockchain para revisão, verificando principalmente se o contrato é open-source, se houve um grande volume de transações recentemente, e se o explorador adicionou uma etiqueta oficial ou uma etiqueta maliciosa a esse endereço.
6. Processamento pós-negociação
Mesmo que tenha conseguido evitar páginas de phishing e assinaturas maliciosas, ainda é necessário realizar gestão de risco após a transação.
Após a transação, deve-se verificar rapidamente a situação na cadeia, confirmando se está de acordo com as expectativas no momento da assinatura. Se forem detectadas anomalias, devem ser tomadas imediatamente medidas de mitigação de perdas, como a transferência de ativos e a revogação de autorizações.
A gestão de autorização ERC20 é também crucial. Em alguns casos, após os usuários autorizarem tokens a certos contratos, anos depois, esses contratos foram atacados, e os atacantes aproveitaram os limites de autorização para roubar fundos dos usuários. Para evitar tais situações, recomenda-se que os usuários sigam os seguintes padrões para prevenir riscos:
Minimização de autorização. Ao autorizar tokens, a quantidade correspondente de tokens deve ser autorizada de acordo com as necessidades da transação. Por exemplo, se uma transação requer autorizar 100 USDT, então a quantidade autorizada deve ser limitada a 100 USDT, em vez de usar a autorização padrão ilimitada.
Revogue rapidamente as autorizações de tokens desnecessárias. Os usuários podem aceder ao site relevante para verificar a situação das autorizações do endereço, revogar as autorizações de contratos que não interagem há muito tempo, a fim de prevenir a exploração de vulnerabilidades que possam levar a perdas de ativos devido ao uso da autorização.
Três, estratégia de isolamento de fundos
Com base na consciência de risco e na implementação de medidas adequadas de prevenção, recomenda-se também a implementação de uma eficaz separação de fundos para reduzir a extensão das perdas financeiras em situações extremas. As estratégias recomendadas são as seguintes:
Use uma carteira multi-assinatura ou uma carteira fria para armazenar ativos de grande valor;
Use uma carteira de plugin ou uma carteira EOA como carteira quente para interações diárias;
Alterar regularmente o endereço da carteira quente, reduzindo a exposição do endereço a ambientes de risco a longo prazo.
Se por acaso você for vítima de phishing, recomenda-se tomar imediatamente as seguintes medidas para reduzir as perdas:
Utilize ferramentas relacionadas para cancelar autorizações de alto risco;
Se uma assinatura de permit foi feita, mas os ativos ainda não foram transferidos, uma nova assinatura pode ser iniciada imediatamente para tornar a nonce da assinatura antiga inválida;
Se necessário, transfira rapidamente os ativos restantes para um novo endereço ou carteira fria.
Quatro, Participação Segura em Atividades de Airdrop
Os airdrops são uma forma comum de promoção em projetos de blockchain, mas também envolvem riscos. Aqui estão algumas sugestões:
Pesquisa de antecedentes do projeto: garantir que o projeto tenha um white paper detalhado, informações públicas sobre a equipe e uma boa reputação na comunidade;
Usar um endereço dedicado: registar uma carteira e um e-mail dedicados, isolando o risco da conta principal;
Clique com cautela nos links: obtenha informações sobre a distribuição airdrop apenas através de canais oficiais, evite clicar em links suspeitos nas plataformas sociais;
Cinco, Seleção e Sugestões de Uso de Ferramentas de Plugins
O conteúdo das diretrizes de segurança da cadeia é extenso e pode ser difícil realizar uma verificação detalhada a cada interação; escolher plugins seguros é crucial, pois pode nos ajudar a avaliar riscos. Aqui estão recomendações específicas:
Extensões confiáveis: use extensões de navegador amplamente aplicadas. Esses plugins oferecem funcionalidades de carteira e suportam interações DApp.
Verificação da classificação: antes de instalar um novo plugin, consulte a classificação dos usuários e o número de instalações. Uma alta classificação e um grande número de instalações geralmente indicam que o plugin é mais confiável, reduzindo o risco de código malicioso.
Atualizações oportunas: Atualize os plugins regularmente para obter as mais recentes funcionalidades de segurança e correções. Plugins desatualizados podem ter vulnerabilidades conhecidas, que podem ser exploradas por atacantes.
Seis, Resumo
Ao seguir as diretrizes de segurança para transações acima, os usuários podem interagir de forma mais tranquila em um ecossistema de blockchain cada vez mais complexo, melhorando efetivamente a capacidade de proteção de ativos. Embora a tecnologia blockchain tenha a descentralização e a transparência como suas principais vantagens, isso também significa que os usuários precisam lidar de forma independente com múltiplos riscos, incluindo phishing de assinatura, vazamento de chaves privadas e DApps maliciosos.
Para alcançar uma verdadeira segurança na cadeia, confiar apenas em ferramentas de alerta não é suficiente; estabelecer uma consciência de segurança sistêmica e hábitos operacionais é a chave. Ao usar carteiras de hardware, implementar estratégias de isolamento de fundos, verificar regularmente autorizações e atualizar plugins, entre outras medidas de proteção, e ao aplicar os princípios de "multivalidação, recusar assinaturas cegas, isolamento de fundos" nas operações de transação, é possível realmente "subir na cadeia de forma livre e segura".
