Посібник з безпеки транзакцій Web3: захист твоїх у блокчейні активів
З розвитком децентралізованої екосистеми, у блокчейні транзакції стали важливою складовою щоденних операцій користувачів Web3. Активи користувачів мігрують з централізованих платформ до децентралізованих мереж, що означає, що відповідальність за безпеку активів поступово переходить від платформи до самих користувачів. У блокчейн-середовищі користувачі повинні бути відповідальними за кожен крок взаємодії, незалежно від того, імпортують вони гаманець, отримують доступ до застосунків чи підписують авторизації та ініціюють транзакції. Будь-яка помилка під час операції може стати джерелом загрози безпеці, викликавши витік приватних ключів, зловживання авторизацією або мережеві шахрайства та інші серйозні наслідки.
Хоча на даний момент основні плагіни гаманців та браузери поступово інтегрують функції виявлення ризиків і попереджень, проте, стикаючись із дедалі складнішими методами атак, покладатися лише на пасивний захист інструментів все ще важко повністю уникнути ризиків. Щоб допомогти користувачам чіткіше ідентифікувати потенційні ризикові точки у блокчейн-транзакціях, ми на основі практичного досвіду систематизували всі етапи високочастотних ризикових сцен та, поєднуючи рекомендації щодо захисту з порадами щодо використання інструментів, розробили комплексний посібник із безпеки транзакцій у блокчейні, що має на меті допомогти кожному користувачу Web3 створити "самостійно контрольовану" лінію захисту.
Основні принципи безпечної торгівлі:
Відмовтеся від сліпого підписання: не підписуйте транзакції або повідомлення, які ви не розумієте.
Повторна перевірка: перед здійсненням будь-якої транзакції обов'язково кілька разів перевірте точність відповідної інформації.
Один, Рекомендації щодо безпечної торгівлі
Безпечна торгівля є ключем до захисту цифрових активів. Дослідження показують, що використання безпечних гаманців та двофакторної автентифікації (2FA) може значно знизити ризики. Ось конкретні рекомендації:
Використовуйте безпечний гаманець:
Виберіть надійного постачальника гаманців, наприклад, апаратний гаманець або відомий програмний гаманець. Апаратні гаманці забезпечують офлайн-зберігання, зменшуючи ризик онлайн-атак, що робить їх підходящими для зберігання великих активів.
Подвійна перевірка деталей транзакції:
Перед підтвердженням транзакції завжди перевіряйте адресу отримання, суму та мережу, щоб уникнути втрат через помилки введення.
Увімкніть двофакторну аутентифікацію (2FA):
Якщо торговельна платформа або гаманець підтримує 2FA, обов'язково увімкніть його, щоб підвищити безпеку облікового запису, особливо при використанні гарячого гаманця.
Уникайте використання громадського Wi-Fi:
Не здійснюйте транзакції через громадські Wi-Fi мережі, щоб уникнути фішингу та атак посередників.
Два, як здійснити безпечну угоду
Повний процес транзакції децентралізованого застосунку містить кілька етапів: встановлення гаманця, доступ до застосунку, підключення гаманця, підписання повідомлення, підписання транзакції, обробка після транзакції. Кожен етап має певні ризики безпеки, далі буде представлено зауваження щодо фактичних операцій.
1. Встановлення гаманця:
Наразі основним способом використання децентралізованих додатків є взаємодія через гаманці у вигляді плагінів для браузера. Під час встановлення плагіна гаманця для Chrome необхідно підтвердити, що завантаження здійснюється з офіційного магазину додатків, щоб уникнути встановлення з третіх сайтів, що може призвести до інсталяції програмного забезпечення гаманця з бекдорами. Користувачам, які мають можливість, рекомендується комбінувати використання з апаратними гаманцями для подальшого підвищення загальної безпеки зберігання приватних ключів.
Під час встановлення резервної фрази для гаманця (зазвичай це від 12 до 24 слів), рекомендується зберігати її в безпечному фізичному місці, подалі від цифрових пристроїв.
2. Доступ до додатку
Фішинг в Інтернеті є поширеним методом атак у Web3. Типовим випадком є спонукання користувачів відвідати фішинговий додаток під виглядом аердропу, після чого користувачів спонукають підписувати авторизації токенів, транзакції переказів або підписи авторизацій токенів, що призводить до втрати активів.
Отже, під час відвідування застосунку користувачі повинні бути обережними, щоб уникнути пасток веб-фішингу.
Перед доступом до програми слід підтвердити правильність веб-адреси. Рекомендується:
Уникайте прямого доступу через пошукові системи: зловмисники можуть підвищити рейтинг своїх фішингових сайтів, купуючи рекламні місця.
