Guia de Transações Seguras Web3: Proteja os Seus Ativos na cadeia
Com o contínuo desenvolvimento do ecossistema blockchain, as transações na cadeia tornaram-se uma parte indispensável das operações diárias dos usuários de Web3. Os ativos dos usuários estão migrando de plataformas centralizadas para redes descentralizadas, o que significa que a responsabilidade pela segurança dos ativos também está gradualmente passando das plataformas para os próprios usuários. Em um ambiente na cadeia, os usuários precisam ser responsáveis por cada interação, seja importando a carteira, acessando aplicativos ou assinando autorizações e iniciando transações; qualquer operação descuidada pode se tornar um risco de segurança, resultando em vazamento de chaves privadas, abuso de autorizações ou ataques de phishing, entre outras consequências graves.
Embora atualmente os plugins de carteira e navegadores mainstream tenham integrado gradualmente funcionalidades como identificação de phishing e alertas de risco, face a métodos de ataque cada vez mais complexos, depender apenas da defesa passiva das ferramentas ainda é difícil para evitar riscos completamente. Para ajudar os usuários a identificar mais claramente os potenciais pontos de risco nas transações na cadeia, este artigo, com base na experiência prática, mapeou cenários de alto risco ao longo de todo o processo e, juntamente com recomendações de proteção e dicas de uso de ferramentas, elaborou um guia sistemático de segurança para transações na cadeia, com o objetivo de ajudar cada usuário do Web3 a construir uma linha de defesa "autônoma e controlável".
Os princípios fundamentais para transações seguras:
Recusar assinaturas cegas: nunca assine transações ou mensagens que não entende.
Verificação repetida: Antes de realizar qualquer transação, é imprescindível verificar várias vezes a precisão das informações relevantes.
1. Sugestões para transações seguras
Transações seguras são chave para proteger ativos digitais. Estudos mostram que usar carteiras seguras e a autenticação de dois fatores (2FA) pode reduzir significativamente os riscos. Aqui estão algumas recomendações específicas:
Use uma carteira segura: escolha um fornecedor de carteira com boa reputação, como carteiras de hardware ou carteiras de software conhecidas. As carteiras de hardware oferecem armazenamento offline, reduzindo o risco de ataques online, sendo adequadas para armazenar grandes quantias de ativos.
Verifique os detalhes da transação duas vezes: antes de confirmar a transação, sempre verifique o endereço de recebimento, o montante e a rede (por exemplo, certifique-se de que está a usar a cadeia correta, como Ethereum ou BNB Chain, etc.), para evitar perdas devido a erros de entrada.
Ativar a autenticação de dois fatores (2FA): Se a plataforma de negociação ou carteira suportar 2FA, certifique-se de ativá-la para aumentar a segurança da conta, especialmente ao usar carteiras quentes.
Evite usar Wi-Fi público: Não faça transações em redes Wi-Fi públicas para evitar ataques de phishing e ataques de intermediários.
Dois, como realizar transações seguras
Um processo completo de transação de uma aplicação descentralizada inclui várias etapas: instalação da carteira, acesso à aplicação, conexão da carteira, assinatura de mensagens, assinatura de transações e processamento pós-transação. Cada etapa apresenta certos riscos de segurança, e a seguir serão apresentadas as precauções a serem tomadas durante a operação prática.
Nota: Este seminário aborda principalmente os processos de interação segura na Ethereum e em várias cadeias compatíveis com EVM; outras ferramentas e detalhes técnicos utilizados em cadeias não EVM podem diferir.
1. Instalação da carteira
Atualmente, a forma principal de uso de aplicações descentralizadas é através de carteiras de plugins de navegador. As carteiras mais populares usadas em cadeias EVM incluem várias opções.
Ao instalar a carteira de extensão do Chrome, é necessário confirmar que está a instalar a partir da loja de aplicações do Chrome, evitando a instalação a partir de sites de terceiros, a fim de prevenir a instalação de software de carteira com backdoors. Recomenda-se aos utilizadores que têm condições que utilizem em conjunto uma carteira de hardware para aumentar ainda mais a segurança geral na gestão das chaves privadas.
