Panduan Perdagangan Aman untuk Pengguna Web3

Dengan terus berkembangnya jaringan terdesentralisasi, transaksi on-chain telah menjadi bagian yang tidak terpisahkan dari kehidupan sehari-hari pengguna Web3. Semakin banyak pengguna yang memindahkan aset dari platform terpusat ke jaringan terdesentralisasi, yang berarti tanggung jawab keamanan aset berpindah dari platform ke pengguna itu sendiri. Dalam lingkungan on-chain, pengguna perlu bertanggung jawab atas setiap langkah tindakan, termasuk mengimpor dompet, mengakses DApp, menandatangani otorisasi, dan memulai transaksi. Setiap tindakan yang tidak hati-hati dapat menjadi risiko keamanan, yang mengakibatkan kebocoran kunci pribadi, penyalahgunaan otorisasi, atau serangan phishing yang serius.

Meskipun saat ini plugin dompet utama dan browser telah secara bertahap mengintegrasikan fitur pengenalan phishing dan peringatan risiko, menghadapi metode serangan yang semakin kompleks, bergantung pada pertahanan pasif alat tetap sulit untuk sepenuhnya menghindari risiko. Untuk membantu pengguna lebih baik dalam mengidentifikasi potensi risiko dalam transaksi di blockchain, tim keamanan kami berdasarkan pengalaman praktis, telah mengorganisir skenario berisiko tinggi sepanjang proses, dan dengan kombinasi saran perlindungan dan keterampilan penggunaan alat, telah merumuskan panduan keamanan transaksi di blockchain yang lengkap, bertujuan untuk membantu setiap pengguna Web3 membangun "pertahanan yang dapat dikendalikan sendiri".

Prinsip Inti Perdagangan yang Aman

• Tolak tanda tangan buta: Jangan sekali-kali menandatangani transaksi atau pesan yang tidak dipahami.
• Verifikasi berulang: Sebelum melakukan transaksi apa pun, pastikan untuk memeriksa keakuratan informasi yang relevan beberapa kali.

Saran Perdagangan Aman

Kunci untuk melindungi keamanan aset digital adalah transaksi yang aman. Penelitian menunjukkan bahwa menggunakan dompet yang aman dan verifikasi dua langkah (2FA) dapat secara signifikan mengurangi risiko. Saran spesifik adalah sebagai berikut:

1. Pilih dompet yang aman: Utamakan penyedia dompet yang memiliki reputasi baik, seperti dompet perangkat keras atau dompet perangkat lunak terkemuka. Dompet perangkat keras menyediakan fungsi penyimpanan offline, yang dapat secara efektif mengurangi risiko serangan online, terutama cocok untuk menyimpan aset dalam jumlah besar.

2. Periksa detail transaksi dengan cermat: Sebelum mengonfirmasi transaksi, pastikan untuk memverifikasi alamat penerima, jumlah, dan informasi jaringan untuk menghindari kerugian akibat kesalahan input.

3. Aktifkan autentikasi dua faktor (2FA): Jika platform perdagangan atau dompet mendukung 2FA, sangat disarankan untuk mengaktifkannya untuk meningkatkan keamanan akun, terutama saat menggunakan dompet panas.

4. Hindari menggunakan Wi-Fi publik: Jangan melakukan transaksi di jaringan Wi-Fi publik untuk mencegah serangan phishing dan serangan man-in-the-middle.

Panduan Operasi Transaksi Aman

Proses transaksi DApp yang lengkap biasanya mencakup langkah-langkah berikut: instalasi dompet, mengakses DApp, menghubungkan dompet, penandatanganan pesan, penandatanganan transaksi, dan pemrosesan pasca transaksi. Setiap langkah memiliki risiko keamanan tertentu, berikut akan dijelaskan secara rinci perhatian yang perlu diperhatikan di setiap langkah.

1. Instal dompet

Saat ini, cara utama untuk berinteraksi dengan DApp adalah melalui dompet plugin browser. Saat menginstal dompet plugin Chrome, pastikan untuk mengunduhnya dari toko aplikasi resmi, hindari menginstal dari situs pihak ketiga untuk mencegah penginstalan perangkat lunak dompet yang memiliki backdoor. Pengguna yang memungkinkan disarankan untuk menggunakan dompet perangkat keras secara bersamaan untuk meningkatkan keamanan pengelolaan kunci pribadi.

