Руководство по безопасности транзакций для пользователей Web3

С развитием экосистемы блокчейна, ончейн-транзакции стали важной частью повседневных операций пользователей Web3. Активы пользователей постепенно перемещаются с централизованных платформ на децентрализованные сети, и эта тенденция означает, что ответственность за безопасность активов постепенно переходит от платформы к самим пользователям. В условиях блокчейна пользователи должны нести ответственность за каждое свое действие, будь то импорт кошелька, доступ к децентрализованному приложению или выполнение подписи и инициирование транзакции; любое неосторожное действие может стать источником угрозы безопасности, что может привести к утечке приватных ключей, злоупотреблению полномочиями или серьезным последствиям, таким как фишинг.

Хотя в настоящее время основные кошельки и браузеры постепенно интегрировали функции распознавания фишинга и предупреждений о рисках, полагаться только на пассивную защиту инструментов все еще сложно, чтобы полностью избежать рисков в условиях все более сложных методов атак. Чтобы помочь пользователям лучше распознавать потенциальные риски в цепочных транзакциях, в данной статье на основе реального опыта собраны высокочастотные сценарии рисков на всех этапах процесса, а также разработаны системные рекомендации по защите и советы по использованию инструментов, чтобы помочь каждому пользователю Web3 создать "самостоятельно управляемую" линию безопасности.

Основные принципы безопасной торговли:

• Отказ от слепого подписания: категорически не подписывать сделки или сообщения, которые не понимаете.
• Повторная проверка: перед выполнением любой сделки обязательно несколько раз проверьте точность соответствующей информации.

1. Рекомендации по безопасной торговле

Безопасная торговля является ключом к защите цифровых активов. Исследования показывают, что использование безопасных кошельков и двухфакторной аутентификации (2FA) может значительно снизить риски. Конкретные рекомендации следующие:

• Выбор безопасного кошелька:

Используйте надежных поставщиков кошельков, таких как аппаратные кошельки или надежные программные кошельки. Аппаратные кошельки обеспечивают офлайн-хранение, что снижает риск онлайн-атак и подходит для хранения крупных активов.

• Тщательно проверьте детали сделки:

Перед подтверждением транзакции обязательно проверьте адрес получателя, сумму и сеть, чтобы избежать потерь из-за ошибок ввода.

• Включите двухфакторную аутентификацию:

Если торговая платформа или кошелек поддерживают 2FA, обязательно активируйте его для повышения безопасности аккаунта, особенно при использовании горячих кошельков.

• Избегайте использования общественного Wi-Fi:

Не проводите сделки в общественных сетях Wi-Fi, чтобы избежать фишинговых атак и атак посредников.

Два, как проводить безопасные сделки

Полный процесс сделки децентрализованного приложения включает в себя несколько этапов: установка кошелька, доступ к приложению, подключение кошелька, подпись сообщений, подпись транзакций, обработка после транзакции. На каждом этапе существуют определенные риски безопасности, ниже будут последовательно представлены меры предосторожности в процессе выполнения.

1. Установка кошелька:

В настоящее время основной способ использования децентрализованных приложений — это взаимодействие через браузерные кошельки-плагины. Основные кошельки, используемые в EVM-совместимых цепочках, включают в себя множество вариантов.

При установке плагина-кошелька для браузера необходимо убедиться, что он загружается и устанавливается из официального магазина приложений, чтобы избежать установки кошельков с бэкдорами из сторонних сайтов. Пользователям, у которых есть такая возможность, рекомендуется дополнительно использовать аппаратные кошельки для повышения безопасности управления приватными ключами.

При резервном копировании мнемонической фразы кошелька (обычно состоящей из 12-24 слов) рекомендуется хранить её в безопасном оффлайн-месте, вдали от цифровых устройств (например, записать на бумаге и сохранить в сейфе).

2. Доступ к децентрализованным приложениям

Фишинг в вебе является распространенным методом атак в Web3. Типичный случай заключается в том, чтобы побудить пользователей посетить фишинговое приложение под предлогом аирдропа, после чего, когда пользователь подключает кошелек, его заставляют подписывать авторизацию токенов, транзакции перевода или подписи авторизации токенов, что приводит к потере активов.

Поэтому, при доступе к децентрализованным приложениям, пользователи должны быть осторожны и избегать ловушек веб-фишинга.

