Guía de seguridad de transacciones on-chain: Protege tus activos Web3

Con el continuo desarrollo del ecosistema blockchain, las transacciones on-chain se han convertido en una parte importante de las operaciones diarias de los usuarios de Web3. Cada vez más usuarios eligen trasladar sus activos de plataformas centralizadas a redes descentralizadas, lo que significa que la responsabilidad de la seguridad de los activos está pasando gradualmente de las plataformas a los propios usuarios. En un entorno on-chain, los usuarios deben ser responsables de cada paso que tomen, ya sea importar una billetera, utilizar una DApp, realizar autorizaciones de firma o iniciar transacciones; cualquier operación imprudente puede desencadenar riesgos de seguridad, lo que puede resultar en la filtración de claves privadas, abuso de autorizaciones o sufrir ataques de phishing, entre otras consecuencias graves.

Aunque actualmente los complementos de billetera y los navegadores principales han ido integrando funciones como la identificación de phishing y alertas de riesgo, frente a las cada vez más complejas técnicas de ataque, depender únicamente de la defensa pasiva de las herramientas sigue siendo difícil para evitar completamente los riesgos. Para ayudar a los usuarios a identificar mejor los riesgos potenciales en las transacciones on-chain, este artículo, basado en experiencias prácticas, ha organizado los escenarios de riesgo de alta incidencia a lo largo de todo el proceso, y junto con recomendaciones de protección y técnicas de uso de herramientas, ha elaborado una guía sistemática de seguridad para transacciones on-chain, con el objetivo de asistir a cada usuario de Web3 a construir una “línea de defensa segura” que sea “autónoma y controlable”.

Principios fundamentales de la negociación segura:

• Rechazar la firma ciega: No firmar transacciones o mensajes que no se entiendan.
• Verificación repetida: Antes de realizar cualquier transacción, es imprescindible verificar la precisión de la información relacionada varias veces.

I. Sugerencias para transacciones seguras

La clave para proteger los activos digitales radica en las transacciones seguras. Los estudios muestran que el uso de billeteras seguras y la autenticación de dos factores (2FA) pueden reducir significativamente el riesgo. Las recomendaciones específicas son las siguientes:

• Elige una billetera segura y confiable:

Prioriza proveedores de billeteras con buena reputación, como billeteras de hardware o billeteras de software conocidas. Las billeteras de hardware ofrecen almacenamiento offline, lo que reduce eficazmente el riesgo de ataques en línea, siendo especialmente adecuadas para almacenar grandes cantidades de activos.

• Verifica los detalles de la transacción cuidadosamente:

Antes de confirmar la transacción, asegúrate de verificar la dirección de recepción, el monto y la red (como asegurarte de que estás utilizando la red de blockchain correcta) para evitar pérdidas causadas por errores de entrada.

• Habilitar la autenticación de dos factores (2FA):

Si la plataforma de intercambio o la billetera admite 2FA, se recomienda encarecidamente activar esta función para mejorar la seguridad de la cuenta, especialmente al utilizar una billetera caliente.

• Evita usar Wi-Fi público:

No realices transacciones en redes Wi-Fi públicas para evitar ser víctima de ataques de phishing y ataques de intermediarios.

Dos, cómo realizar transacciones seguras

Un proceso de transacción completo de DApp incluye múltiples etapas: instalación de la billetera, acceso a DApp, conexión de la billetera, firma de mensajes, firma de transacciones y procesamiento posterior a la transacción. Cada etapa presenta ciertos riesgos de seguridad, a continuación se presentarán las precauciones a tener en cuenta durante la operación práctica.

1. Instalación de la billetera:

Actualmente, las DApps interactúan principalmente a través de billeteras de extensión del navegador. Al instalar una billetera de extensión de Chrome, se debe asegurar de descargarla desde la tienda de aplicaciones oficial y evitar instalarla desde sitios web de terceros, para prevenir la instalación de software de billetera con puertas traseras. Se recomienda a los usuarios que puedan hacerlo utilizar billeteras de hardware en combinación, para aumentar aún más la seguridad en la gestión de claves privadas.

Al hacer una copia de seguridad de la frase semilla (que suele ser una frase de recuperación de 12 a 24 palabras), se recomienda almacenarla en un lugar seguro y fuera de línea, como escribirla en papel y guardarla en una caja de seguridad.

2. Acceder a DApp

El phishing web es una técnica común en los ataques de Web3. Un caso típico es inducir a los usuarios a visitar un DApp de phishing bajo el pretexto de un airdrop, donde se les engaña para que firmen autorizaciones de tokens, transacciones de transferencia o firmas de autorización de tokens después de conectar su billetera, lo que lleva a la pérdida de activos.

