Guía de comercio seguro para usuarios de Web3

Con el continuo desarrollo de las redes descentralizadas, las transacciones en cadena se han convertido en una parte indispensable de la vida diaria de los usuarios de Web3. Cada vez más usuarios están trasladando sus activos de plataformas centralizadas a redes descentralizadas, lo que significa que la responsabilidad de la seguridad de los activos está pasando de la plataforma a los propios usuarios. En un entorno en cadena, los usuarios deben ser responsables de cada operación, incluyendo la importación de billeteras, el acceso a DApps, la firma de autorizaciones y la iniciación de transacciones, entre otros. Cualquier operación imprudente podría convertirse en un riesgo de seguridad, llevando a consecuencias graves como la filtración de claves privadas, el abuso de autorizaciones o ataques de phishing.

Aunque actualmente los principales complementos de billetera y navegadores han ido integrando funciones como la identificación de phishing y alertas de riesgo, frente a las cada vez más complejas técnicas de ataque, depender únicamente de la defensa pasiva de las herramientas sigue siendo difícil para evitar completamente los riesgos. Para ayudar a los usuarios a identificar mejor los riesgos potenciales en las transacciones en cadena, nuestro equipo de seguridad ha recopilado, basándose en la experiencia práctica, una lista de escenarios de alto riesgo a lo largo de todo el proceso, y junto con recomendaciones de protección y consejos sobre el uso de herramientas, hemos elaborado una guía completa de seguridad para transacciones en cadena, con el objetivo de ayudar a cada usuario de Web3 a construir una "defensa de seguridad autónoma".

Principios fundamentales del comercio seguro

• Rechazar la firma ciega: no firmar transacciones o mensajes que no se entiendan.
• Verificación repetida: Antes de realizar cualquier transacción, asegúrese de verificar la precisión de la información relevante varias veces.

Sugerencias para un comercio seguro

La clave para proteger la seguridad de los activos digitales radica en realizar transacciones seguras. Los estudios muestran que el uso de billeteras seguras y la verificación en dos pasos (2FA) pueden reducir significativamente los riesgos. Las recomendaciones específicas son las siguientes:

1. Elegir una billetera segura: Prioriza proveedores de billeteras de buena reputación, como billeteras de hardware o billeteras de software conocidas. Las billeteras de hardware ofrecen funciones de almacenamiento fuera de línea, lo que puede reducir efectivamente el riesgo de ataques en línea, siendo especialmente adecuadas para almacenar grandes cantidades de activos.

2. Verificar detenidamente los detalles de la transacción: Antes de confirmar la transacción, asegúrese de verificar la dirección de recepción, el monto y la información de la red para evitar pérdidas causadas por errores de entrada.

3. Habilitar la verificación en dos pasos (2FA): Si la plataforma de trading o la billetera soporta 2FA, se recomienda encarecidamente activarlo para mejorar la seguridad de la cuenta, especialmente al usar billeteras calientes.

4. Evita usar Wi-Fi público: No realices transacciones en redes Wi-Fi públicas para evitar ataques de phishing y ataques de intermediarios.

Guía de operación de trading seguro

Un proceso completo de transacción de DApp generalmente incluye las siguientes etapas: instalación de la billetera, acceso a la DApp, conexión de la billetera, firma de mensajes, firma de transacciones y procesamiento posterior a la transacción. Cada etapa presenta ciertos riesgos de seguridad, a continuación se detallarán las precauciones a tener en cuenta en cada etapa.

1. Instalación de la billetera

Actualmente, la principal forma de interactuar con DApps es a través de carteras de navegador. Al instalar una cartera de extensión para Chrome, asegúrese de descargarla desde la tienda oficial de aplicaciones, evitando la instalación desde sitios web de terceros para prevenir la instalación de software de cartera con puertas traseras. Se recomienda a los usuarios que puedan que utilicen simultáneamente una cartera de hardware para aumentar aún más la seguridad en la gestión de claves privadas.

