Com a contínua expansão do ecossistema na cadeia, as transações na cadeia evoluíram gradualmente para operações diárias indispensáveis para os usuários do Web3. Os ativos dos usuários estão se deslocando rapidamente de plataformas centralizadas para redes de descentralização, e essa tendência também significa que a responsabilidade pela segurança dos ativos está se transferindo da plataforma para os próprios usuários. No ambiente na cadeia, os usuários precisam ser responsáveis por cada interação, seja importando a carteira, acessando DApp, ou assinando autorizações e iniciando transações, qualquer assinatura cega ou erro de operação pode se tornar um risco de segurança, resultando em vazamentos de chave privada, abuso de autorizações ou ataques de phishing, entre outras consequências graves.
Embora os plugins de carteira e navegadores mais populares tenham integrado gradualmente funções como reconhecimento de phishing e alertas de risco, enfrentar métodos de ataque cada vez mais complexos ainda torna difícil evitar completamente os riscos apenas com defesas passivas de ferramentas. Para ajudar os usuários a identificar mais claramente os pontos de risco potenciais nas transações na cadeia, nossa equipe de segurança, com base na experiência prática, organizou cenários de alto risco ao longo de todo o processo e, juntamente com recomendações de proteção e dicas de uso de ferramentas, elaborou um guia sistemático de segurança para transações na cadeia, ajudando cada usuário do Web3 a construir uma linha de defesa "autônoma e controlável".
Princípios fundamentais para transações seguras:
Recusar assinaturas cegas: nunca assine transações ou mensagens que não compreende.
Verificação repetida: Antes de realizar qualquer transação, é imprescindível verificar a precisão das informações relevantes várias vezes.
一|Sugestões para transações seguras
Transações seguras são a chave para proteger ativos digitais. Estudos mostram que usar uma carteira segura e a autenticação de dois fatores (2FA) pode reduzir significativamente os riscos. Aqui estão algumas recomendações específicas:
Usar uma carteira segura:
Escolha um provedor de carteira respeitável, como uma carteira de hardware como Ledger ou Trezor, ou uma carteira de software como Metamask. As carteiras de hardware oferecem armazenamento off-line, reduzindo o risco de ataques on-line e são adequadas para armazenar grandes quantidades de ativos.
Verifique os detalhes da transação duas vezes:
Antes de confirmar a transação, verifique sempre o endereço de recepção, o montante e a rede (por exemplo, certifique-se de que está a usar a cadeia correta, como Ethereum ou BNB Chain, etc.), para evitar perdas devido a erros de digitação.
Ativar a verificação em duas etapas (2FA):
Se a plataforma de negociação ou a Carteira suportar 2FA, certifique-se de ativá-lo para aumentar a segurança da conta, especialmente ao usar Carteiras quentes.
Evite usar Wi-Fi público:
Não faça transações em redes Wi-Fi públicas para evitar ataques de phishing e ataques de intermediários.
二|Como realizar transações seguras
Um processo completo de transação DApp inclui várias etapas: instalação da Carteira, acesso ao DApp, conexão da Carteira, assinatura de mensagens, assinatura de transações e processamento pós-transação. Cada etapa apresenta certos riscos de segurança, a seguir serão apresentadas as precauções a serem tomadas durante a operação real.
Nota: Esta apresentação foca nos processos de interação segura na Ethereum e em outras cadeias compatíveis com EVM; outras ferramentas e detalhes técnicos utilizados em cadeias não EVM podem variar.
1: Instalação da carteira:
Atualmente, a maneira principal de usar DApps é interagir com eles através de carteiras de plug-in do navegador. As principais carteiras usadas pelas cadeias EVM incluem MetaMask, etc.
Ao instalar a carteira complementar do Chrome, tem de se certificar de que a transfere e instala a partir da Web Store do Chrome e evitar instalá-la a partir de um Website de terceiros, caso instale o software da carteira com uma porta traseira. Os usuários condicionais são aconselhados a usar uma combinação de carteiras de hardware para melhorar ainda mais a segurança geral na custódia de chaves privadas.
Ao instalar a frase-semente de backup da Carteira (normalmente uma frase de recuperação de 12 a 24 palavras), recomenda-se armazená-la num local seguro, longe de dispositivos digitais (por exemplo, escrevendo-a em papel e guardando-a num cofre).
2: Acessar DApp
A phishing na web é uma técnica comum em ataques Web3. Um caso típico é induzir os usuários a visitar aplicações DApp de phishing sob o pretexto de um airdrop, levando-os a assinar autorizações de tokens, transações de transferência ou assinaturas de autorização de tokens após conectarem suas carteiras, resultando em perda de ativos.
Portanto, ao acessar o DApp, os usuários devem permanecer vigilantes e evitar cair nas armadilhas de phishing na web.
Antes de acessar o DApp, deve-se confirmar a correção do URL. Sugestão:
Evite acessar diretamente através de motores de busca: atacantes de phishing podem comprar espaços publicitários para fazer seu site de phishing aparecer em posições elevadas.
Evite clicar em links nas redes sociais: os URLs publicados em comentários ou mensagens podem ser links de phishing.
Confirmar repetidamente a correção do URL do DApp: pode ser verificado através de mercados DApp como DefiLlama, contas oficiais de redes sociais do projeto e outras fontes.
Adicionar sites seguros aos favoritos do navegador: acesse diretamente a partir dos favoritos posteriormente.
Ao abrir a página da DApp, também é necessário realizar uma verificação de segurança na barra de endereços:
Verifique se o domínio e o URL parecem falsificados.
Verifique se é um link HTTPS, o navegador deve mostrar um cadeado
O conteúdo serve apenas de referência e não constitui uma solicitação ou oferta. Não é prestado qualquer aconselhamento em matéria de investimento, fiscal ou jurídica. Consulte a Declaração de exoneração de responsabilidade para obter mais informações sobre os riscos.
na cadeia interações sem erro, guia de transações seguras Web3, por favor guarde
Com a contínua expansão do ecossistema na cadeia, as transações na cadeia evoluíram gradualmente para operações diárias indispensáveis para os usuários do Web3. Os ativos dos usuários estão se deslocando rapidamente de plataformas centralizadas para redes de descentralização, e essa tendência também significa que a responsabilidade pela segurança dos ativos está se transferindo da plataforma para os próprios usuários. No ambiente na cadeia, os usuários precisam ser responsáveis por cada interação, seja importando a carteira, acessando DApp, ou assinando autorizações e iniciando transações, qualquer assinatura cega ou erro de operação pode se tornar um risco de segurança, resultando em vazamentos de chave privada, abuso de autorizações ou ataques de phishing, entre outras consequências graves.
Embora os plugins de carteira e navegadores mais populares tenham integrado gradualmente funções como reconhecimento de phishing e alertas de risco, enfrentar métodos de ataque cada vez mais complexos ainda torna difícil evitar completamente os riscos apenas com defesas passivas de ferramentas. Para ajudar os usuários a identificar mais claramente os pontos de risco potenciais nas transações na cadeia, nossa equipe de segurança, com base na experiência prática, organizou cenários de alto risco ao longo de todo o processo e, juntamente com recomendações de proteção e dicas de uso de ferramentas, elaborou um guia sistemático de segurança para transações na cadeia, ajudando cada usuário do Web3 a construir uma linha de defesa "autônoma e controlável".
Princípios fundamentais para transações seguras:
一|Sugestões para transações seguras
Transações seguras são a chave para proteger ativos digitais. Estudos mostram que usar uma carteira segura e a autenticação de dois fatores (2FA) pode reduzir significativamente os riscos. Aqui estão algumas recomendações específicas:
Escolha um provedor de carteira respeitável, como uma carteira de hardware como Ledger ou Trezor, ou uma carteira de software como Metamask. As carteiras de hardware oferecem armazenamento off-line, reduzindo o risco de ataques on-line e são adequadas para armazenar grandes quantidades de ativos.
Antes de confirmar a transação, verifique sempre o endereço de recepção, o montante e a rede (por exemplo, certifique-se de que está a usar a cadeia correta, como Ethereum ou BNB Chain, etc.), para evitar perdas devido a erros de digitação.
Se a plataforma de negociação ou a Carteira suportar 2FA, certifique-se de ativá-lo para aumentar a segurança da conta, especialmente ao usar Carteiras quentes.
Não faça transações em redes Wi-Fi públicas para evitar ataques de phishing e ataques de intermediários.
二|Como realizar transações seguras
Um processo completo de transação DApp inclui várias etapas: instalação da Carteira, acesso ao DApp, conexão da Carteira, assinatura de mensagens, assinatura de transações e processamento pós-transação. Cada etapa apresenta certos riscos de segurança, a seguir serão apresentadas as precauções a serem tomadas durante a operação real.
Nota: Esta apresentação foca nos processos de interação segura na Ethereum e em outras cadeias compatíveis com EVM; outras ferramentas e detalhes técnicos utilizados em cadeias não EVM podem variar.
1: Instalação da carteira:
Atualmente, a maneira principal de usar DApps é interagir com eles através de carteiras de plug-in do navegador. As principais carteiras usadas pelas cadeias EVM incluem MetaMask, etc.
Ao instalar a carteira complementar do Chrome, tem de se certificar de que a transfere e instala a partir da Web Store do Chrome e evitar instalá-la a partir de um Website de terceiros, caso instale o software da carteira com uma porta traseira. Os usuários condicionais são aconselhados a usar uma combinação de carteiras de hardware para melhorar ainda mais a segurança geral na custódia de chaves privadas.
Ao instalar a frase-semente de backup da Carteira (normalmente uma frase de recuperação de 12 a 24 palavras), recomenda-se armazená-la num local seguro, longe de dispositivos digitais (por exemplo, escrevendo-a em papel e guardando-a num cofre).
2: Acessar DApp
A phishing na web é uma técnica comum em ataques Web3. Um caso típico é induzir os usuários a visitar aplicações DApp de phishing sob o pretexto de um airdrop, levando-os a assinar autorizações de tokens, transações de transferência ou assinaturas de autorização de tokens após conectarem suas carteiras, resultando em perda de ativos.
Portanto, ao acessar o DApp, os usuários devem permanecer vigilantes e evitar cair nas armadilhas de phishing na web.
Antes de acessar o DApp, deve-se confirmar a correção do URL. Sugestão:
Ao abrir a página da DApp, também é necessário realizar uma verificação de segurança na barra de endereços: