Guía de seguridad para transacciones en cadena de usuarios de Web3
Con el continuo desarrollo del ecosistema blockchain, las transacciones on-chain se han convertido en una parte importante de las operaciones diarias de los usuarios de Web3. Los activos de los usuarios se están trasladando gradualmente de plataformas centralizadas a redes descentralizadas, y esta tendencia también significa que la responsabilidad de la seguridad de los activos está pasando de las plataformas a los propios usuarios. En un entorno on-chain, los usuarios deben ser responsables de cada interacción, ya sea importando una billetera, accediendo a aplicaciones descentralizadas, o firmando autorizaciones e iniciando transacciones. Cualquier operación imprudente podría dar lugar a riesgos de seguridad, lo que podría resultar en la filtración de claves privadas, abuso de autorizaciones o sufrir ataques de phishing, entre otras consecuencias graves.
A pesar de que las principales extensiones de billetera y navegadores han integrado gradualmente funciones como la identificación de phishing y alertas de riesgo, enfrentar métodos de ataque cada vez más complejos hace que depender únicamente de defensas pasivas de herramientas siga siendo difícil para evitar completamente los riesgos. Para ayudar a los usuarios a identificar mejor los puntos de riesgo potencial en las transacciones on-chain, hemos recopilado, basándonos en la experiencia práctica, los escenarios de alto riesgo a lo largo del proceso y, junto con sugerencias de protección y técnicas de uso de herramientas, hemos elaborado una guía sistemática de seguridad para transacciones on-chain, con el objetivo de ayudar a cada usuario de Web3 a construir una línea de defensa "autónoma y controlable".
Principios clave para transacciones seguras:
Rechaza firmar sin entender: no firmes transacciones o mensajes que no comprendas.
Verificación repetida: Antes de realizar cualquier transacción, asegúrese de verificar la precisión de la información relacionada varias veces.
I. Sugerencias para transacciones seguras
El comercio seguro es clave para proteger los activos digitales. Los estudios muestran que el uso de billeteras seguras y la verificación en dos pasos (2FA) pueden reducir significativamente el riesgo. Aquí hay recomendaciones específicas:
Usar una billetera segura:
Elige proveedores de billeteras con buena reputación, como billeteras de hardware o billeteras de software reconocidas. Las billeteras de hardware ofrecen almacenamiento fuera de línea, lo que reduce el riesgo de ataques en línea, y son adecuadas para almacenar grandes cantidades de activos.
Verifica los detalles de la transacción dos veces:
Antes de confirmar la transacción, siempre verifica la dirección de recepción, el monto y la red (por ejemplo, asegúrate de que estás utilizando la cadena correcta, como Ethereum u otras cadenas compatibles, etc.) para evitar pérdidas debido a errores de entrada.
Habilitar la verificación en dos pasos (2FA):
Si la plataforma de intercambio o la billetera admite 2FA, asegúrese de activarlo para aumentar la seguridad de la cuenta, especialmente al usar billeteras calientes.
Evitar el uso de Wi-Fi público:
No realices transacciones en redes Wi-Fi públicas para prevenir ataques de phishing y ataques de intermediarios.
Dos, ¿cómo realizar transacciones seguras?
Un proceso de transacción completo de una aplicación descentralizada incluye múltiples etapas: instalación de la billetera, acceso a la aplicación, conexión de la billetera, firma de mensajes, firma de transacciones y procesamiento posterior a la transacción. Cada etapa presenta ciertos riesgos de seguridad, a continuación se describirán las consideraciones a tener en cuenta durante la operación real.
1. Instalación de cartera:
Actualmente, la forma principal de uso de las aplicaciones descentralizadas es a través de carteras de navegador. Las carteras más utilizadas en Ethereum y cadenas compatibles incluyen varias opciones.
Al instalar la billetera del plugin de Chrome, es necesario asegurarse de descargarla desde la tienda de aplicaciones oficial, para evitar instalar software de billetera con puertas traseras desde sitios web de terceros. Se recomienda a los usuarios con condiciones combinar el uso de una billetera de hardware para mejorar aún más la seguridad general en la gestión de claves privadas.
