Руководство по безопасности взаимодействия в Web3 в блокчейне
С развитием экосистемы блокчейна, в блокчейне транзакции стали неотъемлемой частью повседневной жизни пользователей Web3. Активы пользователей постепенно переходят с централизованных платформ на децентрализованные сети, что означает, что ответственность за безопасность активов постепенно переходит от платформы к самим пользователям. В блокчейн-среде пользователи должны нести ответственность за каждое действие, будь то импорт кошелька, использование DApp, подписание авторизации или инициирование транзакции; любое неосторожное действие может стать угрозой безопасности, что приведет к утечке приватных ключей, злоупотреблению авторизацией или серьезным последствиям, таким как фишинг.
Хотя на данный момент основные плагины для кошельков и браузеры постепенно интегрировали функции распознавания рисков и уведомлений, полагаться только на пассивную защиту инструментов все еще сложно, чтобы полностью избежать рисков, особенно с учетом все более сложных методов атак. Чтобы помочь пользователям лучше выявлять потенциальные риски в цепочечных транзакциях, в данной статье на основе практического опыта систематизированы высокочастотные сценарии рисков на всех этапах, а также предложены рекомендации по защите и советы по использованию инструментов. В результате была разработана система безопасных транзакций в блокчейне, призванная помочь каждому пользователю Web3 создать "самостоятельно управляемую" линию защиты.
Основные принципы безопасной торговли:
Отказ от слепого подписания: решительно не подписывать непонятные транзакции или сообщения.
Повторная проверка: перед проведением любой сделки обязательно многократно проверяйте точность соответствующей информации.
Один. Рекомендации по безопасной торговле
Ключ к защите цифровых активов заключается в безопасных транзакциях. Исследования показывают, что использование безопасных кошельков и двухфакторной аутентификации (2FA) может значительно снизить риски. Вот конкретные рекомендации:
Выберите безопасный кошелек:
Используйте надежных поставщиков кошельков, таких как аппаратные кошельки или известные программные кошельки. Аппаратные кошельки обеспечивают офлайн-хранение, снижая риск онлайн-атак, и подходят для хранения крупных активов.
Тщательно проверьте детали сделки:
Перед подтверждением транзакции обязательно проверьте адрес получения, сумму и сеть (например, убедитесь, что вы используете правильный в блокчейне), чтобы избежать потерь из-за ошибок при вводе.
Включите двухфакторную аутентификацию:
Если торговая платформа или кошелек поддерживают 2FA, обязательно включите его для повышения безопасности аккаунта, особенно при использовании горячих кошельков.
Избегайте использования общедоступных Wi-Fi:
Не проводите сделки в общественных Wi-Fi сетях, чтобы избежать фишинга и атак посредников.
Два, Руководство по безопасным торговым операциям
Полный процесс транзакции DApp включает несколько этапов: установка кошелька, доступ к DApp, подключение кошелька, подпись сообщения, подпись транзакции, обработка после транзакции. На каждом этапе существуют определенные риски безопасности, и ниже будут поочередно представлены меры предосторожности, которые следует учитывать в процессе работы.
1. Установка кошелька:
В настоящее время основным способом взаимодействия с DApp является использование кошельков в виде плагинов для браузера. Кошельки, часто используемые в EVM, включают в себя несколько вариантов.
При установке кошелька в виде плагина Chrome необходимо убедиться, что он загружен из официального магазина приложений, чтобы избежать установки программного обеспечения кошелька с задними дверями с третьих сайтов. Пользователям, у которых есть такая возможность, рекомендуется использовать аппаратные кошельки для повышения безопасности управления приватными ключами.
При резервном копировании мнемонической фразы кошелька (обычно состоящей из 12-24 слов) рекомендуется хранить её в безопасном оффлайн-месте, вдали от цифровых устройств (например, записать на бумаге и сохранить в сейфе).
2. Доступ к DApp
Фишинг в интернете — это распространенный метод атак в Web3. Типичный случай заключается в том, чтобы под предлогом аирдропа заставить пользователей посетить фишинговый DApp, после чего, когда пользователи подключают свои кошельки, их вынуждают подписывать авторизацию токенов, транзакции перевода или подписи авторизации токенов, что приводит к потере активов.
Поэтому пользователи должны быть внимательны при доступе к DApp, чтобы избежать ловушек фишинга в интернете.
Перед посещением DApp следует подтвердить правильность URL-адреса. Рекомендуется:
Избегайте прямого доступа через поисковые системы: злоумышленники могут покупать рекламные места, чтобы их фишинговые сайты занимали высокие позиции.
