З розвитком екосистеми блокчейн, у блокчейні транзакції стали невід'ємною частиною повсякденного життя користувачів Web3. Активи користувачів поступово переходять з централізованих платформ до децентралізованих мереж, що означає, що відповідальність за безпеку активів поступово переходить від платформи до самих користувачів. У блокчейн-середовищі користувачі повинні нести відповідальність за кожен крок, незалежно від того, чи імпортують вони гаманець, використовують DApp, чи здійснюють підписання та ініціюють транзакції, будь-яка необережність може стати безпековою загрозою, що призведе до витоку приватного ключа, зловживання авторизацією або серйозних наслідків, таких як фішинг.
Хоча на сьогоднішній день основні гаманці, плагіни та браузери поступово інтегрували функції виявлення ризиків і попередження, проте, враховуючи все більш складні методи атак, покладатися лише на пасивний захист інструментів все ще важко повністю уникнути ризику. Щоб допомогти користувачам краще виявляти потенційні ризики в транзакціях у блокчейні, ця стаття, спираючись на практичний досвід, систематизувала високочастотні ризикові ситуації в усіх процесах, а також розробила системний посібник з безпеки транзакцій у блокчейні, поєднуючи рекомендації щодо захисту та поради з використання інструментів, з метою допомогти кожному користувачу Web3 створити "автономний контрольований" захист.
Основні принципи безпечної торгівлі:
Відмовтесь від сліпого підписання: рішуче не підписуйте угоди або повідомлення, які не розумієте.
Повторна перевірка: перед проведенням будь-якої угоди обов'язково кілька разів перевірте точність відповідної інформації.
Один, поради щодо безпечної торгівлі
Ключ до захисту цифрових активів полягає в безпечних транзакціях. Дослідження показують, що використання безпечних гаманців та двофакторної автентифікації (2FA) може суттєво знизити ризики. Ось конкретні рекомендації:
Виберіть безпечний гаманец:
Використовуйте гаманці від надійних постачальників, таких як апаратні гаманці або відомі програмні гаманці. Апаратні гаманці забезпечують офлайн-зберігання, знижуючи ризик онлайн-атак, і підходять для зберігання великих активів.
Уважно перевірте деталі транзакції:
Перед підтвердженням транзакції обов'язково перевірте адресу отримання, суму та мережу (наприклад, переконайтеся, що ви використовуєте правильний у блокчейні), щоб уникнути втрат через помилки введення.
Увімкнути двофакторну аутентифікацію:
Якщо торгова платформа або гаманець підтримує 2FA, обов'язково увімкніть його для підвищення безпеки облікового запису, особливо при використанні гарячого гаманця.
Уникайте використання громадського Wi-Fi:
Не проводьте транзакції в загальних мережах Wi-Fi, щоб уникнути фішингових атак та атак посередників.
Два, Посібник з безпечних торгових операцій
Повний процес торгівлі DApp включає кілька етапів: встановлення гаманця, доступ до DApp, підключення гаманця, підписання повідомлень, підписання угод, обробка угод після завершення. На кожному етапі існує певний ризик безпеки, нижче будуть поетапно представлені рекомендації щодо безпечних дій.
1. Встановлення гаманця:
Наразі основним способом взаємодії з DApp є використання плагін-гаманців для браузера. Серед гаманців, що використовуються в EVM-ланцюгах, є кілька варіантів.
При встановленні гаманця Chrome плагіна слід переконатися, що його завантажують з офіційного магазину додатків, уникаючи встановлення з сторонніх сайтів, щоб запобігти встановленню гаманця з бекдорами. Користувачам, які мають можливість, рекомендується поєднувати використання апаратного гаманця для подальшого підвищення безпеки управління приватними ключами.
Під час резервного копіювання мнемонічної фрази гаманця (зазвичай це від 12 до 24 слів), рекомендується зберігати її в безпечному офлайн-місці, подалі від цифрових пристроїв (наприклад, записати на папері та зберегти в сейфі).
