З розвитком екосистеми блокчейну, у блокчейні транзакції стали важливою складовою щоденних операцій користувачів Web3. Активи користувачів поступово переходять з централізованих платформ до децентралізованих мереж, і ця тенденція також означає, що відповідальність за безпеку активів переходить від платформи до самих користувачів. У блокчейн-середовищі користувачі повинні нести відповідальність за кожну свою взаємодію, незалежно від того, чи це імпорт гаманця, доступ до децентралізованих додатків, чи підписання авторизацій та ініціювання транзакцій; будь-яка необережна дія може призвести до загрози безпеці, що може викликати витік приватного ключа, зловживання авторизацією або серйозні наслідки, такі як фішингові атаки.
Хоча наразі основні плагіни гаманців і браузерів поступово інтегрують функції виявлення фішингу, сповіщення про ризики тощо, проте, стикаючись із дедалі складнішими методами атак, лише покладаючись на пасивний захист інструментів, все ще важко повністю уникнути ризиків. Щоб допомогти користувачам краще визначати потенційні ризикові точки в транзакціях у блокчейні, ми на основі практичного досвіду систематизували всі процеси з високим ризиком і, поєднуючи рекомендації щодо захисту та поради щодо використання інструментів, розробили цілу систему безпеки транзакцій у блокчейні, метою якої є допомогти кожному користувачеві Web3 побудувати "автономний" захисний бар'єр.
Основні принципи безпечної торгівлі:
Відмовтеся від сліпого підписання: не підписуйте угоди або повідомлення, які ви не розумієте.
Повторна перевірка: перед проведенням будь-якої транзакції обов'язково кілька разів перевірте точність відповідної інформації.
Один, рекомендації щодо безпечної торгівлі
Безпечна торгівля є ключем до захисту цифрових активів. Дослідження показують, що використання безпечних гаманців та двоетапної перевірки (2FA) може значно знизити ризики. Ось конкретні рекомендації:
Використовуйте безпечний гаманець:
Вибирайте постачальників гаманців з хорошою репутацією, таких як апаратні гаманці або відомі програмні гаманці. Апаратні гаманці забезпечують офлайн-зберігання, що знижує ризик онлайн-атак, і підходять для зберігання великих активів.
Перевірте деталі транзакції двічі:
Перед підтвердженням транзакції завжди перевіряйте адресу отримання, суму та мережу (наприклад, переконайтеся, що ви використовуєте правильну у блокчейні, таку як Ethereum або іншу сумісну мережу тощо), щоб уникнути втрат через помилки введення.
Увімкніть двофакторну аутентифікацію (2FA):
Якщо торгова платформа або гаманець підтримує 2FA, обов'язково увімкніть його для підвищення безпеки облікового запису, особливо при використанні гарячого гаманця.
Уникайте використання громадського Wi-Fi:
Не проводьте транзакції в публічних мережах Wi-Fi, щоб уникнути фішингових атак та атак посередників.
Два, як здійснити безпечну угоду
Повний процес торгівлі децентралізованим додатком містить кілька етапів: установка гаманця, доступ до додатку, підключення гаманця, підписування повідомлення, підписування транзакції, обробка після транзакції. Кожен етап має певні ризики безпеки, нижче будуть представлені застереження щодо реальних операцій.
1. Встановлення гаманця:
Наразі основним способом використання децентралізованих застосунків є взаємодія через браузерні плагіни гаманців. Основні гаманці, що використовуються в Ethereum та сумісних ланцюгах, включають кілька варіантів.
При встановленні гаманця плагіну Chrome необхідно підтвердити, що ви завантажуєте його з офіційного магазину програм, щоб уникнути встановлення з сторонніх сайтів і не потрапити на гаманець з бекдором. Користувачам з можливостями рекомендується комбінувати використання апаратного гаманця, щоб ще більше підвищити загальну безпеку зберігання приватних ключів.