Избегайте нажатия на ссылки в социальных сетях: URL-адреса в комментариях или сообщениях могут быть фишинговыми ссылками.
Многосторонняя проверка DApp сайта: можно проверить через DApp рынок, официальные аккаунты социальных медиа проекта и другие каналы.
Добавьте безопасный сайт в закладки браузера: в дальнейшем можно будет получать доступ напрямую из закладок.
После открытия веб-страницы DApp необходимо также провести проверку безопасности адресной строки:
Проверьте, существуют ли подделки доменного имени и веб-сайта.
Подтвердите, что это ссылка HTTPS, браузер должен отображать значок замка🔒.
В настоящее время основные плагин-кошельки интегрировали определенные функции предупреждения о рисках, которые могут выдавать сильные напоминания при доступе к рискованным сайтам.
3. Подключить кошелек
После входа в DApp может произойти автоматическое подключение кошелька или это действие может быть вызвано нажатием кнопки "Подключить". Плагин-кошелек будет выполнять некоторые проверки и отображать информацию о текущем DApp.
После подключения кошелька, обычно DApp не активирует плагин-кошелек, если пользователь не выполняет никаких других действий. Если сайт часто запрашивает подпись сообщений или транзакций после входа в систему, даже если пользователь отказывается подписывать, и продолжает показывать запросы на подпись, это может быть фишинговый сайт, с которым следует обращаться осторожно.
4. Подпись сообщения
В экстремальных случаях, таких как вторжение злоумышленника на официальный сайт протокола или замена контента страницы через атаки на фронтэнд, обычным пользователям трудно определить безопасность сайта.
В это время подпись плагина-кошелька становится последней защитной линией для защиты активов пользователя. Отказавшись от злоумышленной подписи, можно избежать потери активов. Пользователи должны внимательно проверять содержание при подписывании любых сообщений и транзакций, отказываясь от слепых подписей, чтобы обеспечить безопасность активов.
Распространенные типы подписей включают в себя:
eth_sign: Подпись для хэшированных данных.
personal_sign: Подпись открытой информации, часто используется для подтверждения проверки входа пользователя или согласия на лицензионное соглашение.
eth_signTypedData (EIP-712): подпись структурированных данных, часто используется для разрешений ERC20, заказов NFT и т.д.
5: Подпись транзакции
Подпись транзакции используется для авторизации транзакций в блокчейне, таких как переводы или вызов смарт-контрактов. Пользователь подписывает с помощью закрытого ключа, сеть проверяет действительность транзакции. В настоящее время многие плагин-кошельки разбирают сообщения для подписи и отображают соответствующий контент; обязательно следуйте принципу осознанной подписи, советы по безопасности:
Тщательно проверьте адрес получения, сумму и сеть, чтобы избежать ошибок.
Рекомендуется использовать оффлайн-подпись для крупных сделок, чтобы снизить риск онлайн-атак.
Обратите внимание на газовые сборы, убедитесь, что они разумные, чтобы предотвратить мошенничество.
Для пользователей с хорошей технической базой также можно использовать некоторые методы ручной проверки: скопировать адрес целевого контракта в блокчейн-обозреватель для проверки, в основном проверить, является ли контракт открытым исходным кодом, были ли в последнее время совершены крупные сделки, а также добавил ли обозреватель официальную метку или метку о мошенничестве к этому адресу.
6. Обработка после сделки
Даже если вам удастся избежать фишинговых страниц и вредоносных подписей, после сделки вам все равно необходимо провести управление рисками.
После сделки необходимо своевременно проверить состояние в блокчейне, чтобы подтвердить, соответствует ли оно ожиданиям на момент подписания. Если обнаружены отклонения, необходимо немедленно предпринять меры по ограничению убытков, такие как перемещение активов и отмена авторизации.
Управление разрешениями ERC20 также имеет решающее значение. В некоторых случаях пользователи давали разрешение на токены определённым контрактам, которые спустя годы подверглись атакам, и злоумышленники использовали разрешённые объемы для кражи средств пользователей. Чтобы избежать таких ситуаций, рекомендуется следовать следующим стандартам для предотвращения рисков:
Минимизация авторизации. При авторизации токенов следует ограничивать количество токенов в соответствии с требованиями транзакции. Например, если для транзакции требуется авторизовать 100 USDT, то количество авторизации должно быть ограничено 100 USDT, а не использовать стандартную безлимитную авторизацию.