2. Відвідування DApp
Фішинг у вебі є поширеним методом атак у Web3. Типовим випадком є спонукання користувачів відвідати фішинг-DApp під приводом аердропу, що призводить до підписання авторизації токенів, переказу коштів або підпису авторизації токенів після підключення гаманця, що викликає втрату активів.
Тому, під час доступу до DApp користувачі повинні бути обережними, щоб уникнути потрапляння в фішингові пастки на веб-сторінках.
Перед відвідуванням DApp слід підтвердити правильність адреси. Рекомендація:
Уникайте прямого доступу через пошукові системи: фішингові атаки можуть бути здійснені шляхом покупки рекламних місць для підвищення рейтингу своїх фішингових сайтів.
Уникайте натискання на посилання в соціальних мережах: URL-адреси в коментарях або повідомленнях можуть бути фішинговими посиланнями.
Багатостороннє перевірка DApp веб-сайту: можна перевірити через ринок DApp, офіційні соціальні медіа-акаунти проекту та інші канали.
Додайте безпечний сайт до закладок браузера: в подальшому відвідуйте його безпосередньо з закладок.
Після відкриття веб-сторінки DApp необхідно також провести безпекову перевірку адресного рядка:
Перевірте, чи існують підробки домену та веб-сайту.
Підтвердіть, чи є це HTTPS-посиланням, браузер повинен відображати значок замка🔒.
Наразі основні плагін-гаманці вже інтегрували певні функції попередження про ризики, які можуть надати сильне нагадування при відвідуванні ризикованих веб-сайтів.
3. Підключити гаманець
Після входу в DApp може автоматично або після активного натискання на Connect відбутися підключення гаманця. Плагін-гаманець виконає деякі перевірки та відобразить інформацію про поточний DApp.
Після підключення гаманця, зазвичай, DApp не активує плагін-гаманець, якщо користувач не виконує інших дій. Якщо веб-сайт часто запитує підписання повідомлень або транзакцій після входу, і навіть після відмови у підписанні продовжує з'являтися запит на підпис, це може бути фішинговий сайт, з яким слід бути обережним.
4. Підпис повідомлення
У крайніх випадках, коли зловмисник вторгся на офіційний веб-сайт протоколу або замінив вміст сторінки через атаки, такі як перехоплення з фронтенду, звичайним користувачам важко визначити безпеку веб-сайту.
У цей час підписання плагін-гаманець стає останнім бар'єром для захисту активів користувачів. Якщо відмовитися від зловмисних підписів, можна уникнути втрати активів. Користувачі повинні ретельно перевіряти зміст будь-якого повідомлення та угоди перед підписанням, відмовлятися від сліпих підписів, щоб забезпечити безпеку активів.
Звичайні типи підписів включають:
eth_sign: підписання хешованих даних.
personal_sign: підписання відкритої інформації, часто використовується для підтвердження автентифікації користувача або угоди про дозвіл.
eth_signTypedData (EIP-712): підписання структурованих даних, часто використовується для Permit ERC20, розміщення NFT тощо.
5: Підпис交易
Підпис угоди використовується для авторизації угод у блокчейні, таких як перекази або виклики смарт-контрактів. Користувач підписує приватним ключем, мережа перевіряє дійсність угоди. На даний момент багато плагінових гаманців аналізують повідомлення, що підлягають підписанню, і демонструють відповідний вміст, обов'язково дотримуйтесь принципу не сліпого підпису, рекомендації з безпеки:
Уважно перевірте адресу отримання, суму та мережу, щоб уникнути помилок.
Для великих транзакцій рекомендується використовувати офлайн-підпис, щоб знизити ризик онлайн-атак.
Зверніть увагу на витрати gas, щоб бути розумними та уникати шахрайства.