Al instalar la frase semilla de respaldo de la billetera (generalmente una frase de recuperación de 12 a 24 palabras), se recomienda almacenarla en un lugar seguro, lejos de dispositivos digitales (por ejemplo, escribirla en papel y guardarla en una caja de seguridad).
2. Acceder a aplicaciones descentralizadas
La pesca en la web es una técnica común en los ataques de Web3. Un caso típico es inducir a los usuarios a visitar aplicaciones de phishing bajo el pretexto de un airdrop, luego inducirlos a firmar autorizaciones de tokens, transacciones de transferencia o firmas de autorización de tokens después de que conectan su billetera, lo que resulta en la pérdida de activos.
Por lo tanto, al acceder a aplicaciones descentralizadas, los usuarios deben mantenerse alerta y evitar caer en las trampas de phishing en la web.
Antes de acceder a la aplicación, debe confirmar la corrección de la URL. Sugerencia:
Evita acceder directamente a través de motores de búsqueda: los atacantes de phishing pueden hacer que su sitio web de phishing aparezca en los primeros lugares comprando espacios publicitarios.
Evita hacer clic en los enlaces en las redes sociales: las URL publicadas en comentarios o mensajes pueden ser enlaces de phishing.
Confirmar repetidamente la corrección de la dirección de la aplicación: se puede verificar a través de múltiples plataformas de datos confiables, cuentas oficiales de redes sociales del proyecto, entre otros.
Agregar el sitio web seguro a los marcadores del navegador: acceder directamente desde los marcadores más adelante.
Al abrir la página de la aplicación, también se debe realizar una verificación de seguridad en la barra de direcciones:
Verifique si el dominio y la URL parecen falsificados.
Verifique si es un enlace HTTPS, el navegador debe mostrar el símbolo de candado 🔒.
Actualmente, las principales billeteras de complementos en el mercado también han integrado ciertas funciones de advertencia de riesgos, que pueden mostrar advertencias fuertes al acceder a sitios web de riesgo.
3. Conectar billetera
Al ingresar a la aplicación, es posible que se active automáticamente o al hacer clic en Conectar para realizar la operación de conexión de la billetera. La billetera de complemento realizará algunas verificaciones y mostrará información relacionada con la aplicación actual.
Después de conectar la billetera, generalmente la aplicación no invocará activamente la billetera del plugin si el usuario no realiza otras operaciones. Si un sitio web solicita frecuentemente al iniciar sesión que se firme un mensaje o se firme una transacción, e incluso sigue apareciendo la solicitud de firma después de rechazarla, es muy probable que se trate de un sitio de phishing, y se debe manejar con precaución.
4. Firma de mensaje
En situaciones extremas, por ejemplo, si un atacante ataca el sitio web oficial del protocolo o realiza ataques de secuestro a través de la interfaz, reemplazando el contenido de la página. Es muy difícil para los usuarios comunes identificar la seguridad del sitio web en este tipo de escenarios.
En este momento, la firma de la billetera de plugin es la última barrera para que el usuario proteja sus propios activos. Siempre que se rechacen las firmas maliciosas, se puede garantizar que los activos del usuario no se pierdan. El usuario debe revisar cuidadosamente el contenido de la firma al firmar cualquier mensaje y transacción, y rechazar las firmas ciegas para evitar la pérdida de activos.
Los tipos de firma más comunes incluyen:
eth_sign: Firmar datos hash.
personal_sign: Firmar información en texto plano, comúnmente utilizado en la verificación de inicio de sesión del usuario o en la confirmación de acuerdos de autorización.
eth_signTypedData (EIP-712): firma de datos estructurados, comúnmente utilizado en el Permiso ERC20, pedidos de NFT, etc.
5. Firma de transacción
La firma de la transacción se utiliza para autorizar transacciones en la cadena, como transferencias o llamadas a contratos inteligentes. Los usuarios firman con su clave privada, y la red verifica la validez de la transacción. Actualmente, muchas billeteras de plugins decodifican los mensajes pendientes de firma y muestran el contenido relevante. Es importante seguir el principio de no firmar ciegamente. Consejo de seguridad:
Verifique cuidadosamente la dirección del destinatario, el monto y la red para evitar errores.
Se recomienda firmar transacciones grandes fuera de línea para reducir el riesgo de ataques en línea.
