Guia de Transações Seguras para Usuários Web3

Com o constante desenvolvimento das redes descentralizadas, as transações on-chain tornaram-se uma parte indispensável da vida quotidiana dos utilizadores de Web3. Cada vez mais utilizadores estão a transferir ativos de plataformas centralizadas para redes descentralizadas, o que significa que a responsabilidade pela segurança dos ativos está a passar das plataformas para os próprios utilizadores. No ambiente on-chain, os utilizadores precisam de ser responsáveis por cada passo da operação, incluindo a importação de carteiras, o acesso a DApps, a assinatura de autorizações e o início de transações. Qualquer operação imprudente pode tornar-se um risco de segurança, levando a sérias consequências, como a divulgação de chaves privadas, abusos de autorização ou ataques de phishing.

Embora atualmente as principais extensões de carteira e navegadores tenham integrado gradualmente funcionalidades como reconhecimento de phishing e alertas de risco, enfrentar métodos de ataque cada vez mais complexos apenas com a defesa passiva das ferramentas ainda é difícil para evitar completamente os riscos. Para ajudar os usuários a identificar melhor os riscos potenciais nas transações em cadeia, nossa equipe de segurança, com base em experiências práticas, organizou cenários de alto risco durante todo o processo e, em conjunto com sugestões de proteção e dicas de uso de ferramentas, elaborou um guia completo de segurança para transações em cadeia, com o objetivo de ajudar cada usuário do Web3 a construir uma linha de defesa "autônoma e controlável".

Princípios fundamentais de negociação segura

• Recusar a assinatura cega: não assinar transações ou mensagens que não compreende.
• Verificação repetida: Antes de realizar qualquer transação, é essencial verificar várias vezes a precisão das informações relevantes.

Sugestões de negociação segura

A chave para proteger a segurança dos ativos digitais está nas transações seguras. Estudos mostram que o uso de carteiras seguras e autenticação em duas etapas (2FA) pode reduzir significativamente os riscos. As recomendações específicas são as seguintes:

1. Escolha uma carteira segura: Dê prioridade a provedores de carteiras com boa reputação, como carteiras de hardware ou carteiras de software conhecidas. As carteiras de hardware oferecem recursos de armazenamento offline, o que pode reduzir efetivamente o risco de ataques online, especialmente adequadas para armazenar grandes quantidades de ativos.

2. Verifique cuidadosamente os detalhes da transação: Antes de confirmar a transação, verifique sempre o endereço de recebimento, o valor e as informações da rede, para evitar perdas devido a erros de digitação.

3. Ativar a autenticação em duas etapas (2FA): Se a plataforma de negociação ou carteira suportar 2FA, recomenda-se fortemente ativá-lo para aumentar a segurança da conta, especialmente ao usar carteiras quentes.

4. Evite usar Wi-Fi público: Não faça transações em redes Wi-Fi públicas para evitar ataques de phishing e ataques man-in-the-middle.

Guia de Operações de Negociação Segura

Um fluxo de transação completo de DApp geralmente inclui as seguintes etapas: instalação da carteira, acesso ao DApp, conexão da carteira, assinatura de mensagens, assinatura de transações e processamento pós-transação. Cada etapa apresenta certos riscos de segurança, e a seguir serão detalhadas as precauções a serem tomadas em cada uma delas.

1. Instalação da carteira

Atualmente, a principal forma de interagir com DApps é através de carteiras de extensão do navegador. Ao instalar uma carteira de extensão do Chrome, certifique-se de baixá-la da loja de aplicativos oficial, evitando a instalação a partir de sites de terceiros, para prevenir a instalação de softwares de carteira com backdoors. Usuários com condições adequadas são aconselhados a usar uma carteira de hardware ao mesmo tempo, para aumentar ainda mais a segurança na gestão das chaves privadas.

Ao fazer backup da frase-semente da carteira, recomenda-se guardá-la em um local físico seguro, longe de dispositivos digitais, como escrevê-la em papel e armazená-la em um cofre.

2. Aceder ao DApp

A pesca na web é uma técnica comum em ataques Web3. Para evitar cair em armadilhas de phishing na web, os usuários devem manter-se altamente vigilantes ao acessar DApps.

Antes de acessar a DApp, deve-se confirmar cuidadosamente a correção do endereço. Sugestão:

• Evite acessar diretamente através de motores de busca
• Clicar com cautela em links nas redes sociais
• Verifique a precisão do endereço do DApp em várias fontes
• Adicionar sites seguros aos favoritos do navegador

Após abrir a página da DApp, é necessário realizar uma verificação de segurança na barra de endereços:

• Verifique se existem casos de imitação de domínios e URLs
• Confirme se é um link HTTPS, o navegador deve mostrar o ícone de cadeado.

3. Conectar carteira

Após entrar no DApp, pode ser necessário clicar automaticamente ou manualmente para conectar a carteira. A carteira de plugin realizará algumas verificações e exibirá informações sobre o DApp atual.

Normalmente, após conectar a carteira, o DApp não deve solicitar frequentemente a assinatura ou a transação da carteira. Se houver solicitações de assinatura a aparecerem com frequência, pode ser um site de phishing e deve ser tratado com cautela.

4. Assinatura de mensagem

Mesmo em situações extremas, como um ataque ao site oficial ou se a interface for sequestrada, é muito difícil para um usuário comum identificar a segurança do site. Neste momento, a assinatura da carteira de plug-in se torna a última linha de defesa para proteger os ativos dos usuários. Desde que se recusem a assinar assinaturas maliciosas, podem evitar perdas de ativos.

