Руководство по безопасной торговле для пользователей Web3

С развитием децентрализованных сетей, онлайновые транзакции стали неотъемлемой частью повседневной жизни пользователей Web3. Все больше пользователей переводят свои активы с централизованных платформ на децентрализованные сети, что означает, что ответственность за безопасность активов переходит от платформы к самим пользователям. В онлайновой среде пользователи должны нести ответственность за каждое действие, включая импорт кошелька, доступ к DApp, подпись авторизации и инициирование транзакций. Любое неосторожное действие может стать угрозой безопасности, что приведет к утечке приватных ключей, злоупотреблению авторизацией или серьезным последствиям, таким как фишинг.

Хотя в настоящее время основные плагины кошельков и браузеры постепенно интегрировали функции распознавания фишинга и предупреждения о рисках, сталкиваясь с все более сложными методами атак, полагаться только на пассивную защиту инструментов по-прежнему трудно полностью избежать рисков. Чтобы помочь пользователям лучше распознавать потенциальные риски в цепочечных транзакциях, наша команда безопасности на основе практического опыта составила список высокорисковых сценариев по всем этапам и, сочетая рекомендации по защите и советы по использованию инструментов, разработала полный справочник по безопасности цепочечных транзакций, нацеленный на помощь каждому пользователю Web3 в создании "самостоятельно управляемой" линии безопасности.

Основные принципы безопасной торговли

• Отказ от слепого подписания: категорически не подписывайте непонятные сделки или сообщения.
• Повторная проверка: перед выполнением любой сделки обязательно многократно проверяйте точность соответствующей информации.

Рекомендации по безопасной торговле

Ключ к безопасности цифровых активов заключается в безопасных сделках. Исследования показывают, что использование безопасных кошельков и двухфакторной аутентификации (2FA) может значительно снизить риск. Конкретные рекомендации следующие:

1. Выберите безопасный кошелек: Предпочитайте кошельки от надежных поставщиков, таких как аппаратные кошельки или известные программные кошельки. Аппаратные кошельки предлагают возможности оффлайн-хранения, что эффективно снижает риск онлайн-атак, особенно подходит для хранения крупных активов.

2. Тщательно проверьте детали сделки: Перед подтверждением сделки обязательно проверьте адрес получения, сумму и сетевую информацию, чтобы избежать потерь из-за ошибок ввода.

3. Включите двухфакторную аутентификацию (2FA): Если торговая платформа или кошелек поддерживают 2FA, настоятельно рекомендуется его включить для повышения безопасности учетной записи, особенно при использовании горячих кошельков.

4. Избегайте использования общественного Wi-Fi: Не проводите транзакции в общественных сетях Wi-Fi, чтобы избежать фишинговых атак и атак посредников.

Руководство по безопасным торговым операциям

Полный процесс транзакции DApp обычно включает в себя следующие этапы: установка кошелька, доступ к DApp, подключение кошелька, подпись сообщения, подпись транзакции и обработка после транзакции. На каждом этапе существуют определенные риски безопасности, ниже будут подробно рассмотрены меры предосторожности на каждом этапе.

1. Установка кошелька

В настоящее время основным способом взаимодействия с DApp является использование кошельков-расширений для браузеров. При установке расширения кошелька для Chrome убедитесь, что вы скачали его из официального магазина приложений, чтобы избежать установки программного обеспечения с задними дверями с третьих сторон. Пользователям, у которых есть такая возможность, рекомендуется одновременно использовать аппаратные кошельки для повышения безопасности управления приватными ключами.

При резервном копировании сид-фразы кошелька рекомендуется хранить её в безопасном физическом месте, вдали от цифровых устройств, например, записать на бумаге и хранить в сейфе.

2. Доступ к DApp

Фишинг в интернете — это распространенный метод атак в Web3. Чтобы избежать попадания в ловушку фишинга, пользователи должны проявлять высокую бдительность при посещении DApp.

Перед доступом к DApp следует внимательно подтвердить правильность URL-адреса. Рекомендуется:

• Избегайте прямого доступа через поисковые системы
• Осторожно нажимайте на ссылки в социальных сетях
• Многоразовая проверка точности URL DApp
• Добавьте безопасный сайт в закладки браузера

После открытия веб-страницы DApp необходимо также провести проверку адресной строки на безопасность:

• Проверьте, существует ли подделка доменного имени и URL.
• Убедитесь, что это ссылка HTTPS, браузер должен отображать значок замка

3. Подключить кошелек

После входа в DApp может потребоваться автоматическое или ручное нажатие для подключения кошелька. Плагин-кошелек проведет некоторые проверки и отобразит информацию о текущем DApp.

В нормальных условиях, после подключения кошелька, DApp не должен часто вызывать кошелек для запроса подписи или транзакции. Если возникают частые всплывающие запросы на подпись, это может быть фишинговый сайт, с которым нужно быть осторожным.

4. Подпись сообщения

Даже в крайних случаях, таких как атака на официальный сайт или захват фронтенда, обычным пользователям трудно определить безопасность сайта. В этот момент подпись плагина-кошелька становится последней линией защиты активов пользователей. Просто отказавшись от злонамеренной подписи, можно избежать потери активов.