Своевременно отменяйте ненужные авторизации токенов. Пользователи могут войти на соответствующий сайт, чтобы проверить состояние авторизации адреса, отменить авторизацию долгосрочных неактивных соглашений, чтобы предотвратить возникновение уязвимостей в соглашении, которые могут привести к потерям активов из-за использования лимитов авторизации.
Три, стратегия изоляции средств
На основе осознания рисков и надлежащих мер предосторожности также рекомендуется внедрить эффективное разделение средств, чтобы снизить уровень потерь в крайних ситуациях. Рекомендуемые стратегии следующие:
Используйте мультиподписной кошелек или холодный кошелек для хранения крупных активов;
Используйте плагин-кошелек или EOA-кошелек в качестве горячего кошелька для повседневного взаимодействия;
Регулярно меняйте адреса горячих кошельков, чтобы уменьшить длительное воздействие адресов на рискованные среды.
Если вы, к сожалению, стали жертвой фишинга, рекомендуется сразу принять следующие меры, чтобы уменьшить убытки:
Используйте соответствующие инструменты для отмены авторизации с высоким риском;
Если был подписан подпись permit, но активы еще не были переведены, можно немедленно инициировать новую подпись, чтобы сделать устаревшую nonce недействительной;
При необходимости быстро переместите оставшиеся активы на новый адрес или холодный кошелек.
Четыре, Безопасное участие в аирдроп-мероприятиях
Airdrop — это распространенный способ продвижения проектов в блокчейне, но он также несет в себе риски. Вот несколько советов:
Исследование фона проекта: убедитесь, что у проекта есть подробная белая книга, открытая информация о команде и хорошая репутация в сообществе;
Используйте специальные адреса: зарегистрируйте специальный кошелек и электронную почту, чтобы изолировать риски от основного аккаунта;
Осторожно нажимайте на ссылки: получайте информацию о аирдропах только через официальные каналы, избегайте нажатия на подозрительные ссылки в социальных сетях;
Пять, выбор и рекомендации по использованию плагинов
Содержание правил безопасности в блокчейне обширно, и может быть сложно проводить тщательную проверку при каждом взаимодействии, поэтому выбор безопасных плагинов имеет решающее значение и может помочь нам в оценке рисков. Вот конкретные рекомендации:
Надежные расширения: используйте широко используемые браузерные расширения. Эти плагины предоставляют функции кошелька и поддерживают взаимодействие с DApp.
Проверка рейтинга: перед установкой нового плагина посмотрите на пользовательский рейтинг и количество установок. Высокий рейтинг и большое количество установок обычно указывают на то, что плагин более надежен и снижает риск вредоносного кода.
Своевременное обновление: Регулярно обновляйте плагины, чтобы получить последние функции безопасности и исправления. Устаревшие плагины могут содержать известные уязвимости, которые легко могут быть использованы злоумышленниками.
Шесть, выводы
Следуя вышеуказанным рекомендациям по безопасным сделкам, пользователи могут более уверенно взаимодействовать в усложняющейся экосистеме блокчейна, эффективно повышая защиту своих активов. Хотя технология блокчейн имеет в качестве основных преимуществ децентрализацию и прозрачность, это также означает, что пользователям необходимо самостоятельно справляться с множеством рисков, включая фишинг через подписи, утечку приватных ключей и вредоносные DApp.
Для достижения реальной безопасности в блокчейне недостаточно полагаться только на инструменты оповещения; ключевым является формирование системного осознания безопасности и формирование привычек в работе. Используя аппаратные кошельки, внедряя стратегию изоляции средств, регулярно проверяя авторизации и обновляя плагины и другие защитные меры, а также внедряя принципы «многофакторной аутентификации, отказа от слепых подписей и изоляции средств» в торговые операции, можно действительно обеспечить «свободный и безопасный выход в блокчейн».
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
16 Лайков
Награда
16
5
Поделиться
комментарий
0/400
JustHodlIt
· 9ч назад
Посмотрев на это, я все же решу оставить токены на централизованной бирже.
Посмотреть ОригиналОтветить0
OfflineNewbie
· 08-01 08:38
Да, если ты попал в ловушку, значит ты эксперт.
Посмотреть ОригиналОтветить0
WhaleWatcher
· 08-01 08:35
Эх, в наше время даже кошелек не осмеливаешься подписывать наугад.