Для користувачів з хорошими технічними знаннями також можна використовувати деякі методи ручної перевірки: скопіюйте адресу контракту цільового взаємодії в блокчейн-браузер для перевірки, в основному перевірте, чи є контракт відкритим, чи було нещодавно багато транзакцій, а також чи додав браузер офіційні або шкідливі мітки для цієї адреси.
6. Обробка після交易
Навіть якщо вдалося успішно уникнути фішингових веб-сторінок та шкідливих підписів, після транзакції все ще необхідно провести управління ризиками.
Після交易 слід своєчасно перевірити ситуацію в у блокчейні, щоб підтвердити, чи відповідає вона очікуванням під час підписання. Якщо виявлено аномалію, слід негайно вжити заходів для переміщення активів, скасування авторизацій та інших заходів для обмеження збитків.
Управління дозволами ERC20 також є надзвичайно важливим. У деяких випадках, після того як користувачі надали авторизацію токенів для певних контрактів, через кілька років ці контракти зазнають атаки, і зловмисники використовують виділені ліміти для викрадення коштів користувачів. Щоб уникнути таких ситуацій, рекомендується користувачам дотримуватися наступних стандартів для запобігання ризикам:
Мінімізувати авторизацію. Під час авторизації токенів слід обмежити кількість токенів відповідно до потреби в угоді. Наприклад, якщо для певної угоди потрібно авторизувати 100 USDT, то кількість авторизації повинна бути обмежена до 100 USDT, а не використовувати стандартну безмежну авторизацію.
Своєчасно відкликайте непотрібні авторизації токенів. Користувачі можуть увійти на відповідний сайт, щоб перевірити стан авторизації адреси, відкликати авторизацію протоколів, які давно не взаємодіяли, щоб запобігти можливим вразливостям протоколу, які можуть призвести до втрати активів через використання авторизованих обсягів.
Три, стратегія ізоляції коштів
На основі усвідомлення ризиків та належних заходів захисту, також рекомендується впровадити ефективну ізоляцію коштів, щоб зменшити ступінь втрати коштів у крайніх випадках. Рекомендовані стратегії такі:
Використовуйте мультипідписний гаманець або холодний гаманець для зберігання великих активів;
Використовуйте плагінний гаманець або EOA гаманець як гарячий гаманець для щоденних взаємодій;
Регулярно змінюйте адреси гарячого гаманця, щоб зменшити тривале піддавання адреси ризиковому середовищу.
Якщо ви стали жертвою фішингу, рекомендується негайно вжити такі заходи для зменшення втрат:
Використовуйте відповідні інструменти для скасування високоризикових авторизацій;
Якщо підписано permit, але активи ще не були переведені, можна негайно ініціювати новий підпис, щоб зробити старий підпис недійсним;
У разі необхідності, швидко перенесіть залишкові активи на нову адресу або холодний гаманець.
Чотири, Безпечна участь у аеродропах
Аірдроп є поширеним способом просування блокчейн-проєктів, але також несе в собі ризики. Ось кілька порад:
Дослідження фону проєкту: забезпечити наявність детального білого документа, відкритої інформації про команду та гарної репутації в спільноті;
Використання спеціальної адреси: зареєструйте спеціальний гаманець та електронну пошту, щоб ізолювати ризики від основного рахунку;
Обережно натискайте на посилання: отримуйте інформацію про аеродропи лише через офіційні канали, уникайте натискання на підозрілі посилання в соціальних мережах;
П'ять. Рекомендації щодо вибору та використання плагінів
Правила безпеки у блокчейні містять багато деталей, і може бути важко проводити детальну перевірку при кожній взаємодії, тому вибір безпечних плагінів є надзвичайно важливим, оскільки вони можуть допомогти нам у оцінці ризиків. Ось конкретні рекомендації:
Надійні розширення: використовуйте широко застосовувані браузерні розширення. Ці плагіни забезпечують функції гаманця, підтримують взаємодію з DApp.
