С учетом постоянного расширения экосистемы в блокчейне, цепочечные транзакции постепенно стали неотъемлемой частью повседневной деятельности пользователей Web3. Активы пользователей стремительно переходят с централизованных платформ на децентрализованные сети, и эта тенденция также означает, что ответственность за безопасность активов переходит от платформы к самим пользователям. В блокчейн-среде пользователи должны нести ответственность за каждое взаимодействие, будь то импорт кошелька, доступ к DApp или подписание полномочий и инициирование транзакций; любая слепая подпись или ошибка может стать источником угрозы безопасности, что приведет к утечке закрытого ключа, злоупотреблению полномочиями или фишинговым атакам и другим серьезным последствиям.
Несмотря на то, что текущие популярные плагины для кошельков и браузеров постепенно интегрируют функции распознавания фишинга, предупреждения о рисках и т.д., в условиях все более сложных методов атак полагаться только на пассивную защиту инструментов все же недостаточно для полного исключения рисков. Чтобы помочь пользователям более четко распознавать потенциальные точки риска в цепочечных транзакциях, наша команда безопасности на основе практического опыта разработала систему высокочастотных риск-сценариев по всем процессам и, совместив рекомендации по защите и советы по использованию инструментов, создала комплексное руководство по безопасности цепочечных транзакций, чтобы помочь каждому пользователю Web3 построить "самостоятельно управляемую" защиту.
Основные принципы безопасной торговли:
Отказ от слепой подписи: не подписывайте сделки или сообщения, которые не понимаете.
Повторная проверка: перед проведением любой транзакции обязательно многократно проверяйте точность соответствующей информации.
Безопасная торговля является ключом к защите цифровых активов. Исследования показывают, что использование безопасных Кошельков и двухфакторной аутентификации (2FA) может значительно снизить риски. Вот конкретные рекомендации:
Используйте безопасный Кошелек:
Выберите надежного поставщика кошельков, такого как аппаратные кошельки Ledger или Trezor, или программные кошельки, такие как Metamask. Аппаратные кошельки обеспечивают оффлайн-хранение, что снижает риск онлайн-атак и подходит для хранения крупных активов.
Проверьте детали транзакции дважды:
Перед подтверждением транзакции всегда проверяйте адрес получателя, сумму и сеть (например, убедитесь, что вы используете правильный в блокчейне, такой как Ethereum или BNB Chain), чтобы избежать потерь из-за ошибок ввода.
Включите двухфакторную аутентификацию (2FA):
Если ваша торговая платформа или кошелек поддерживает 2FA, обязательно включите ее для дополнительной безопасности учетной записи, особенно если вы используете горячий кошелек.
Избегайте использования общественного Wi-Fi:
Не совершайте транзакции в общественных сетях Wi-Fi, чтобы избежать фишинговых атак и атак посредников.
Два|Как провести безопасную сделку
Полный процесс транзакции DApp включает несколько этапов: установка кошелька, доступ к DApp, подключение кошелька, подпись сообщения, подпись транзакции, обработка после транзакции. На каждом этапе существуют определенные риски безопасности, ниже будут последовательно представлены меры предосторожности в процессе выполнения.
Примечание: в этот раз основное внимание будет уделено безопасным взаимодействиям на Ethereum и других совместимых с EVM цепочках, инструменты и конкретные технические детали, используемые в других не-EVM цепочках, могут отличаться.
1: Установка Кошелька:
В настоящее время основным способом использования DApp является взаимодействие через браузерные расширения Кошелька. Основные Кошельки, используемые на EVM-цепочках, включают MetaMask и другие.
При установке кошелька расширения Chrome необходимо подтвердить, что он загружается и устанавливается из интернет-магазина Chrome, чтобы избежать установки программного обеспечения кошелька с бэкдорами с третьих сайтов. Пользователям, имеющим возможность, рекомендуется комбинировать использование с аппаратными кошельками для дальнейшего повышения общей безопасности хранения закрытого ключа.
При установке резервной фразы для кошелька (обычно это фраза восстановления из 12-24 слов) рекомендуется хранить её в безопасном месте, вдали от цифровых устройств (например, записать на бумаге и хранить в сейфе).
2: Доступ к DApp
Фишинг в интернете — это распространённый прием в атаках на Web3. Типичный случай заключается в том, что пользователей заманивают посетить фишинговое DApp приложение под предлогомairdrop, после чего их побуждают подписывать авторизацию токенов, трансакции или подписи авторизации токенов после подключения кошелька, что приводит к потерям активов.
Поэтому при доступе к DApp пользователям необходимо быть осторожными, чтобы избежать ловушек фишинга в вебе.
Перед доступом к DApp следует убедиться в правильности адреса. Рекомендуется:
Избегайте доступа напрямую через поисковые системы: Фишинговые атакующие могут продвигать свои фишинговые сайты, покупая рекламные места.
Избегайте нажатия на ссылки в социальных сетях: URL-адреса, размещенные в комментариях или сообщениях, могут быть фишинговыми.
Повторно проверьте правильность URL DApp: можно проверить через такие рынки DApp, как DefiLlama, а также официальные аккаунты социальных сетей проекта.