Посмотреть ОригиналОтветить0
RugResistant
· 08-01 08:28
ngmi если ты не прочитаешь это... мастер аудита безопасности говорит здесь правду fr
Руководство по безопасности активов Web3: предотвращение рисков на всех этапах взаимодействия в блокчейне
Руководство по безопасности взаимодействия в Web3 в блокчейне
С развитием экосистемы блокчейна, в блокчейне транзакции стали неотъемлемой частью повседневной жизни пользователей Web3. Активы пользователей постепенно переходят с централизованных платформ на децентрализованные сети, что означает, что ответственность за безопасность активов постепенно переходит от платформы к самим пользователям. В блокчейн-среде пользователи должны нести ответственность за каждое действие, будь то импорт кошелька, использование DApp, подписание авторизации или инициирование транзакции; любое неосторожное действие может стать угрозой безопасности, что приведет к утечке приватных ключей, злоупотреблению авторизацией или серьезным последствиям, таким как фишинг.
Хотя на данный момент основные плагины для кошельков и браузеры постепенно интегрировали функции распознавания рисков и уведомлений, полагаться только на пассивную защиту инструментов все еще сложно, чтобы полностью избежать рисков, особенно с учетом все более сложных методов атак. Чтобы помочь пользователям лучше выявлять потенциальные риски в цепочечных транзакциях, в данной статье на основе практического опыта систематизированы высокочастотные сценарии рисков на всех этапах, а также предложены рекомендации по защите и советы по использованию инструментов. В результате была разработана система безопасных транзакций в блокчейне, призванная помочь каждому пользователю Web3 создать "самостоятельно управляемую" линию защиты.
Основные принципы безопасной торговли:
Один. Рекомендации по безопасной торговле
Ключ к защите цифровых активов заключается в безопасных транзакциях. Исследования показывают, что использование безопасных кошельков и двухфакторной аутентификации (2FA) может значительно снизить риски. Вот конкретные рекомендации:
Выберите безопасный кошелек: Используйте надежных поставщиков кошельков, таких как аппаратные кошельки или известные программные кошельки. Аппаратные кошельки обеспечивают офлайн-хранение, снижая риск онлайн-атак, и подходят для хранения крупных активов.
Тщательно проверьте детали сделки: Перед подтверждением транзакции обязательно проверьте адрес получения, сумму и сеть (например, убедитесь, что вы используете правильный в блокчейне), чтобы избежать потерь из-за ошибок при вводе.
Включите двухфакторную аутентификацию: Если торговая платформа или кошелек поддерживают 2FA, обязательно включите его для повышения безопасности аккаунта, особенно при использовании горячих кошельков.
Избегайте использования общедоступных Wi-Fi: Не проводите сделки в общественных Wi-Fi сетях, чтобы избежать фишинга и атак посредников.
Два, Руководство по безопасным торговым операциям
Полный процесс транзакции DApp включает несколько этапов: установка кошелька, доступ к DApp, подключение кошелька, подпись сообщения, подпись транзакции, обработка после транзакции. На каждом этапе существуют определенные риски безопасности, и ниже будут поочередно представлены меры предосторожности, которые следует учитывать в процессе работы.
1. Установка кошелька:
В настоящее время основным способом взаимодействия с DApp является использование кошельков в виде плагинов для браузера. Кошельки, часто используемые в EVM, включают в себя несколько вариантов.
При установке кошелька в виде плагина Chrome необходимо убедиться, что он загружен из официального магазина приложений, чтобы избежать установки программного обеспечения кошелька с задними дверями с третьих сайтов. Пользователям, у которых есть такая возможность, рекомендуется использовать аппаратные кошельки для повышения безопасности управления приватными ключами.
При резервном копировании мнемонической фразы кошелька (обычно состоящей из 12-24 слов) рекомендуется хранить её в безопасном оффлайн-месте, вдали от цифровых устройств (например, записать на бумаге и сохранить в сейфе).
2. Доступ к DApp
Фишинг в интернете — это распространенный метод атак в Web3. Типичный случай заключается в том, чтобы под предлогом аирдропа заставить пользователей посетить фишинговый DApp, после чего, когда пользователи подключают свои кошельки, их вынуждают подписывать авторизацию токенов, транзакции перевода или подписи авторизации токенов, что приводит к потере активов.
Поэтому пользователи должны быть внимательны при доступе к DApp, чтобы избежать ловушек фишинга в интернете.
Перед посещением DApp следует подтвердить правильность URL-адреса. Рекомендуется:
После открытия веб-страницы DApp необходимо также провести проверку безопасности адресной строки:
В настоящее время основные плагин-кошельки интегрировали определенные функции предупреждения о рисках, которые могут выдавать сильные напоминания при доступе к рискованным сайтам.