Перевірка рейтингу: перед встановленням нового плагіна перегляньте рейтинг користувачів та кількість установок. Високий рейтинг і велика кількість установок зазвичай вказують на те, що плагін є більш надійним, зменшуючи ризик шкідливого коду.
Своєчасне оновлення: Регулярно оновлюйте плагіни, щоб отримувати нові функції безпеки та виправлення. Прострочені плагіни можуть містити відомі уразливості, які легко можуть бути використані зловмисниками.
Шість, підсумок
Слідуючи вказівкам щодо безпечних транзакцій, користувачі можуть більш спокійно взаємодіяти в дедалі складнішій екосистемі у блокчейні, ефективно підвищуючи свої можливості захисту активів. Незважаючи на те, що технологія блокчейн має своїм основним перевагою децентралізацію і прозорість, це також означає, що користувачі повинні самостійно справлятися з численними ризиками, включаючи фішинг підписів, витік приватних ключів, шкідливі DApp.
Щоб досягти справжньої безпеки у блокчейні, недостатньо покладатися тільки на інструменти нагадування; ключовим є встановлення систематичної обізнаності про безпеку та звичок у роботі. Використовуючи апаратні гаманці, впроваджуючи стратегії ізоляції коштів, регулярно перевіряючи авторизацію та оновлюючи плагіни, а також дотримуючись принципів "багаторазової валідації, відмови від сліпого підписання, ізоляції коштів" в операціях, можна досягти справжнього "вільного та безпечного доступу до блокчейну".
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
16 лайків
Нагородити
16
5
Поділіться
Прокоментувати
0/400
JustHodlIt
· 9год тому
Подумавши, вирішив все ж покласти монету на централізовану біржу.
Переглянути оригіналвідповісти на0
OfflineNewbie
· 08-01 08:38
Так, якщо потрапив у пастку, то вже експерт.
Переглянути оригіналвідповісти на0
WhaleWatcher
· 08-01 08:35
Ай, у ці часи навіть гаманець не смієш підписувати наосліп.
Переглянути оригіналвідповісти на0
RugResistant
· 08-01 08:28
ngmi якщо ти не прочитаєш це... майстер аудиту безпеки Падіння деякі справжні розмови тут fr
Посібник з безпеки активів Web3: запобігання ризикам у всіх етапах взаємодії у блокчейні
Посібник з безпеки взаємодії в Web3 у блокчейні
З розвитком екосистеми блокчейн, у блокчейні транзакції стали невід'ємною частиною повсякденного життя користувачів Web3. Активи користувачів поступово переходять з централізованих платформ до децентралізованих мереж, що означає, що відповідальність за безпеку активів поступово переходить від платформи до самих користувачів. У блокчейн-середовищі користувачі повинні нести відповідальність за кожен крок, незалежно від того, чи імпортують вони гаманець, використовують DApp, чи здійснюють підписання та ініціюють транзакції, будь-яка необережність може стати безпековою загрозою, що призведе до витоку приватного ключа, зловживання авторизацією або серйозних наслідків, таких як фішинг.
Хоча на сьогоднішній день основні гаманці, плагіни та браузери поступово інтегрували функції виявлення ризиків і попередження, проте, враховуючи все більш складні методи атак, покладатися лише на пасивний захист інструментів все ще важко повністю уникнути ризику. Щоб допомогти користувачам краще виявляти потенційні ризики в транзакціях у блокчейні, ця стаття, спираючись на практичний досвід, систематизувала високочастотні ризикові ситуації в усіх процесах, а також розробила системний посібник з безпеки транзакцій у блокчейні, поєднуючи рекомендації щодо захисту та поради з використання інструментів, з метою допомогти кожному користувачу Web3 створити "автономний контрольований" захист.