Ao instalar a frase-semente de backup da carteira (geralmente uma frase de recuperação de 12 a 24 palavras), é aconselhável armazená-la em um local seguro, longe de dispositivos digitais (por exemplo, escrevendo-a em papel e guardando-a em um cofre).
2. Aceder a aplicações descentralizadas
A pesca na web é uma técnica comum em ataques Web3. Um exemplo típico é induzir os usuários a visitar aplicações de phishing sob o pretexto de airdrops, levando-os a assinar autorizações de tokens, transações de transferência ou assinaturas de autorização de tokens após conectarem suas carteiras, resultando em perdas de ativos.
Assim, ao acessar aplicações descentralizadas, os usuários precisam manter-se alertas para evitar cair nas armadilhas de phishing na web.
Antes de acessar aplicações descentralizadas, deve-se confirmar a correção do URL. Sugestão:
Evitar o acesso direto através de motores de busca: os atacantes de phishing podem fazer com que os seus sites de phishing apareçam em posições elevadas ao comprar espaços publicitários.
Evite clicar em links nas redes sociais: os URLs publicados em comentários ou mensagens podem ser links de phishing.
Confirme repetidamente a correção do endereço do aplicativo: pode ser verificado através de plataformas de dados, contas oficiais de redes sociais do projeto, entre outros.
Adicione o site seguro aos favoritos do navegador: acesse diretamente a partir dos favoritos posteriormente.
Após abrir a página da aplicação, também é necessário realizar uma verificação de segurança na barra de endereços:
Verifique se o domínio e o URL parecem falsos.
Verifique se é um link HTTPS, o navegador deve mostrar o símbolo de cadeado 🔒.
Atualmente, as carteiras de plug-in mais populares no mercado também integraram uma certa funcionalidade de aviso de risco, podendo exibir um forte aviso ao acessar sites de risco.
3. Conectar carteira
Após entrar na aplicação descentralizada, pode ser que a operação de conectar a carteira seja acionada automaticamente ou após clicar ativamente em Connect. A carteira de plugin realizará algumas verificações e exibirá informações relacionadas à aplicação atual.
Após conectar a carteira, normalmente, quando o usuário não realiza outras operações, o aplicativo não invoca ativamente a carteira de plugins. Se o site frequentemente invocar a carteira para solicitar a assinatura de mensagens ou assinar transações após o login, e mesmo após recusar a assinatura, continuar a aparecer pop-ups solicitando a assinatura, é muito provável que seja um site de phishing, e deve-se ter cautela.
4. Assinatura de mensagem
Em situações extremas, como quando um atacante ataca o site oficial do protocolo ou realiza ataques de sequestro de front-end, o conteúdo da página é substituído. É difícil para um usuário comum identificar a segurança do site nesse tipo de cenário.
Neste momento, a assinatura da carteira de plugins é a última barreira para os usuários protegerem seus ativos. Desde que assinem a rejeição de assinaturas maliciosas, poderão garantir que seus ativos não sejam perdidos. Os usuários devem revisar cuidadosamente o conteúdo da assinatura ao assinar qualquer mensagem ou transação e rejeitar assinaturas cegas, evitando assim perdas de ativos.
Os tipos de assinatura mais comuns incluem:
eth_sign: assinar dados hash.
personal_sign: Assinar informações em texto claro, sendo mais comum durante a verificação de login do usuário ou confirmação de acordos de permissão.
eth_signTypedData (EIP-712): assinatura de dados estruturados, comumente utilizada para Permissão de ERC20, listagens de NFT, etc.
5. Assinatura de transação
A assinatura da transação é usada para autorizar transações na cadeia, como transferências ou chamadas de contratos inteligentes. Os usuários assinam com a chave privada, e a rede verifica a validade da transação. Atualmente, muitas carteiras de plugin decodificam a mensagem a ser assinada e exibem o conteúdo relevante. É importante seguir o princípio de não assinar cegamente. Recomendações de segurança:
Verifique cuidadosamente o endereço do destinatário, o montante e a rede para evitar erros.
Para transações de grande valor, recomenda-se a assinatura offline, a fim de reduzir o risco de ataques online.
