Посібник з безпечних транзакцій Web3: побудова автономної системи захисту активів у блокчейні

З розвитком екосистеми блокчейну, у блокчейні транзакції стали важливою частиною щоденних операцій користувачів Web3. Активи користувачів швидко переходять з централізованих платформ у децентралізовані мережі, і ця тенденція означає, що відповідальність за безпеку активів поступово переходить від платформи до самих користувачів. У середовищі у блокчейні користувачі повинні нести відповідальність за кожну взаємодію, незалежно від того, чи це імпорт гаманця, доступ до децентралізованих додатків, чи підписання авторизації та ініціювання транзакції; будь-яка необережна дія може стати загрозою безпеці, викликавши витік приватного ключа, зловживання авторизацією або фішингові атаки та інші серйозні наслідки.

Хоча наразі основні плагіни гаманців і браузери поступово інтегрують функції виявлення фішингу, попередження про ризики та інші, проте, зіткнувшись із дедалі складнішими методами атак, покладатися лише на пасивний захист інструментів все ще важко повністю уникнути ризиків. Щоб допомогти користувачам чіткіше виявляти потенційні точки ризику в угодах у блокчейні, ми на основі практичного досвіду систематизували найбільш поширені ризикові сценарії на всіх етапах, а також розробили системний посібник з безпеки угод у блокчейні, поєднуючи рекомендації щодо захисту та поради щодо використання інструментів, що має на меті допомогти кожному користувачеві Web3 створити "автономний" захист.

Основні принципи безпечної торгівлі:

• Відмовтеся від сліпого підписання: не підписуйте транзакції або повідомлення, які ви не розумієте.
• Повторна перевірка: перед здійсненням будь-якої транзакції обов'язково кілька разів перевірте точність відповідної інформації.

Один, Рекомендації щодо безпечної торгівлі

Ключ до захисту цифрових активів полягає в безпечних транзакціях. Дослідження показують, що використання безпечних гаманців та двофакторної аутентифікації може суттєво знизити ризики. Ось конкретні рекомендації:

• Вибір безпечного гаманця: Перевагу слід надавати постачальникам гаманців з гарною репутацією, таким як апаратні гаманці або відомі програмні гаманці. Апаратні гаманці забезпечують офлайн-зберігання, зменшуючи ризик онлайн-атак, що робить їх придатними для зберігання великих активів.

• Уважно перевірте деталі транзакції: Перед підтвердженням транзакції обов'язково перевірте адресу отримання, суму та мережу, щоб уникнути втрат через помилки введення.

• Увімкнути двофакторну аутентифікацію: Якщо торговельна платформа або гаманець підтримує двофакторну аутентифікацію, обов'язково активуйте її для підвищення безпеки облікового запису, особливо під час використання гарячого гаманця.

• Уникайте використання громадського Wi-Fi: Не проводьте транзакції в публічних Wi-Fi мережах, щоб уникнути фішингових атак та атак посередників.

Два, як здійснити безпечну угоду

Повний процес торгівлі децентралізованими додатками містить кілька етапів: встановлення гаманця, доступ до додатку, підключення гаманця, підписання повідомлення, підписання транзакції, обробка після транзакції. Кожен етап несе певні ризики безпеки, далі будуть поетапно представлені рекомендації щодо безпеки в реальному процесі.

1. Встановлення гаманця:

Наразі основним способом використання децентралізованих застосунків є взаємодія через браузерні плагін-гаманці. Основні гаманці, що використовуються в Ethereum та сумісних ланцюгах, включають різні варіанти.

При установці гаманця плагіна Chrome необхідно переконатися, що ви завантажуєте його з офіційного магазину додатків, уникаючи установки з третіх сайтів, щоб уникнути встановлення гаманця з бекдорами. Користувачам, які мають можливість, рекомендується використовувати апаратний гаманець у поєднанні, щоб ще більше підвищити безпеку зберігання приватних ключів.

При установці резервної фрази для гаманця (зазвичай це 12-24 слова), рекомендується зберігати її в безпечному фізичному місці, подалі від цифрових пристроїв, наприклад, написати на папері та зберігати в сейфі.

2. Відвідування децентралізованих додатків

Фішинг у вебі є поширеним методом атак у Web3. Типовим випадком є спонукання користувачів відвідати фішингові застосунки під виглядом аеродропу, після чого, коли користувачі підключають свої гаманці, їх спонукають підписати авторизацію токенів, транзакції переказу або підписання авторизації токенів, що призводить до втрати активів.