При встановленні резервної фрази для гаманця (зазвичай це від 12 до 24 слів), рекомендується зберігати її в безпечному місці, подалі від цифрових пристроїв (наприклад, записати на папері та зберегти в сейфі).
2. Відвідування децентралізованих додатків
Фішинг у вебі є поширеним методом атак у Web3. Типовий випадок полягає в тому, щоб під приводом аердропу спонукати користувачів відвідати фішингові додатки, після чого спонукати їх підписати авторизацію токенів, транзакцію переказу або підпис токена, що призводить до втрати активів.
Тому, під час відвідування децентралізованих додатків, користувачам слід бути обережними, щоб уникнути потрапляння в пастки веб-фішингу.
Перед доступом до застосунку слід підтвердити правильність адреси веб-сайту. Рекомендується:
Уникайте прямого доступу через пошукові системи: зловмисники можуть підвищити рейтинг своїх фішингових сайтів, купуючи рекламні місця.
Уникайте натискання на посилання в соціальних мережах: URL-адреси, опубліковані в коментарях або повідомленнях, можуть бути фішинговими.
Повторно перевірте правильність адреси застосунку: можна перевірити через кілька надійних платформ даних, офіційні облікові записи соціальних мереж проєкту та інші джерела.
Додайте безпечний сайт до закладок браузера: у подальшому відвідуйте безпосередньо з закладок.
Після відкриття веб-сторінки програми також потрібно перевірити адресний рядок на безпеку:
Перевірте, чи домен та URL схожі на підроблені.
Перевірте, чи є це посиланням HTTPS, браузер має показувати значок замка🔒.
Наразі на ринку основні плагін-гаманці також інтегрували певні функції попередження про ризики, які можуть відображати сильне попередження при відвідуванні ризикових веб-сайтів.
3. Підключити гаманець
Після входу в застосунок може автоматично або після активного натискання кнопки Connect розпочатися операція підключення гаманця. Плагін-гаманець проведе певні перевірки, а також відобразить інформацію для поточного застосунку.
Після підключення гаманця, зазвичай, коли користувач не виконує інших дій, додаток не буде активно викликати плагін-гаманець. Якщо веб-сайт після входу часто викликає гаманець для підписання повідомлень, підписання транзакцій, навіть після відмови від підписання, і далі постійно з'являються запити на підпис, це, ймовірно, є випадком фішингового сайту, і з цим потрібно бути обережним.
4. Підпис повідомлення
В екстремальних випадках, наприклад, якщо зловмисник атакує офіційний веб-сайт протоколу або зазнає атак через захоплення фронтенду, вміст сторінки може бути замінено. Звичайним користувачам дуже важко в таких випадках визначити безпеку сайту.
На даний момент підпис плагіна-гаманця є останнім бар'єром для користувачів у збереженні своїх активів. Якщо відхилити зловмисний підпис, можна захистити свої активи від втрат. Користувачі повинні ретельно перевіряти вміст підпису при підписанні будь-яких повідомлень та транзакцій, відхиляючи сліпі підписи, щоб уникнути втрати активів.
Звичні типи підписів включають:
eth_sign: підписати хешовані дані.
personal_sign: підписання відкритої інформації, найчастіше використовується під час перевірки входу користувача або підтвердження угоди про дозвіл.
eth_signTypedData (EIP-712): підписання структурованих даних, часто використовується для Permit ERC20, NFT лістингів тощо.
5. Підпис交易
Підпис угоди використовується для авторизації транзакцій у блокчейні, таких як перекази або виклики смарт-контрактів. Користувач підписує приватним ключем, мережа перевіряє дійсність транзакції. Наразі багато плагін-гаманець декодують повідомлення, що підлягають підпису, і відображають відповідний контент, обов'язково дотримуйтесь принципу не сліпого підпису, рекомендації безпеки:
Уважно перевірте адресу отримувача, суму та мережу, щоб уникнути помилок.
Рекомендується використовувати офлайн-підпис для великих транзакцій, щоб зменшити ризик онлайн-атак.