Atenção aos custos de gas, assegure-se de que são razoáveis, evite fraudes.
Para os usuários com um certo conhecimento técnico, também é possível usar alguns métodos comuns de verificação manual: revisar o endereço do contrato de interação copiado no explorador de blockchain, cujos principais conteúdos de verificação incluem se o contrato é de código aberto, se houve um grande volume de transações recentemente e se o explorador marcou o endereço com um rótulo oficial ou malicioso, entre outros.
6. Processamento pós-negociação
Escapar de páginas de phishing e assinaturas maliciosas não significa que está tudo bem, ainda é necessário realizar a gestão de riscos após a transação.
Após a transação, deve-se verificar rapidamente a situação na cadeia da transação e confirmar se está consistente com o estado esperado no momento da assinatura. Se forem encontradas anomalias, deve-se realizar rapidamente operações de mitigação, como transferência de ativos e revogação de autorização.
A gestão de autorização ERC20 também é muito importante. Em alguns casos, após os usuários autorizaram tokens em certos contratos, anos depois esses contratos foram atacados, e os atacantes aproveitaram os limites de autorização de tokens dos contratos atacados para roubar os fundos dos usuários. Para evitar tais situações, recomenda-se que os usuários sigam os seguintes padrões para a prevenção de riscos:
Minimizar a autorização. Ao realizar a autorização de tokens, a quantidade de tokens autorizados deve ser limitada de acordo com as necessidades da transação. Se uma transação requerer a autorização de 100USDT, então a quantidade autorizada deverá ser limitada a 100USDT, e não utilizar a autorização padrão ilimitada.
Revogar atempadamente autorizações de tokens desnecessárias. Os utilizadores podem aceder à ferramenta de gestão de autorizações para verificar a situação das autorizações do endereço correspondente, revogar as autorizações de protocolos que não tiveram interação durante um longo período, evitando que o protocolo tenha vulnerabilidades que possam resultar na utilização da quota de autorização dos utilizadores e na perda de ativos.
Três, estratégia de isolamento de fundos
Com a consciência dos riscos e a realização de uma prevenção de riscos adequada, também se aconselha a realização de uma separação eficaz de fundos, a fim de diminuir a extensão dos danos financeiros em situações extremas. As estratégias recomendadas são as seguintes:
Utilize uma carteira multi-assinatura ou uma carteira fria para armazenar grandes ativos;
Usar uma carteira de plugin ou uma carteira EOA como carteira quente para interações diárias;
Alterar regularmente o endereço da carteira quente para evitar que o endereço fique exposto a ambientes de risco.
Se, por acaso, realmente ocorrer uma situação de phishing, recomenda-se executar imediatamente as seguintes medidas para reduzir as perdas:
Cancelar autorizações de alto risco usando ferramentas de gestão de autorizações;
Se a assinatura do permit foi realizada, mas os ativos ainda não foram transferidos, você pode iniciar uma nova assinatura imediatamente para tornar a nonce da assinatura antiga inválida;
Se necessário, transfira rapidamente os ativos restantes para um novo endereço ou carteira fria.
Quatro, como participar com segurança em atividades de airdrop
O airdrop é uma forma comum de promoção de projetos de blockchain, mas também envolve riscos. Aqui estão algumas sugestões:
Pesquisa de fundo do projeto: garantir que o projeto tenha um white paper claro, informações da equipe públicas e reputação na comunidade;
Usar endereços dedicados: registre uma carteira e um e-mail dedicados para isolar o risco da conta principal;
Clique com cautela nos links: obtenha informações sobre a airdrop apenas através de canais oficiais, evite clicar em links suspeitos nas plataformas sociais;
Cinco, Seleção e Recomendações para o Uso de Ferramentas de Plugin
O conteúdo das diretrizes de segurança da blockchain é extenso, podendo não ser possível realizar uma verificação minuciosa em cada interação. A escolha de plugins seguros é crucial, pois pode nos auxiliar na avaliação de riscos. Abaixo estão sugestões específicas:
Extensões confiáveis: Use extensões de navegador que tenham uma alta taxa de uso geral. Esses plugins oferecem funcionalidades de carteira e suportam a interação com aplicações descentralizadas.