Основні принципи безпечної торгівлі:
Один, поради щодо безпечної торгівлі
Ключ до захисту цифрових активів полягає в безпечних транзакціях. Дослідження показують, що використання безпечних гаманців та двофакторної автентифікації (2FA) може суттєво знизити ризики. Ось конкретні рекомендації:
Виберіть безпечний гаманец: Використовуйте гаманці від надійних постачальників, таких як апаратні гаманці або відомі програмні гаманці. Апаратні гаманці забезпечують офлайн-зберігання, знижуючи ризик онлайн-атак, і підходять для зберігання великих активів.
Уважно перевірте деталі транзакції: Перед підтвердженням транзакції обов'язково перевірте адресу отримання, суму та мережу (наприклад, переконайтеся, що ви використовуєте правильний у блокчейні), щоб уникнути втрат через помилки введення.
Увімкнути двофакторну аутентифікацію: Якщо торгова платформа або гаманець підтримує 2FA, обов'язково увімкніть його для підвищення безпеки облікового запису, особливо при використанні гарячого гаманця.
Уникайте використання громадського Wi-Fi: Не проводьте транзакції в загальних мережах Wi-Fi, щоб уникнути фішингових атак та атак посередників.
Два, Посібник з безпечних торгових операцій
Повний процес торгівлі DApp включає кілька етапів: встановлення гаманця, доступ до DApp, підключення гаманця, підписання повідомлень, підписання угод, обробка угод після завершення. На кожному етапі існує певний ризик безпеки, нижче будуть поетапно представлені рекомендації щодо безпечних дій.
1. Встановлення гаманця:
Наразі основним способом взаємодії з DApp є використання плагін-гаманців для браузера. Серед гаманців, що використовуються в EVM-ланцюгах, є кілька варіантів.
При встановленні гаманця Chrome плагіна слід переконатися, що його завантажують з офіційного магазину додатків, уникаючи встановлення з сторонніх сайтів, щоб запобігти встановленню гаманця з бекдорами. Користувачам, які мають можливість, рекомендується поєднувати використання апаратного гаманця для подальшого підвищення безпеки управління приватними ключами.
Під час резервного копіювання мнемонічної фрази гаманця (зазвичай це від 12 до 24 слів), рекомендується зберігати її в безпечному офлайн-місці, подалі від цифрових пристроїв (наприклад, записати на папері та зберегти в сейфі).
2. Відвідування DApp
Фішинг у вебі є поширеним методом атак у Web3. Типовим випадком є спонукання користувачів відвідати фішинг-DApp під приводом аердропу, що призводить до підписання авторизації токенів, переказу коштів або підпису авторизації токенів після підключення гаманця, що викликає втрату активів.
Тому, під час доступу до DApp користувачі повинні бути обережними, щоб уникнути потрапляння в фішингові пастки на веб-сторінках.
Перед відвідуванням DApp слід підтвердити правильність адреси. Рекомендація:
Після відкриття веб-сторінки DApp необхідно також провести безпекову перевірку адресного рядка:
Наразі основні плагін-гаманці вже інтегрували певні функції попередження про ризики, які можуть надати сильне нагадування при відвідуванні ризикованих веб-сайтів.
3. Підключити гаманець
Після входу в DApp може автоматично або після активного натискання на Connect відбутися підключення гаманця. Плагін-гаманець виконає деякі перевірки та відобразить інформацію про поточний DApp.
Після підключення гаманця, зазвичай, DApp не активує плагін-гаманець, якщо користувач не виконує інших дій. Якщо веб-сайт часто запитує підписання повідомлень або транзакцій після входу, і навіть після відмови у підписанні продовжує з'являтися запит на підпис, це може бути фішинговий сайт, з яким слід бути обережним.
4. Підпис повідомлення
У крайніх випадках, коли зловмисник вторгся на офіційний веб-сайт протоколу або замінив вміст сторінки через атаки, такі як перехоплення з фронтенду, звичайним користувачам важко визначити безпеку веб-сайту.
