Guia de Negociação Segura Web3: Proteja o seu ativo digital
Com o contínuo desenvolvimento do ecossistema blockchain, as transações na cadeia tornaram-se uma parte importante das operações diárias dos usuários de Web3. Cada vez mais ativos dos usuários estão sendo transferidos de plataformas centralizadas para redes descentralizadas, e essa tendência também significa que a responsabilidade pela segurança dos ativos está gradualmente se transferindo das plataformas para os próprios usuários. Em um ambiente descentralizado, os usuários precisam ser responsáveis por cada passo da operação, seja importando uma carteira, acessando aplicativos, ou autorizando assinaturas e iniciando transações; qualquer descuido pode levar a sérias vulnerabilidades de segurança, como vazamento de chaves privadas, abuso de autorizações ou ataques de phishing.
Embora atualmente os plugins de carteira e os navegadores principais estejam gradualmente integrando funções de identificação e alerta de riscos, enfrentar métodos de ataque cada vez mais complexos torna difícil evitar completamente os riscos apenas com a defesa passiva das ferramentas. Para ajudar os usuários a identificar melhor os riscos potenciais nas transações em blockchain, nossos especialistas em segurança, com base na experiência prática, resumiram cenários de alto risco em todo o processo e, juntamente com recomendações de proteção e dicas de uso de ferramentas, elaboraram um guia sistemático de segurança para transações em blockchain, com o objetivo de ajudar cada usuário de Web3 a construir uma linha de defesa "autônoma e controlável".
Princípios fundamentais de negociação segura:
Recusar a assinatura cega: em relação a transações ou mensagens que não compreende, recuse-se a assinar.
Verificação repetida: antes de realizar qualquer transação, é imprescindível verificar várias vezes a precisão das informações relacionadas.
Sugestões para Transações Seguras
A chave para garantir a segurança dos ativos digitais está na transação segura. Estudos mostram que usar carteiras seguras e autenticação em duas etapas (2FA) pode reduzir significativamente o risco. Aqui estão algumas recomendações específicas:
Escolha uma carteira segura:
Utilize provedores de carteira respeitáveis, como carteiras de hardware como Ledger ou Trezor, ou algumas carteiras de software conhecidas. As carteiras de hardware oferecem a funcionalidade de armazenamento offline, o que pode reduzir o risco de ataques online, sendo adequadas para armazenar grandes quantidades de ativos.
Verifique cuidadosamente os detalhes da transação:
Antes de confirmar a transação, verifique obrigatoriamente o endereço do destinatário, o montante e a rede ( para garantir que está a utilizar a rede de blockchain correta ), a fim de evitar perdas devido a erros de entrada.
Ativar a autenticação em duas etapas(2FA):
Se a plataforma de negociação ou a carteira suportar 2FA, certifique-se de ativar esta funcionalidade para aumentar a segurança da conta, especialmente ao usar carteiras quentes.
Evite usar Wi-Fi público:
Não faça transações em redes Wi-Fi públicas para evitar ataques de phishing e ataques de intermediários.
Guia de Operações de Negociação Segura
Um processo de transação completo de um aplicativo descentralizado ( DApp ) contém várias etapas: instalação da carteira, acesso ao DApp, conexão da carteira, assinatura de mensagens, assinatura de transações e processamento pós-transação. Cada etapa apresenta certos riscos de segurança, e a seguir serão apresentadas as precauções a serem tomadas durante a operação real.
1. Instalação da carteira
Atualmente, a principal forma de uso das DApps é através de carteiras de extensão de navegador. As carteiras principais utilizadas na Ethereum e em cadeias compatíveis incluem algumas carteiras de extensão conhecidas.
Ao instalar a carteira de extensão do navegador, é necessário garantir que a instalação seja feita a partir da loja de aplicativos oficial, evitando a instalação a partir de sites de terceiros, para prevenir a instalação de softwares de carteira com backdoors. Usuários que possam devem considerar o uso combinado de uma carteira de hardware para aumentar ainda mais a segurança geral da gestão das chaves privadas.