Verifique a classificação: Antes de instalar um novo plugin, verifique a classificação dos usuários e o número de instalações. Uma alta classificação e um grande número de instalações geralmente indicam que o plugin é mais confiável, reduzindo o risco de código malicioso.
Mantenha-se atualizado: atualize regularmente seus plugins para obter as últimas funcionalidades de segurança e correções. Plugins desatualizados podem conter vulnerabilidades conhecidas, que podem ser exploradas por atacantes.
Seis, Conclusão
Ao seguir as diretrizes de segurança de transações mencionadas acima, os usuários podem interagir de forma mais tranquila no ecossistema de blockchain cada vez mais complexo, melhorando efetivamente a proteção de seus ativos. Embora a tecnologia blockchain tenha a descentralização e a transparência como suas principais vantagens, isso também significa que os usuários precisam enfrentar de forma independente múltiplos riscos, incluindo phishing de assinatura, vazamento de chaves privadas e aplicativos maliciosos.
Para alcançar uma verdadeira segurança na cadeia, depender apenas de ferramentas de alerta é absolutamente insuficiente; é crucial estabelecer uma consciência de segurança e hábitos operacionais sistemáticos. Através do uso de carteiras de hardware, implementação de estratégias de isolamento de fundos, verificação regular de autorizações e atualização de plugins, entre outras medidas de proteção, e incorporando na operação de transações o conceito de "verificação múltipla, recusa de assinaturas cegas, isolamento de fundos", é que se pode realmente alcançar "um acesso livre e seguro na cadeia".
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
11 Curtidas
Recompensa
11
4
Repostar
Compartilhar
Comentário
0/400
StakeHouseDirector
· 15h atrás
Se até os ovos crus podem ser roubados, quem pode ser confiável?
Ver originalResponder0
OnchainGossiper
· 15h atrás
Se não for seguro, use o protocolo de soja
Ver originalResponder0
ForkMaster
· 16h atrás
Uma olhada e já se vê que é um veterano da criptografia fazendo idiotas de parvas, só quem vem de chapéu branco entende esses truques.
Ver originalResponder0
CryptoMom
· 16h atrás
Por que é que agora temos de ser nós a assumir a responsabilidade?
Guia de segurança para transações Web3 na cadeia: estratégias de prevenção de riscos e proteção de ativos em todo o processo
Guia de Transações Seguras Web3: Proteja os Seus Ativos na cadeia
Com o contínuo desenvolvimento do ecossistema blockchain, as transações na cadeia tornaram-se uma parte indispensável das operações diárias dos usuários de Web3. Os ativos dos usuários estão migrando de plataformas centralizadas para redes descentralizadas, o que significa que a responsabilidade pela segurança dos ativos também está gradualmente passando das plataformas para os próprios usuários. Em um ambiente na cadeia, os usuários precisam ser responsáveis por cada interação, seja importando a carteira, acessando aplicativos ou assinando autorizações e iniciando transações; qualquer operação descuidada pode se tornar um risco de segurança, resultando em vazamento de chaves privadas, abuso de autorizações ou ataques de phishing, entre outras consequências graves.
Embora atualmente os plugins de carteira e navegadores mainstream tenham integrado gradualmente funcionalidades como identificação de phishing e alertas de risco, face a métodos de ataque cada vez mais complexos, depender apenas da defesa passiva das ferramentas ainda é difícil para evitar riscos completamente. Para ajudar os usuários a identificar mais claramente os potenciais pontos de risco nas transações na cadeia, este artigo, com base na experiência prática, mapeou cenários de alto risco ao longo de todo o processo e, juntamente com recomendações de proteção e dicas de uso de ferramentas, elaborou um guia sistemático de segurança para transações na cadeia, com o objetivo de ajudar cada usuário do Web3 a construir uma linha de defesa "autônoma e controlável".
Os princípios fundamentais para transações seguras:
1. Sugestões para transações seguras
Transações seguras são chave para proteger ativos digitais. Estudos mostram que usar carteiras seguras e a autenticação de dois fatores (2FA) pode reduzir significativamente os riscos. Aqui estão algumas recomendações específicas:
Use uma carteira segura: escolha um fornecedor de carteira com boa reputação, como carteiras de hardware ou carteiras de software conhecidas. As carteiras de hardware oferecem armazenamento offline, reduzindo o risco de ataques online, sendo adequadas para armazenar grandes quantias de ativos.