Уникайте натискання на посилання в соціальних мережах: URL-адреси, опубліковані в коментарях або повідомленнях, можуть бути фішинговими посиланнями.
Перевірте правильність адреси застосунку: можна перевірити через кілька надійних джерел.
Додати безпечний сайт до закладок браузера: надалі можна буде безпосередньо відвідувати з закладок.
Після відкриття веб-сторінки програми також потрібно провести перевірку безпеки адресного рядка:
Перевірте, чи доменне ім'я та веб-адреса схожі на підроблені.
Перевірте, чи є це HTTPS-посиланням, браузер має показувати значок замка.
Наразі основні плагіни-гаманець на ринку також інтегрували певні функції попередження про ризики, які можуть відображати сильні попередження при відвідуванні ризикових веб-сайтів.
3. Підключити гаманець
Після входу в додаток може автоматично або після активного натискання "Connect" відбутися підключення гаманця. Плагін-гаманець проведе деякі перевірки та відображення інформації для поточного додатка.
Після підключення гаманця зазвичай, коли користувач не виконує жодних інших дій, додаток не ініціює активне викликання плагін-гаманця. Якщо веб-сайт після входу часто викликає гаманець для підписання повідомлень, підписання транзакцій, навіть після відмови підписати, і далі постійно з'являються запити на підпис, це може бути випадком фішингового сайту, з яким потрібно бути обережним.
4. Підпис повідомлення
У крайніх випадках, наприклад, якщо зловмисник атакує офіційний веб-сайт протоколу або за допомогою атак на фронтенд підміняє вміст сторінки, звичайним користувачам важко в таких умовах визначити безпеку веб-сайту.
На цьому етапі підпис плагін-гаманець є останнім бар'єром для захисту активів користувача. Досить відмовитися від зловмисних підписів, щоб забезпечити недоторканність своїх активів. Користувачі повинні уважно перевіряти зміст підпису, підписуючи будь-які повідомлення та угоди, і відмовлятися від сліпих підписів, щоб уникнути втрат активів.
5. Підпис транзакції
Підпис угоди використовується для авторизації транзакцій у блокчейні, таких як переказ або виклик смарт-контракту. Користувач підписує приватним ключем, мережа перевіряє дійсність транзакції. В даний час багато плагін-гаманець декодують повідомлення, що чекають підпису, і відображають відповідний вміст; обов'язково дотримуйтесь принципу «не підписувати наосліп», рекомендації з безпеки:
Уважно перевірте адресу отримувача, суму та мережу, щоб уникнути помилок.
Рекомендується офлайн-підписання для великих транзакцій, щоб зменшити ризик онлайн-атак.
Зверніть увагу на газові витрати, щоб вони були розумними, уникайте шахрайства.
Для користувачів з певними технічними знаннями також можна використовувати деякі поширені методи ручної перевірки: шляхом копіювання адреси цільового контракту до блокчейн-оглядача для перевірки, основні питання перевірки включають, чи є контракт відкритим, чи були нещодавно великі обсяги транзакцій та чи має ця адреса офіційні мітки або мітки зловмисності тощо.
6. Обробка після торгівлі
Уникнувши фішингових веб-сторінок та зловмисних підписів, це не означає, що все в порядку; після торгівлі також необхідно проводити управління ризиками.
Після交易 слід своєчасно перевірити стан транзакції у блокчейні, щоб підтвердити, чи відповідає він очікуваному стану на момент підписання. Якщо виявлено аномалії, своєчасно здійсніть операції з переміщення активів, анулювання авторизації тощо для зменшення втрат.
Управління дозволами ERC20 також є дуже важливим. У деяких випадках користувачі надавали токен-уповноваження певним контрактам, і через кілька років ці контракти зазнали атаки, а зловмисники використали ліміт токен-уповноваження атакованого контракту для крадіжки коштів у користувачів. Щоб уникнути подібних ситуацій, ми рекомендуємо користувачам дотримуватися наступних стандартів для запобігання ризикам:
Мінімізація авторизації. Коли проводиться авторизація токенів, слід відповідно до потреби транзакції обмежити кількість авторизованих токенів. Якщо для певної транзакції потрібно авторизувати 100USDT, то ця кількість авторизації має бути обмежена 100USDT, а не використовувати стандартну безмежну авторизацію.
Вчасно відкликати непотрібні авторизації токенів. Користувачі можуть увійти в спеціалізований інструмент управління авторизаціями, щоб перевірити стан авторизації відповідної адреси, відкликати авторизацію протоколів, з якими давно не було взаємодії, щоб запобігти можливим вразливостям протоколу, які можуть призвести до втрати активів через використання авторизаційних лімітів користувачів.