Зверніть увагу на витрати газу, щоб вони були розумними, уникайте шахрайства.
Для користувачів з певним технічним запасом також можна використовувати деякі звичайні методи ручної перевірки: скопіювати адресу цільового контракту в блокчейн-браузер для перевірки, зміст перевірки в основному включає, чи є контракт відкритим, чи відбувалися нещодавно великі обсяги угод, а також чи має ця адреса офіційну мітку або мітку зловмисника.
6. Обробка після угоди
Уникнення фішингових веб-сторінок та шкідливих підписів ще не означає, що все пройшло гладко, після угоди також потрібно проводити управління ризиками.
Після交易 слід своєчасно перевіряти стан запису в у блокчейні, щоб підтвердити, чи відповідає він очікуваному стану під час підписання. Якщо виявлено аномалії, слід терміново провести операції з переміщення активів, скасування авторизації та інші заходи для обмеження збитків.
Управління дозволами ERC20 також є надзвичайно важливим. У деяких випадках користувачі надали токен-авторизацію певним контрактам, але через кілька років ці контракти зазнали атаки, і зловмисники використали обсяги токен-авторизації атакованих контрактів для крадіжки коштів користувачів. Щоб уникнути таких ситуацій, ми рекомендуємо користувачам дотримуватися наступних стандартів для запобігання ризикам:
Мінімізація авторизації. Під час авторизації токенів слід відповідно до потреб транзакції обмежити кількість авторизованих токенів. Якщо для певної транзакції потрібна авторизація 100 USDT, то ця кількість авторизації має бути обмежена 100 USDT, а не використовувати за замовчуванням необмежену авторизацію.
Вчасно скасовуйте непотрібні авторизації токенів. Користувачі можуть увійти в відповідні інструменти, щоб перевірити стан авторизації відповідних адрес, скасовуючи авторизацію протоколів, з якими не було взаємодії протягом тривалого часу, щоб запобігти подальшим вразливостям у протоколі, які можуть призвести до використання авторизаційних лімітів користувача та втрати активів.
Три, стратегія ізоляції коштів
При наявності усвідомлення ризиків та достатніх заходів для їх запобігання також рекомендується здійснити ефективну ізоляцію коштів, щоб зменшити ступінь їх можливих втрат у крайніх випадках. Рекомендуються такі стратегії:
Використовуйте мульти-підписний гаманець або холодний гаманець для зберігання великих активів;
Використовуйте плагінний гаманець або EOA-гаманець як гарячий гаманець для щоденних взаємодій;
Регулярно змінюйте адреси гарячих гаманців, щоб уникнути постійного впливу ризикового середовища.
Якщо випадково дійсно сталася ситуація з фішингом, ми рекомендуємо негайно виконати такі заходи, щоб зменшити втрати:
Використовуйте відповідні інструменти для скасування високоризикових дозволів;
Якщо підписано permit, але активи ще не були передані, можна негайно ініціювати новий підпис, щоб зробити старий підпис nonce недійсним;
У разі необхідності, швидко переведіть залишкові активи на нову адресу або холодний гаманець.
Чотири, як безпечно брати участь в аірдроп-акціях
Аірдропи є поширеним способом просування блокчейн-проєктів, але в них також є приховані ризики. Ось кілька порад:
Дослідження фонду проекту: забезпечити наявність чіткого білого паперу, відкритої інформації про команду та репутації спільноти;
Використовуйте спеціальні адреси: зареєструйте спеціальний гаманець і електронну пошту, щоб ізолювати ризики основного рахунку;
Обережно натискайте на посилання: отримуйте інформацію про аірдроп лише через офіційні канали, уникайте натискання на підозрілі посилання в соціальних мережах;
П'ять. Рекомендації щодо вибору та використання інструментів плагінів
Вміст правил безпеки у блокчейні є досить великим, і, можливо, не завжди вдається детально перевіряти кожну взаємодію. Вибір безпечних плагінів є вкрай важливим, оскільки вони можуть допомогти нам оцінити ризики. Ось конкретні поради:
Довірені розширення: використовуйте розширення браузера, які мають високу загальну популярність. Ці плагіни надають функції гаманця і підтримують взаємодію з децентралізованими додатками.