Отже, під час доступу до децентралізованих додатків користувачі повинні бути максимально обережними, щоб уникнути потрапляння в пастку веб-фішингу.

Перед використанням програми слід підтвердити правильність адреси веб-сайту. Рекомендації:

• Уникайте прямого доступу через пошукові системи: зловмисники можуть підвищити рейтинг своїх фішингових сайтів, купуючи рекламні місця.
• Обережно натискайте на посилання в соціальних мережах: URL-адреси, опубліковані в коментарях або повідомленнях, можуть бути фішинговими.
• Багатостороння перевірка точності адреси застосунку: можна перевірити через децентралізовані ринкові платформи, офіційні облікові записи проекту в соціальних мережах та інші канали.
• Додайте безпечний веб-сайт до закладок браузера: надалі здійснюйте доступ безпосередньо з закладок.

Після відкриття веб-сторінки програми потрібно також провести перевірку безпеки адресного рядка:

• Перевірте, чи існують схожі фальшиві доменні імена та URL.
• Підтвердіть, чи є це HTTPS-посиланням, браузер має показувати значок замка🔒.

Наразі на ринку основні плагін-гаманці також інтегрували певні функції попередження про ризики, які можуть відображати сильне нагадування при відвідуванні ризикованих веб-сайтів.

3. Підключення гаманця

Після входу в додаток може автоматично або після активного натискання кнопки підключення спрацювати операція підключення гаманця. Плагін-гаманець проведе деякі перевірки та відобразить інформацію для цього додатку.

Після підключення гаманця, зазвичай, коли користувач не виконує жодних інших дій, додаток не ініціює плагін-гаманець. Якщо сайт після входу часто ініціює гаманець для підписання повідомлень, підписання транзакцій, або навіть після відмови від підписання все ще постійно з’являються запити на підписання, то, ймовірно, це фішинговий сайт, з яким потрібно бути обережним.

4. Підпис повідомлення

У крайніх випадках, якщо зловмисник успішно зламав офіційний вебсайт протоколу або через атаки на фронтенд, замінивши вміст сторінки, звичайним користувачам буде важко в таких умовах визначити безпеку сайту.

У цей час підпис плагін-гаманця є останнім бар'єром захисту активів користувача. Досить відмовитися від злочинного підпису, щоб забезпечити безпеку активів. Користувачі повинні уважно перевіряти вміст підпису при підписанні будь-яких повідомлень та угод, відмовлятися від сліпого підпису, щоб уникнути втрат активів.

Звичайні типи підписів включають:

• Підписання хеш-даних
• Підписання відкритої інформації є найпоширенішим під час перевірки входу користувача або підтвердження ліцензійної угоди.
• Підпис структурованих даних, зазвичай використовується для дозволів токенів, ордерів на NFT тощо

5. Підпис транзакції

Підпис транзакції використовується для авторизації транзакцій у блокчейні, таких як переказ або виклик смарт-контракту. Користувач підписує приватним ключем, мережа перевіряє дійсність транзакції. Наразі багато плагінних гаманців розшифровують повідомлення, що підлягають підписанню, і відображають відповідний вміст; обов'язково дотримуйтесь принципу "не підписувати наосліп". Рекомендації з безпеки:

• Уважно перевірте адресу отримувача, суму та мережу, щоб уникнути помилок.
• Для великих транзакцій рекомендується використовувати офлайн-підпис, щоб зменшити ризик онлайн-атак.
• Зверніть увагу на витрати газу, переконайтеся, що вони розумні, щоб уникнути потенційних шахрайств.

Для користувачів з певними технічними навичками також можна використовувати деякі поширені методи ручної перевірки: скопіювати адресу контракту цільового взаємодії в блокчейн-браузер для перевірки, основні аспекти перевірки включають, чи є контракт відкритим кодом, чи відбувалися нещодавно великі обсяги угод, а також чи додав браузер офіційні чи шкідливі мітки до цієї адреси.

6. Обробка після угоди

Навіть якщо вдалося успішно уникнути фішингових веб-сторінок та шкідливих підписів, після транзакції все ще необхідно проводити управління ризиками.

Після транзакції слід своєчасно перевірити стан транзакції у блокчейні, підтвердити, чи відповідає він очікуваному стану на момент підписання. Якщо виявлено аномалії, необхідно терміново здійснити такі заходи, як перенесення активів, скасування авторизації тощо.