3. Подключить кошелек
После входа в DApp может произойти автоматическое подключение кошелька или это действие может быть вызвано нажатием кнопки "Подключить". Плагин-кошелек будет выполнять некоторые проверки и отображать информацию о текущем DApp.
После подключения кошелька, обычно DApp не активирует плагин-кошелек, если пользователь не выполняет никаких других действий. Если сайт часто запрашивает подпись сообщений или транзакций после входа в систему, даже если пользователь отказывается подписывать, и продолжает показывать запросы на подпись, это может быть фишинговый сайт, с которым следует обращаться осторожно.
4. Подпись сообщения
В экстремальных случаях, таких как вторжение злоумышленника на официальный сайт протокола или замена контента страницы через атаки на фронтэнд, обычным пользователям трудно определить безопасность сайта.
В это время подпись плагина-кошелька становится последней защитной линией для защиты активов пользователя. Отказавшись от злоумышленной подписи, можно избежать потери активов. Пользователи должны внимательно проверять содержание при подписывании любых сообщений и транзакций, отказываясь от слепых подписей, чтобы обеспечить безопасность активов.
Распространенные типы подписей включают в себя:
5: Подпись транзакции
Подпись транзакции используется для авторизации транзакций в блокчейне, таких как переводы или вызов смарт-контрактов. Пользователь подписывает с помощью закрытого ключа, сеть проверяет действительность транзакции. В настоящее время многие плагин-кошельки разбирают сообщения для подписи и отображают соответствующий контент; обязательно следуйте принципу осознанной подписи, советы по безопасности:
Для пользователей с хорошей технической базой также можно использовать некоторые методы ручной проверки: скопировать адрес целевого контракта в блокчейн-обозреватель для проверки, в основном проверить, является ли контракт открытым исходным кодом, были ли в последнее время совершены крупные сделки, а также добавил ли обозреватель официальную метку или метку о мошенничестве к этому адресу.
6. Обработка после сделки
Даже если вам удастся избежать фишинговых страниц и вредоносных подписей, после сделки вам все равно необходимо провести управление рисками.
После сделки необходимо своевременно проверить состояние в блокчейне, чтобы подтвердить, соответствует ли оно ожиданиям на момент подписания. Если обнаружены отклонения, необходимо немедленно предпринять меры по ограничению убытков, такие как перемещение активов и отмена авторизации.
Управление разрешениями ERC20 также имеет решающее значение. В некоторых случаях пользователи давали разрешение на токены определённым контрактам, которые спустя годы подверглись атакам, и злоумышленники использовали разрешённые объемы для кражи средств пользователей. Чтобы избежать таких ситуаций, рекомендуется следовать следующим стандартам для предотвращения рисков:
Три, стратегия изоляции средств
На основе осознания рисков и надлежащих мер предосторожности также рекомендуется внедрить эффективное разделение средств, чтобы снизить уровень потерь в крайних ситуациях. Рекомендуемые стратегии следующие:
Если вы, к сожалению, стали жертвой фишинга, рекомендуется сразу принять следующие меры, чтобы уменьшить убытки:
Четыре, Безопасное участие в аирдроп-мероприятиях
Airdrop — это распространенный способ продвижения проектов в блокчейне, но он также несет в себе риски. Вот несколько советов:
Пять, выбор и рекомендации по использованию плагинов
Содержание правил безопасности в блокчейне обширно, и может быть сложно проводить тщательную проверку при каждом взаимодействии, поэтому выбор безопасных плагинов имеет решающее значение и может помочь нам в оценке рисков. Вот конкретные рекомендации:
Шесть, выводы
Следуя вышеуказанным рекомендациям по безопасным сделкам, пользователи могут более уверенно взаимодействовать в усложняющейся экосистеме блокчейна, эффективно повышая защиту своих активов. Хотя технология блокчейн имеет в качестве основных преимуществ децентрализацию и прозрачность, это также означает, что пользователям необходимо самостоятельно справляться с множеством рисков, включая фишинг через подписи, утечку приватных ключей и вредоносные DApp.
Для достижения реальной безопасности в блокчейне недостаточно полагаться только на инструменты оповещения; ключевым является формирование системного осознания безопасности и формирование привычек в работе. Используя аппаратные кошельки, внедряя стратегию изоляции средств, регулярно проверяя авторизации и обновляя плагины и другие защитные меры, а также внедряя принципы «многофакторной аутентификации, отказа от слепых подписей и изоляции средств» в торговые операции, можно действительно обеспечить «свободный и безопасный выход в блокчейн».
! Никаких недоразумений во взаимодействии в сети, пожалуйста, отложите руководство по безопасным транзакциям Web3