Добавьте безопасный сайт в закладки браузера: в будущем можно будет получить доступ напрямую из закладок.
После открытия веб-страницы DApp также необходимо выполнить проверку безопасности адресной строки:
Проверьте, похожи ли доменное имя и URL на подделку.
Проверьте, является ли это HTTPS-ссылкой, браузер должен отображать замок
Содержание носит исключительно справочный характер и не является предложением или офертой. Консультации по инвестициям, налогообложению или юридическим вопросам не предоставляются. Более подробную информацию о рисках см. в разделе «Дисклеймер».
в блокчейне交互零误区,Web3安全交易指南请收好
С учетом постоянного расширения экосистемы в блокчейне, цепочечные транзакции постепенно стали неотъемлемой частью повседневной деятельности пользователей Web3. Активы пользователей стремительно переходят с централизованных платформ на децентрализованные сети, и эта тенденция также означает, что ответственность за безопасность активов переходит от платформы к самим пользователям. В блокчейн-среде пользователи должны нести ответственность за каждое взаимодействие, будь то импорт кошелька, доступ к DApp или подписание полномочий и инициирование транзакций; любая слепая подпись или ошибка может стать источником угрозы безопасности, что приведет к утечке закрытого ключа, злоупотреблению полномочиями или фишинговым атакам и другим серьезным последствиям.
Несмотря на то, что текущие популярные плагины для кошельков и браузеров постепенно интегрируют функции распознавания фишинга, предупреждения о рисках и т.д., в условиях все более сложных методов атак полагаться только на пассивную защиту инструментов все же недостаточно для полного исключения рисков. Чтобы помочь пользователям более четко распознавать потенциальные точки риска в цепочечных транзакциях, наша команда безопасности на основе практического опыта разработала систему высокочастотных риск-сценариев по всем процессам и, совместив рекомендации по защите и советы по использованию инструментов, создала комплексное руководство по безопасности цепочечных транзакций, чтобы помочь каждому пользователю Web3 построить "самостоятельно управляемую" защиту.
Основные принципы безопасной торговли:
! Ноль недоразумений во взаимодействии в сети, пожалуйста, отложите руководство по безопасным транзакциям Web3
Один|Советы по безопасной торговле
Безопасная торговля является ключом к защите цифровых активов. Исследования показывают, что использование безопасных Кошельков и двухфакторной аутентификации (2FA) может значительно снизить риски. Вот конкретные рекомендации:
Выберите надежного поставщика кошельков, такого как аппаратные кошельки Ledger или Trezor, или программные кошельки, такие как Metamask. Аппаратные кошельки обеспечивают оффлайн-хранение, что снижает риск онлайн-атак и подходит для хранения крупных активов.
Перед подтверждением транзакции всегда проверяйте адрес получателя, сумму и сеть (например, убедитесь, что вы используете правильный в блокчейне, такой как Ethereum или BNB Chain), чтобы избежать потерь из-за ошибок ввода.
Если ваша торговая платформа или кошелек поддерживает 2FA, обязательно включите ее для дополнительной безопасности учетной записи, особенно если вы используете горячий кошелек.
Не совершайте транзакции в общественных сетях Wi-Fi, чтобы избежать фишинговых атак и атак посредников.
Два|Как провести безопасную сделку
Полный процесс транзакции DApp включает несколько этапов: установка кошелька, доступ к DApp, подключение кошелька, подпись сообщения, подпись транзакции, обработка после транзакции. На каждом этапе существуют определенные риски безопасности, ниже будут последовательно представлены меры предосторожности в процессе выполнения.
Примечание: в этот раз основное внимание будет уделено безопасным взаимодействиям на Ethereum и других совместимых с EVM цепочках, инструменты и конкретные технические детали, используемые в других не-EVM цепочках, могут отличаться.
1: Установка Кошелька:
В настоящее время основным способом использования DApp является взаимодействие через браузерные расширения Кошелька. Основные Кошельки, используемые на EVM-цепочках, включают MetaMask и другие.
При установке кошелька расширения Chrome необходимо подтвердить, что он загружается и устанавливается из интернет-магазина Chrome, чтобы избежать установки программного обеспечения кошелька с бэкдорами с третьих сайтов. Пользователям, имеющим возможность, рекомендуется комбинировать использование с аппаратными кошельками для дальнейшего повышения общей безопасности хранения закрытого ключа.
При установке резервной фразы для кошелька (обычно это фраза восстановления из 12-24 слов) рекомендуется хранить её в безопасном месте, вдали от цифровых устройств (например, записать на бумаге и хранить в сейфе).
2: Доступ к DApp
Фишинг в интернете — это распространённый прием в атаках на Web3. Типичный случай заключается в том, что пользователей заманивают посетить фишинговое DApp приложение под предлогомairdrop, после чего их побуждают подписывать авторизацию токенов, трансакции или подписи авторизации токенов после подключения кошелька, что приводит к потерям активов.
Поэтому при доступе к DApp пользователям необходимо быть осторожными, чтобы избежать ловушек фишинга в вебе.
Перед доступом к DApp следует убедиться в правильности адреса. Рекомендуется:
После открытия веб-страницы DApp также необходимо выполнить проверку безопасности адресной строки: