Guia de Negociação Segura Web3: Construindo um Sistema de Autoproteção para Ativos na Cadeia

Com o contínuo desenvolvimento do ecossistema blockchain, as transações na cadeia tornaram-se uma parte importante das operações diárias dos usuários do Web3. Os ativos dos usuários estão acelerando a migração das plataformas centralizadas para redes descentralizadas, e essa tendência significa que a responsabilidade pela segurança dos ativos está gradualmente se transferindo das plataformas para os próprios usuários. Em um ambiente na cadeia, os usuários precisam ser responsáveis por cada interação, seja importando uma carteira, acessando aplicativos descentralizados, ou autorizando e iniciando transações; qualquer operação imprudente pode se tornar uma ameaça à segurança, resultando em vazamento de chaves privadas, abuso de autorização ou ataques de phishing, entre outras consequências graves.

Embora atualmente os plugins de carteira e os navegadores principais estejam gradualmente integrando funções como reconhecimento de phishing e alertas de risco, enfrentar técnicas de ataque cada vez mais complexas apenas com a defesa passiva das ferramentas ainda torna difícil evitar completamente os riscos. Para ajudar os usuários a identificar mais claramente os pontos de risco potenciais nas transações na cadeia, com base em nossa experiência prática, mapeamos cenários de risco frequentes ao longo de todo o processo e, em conjunto com recomendações de proteção e dicas de uso de ferramentas, desenvolvemos um guia sistemático de segurança para transações na cadeia, com o objetivo de ajudar cada usuário do Web3 a construir uma linha de defesa "autônoma e controlável".

Princípios fundamentais para transações seguras:

• Recusar a assinatura cega: não assine transações ou mensagens que não compreenda.
• Verificação repetida: Antes de realizar qualquer transação, certifique-se de verificar várias vezes a precisão das informações relevantes.

Um, Sugestões para Transações Seguras

A chave para proteger os ativos digitais está nas transações seguras. Estudos mostram que o uso de carteiras seguras e autenticação dupla pode reduzir significativamente o risco. Aqui estão algumas recomendações específicas:

• Escolha uma carteira segura: Priorize fornecedores de carteiras com boa reputação, como carteiras de hardware ou carteiras de software conhecidas. As carteiras de hardware oferecem armazenamento offline, reduzindo o risco de ataques online, sendo adequadas para armazenar grandes quantidades de ativos.

• Verifique atentamente os detalhes da transação: Antes de confirmar a transação, certifique-se de verificar o endereço de recepção, o montante e a rede, para evitar perdas devido a erros de entrada.

• Ativar autenticação em dois fatores: Se a plataforma de negociação ou a carteira suportar a autenticação dupla, certifique-se de ativá-la para aumentar a segurança da conta, especialmente ao usar carteiras quentes.

• Evite usar Wi-Fi público: Não faça transações em redes Wi-Fi públicas para evitar ataques de phishing e ataques de intermediários.

Dois, como realizar transações seguras

Um fluxo de transação de aplicativo descentralizado completo inclui várias etapas: instalação da carteira, acesso ao aplicativo, conexão da carteira, assinatura de mensagem, assinatura de transação e tratamento pós-transação. Cada etapa apresenta certos riscos de segurança, e a seguir serão apresentadas as precauções a serem tomadas durante a operação prática.

1. Instalação da carteira:

Atualmente, a forma principal de interação com aplicações descentralizadas é através de carteiras de plugin de navegador. As principais carteiras utilizadas na Ethereum e em cadeias compatíveis incluem várias opções.

Ao instalar a carteira de extensão do Chrome, é necessário garantir que seja feita a instalação a partir da loja de aplicativos oficial, evitando a instalação a partir de sites de terceiros, para prevenir a instalação de software de carteira com backdoors. Recomenda-se que os usuários, se possível, utilizem uma carteira de hardware em conjunto, para aumentar ainda mais a segurança do armazenamento das chaves privadas.

Ao instalar a frase de recuperação do backup da carteira (geralmente composta por 12 a 24 palavras), recomenda-se armazená-la em um local físico seguro, longe de dispositivos digitais, como escrevê-la em papel e guardá-la em um cofre.

2. Aceder a aplicações descentralizadas

A pesca na web é uma técnica comum em ataques Web3. Um caso típico é induzir os usuários a visitar aplicações de phishing sob o pretexto de airdrops, e após conectar a carteira, induzi-los a assinar autorizações de tokens, transações de transferência ou assinaturas de autorização de tokens, resultando em perdas de ativos.