Управління авторизацією токенів також є дуже важливим. У деяких випадках, після того як користувачі надали авторизацію токенів певним контрактам, через багато років ці контракти зазнали нападу, і зловмисники скористалися лімітами авторизації токенів атакованого контракту, щоб вкрасти кошти користувачів. Щоб уникнути подібних ситуацій, рекомендується, щоб користувачі дотримувалися таких стандартів для запобігання ризикам:

• Мінімізація авторизації. При авторизації токенів слід обмежити кількість авторизованих токенів відповідно до вимог угоди. Наприклад, якщо для певної угоди потрібно авторизувати 100 токенів, то кількість авторизації має бути обмежена до 100, а не використовувати стандартну необмежену авторизацію.
• Своєчасно відкликати непотрібні дозволи на токени. Користувачі можуть за допомогою спеціальних інструментів перевіряти статус дозволів відповідних адрес та відкликати дозволи протоколів, з якими не було взаємодії протягом тривалого часу, щоб запобігти можливим вразливостям у протоколах, які можуть призвести до втрат активів через використання дозволів користувачів.

Три, стратегія ізоляції коштів

У випадку, коли є усвідомлення ризиків і було здійснено належні заходи для запобігання ризикам, також рекомендується забезпечити ефективну ізоляцію коштів, щоб зменшити ступінь їхніх втрат у крайніх ситуаціях. Рекомендовані стратегії такі:

• Використовуйте мультипідписи або холодні гаманці для зберігання великих активів;
• Використовуйте плагін-гаманець або звичайний гаманець як гарячий гаманець для щоденних взаємодій;
• Регулярно змінюйте адресу гарячого гаманця, щоб запобігти постійній експозиції адреси в ризиковому середовищі.

Якщо ви на жаль стали жертвою фішингової атаки, рекомендується терміново виконати такі заходи для зменшення збитків:

• Використовуйте спеціалізовані інструменти для скасування високоризикових авторизацій;
• Якщо підписано ліцензійну підпис, але активи ще не були передані, можна негайно ініціювати новий підпис, щоб анулити старий підпис;
• За необхідності, швидко переведіть залишкові активи на нову адресу або холодний гаманець.

Чотири, як безпечно брати участь у аірдропах

Аірдроп є поширеним способом просування проектів у блокчейні, але в ньому також є певні ризики. Ось кілька порад:

• Дослідження фонду проєкту: забезпечити наявність чіткої білої книги, відкритої інформації про команду та репутації спільноти;
• Використання спеціальної адреси: зареєструйте спеціальний гаманець і електронну пошту, щоб ізолювати ризики основного рахунку;
• Обережно натискайте на посилання: отримуйте інформацію про аірдроп лише через офіційні канали, уникайте натискання на підозрілі посилання в соціальних мережах;

П'ять. Рекомендації щодо вибору та використання плагінів

Правила безпеки у блокчейні містять багато різноманітної інформації, що може ускладнити детальну перевірку при кожній взаємодії. Вибір безпечних плагінів є надзвичайно важливим, оскільки вони можуть допомогти нам у оцінці ризиків. Нижче наведені конкретні рекомендації:

• Використовуйте надійні розширення: обирайте розширення браузера з високим рівнем використання та загальним визнанням. Ці плагіни надають функції гаманця та підтримують взаємодію з децентралізованими додатками.
• Перевірка рейтингу: перед встановленням нового плагіна перегляньте рейтинг користувачів та кількість установок. Високий рейтинг і велика кількість установок зазвичай вказують на те, що плагін є більш надійним, знижуючи ризик шкідливого коду.
• Тримайте оновленим: регулярно оновлюйте плагіни, щоб отримати останні функції безпеки та виправлення. Застарілі плагіни можуть містити відомі вразливості, які можуть бути використані зловмисниками.

Шість, підсумок

Дотримуючись наведених вище рекомендацій щодо безпечних交易, користувачі можуть більш впевнено взаємодіяти в дедалі складнішій екосистемі у блокчейні, суттєво підвищуючи захист своїх активів. Хоча технологія блокчейн має у своїй основі переваги децентралізації та прозорості, це також означає, що користувачі повинні самостійно справлятися з багатьма ризиками, такими як фішинг підписів, витік приватних ключів, злочинні програми.

Щоб досягти справжньої безпеки у блокчейні, просто покладатися на інструменти для нагадування недостатньо, важливо встановити системне усвідомлення безпеки та звички операцій. Використовуючи апаратні гаманці, впроваджуючи стратегію ізоляції коштів, регулярно перевіряючи авторизацію та оновлюючи плагіни та інші заходи захисту, а також впроваджуючи в торговельних операціях принципи "багаторазової перевірки, відмови від сліпого підписання, ізоляції коштів", можна насправді досягти "свободи та безпеки у блокчейні".