Saat mencadangkan frasa benih dompet, disarankan untuk menyimpannya di lokasi fisik yang aman, jauh dari perangkat digital, seperti menuliskannya di kertas dan menyimpannya di brankas.

2. Akses DApp

Phishing web adalah metode yang umum dalam serangan Web3. Untuk menghindari terjebak dalam jebakan phishing web, pengguna harus tetap waspada saat mengakses DApp.

Sebelum mengakses DApp, harap konfirmasi dengan cermat keakuratan alamat web. Saran:

• Hindari mengakses langsung melalui mesin pencari
• Hati-hati mengklik tautan di media sosial
• Verifikasi akurasi URL DApp dari berbagai sumber
• Tambahkan situs web aman ke bookmark browser

Setelah membuka halaman web DApp, perlu juga melakukan pemeriksaan keamanan pada bilah alamat:

• Periksa apakah ada peniruan pada nama domain dan URL
• Pastikan itu adalah tautan HTTPS, browser harus menampilkan ikon kunci

3. Sambungkan dompet

Setelah masuk ke DApp, mungkin akan secara otomatis atau perlu mengklik untuk menghubungkan dompet secara manual. Dompet plugin akan melakukan beberapa pemeriksaan dan menampilkan informasi tentang DApp saat ini.

Dalam kondisi normal, setelah menghubungkan dompet, DApp tidak seharusnya sering memunculkan permintaan tanda tangan atau transaksi dari dompet. Jika terjadi permintaan tanda tangan yang muncul secara berulang, itu mungkin situs phishing, dan perlu ditangani dengan hati-hati.

4. Tanda Tangan Pesan

Bahkan dalam situasi ekstrem, seperti serangan terhadap situs resmi atau perampasan frontend, sulit bagi pengguna biasa untuk mengidentifikasi keamanan situs. Pada saat ini, tanda tangan dompet plugin menjadi garis pertahanan terakhir untuk melindungi aset pengguna. Selama menolak tanda tangan jahat, kerugian aset dapat dihindari.

Pengguna harus memeriksa dengan cermat isi tanda tangan saat menandatangani pesan dan transaksi, dan menolak untuk menandatangani secara buta. Jenis tanda tangan yang umum termasuk:

• eth_sign: Menandatangani data hash
• personal_sign: Menandatangani informasi yang jelas, sering digunakan untuk verifikasi login pengguna atau konfirmasi perjanjian
• eth_signTypedData (EIP-712): menandatangani data terstruktur, sering digunakan untuk Permit ERC20, penawaran NFT, dll.

5. Tanda tangan transaksi

Tanda tangan transaksi digunakan untuk mengautorisasi transaksi blockchain, seperti transfer atau pemanggilan kontrak pintar. Pengguna menggunakan kunci pribadi untuk menandatangani, dan jaringan memverifikasi keabsahan transaksi. Banyak dompet plugin akan mendekode pesan yang akan ditandatangani dan menampilkan konten terkait, pengguna harus mengikuti prinsip tidak menandatangani secara buta. Saran keamanan:

• Periksa dengan teliti alamat penerima, jumlah, dan jaringan untuk menghindari kesalahan
• Untuk transaksi besar, disarankan menggunakan tanda tangan offline untuk mengurangi risiko serangan online.
• Perhatikan biaya gas, pastikan wajar, dan waspadai penipuan

Untuk pengguna yang memiliki dasar teknis yang baik, dapat memeriksa alamat kontrak tujuan interaksi melalui penjelajah blockchain, termasuk memeriksa apakah kontrak tersebut open-source, apakah ada banyak transaksi baru-baru ini, dan apakah ada label resmi atau label berbahaya.

6. Proses Pasca Transaksi

Meskipun berhasil menghindari halaman phishing dan tanda tangan berbahaya, manajemen risiko tetap diperlukan setelah transaksi.

Setelah transaksi, segera periksa status on-chain dari transaksi tersebut untuk memastikan apakah sesuai dengan harapan saat tanda tangan. Jika ada kejanggalan, segera ambil langkah-langkah untuk memindahkan aset, mencabut otorisasi, dan tindakan pencegahan lainnya.