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
14 Curtidas
Recompensa
14
4
Compartilhar
Comentário
0/400
OfflineNewbie
· 17h atrás
Não, preso uma vez já é um especialista.
Ver originalResponder0
WhaleWatcher
· 17h atrás
Ai, hoje em dia já não se pode assinar carteiras à toa.
Ver originalResponder0
RugResistant
· 17h atrás
ngmi se não leres isto... o mestre da auditoria de segurança está a deixar aqui algumas verdades a sério fr
Guia de segurança do ativo Web3: Prevenção de riscos em todo o processo de interação na cadeia
Guia de Segurança para Interações na Cadeia Web3
Com o contínuo desenvolvimento do ecossistema blockchain, as transações na cadeia tornaram-se uma parte indispensável da vida diária dos usuários do Web3. Os ativos dos usuários estão migrando de plataformas centralizadas para redes descentralizadas, o que significa que a responsabilidade pela segurança dos ativos está gradualmente se transferindo da plataforma para os próprios usuários. Em um ambiente na cadeia, os usuários precisam ser responsáveis por cada passo da operação, seja importando uma carteira, usando um DApp, ou realizando autorizações de assinatura e iniciando transações, qualquer descuido pode se transformar em um risco de segurança, levando a sérias consequências como vazamento de chaves privadas, abuso de autorizações ou ataques de phishing.
Embora atualmente os plugins de carteiras e navegadores mainstream tenham integrado gradualmente funções de identificação e alerta de riscos, enfrentar métodos de ataque cada vez mais complexos apenas com a defesa passiva das ferramentas ainda torna difícil evitar completamente os riscos. Para ajudar os usuários a identificar melhor os riscos potenciais nas transações na cadeia, este artigo, com base na experiência prática, organiza cenários de alto risco em todo o processo e, juntamente com sugestões de proteção e dicas de uso de ferramentas, elabora um guia sistemático de segurança para transações na cadeia, com o objetivo de ajudar cada usuário de Web3 a estabelecer uma linha de defesa "autônoma e controlável".
Princípios fundamentais da negociação segura:
1. Sugestões para transações seguras
A chave para proteger os ativos digitais está nas transações seguras. Estudos mostram que o uso de carteiras seguras e autenticação de dois fatores (2FA) pode reduzir significativamente o risco. Aqui estão algumas recomendações específicas:
Escolher uma carteira segura: Use fornecedores de carteiras de boa reputação, como carteiras de hardware ou carteiras de software conhecidas. As carteiras de hardware oferecem armazenamento offline, reduzindo o risco de ataques online, sendo adequadas para armazenar grandes quantidades de ativos.
Verifique os detalhes da transação com atenção: Antes de confirmar a transação, verifique sempre o endereço de recebimento, o montante e a rede (como garantir que está a usar a cadeia correta), para evitar perdas devido a erros de entrada.
Ativar a autenticação em duas etapas: Se a plataforma de negociação ou a carteira suportar 2FA, é imprescindível ativá-la para aumentar a segurança da conta, especialmente ao usar carteiras quentes.
Evite usar Wi-Fi público: Não realize transações em redes Wi-Fi públicas para evitar ataques de phishing e ataques de intermediários.
Dois, Guia de Operações de Negociação Segura
Um processo completo de transação DApp inclui várias etapas: instalação da carteira, acesso ao DApp, conexão da carteira, assinatura de mensagens, assinatura de transações e processamento pós-transação. Cada etapa apresenta certos riscos de segurança, e a seguir serão apresentadas as precauções a serem tomadas durante a operação.
1. Instalação da carteira:
Atualmente, a forma mainstream de interagir com DApps é através de carteiras de extensão de navegador. As carteiras comuns para cadeias EVM incluem várias opções.
Ao instalar a carteira do plugin Chrome, deve-se garantir que seja baixada da loja de aplicações oficial, evitando a instalação a partir de sites de terceiros, para prevenir a instalação de software de carteira com backdoors. Usuários que tiverem condições são aconselhados a usar uma carteira de hardware em conjunto, para aumentar ainda mais a segurança da gestão das chaves privadas.
Ao fazer backup das palavras-chave da carteira (geralmente uma frase de recuperação de 12 a 24 palavras), é aconselhável armazená-las em um local seguro e offline, longe de dispositivos digitais (como escrevê-las em papel e guardá-las num cofre).
2. Aceder ao DApp
A pesca na web é uma técnica comum em ataques Web3. Um caso típico é induzir os usuários a visitar um DApp de phishing sob o pretexto de airdrop, levando-os a assinar autorizações de tokens, transações de transferência ou assinaturas de autorização de tokens após conectar a carteira, resultando em perda de ativos.
Portanto, ao acessar DApps, os usuários devem permanecer vigilantes para evitar cair em armadilhas de phishing na web.
