Guía de transacciones seguras en Web3: construir un sistema de defensa autónomo para activos on-chain

Con el desarrollo continuo del ecosistema blockchain, las transacciones on-chain se han convertido en una parte importante de las operaciones diarias de los usuarios de Web3. Los activos de los usuarios están acelerando su migración de plataformas centralizadas a redes descentralizadas, y esta tendencia significa que la responsabilidad de la seguridad de los activos se está transfiriendo gradualmente de las plataformas a los propios usuarios. En un entorno on-chain, los usuarios deben ser responsables de cada interacción, ya sea al importar una billetera, acceder a aplicaciones descentralizadas o firmar autorizaciones e iniciar transacciones; cualquier operación imprudente puede convertirse en un riesgo de seguridad, lo que podría provocar la filtración de claves privadas, abuso de autorizaciones o ataques de phishing, entre otras graves consecuencias.

A pesar de que las principales extensiones de billetera y navegadores han comenzado a integrar funciones como la identificación de phishing y alertas de riesgos, enfrentando técnicas de ataque cada vez más complejas, depender únicamente de defensas pasivas a través de herramientas todavía dificulta la completa evasión de riesgos. Para ayudar a los usuarios a identificar de manera más clara los puntos de riesgo potencial en las transacciones on-chain, hemos recopilado, basándonos en la experiencia práctica, los escenarios de alto riesgo a lo largo de todo el proceso y, junto con recomendaciones de protección y técnicas de uso de herramientas, hemos desarrollado un conjunto sistemático de guías de seguridad para transacciones on-chain, con el objetivo de ayudar a cada usuario de Web3 a construir una línea de defensa de seguridad "autónoma y controlable".

Principios fundamentales de una transacción segura:

• Rechaza la firma ciega: No firmes transacciones o mensajes que no entiendas.
• Verificación repetida: Antes de realizar cualquier transacción, asegúrese de verificar la precisión de la información relevante varias veces.

I. Sugerencias para transacciones seguras

La clave para proteger los activos digitales radica en realizar transacciones seguras. Los estudios muestran que el uso de billeteras seguras y la autenticación en dos pasos pueden reducir significativamente el riesgo. A continuación se presentan recomendaciones específicas:

• Elige una billetera segura: Prioriza proveedores de billeteras con buena reputación, como billeteras de hardware o billeteras de software conocidas. Las billeteras de hardware ofrecen almacenamiento fuera de línea, lo que reduce el riesgo de ataques en línea, y son adecuadas para almacenar grandes cantidades de activos.

• Verifique cuidadosamente los detalles de la transacción: Antes de confirmar la transacción, asegúrate de verificar la dirección de recepción, el monto y la red, para evitar pérdidas debido a errores de entrada.

• Habilitar la autenticación de dos factores: Si la plataforma de intercambio o la billetera admite la autenticación de dos factores, asegúrate de activarla para mejorar la seguridad de la cuenta, especialmente al usar billeteras calientes.

• Evitar el uso de Wi-Fi público: No realices transacciones en redes Wi-Fi públicas para evitar ataques de phishing y ataques de intermediarios.

Dos, ¿cómo realizar transacciones seguras?

Un proceso de transacción completo de una aplicación descentralizada incluye múltiples etapas: instalación de la billetera, acceso a la aplicación, conexión de la billetera, firma de mensajes, firma de transacciones y procesamiento posterior a la transacción. Cada etapa conlleva ciertos riesgos de seguridad, a continuación se presentarán las precauciones a tener en cuenta en la operación real.

1. Instalación de la billetera:

Actualmente, la forma principal de interactuar con las aplicaciones descentralizadas es a través de billeteras de navegador. Las billeteras más populares utilizadas en Ethereum y las cadenas compatibles incluyen una variedad de opciones.

Al instalar la billetera de la extensión de Chrome, es necesario asegurarse de descargarla desde la tienda de aplicaciones oficial y evitar la instalación desde sitios web de terceros, para prevenir la instalación de software de billetera con puertas traseras. Se recomienda a los usuarios que puedan hacerlo que utilicen una billetera de hardware en combinación, para aumentar aún más la seguridad en la custodia de las claves privadas.

Al instalar la frase de recuperación del monedero (que normalmente consta de 12 a 24 palabras), se recomienda almacenarla en un lugar físico seguro, lejos de dispositivos digitales, como escribirla en papel y guardarla en una caja de seguridad.

2. Acceder a aplicaciones descentralizadas

El phishing web es una técnica común en los ataques de Web3. Un caso típico es inducir a los usuarios a visitar aplicaciones de phishing bajo el pretexto de un airdrop, y después de que los usuarios conectan su billetera, se les induce a firmar autorizaciones de tokens, transacciones de transferencia o firmas de autorización de tokens, lo que resulta en la pérdida de activos.