Ao instalar a frase de recuperação do backup da carteira, ( normalmente consiste em 12 a 24 palavras, ) e é aconselhável armazená-la em um local seguro e offline, longe de dispositivos digitais, ( por exemplo, escrevendo-a em papel e guardando-a em um cofre ).
2. Aceder ao DApp
A pesca na web é uma técnica comum em ataques Web3. Um caso típico é induzir os usuários a visitar aplicações de phishing sob o pretexto de airdrops, levando-os a assinar a autorização de tokens, transações de transferência ou assinaturas de autorização de tokens após conectarem suas carteiras, resultando em perda de ativos.
Portanto, ao acessar o DApp, os usuários devem estar atentos para evitar cair nas armadilhas de phishing na web.
Antes de acessar o DApp, deve-se confirmar a correção do endereço da web. Sugestão:
Evite acessar diretamente através de motores de busca: atacantes de phishing podem elevar a classificação de seus sites de phishing comprando espaços publicitários.
Evite clicar em links nas redes sociais: os URLs publicados em comentários ou mensagens podem ser links de phishing.
Verifique repetidamente a correção do URL do DApp: pode ser verificado através de plataformas de dados DApp autorizadas, contas oficiais de redes sociais do projeto, entre outros.
Adicione o site seguro aos favoritos do navegador: acesse diretamente a partir dos favoritos posteriormente.
Após abrir a página da DApp, também é necessário realizar uma verificação de segurança na barra de endereços:
Verifique se o domínio e o URL parecem falsificados.
Verifique se é um link HTTPS, o navegador deve mostrar o ícone de cadeado 🔒.
Atualmente, as principais carteiras de plugins disponíveis no mercado também integram uma certa funcionalidade de aviso de risco, podendo exibir um alerta forte ao acessar sites de risco.
3. Conectar carteira
Após entrar no DApp, pode ser que a operação de conectar a carteira seja acionada automaticamente ou após clicar proativamente em Conectar. A carteira de plugin realizará algumas verificações, exibições de informações, etc., em relação ao DApp atual.
Após conectar a carteira, normalmente, quando o usuário não realiza outras operações, o DApp não invoca ativamente a carteira de plug-in. Se o site frequentemente invocar a carteira para solicitar a assinatura de mensagens, assinar transações, ou até mesmo continuar a solicitar assinaturas após a recusa, é muito provável que seja um site de phishing, necessitando de cautela.
4. Assinatura de Mensagem
Em situações extremas, como quando um atacante conseguiu invadir o site oficial do protocolo ou realizar ataques como o hijacking do frontend, o conteúdo da página foi substituído. É muito difícil para um usuário comum verificar a segurança do site nesse tipo de cenário.
Neste momento, a assinatura da carteira de plugins é a última barreira que protege os ativos do usuário. Ao recusar assinaturas maliciosas, é possível garantir que os ativos permaneçam seguros. Os usuários devem examinar cuidadosamente o conteúdo da assinatura ao assinar qualquer mensagem ou transação, recusando a assinatura cega, para evitar a perda de ativos.
Os tipos de assinatura comuns incluem:
eth_sign: assinar dados hash.
personal_sign: Assinatura de informações em texto claro, é mais comum durante a verificação de login do usuário ou confirmação de contrato de licença.
eth_signTypedData(EIP-712): assinatura de dados estruturados, comumente usado para Permissão ERC20, listagens de NFT, etc.
5. Assinatura da transação
A assinatura de transações é usada para autorizar transações na blockchain, como transferências ou chamadas de contratos inteligentes. Os usuários assinam com a chave privada, e a rede verifica a validade da transação. Atualmente, muitas carteiras de plugins decodificam as mensagens a serem assinadas e exibem o conteúdo relevante, é importante seguir o princípio de não assinar cegamente, recomendações de segurança:
Verifique cuidadosamente o endereço do beneficiário, o montante e a rede, para evitar erros.
Para transações de grande valor, recomenda-se a assinatura offline para reduzir o risco de ataques online.
Atenção às taxas de gas, assegure-se de que são razoáveis, evite fraudes.
