Руководство по безопасной торговле в Web3: создание автономной системы защиты активов в блокчейне

С развитием экосистемы блокчейна, цепочные транзакции стали важной частью повседневной деятельности пользователей Web3. Активы пользователей стремительно перемещаются с централизованных платформ на децентрализованные сети, и эта тенденция означает, что ответственность за безопасность активов постепенно переходит от платформы к самим пользователям. В цепочной среде пользователи должны нести ответственность за каждое взаимодействие, будь то импорт кошелька, доступ к децентрализованным приложениям или подпись авторизации и инициирование транзакции; любая неосторожная операция может стать угрозой безопасности, привести к утечке приватного ключа, злоупотреблению авторизацией или фишинговым атакам и другим серьезным последствиям.

Несмотря на то, что в настоящее время основные плагины для кошельков и браузеры постепенно интегрируют функции распознавания фишинга, уведомления о рисках и другие, в условиях все более сложных методов атак полагаться только на пассивную защиту инструментов все еще сложно полностью избежать рисков. Чтобы помочь пользователям более четко идентифицировать потенциальные рисковые точки в цепочечных транзакциях, мы на основе практического опыта составили полный список часто возникающих рискованных сценариев, а также разработали систематическое руководство по безопасности цепочечных транзакций, сочетающее рекомендации по защите и советы по использованию инструментов, с целью помочь каждому пользователю Web3 построить "автономную" линию безопасности.

Основные принципы безопасной торговли:

• Отказ от слепого подписания: не подписывайте сделки или сообщения, которые вы не понимаете.
• Повторная проверка: перед любыми сделками обязательно многократно проверяйте точность соответствующей информации.

Один, советы по безопасной торговле

Ключ к защите цифровых активов заключается в безопасных сделках. Исследования показывают, что использование безопасных кошельков и двухфакторной аутентификации может значительно снизить риски. Вот конкретные рекомендации:

• Выбор безопасного кошелька: Отдавайте предпочтение провайдерам кошельков с хорошей репутацией, таким как аппаратные кошельки или известные программные кошельки. Аппаратные кошельки обеспечивают оффлайн-хранение, что снижает риск онлайн-атак и подходит для хранения больших активов.

• Тщательно проверьте детали сделки: Перед подтверждением транзакции обязательно проверьте адрес получения, сумму и сеть, чтобы избежать потерь из-за ошибок ввода.

• Включить двухфакторную аутентификацию: Если торговая платформа или кошелек поддерживают двухфакторную аутентификацию, обязательно включите ее для повышения безопасности учетной записи, особенно при использовании горячего кошелька.

• Избегайте использования общественного Wi-Fi: Не проводите транзакции в общественных сетях Wi-Fi, чтобы избежать фишинга и атак посредников.

2. Как осуществлять безопасные сделки

Полный процесс торговли децентрализованным приложением включает несколько этапов: установка кошелька, доступ к приложению, подключение кошелька, подпись сообщения, подпись сделки, обработка после сделки. На каждом этапе существуют определенные риски безопасности, ниже последовательно будут изложены рекомендации по безопасной работе.

1. Установка кошелька:

В настоящее время основным способом использования децентрализованных приложений является взаимодействие через кошельки-плагины для браузеров. Основные кошельки, используемые в сети Ethereum и совместимых цепочках, включают в себя множество вариантов.

При установке кошелька Chrome необходимо убедиться, что вы скачиваете и устанавливаете его из официального магазина приложений, чтобы избежать установки программного обеспечения кошелька с задними дверями с третьих сайтов. Пользователям, у которых есть такая возможность, рекомендуется дополнительно использовать аппаратные кошельки для повышения безопасности хранения приватных ключей.

При установке резервной копии кошелька с помощью мнемонической фразы (обычно состоящей из 12-24 слов) рекомендуется хранить её в безопасном физическом месте, вдали от цифровых устройств, например, записав на бумаге и сохранив в сейфе.

2. Доступ к децентрализованному приложению

Фишинг в интернете — это обычный метод атак в Web3. Типичный случай заключается в том, что пользователи под предлогом аирдропа побуждаются к посещению фишинговых приложений, после подключения кошелька их побуждают подписывать авторизацию токенов, транзакции перевода или подписи авторизации токенов, что приводит к потерям активов.

Поэтому при доступе к децентрализованным приложениям пользователи должны быть особенно внимательны, чтобы избежать ловушек веб-фишинга.