Manajemen persetujuan ERC20 juga sangat penting. Disarankan agar pengguna mengikuti standar berikut untuk pencegahan risiko:

• Minimalisasi Otorisasi: Sesuai dengan kebutuhan transaksi, otorisasi jumlah token yang sesuai, menghindari penggunaan otorisasi tanpa batas.
• Segera cabut otorisasi token yang tidak diperlukan: Periksa secara berkala dan cabut otorisasi protokol yang tidak digunakan dalam jangka panjang, untuk mencegah kerentanan protokol yang dapat menyebabkan kerugian aset

Strategi Isolasi Dana

Meskipun memiliki kesadaran risiko dan telah mengambil langkah-langkah pencegahan yang memadai, disarankan untuk menerapkan pemisahan dana yang efektif untuk mengurangi risiko kerugian dana dalam situasi ekstrem. Strategi yang direkomendasikan adalah sebagai berikut:

• Gunakan dompet multisignature atau dompet dingin untuk menyimpan aset besar
• Menggunakan dompet plugin atau dompet EOA untuk interaksi sehari-hari
• Secara berkala mengganti alamat hot wallet, mengurangi paparan alamat dalam lingkungan risiko untuk waktu yang lama.

Jika Anda tidak sengaja mengalami serangan phishing, disarankan untuk segera mengambil langkah-langkah berikut untuk mengurangi kerugian:

• Gunakan alat yang relevan untuk membatalkan otorisasi risiko tinggi
• Jika tanda tangan permit telah ditandatangani tetapi aset belum dipindahkan, segera ajukan tanda tangan baru untuk membuat tanda tangan lama menjadi tidak berlaku.
• Jika perlu, segera pindahkan sisa aset ke alamat baru atau dompet dingin

Aman Berpartisipasi dalam Kegiatan Airdrop

Airdrop adalah cara umum untuk mempromosikan proyek blockchain, tetapi juga memiliki risiko potensial. Berikut adalah beberapa saran:

• Penelitian latar belakang proyek: memastikan proyek memiliki white paper yang jelas, informasi tim yang terbuka, dan reputasi komunitas yang baik
• Gunakan alamat khusus: Daftarkan dompet dan email khusus untuk memisahkan risiko dari akun utama
• Hati-hati mengklik tautan: Dapatkan informasi airdrop hanya melalui saluran resmi, hindari mengklik tautan mencurigakan di platform sosial.

Rekomendasi Pemilihan dan Penggunaan Alat Plugin

Memilih alat plugin yang aman sangat penting untuk membantu penilaian risiko, saran spesifik adalah sebagai berikut:

• Gunakan ekstensi yang tepercaya: Pilih ekstensi browser yang banyak digunakan dan memiliki reputasi baik.
• Cek penilaian: Sebelum menginstal plugin baru, lihat penilaian pengguna dan jumlah instalasi, penilaian tinggi dan banyak instalasi biasanya menunjukkan bahwa plugin tersebut lebih dapat diandalkan.
• Jaga pembaruan: Perbarui plugin secara teratur untuk mendapatkan fitur keamanan dan perbaikan terbaru, plugin yang kedaluwarsa mungkin memiliki kerentanan yang diketahui.

Kesimpulan

Dengan mengikuti panduan transaksi aman di atas, pengguna dapat berinteraksi dengan lebih tenang dalam ekosistem blockchain yang kompleks, secara efektif meningkatkan kemampuan perlindungan aset. Meskipun teknologi blockchain memiliki keunggulan inti berupa desentralisasi dan transparansi, ini juga berarti bahwa pengguna harus secara mandiri menghadapi berbagai risiko, termasuk phishing tanda tangan, kebocoran kunci pribadi, dan DApp berbahaya.

Untuk mewujudkan keamanan yang sebenarnya dalam blockchain, hanya mengandalkan alat pengingat tidaklah cukup, membangun kesadaran dan kebiasaan operasional yang sistematis adalah kuncinya. Dengan menggunakan dompet perangkat keras, menerapkan strategi pemisahan dana, secara berkala memeriksa otorisasi dan memperbarui plugin, serta menerapkan prinsip "verifikasi ganda, menolak tanda tangan buta, pemisahan dana" dalam operasi transaksi, baru kita dapat benar-benar mencapai "naik ke blockchain dengan bebas dan aman".