Para usuários com um certo conhecimento técnico, também é possível usar alguns métodos comuns de verificação manual: verificar o endereço do contrato interativo copiado no explorador de blockchain, onde o conteúdo a ser verificado inclui se o contrato é de código aberto, se houve uma grande quantidade de transações recentemente e se o explorador marcou o endereço com um rótulo oficial ou malicioso.
6. Processamento pós-negociação
Escapar de páginas de phishing e assinaturas maliciosas não significa que tudo esteja bem; ainda é necessário realizar a gestão de riscos após a negociação.
Após a transação, deve-se verificar prontamente a situação da transação na blockchain, confirmando se está consistente com o estado esperado no momento da assinatura. Se forem detectadas anomalias, é importante realizar rapidamente operações de mitigação, como transferência de ativos ou revogação de autorizações.
A gestão de autorização ERC20 também é muito importante. Em alguns casos, os usuários autorizaram tokens para certos contratos e, anos depois, esses contratos foram atacados, com os atacantes a utilizarem o limite de autorização de tokens do contrato atacado para roubar fundos dos usuários. Para evitar tais situações, a nossa equipe de segurança recomenda que os usuários sigam os seguintes padrões para a prevenção de riscos:
Minimização da autorização. Quando se autoriza um token, a quantidade de tokens autorizados deve ser limitada de acordo com as necessidades da transação. Se uma transação requer uma autorização de 100 USDT, então a quantidade de autorização deve ser limitada a 100 USDT, e não deve ser utilizada a autorização ilimitada por padrão.
Revogar atempadamente autorizações de tokens desnecessárias. Os utilizadores podem aceder a certas ferramentas de gestão de autorizações para consultar a situação das autorizações dos endereços correspondentes, revogar as autorizações de protocolos que não têm interações há muito tempo, prevenindo assim que vulnerabilidades dos protocolos permitam a exploração dos limites de autorização dos utilizadores e causem perdas de ativos.
Estratégia de Isolamento de Fundos
Com a consciência dos riscos e após realizar uma prevenção de riscos adequada, também é aconselhável realizar um isolamento efetivo de fundos, a fim de reduzir o grau de perda de capital em situações extremas. As estratégias recomendadas são as seguintes:
Utilize uma carteira multi-assinatura ou uma carteira fria para armazenar ativos de grande valor;
Utilize uma carteira de plugin ou uma carteira EOA como carteira quente para interações diárias;
Mude regularmente o endereço da carteira quente para evitar que o endereço fique exposto a ambientes de risco.
Se, por acaso, realmente ocorrer uma situação de phishing, recomendamos que execute imediatamente as seguintes medidas para reduzir as perdas:
Usar ferramentas de gestão de autorizações para cancelar autorizações de alto risco;
Se a assinatura do permit foi realizada mas os ativos ainda não foram transferidos, é possível iniciar uma nova assinatura imediatamente para invalidar o nonce da assinatura antiga;
Se necessário, transfira rapidamente os ativos restantes para um novo endereço ou carteira fria.
Participação segura em atividades de airdrop
O airdrop é uma forma comum de promoção de projetos de blockchain, mas também oculta riscos. Aqui estão algumas sugestões:
Pesquisa de fundo do projeto: garantir que o projeto tenha um white paper claro, informações da equipe públicas e uma boa reputação na comunidade;
Usar um endereço dedicado: registar uma carteira e um e-mail dedicados, isolando o risco da conta principal;
Clique com cautela nos links: obtenha informações sobre airdrops apenas através de canais oficiais, evite clicar em links suspeitos nas plataformas sociais;
Sugestões para a escolha e uso de ferramentas de plugins
O conteúdo do código de segurança da blockchain é extenso, e pode não ser possível realizar verificações detalhadas em cada interação. Escolher plugins seguros é crucial, pois pode nos ajudar a fazer julgamentos de risco. Abaixo estão sugestões específicas:
Extensões confiáveis: use extensões de navegador com alta taxa de uso, como alguns plugins de carteira conhecidos. Esses plugins oferecem funcionalidades de carteira e suportam interações com DApps.