Три, стратегія ізоляції коштів
При наявності свідомості щодо ризиків і достатніх заходів для їх запобігання, також рекомендується здійснити ефективну ізоляцію коштів, щоб зменшити ступінь їх втрати в екстремальних ситуаціях. Рекомендуються такі стратегії:
Використовуйте мультипідписний гаманець або холодний гаманець для зберігання великих активів;
Використовуйте плагінні гаманці або EOA-гаманці як гарячі гаманці для щоденних взаємодій;
Регулярно змінюйте адреси гарячих гаманців, щоб запобігти постійній експозиції адрес у ризиковому середовищі.
Якщо випадково дійсно сталася ситуація з фішингом, ми рекомендуємо негайно вжити такі заходи для зменшення збитків:
Використовуйте інструменти управління доступом для скасування високих авторизацій;
Якщо підписано permit підпис, але активи ще не були перенесені, можна негайно ініціювати новий підпис, щоб зробити старий підпис nonce недійсним;
За необхідності, швидко перенесіть залишкові активи на нову адресу або холодний гаманець.
Чотири, як безпечно брати участь у аеродропах
Airdrop є поширеним способом просування блокчейн-проєктів, але в ньому також приховані ризики. Ось кілька порад:
Дослідження фону проєкту: забезпечити наявність чіткого білого паперу, публічної інформації про команду та репутації в спільноті;
Використовуйте спеціальну адресу: зареєструйте спеціальний гаманець і електронну пошту, щоб ізолювати ризики основного рахунку;
Обережно натискайте на посилання: отримуйте інформацію про аірдроп лише через офіційні канали, уникайте натискання на підозрілі посилання в соціальних мережах;
5. Пропозиції щодо вибору та використання інструментів плагіна
Зміст Кодексу безпеки у блокчейні є досить обширним, і можливо, що не завжди при кожній взаємодії можна провести детальну перевірку. Вибір безпечних плагінів є вирішальним, оскільки вони можуть допомогти нам у оцінці ризиків. Ось конкретні поради:
Довірені розширення: використовуйте розширення браузера, які мають високу популярність. Ці плагіни забезпечують функції гаманця та підтримують взаємодію з децентралізованими додатками.
Перевірка рейтингу: перед установкою нового плагіна перевірте рейтинг користувачів та кількість установок. Високий рейтинг і велика кількість установок зазвичай вказують на те, що плагін є більш надійним, що знижує ризик наявності шкідливого коду.
Зберігайте оновлення: регулярно оновлюйте свої плагіни, щоб отримати найновіші функції безпеки та виправлення. Застарілі плагіни можуть містити відомі вразливості, які легко можуть бути використані зловмисниками.
Шість, висновок
Слідуючи наведеним вище рекомендаціям по безпечній торгівлі, користувачі можуть більш впевнено взаємодіяти в дедалі складнішій екосистемі у блокчейні, суттєво покращуючи захист своїх активів. Хоча технологія блокчейн має своїми основними перевагами децентралізацію та прозорість, це також означає, що користувачам потрібно самостійно справлятися з багатьма ризиками, включаючи фішинг підписів, витік приватних ключів, шкідливі програми.
Щоб досягти справжньої безпеки у блокчейні, лише покладатися на інструменти нагадування недостатньо, важливо створити системне усвідомлення безпеки та звички в операціях. Використовуючи апаратні гаманці, впроваджуючи стратегії ізоляції коштів, регулярно перевіряючи авторизацію та оновлюючи плагіни, а також дотримуючись принципів "багатофакторної перевірки, відмови від сліпого підписання, ізоляції коштів" під час проведення транзакцій, можна досягти справжньої "свободи та безпеки у блокчейні".
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
9 лайків
Нагородити
9
4
Репост
Поділіться
Прокоментувати
0/400
mev_me_maybe
· 08-09 05:14
Не те, що я кажу, але посилання все одно дають можливість вкрасти гроші.
Переглянути оригіналвідповісти на0
ZKSherlock
· 08-09 05:11
насправді... децентралізація лише переносить ризики безпеки з централізованих бірж на користувачів. не буду брехати, математика за zkps впорається з цим значно краще, ніж поточні "інструменти виявлення ризиків", смх.
Переглянути оригіналвідповісти на0
ImpermanentSage
· 08-09 05:08
Безпека на першому місці, нічого не залишилось.
Переглянути оригіналвідповісти на0
LiquidityWitch
· 08-09 05:03
Важливість безпеки справді зрозуміла лише після випуску монет.
Побудова особистої безпеки交易у блокчейні: повний посібник з захисту активів Web3
Посібник з безпеки транзакцій Web3: захист твоїх у блокчейні активів
З розвитком децентралізованої екосистеми, у блокчейні транзакції стали важливою складовою щоденних операцій користувачів Web3. Активи користувачів мігрують з централізованих платформ до децентралізованих мереж, що означає, що відповідальність за безпеку активів поступово переходить від платформи до самих користувачів. У блокчейн-середовищі користувачі повинні бути відповідальними за кожен крок взаємодії, незалежно від того, імпортують вони гаманець, отримують доступ до застосунків чи підписують авторизації та ініціюють транзакції. Будь-яка помилка під час операції може стати джерелом загрози безпеці, викликавши витік приватних ключів, зловживання авторизацією або мережеві шахрайства та інші серйозні наслідки.
Хоча на даний момент основні плагіни гаманців та браузери поступово інтегрують функції виявлення ризиків і попереджень, проте, стикаючись із дедалі складнішими методами атак, покладатися лише на пасивний захист інструментів все ще важко повністю уникнути ризиків. Щоб допомогти користувачам чіткіше ідентифікувати потенційні ризикові точки у блокчейн-транзакціях, ми на основі практичного досвіду систематизували всі етапи високочастотних ризикових сцен та, поєднуючи рекомендації щодо захисту з порадами щодо використання інструментів, розробили комплексний посібник із безпеки транзакцій у блокчейні, що має на меті допомогти кожному користувачу Web3 створити "самостійно контрольовану" лінію захисту.
Основні принципи безпечної торгівлі:
Один, Рекомендації щодо безпечної торгівлі
Безпечна торгівля є ключем до захисту цифрових активів. Дослідження показують, що використання безпечних гаманців та двофакторної автентифікації (2FA) може значно знизити ризики. Ось конкретні рекомендації:
Виберіть надійного постачальника гаманців, наприклад, апаратний гаманець або відомий програмний гаманець. Апаратні гаманці забезпечують офлайн-зберігання, зменшуючи ризик онлайн-атак, що робить їх підходящими для зберігання великих активів.
Перед підтвердженням транзакції завжди перевіряйте адресу отримання, суму та мережу, щоб уникнути втрат через помилки введення.
Якщо торговельна платформа або гаманець підтримує 2FA, обов'язково увімкніть його, щоб підвищити безпеку облікового запису, особливо при використанні гарячого гаманця.
Не здійснюйте транзакції через громадські Wi-Fi мережі, щоб уникнути фішингу та атак посередників.
Два, як здійснити безпечну угоду
Повний процес транзакції децентралізованого застосунку містить кілька етапів: встановлення гаманця, доступ до застосунку, підключення гаманця, підписання повідомлення, підписання транзакції, обробка після транзакції. Кожен етап має певні ризики безпеки, далі буде представлено зауваження щодо фактичних операцій.
1. Встановлення гаманця:
Наразі основним способом використання децентралізованих додатків є взаємодія через гаманці у вигляді плагінів для браузера. Під час встановлення плагіна гаманця для Chrome необхідно підтвердити, що завантаження здійснюється з офіційного магазину додатків, щоб уникнути встановлення з третіх сайтів, що може призвести до інсталяції програмного забезпечення гаманця з бекдорами. Користувачам, які мають можливість, рекомендується комбінувати використання з апаратними гаманцями для подальшого підвищення загальної безпеки зберігання приватних ключів.
Під час встановлення резервної фрази для гаманця (зазвичай це від 12 до 24 слів), рекомендується зберігати її в безпечному фізичному місці, подалі від цифрових пристроїв.
2. Доступ до додатку
Фішинг в Інтернеті є поширеним методом атак у Web3. Типовим випадком є спонукання користувачів відвідати фішинговий додаток під виглядом аердропу, після чого користувачів спонукають підписувати авторизації токенів, транзакції переказів або підписи авторизацій токенів, що призводить до втрати активів.
Отже, під час відвідування застосунку користувачі повинні бути обережними, щоб уникнути пасток веб-фішингу.
Перед доступом до програми слід підтвердити правильність веб-адреси. Рекомендується:
Після відкриття веб-сторінки програми також потрібно провести перевірку безпеки адресного рядка:
Наразі основні плагіни-гаманець на ринку також інтегрували певні функції попередження про ризики, які можуть відображати сильні попередження при відвідуванні ризикових веб-сайтів.
3. Підключити гаманець
Після входу в додаток може автоматично або після активного натискання "Connect" відбутися підключення гаманця. Плагін-гаманець проведе деякі перевірки та відображення інформації для поточного додатка.
