Guia de Segurança para Transações de Usuários Web3

Com o contínuo desenvolvimento do ecossistema blockchain, as transações on-chain tornaram-se uma parte importante das operações diárias dos usuários do Web3. Os ativos dos usuários estão se transferindo de plataformas centralizadas para redes descentralizadas, e essa tendência significa que a responsabilidade pela segurança dos ativos está gradualmente se transferindo das plataformas para os próprios usuários. No ambiente blockchain, os usuários precisam ser responsáveis por cada passo da operação, seja importando uma carteira, acessando aplicações descentralizadas, ou realizando autorizações de assinatura e iniciando transações; qualquer operação descuidada pode representar um risco de segurança, levando a sérias consequências como o vazamento de chaves privadas, abuso de autorizações ou ataques de phishing.

Embora atualmente as principais extensões de carteira e navegadores tenham gradualmente integrado funcionalidades como reconhecimento de phishing e alertas de risco, diante de métodos de ataque cada vez mais complexos, depender apenas da defesa passiva das ferramentas ainda torna difícil evitar completamente os riscos. Para ajudar os usuários a identificar melhor os riscos potenciais em transações na blockchain, este artigo, com base na experiência prática, organizou cenários de alto risco ao longo de todo o processo e, juntamente com sugestões de proteção e dicas de uso de ferramentas, elaborou um guia sistemático de segurança para transações na blockchain, com o objetivo de ajudar cada usuário do Web3 a construir uma linha de defesa "autônoma e controlável".

Princípios fundamentais para uma transação segura:

• Recusar a assinatura cega: não assine transações ou mensagens que não compreenda.
• Verificação repetida: Antes de realizar qualquer transação, é imperativo verificar várias vezes a precisão das informações relevantes.

1. Sugestões para Transações Seguras

A negociação segura é a chave para proteger os ativos digitais. Estudos mostram que o uso de carteiras seguras e autenticação de dois fatores (2FA) pode reduzir significativamente o risco. As recomendações específicas são as seguintes:

• Escolha uma carteira segura:

Use provedores de carteira de boa reputação, como carteiras de hardware ou carteiras de software confiáveis. As carteiras de hardware oferecem armazenamento offline, reduzindo o risco de ataques online, sendo adequadas para armazenar grandes ativos.

• Verifique cuidadosamente os detalhes da transação:

Antes de confirmar a transação, é imprescindível verificar o endereço de recepção, o montante e a rede, para evitar perdas devido a erros de entrada.

• Ativar a autenticação dupla:

Se a plataforma de negociação ou carteira suportar 2FA, certifique-se de ativá-la para aumentar a segurança da conta, especialmente ao usar carteiras quentes.

• Evite usar Wi-Fi público:

Não faça transações em redes Wi-Fi públicas para evitar ataques de phishing e ataques de intermediários.

Dois, como realizar transações seguras

Um fluxo de transação de aplicação descentralizada completo inclui várias etapas: instalação da carteira, acesso à aplicação, conexão da carteira, assinatura de mensagens, assinatura de transações e processamento pós-transação. Cada etapa apresenta certos riscos de segurança, e a seguir serão apresentadas as precauções a serem tomadas durante a operação real.

1. Instalação da carteira:

Atualmente, a forma principal de interação com aplicativos descentralizados é através de carteiras de navegador como extensões. As carteiras principais utilizadas nas cadeias compatíveis com EVM incluem várias opções.

Ao instalar uma carteira de plugin de navegador, é necessário garantir que seja feita a instalação a partir da loja oficial de aplicativos, evitando a instalação a partir de sites de terceiros, para prevenir a instalação de software de carteira com backdoor. Usuários com condições recomendam o uso combinado de uma carteira de hardware para aumentar ainda mais a segurança da gestão das chaves privadas.

Ao fazer backup da frase de recuperação da carteira (geralmente uma frase de 12 a 24 palavras), é aconselhável armazená-la em um local seguro e offline, longe de dispositivos digitais (por exemplo, escrevendo-a em papel e guardando-a em um cofre).

2. Aceder a aplicações descentralizadas

A pesca na web é uma técnica comum em ataques Web3. Um caso típico é induzir os usuários a visitar aplicações de phishing sob o pretexto de airdrops, levando-os a assinar autorizações de tokens, transações de transferência ou assinaturas de autorização de tokens após conectarem suas carteiras, resultando em perda de ativos.

Assim, ao acessar aplicativos descentralizados, os usuários devem manter a vigilância e evitar cair nas armadilhas de phishing na web.