Перед доступом к приложению следует убедиться в правильности адреса. Рекомендуется:

• Избегайте прямого доступа через поисковые системы: злоумышленники могут продвигать свои фишинговые сайты, покупая рекламные места.
• Осторожно нажимайте на ссылки в социальных сетях: веб-сайты, размещенные в комментариях или сообщениях, могут быть фишинговыми.
• Множественная проверка точности веб-сайта приложения: можно проверить через децентрализованные рынки приложений, официальные аккаунты в социальных сетях проекта и другие каналы.
• Добавьте безопасный сайт в закладки браузера: в дальнейшем можно будет напрямую заходить из закладок.

После открытия веб-страницы приложения необходимо также выполнить проверку безопасности адресной строки:

• Проверьте, существуют ли похожие подделки доменных имен и веб-сайтов.
• Подтвердите, что это ссылка HTTPS, браузер должен отображать значок замка🔒.

В настоящее время основные плагин-кошельки на рынке также интегрировали некоторые функции предупреждения о рисках, которые могут отображать сильные предупреждения при доступе к рискованным сайтам.

3. Подключить кошелек

После входа в приложение может автоматически или после активного нажатия кнопки подключения быть вызвано действие подключения кошелька. Плагин-кошелек проведет некоторые проверки и отобразит информацию для текущего приложения.

После подключения кошелька, как правило, приложение не будет активно вызывать плагин-кошелек, если пользователь не выполняет других действий. Если сайт после входа в систему часто вызывает кошелек с просьбой подписать сообщение, подписать транзакцию, а даже после отказа от подписи продолжает появляться запрос на подпись, то это может быть фишинговый сайт, с которым нужно быть осторожным.

4. Подпись сообщения

В крайних случаях, если злоумышленник успешно вторгся на официальный сайт протокола или заменил содержимое страниц с помощью атак, таких как захват фронтенда, обычным пользователям будет трудно определить безопасность сайта в такой ситуации.

На данный момент подпись плагина-кошелька является последней линией защиты активов пользователя. Достаточно отказаться от злонамеренной подписи, чтобы обеспечить безопасность активов. Пользователи должны внимательно проверять содержание подписи при подписании любых сообщений и сделок, отказываясь от слепой подписи, чтобы избежать потерь активов.

Распространенные типы подписей включают:

• Подписать хэш-данные
• Подпись открытой информации наиболее часто встречается при проверке входа пользователя или подтверждении лицензионного соглашения.
• Подпись структурированных данных, часто используется для разрешений токенов, размещения NFT и т.д.

5. Подпись транзакции

Подпись транзакции используется для авторизации транзакций в блокчейне, таких как переводы или вызов смарт-контрактов. Пользователь подписывает своей приватной ключом, а сеть проверяет действительность транзакции. В настоящее время многие плагин-кошельки декодируют сообщения, ожидающие подписи, и отображают соответствующий контент, обязательно следуйте принципу «не подписывать вслепую», рекомендации по безопасности:

• Тщательно проверьте адрес получателя, сумму и сеть, чтобы избежать ошибок.
• Рекомендуется использовать оффлайн-подпись для крупных сделок, чтобы снизить риск онлайн-атак.
• Обратите внимание на газовые сборы, убедитесь, что они разумные, чтобы избежать потенциальных мошенничеств.

Для пользователей с определенными техническими навыками также можно использовать некоторые распространенные методы ручной проверки: скопировать адрес целевого контракта в блокчейн-обозреватель для проверки, основные моменты проверки включают, является ли контракт открытым исходным кодом, были ли в последнее время большие объемы сделок и добавил ли обозреватель официальную метку или метку с вредоносным содержанием для этого адреса.

6. Обработка после сделки

Даже если вам удалось успешно избежать фишинговых страниц и вредоносных подписей, после сделки все равно необходимо провести управление рисками.

После сделки необходимо своевременно проверить состояние транзакции в блокчейне и подтвердить, соответствует ли оно ожидаемому состоянию на момент подписания. Если будут обнаружены аномалии, необходимо немедленно провести операции по перемещению активов, отмене авторизации и другим мерам по ограничению убытков.