Presta atención a las tarifas de gas, asegúrate de que sean razonables y evita estafas.
Para los usuarios con ciertos conocimientos técnicos, también se pueden utilizar algunos métodos comunes de revisión manual: revisar el contrato objetivo de interacción copiando su dirección en un explorador de bloques, donde el contenido de la revisión incluye principalmente si el contrato es de código abierto, si ha habido un gran número de transacciones recientes y si se ha etiquetado oficialmente o como malicioso esa dirección, entre otros.
6. Procesamiento posterior a la transacción
Escapar de sitios web de phishing y firmas maliciosas no significa que todo esté bien; también se debe llevar a cabo la gestión de riesgos después de la transacción.
Después de la transacción, se debe verificar oportunamente el estado en la cadena de la transacción para confirmar si coincide con el estado esperado al momento de la firma. Si se detecta alguna anomalía, se deben realizar de inmediato operaciones de detención de pérdidas, como la transferencia de activos y la revocación de autorizaciones.
La gestión de la autorización ERC20 también es muy importante. En algunos casos, los usuarios otorgaron autorización de tokens a ciertos contratos y, años después, esos contratos fueron atacados. Los atacantes aprovecharon el límite de autorización de tokens del contrato atacado para robar los fondos de los usuarios. Para evitar tales situaciones, recomendamos a los usuarios que sigan los siguientes estándares para la prevención de riesgos:
Minimizar la autorización. Al autorizar tokens, se debe limitar la cantidad de tokens autorizados según las necesidades de la transacción. Si una transacción requiere autorizar 100 USDT, entonces la cantidad autorizada debe limitarse a 100 USDT, y no utilizar la autorización predeterminada ilimitada.
Revoca a tiempo las autorizaciones de tokens innecesarias. Los usuarios pueden iniciar sesión en las herramientas correspondientes para consultar el estado de autorización de la dirección correspondiente, revocar las autorizaciones de los protocolos que no han tenido interacción durante un largo período de tiempo, para evitar que las vulnerabilidades en los protocolos causen pérdidas de activos debido al uso de los límites de autorización del usuario.
Tres, Estrategia de Aislamiento de Fondos
Bajo la condición de tener conciencia de riesgos y haber tomado suficientes medidas de prevención de riesgos, también se recomienda realizar una efectiva separación de fondos para reducir el grado de daño a los fondos en situaciones extremas. La estrategia recomendada es la siguiente:
Utilice una billetera multifirma o una billetera fría para almacenar activos de gran valor;
Utiliza una billetera de plugin o una billetera EOA como billetera caliente para interacciones diarias;
Cambiar regularmente la dirección del monedero caliente para evitar que la dirección esté expuesta continuamente a un entorno de riesgo.
Si accidentalmente se produce una situación de phishing, recomendamos tomar inmediatamente las siguientes medidas para reducir las pérdidas:
Utiliza herramientas relacionadas para cancelar autorizaciones de alto riesgo;
Si se ha firmado el permit pero los activos aún no se han transferido, se puede iniciar inmediatamente una nueva firma para invalidar el nonce de la firma anterior;
Si es necesario, transfiera rápidamente los activos restantes a una nueva dirección o a una billetera fría.
Cuatro, cómo participar de manera segura en actividades de airdrop
El airdrop es una forma común de promoción de proyectos de blockchain, pero también conlleva riesgos. Aquí hay algunos consejos:
Investigación de antecedentes del proyecto: asegurarse de que el proyecto tenga un libro blanco claro, información pública del equipo y una reputación en la comunidad;
Uso de direcciones dedicadas: registre una billetera y un correo electrónico dedicados para aislar el riesgo de la cuenta principal;
Precaución al hacer clic en los enlaces: obtenga información sobre airdrops únicamente a través de canales oficiales, evite hacer clic en enlaces sospechosos en plataformas sociales;
Cinco, selección y recomendaciones para el uso de herramientas de plugins
El contenido de las normas de seguridad de blockchain es extenso, y puede que no siempre sea posible realizar un examen minucioso en cada interacción. Elegir complementos seguros es crucial, ya que pueden ayudarnos a hacer juicios sobre riesgos. A continuación se presentan recomendaciones específicas:
Extensiones de confianza: utiliza extensiones de navegador que son ampliamente utilizadas. Estos complementos proporcionan funciones de billetera y admiten la interacción con aplicaciones descentralizadas.