Antes de acessar o DApp, você deve confirmar a correção do URL. Sugestão:
Após abrir a página da DApp, é necessário realizar uma verificação de segurança na barra de endereços:
Atualmente, as principais carteiras de plugins já integraram algumas funcionalidades de aviso de risco, que podem fornecer um forte aviso ao acessar sites de risco.
3. Conectar carteira
Ao entrar na DApp, pode ser que a operação de conexão da carteira seja acionada automaticamente ou após clicar ativamente em Conectar. A carteira de plugin realizará algumas verificações e exibirá informações sobre a DApp atual.
Após conectar a carteira, normalmente, quando o usuário não realiza outras operações, o DApp não ativa proativamente a carteira de plugin. Se o site frequentemente solicita a assinatura de mensagens ou transações após o login, mesmo após a recusa da assinatura, e continua a exibir solicitações de assinatura, é muito provável que seja um site de phishing, e deve-se ter cautela.
4. Assinatura de Mensagem
Em situações extremas, como quando um atacante invade o site oficial do protocolo ou substitui o conteúdo da página através de ataques de sequestro no frontend, é difícil para os usuários comuns discernir a segurança do site.
Neste momento, a assinatura da carteira de plugin torna-se a última linha de defesa para proteger os ativos dos usuários. Basta recusar assinaturas maliciosas para evitar prejuízos nos ativos. Os usuários devem examinar cuidadosamente o conteúdo ao assinar qualquer mensagem e transação, recusando assinaturas cegas para garantir a segurança dos ativos.
Os tipos de assinatura comuns incluem:
5: Assinatura da transação
A assinatura da transação é usada para autorizar transações na cadeia, como transferências ou chamadas de contratos inteligentes. Os usuários assinam com a chave privada, e a rede verifica a validade da transação. Atualmente, muitas carteiras de plugin analisam mensagens a serem assinadas e exibem o conteúdo relevante, é imprescindível seguir o princípio de não assinar cegamente, recomendações de segurança:
Para utilizadores com uma boa base técnica, podem ser adotados alguns métodos de verificação manual: copiar o endereço do contrato alvo para o explorador de blockchain para revisão, verificando principalmente se o contrato é open-source, se houve um grande volume de transações recentemente, e se o explorador adicionou uma etiqueta oficial ou uma etiqueta maliciosa a esse endereço.
6. Processamento pós-negociação
Mesmo que tenha conseguido evitar páginas de phishing e assinaturas maliciosas, ainda é necessário realizar gestão de risco após a transação.
Após a transação, deve-se verificar rapidamente a situação na cadeia, confirmando se está de acordo com as expectativas no momento da assinatura. Se forem detectadas anomalias, devem ser tomadas imediatamente medidas de mitigação de perdas, como a transferência de ativos e a revogação de autorizações.
A gestão de autorização ERC20 é também crucial. Em alguns casos, após os usuários autorizarem tokens a certos contratos, anos depois, esses contratos foram atacados, e os atacantes aproveitaram os limites de autorização para roubar fundos dos usuários. Para evitar tais situações, recomenda-se que os usuários sigam os seguintes padrões para prevenir riscos:
Três, estratégia de isolamento de fundos
Com base na consciência de risco e na implementação de medidas adequadas de prevenção, recomenda-se também a implementação de uma eficaz separação de fundos para reduzir a extensão das perdas financeiras em situações extremas. As estratégias recomendadas são as seguintes:
Se por acaso você for vítima de phishing, recomenda-se tomar imediatamente as seguintes medidas para reduzir as perdas:
Quatro, Participação Segura em Atividades de Airdrop
Os airdrops são uma forma comum de promoção em projetos de blockchain, mas também envolvem riscos. Aqui estão algumas sugestões:
Cinco, Seleção e Sugestões de Uso de Ferramentas de Plugins
O conteúdo das diretrizes de segurança da cadeia é extenso e pode ser difícil realizar uma verificação detalhada a cada interação; escolher plugins seguros é crucial, pois pode nos ajudar a avaliar riscos. Aqui estão recomendações específicas:
Seis, Resumo
Ao seguir as diretrizes de segurança para transações acima, os usuários podem interagir de forma mais tranquila em um ecossistema de blockchain cada vez mais complexo, melhorando efetivamente a capacidade de proteção de ativos. Embora a tecnologia blockchain tenha a descentralização e a transparência como suas principais vantagens, isso também significa que os usuários precisam lidar de forma independente com múltiplos riscos, incluindo phishing de assinatura, vazamento de chaves privadas e DApps maliciosos.
Para alcançar uma verdadeira segurança na cadeia, confiar apenas em ferramentas de alerta não é suficiente; estabelecer uma consciência de segurança sistêmica e hábitos operacionais é a chave. Ao usar carteiras de hardware, implementar estratégias de isolamento de fundos, verificar regularmente autorizações e atualizar plugins, entre outras medidas de proteção, e ao aplicar os princípios de "multivalidação, recusar assinaturas cegas, isolamento de fundos" nas operações de transação, é possível realmente "subir na cadeia de forma livre e segura".