Посібник з безпеки транзакцій для користувачів Web3

З розвитком екосистеми блокчейн, транзакції в мережі стали важливою частиною щоденних операцій користувачів Web3. Активи користувачів поступово переходять з централізованих платформ до децентралізованих мереж, і ця тенденція означає, що відповідальність за безпеку активів поступово переходить від платформи до самих користувачів. У середовищі блокчейн користувачі повинні нести відповідальність за кожен крок, який вони роблять, будь то імпорт гаманця, доступ до децентралізованих застосунків чи здійснення підпису, авторизації та ініціювання транзакцій, будь-яка необережна дія може стати джерелом небезпеки, призвести до витоку приватних ключів, зловживання авторизацією або серйозних наслідків, таких як фішинг-атаки.

Хоча наразі основні плагіни гаманців та браузери поступово інтегрували функції виявлення фішингу, сповіщення про ризики та інші, з огляду на дедалі складніші методи атак, покладатися лише на пасивний захист інструментів все ще складно повністю уникнути ризику. Щоб допомогти користувачам краще виявляти потенційні ризики в транзакціях на блокчейні, ця стаття на основі реального досвіду систематизувала найбільш поширені ризикові сценарії в процесі, а також, враховуючи рекомендації щодо захисту та поради щодо використання інструментів, розробила комплексний посібник з безпеки транзакцій на блокчейні, щоб допомогти кожному користувачу Web3 побудувати "самостійно контрольовану" лінію захисту.

Основні принципи безпечної угоди:

• Відмовтеся від сліпого підписання: рішуче не підписуйте угоди або повідомлення, які не розумієте.
• Повторна перевірка: Перед здійсненням будь-якої транзакції обов'язково кілька разів перевірте точність відповідної інформації.

Один. Рекомендації щодо безпечної торгівлі

Безпечна торгівля є ключем до захисту цифрових активів. Дослідження показують, що використання безпечних гаманців і двофакторної автентифікації (2FA) може значно знизити ризики. Конкретні рекомендації такі:

• Вибір безпечного гаманця:

Використовуйте надійних постачальників гаманців, таких як апаратні гаманці або надійні програмні гаманці. Апаратні гаманці забезпечують офлайн-складення, що зменшує ризик онлайн-атак, і підходять для зберігання великих активів.

• Уважно перевірте деталі угоди:

Перед підтвердженням транзакції обов'язково перевірте адресу отримання, суму та мережу, щоб уникнути втрат через помилки введення.

• Увімкнути двофакторну аутентифікацію:

Якщо торговельна платформа або гаманці підтримують 2FA, обов'язково ввімкніть його, щоб підвищити безпеку облікового запису, особливо під час використання гарячих гаманців.

• Уникайте використання громадського Wi-Fi:

Не проводьте транзакції в громадських мережах Wi-Fi, щоб уникнути фішингових атак та атак посередників.

Два, як здійснювати безпечні交易

Повний процес торгівлі децентралізованими додатками складається з кількох етапів: встановлення гаманця, доступ до додатку, підключення гаманця, підписання повідомлень, підписання угод, обробка після угоди. На кожному етапі існує певний ризик безпеки, далі будуть поетапно представлені аспекти, на які слід звернути увагу під час фактичних операцій.

1. Встановлення гаманця:

На даний час основним способом використання децентралізованих додатків є взаємодія через браузерні плагін-гаманці. Основні гаманці, які використовуються в EVM-сумісних ланцюгах, включають різні варіанти.

Під час встановлення гаманця у вигляді плагіна для браузера необхідно переконатися, що його завантажено та встановлено з офіційного магазину додатків, щоб уникнути установки гаманця з бекдором з третіх сторін. Користувачам, які мають можливість, рекомендується комбінувати його з апаратним гаманцем для подальшого підвищення безпеки управління приватними ключами.

При створенні резервної копії мнемонічної фрази гаманця (зазвичай це від 12 до 24 слів для відновлення) рекомендується зберігати її в безпечному офлайн-місті, подалі від цифрових пристроїв (наприклад, записати на папері та зберегти в сейфі).

2. Доступ до децентралізованих додатків

Фішинг у мережі є поширеним методом атак у Web3. Типовим випадком є спонукання користувачів відвідати фішингові додатки під виглядом аеродропу, після чого користувачів спонукають підписати авторизацію токенів, транзакції або підписи авторизації токенів, що призводить до втрати активів.

Отже, під час відвідування децентралізованих додатків користувачам слід бути обережними, щоб уникнути потрапляння в пастки веб-фішингу.