Antes de aceder à aplicação, deve confirmar a correção do endereço do site. Sugestão:

• Evite o acesso direto através de motores de busca: atacantes de phishing podem comprar espaços publicitários para classificar seus sites de phishing mais alto.
• Evite clicar em links nas redes sociais: os URLs publicados em comentários ou mensagens podem ser links de phishing.
• Verifique repetidamente a correção do URL da aplicação: pode ser verificado através de plataformas de dados DeFi, mercados de aplicações e contas oficiais nas redes sociais do projeto.
• Adicione sites seguros aos favoritos do navegador: acesse diretamente a partir dos favoritos posteriormente.

Ao abrir a página do aplicativo, também é necessário realizar uma verificação de segurança na barra de endereços:

• Verifique se o domínio e o URL parecem falsificados.
• Verifique se é um link HTTPS, o navegador deve mostrar o ícone de cadeado 🔒.

Atualmente, as principais carteiras de plugins no mercado também integraram algumas funções de alerta de risco, capazes de exibir avisos fortes ao acessar sites de risco.

3. Conectar carteira

Após entrar na aplicação descentralizada, pode ser que a operação de conectar a carteira seja acionada automaticamente ou após clicar ativamente em Conectar. A carteira de extensão realizará algumas verificações e exibirá informações relacionadas à aplicação atual.

Após conectar a carteira, normalmente, quando o usuário não realiza outras operações, a aplicação não invocará ativamente a carteira do plugin. Se o site frequentemente solicitar a assinatura de mensagens ou a assinatura de transações após o login, mesmo após a recusa da assinatura, isso pode indicar que é um site de phishing, e deve ser tratado com cautela.

4. Assinatura de Mensagem

Em casos extremos, como quando um atacante invade o site oficial do protocolo ou realiza ataques como o sequestro da interface, substituindo o conteúdo da página. É muito difícil para um usuário comum identificar a segurança do site nesse tipo de cenário.

Neste momento, a assinatura da carteira de plugin é a última barreira que protege os ativos do usuário. Desde que se recuse a assinaturas maliciosas, os ativos podem ser protegidos contra perdas. Os usuários devem revisar cuidadosamente o conteúdo da assinatura ao assinar qualquer mensagem e transação, recusando assinaturas cegas, para evitar perdas de ativos.

Os tipos de assinatura comuns incluem:

• Assinar dados hash
• Assinar informações em texto claro é mais comum durante a verificação de login do usuário ou na confirmação do acordo de permissão.
• Assinatura de dados estruturados, comumente utilizada para permissões de tokens, listagens de NFTs, etc.

5. Assinatura da Transação

A assinatura da transação é usada para autorizar transações na blockchain, como transferências ou chamadas de contratos inteligentes. Os usuários assinam com a chave privada, e a rede valida a validade da transação. Atualmente, muitas carteiras de plugins decodificam as mensagens a serem assinadas e exibem o conteúdo relevante, é importante seguir o princípio de não assinar cegamente, recomendações de segurança:

• Verifique cuidadosamente o endereço do beneficiário, o montante e a rede para evitar erros.
• Para transações de grande valor, recomenda-se a assinatura offline para reduzir o risco de ataques online.
• Atenção às taxas de gas, assegure-se de que são razoáveis, evite fraudes.

Para usuários com algum conhecimento técnico, também é possível utilizar alguns métodos comuns de verificação manual: copiar o endereço do contrato interativo para o explorador de blockchain para revisão, onde os principais aspectos a serem verificados incluem se o contrato é de código aberto, se houve uma grande quantidade de transações recentemente e se o explorador marcou o endereço com um selo oficial ou um selo de malícia.

6. Processamento pós-negócio

Escapar de páginas de phishing e assinaturas maliciosas não significa que tudo está bem; ainda é necessário realizar a gestão de riscos após a negociação.

Após a transação, deve-se verificar prontamente a situação do registro na blockchain, confirmando se está de acordo com o estado esperado no momento da assinatura. Se forem encontradas anomalias, é importante realizar rapidamente operações de mitigação, como a transferência de ativos e a revogação de autorizações.

A gestão de autorização de tokens também é muito importante. Em alguns casos, os usuários autorizaram tokens a certos contratos, e anos depois, esses contratos foram atacados, com os atacantes a utilizarem os limites de autorização de tokens dos contratos atacados para roubar os fundos dos usuários. Para evitar tais situações, recomenda-se que os usuários sigam os seguintes padrões para a prevenção de riscos:

• Minimizar a autorização. Ao realizar a autorização de tokens, deve-se limitar a quantidade de tokens autorizados de acordo com as necessidades da transação. Se uma transação requerer a autorização de 100 tokens, então a quantidade de autorização deve ser limitada a 100, em vez de usar a autorização padrão ilimitada.
• Revogar atempadamente autorizações de tokens desnecessárias. Os utilizadores podem aceder à ferramenta de gestão de autorizações para verificar a situação das autorizações do respectivo endereço, revogando as autorizações de protocolos que não interagiram há algum tempo, para evitar que vulnerabilidades no protocolo possam levar à utilização do limite de autorização dos utilizadores e causar perdas de ativos.

Três, estratégia de isolamento de fundos

Na presença de consciência de riscos e tendo tomado precauções adequadas para mitigação de riscos, também é aconselhável realizar uma efetiva segregação de fundos, de modo a reduzir o grau de exposição dos fundos em situações extremas. As estratégias recomendadas são as seguintes:

• Utilize uma carteira multi-assinatura ou uma carteira fria para armazenar ativos de grande valor;
• Utilize uma carteira de plugin ou uma carteira normal como carteira quente para interações diárias;
• Alterar regularmente o endereço da carteira quente para evitar a exposição contínua a ambientes de risco.

Se, por acaso, acontecer realmente uma situação de phishing, recomenda-se tomar imediatamente as seguintes medidas para reduzir as perdas:

• Utilize a ferramenta de gestão de autorizações para cancelar autorizações de alto risco;
• Se uma assinatura de licença foi assinada, mas o ativo ainda não foi transferido, pode ser iniciada imediatamente uma nova assinatura para invalidar a assinatura antiga;
• Se necessário, transfira rapidamente os ativos restantes para um novo endereço ou carteira fria.

Quatro, como participar de atividades de airdrop de forma segura

Os airdrops são uma forma comum de promoção de projetos de blockchain, mas também trazem riscos ocultos. Aqui estão algumas sugestões:

• Pesquisa de fundo do projeto: garantir que o projeto tenha um white paper claro, informações da equipe disponíveis publicamente e uma boa reputação na comunidade;
• Usar endereços dedicados: registar uma carteira e um e-mail dedicados, isolando o risco da conta principal;
• Cuidado ao clicar em links: obtenha informações sobre airdrops apenas através de canais oficiais, evite clicar em links suspeitos nas plataformas sociais;

Cinco, seleção e recomendações para o uso de ferramentas de plug-in

O conteúdo do código de segurança da blockchain é extenso, e pode não ser possível realizar uma verificação detalhada a cada interação. Escolher plugins seguros é crucial, pois pode nos ajudar a fazer uma avaliação de risco. Aqui estão algumas recomendações específicas:

• Extensões confiáveis: use extensões de navegador amplamente utilizadas. Esses plugins oferecem funcionalidades de carteira e suportam a interação com aplicativos descentralizados.
• Verificação de classificação: Antes de instalar um novo plugin, verifique a classificação dos usuários e o número de instalações. Uma alta classificação e um grande número de instalações geralmente indicam que o plugin é mais confiável, reduzindo o risco de código malicioso.
• Mantenha-se atualizado: atualize regularmente os seus plugins para obter as últimas funcionalidades de segurança e correções. Plugins desatualizados podem conter vulnerabilidades conhecidas, tornando-os suscetíveis a ataques.

VI. Conclusão

Ao seguir as diretrizes de segurança para transações acima, os usuários podem interagir de maneira mais tranquila em um ecossistema de blockchain cada vez mais complexo, melhorando efetivamente a capacidade de proteção de ativos. Embora a tecnologia blockchain tenha como principais vantagens a descentralização e a transparência, isso também significa que os usuários devem lidar de forma independente com múltiplos riscos, incluindo phishing de assinaturas, vazamento de chaves privadas e aplicativos maliciosos.

Para alcançar uma verdadeira segurança na blockchain, depender apenas de ferramentas de aviso é insuficiente; é fundamental estabelecer uma consciência e hábitos operacionais sistemáticos de segurança. Através do uso de carteiras de hardware, implementação de estratégias de isolamento de fundos, verificação regular de autorizações e atualização de plugins, entre outras medidas de proteção, e aplicando na operação de transações o conceito de "múltipla verificação, recusa de assinaturas cegas, isolamento de fundos", é que se pode realmente alcançar "uma blockchain livre e segura".