Revisión de calificaciones: antes de instalar un nuevo complemento, verifica las calificaciones de los usuarios y el número de instalaciones. Una alta calificación y un gran número de instalaciones suelen indicar que el complemento es más confiable, lo que reduce el riesgo de código malicioso.
Manténgase actualizado: actualice regularmente sus complementos para obtener las últimas funciones de seguridad y correcciones. Los complementos obsoletos pueden contener vulnerabilidades conocidas que son fácilmente explotables por los atacantes.
Seis, Conclusión
Al seguir las pautas de seguridad de transacciones mencionadas anteriormente, los usuarios pueden interactuar de manera más tranquila en un ecosistema de blockchain cada vez más complejo, mejorando efectivamente su capacidad de protección de activos. Aunque la tecnología blockchain tiene como ventajas centrales la descentralización y la transparencia, esto también significa que los usuarios deben enfrentar de manera independiente múltiples riesgos, incluidos el phishing de firmas, la filtración de claves privadas y las aplicaciones maliciosas.
Para lograr una verdadera seguridad en la cadena, depender únicamente de herramientas de advertencia es insuficiente; establecer una conciencia de seguridad sistemática y hábitos operativos es clave. A través del uso de billeteras de hardware, la implementación de estrategias de aislamiento de fondos, la revisión periódica de autorizaciones y la actualización de complementos, así como la aplicación del concepto de "verificación múltiple, rechazo de firma ciega, aislamiento de fondos" en las operaciones de transacción, se puede lograr verdaderamente "subir a la cadena de forma libre y segura".
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
10 me gusta
Recompensa
10
4
Republicar
Compartir
Comentar
0/400
DeFiChef
· 07-27 15:22
Billetera también puede pescar, todos cuídense.
Ver originalesResponder0
governance_ghost
· 07-25 13:11
Todo depende de uno mismo, estoy muy nervioso.
Ver originalesResponder0
SchrodingerAirdrop
· 07-25 13:09
¡No te preocupes por la seguridad, simplemente lánzate!
Ver originalesResponder0
StrawberryIce
· 07-25 13:02
Estudia lo que tengas que estudiar, pero no te dejes engañar~
Dominar la seguridad en las transacciones de la Cadena de bloques para construir un sistema de defensa de activos Web3
Guía de seguridad para transacciones en cadena de usuarios de Web3
Con el continuo desarrollo del ecosistema blockchain, las transacciones on-chain se han convertido en una parte importante de las operaciones diarias de los usuarios de Web3. Los activos de los usuarios se están trasladando gradualmente de plataformas centralizadas a redes descentralizadas, y esta tendencia también significa que la responsabilidad de la seguridad de los activos está pasando de las plataformas a los propios usuarios. En un entorno on-chain, los usuarios deben ser responsables de cada interacción, ya sea importando una billetera, accediendo a aplicaciones descentralizadas, o firmando autorizaciones e iniciando transacciones. Cualquier operación imprudente podría dar lugar a riesgos de seguridad, lo que podría resultar en la filtración de claves privadas, abuso de autorizaciones o sufrir ataques de phishing, entre otras consecuencias graves.
A pesar de que las principales extensiones de billetera y navegadores han integrado gradualmente funciones como la identificación de phishing y alertas de riesgo, enfrentar métodos de ataque cada vez más complejos hace que depender únicamente de defensas pasivas de herramientas siga siendo difícil para evitar completamente los riesgos. Para ayudar a los usuarios a identificar mejor los puntos de riesgo potencial en las transacciones on-chain, hemos recopilado, basándonos en la experiencia práctica, los escenarios de alto riesgo a lo largo del proceso y, junto con sugerencias de protección y técnicas de uso de herramientas, hemos elaborado una guía sistemática de seguridad para transacciones on-chain, con el objetivo de ayudar a cada usuario de Web3 a construir una línea de defensa "autónoma y controlable".
Principios clave para transacciones seguras:
I. Sugerencias para transacciones seguras
El comercio seguro es clave para proteger los activos digitales. Los estudios muestran que el uso de billeteras seguras y la verificación en dos pasos (2FA) pueden reducir significativamente el riesgo. Aquí hay recomendaciones específicas:
Elige proveedores de billeteras con buena reputación, como billeteras de hardware o billeteras de software reconocidas. Las billeteras de hardware ofrecen almacenamiento fuera de línea, lo que reduce el riesgo de ataques en línea, y son adecuadas para almacenar grandes cantidades de activos.
Antes de confirmar la transacción, siempre verifica la dirección de recepción, el monto y la red (por ejemplo, asegúrate de que estás utilizando la cadena correcta, como Ethereum u otras cadenas compatibles, etc.) para evitar pérdidas debido a errores de entrada.
Si la plataforma de intercambio o la billetera admite 2FA, asegúrese de activarlo para aumentar la seguridad de la cuenta, especialmente al usar billeteras calientes.
No realices transacciones en redes Wi-Fi públicas para prevenir ataques de phishing y ataques de intermediarios.
Dos, ¿cómo realizar transacciones seguras?
Un proceso de transacción completo de una aplicación descentralizada incluye múltiples etapas: instalación de la billetera, acceso a la aplicación, conexión de la billetera, firma de mensajes, firma de transacciones y procesamiento posterior a la transacción. Cada etapa presenta ciertos riesgos de seguridad, a continuación se describirán las consideraciones a tener en cuenta durante la operación real.
1. Instalación de cartera:
Actualmente, la forma principal de uso de las aplicaciones descentralizadas es a través de carteras de navegador. Las carteras más utilizadas en Ethereum y cadenas compatibles incluyen varias opciones.
Al instalar la billetera del plugin de Chrome, es necesario asegurarse de descargarla desde la tienda de aplicaciones oficial, para evitar instalar software de billetera con puertas traseras desde sitios web de terceros. Se recomienda a los usuarios con condiciones combinar el uso de una billetera de hardware para mejorar aún más la seguridad general en la gestión de claves privadas.
Al instalar la frase semilla de respaldo de la billetera (generalmente una frase de recuperación de 12 a 24 palabras), se recomienda almacenarla en un lugar seguro, lejos de dispositivos digitales (por ejemplo, escribirla en papel y guardarla en una caja de seguridad).
2. Acceder a aplicaciones descentralizadas
La pesca en la web es una técnica común en los ataques de Web3. Un caso típico es inducir a los usuarios a visitar aplicaciones de phishing bajo el pretexto de un airdrop, luego inducirlos a firmar autorizaciones de tokens, transacciones de transferencia o firmas de autorización de tokens después de que conectan su billetera, lo que resulta en la pérdida de activos.
Por lo tanto, al acceder a aplicaciones descentralizadas, los usuarios deben mantenerse alerta y evitar caer en las trampas de phishing en la web.
Antes de acceder a la aplicación, debe confirmar la corrección de la URL. Sugerencia:
Al abrir la página de la aplicación, también se debe realizar una verificación de seguridad en la barra de direcciones:
Actualmente, las principales billeteras de complementos en el mercado también han integrado ciertas funciones de advertencia de riesgos, que pueden mostrar advertencias fuertes al acceder a sitios web de riesgo.
3. Conectar billetera
Al ingresar a la aplicación, es posible que se active automáticamente o al hacer clic en Conectar para realizar la operación de conexión de la billetera. La billetera de complemento realizará algunas verificaciones y mostrará información relacionada con la aplicación actual.
Después de conectar la billetera, generalmente la aplicación no invocará activamente la billetera del plugin si el usuario no realiza otras operaciones. Si un sitio web solicita frecuentemente al iniciar sesión que se firme un mensaje o se firme una transacción, e incluso sigue apareciendo la solicitud de firma después de rechazarla, es muy probable que se trate de un sitio de phishing, y se debe manejar con precaución.
4. Firma de mensaje
En situaciones extremas, por ejemplo, si un atacante ataca el sitio web oficial del protocolo o realiza ataques de secuestro a través de la interfaz, reemplazando el contenido de la página. Es muy difícil para los usuarios comunes identificar la seguridad del sitio web en este tipo de escenarios.