Перед доступом до додатка слід підтвердити правильність веб-адреси. Рекомендується:

• Уникайте прямого доступу через пошукові системи: фішингові атаки можуть бути здійснені шляхом купівлі рекламних місць для підвищення рейтингу своїх фішингових сайтів.
• Уникайте натискати на посилання в соціальних мережах: URL-адреси, опубліковані в коментарях або повідомленнях, можуть бути фішинговими.
• Перевірте правильність веб-адреси програми кілька разів: можна перевірити через платформи даних DeFi, ринкові програми, офіційні облікові записи соціальних медіа проєкту та інші джерела.
• Додайте безпечний веб-сайт до закладок браузера: в подальшому доступ до нього безпосередньо з закладок.

Після відкриття веб-сторінки програми також потрібно провести безпечну перевірку адресного рядка:

• Перевірте, чи домен та веб-адреса схожі на підроблені.
• Перевірте, чи є це HTTPS-лінком, браузер повинен показувати значок замка🔒.

Наразі на ринку основні плагін-гаманці також інтегрували певні функції попередження про ризики, які можуть надавати сильні нагадування при доступі до ризикованих веб-сайтів.

3. Підключити гаманець

Після входу в децентралізований додаток може автоматично або після активного натискання на Connect статися підключення гаманця. Плагін-гаманець виконає певні перевірки, відобразить інформацію тощо для поточного додатка.

Після підключення гаманця, зазвичай, якщо користувач не виконує жодних інших дій, програма не буде активно викликати плагін-гаманець. Якщо вебсайт часто викликає гаманець для підписання повідомлень, підписання транзакцій після входу, навіть якщо ви відмовляєтеся підписувати, і продовжує з'являтися вікно підпису, це, ймовірно, може бути фішинг-сайтом, з яким потрібно бути обережним.

4. Підпис повідомлення

У крайніх випадках, наприклад, якщо зловмисник проник у офіційний веб-сайт протоколу або здійснив атаки через фронтенд, замінивши вміст сторінки. Звичайним користувачам дуже важко визначити безпеку сайту в такій ситуації.

На цьому етапі підпис плагіна гаманця є останнім бар'єром захисту активів користувача. Якщо відмовитися від зловмисних підписів, можна захистити свої активи від втрат. Користувачі повинні ретельно перевіряти зміст підпису перед підписанням будь-яких повідомлень та транзакцій, відмовлятися від сліпого підписання, щоб уникнути втрат активів.

Типові види підписів включають:

• Підпис даних хешу
• Підписання відкритої інформації є найбільш поширеним під час перевірки користувача або підтвердження угоди про ліцензію.
• Підпис структурованих даних, зазвичай використовується для дозволів на токени, розміщення NFT тощо

5. Підпис угоди

Підпис транзакції використовується для авторизації транзакцій у блокчейні, таких як перекази або виклик смарт-контрактів. Користувач підписує приватним ключем, мережа перевіряє дійсність транзакції. В даний час багато плагін-гаманців декодують повідомлення, що підлягають підписанню, та відображають відповідний вміст. Обов'язково дотримуйтеся принципу не сліпого підпису, рекомендації з безпеки:

• Уважно перевірте адресу отримувача, суму та мережу, щоб уникнути помилок.
• Рекомендується використовувати офлайн-підпис для великих транзакцій, щоб зменшити ризик онлайн-атак.
• Зверніть увагу на gas-кошти, забезпечте їх розумність, уникайте шахрайства.

Для користувачів з певним технічним запасом також можна використовувати деякі поширені методи ручної перевірки: скопіювати адресу цільового контракту в браузер блокчейну для перевірки, основні моменти перевірки включають, чи є контракт відкритим, чи відбувалися нещодавно великі обсяги транзакцій, і чи присвоїв браузер цій адресі офіційний або шкідливий ярлик тощо.

6. Обробка після угоди

Уникнення фішингових веб-сторінок та шкідливих підписів не означає, що все гаразд; після торгівлі також необхідно проводити управління ризиками.

Після交易 слід своєчасно перевірити стан транзакції в блокчейні, щоб підтвердити, чи відповідає він очікуваному стану під час підписання. Якщо будуть виявлені аномалії, своєчасно вживайте заходів для переведення активів, скасування авторизації та інших дій для зменшення збитків.