Por lo tanto, al acceder a DApp, los usuarios deben mantener una alta vigilancia para evitar caer en trampas de phishing en la web.

Antes de acceder a la DApp, se debe confirmar la corrección de la URL. Sugerencia:

• Evitar acceder directamente a través de motores de búsqueda: los sitios de phishing pueden mejorar su clasificación comprando espacios publicitarios.
• Ten cuidado al hacer clic en los enlaces en las redes sociales: las URL en comentarios o mensajes pueden ser enlaces de phishing.
• Confirmar la precisión de la URL de la DApp a través de múltiples canales como el mercado de DApps y las cuentas oficiales de redes sociales del proyecto.
• Agregar sitios web seguros a los marcadores del navegador: acceder directamente desde los marcadores en el futuro.

Después de abrir la página web DApp, también es necesario realizar una verificación de seguridad en la barra de direcciones:

• Verifica si el dominio y la URL están imitados o falsificados.
• Confirma si es un enlace HTTPS, el navegador debe mostrar el ícono de candado 🔒.

Actualmente, las billeteras de plugins más populares han integrado ciertas funciones de advertencia de riesgo, que pueden mostrar recordatorios fuertes al acceder a sitios web de riesgo.

3. Conectar billetera

Al ingresar a DApp, es posible que se active automáticamente o tras hacer clic en Conectar para iniciar la conexión de la billetera. La billetera de complemento realizará algunas verificaciones y mostrará información sobre el DApp actual.

Después de conectar la billetera, normalmente la DApp no activará de forma proactiva la billetera de plugins si el usuario no realiza ninguna otra operación. Si el sitio web solicita con frecuencia firmar mensajes o firmar transacciones después de iniciar sesión, incluso después de rechazar la firma, y sigue apareciendo la solicitud de firma, es muy probable que sea una característica de un sitio web de phishing, y se debe manejar con precaución.

4. Firma de mensaje

En situaciones extremas, como cuando un atacante invade el sitio web oficial del protocolo o reemplaza el contenido de la página a través de ataques de secuestro de front-end, es difícil para los usuarios comunes identificar la seguridad del sitio web.

En este momento, la firma de la billetera de plugins se convierte en la última línea de defensa para proteger los activos de los usuarios. Siempre que se rechacen las firmas maliciosas, se puede evitar la pérdida de activos. Los usuarios deben revisar cuidadosamente el contenido de la firma al firmar cualquier mensaje y transacción, rechazando las firmas ciegas, para garantizar la seguridad de los activos.

Los tipos de firma más comunes incluyen:

• eth_sign: Firmar datos hash.
• personal_sign: firma de información en texto plano, comúnmente utilizada para la verificación de inicio de sesión del usuario o la confirmación de acuerdos de permiso.
• eth_signTypedData (EIP-712): firma de datos estructurados, comúnmente utilizada en el Permiso de ERC20, órdenes de NFT, etc.

5. Firma de transacción

La firma de la transacción se utiliza para autorizar transacciones en la blockchain, como transferencias o llamadas a contratos inteligentes. Los usuarios firman con su clave privada, y la red verifica la validez de la transacción. Actualmente, muchas billeteras de plugin decodifican el mensaje pendiente de firma y muestran el contenido relacionado, los usuarios deben seguir el principio de no firmar ciegamente, recomendaciones de seguridad:

• Verifique cuidadosamente la dirección del destinatario, la cantidad y la red para evitar errores.
• Se recomienda utilizar firmas fuera de línea para transacciones grandes, reduciendo el riesgo de ataques en línea.
• Presta atención a las tarifas de gas, asegúrate de que sean razonables y ten cuidado con las estafas potenciales.

Para los usuarios con un cierto nivel de conocimientos técnicos, también se pueden utilizar algunos métodos de verificación manual: copiar la dirección del contrato objetivo de interacción en un explorador de blockchain para su revisión, verificando principalmente si el contrato es de código abierto, si ha habido un gran número de transacciones recientemente, y si el explorador ha etiquetado la dirección como oficial o maliciosa, entre otros.

6. Procesamiento posterior a la transacción

Incluso si se logra evitar con éxito las páginas de phishing y las firmas maliciosas, aún se debe realizar la gestión de riesgos después de la transacción.

Después de la transacción, se debe verificar oportunamente el estado on-chain de la transacción para confirmar si es consistente con el estado esperado al momento de la firma. Si se detecta alguna anomalía, se deben tomar rápidamente medidas de mitigación, como la transferencia de activos y la revocación de autorizaciones.