Verifique os detalhes da transação duas vezes: antes de confirmar a transação, sempre verifique o endereço de recebimento, o montante e a rede (por exemplo, certifique-se de que está a usar a cadeia correta, como Ethereum ou BNB Chain, etc.), para evitar perdas devido a erros de entrada.
Ativar a autenticação de dois fatores (2FA): Se a plataforma de negociação ou carteira suportar 2FA, certifique-se de ativá-la para aumentar a segurança da conta, especialmente ao usar carteiras quentes.
Evite usar Wi-Fi público: Não faça transações em redes Wi-Fi públicas para evitar ataques de phishing e ataques de intermediários.
Dois, como realizar transações seguras
Um processo completo de transação de uma aplicação descentralizada inclui várias etapas: instalação da carteira, acesso à aplicação, conexão da carteira, assinatura de mensagens, assinatura de transações e processamento pós-transação. Cada etapa apresenta certos riscos de segurança, e a seguir serão apresentadas as precauções a serem tomadas durante a operação prática.
Nota: Este seminário aborda principalmente os processos de interação segura na Ethereum e em várias cadeias compatíveis com EVM; outras ferramentas e detalhes técnicos utilizados em cadeias não EVM podem diferir.
1. Instalação da carteira
Atualmente, a forma principal de uso de aplicações descentralizadas é através de carteiras de plugins de navegador. As carteiras mais populares usadas em cadeias EVM incluem várias opções.
Ao instalar a carteira de extensão do Chrome, é necessário confirmar que está a instalar a partir da loja de aplicações do Chrome, evitando a instalação a partir de sites de terceiros, a fim de prevenir a instalação de software de carteira com backdoors. Recomenda-se aos utilizadores que têm condições que utilizem em conjunto uma carteira de hardware para aumentar ainda mais a segurança geral na gestão das chaves privadas.
Ao instalar a frase-semente de backup da carteira (geralmente uma frase de recuperação de 12 a 24 palavras), é aconselhável armazená-la em um local seguro, longe de dispositivos digitais (por exemplo, escrevendo-a em papel e guardando-a em um cofre).
2. Aceder a aplicações descentralizadas
A pesca na web é uma técnica comum em ataques Web3. Um exemplo típico é induzir os usuários a visitar aplicações de phishing sob o pretexto de airdrops, levando-os a assinar autorizações de tokens, transações de transferência ou assinaturas de autorização de tokens após conectarem suas carteiras, resultando em perdas de ativos.
Assim, ao acessar aplicações descentralizadas, os usuários precisam manter-se alertas para evitar cair nas armadilhas de phishing na web.
Antes de acessar aplicações descentralizadas, deve-se confirmar a correção do URL. Sugestão:
Após abrir a página da aplicação, também é necessário realizar uma verificação de segurança na barra de endereços:
Atualmente, as carteiras de plug-in mais populares no mercado também integraram uma certa funcionalidade de aviso de risco, podendo exibir um forte aviso ao acessar sites de risco.
3. Conectar carteira
Após entrar na aplicação descentralizada, pode ser que a operação de conectar a carteira seja acionada automaticamente ou após clicar ativamente em Connect. A carteira de plugin realizará algumas verificações e exibirá informações relacionadas à aplicação atual.
Após conectar a carteira, normalmente, quando o usuário não realiza outras operações, o aplicativo não invoca ativamente a carteira de plugins. Se o site frequentemente invocar a carteira para solicitar a assinatura de mensagens ou assinar transações após o login, e mesmo após recusar a assinatura, continuar a aparecer pop-ups solicitando a assinatura, é muito provável que seja um site de phishing, e deve-se ter cautela.
4. Assinatura de mensagem
Em situações extremas, como quando um atacante ataca o site oficial do protocolo ou realiza ataques de sequestro de front-end, o conteúdo da página é substituído. É difícil para um usuário comum identificar a segurança do site nesse tipo de cenário.