Пользователи должны внимательно проверять содержание подписи при подписании любых сообщений и транзакций и отказываться от слепых подписей. Распространенные типы подписей включают:

• eth_sign: Подписать хэшированные данные
• personal_sign: Подпись открытой информации, обычно используется для проверки входа пользователя или подтверждения соглашения.
• eth_signTypedData (EIP-712): Подписывание структурированных данных, часто используется для разрешений ERC20, размещения NFT и т.д.

5. Подпись транзакции

Подпись транзакции используется для авторизации транзакций в блокчейне, таких как переводы или вызовы смарт-контрактов. Пользователи подписывают с помощью закрытого ключа, сеть проверяет действительность транзакции. Многие плагин-кошельки декодируют сообщения, ожидающие подписи, и отображают соответствующее содержимое; пользователи должны обязательно следовать принципу "не подписывать вслепую". Рекомендации по безопасности:

• Тщательно проверьте адрес получателя, сумму и сеть, чтобы избежать ошибок.
• Для крупных сделок рекомендуется использовать оффлайн-подпись, чтобы снизить риск онлайн-атак.
• Обратите внимание на газовые сборы, убедитесь, что они разумны, чтобы предотвратить мошенничество

Для пользователей с хорошими техническими знаниями можно проверить целевой адрес контракта через блокчейн-обозреватель, включая проверку того, является ли контракт открытым исходным кодом, было ли в последнее время много транзакций и есть ли официальный или злонамеренный ярлык.

6. Обработка после сделки

Даже если удалось успешно избежать фишинговых страниц и злонамеренных подписей, после транзакции все равно необходимо проводить управление рисками.

После сделки следует своевременно проверить состояние транзакции в блокчейне, чтобы подтвердить, соответствует ли оно ожидаемому на момент подписания. Если обнаружены аномалии, необходимо немедленно предпринять меры по защите активов, такие как их перемещение или отмена полномочий.

Управление одобрением ERC20 также очень важно. Рекомендуется пользователям следовать следующим стандартам для предотвращения рисков:

• Минимизация авторизации: в зависимости от требований транзакции, ограничить количество соответствующих токенов, чтобы избежать использования неограниченной авторизации.
• Своевременно отменяйте ненужные авторизации токенов: регулярно проверяйте и отменяйте долгосрочные неиспользуемые авторизации протоколов, чтобы предотвратить уязвимости протоколов, приводящие к потерям активов.

Стратегия изоляции средств

Даже если у вас есть осознание рисков и предприняты все необходимые меры предосторожности, рекомендуется реализовать эффективную изоляцию средств, чтобы снизить риск потерь в экстренных ситуациях. Рекомендуемые стратегии следующие:

• Используйте мультиподписные кошельки или холодные кошельки для хранения крупных активов
• Используйте плагин-кошелек или EOA-кошелек для повседневного взаимодействия
• Регулярно меняйте адреса горячих кошельков, чтобы уменьшить длительное воздействие адресов на рискованные среды.

Если вы случайно столкнулись с фишинг-атакой, рекомендуется немедленно принять следующие меры для снижения потерь:

• Используйте соответствующие инструменты для отмены высокорисковых авторизаций
• Если подпись permit была подписана, но актив все еще не был переведен, немедленно инициируйте новую подпись, чтобы аннулировать старую подпись.
• При необходимости быстро перенесите оставшиеся активы на новый адрес или холодный кошелек

Участие в аирдропах безопасно

Airdrop — это распространенный способ продвижения блокчейн-проектов, но также есть потенциальные риски. Вот несколько рекомендаций:

• Исследование фона проекта: обеспечение наличия четкого белого документа, открытой информации о команде и хорошей репутации сообщества
• Используйте специальный адрес: зарегистрируйте отдельный кошелек и электронную почту, чтобы изолировать риски от основного аккаунта.
• Осторожно нажимайте на ссылки: получайте информацию оairdrop только через официальные каналы, избегайте нажатия на подозрительные ссылки в социальных сетях

Рекомендации по выбору и использованию плагинов

Выбор безопасных плагинов и инструментов имеет решающее значение для помощи в оценке рисков. Конкретные рекомендации следующие:

• Используйте надежные расширения: выбирайте расширения для браузера с высокой популярностью и хорошей репутацией.
• Проверка рейтинга: перед установкой нового плагина посмотрите на рейтинг пользователей и количество установок; высокий рейтинг и большое количество установок обычно указывают на более надежный плагин.
• Поддерживайте актуальность: регулярно обновляйте плагины, чтобы получить последние функции безопасности и исправления, устаревшие плагины могут содержать известные уязвимости.

Заключение

Следуя приведённым выше рекомендациям по безопасной торговле, пользователи могут более уверенно взаимодействовать в сложной экосистеме блокчейна, эффективно повышая защиту своих активов. Несмотря на то, что блокчейн-технология обладает основными преимуществами в виде децентрализации и прозрачности, это также означает, что пользователи должны самостоятельно справляться с множеством рисков, включая фишинг подписей, утечку приватных ключей и вредоносные DApp.

Для достижения настоящей безопасности в блокчейне недостаточно полагаться только на инструменты уведомления; ключевым моментом является создание системного сознания безопасности и привычек работы. Используя аппаратные кошельки, внедряя стратегию изоляции средств, регулярно проверяя авторизации и обновляя плагины и другие защитные меры, а также внедряя в торговые операции концепцию "многоуровенной проверки, отказа от слепых подписей и изоляции средств", мы можем действительно добиться "свободного и безопасного выхода на блокчейн".