Verifique a classificação: antes de instalar um novo plugin, verifique a classificação dos usuários e o número de instalações. Uma alta classificação e um grande número de instalações geralmente indicam que o plugin é mais confiável, reduzindo o risco de código malicioso.
Mantenha-se atualizado: Atualize regularmente os seus plugins para obter as últimas funcionalidades de segurança e correções. Plugins desatualizados podem conter vulnerabilidades conhecidas, que podem ser exploradas por atacantes.
Conclusão
Ao seguir as diretrizes de segurança de transações mencionadas acima, os usuários podem interagir de forma mais tranquila em um ecossistema de blockchain cada vez mais complexo, melhorando efetivamente a proteção de seus ativos. Embora a tecnologia blockchain tenha como principais vantagens a descentralização e a transparência, isso também significa que os usuários precisam lidar de forma independente com múltiplos riscos, incluindo phishing de assinatura, vazamento de chaves privadas e aplicativos maliciosos.
Para alcançar uma verdadeira segurança na blockchain, depender apenas de ferramentas de alerta não é suficiente; é fundamental estabelecer uma consciência de segurança sistemática e hábitos operacionais. Ao utilizar carteiras de hardware, implementar estratégias de isolamento de fundos, verificar e atualizar regularmente autorizações e plugins, e ao aplicar na operação de transações o conceito de "verificação múltipla, recusa de assinaturas cegas, isolamento de fundos", só assim se pode realmente fazer uma "blockchain livre e segura".
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
17 Curtidas
Recompensa
17
6
Repostar
Compartilhar
Comentário
0/400
CryptoNomics
· 08-16 13:14
*sigh* medidas de segurança básicas não irão protegê-lo de vetores de ataque estocásticos... a matriz de correlação prova 98,2% de vulnerabilidade
Ver originalResponder0
StableBoi
· 08-16 12:23
Estragou, o pequeno está a vazar moeda.
Ver originalResponder0
Rekt_Recovery
· 08-13 22:02
perdi 6 dígitos em defi... mas ainda estou vivo. seu amigável degen do bairro compartilhando histórias de guerra e hopium
Ver originalResponder0
alpha_leaker
· 08-13 22:02
Novato deve ver! Aprenda antes de falar.
Ver originalResponder0
Ramen_Until_Rich
· 08-13 22:00
Só o macarrão frito pode levar à luta para se tornar rico~
Ver originalResponder0
AltcoinHunter
· 08-13 21:57
Mais um artigo sobre fazer as pessoas de parvas. Se todos entenderem, quantos idiotas ainda restarão?
Guia de Segurança de Transações Web3: Construindo um Sistema de Proteção de Ativos Abrangente
Guia de Negociação Segura Web3: Proteja o seu ativo digital
Com o contínuo desenvolvimento do ecossistema blockchain, as transações na cadeia tornaram-se uma parte importante das operações diárias dos usuários de Web3. Cada vez mais ativos dos usuários estão sendo transferidos de plataformas centralizadas para redes descentralizadas, e essa tendência também significa que a responsabilidade pela segurança dos ativos está gradualmente se transferindo das plataformas para os próprios usuários. Em um ambiente descentralizado, os usuários precisam ser responsáveis por cada passo da operação, seja importando uma carteira, acessando aplicativos, ou autorizando assinaturas e iniciando transações; qualquer descuido pode levar a sérias vulnerabilidades de segurança, como vazamento de chaves privadas, abuso de autorizações ou ataques de phishing.
Embora atualmente os plugins de carteira e os navegadores principais estejam gradualmente integrando funções de identificação e alerta de riscos, enfrentar métodos de ataque cada vez mais complexos torna difícil evitar completamente os riscos apenas com a defesa passiva das ferramentas. Para ajudar os usuários a identificar melhor os riscos potenciais nas transações em blockchain, nossos especialistas em segurança, com base na experiência prática, resumiram cenários de alto risco em todo o processo e, juntamente com recomendações de proteção e dicas de uso de ferramentas, elaboraram um guia sistemático de segurança para transações em blockchain, com o objetivo de ajudar cada usuário de Web3 a construir uma linha de defesa "autônoma e controlável".