La gestión de la aprobación ERC20 también es importante. Ha habido casos en los que, después de que los usuarios autorizaran tokens en ciertos contratos, esos contratos fueron atacados años después, y los atacantes utilizaron el límite de autorización de tokens del contrato atacado para robar fondos de los usuarios. Para evitar tales situaciones, se recomienda que los usuarios sigan los siguientes estándares para la prevención de riesgos:

• Autorización mínima. Al realizar la autorización de tokens, se debe limitar la cantidad de tokens autorizados según las necesidades de la transacción. Por ejemplo, si una transacción requiere autorizar 100 USDT, la cantidad autorizada debe limitarse a 100 USDT, en lugar de usar la autorización infinita por defecto.
• Revocar a tiempo las autorizaciones de tokens no necesarias. Los usuarios pueden iniciar sesión en las herramientas correspondientes para consultar el estado de autorización de la dirección correspondiente, revocar las autorizaciones de los protocolos que no han interactuado durante mucho tiempo, para evitar que surjan vulnerabilidades en el protocolo que puedan resultar en pérdidas de activos debido al uso del límite de autorización del usuario.

Tres, estrategia de aislamiento de fondos

Incluso si se tiene conciencia de los riesgos y se han tomado suficientes medidas de prevención, se recomienda realizar una adecuada separación de fondos para reducir el grado de daño en situaciones extremas. La estrategia recomendada es la siguiente:

• Utiliza una cartera multifirma o una cartera fría para almacenar grandes activos;
• Utiliza una billetera de plugin o una billetera EOA como billetera caliente para interacciones diarias;
• Cambiar regularmente la dirección de la billetera caliente para evitar que la dirección esté expuesta a un entorno de riesgo durante mucho tiempo.

Si por accidente sufres un ataque de phishing, se recomienda ejecutar las siguientes medidas de inmediato para reducir las pérdidas:

• Utilice herramientas relacionadas para cancelar autorizaciones de alto riesgo;
• Si se ha firmado el permit pero los activos aún no se han transferido, se puede iniciar inmediatamente una nueva firma para hacer que el nonce de la firma anterior sea inválido;
• Si es necesario, transfiera rápidamente los activos restantes a una nueva dirección o a una billetera fría.

Cuatro, cómo participar de forma segura en actividades de airdrop

El airdrop es una forma común de promoción de proyectos de blockchain, pero también conlleva riesgos. A continuación se presentan algunos consejos:

• Investigación de antecedentes del proyecto: asegurarse de que el proyecto tenga un libro blanco claro, información del equipo pública y una buena reputación en la comunidad;
• Usar direcciones dedicadas: registrar una billetera y un correo electrónico dedicados para aislar el riesgo de la cuenta principal;
• Cuidado al hacer clic en enlaces: obtenga información sobre airdrops solo a través de canales oficiales, evite hacer clic en enlaces sospechosos en plataformas sociales;

Cinco, selección y recomendaciones para el uso de herramientas de complementos

El contenido del código de seguridad de blockchain es extenso y puede no ser posible realizar una revisión detallada en cada interacción. Es crucial elegir complementos seguros que nos ayuden a hacer juicios de riesgo. A continuación se presentan recomendaciones específicas:

• Elige extensiones de confianza: utiliza extensiones de navegador ampliamente utilizadas como Metamask (para el ecosistema de Ethereum). Estos complementos ofrecen funciones de billetera y admiten la interacción con DApps.
• Ver calificaciones: Antes de instalar un nuevo complemento, verifica las calificaciones de los usuarios y la cantidad de instalaciones. Una alta calificación y un gran número de instalaciones suelen indicar que el complemento es más confiable, reduciendo el riesgo de código malicioso.
• Mantener actualizaciones: actualice el complemento regularmente para obtener las últimas funciones de seguridad y correcciones. Los complementos obsoletos pueden tener vulnerabilidades conocidas que son susceptibles de ser explotadas por atacantes.

Seis, Conclusión

Siguiendo las pautas de seguridad para transacciones mencionadas anteriormente, los usuarios pueden interactuar con mayor tranquilidad en el cada vez más complejo ecosistema de blockchain, mejorando efectivamente su capacidad de protección de activos. A pesar de que la tecnología blockchain tiene como ventajas centrales la descentralización y la transparencia, esto también significa que los usuarios deben enfrentar de manera independiente múltiples riesgos, incluidos el phishing de firmas, la filtración de claves privadas y las DApps maliciosas.

Para lograr una verdadera seguridad en la cadena, depender únicamente de herramientas de alerta no es suficiente; establecer una conciencia de seguridad y hábitos operativos sistemáticos es clave. A través del uso de billeteras de hardware, la implementación de estrategias de aislamiento de fondos, la revisión periódica de autorizaciones y la actualización de complementos, así como la implementación de la filosofía de “verificación múltiple, rechazo de firmas ciegas, aislamiento de fondos” en las operaciones de transacciones, se puede lograr verdaderamente “subir a la cadena de manera libre y segura”.