Al respaldar la frase semilla de la billetera, se recomienda guardarla en un lugar físico seguro, lejos de dispositivos digitales, como escribirla en papel y almacenarla en una caja de seguridad.

2. Acceder a DApp

El phishing web es una técnica común en los ataques de Web3. Para evitar caer en trampas de phishing web, los usuarios deben mantenerse alerta al acceder a DApps.

Antes de acceder a la DApp, se debe confirmar cuidadosamente la corrección de la URL. Sugerencia:

• Evite acceder directamente a través de motores de búsqueda
• Haz clic con precaución en los enlaces de las redes sociales
• Verificar la precisión de la URL de DApp desde múltiples fuentes.
• Agregar sitios web seguros a los marcadores del navegador

Después de abrir la página web de DApp, también es necesario realizar una verificación de seguridad en la barra de direcciones:

• Verifica si hay situaciones de suplantación de dominio y URL.
• Confirma si es un enlace HTTPS, el navegador debe mostrar el icono de candado

3. Conectar la billetera

Al ingresar a la DApp, puede que se conecte automáticamente o que necesite hacer clic manualmente para conectar la billetera. La billetera de extensión realizará algunas verificaciones y mostrará información sobre la DApp actual.

En condiciones normales, después de conectar la cartera, la DApp no debería solicitar con frecuencia la firma o la transacción de la cartera. Si hay solicitudes de firma que aparecen con frecuencia, podría tratarse de un sitio web de phishing y se debe manejar con precaución.

4. Firma de mensaje

Incluso en situaciones extremas, como un ataque al sitio web oficial o un secuestro del frontend, es muy difícil para los usuarios comunes identificar la seguridad del sitio. En este momento, la firma de la billetera de extensión se convierte en la última línea de defensa para proteger los activos de los usuarios. Siempre que se rechacen las firmas maliciosas, se pueden evitar las pérdidas de activos.

Los usuarios deben revisar cuidadosamente el contenido de la firma al firmar cualquier mensaje y transacción, y rechazar la firma ciega. Los tipos de firma comunes incluyen:

• eth_sign: firmar datos hash
• personal_sign: firma de información en texto claro, comúnmente utilizada para la verificación de inicio de sesión del usuario o la confirmación de acuerdos.
• eth_signTypedData (EIP-712): firma de datos estructurados, comúnmente utilizada en el Permiso de ERC20, órdenes de NFT, etc.

5. Firma de la transacción

La firma de transacciones se utiliza para autorizar transacciones en la blockchain, como transferencias o invocaciones de contratos inteligentes. Los usuarios firman con su clave privada y la red verifica la validez de la transacción. Muchos monederos de plugins decodifican los mensajes a firmar y muestran el contenido relevante, los usuarios deben seguir el principio de no firmar ciegamente. Consejos de seguridad:

• Verifique cuidadosamente la dirección del destinatario, el monto y la red para evitar errores.
• Para transacciones de gran volumen, se recomienda utilizar firmas fuera de línea para reducir el riesgo de ataques en línea.
• Presta atención a las tarifas de gas, asegúrate de que sean razonables y prevé estafas

Para los usuarios con una buena base técnica, se puede revisar la dirección del contrato objetivo a través de un explorador de blockchain, incluyendo verificar si el contrato es de código abierto, si ha habido un gran número de transacciones recientemente, y si tiene etiquetas oficiales o etiquetas maliciosas, etc.

6. Procesamiento posterior a la transacción

Incluso si se logra evitar páginas de phishing y firmas maliciosas, aún se debe realizar una gestión de riesgos después de la transacción.

Después de la transacción, se debe verificar oportunamente el estado en la cadena de la transacción para confirmar si coincide con las expectativas al momento de la firma. Si se detectan anomalías, se deben tomar medidas de mitigación como la transferencia de activos o la revocación de autorizaciones de inmediato.