Управление авторизацией токенов также очень важно. В некоторых случаях пользователи после авторизации токенов по некоторым контрактам через несколько лет подверглись атакам, и злоумышленники использовали лимит авторизации токенов атакованного контракта для кражи средств пользователей. Чтобы избежать подобных ситуаций, рекомендуется, чтобы пользователи следовали следующим стандартам для снижения рисков:

• Минимизация полномочий. При авторизации токенов следует ограничить количество соответствующих токенов в зависимости от потребностей сделки. Например, если для сделки требуется авторизовать 100 токенов, то количество авторизации должно быть ограничено до 100, а не использовать стандартную неограниченную авторизацию.
• Своевременно отменяйте ненужные разрешения на токены. Пользователи могут использовать специальные инструменты для проверки состояния разрешений соответствующего адреса, отменять разрешения протоколов, с которыми не было взаимодействия в течение длительного времени, чтобы предотвратить уязвимости протокола, которые могут привести к потере активов из-за использования разрешений пользователей.

Три. Стратегия изоляции средств

При наличии осознания рисков и проведении достаточной профилактики рисков также рекомендуется осуществлять эффективную изоляцию средств, чтобы в экстремальных ситуациях снизить степень ущерба средств. Рекомендуемые стратегии следующие:

• Используйте мультиподписные кошельки или холодные кошельки для хранения крупных активов;
• Используйте плагин-кошелек или обычный кошелек в качестве горячего кошелька для повседневного взаимодействия;
• Регулярно меняйте адреса горячих кошельков, чтобы предотвратить их постоянное воздействие на рискованные среды.

Если вы, к сожалению, стали жертвой фишинг-атаки, рекомендуется незамедлительно предпринять следующие меры для снижения потерь:

• Используйте специальные инструменты для отмены высокоопасных авторизаций;
• Если вы подписали лицензионную подпись, но активы еще не были переданы, вы можете немедленно инициировать новую подпись, чтобы сделать старую подпись недействительной;
• При необходимости быстро переведите оставшиеся активы на новый адрес или холодный кошелек.

Четыре, как безопасно участвовать в аирдропах

Airdrop — это распространенный способ продвижения проектов в блокчейне, но в нем также скрыты риски. Вот несколько советов:

• Исследование фона проекта: обеспечить наличие четкого белого документа, открытой информации о команде и репутации сообщества;
• Используйте специальный адрес: зарегистрируйте специальный кошелек и электронную почту, чтобы изолировать риски основного счета;
• Осторожно нажимайте на ссылки: получайте информацию о аирдропах только через официальные каналы, избегайте нажатия на подозрительные ссылки в социальных сетях;

! Никаких недоразумений при ончейн-взаимодействии, пожалуйста, отложите руководство по безопасным транзакциям Web3

Пять, выбор и рекомендации по использованию плагинов

Содержимое правил безопасности в блокчейне разнообразно, и может быть сложно проводить тщательную проверку при каждом взаимодействии, поэтому выбор безопасных плагинов имеет решающее значение, так как они могут помочь нам в оценке рисков. Ниже приведены конкретные рекомендации:

• Используйте доверенные расширения: выбирайте широко используемые и общепризнанные браузерные расширения. Эти плагины предоставляют функции кошелька и поддерживают взаимодействие с децентрализованными приложениями.
• Проверка рейтинга: перед установкой нового плагина проверьте пользовательский рейтинг и количество установок. Высокий рейтинг и большое количество установок обычно указывают на более надежный плагин, что снижает риск наличия вредоносного кода.
• Поддерживайте актуальность: регулярно обновляйте плагины, чтобы получить последние функции безопасности и исправления. Устаревшие плагины могут содержать известные уязвимости, которые легко могут быть использованы злоумышленниками.

Шесть, итог

Следуя вышеуказанным рекомендациям по безопасным транзакциям, пользователи смогут более уверенно взаимодействовать в все более сложной экосистеме блокчейна, значительно повысив защиту своих активов. Несмотря на то, что технологии блокчейна имеют в своей основе преимущества децентрализации и прозрачности, это также означает, что пользователи должны самостоятельно справляться с множеством рисков, включая фишинг с использованием подписей, утечку приватных ключей и вредоносные приложения.

Для достижения подлинной безопасности в блокчейне недостаточно полагаться только на инструменты для оповещения; ключевым моментом является создание системного сознания безопасности и привычек работы. Использование аппаратных кошельков, внедрение стратегий隔离资金, регулярная проверка разрешений и обновление плагинов и других мер безопасности, а также внедрение в торговые операции принципов "многофакторной проверки, отказа от слепых подписей,隔离资金" позволят действительно обеспечить "свободный и безопасный выход в блокчейн".