Перевірка рейтингу: перед встановленням нового плагіна перевірте рейтинг користувачів та кількість установок. Високий рейтинг та велика кількість установок зазвичай вказують на те, що плагін є більш надійним, що зменшує ризик наявності шкідливого коду.
Тримайтеся в курсі: регулярно оновлюйте свої плагіни, щоб отримати найновіші функції безпеки та виправлення. Прострочені плагіни можуть містити відомі вразливості, які легко можуть бути використані зловмисниками.
Шість, висновок
Дотримуючись наведених вище рекомендацій щодо безпечних транзакцій, користувачі можуть більш впевнено взаємодіяти в усе більш складному екосистемі блокчейну, справді підвищуючи здатність захисту активів. Хоча технологія блокчейн має своїм основним перевагами децентралізацію та прозорість, це також означає, що користувачі повинні самостійно справлятися з багатьма ризиками, включаючи фішинг підписів, витік приватних ключів, зловмисні додатки.
Щоб досягти справжньої безпеки у блокчейні, покладатися лише на нагадування інструментів явно недостатньо; ключовим є формування системного усвідомлення безпеки та звичок роботи. Використовуючи апаратні гаманці, впроваджуючи стратегії ізоляції коштів, регулярно перевіряючи авторизацію та оновлюючи плагіни, а також дотримуючись принципів "багатофакторної аутентифікації, відмови від сліпих підписів, ізоляції коштів" під час операцій, можна досягти справжнього "вільного та безпечного виходу на блокчейн".
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
10 лайків
Нагородити
10
4
Репост
Поділіться
Прокоментувати
0/400
DeFiChef
· 07-27 15:22
Гаманець також буде ловити рибу, всі будьте обережні.
Переглянути оригіналвідповісти на0
governance_ghost
· 07-25 13:11
Всі повинні покладатися на себе, панікувати на повну катушку.
Опанування безпеки交易 Блокчейн створення системи захисту активів Web3
Посібник з безпеки транзакцій Web3 у блокчейні
З розвитком екосистеми блокчейну, у блокчейні транзакції стали важливою складовою щоденних операцій користувачів Web3. Активи користувачів поступово переходять з централізованих платформ до децентралізованих мереж, і ця тенденція також означає, що відповідальність за безпеку активів переходить від платформи до самих користувачів. У блокчейн-середовищі користувачі повинні нести відповідальність за кожну свою взаємодію, незалежно від того, чи це імпорт гаманця, доступ до децентралізованих додатків, чи підписання авторизацій та ініціювання транзакцій; будь-яка необережна дія може призвести до загрози безпеці, що може викликати витік приватного ключа, зловживання авторизацією або серйозні наслідки, такі як фішингові атаки.
Хоча наразі основні плагіни гаманців і браузерів поступово інтегрують функції виявлення фішингу, сповіщення про ризики тощо, проте, стикаючись із дедалі складнішими методами атак, лише покладаючись на пасивний захист інструментів, все ще важко повністю уникнути ризиків. Щоб допомогти користувачам краще визначати потенційні ризикові точки в транзакціях у блокчейні, ми на основі практичного досвіду систематизували всі процеси з високим ризиком і, поєднуючи рекомендації щодо захисту та поради щодо використання інструментів, розробили цілу систему безпеки транзакцій у блокчейні, метою якої є допомогти кожному користувачеві Web3 побудувати "автономний" захисний бар'єр.
Основні принципи безпечної торгівлі:
Один, рекомендації щодо безпечної торгівлі
Безпечна торгівля є ключем до захисту цифрових активів. Дослідження показують, що використання безпечних гаманців та двоетапної перевірки (2FA) може значно знизити ризики. Ось конкретні рекомендації:
Вибирайте постачальників гаманців з хорошою репутацією, таких як апаратні гаманці або відомі програмні гаманці. Апаратні гаманці забезпечують офлайн-зберігання, що знижує ризик онлайн-атак, і підходять для зберігання великих активів.
Перед підтвердженням транзакції завжди перевіряйте адресу отримання, суму та мережу (наприклад, переконайтеся, що ви використовуєте правильну у блокчейні, таку як Ethereum або іншу сумісну мережу тощо), щоб уникнути втрат через помилки введення.
Якщо торгова платформа або гаманець підтримує 2FA, обов'язково увімкніть його для підвищення безпеки облікового запису, особливо при використанні гарячого гаманця.
Не проводьте транзакції в публічних мережах Wi-Fi, щоб уникнути фішингових атак та атак посередників.
Два, як здійснити безпечну угоду
Повний процес торгівлі децентралізованим додатком містить кілька етапів: установка гаманця, доступ до додатку, підключення гаманця, підписування повідомлення, підписування транзакції, обробка після транзакції. Кожен етап має певні ризики безпеки, нижче будуть представлені застереження щодо реальних операцій.
1. Встановлення гаманця:
Наразі основним способом використання децентралізованих застосунків є взаємодія через браузерні плагіни гаманців. Основні гаманці, що використовуються в Ethereum та сумісних ланцюгах, включають кілька варіантів.
При встановленні гаманця плагіну Chrome необхідно підтвердити, що ви завантажуєте його з офіційного магазину програм, щоб уникнути встановлення з сторонніх сайтів і не потрапити на гаманець з бекдором. Користувачам з можливостями рекомендується комбінувати використання апаратного гаманця, щоб ще більше підвищити загальну безпеку зберігання приватних ключів.
При встановленні резервної фрази для гаманця (зазвичай це від 12 до 24 слів), рекомендується зберігати її в безпечному місці, подалі від цифрових пристроїв (наприклад, записати на папері та зберегти в сейфі).
2. Відвідування децентралізованих додатків
Фішинг у вебі є поширеним методом атак у Web3. Типовий випадок полягає в тому, щоб під приводом аердропу спонукати користувачів відвідати фішингові додатки, після чого спонукати їх підписати авторизацію токенів, транзакцію переказу або підпис токена, що призводить до втрати активів.
Тому, під час відвідування децентралізованих додатків, користувачам слід бути обережними, щоб уникнути потрапляння в пастки веб-фішингу.
Перед доступом до застосунку слід підтвердити правильність адреси веб-сайту. Рекомендується:
Після відкриття веб-сторінки програми також потрібно перевірити адресний рядок на безпеку:
Наразі на ринку основні плагін-гаманці також інтегрували певні функції попередження про ризики, які можуть відображати сильне попередження при відвідуванні ризикових веб-сайтів.
3. Підключити гаманець
Після входу в застосунок може автоматично або після активного натискання кнопки Connect розпочатися операція підключення гаманця. Плагін-гаманець проведе певні перевірки, а також відобразить інформацію для поточного застосунку.
Після підключення гаманця, зазвичай, коли користувач не виконує інших дій, додаток не буде активно викликати плагін-гаманець. Якщо веб-сайт після входу часто викликає гаманець для підписання повідомлень, підписання транзакцій, навіть після відмови від підписання, і далі постійно з'являються запити на підпис, це, ймовірно, є випадком фішингового сайту, і з цим потрібно бути обережним.
4. Підпис повідомлення
В екстремальних випадках, наприклад, якщо зловмисник атакує офіційний веб-сайт протоколу або зазнає атак через захоплення фронтенду, вміст сторінки може бути замінено. Звичайним користувачам дуже важко в таких випадках визначити безпеку сайту.
На даний момент підпис плагіна-гаманця є останнім бар'єром для користувачів у збереженні своїх активів. Якщо відхилити зловмисний підпис, можна захистити свої активи від втрат. Користувачі повинні ретельно перевіряти вміст підпису при підписанні будь-яких повідомлень та транзакцій, відхиляючи сліпі підписи, щоб уникнути втрати активів.
Звичні типи підписів включають:
5. Підпис交易
Підпис угоди використовується для авторизації транзакцій у блокчейні, таких як перекази або виклики смарт-контрактів. Користувач підписує приватним ключем, мережа перевіряє дійсність транзакції. Наразі багато плагін-гаманець декодують повідомлення, що підлягають підпису, і відображають відповідний контент, обов'язково дотримуйтесь принципу не сліпого підпису, рекомендації безпеки:
Для користувачів з певним технічним запасом також можна використовувати деякі звичайні методи ручної перевірки: скопіювати адресу цільового контракту в блокчейн-браузер для перевірки, зміст перевірки в основному включає, чи є контракт відкритим, чи відбувалися нещодавно великі обсяги угод, а також чи має ця адреса офіційну мітку або мітку зловмисника.
6. Обробка після угоди
Уникнення фішингових веб-сторінок та шкідливих підписів ще не означає, що все пройшло гладко, після угоди також потрібно проводити управління ризиками.
Після交易 слід своєчасно перевіряти стан запису в у блокчейні, щоб підтвердити, чи відповідає він очікуваному стану під час підписання. Якщо виявлено аномалії, слід терміново провести операції з переміщення активів, скасування авторизації та інші заходи для обмеження збитків.
Управління дозволами ERC20 також є надзвичайно важливим. У деяких випадках користувачі надали токен-авторизацію певним контрактам, але через кілька років ці контракти зазнали атаки, і зловмисники використали обсяги токен-авторизації атакованих контрактів для крадіжки коштів користувачів. Щоб уникнути таких ситуацій, ми рекомендуємо користувачам дотримуватися наступних стандартів для запобігання ризикам:
Три, стратегія ізоляції коштів
При наявності усвідомлення ризиків та достатніх заходів для їх запобігання також рекомендується здійснити ефективну ізоляцію коштів, щоб зменшити ступінь їх можливих втрат у крайніх випадках. Рекомендуються такі стратегії:
Якщо випадково дійсно сталася ситуація з фішингом, ми рекомендуємо негайно виконати такі заходи, щоб зменшити втрати:
Чотири, як безпечно брати участь в аірдроп-акціях
Аірдропи є поширеним способом просування блокчейн-проєктів, але в них також є приховані ризики. Ось кілька порад:
П'ять. Рекомендації щодо вибору та використання інструментів плагінів
Вміст правил безпеки у блокчейні є досить великим, і, можливо, не завжди вдається детально перевіряти кожну взаємодію. Вибір безпечних плагінів є вкрай важливим, оскільки вони можуть допомогти нам оцінити ризики. Ось конкретні поради:
Шість, висновок
Дотримуючись наведених вище рекомендацій щодо безпечних транзакцій, користувачі можуть більш впевнено взаємодіяти в усе більш складному екосистемі блокчейну, справді підвищуючи здатність захисту активів. Хоча технологія блокчейн має своїм основним перевагами децентралізацію та прозорість, це також означає, що користувачі повинні самостійно справлятися з багатьма ризиками, включаючи фішинг підписів, витік приватних ключів, зловмисні додатки.
Щоб досягти справжньої безпеки у блокчейні, покладатися лише на нагадування інструментів явно недостатньо; ключовим є формування системного усвідомлення безпеки та звичок роботи. Використовуючи апаратні гаманці, впроваджуючи стратегії ізоляції коштів, регулярно перевіряючи авторизацію та оновлюючи плагіни, а також дотримуючись принципів "багатофакторної аутентифікації, відмови від сліпих підписів, ізоляції коштів" під час операцій, можна досягти справжнього "вільного та безпечного виходу на блокчейн".