У цей час підписання плагін-гаманець стає останнім бар'єром для захисту активів користувачів. Якщо відмовитися від зловмисних підписів, можна уникнути втрати активів. Користувачі повинні ретельно перевіряти зміст будь-якого повідомлення та угоди перед підписанням, відмовлятися від сліпих підписів, щоб забезпечити безпеку активів.
Звичайні типи підписів включають:
5: Підпис交易
Підпис угоди використовується для авторизації угод у блокчейні, таких як перекази або виклики смарт-контрактів. Користувач підписує приватним ключем, мережа перевіряє дійсність угоди. На даний момент багато плагінових гаманців аналізують повідомлення, що підлягають підписанню, і демонструють відповідний вміст, обов'язково дотримуйтесь принципу не сліпого підпису, рекомендації з безпеки:
Для користувачів з хорошими технічними знаннями також можна використовувати деякі методи ручної перевірки: скопіюйте адресу контракту цільового взаємодії в блокчейн-браузер для перевірки, в основному перевірте, чи є контракт відкритим, чи було нещодавно багато транзакцій, а також чи додав браузер офіційні або шкідливі мітки для цієї адреси.
6. Обробка після交易
Навіть якщо вдалося успішно уникнути фішингових веб-сторінок та шкідливих підписів, після транзакції все ще необхідно провести управління ризиками.
Після交易 слід своєчасно перевірити ситуацію в у блокчейні, щоб підтвердити, чи відповідає вона очікуванням під час підписання. Якщо виявлено аномалію, слід негайно вжити заходів для переміщення активів, скасування авторизацій та інших заходів для обмеження збитків.
Управління дозволами ERC20 також є надзвичайно важливим. У деяких випадках, після того як користувачі надали авторизацію токенів для певних контрактів, через кілька років ці контракти зазнають атаки, і зловмисники використовують виділені ліміти для викрадення коштів користувачів. Щоб уникнути таких ситуацій, рекомендується користувачам дотримуватися наступних стандартів для запобігання ризикам:
Три, стратегія ізоляції коштів
На основі усвідомлення ризиків та належних заходів захисту, також рекомендується впровадити ефективну ізоляцію коштів, щоб зменшити ступінь втрати коштів у крайніх випадках. Рекомендовані стратегії такі:
Якщо ви стали жертвою фішингу, рекомендується негайно вжити такі заходи для зменшення втрат:
Чотири, Безпечна участь у аеродропах
Аірдроп є поширеним способом просування блокчейн-проєктів, але також несе в собі ризики. Ось кілька порад:
П'ять. Рекомендації щодо вибору та використання плагінів
Правила безпеки у блокчейні містять багато деталей, і може бути важко проводити детальну перевірку при кожній взаємодії, тому вибір безпечних плагінів є надзвичайно важливим, оскільки вони можуть допомогти нам у оцінці ризиків. Ось конкретні рекомендації:
Шість, підсумок
Слідуючи вказівкам щодо безпечних транзакцій, користувачі можуть більш спокійно взаємодіяти в дедалі складнішій екосистемі у блокчейні, ефективно підвищуючи свої можливості захисту активів. Незважаючи на те, що технологія блокчейн має своїм основним перевагою децентралізацію і прозорість, це також означає, що користувачі повинні самостійно справлятися з численними ризиками, включаючи фішинг підписів, витік приватних ключів, шкідливі DApp.
Щоб досягти справжньої безпеки у блокчейні, недостатньо покладатися тільки на інструменти нагадування; ключовим є встановлення систематичної обізнаності про безпеку та звичок у роботі. Використовуючи апаратні гаманці, впроваджуючи стратегії ізоляції коштів, регулярно перевіряючи авторизацію та оновлюючи плагіни, а також дотримуючись принципів "багаторазової валідації, відмови від сліпого підписання, ізоляції коштів" в операціях, можна досягти справжнього "вільного та безпечного доступу до блокчейну".