Por lo tanto, al acceder a aplicaciones descentralizadas, los usuarios deben mantener una alta vigilancia para evitar caer en trampas de phishing en la web.

Antes de acceder a la aplicación, se debe confirmar la corrección de la URL. Sugerencia:

• Evite acceder directamente a través de motores de búsqueda: los atacantes de phishing pueden comprar espacios publicitarios para que sus sitios web de phishing aparezcan en los primeros lugares.
• Tenga cuidado al hacer clic en enlaces en las redes sociales: las URL publicadas en comentarios o mensajes pueden ser enlaces de phishing.
• Verificar la precisión de la URL de la aplicación a través de múltiples canales, como mercados de aplicaciones descentralizadas y cuentas oficiales de redes sociales del proyecto.
• Agregar el sitio web seguro a los marcadores del navegador: acceder directamente desde los marcadores más tarde.

Después de abrir la página web de la aplicación, también es necesario realizar una verificación de seguridad en la barra de direcciones:

• Verifique si el dominio y la URL tienen imitaciones similares.
• Asegúrate de que sea un enlace HTTPS, el navegador debe mostrar el símbolo de candado 🔒.

Las principales billeteras de complementos en el mercado actualmente también han integrado ciertas funciones de advertencia de riesgos, que pueden mostrar recordatorios fuertes al acceder a sitios web de riesgo.

3. Conectar la billetera

Al ingresar a la aplicación, se puede activar la operación de conectar la billetera automáticamente o al hacer clic en el botón de conexión. La billetera de complemento realizará algunas verificaciones y mostrará información relacionada con la aplicación actual.

Después de conectar la billetera, normalmente la aplicación no activará proactivamente la billetera del plugin si el usuario no realiza otras acciones. Si el sitio web solicita frecuentemente la firma de mensajes y la firma de transacciones después de iniciar sesión, e incluso sigue apareciendo solicitudes de firma después de rechazar la firma, es muy probable que sea un sitio web de phishing y se debe manejar con precaución.

4. Firma de mensajes

En situaciones extremas, como cuando un atacante ha logrado infiltrarse en el sitio web oficial del protocolo o ha realizado ataques de secuestro a través del front-end, es difícil para los usuarios comunes identificar la seguridad del sitio web en este tipo de escenarios.

En este momento, la firma de la billetera de plugin es la última línea de defensa del usuario para proteger sus activos. Siempre que se rechacen las firmas maliciosas, se puede garantizar la seguridad de los activos. Los usuarios deben revisar cuidadosamente el contenido de la firma al firmar cualquier mensaje y transacción, y rechazar la firma ciega para evitar pérdidas de activos.

Los tipos de firma comunes incluyen:

• Firmar datos de hash
• La firma de información en texto claro es más común durante la verificación de inicio de sesión del usuario o la confirmación del acuerdo de licencia.
• Firma de datos estructurados, comúnmente utilizada para permisos de tokens, órdenes de NFT, etc.

5. Firma de la transacción

La firma de transacciones se utiliza para autorizar transacciones en la cadena de bloques, como transferencias o invocaciones de contratos inteligentes. Los usuarios firman con su clave privada, y la red verifica la validez de la transacción. Actualmente, muchas billeteras de complementos decodifican el mensaje pendiente de firma y muestran el contenido relevante, es importante seguir el principio de no firmar ciegamente, sugerencias de seguridad:

• Verifica cuidadosamente la dirección del destinatario, el monto y la red para evitar errores.
• Se recomienda utilizar el método de firma fuera de línea para transacciones grandes, a fin de reducir el riesgo de ataques en línea.
• Presta atención a las tarifas de gas, asegúrate de que sean razonables y evita posibles estafas.

Para los usuarios con ciertas habilidades técnicas, también se pueden adoptar algunos métodos comunes de verificación manual: revisar el contrato objetivo de interacción copiando su dirección en un explorador de blockchain, donde los principales contenidos a verificar incluyen si el contrato es de código abierto, si ha habido un gran número de transacciones recientes y si el explorador ha añadido una etiqueta oficial o una etiqueta maliciosa a esa dirección.

6. Procesamiento posterior a la transacción

Incluso si se logra evitar páginas de phishing y firmas maliciosas, aún se necesita gestionar el riesgo después de la transacción.

Después de la transacción, se debe verificar a tiempo el estado on-chain de la transacción y confirmar si coincide con el estado esperado al momento de la firma. Si se detecta alguna anomalía, se deben realizar de inmediato operaciones de detención de pérdidas, como la transferencia de activos y la revocación de autorizaciones.

