Посібник з безпечної торгівлі для користувачів Web3

З розвитком децентралізованих мереж, транзакції в блокчейні стали невід'ємною частиною повсякденного життя користувачів Web3. Все більше користувачів переміщують активи з централізованих платформ до децентралізованих мереж, що означає, що відповідальність за безпеку активів переходить від платформи до самих користувачів. У середовищі блокчейну користувачі повинні нести відповідальність за кожен крок, включаючи імпорт гаманця, доступ до DApp, підпис авторизації та ініціювання транзакцій. Будь-яка необережна дія може стати загрозою безпеці, що призведе до витоку приватних ключів, зловживання авторизацією або серйозних наслідків, таких як фішинг-атаки.

Хоча на даний момент основні плагіни гаманців і браузерів поступово інтегрували функції виявлення фішингу та ризикових попереджень, проте, враховуючи дедалі складніші методи атак, покладатися лише на пасивний захист інструментів все ще важко повністю уникнути ризиків. Щоб допомогти користувачам краще визначити потенційні ризики в онлайнових транзакціях, наша команда з безпеки на основі бойового досвіду підготувала повний процес високих ризиків, а також розробила комплексний посібник із безпеки онлайнових транзакцій, поєднуючи рекомендації щодо захисту та поради щодо використання інструментів, з метою допомогти кожному користувачу Web3 створити "самостійно контрольовану" захисну лінію.

Основні принципи безпечної торгівлі

• Відмовтесь від сліпого підписання: рішуче не підписуйте угоди чи повідомлення, які не розумієте.
• Повторна перевірка: перед здійсненням будь-якої угоди обов'язково кілька разів перевірте точність відповідної інформації.

Рекомендації щодо безпечної торгівлі

Ключ до безпеки цифрових активів полягає в безпечних транзакціях. Дослідження показують, що використання безпечних гаманців та двофакторної аутентифікації (2FA) може суттєво зменшити ризики. Конкретні рекомендації наведені нижче:

1. Виберіть безпечний гаманець: Звертайте увагу на надійних постачальників гаманців, таких як апаратні гаманці або відомі програмні гаманці. Апаратні гаманці забезпечують функцію офлайн-зберігання, що ефективно знижує ризик онлайн-атак, особливо підходять для зберігання великих активів.

2. Уважно перевірте деталі транзакції: Перед підтвердженням угоди обов'язково перевірте адресу отримання, суму та інформацію про мережу, щоб уникнути втрат через помилки введення.

3. Увімкніть двофакторну автентифікацію (2FA): Якщо торгова платформа або гаманець підтримує 2FA, настійно рекомендується увімкнути його для підвищення безпеки облікового запису, особливо при використанні гарячих гаманців.

4. Уникайте використання публічного Wi-Fi: Не здійснюйте транзакції в публічних мережах Wi-Fi, щоб уникнути фішингових атак і атак посередників.

Посібник з безпечних торгових операцій

Повний процес торгівлі DApp зазвичай включає такі етапи: встановлення гаманця, доступ до DApp, підключення гаманця, підписання повідомлень, підписання угод та обробка після угоди. Кожен етап має певні ризики безпеки, нижче будуть детально розглянуті рекомендації для кожного етапу.

1. Встановлення гаманця

Наразі основний спосіб взаємодії з DApp - це через гаманці плагінів браузера. При установці плагін-гаманця для Chrome просимо переконатися, що ви завантажуєте його з офіційного магазину додатків, щоб уникнути встановлення гаманець з бекдорами з третіх сторін. Користувачам, які мають таку можливість, рекомендується одночасно використовувати апаратний гаманець для подальшого підвищення безпеки управління приватними ключами.

При резервному копіюванні насіннєвої фрази гаманця рекомендується зберігати її в безпечному фізичному місці, далеко від цифрових пристроїв, наприклад, записати на папері та зберігати в сейфі.

2. Відвідування DApp

Фішинг в Інтернеті є поширеним методом атак у Web3. Щоб уникнути потрапляння в пастку фішингу, користувачі повинні бути надзвичайно обережними під час відвідування DApp.

Перед відвідуванням DApp слід ретельно підтвердити правильність адреси. Рекомендується:

• Уникайте прямого доступу через пошукові системи
• Обережно натискайте на посилання в соціальних мережах
• Багатостороння перевірка точності URL DApp
• Додати безпечний веб-сайт до закладок браузера

Після відкриття веб-сторінки DApp необхідно також провести перевірку адресного рядка на безпеку:

• Перевірте, чи існують випадки підробки доменів та веб-сайтів
• Підтвердіть, чи є це HTTPS-посиланням, браузер має показувати символ замка

3. Підключити гаманець

Після входу в DApp може знадобитися автоматичне або ручне натискання для підключення гаманця. Плагін гаманця проведе деякі перевірки та відобразить інформацію про поточний DApp.

У нормальних умовах, після підключення гаманця, DApp не повинен часто викликати гаманець з проханням підписати або провести транзакцію. Якщо виникає часте спливаюче вікно з проханням про підпис, це може бути фішинговий сайт, з ним потрібно бути обережним.

4. Підпис повідомлення

Навіть у крайніх випадках, коли офіційний веб-сайт піддається атаці або фронтальний інтерфейс захоплюється, звичайним користувачам важко оцінити безпеку сайту. У цей момент підпис плагіна-гаманця стає останньою лінією захисту активів користувачів. Достатньо відмовитися від зловмисних підписів, щоб уникнути втрат активів.

Користувачі повинні уважно перевіряти вміст підпису перед підписанням будь-яких повідомлень і транзакцій, відмовляючись від сліпого підписання. Звичайні типи підписів включають:

• eth_sign: підписати хешовані дані
• personal_sign: підписання відкритої інформації, часто використовується для перевірки входу користувача або підтвердження угоди
• eth_signTypedData (EIP-712): підписання структурованих даних, часто використовується для Permit ERC20, NFT заявок тощо.

5. Підпис угоди

Підпис交易 використовується для авторизації交易у блокчейні, наприклад, для переказу коштів або виклику смарт-контракту. Користувач підписує за допомогою приватного ключа, а мережа перевіряє дійсність交易у. Багато плагінних гаманців декодують повідомлення, що підлягають підписанню, і демонструють відповідний вміст, користувач обов'язково повинен дотримуватися принципу непідписання наосліп. Рекомендації з безпеки:

• Уважно перевірте адресу отримувача, суму та мережу, щоб уникнути помилок
• Рекомендується використовувати офлайн-підпис для великих транзакцій, щоб зменшити ризик онлайн-атак.
• Зверніть увагу на газові витрати, забезпечте їх розумність, щоб уникнути шахрайства

Для користувачів із хорошими технічними знаннями можна перевірити адресу цільового контракту за допомогою блокчейн-браузера, включаючи перевірку того, чи є контракт з відкритим вихідним кодом, чи було нещодавно багато транзакцій, а також чи є офіційна мітка або шкідлива мітка.

6. Обробка після торгівлі

Навіть якщо вам вдалося уникнути фішингових веб-сторінок і шкідливих підписів, після угоди все ще потрібно проводити управління ризиками.

Після торгівлі слід своєчасно перевірити статус транзакції в блокчейні, щоб підтвердити, чи відповідає він очікуванням на момент підписання. Якщо виявлено аномалії, потрібно терміново вжити заходів для переміщення активів, відкликання авторизації та інших заходів для обмеження збитків.

Управління дозволами ERC20 також є надзвичайно важливим. Рекомендується, щоб користувачі дотримувалися наведених нижче стандартів для запобігання ризикам:

• Мінімізація авторизації: відповідно до вимог транзакції, обмежте кількість токенів, які можна авторизувати, щоб уникнути безмежної авторизації.
• Вчасно відкликати непотрібні дозволи на токени: регулярно перевіряйте і відкликуйте довгостроково не використовувані дозволи угод, щоб запобігти втраті активів через вразливості угод.

Стратегія ізоляції капіталу

Навіть якщо є свідомість ризиків і вжито достатніх запобіжних заходів, рекомендується впровадити ефективну ізоляцію коштів, щоб знизити ризик втрат у разі екстремальних обставин. Рекомендуються такі стратегії:

• Використовуйте мультипідписні гаманці або холодні гаманці для зберігання великих активів
• Використовуйте плагін-гаманець або EOA-гаманець для щоденної взаємодії
• Регулярно змінюйте адреси гарячих гаманців, щоб зменшити тривале впливання адрес на ризикове середовище

Якщо ви випадково стали жертвою фішингової атаки, рекомендується негайно вжити такі заходи для зменшення втрат:

• Використовуйте відповідні інструменти для скасування авторизації з високим ризиком
• Якщо підписано permit підпис, але активи ще не були передані, негайно ініціюйте новий підпис, щоб зробити старий підпис недійсним.
• У разі необхідності, швидко перемістіть залишкові активи на нову адресу або холодний гаманець

Безпечна участь у аеродропах

Аірдропи є поширеним способом просування блокчейн-проектів, але також існують потенційні ризики. Ось кілька порад:

• Дослідження фону проекту: забезпечити наявність чіткої білого паперу, публічної інформації про команду та доброї репутації в спільноті
• Використовуйте спеціалізовану адресу: зареєструйте спеціальний гаманець та електронну пошту, щоб ізолювати ризики від основного рахунку.
• Обережно натискайте на посилання: отримуйте інформацію про аірдроп лише через офіційні канали, уникайте натискання на підозрілі посилання в соціальних мережах.

Вибір та рекомендації щодо використання плагінів

Вибір безпечних плагін-інструментів є надзвичайно важливим для допомоги в оцінці ризиків, конкретні рекомендації такі:

• Використовуйте надійні розширення: вибирайте популярні та добре оцінені розширення для браузера
• Перевірка рейтингу: перед встановленням нового плагіна перегляньте рейтинг користувачів та кількість встановлень; високий рейтинг і велика кількість встановлень зазвичай вказують на більшу надійність плагіна.
• Тримайте оновленим: регулярно оновлюйте плагін, щоб отримувати нові функції безпеки та виправлення, застарілі плагіни можуть містити відомі вразливості

Висновок

Дотримуючись наведених вище рекомендацій щодо безпечних транзакцій, користувачі можуть більш впевнено взаємодіяти в складній екосистемі блокчейну та ефективно підвищити здатність захисту активів. Незважаючи на те, що технологія блокчейн має своїми основними перевагами децентралізацію та прозорість, це також означає, що користувачі повинні самостійно протистояти численним ризикам, включаючи фішинг підписів, витік приватних ключів та шкідливі DApp.

Щоб досягти справжньої безпеки в ланцюзі блоків, лише покладатися на інструменти для сповіщення недостатньо, ключовим є формування системного усвідомлення безпеки та операційних звичок. Використовуючи апаратні гаманці, реалізуючи стратегії ізоляції коштів, регулярно перевіряючи авторизацію та оновлюючи плагіни та інші захисні заходи, а також впроваджуючи в торгових операціях принципи "багаторазової перевірки, відмови від сліпого підписання, ізоляції коштів", ми можемо справді досягти "вільного та безпечного доступу до ланцюга".