Neste momento, a assinatura da carteira de plugins é a última barreira para os usuários protegerem seus ativos. Desde que assinem a rejeição de assinaturas maliciosas, poderão garantir que seus ativos não sejam perdidos. Os usuários devem revisar cuidadosamente o conteúdo da assinatura ao assinar qualquer mensagem ou transação e rejeitar assinaturas cegas, evitando assim perdas de ativos.
Os tipos de assinatura mais comuns incluem:
5. Assinatura de transação
A assinatura da transação é usada para autorizar transações na cadeia, como transferências ou chamadas de contratos inteligentes. Os usuários assinam com a chave privada, e a rede verifica a validade da transação. Atualmente, muitas carteiras de plugin decodificam a mensagem a ser assinada e exibem o conteúdo relevante. É importante seguir o princípio de não assinar cegamente. Recomendações de segurança:
Para os usuários com um certo conhecimento técnico, também é possível usar alguns métodos comuns de verificação manual: revisar o endereço do contrato de interação copiado no explorador de blockchain, cujos principais conteúdos de verificação incluem se o contrato é de código aberto, se houve um grande volume de transações recentemente e se o explorador marcou o endereço com um rótulo oficial ou malicioso, entre outros.
6. Processamento pós-negociação
Escapar de páginas de phishing e assinaturas maliciosas não significa que está tudo bem, ainda é necessário realizar a gestão de riscos após a transação.
Após a transação, deve-se verificar rapidamente a situação na cadeia da transação e confirmar se está consistente com o estado esperado no momento da assinatura. Se forem encontradas anomalias, deve-se realizar rapidamente operações de mitigação, como transferência de ativos e revogação de autorização.
A gestão de autorização ERC20 também é muito importante. Em alguns casos, após os usuários autorizaram tokens em certos contratos, anos depois esses contratos foram atacados, e os atacantes aproveitaram os limites de autorização de tokens dos contratos atacados para roubar os fundos dos usuários. Para evitar tais situações, recomenda-se que os usuários sigam os seguintes padrões para a prevenção de riscos:
Três, estratégia de isolamento de fundos
Com a consciência dos riscos e a realização de uma prevenção de riscos adequada, também se aconselha a realização de uma separação eficaz de fundos, a fim de diminuir a extensão dos danos financeiros em situações extremas. As estratégias recomendadas são as seguintes:
Se, por acaso, realmente ocorrer uma situação de phishing, recomenda-se executar imediatamente as seguintes medidas para reduzir as perdas:
Quatro, como participar com segurança em atividades de airdrop
O airdrop é uma forma comum de promoção de projetos de blockchain, mas também envolve riscos. Aqui estão algumas sugestões:
Cinco, Seleção e Recomendações para o Uso de Ferramentas de Plugin
O conteúdo das diretrizes de segurança da blockchain é extenso, podendo não ser possível realizar uma verificação minuciosa em cada interação. A escolha de plugins seguros é crucial, pois pode nos auxiliar na avaliação de riscos. Abaixo estão sugestões específicas:
Seis, Conclusão
Ao seguir as diretrizes de segurança de transações mencionadas acima, os usuários podem interagir de forma mais tranquila no ecossistema de blockchain cada vez mais complexo, melhorando efetivamente a proteção de seus ativos. Embora a tecnologia blockchain tenha a descentralização e a transparência como suas principais vantagens, isso também significa que os usuários precisam enfrentar de forma independente múltiplos riscos, incluindo phishing de assinatura, vazamento de chaves privadas e aplicativos maliciosos.
Para alcançar uma verdadeira segurança na cadeia, depender apenas de ferramentas de alerta é absolutamente insuficiente; é crucial estabelecer uma consciência de segurança e hábitos operacionais sistemáticos. Através do uso de carteiras de hardware, implementação de estratégias de isolamento de fundos, verificação regular de autorizações e atualização de plugins, entre outras medidas de proteção, e incorporando na operação de transações o conceito de "verificação múltipla, recusa de assinaturas cegas, isolamento de fundos", é que se pode realmente alcançar "um acesso livre e seguro na cadeia".