En este momento, la firma de la billetera de plugin es la última barrera para que el usuario proteja sus propios activos. Siempre que se rechacen las firmas maliciosas, se puede garantizar que los activos del usuario no se pierdan. El usuario debe revisar cuidadosamente el contenido de la firma al firmar cualquier mensaje y transacción, y rechazar las firmas ciegas para evitar la pérdida de activos.
Los tipos de firma más comunes incluyen:
5. Firma de transacción
La firma de la transacción se utiliza para autorizar transacciones en la cadena, como transferencias o llamadas a contratos inteligentes. Los usuarios firman con su clave privada, y la red verifica la validez de la transacción. Actualmente, muchas billeteras de plugins decodifican los mensajes pendientes de firma y muestran el contenido relevante. Es importante seguir el principio de no firmar ciegamente. Consejo de seguridad:
Para los usuarios con ciertos conocimientos técnicos, también se pueden utilizar algunos métodos comunes de revisión manual: revisar el contrato objetivo de interacción copiando su dirección en un explorador de bloques, donde el contenido de la revisión incluye principalmente si el contrato es de código abierto, si ha habido un gran número de transacciones recientes y si se ha etiquetado oficialmente o como malicioso esa dirección, entre otros.
6. Procesamiento posterior a la transacción
Escapar de sitios web de phishing y firmas maliciosas no significa que todo esté bien; también se debe llevar a cabo la gestión de riesgos después de la transacción.
Después de la transacción, se debe verificar oportunamente el estado en la cadena de la transacción para confirmar si coincide con el estado esperado al momento de la firma. Si se detecta alguna anomalía, se deben realizar de inmediato operaciones de detención de pérdidas, como la transferencia de activos y la revocación de autorizaciones.
La gestión de la autorización ERC20 también es muy importante. En algunos casos, los usuarios otorgaron autorización de tokens a ciertos contratos y, años después, esos contratos fueron atacados. Los atacantes aprovecharon el límite de autorización de tokens del contrato atacado para robar los fondos de los usuarios. Para evitar tales situaciones, recomendamos a los usuarios que sigan los siguientes estándares para la prevención de riesgos:
Tres, Estrategia de Aislamiento de Fondos
Bajo la condición de tener conciencia de riesgos y haber tomado suficientes medidas de prevención de riesgos, también se recomienda realizar una efectiva separación de fondos para reducir el grado de daño a los fondos en situaciones extremas. La estrategia recomendada es la siguiente:
Si accidentalmente se produce una situación de phishing, recomendamos tomar inmediatamente las siguientes medidas para reducir las pérdidas:
Cuatro, cómo participar de manera segura en actividades de airdrop
El airdrop es una forma común de promoción de proyectos de blockchain, pero también conlleva riesgos. Aquí hay algunos consejos:
Cinco, selección y recomendaciones para el uso de herramientas de plugins
El contenido de las normas de seguridad de blockchain es extenso, y puede que no siempre sea posible realizar un examen minucioso en cada interacción. Elegir complementos seguros es crucial, ya que pueden ayudarnos a hacer juicios sobre riesgos. A continuación se presentan recomendaciones específicas:
Seis, Conclusión
Al seguir las pautas de seguridad de transacciones mencionadas anteriormente, los usuarios pueden interactuar de manera más tranquila en un ecosistema de blockchain cada vez más complejo, mejorando efectivamente su capacidad de protección de activos. Aunque la tecnología blockchain tiene como ventajas centrales la descentralización y la transparencia, esto también significa que los usuarios deben enfrentar de manera independiente múltiples riesgos, incluidos el phishing de firmas, la filtración de claves privadas y las aplicaciones maliciosas.
Para lograr una verdadera seguridad en la cadena, depender únicamente de herramientas de advertencia es insuficiente; establecer una conciencia de seguridad sistemática y hábitos operativos es clave. A través del uso de billeteras de hardware, la implementación de estrategias de aislamiento de fondos, la revisión periódica de autorizaciones y la actualización de complementos, así como la aplicación del concepto de "verificación múltiple, rechazo de firma ciega, aislamiento de fondos" en las operaciones de transacción, se puede lograr verdaderamente "subir a la cadena de forma libre y segura".