Portanto, ao acessar aplicativos descentralizados, os usuários devem manter uma vigilância elevada para evitar cair nas armadilhas de phishing na web.

Antes de aceder à aplicação, deve confirmar a correção do endereço da web. Sugestão:

• Evite acessar diretamente através de motores de busca: atacantes de phishing podem comprar espaços publicitários para fazer com que seus sites de phishing apareçam nas primeiras posições.
• Cuidado ao clicar em links nas redes sociais: os URLs publicados em comentários ou mensagens podem ser links de phishing.
• Verificar a precisão do endereço da aplicação em várias fontes: pode-se confirmar através de mercados de aplicações descentralizadas, contas oficiais de redes sociais do projeto e outros canais.
• Adicione sites seguros aos favoritos do navegador: acesse diretamente a partir dos favoritos a seguir.

Após abrir a página da aplicação, é necessário realizar uma verificação de segurança na barra de endereços:

• Verifique se o domínio e o URL têm semelhanças com falsificações.
• Confirme se é um link HTTPS, o navegador deve mostrar o ícone de cadeado 🔒.

Atualmente, as principais carteiras de plugins no mercado também integram uma certa funcionalidade de aviso de risco, podendo exibir um alerta forte ao acessar sites de risco.

3. Conectar carteira

Após entrar na aplicação, a operação de conectar a carteira pode ser acionada automaticamente ou após clicar proativamente no botão de conexão. A carteira de plugin fará algumas verificações e exibirá informações relacionadas à aplicação atual.

Após conectar a carteira, normalmente, quando o usuário não realiza outras operações, o aplicativo não irá chamar ativamente a carteira plugin. Se o site, após o login, frequentemente solicitar a assinatura de mensagens ou a assinatura de transações, e mesmo após recusar a assinatura, continuar a exibir solicitações de assinatura, é muito provável que seja um site de phishing, e deve-se ter cautela.

4. Assinatura de Mensagem

Em situações extremas, como quando um atacante consegue invadir o site oficial do protocolo ou realiza ataques como o sequestro de front-end, é muito difícil para os usuários comuns avaliar a segurança do site nesse cenário.

Neste momento, a assinatura da carteira de plugin é a última linha de defesa do usuário para proteger seus ativos. Basta recusar assinaturas maliciosas para garantir a segurança dos ativos. Os usuários devem examinar cuidadosamente o conteúdo da assinatura ao assinar qualquer mensagem ou transação, recusando assinaturas automáticas, para evitar perdas de ativos.

Os tipos de assinatura comuns incluem:

• Assinar dados de hash
• Assinar informações em texto claro é mais comum durante a verificação de login do usuário ou confirmação de acordos de licença.
• Assinatura de dados estruturados, comumente usada para permissões de tokens, listagens de NFT, etc.

5. Assinatura de Transação

A assinatura de transações é usada para autorizar transações na cadeia, como transferências ou chamadas de contratos inteligentes. Os usuários assinam com a chave privada, e a rede verifica a validade da transação. Atualmente, muitas carteiras de plugin decodificam mensagens a serem assinadas e apresentam conteúdos relevantes; é importante seguir o princípio de não assinar cegamente. Recomendações de segurança:

• Verifique cuidadosamente o endereço do destinatário, o montante e a rede, para evitar erros.
• Para transações de grande valor, recomenda-se o uso de assinatura offline para reduzir o risco de ataques online.
• Atenção às taxas de gas, assegure-se de que são razoáveis, evite potenciais fraudes.

Para usuários com um certo nível de habilidade técnica, também é possível adotar alguns métodos comuns de verificação manual: revisar o endereço do contrato de interação copiando-o para um explorador de blockchain, sendo os principais conteúdos a serem verificados se o contrato é de código aberto, se há um grande número de transações recentes e se o explorador adicionou uma etiqueta oficial ou uma etiqueta maliciosa a esse endereço.

6. Processamento pós-negociação

Mesmo que consiga evitar páginas de phishing e assinaturas maliciosas, ainda é necessário realizar a gestão de riscos após a transação.

Após a transação, deve-se verificar imediatamente a situação da transação na cadeia, confirmando se está consistente com o estado esperado no momento da assinatura. Se forem detectadas anomalias, é necessário realizar imediatamente operações de mitigação de perdas, como transferência de ativos e revogação de autorização.