La gestión de la aprobación de ERC20 también es muy importante. Se recomienda a los usuarios seguir los siguientes estándares para la prevención de riesgos:

• Autorización mínima: autorizar una cantidad limitada de tokens según las necesidades de la transacción, evitando el uso de autorizaciones ilimitadas.
• Revocar a tiempo las autorizaciones de tokens no necesarias: revisa periódicamente y revoca las autorizaciones de protocolos que no se han utilizado durante mucho tiempo, para evitar que las vulnerabilidades del protocolo causen pérdidas de activos.

Estrategia de Aislamiento de Fondos

Incluso si se tiene conciencia de los riesgos y se han tomado medidas adecuadas de prevención, se recomienda implementar una separación efectiva de fondos para reducir el riesgo de pérdida de capital en situaciones extremas. Las estrategias recomendadas son las siguientes:

• Utilizar una billetera multisig o una billetera fría para almacenar grandes cantidades de activos
• Utilice una billetera de extensión o una billetera EOA para interacciones diarias
• Cambiar regularmente la dirección del monedero caliente para reducir la exposición prolongada de la dirección a entornos de riesgo.

Si accidentalmente se encuentra con un ataque de phishing, se recomienda tomar las siguientes medidas de inmediato para reducir las pérdidas:

• Utilizar herramientas relevantes para cancelar la autorización de alto riesgo
• Si se ha firmado el permiso pero los activos aún no se han transferido, inicie inmediatamente una nueva firma para invalidar la firma anterior.
• Si es necesario, transfiera rápidamente los activos restantes a una nueva dirección o a una billetera fría.

Participar de forma segura en actividades de airdrop

El airdrop es una forma común de promoción de proyectos de blockchain, pero también existen riesgos potenciales. A continuación, se presentan algunos consejos:

• Investigación de antecedentes del proyecto: asegurar que el proyecto tenga un documento blanco claro, información del equipo pública y una buena reputación en la comunidad
• Utilizar direcciones específicas: registrar una billetera y un correo electrónico dedicados, aislando el riesgo del cuenta principal.
• Haz clic con precaución en los enlaces: obtén información sobre airdrops solo a través de canales oficiales, evita hacer clic en enlaces sospechosos en plataformas sociales.

Selección y recomendaciones para el uso de herramientas de plugins

Elegir herramientas de complemento seguras es crucial para ayudar a la evaluación de riesgos, las recomendaciones específicas son las siguientes:

• Utiliza extensiones confiables: elige extensiones de navegador con alta tasa de uso y buena reputación.
• Verificación de calificaciones: Antes de instalar un nuevo complemento, revisa las calificaciones de los usuarios y la cantidad de instalaciones. Una alta calificación y un gran número de instalaciones suelen indicar que el complemento es más confiable.
• Mantenerse actualizado: actualice el complemento regularmente para obtener las últimas funciones de seguridad y correcciones; los complementos obsoletos pueden tener vulnerabilidades conocidas.

Conclusión

Al seguir las pautas de seguridad de transacciones mencionadas anteriormente, los usuarios pueden interactuar de manera más tranquila en el complejo ecosistema de blockchain, mejorando efectivamente la capacidad de protección de sus activos. A pesar de que la tecnología blockchain tiene como ventajas centrales la descentralización y la transparencia, esto también significa que los usuarios deben enfrentar de manera independiente múltiples riesgos, incluidos el phishing de firmas, la filtración de claves privadas y las DApps maliciosas.

Para lograr una verdadera seguridad en la cadena, depender únicamente de herramientas de alerta no es suficiente; lo clave es establecer una conciencia de seguridad y hábitos operativos sistemáticos. A través del uso de billeteras de hardware, la implementación de estrategias de aislamiento de fondos, revisiones periódicas de autorizaciones y actualizaciones de complementos, así como la incorporación del concepto de "verificación múltiple, rechazo de firmas ciegas, aislamiento de fondos" en las operaciones de transacción, se puede lograr realmente "subir a la cadena de forma libre y segura".