Перед доступом к приложению следует подтвердить правильность URL. Рекомендуется:

• Избегайте прямого доступа через поисковые системы: злоумышленники могут продвигать свои фишинговые сайты, покупая рекламные места.
• Избегайте нажатия на ссылки в социальных сетях: URL-адреса, размещенные в комментариях или сообщениях, могут быть фишинговыми.
• Повторно проверьте правильность адреса приложения: можно сверить через платформы данных DeFi, другие приложения на рынке и официальные социальные медиа-аккаунты проекта.
• Добавьте безопасный сайт в закладки браузера: в дальнейшем можно будет получать доступ напрямую из закладок.

После открытия веб-страницы приложения также необходимо провести проверку безопасности адресной строки:

• Проверьте, похожи ли домен и URL на подделку.
• Проверьте, является ли ссылка HTTPS, браузер должен отображать значок замка🔒.

В настоящее время основные плагин-кошельки на рынке также интегрировали определенные функции предупреждения о рисках, которые могут отображать сильные уведомления при посещении рискованных веб-сайтов.

3. Подключите кошелек

После входа в децентрализованное приложение может автоматически или после активного нажатия на "Подключить" произойти операция подключения кошелька. Плагин-кошелек выполнит некоторые проверки и представит информацию для текущего приложения.

После подключения кошелька приложение обычно не вызывает плагин-кошелек, если пользователь не выполняет никаких других действий. Если сайт после входа в систему часто вызывает кошелек для подтверждения сообщения, подписания транзакций, и даже после отказа от подписи продолжает постоянно запрашивать подпись, это может быть признаком фишингового сайта, и с такой ситуацией нужно быть осторожным.

4. Подпись сообщений

В крайних случаях, когда злоумышленник атакует официальный сайт протокола или использует такие атаки, как захват через фронтенд, контент страницы может быть заменен. Обычному пользователю сложно определить безопасность сайта в такой ситуации.

В этот момент подпись плагина-кошелька является последним барьером для защиты активов пользователя. Просто отказавшись от злонамеренных подписей, можно защитить свои активы от потерь. Пользователь должен тщательно проверять содержимое подписи при подписании любых сообщений и транзакций, отказываясь от слепых подписей, чтобы избежать потерь активов.

Распространенные типы подписей включают:

• Подписать хэш-данные
• Подписание открытой информации является наиболее распространённым при проверке входа пользователя или подтверждении лицензионного соглашения.
• Подпись структурированных данных, обычно используется для разрешений токенов, размещения NFT и т.д.

5. Подпись сделки

Подпись транзакции используется для авторизации транзакций в блокчейне, таких как переводы или вызовы смарт-контрактов. Пользователь подписывает с помощью приватного ключа, а сеть проверяет действительность транзакции. В настоящее время многие плагин-кошельки декодируют сообщения, ожидающие подписи, и отображают соответствующее содержимое, обязательно следуйте принципу "не подписывать вслепую", советы по безопасности:

• Тщательно проверьте адрес получателя, сумму и сеть, чтобы избежать ошибок.
• Рекомендуется использовать оффлайн-подпись для крупных транзакций, чтобы снизить риск онлайн-атак.
• Обратите внимание на газовые сборы, убедитесь, что они разумны, чтобы избежать мошенничества.

Для пользователей с определенными техническими знаниями также можно использовать некоторые распространенные методы ручной проверки: скопировать адрес смарт-контракта целевого взаимодействия в блокчейн-браузер для проверки, основное содержание проверки включает в себя, является ли контракт открытым исходным кодом, происходили ли в последнее время массовые транзакции и пометил ли браузер этот адрес официальной меткой или меткой злоумышленника и т.д.

6. Обработка после сделки

Успешное избегание фишинговых страниц и вредоносных подписей не означает, что все в порядке; после сделки также необходимо проводить управление рисками.

После сделки необходимо своевременно проверить статус сделки в блокчейне и подтвердить, соответствует ли он ожидаемому состоянию на момент подписания. Если будет обнаружено что-то необычное, необходимо оперативно провести операции по переводам активов, отмене авторизаций и другим мероприятиям для ограничения убытков.