Після підключення гаманця зазвичай, коли користувач не виконує жодних інших дій, додаток не ініціює активне викликання плагін-гаманця. Якщо веб-сайт після входу часто викликає гаманець для підписання повідомлень, підписання транзакцій, навіть після відмови підписати, і далі постійно з'являються запити на підпис, це може бути випадком фішингового сайту, з яким потрібно бути обережним.
4. Підпис повідомлення
У крайніх випадках, наприклад, якщо зловмисник атакує офіційний веб-сайт протоколу або за допомогою атак на фронтенд підміняє вміст сторінки, звичайним користувачам важко в таких умовах визначити безпеку веб-сайту.
На цьому етапі підпис плагін-гаманець є останнім бар'єром для захисту активів користувача. Досить відмовитися від зловмисних підписів, щоб забезпечити недоторканність своїх активів. Користувачі повинні уважно перевіряти зміст підпису, підписуючи будь-які повідомлення та угоди, і відмовлятися від сліпих підписів, щоб уникнути втрат активів.
5. Підпис транзакції
Підпис угоди використовується для авторизації транзакцій у блокчейні, таких як переказ або виклик смарт-контракту. Користувач підписує приватним ключем, мережа перевіряє дійсність транзакції. В даний час багато плагін-гаманець декодують повідомлення, що чекають підпису, і відображають відповідний вміст; обов'язково дотримуйтесь принципу «не підписувати наосліп», рекомендації з безпеки:
Для користувачів з певними технічними знаннями також можна використовувати деякі поширені методи ручної перевірки: шляхом копіювання адреси цільового контракту до блокчейн-оглядача для перевірки, основні питання перевірки включають, чи є контракт відкритим, чи були нещодавно великі обсяги транзакцій та чи має ця адреса офіційні мітки або мітки зловмисності тощо.
6. Обробка після торгівлі
Уникнувши фішингових веб-сторінок та зловмисних підписів, це не означає, що все в порядку; після торгівлі також необхідно проводити управління ризиками.
Після交易 слід своєчасно перевірити стан транзакції у блокчейні, щоб підтвердити, чи відповідає він очікуваному стану на момент підписання. Якщо виявлено аномалії, своєчасно здійсніть операції з переміщення активів, анулювання авторизації тощо для зменшення втрат.
Управління дозволами ERC20 також є дуже важливим. У деяких випадках користувачі надавали токен-уповноваження певним контрактам, і через кілька років ці контракти зазнали атаки, а зловмисники використали ліміт токен-уповноваження атакованого контракту для крадіжки коштів у користувачів. Щоб уникнути подібних ситуацій, ми рекомендуємо користувачам дотримуватися наступних стандартів для запобігання ризикам:
Три, стратегія ізоляції коштів
При наявності свідомості щодо ризиків і достатніх заходів для їх запобігання, також рекомендується здійснити ефективну ізоляцію коштів, щоб зменшити ступінь їх втрати в екстремальних ситуаціях. Рекомендуються такі стратегії:
Якщо випадково дійсно сталася ситуація з фішингом, ми рекомендуємо негайно вжити такі заходи для зменшення збитків:
Чотири, як безпечно брати участь у аеродропах
Airdrop є поширеним способом просування блокчейн-проєктів, але в ньому також приховані ризики. Ось кілька порад:
5. Пропозиції щодо вибору та використання інструментів плагіна
Зміст Кодексу безпеки у блокчейні є досить обширним, і можливо, що не завжди при кожній взаємодії можна провести детальну перевірку. Вибір безпечних плагінів є вирішальним, оскільки вони можуть допомогти нам у оцінці ризиків. Ось конкретні поради:
Шість, висновок
Слідуючи наведеним вище рекомендаціям по безпечній торгівлі, користувачі можуть більш впевнено взаємодіяти в дедалі складнішій екосистемі у блокчейні, суттєво покращуючи захист своїх активів. Хоча технологія блокчейн має своїми основними перевагами децентралізацію та прозорість, це також означає, що користувачам потрібно самостійно справлятися з багатьма ризиками, включаючи фішинг підписів, витік приватних ключів, шкідливі програми.
Щоб досягти справжньої безпеки у блокчейні, лише покладатися на інструменти нагадування недостатньо, важливо створити системне усвідомлення безпеки та звички в операціях. Використовуючи апаратні гаманці, впроваджуючи стратегії ізоляції коштів, регулярно перевіряючи авторизацію та оновлюючи плагіни, а також дотримуючись принципів "багатофакторної перевірки, відмови від сліпого підписання, ізоляції коштів" під час проведення транзакцій, можна досягти справжньої "свободи та безпеки у блокчейні".