Princípios fundamentais de negociação segura:
Sugestões para Transações Seguras
A chave para garantir a segurança dos ativos digitais está na transação segura. Estudos mostram que usar carteiras seguras e autenticação em duas etapas (2FA) pode reduzir significativamente o risco. Aqui estão algumas recomendações específicas:
Escolha uma carteira segura: Utilize provedores de carteira respeitáveis, como carteiras de hardware como Ledger ou Trezor, ou algumas carteiras de software conhecidas. As carteiras de hardware oferecem a funcionalidade de armazenamento offline, o que pode reduzir o risco de ataques online, sendo adequadas para armazenar grandes quantidades de ativos.
Verifique cuidadosamente os detalhes da transação: Antes de confirmar a transação, verifique obrigatoriamente o endereço do destinatário, o montante e a rede ( para garantir que está a utilizar a rede de blockchain correta ), a fim de evitar perdas devido a erros de entrada.
Ativar a autenticação em duas etapas(2FA): Se a plataforma de negociação ou a carteira suportar 2FA, certifique-se de ativar esta funcionalidade para aumentar a segurança da conta, especialmente ao usar carteiras quentes.
Evite usar Wi-Fi público: Não faça transações em redes Wi-Fi públicas para evitar ataques de phishing e ataques de intermediários.
Guia de Operações de Negociação Segura
Um processo de transação completo de um aplicativo descentralizado ( DApp ) contém várias etapas: instalação da carteira, acesso ao DApp, conexão da carteira, assinatura de mensagens, assinatura de transações e processamento pós-transação. Cada etapa apresenta certos riscos de segurança, e a seguir serão apresentadas as precauções a serem tomadas durante a operação real.
1. Instalação da carteira
Atualmente, a principal forma de uso das DApps é através de carteiras de extensão de navegador. As carteiras principais utilizadas na Ethereum e em cadeias compatíveis incluem algumas carteiras de extensão conhecidas.
Ao instalar a carteira de extensão do navegador, é necessário garantir que a instalação seja feita a partir da loja de aplicativos oficial, evitando a instalação a partir de sites de terceiros, para prevenir a instalação de softwares de carteira com backdoors. Usuários que possam devem considerar o uso combinado de uma carteira de hardware para aumentar ainda mais a segurança geral da gestão das chaves privadas.
Ao instalar a frase de recuperação do backup da carteira, ( normalmente consiste em 12 a 24 palavras, ) e é aconselhável armazená-la em um local seguro e offline, longe de dispositivos digitais, ( por exemplo, escrevendo-a em papel e guardando-a em um cofre ).
2. Aceder ao DApp
A pesca na web é uma técnica comum em ataques Web3. Um caso típico é induzir os usuários a visitar aplicações de phishing sob o pretexto de airdrops, levando-os a assinar a autorização de tokens, transações de transferência ou assinaturas de autorização de tokens após conectarem suas carteiras, resultando em perda de ativos.
Portanto, ao acessar o DApp, os usuários devem estar atentos para evitar cair nas armadilhas de phishing na web.
Antes de acessar o DApp, deve-se confirmar a correção do endereço da web. Sugestão:
Após abrir a página da DApp, também é necessário realizar uma verificação de segurança na barra de endereços:
Atualmente, as principais carteiras de plugins disponíveis no mercado também integram uma certa funcionalidade de aviso de risco, podendo exibir um alerta forte ao acessar sites de risco.
3. Conectar carteira
Após entrar no DApp, pode ser que a operação de conectar a carteira seja acionada automaticamente ou após clicar proativamente em Conectar. A carteira de plugin realizará algumas verificações, exibições de informações, etc., em relação ao DApp atual.
Após conectar a carteira, normalmente, quando o usuário não realiza outras operações, o DApp não invoca ativamente a carteira de plug-in. Se o site frequentemente invocar a carteira para solicitar a assinatura de mensagens, assinar transações, ou até mesmo continuar a solicitar assinaturas após a recusa, é muito provável que seja um site de phishing, necessitando de cautela.