La gestión de la autorización de tokens también es muy importante. En algunos casos, después de que los usuarios autorizaron tokens para ciertos contratos, años después, esos contratos fueron atacados y los atacantes aprovecharon el límite de autorización de tokens del contrato atacado para robar los fondos de los usuarios. Para evitar tales situaciones, se recomienda a los usuarios seguir los siguientes estándares para prevenir riesgos:

• Minimizar la autorización. Al autorizar tokens, se debe autorizar una cantidad limitada de tokens correspondiente a la necesidad de la transacción. Por ejemplo, si una transacción requiere autorizar 100 tokens, la cantidad autorizada debe limitarse a 100, y no se debe utilizar la autorización ilimitada predeterminada.
• Revocar a tiempo las autorizaciones de tokens innecesarias. Los usuarios pueden consultar el estado de autorización de la dirección correspondiente a través de herramientas especializadas, revocar las autorizaciones de los protocolos que no han tenido interacción durante mucho tiempo, para prevenir que los protocolos tengan vulnerabilidades que puedan resultar en pérdidas de activos debido al uso de los límites de autorización del usuario.

Tres, estrategia de aislamiento de fondos

Bajo la conciencia de riesgos y habiendo tomado las debidas medidas de prevención, también se recomienda realizar una efectiva segregación de fondos, con el fin de reducir el grado de daño de los fondos en situaciones extremas. Las estrategias recomendadas son las siguientes:

• Utilizar carteras multisig o carteras frías para almacenar activos de gran valor;
• Utilizar una billetera de plugin o una billetera común como billetera caliente para interacciones diarias;
• Cambiar regularmente la dirección del monedero caliente para evitar que la dirección esté expuesta continuamente a un entorno de riesgo.

Si desafortunadamente sufres un ataque de phishing, se recomienda ejecutar inmediatamente las siguientes medidas para reducir las pérdidas:

• Utiliza herramientas especializadas para revocar autorizaciones de alto riesgo;
• Si se ha firmado una firma de licencia pero el activo aún no se ha transferido, se puede iniciar de inmediato una nueva firma para invalidar la firma anterior;
• Si es necesario, transfiera rápidamente los activos restantes a una nueva dirección o a una billetera fría.

Cuatro, cómo participar de manera segura en actividades de airdrop

El airdrop es una forma común de promoción de proyectos de blockchain, pero también conlleva riesgos. A continuación se presentan algunos consejos:

• Investigación de antecedentes del proyecto: asegurarse de que el proyecto tenga un libro blanco claro, información del equipo pública y reputación en la comunidad;
• Utilizar una dirección dedicada: registrar una billetera y un correo electrónico dedicados, para aislar el riesgo de la cuenta principal;
• Cuidado al hacer clic en enlaces: obtenga información sobre airdrops solo a través de canales oficiales, evite hacer clic en enlaces sospechosos en plataformas sociales;

Cinco, Sugerencias para la Selección y Uso de Herramientas de Complemento

El contenido de las normas de seguridad de blockchain es extenso y puede ser difícil realizar una revisión exhaustiva en cada interacción. Es crucial elegir complementos seguros que nos ayuden a evaluar los riesgos. A continuación se presentan recomendaciones específicas:

• Utilizar extensiones confiables: elige extensiones de navegador que tengan una alta tasa de uso y sean ampliamente reconocidas. Estos complementos ofrecen funciones de billetera y admiten la interacción con aplicaciones descentralizadas.
• Verificación de calificación: antes de instalar un nuevo complemento, revisa la calificación de los usuarios y la cantidad de instalaciones. Una alta calificación y un gran número de instalaciones generalmente indican que el complemento es más confiable, lo que reduce el riesgo de código malicioso.
• Mantener actualizado: actualice regularmente los complementos para obtener las últimas funciones de seguridad y correcciones. Los complementos obsoletos pueden contener vulnerabilidades conocidas que son fácilmente explotables por los atacantes.

Seis, resumen

Al seguir las pautas de seguridad para transacciones mencionadas anteriormente, los usuarios pueden interactuar con mayor tranquilidad en un ecosistema de blockchain cada vez más complejo, mejorando efectivamente su capacidad de protección de activos. Aunque la tecnología blockchain tiene como ventajas centrales la descentralización y la transparencia, esto también significa que los usuarios deben enfrentar de manera independiente múltiples riesgos, incluyendo phishing de firmas, filtración de claves privadas y aplicaciones maliciosas.

Para lograr una verdadera seguridad on-chain, depender únicamente de herramientas de aviso no es suficiente; establecer una conciencia de seguridad sistemática y hábitos operativos es la clave. A través del uso de billeteras de hardware, la implementación de estrategias de aislamiento de fondos, la revisión periódica de autorizaciones y la actualización de complementos, así como la incorporación del concepto de "verificación múltiple, rechazo de firmas ciegas, aislamiento de fondos" en las operaciones de transacción, se puede lograr realmente "subir a la cadena de manera libre y segura".