Os usuários devem revisar cuidadosamente o conteúdo da assinatura ao assinar qualquer mensagem ou transação, recusando a assinatura cega. Os tipos de assinatura comuns incluem:

• eth_sign: assinar dados de hash
• personal_sign: assinar informações em texto claro, comumente utilizado para verificação de login de usuário ou confirmação de contrato
• eth_signTypedData (EIP-712): assinatura de dados estruturados, comumente usada em Permissão ERC20, listagem de NFT, etc.

5. Assinatura da transação

A assinatura de transações é utilizada para autorizar transações na blockchain, como transferências ou chamadas de contratos inteligentes. Os usuários assinam com a chave privada, e a rede valida a eficácia da transação. Muitas carteiras de plugins decodificam as mensagens a serem assinadas e exibem o conteúdo relacionado, os usuários devem seguir o princípio de não assinar cegamente. Recomendações de segurança:

• Verifique cuidadosamente o endereço do destinatário, o montante e a rede, para evitar erros.
• Para transações de grande valor, recomenda-se o uso de assinatura offline, reduzindo o risco de ataques online.
• Atenção às taxas de gas, assegure-se de que são razoáveis, proteja-se contra fraudes

Para os utilizadores com uma boa base técnica, é possível inspecionar o endereço do contrato alvo da interação através de um explorador de blockchain, incluindo verificar se o contrato é de código aberto, se houve um grande volume de transações recentemente, e se existem etiquetas oficiais ou etiquetas maliciosas, entre outros.

6. Processamento pós-negociação

Mesmo que consiga evitar páginas de phishing e assinaturas maliciosas, ainda é necessário realizar a gestão de riscos após a transação.

Após a negociação, deve-se verificar rapidamente a situação da transação na blockchain para confirmar se está de acordo com a expectativa no momento da assinatura. Se forem encontradas anomalias, devem ser tomadas imediatamente medidas de proteção, como transferência de ativos ou revogação de autorizações.

A gestão de autorização ERC20 também é muito importante. Recomenda-se que os usuários sigam os seguintes padrões para prevenção de riscos:

• Minimizar a autorização: autorizar uma quantidade limitada de tokens conforme a necessidade da transação, evitando o uso de autorização ilimitada.
• Revogar atempadamente a autorização de tokens desnecessários: verifique regularmente e revogue as autorizações de protocolos que não foram utilizadas durante muito tempo, para evitar que falhas no protocolo resultem em perdas de ativos.

Estratégia de Isolamento de Fundos

Mesmo com a consciência dos riscos e a adoção de medidas de prevenção adequadas, é aconselhável implementar um isolamento eficaz de fundos para reduzir o risco de perdas financeiras em situações extremas. As estratégias recomendadas são as seguintes:

• Use carteiras multi-assinatura ou carteiras frias para armazenar grandes ativos
• Utilize uma carteira de plug-in ou uma carteira EOA para interações diárias
• Mudar regularmente o endereço da carteira quente, reduzindo a exposição do endereço a ambientes de risco a longo prazo.

Se você acidentalmente se deparar com um ataque de phishing, recomenda-se tomar as seguintes medidas imediatamente para reduzir as perdas:

• Utilize ferramentas relacionadas para cancelar autorizações de alto risco
• Se a assinatura do permit foi feita mas os ativos ainda não foram transferidos, inicie imediatamente uma nova assinatura para invalidar a assinatura antiga.
• Se necessário, transfira rapidamente os ativos restantes para um novo endereço ou carteira fria.

Participação segura em atividades de airdrop

O airdrop é uma forma comum de promoção de projetos de blockchain, mas também existem riscos potenciais. Aqui estão algumas sugestões:

• Pesquisa de fundo do projeto: garantir que o projeto tenha um white paper claro, informações da equipe públicas e uma boa reputação na comunidade.
• Utilizar endereços dedicados: registar uma carteira e um e-mail específicos, isolando o risco da conta principal
• Clique com cautela nos links: obtenha informações sobre airdrops apenas através de canais oficiais, evite clicar em links suspeitos nas plataformas sociais.

Sugestões para a escolha e uso de ferramentas de plugins

Escolher ferramentas de plugin seguras é crucial para auxiliar na avaliação de riscos, as recomendações específicas são as seguintes:

• Use extensões confiáveis: escolha extensões de navegador populares e bem avaliadas.
• Verificação de classificação: antes de instalar novos plugins, verifique a classificação dos usuários e o número de instalações, uma alta classificação e um grande número de instalações geralmente indicam que o plugin é mais confiável.
• Mantenha atualizado: atualize regularmente os plugins para obter as últimas funcionalidades de segurança e correções; plugins desatualizados podem ter vulnerabilidades conhecidas.

Conclusão

Ao seguir as diretrizes de segurança para transações mencionadas acima, os usuários podem interagir de forma mais tranquila no complexo ecossistema blockchain, melhorando efetivamente a proteção de ativos. Embora a tecnologia blockchain tenha a descentralização e a transparência como suas principais vantagens, isso também significa que os usuários devem lidar de forma independente com múltiplos riscos, incluindo phishing de assinatura, vazamento de chaves privadas e DApps maliciosos.

Para alcançar uma verdadeira segurança ao colocar informações na blockchain, depender apenas de ferramentas de aviso está longe de ser suficiente; estabelecer uma consciência e hábitos operacionais sistemáticos de segurança é a chave. Através do uso de carteiras de hardware, implementação de estratégias de isolamento de fundos, verificação regular de autorizações e atualização de plugins, entre outras medidas de proteção, e incorporando o conceito de "múltiplas verificações, recusar assinaturas cegas, isolamento de fundos" nas operações de transação, é possível realmente alcançar "uma colocação na blockchain livre e segura".