4. Assinatura de Mensagem
Em situações extremas, como quando um atacante conseguiu invadir o site oficial do protocolo ou realizar ataques como o hijacking do frontend, o conteúdo da página foi substituído. É muito difícil para um usuário comum verificar a segurança do site nesse tipo de cenário.
Neste momento, a assinatura da carteira de plugins é a última barreira que protege os ativos do usuário. Ao recusar assinaturas maliciosas, é possível garantir que os ativos permaneçam seguros. Os usuários devem examinar cuidadosamente o conteúdo da assinatura ao assinar qualquer mensagem ou transação, recusando a assinatura cega, para evitar a perda de ativos.
Os tipos de assinatura comuns incluem:
5. Assinatura da transação
A assinatura de transações é usada para autorizar transações na blockchain, como transferências ou chamadas de contratos inteligentes. Os usuários assinam com a chave privada, e a rede verifica a validade da transação. Atualmente, muitas carteiras de plugins decodificam as mensagens a serem assinadas e exibem o conteúdo relevante, é importante seguir o princípio de não assinar cegamente, recomendações de segurança:
Para usuários com um certo conhecimento técnico, também é possível usar alguns métodos comuns de verificação manual: verificar o endereço do contrato interativo copiado no explorador de blockchain, onde o conteúdo a ser verificado inclui se o contrato é de código aberto, se houve uma grande quantidade de transações recentemente e se o explorador marcou o endereço com um rótulo oficial ou malicioso.
6. Processamento pós-negociação
Escapar de páginas de phishing e assinaturas maliciosas não significa que tudo esteja bem; ainda é necessário realizar a gestão de riscos após a negociação.
Após a transação, deve-se verificar prontamente a situação da transação na blockchain, confirmando se está consistente com o estado esperado no momento da assinatura. Se forem detectadas anomalias, é importante realizar rapidamente operações de mitigação, como transferência de ativos ou revogação de autorizações.
A gestão de autorização ERC20 também é muito importante. Em alguns casos, os usuários autorizaram tokens para certos contratos e, anos depois, esses contratos foram atacados, com os atacantes a utilizarem o limite de autorização de tokens do contrato atacado para roubar fundos dos usuários. Para evitar tais situações, a nossa equipe de segurança recomenda que os usuários sigam os seguintes padrões para a prevenção de riscos:
Estratégia de Isolamento de Fundos
Com a consciência dos riscos e após realizar uma prevenção de riscos adequada, também é aconselhável realizar um isolamento efetivo de fundos, a fim de reduzir o grau de perda de capital em situações extremas. As estratégias recomendadas são as seguintes:
Se, por acaso, realmente ocorrer uma situação de phishing, recomendamos que execute imediatamente as seguintes medidas para reduzir as perdas:
Participação segura em atividades de airdrop
O airdrop é uma forma comum de promoção de projetos de blockchain, mas também oculta riscos. Aqui estão algumas sugestões:
Sugestões para a escolha e uso de ferramentas de plugins
O conteúdo do código de segurança da blockchain é extenso, e pode não ser possível realizar verificações detalhadas em cada interação. Escolher plugins seguros é crucial, pois pode nos ajudar a fazer julgamentos de risco. Abaixo estão sugestões específicas:
Conclusão
Ao seguir as diretrizes de segurança de transações mencionadas acima, os usuários podem interagir de forma mais tranquila em um ecossistema de blockchain cada vez mais complexo, melhorando efetivamente a proteção de seus ativos. Embora a tecnologia blockchain tenha como principais vantagens a descentralização e a transparência, isso também significa que os usuários precisam lidar de forma independente com múltiplos riscos, incluindo phishing de assinatura, vazamento de chaves privadas e aplicativos maliciosos.
Para alcançar uma verdadeira segurança na blockchain, depender apenas de ferramentas de alerta não é suficiente; é fundamental estabelecer uma consciência de segurança sistemática e hábitos operacionais. Ao utilizar carteiras de hardware, implementar estratégias de isolamento de fundos, verificar e atualizar regularmente autorizações e plugins, e ao aplicar na operação de transações o conceito de "verificação múltipla, recusa de assinaturas cegas, isolamento de fundos", só assim se pode realmente fazer uma "blockchain livre e segura".