Управление авторизацией токенов также очень важно. В некоторых случаях пользователи предоставляли авторизацию токенов для определенных контрактов, и спустя годы эти контракты подверглись атаке, и злоумышленники использовали лимиты авторизации токенов атакуемого контракта для кражи средств пользователей. Чтобы избежать таких ситуаций, рекомендуется следовать следующим стандартам для управления рисками:

• Минимизация авторизации. При авторизации токенов необходимо ограничить количество авторизованных токенов в зависимости от потребностей сделки. Если для определенной сделки требуется авторизация 100 токенов, то количество авторизации должно быть ограничено 100, а не использовать настройку по умолчанию для неограниченной авторизации.
• Своевременно отменяйте ненужные токен-авторизации. Пользователи могут войти в инструмент управления авторизацией, чтобы проверить статус авторизации соответствующего адреса, отменить авторизацию протоколов, с которыми не было взаимодействия в течение длительного времени, чтобы предотвратить возможность использования уязвимостей протоколов для причинения убытков активам пользователя.

Три. Стратегия изоляции средств

При наличии осознания рисков и достаточных мер по их предотвращению также рекомендуется осуществлять эффективное разделение капитала, чтобы снизить степень потерь в экстренных ситуациях. Рекомендуемая стратегия следующая:

• Используйте мультиподписные кошельки или холодные кошельки для хранения крупных активов;
• Используйте плагин-кошелек или обычный кошелек в качестве горячего кошелька для повседневного взаимодействия;
• Регулярно меняйте адреса горячих кошельков, чтобы избежать постоянного воздействия адресов на рискованную среду.

Если вы случайно стали жертвой фишинга, рекомендуется сразу же выполнить следующие меры для снижения потерь:

• Используйте инструменты управления доступом для отмены высоких разрешений;
• Если была подписана лицензионная подпись, но активы еще не были переданы, можно немедленно инициировать новую подпись, чтобы сделать старую подпись недействительной;
• При необходимости быстро переместите оставшиеся активы на новый адрес или в холодный кошелек.

Четыре. Как безопасно участвовать в аирдропах

Airdrop — это распространенный способ продвижения блокчейн-проектов, но в этом также скрыты риски. Вот несколько советов:

• Исследование фона проекта: обеспечить наличие четкого白皮书, открытой информации о команде и репутации сообщества;
• Используйте специальный адрес: зарегистрируйте специальный кошелек и электронную почту, чтобы изолировать риски основного счета;
• Осторожно нажимайте на ссылки: получайте информацию о аирдропах только через официальные каналы, избегайте нажатия на подозрительные ссылки в социальных платформах;

Пять, выбор и рекомендации по использованию плагинов

Содержимое правил безопасности блокчейна обширно, и возможно, что не всегда удастся провести тщательную проверку во время каждой интеракции. Выбор безопасных плагинов имеет решающее значение, так как они могут помочь нам в оценке рисков. Вот конкретные рекомендации:

• Доверенные расширения: используйте расширения браузера с высокой популярностью. Эти плагины предоставляют функции кошелька и поддерживают взаимодействие с децентрализованными приложениями.
• Проверка рейтинга: перед установкой нового плагина проверьте рейтинг пользователей и количество установок. Высокий рейтинг и большое количество установок обычно указывают на то, что плагин более надежен, что снижает риск наличия вредоносного кода.
• Поддерживайте обновление: регулярно обновляйте ваши плагины, чтобы получить последние функции безопасности и исправления. Устаревшие плагины могут содержать известные уязвимости, которые могут быть использованы злоумышленниками.

Шесть, Заключение

Следуя вышеуказанным рекомендациям по безопасной торговле, пользователи смогут более уверенно взаимодействовать в все более сложной экосистеме блокчейна, эффективно повышая защиту своих активов. Несмотря на то, что технология блокчейн имеет централизованные и прозрачные преимущества, это также означает, что пользователи должны самостоятельно справляться с множеством рисков, включая фишинг с подписями, утечку приватных ключей и вредоносные приложения.

Чтобы достичь настоящей безопасности при записи в блокчейн, полагаться только на инструменты для предупреждения недостаточно; ключевым является создание системного подхода к безопасности и формирование привычек. Используя аппаратные кошельки, реализуя стратегию изоляции средств, регулярно проверяя авторизацию и обновляя плагины и другие защитные меры, а также внедряя в торговые операции принципы "многофакторной аутентификации, отказа от слепой подписи, изоляции средств", можно действительно достичь "свободной и безопасной записи в блокчейн".