Управління авторизацією токенів також є дуже важливим. У деяких випадках користувачі надали авторизацію токенів певним контрактам, а через кілька років ці контракти зазнали атаки, і зловмисники використали ліміти авторизації токенів атакованого контракту для викрадення коштів користувачів. Щоб уникнути таких ситуацій, рекомендується дотримуватись наступних стандартів для запобігання ризикам:

• Мінімізація авторизації. Коли здійснюється авторизація токенів, слід обмежити кількість авторизованих токенів відповідно до вимог транзакції. Якщо для певної транзакції потрібно авторизувати 100 токенів, то кількість авторизації слід обмежити до 100, а не використовувати стандартну безмежну авторизацію.
• Своєчасно відкликати непотрібні дозволи на токени. Користувачі можуть увійти в інструмент управління дозволами, щоб перевірити стан дозволів відповідної адреси, відкликати дозволи протоколів, які довго не взаємодіяли, щоб запобігти можливим вразливостям у протоколах, що можуть призвести до втрати активів через використання дозволених коштів користувача.

Три. Стратегія ізоляції коштів

У випадку, якщо є свідомість ризиків і проведено достатню профілактику ризиків, також рекомендується здійснити ефективну ізоляцію капіталу, щоб зменшити рівень втрат капіталу в екстремальних ситуаціях. Рекомендовані стратегії такі:

• Використовуйте мульти-підпис гаманці або холодні гаманці для зберігання великих активів;
• Використовуйте плагінний гаманець або звичайний гаманець як гарячий гаманець для повсякденного взаємодії;
• Регулярно змінюйте адреси гарячих гаманців, щоб уникнути постійного ризику їхнього暴露.

Якщо випадково дійсно станеться фішинг, рекомендується негайно виконати такі заходи для зменшення втрат:

• Скасувати високий ризик авторизації за допомогою інструментів управління авторизацією;
• Якщо підписано дозвільний підпис, але активи ще не були переміщені, можна негайно ініціювати новий підпис, щоб анулити старий підпис;
• У разі необхідності швидко перемістіть залишкові активи на нову адресу або холодний гаманець.

Чотири, як безпечно брати участь у аеродропах

Аірдроп є поширеним способом просування блокчейн-проектів, проте в ньому також приховані ризики. Ось кілька порад:

• Дослідження фону проекту: забезпечити наявність чіткої білій книги, відкритої інформації про команду та репутації в спільноті;
• Використовуйте спеціальну адресу: зареєструйте спеціальний гаманець та електронну пошту, щоб ізолювати ризик основного рахунку;
• Обережно натискайте на посилання: отримуйте інформацію про аірдроп тільки через офіційні канали, уникайте натискання на підозрілі посилання в соціальних мережах;

П'ять, рекомендації щодо вибору та використання плагінів

Вміст Кодексу безпеки блокчейн дуже різноманітний, і не завжди можна проводити детальну перевірку під час кожної взаємодії. Вибір безпечних плагінів є надзвичайно важливим, оскільки вони можуть допомогти нам у оцінці ризиків. Ось конкретні рекомендації:

• Довірені розширення: використовуйте розширення браузера, які мають високу популярність. Ці плагіни надають функції гаманця та підтримують взаємодію з децентралізованими додатками.
• Перевірка рейтингу: перед встановленням нових плагінів перевірте рейтинг користувачів та кількість установок. Високий рейтинг та велика кількість установок зазвичай свідчать про більшу надійність плагіна, зменшуючи ризик наявності шкідливого коду.
• Залишайтеся в курсі: регулярно оновлюйте свої плагіни, щоб отримувати останні функції безпеки та виправлення. Прострочені плагіни можуть містити відомі вразливості, які легко можуть бути використані зловмисниками.

Шість, висновок

Дотримуючись наведених вище рекомендацій щодо безпечних транзакцій, користувачі можуть більш впевнено взаємодіяти в дедалі складнішій екосистемі блокчейн, суттєво підвищуючи захист своїх активів. Хоча технологія блокчейн має своїми основними перевагами децентралізацію та прозорість, це також означає, що користувачам потрібно самостійно справлятися з багатьма ризиками, включаючи фішинг підписів, витік приватних ключів, шкідливі програми.

Щоб досягти справжньої безпеки при використанні блокчейну, покладатися лише на інструменти нагадування недостатньо, важливо сформувати систематичну свідомість щодо безпеки та звички в операціях. Використовуючи апаратні гаманці, впроваджуючи стратегії ізоляції коштів, регулярно перевіряючи авторизацію та оновлюючи плагіни, а також реалізуючи в торгових операціях принципи "багаторазової перевірки, відмови від сліпого підпису, ізоляції коштів", можна справді досягти "вільного та безпечного використання блокчейну".