A gestão de autorização de tokens também é muito importante. Em alguns casos, após os usuários autorizarem tokens para certos contratos, anos depois esses contratos sofreram ataques, e os atacantes exploraram os limites de autorização dos tokens dos contratos atacados para roubar os fundos dos usuários. Para evitar tais situações, recomenda-se que os usuários sigam os seguintes padrões para a prevenção de riscos:

• Minimizar a autorização. Ao autorizar tokens, a quantidade de tokens autorizados deve ser limitada de acordo com a necessidade da transação. Por exemplo, se uma transação requer a autorização de 100 tokens, então a quantidade autorizada deve ser limitada a 100, em vez de usar a autorização ilimitada padrão.
• Revogar rapidamente as autorizações de tokens que não são necessárias. Os utilizadores podem verificar a situação das autorizações do endereço correspondente através de ferramentas específicas, revogando as autorizações de protocolos que não tiveram interações por um longo período, prevenindo assim que vulnerabilidades nos protocolos permitam a utilização do limite de autorização dos utilizadores e causem perdas de ativos.

Três, estratégia de isolamento de fundos

Na presença de consciência de risco e tendo feito uma prevenção de risco adequada, também é aconselhável realizar um isolamento eficaz dos fundos, a fim de reduzir o grau de perda dos fundos em situações extremas. As estratégias recomendadas são as seguintes:

• Utilize uma wallet multi-assinatura ou uma wallet fria para armazenar grandes ativos;
• Use uma carteira de plugin ou uma carteira comum como carteira quente para interações diárias;
• Mudar regularmente o endereço da carteira quente para evitar que o endereço permaneça exposto a ambientes de risco.

Se, por infelicidade, você for vítima de um ataque de phishing, recomenda-se que execute imediatamente as seguintes medidas para reduzir as perdas:

• Utilize ferramentas específicas para revogar autorizações de alto risco;
• Se a assinatura de autorização tiver sido assinada, mas o ativo ainda não tiver sido transferido, pode iniciar uma nova assinatura para invalidar a assinatura antiga;
• Se necessário, transfira rapidamente os ativos restantes para um novo endereço ou carteira fria.

Quatro, como participar de atividades de airdrop de forma segura

Airdrops são uma forma comum de promoção de projetos na blockchain, mas também apresentam riscos. Aqui estão algumas recomendações:

• Pesquisa de fundo do projeto: garantir que o projeto tenha um white paper claro, informações da equipe públicas e uma reputação na comunidade;
• Usar endereços dedicados: registre uma carteira e um e-mail dedicados, isolando o risco da conta principal;
• Clique com cautela nos links: obtenha informações sobre airdrops apenas através de canais oficiais, evite clicar em links suspeitos nas redes sociais;

Cinco, Sugestões para a Seleção e Uso de Ferramentas de Plugin

O conteúdo das diretrizes de segurança da blockchain é extenso e pode ser difícil realizar uma verificação detalhada em cada interação. Escolher plugins seguros é crucial, pois pode nos ajudar a fazer julgamentos de risco. Aqui estão algumas sugestões específicas:

• Utilize extensões confiáveis: escolha extensões de navegador amplamente reconhecidas e de alta utilização. Esses plugins oferecem funcionalidades de carteira e suportam a interação com aplicações descentralizadas.
• Verificação da classificação: antes de instalar novos plugins, consulte a classificação dos usuários e o número de instalações. Uma alta classificação e um grande número de instalações geralmente indicam que o plugin é mais confiável, reduzindo o risco de código malicioso.
• Mantenha-se atualizado: Atualize regularmente os plugins para obter as últimas funcionalidades de segurança e correções. Plugins desatualizados podem conter vulnerabilidades conhecidas, que podem ser exploradas por atacantes.

Seis, Resumo

Ao seguir as diretrizes de segurança de negociação mencionadas acima, os usuários podem interagir de forma mais tranquila em um ecossistema de blockchain cada vez mais complexo, melhorando efetivamente a capacidade de proteção de ativos. Embora a tecnologia blockchain tenha a descentralização e a transparência como suas principais vantagens, isso também significa que os usuários devem lidar de forma independente com múltiplos riscos, incluindo phishing de assinatura, vazamento de chaves privadas e aplicações maliciosas.

Para alcançar uma verdadeira segurança na cadeia, confiar apenas em ferramentas de alerta é longe de ser suficiente; estabelecer uma consciência de segurança sistemática e hábitos operacionais é a chave. Ao utilizar carteiras de hardware, implementar estratégias de isolamento de fundos, verificar regularmente autorizações e atualizar plugins, entre outras medidas de proteção, e ao aplicar o conceito de "verificação múltipla, recusar assinaturas cegas, isolamento de fundos" nas operações de negociação, é possível realmente alcançar "subir na cadeia de forma livre e segura".