З розширенням екосистеми у блокчейні, транзакції у блокчейні поступово стали невід'ємною частиною щоденних операцій користувачів Web3. Активи користувачів швидко мігрують з централізованих платформ до децентралізованих мереж, і ця тенденція також означає, що відповідальність за безпеку активів переходить від платформ до самих користувачів. У блокчейн-середовищі користувачі повинні нести відповідальність за кожен крок взаємодії, незалежно від того, чи це імпорт гаманець, доступ до DApp, чи підписання авторизації та ініціювання транзакцій, будь-яке сліпе підписання або помилка під час операції можуть стати загрозою безпеці, викликавши серйозні наслідки, такі як витік закритого ключа, зловживання авторизацією або фішинг-атаки.
Незважаючи на те, що поточні основні плагіни гаманців і браузери поступово інтегрували фішингову ідентифікацію, нагадування про ризики та інші функції, в умовах все більш складних методів атак все ще важко повністю уникнути ризиків, покладаючись лише на пасивний захист інструментів. Щоб допомогти користувачам чіткіше визначити потенційні точки ризику в ончейн-транзакціях, наша команда безпеки відсортувала сценарії високого ризику в усьому процесі на основі практичного досвіду та сформулювала набір систематичних рекомендацій щодо безпеки транзакцій у ланцюжку на основі практичного досвіду в поєднанні з пропозиціями щодо захисту та навичками використання інструментів, щоб допомогти кожному користувачеві Web3 побудувати «автономну та контрольовану» лінію захисту безпеки.
Основні принципи безпечної торгівлі:
Відмовтеся від сліпого підписання: не підписуйте угоди чи повідомлення, які ви не розумієте.
Повторна перевірка: перед будь-якою угодою обов'язково багаторазово перевірте точність відповідної інформації.
Безпечна торгівля є ключем до захисту цифрових активів. Дослідження показують, що використання безпечного гаманця та двофакторної аутентифікації (2FA) може значно зменшити ризики. Ось конкретні рекомендації:
Використовуйте безпечний гаманець:
Вибирайте постачальників гаманців з хорошою репутацією, таких як апаратні гаманці Ledger або Trezor, або програмні гаманці, такі як Metamask. Апаратні гаманці забезпечують офлайн-зберігання, зменшуючи ризик онлайн-атак, і підходять для зберігання великих активів.
Подвійна перевірка деталей транзакції:
Перед підтвердженням транзакції завжди перевіряйте адресу отримання, суму та мережу (наприклад, переконайтеся, що ви використовуєте правильний ланцюг, такий як Ethereum або BNB Chain тощо), щоб уникнути втрат через помилки введення.
Увімкніть двофакторну автентифікацію (2FA):
Якщо торгова платформа або гаманець підтримує 2FA, обов'язково активуйте його, щоб підвищити безпеку облікового запису, особливо при використанні гарячого гаманця.
Уникайте використання загального Wi-Fi:
Не проводьте транзакції через громадні Wi-Fi мережі, щоб запобігти фішинговим атакам та атакам посередників.
Два|Як здійснити безпечну угоду
Цілісний процес транзакції DApp складається з кількох етапів: установка гаманця, доступ до DApp, підключення гаманця, підписання повідомлення, підписання транзакції, післяопераційна обробка. На кожному етапі існує певний ризик безпеки, далі поетапно будуть представлені рекомендації щодо обережності під час виконання.
Примітка: Цього разу ми зосередимося на процесі безпечної взаємодії на Ethereum і кожному EVM-сумісному ланцюжку, а інструменти та конкретні технічні деталі, що використовуються іншими ланцюгами, що не належать до EVM, можуть відрізнятися.
1: Встановлення гаманець:
Наразі основний спосіб використання DApp полягає в інтеракції через плагіни для браузера. Основні гаманці, що використовуються в EVM-ланцюгах, включають MetaMask тощо.
Встановлюючи додатковий гаманець Chrome, переконайтеся, що ви завантажуєте та встановлюєте його з Веб-магазину Chrome, а також не встановлюйте його зі стороннього веб-сайту, якщо ви встановлюєте програмне забезпечення гаманця з бекдором. Умовним користувачам рекомендується використовувати комбінацію апаратних гаманців для подальшого підвищення загальної безпеки при зберіганні приватних ключів.
При встановленні резервної фрази для гаманця (зазвичай це від 12 до 24 слів для відновлення) рекомендується зберігати її в безпечному місці, подалі від цифрових пристроїв (наприклад, записати на папері та зберегти в сейфі).
2: Відвідування DApp
Фішинг веб-сторінок є поширеним методом атак у Web3. Типовий випадок - це спокушання користувачів відвідати фішинговий DApp під приводом аердропу, після чого користувачів спонукають підключити гаманець і підписати авторизацію токенів, перекази або підпис на авторизацію токенів, що призводить до втрати активів.
Тому, під час відвідування DApp, користувачам потрібно бути обережними, щоб уникнути потрапляння в пастки фішингу.
Перед відвідуванням DApp слід підтвердити правильність адреси. Рекомендації:
Уникайте прямого доступу через пошукові системи: зловмисники можуть підвищити рейтинг своїх фішингових сайтів, купуючи рекламні місця.
Уникайте натискання на посилання в соціальних мережах: URL-адреси, опубліковані в коментарях або повідомленнях, можуть бути фішинговими посиланнями.
Постійно перевіряйте правильність адреси DApp: можна перевірити через ринок DApp, такий як DefiLlama, офіційні соціальні медіа-акаунти проектів та інші джерела.
Додайте безпечний сайт до закладок браузера: надалі відвідуйте безпосередньо з закладок.
Після відкриття веб-сторінки DApp також необхідно провести перевірку безпеки адресного рядка:
Перевірте, чи схожі домен і URL на підроблені.
Перевірте, чи є це HTTPS-посиланням, браузер повинен відображати замок
Контент має виключно довідковий характер і не є запрошенням до участі або пропозицією. Інвестиційні, податкові чи юридичні консультації не надаються. Перегляньте Відмову від відповідальності , щоб дізнатися більше про ризики.
у блокчейні взаємодія без помилок, посібник з безпечних угод Web3, будь ласка, збережіть
З розширенням екосистеми у блокчейні, транзакції у блокчейні поступово стали невід'ємною частиною щоденних операцій користувачів Web3. Активи користувачів швидко мігрують з централізованих платформ до децентралізованих мереж, і ця тенденція також означає, що відповідальність за безпеку активів переходить від платформ до самих користувачів. У блокчейн-середовищі користувачі повинні нести відповідальність за кожен крок взаємодії, незалежно від того, чи це імпорт гаманець, доступ до DApp, чи підписання авторизації та ініціювання транзакцій, будь-яке сліпе підписання або помилка під час операції можуть стати загрозою безпеці, викликавши серйозні наслідки, такі як витік закритого ключа, зловживання авторизацією або фішинг-атаки.
Незважаючи на те, що поточні основні плагіни гаманців і браузери поступово інтегрували фішингову ідентифікацію, нагадування про ризики та інші функції, в умовах все більш складних методів атак все ще важко повністю уникнути ризиків, покладаючись лише на пасивний захист інструментів. Щоб допомогти користувачам чіткіше визначити потенційні точки ризику в ончейн-транзакціях, наша команда безпеки відсортувала сценарії високого ризику в усьому процесі на основі практичного досвіду та сформулювала набір систематичних рекомендацій щодо безпеки транзакцій у ланцюжку на основі практичного досвіду в поєднанні з пропозиціями щодо захисту та навичками використання інструментів, щоб допомогти кожному користувачеві Web3 побудувати «автономну та контрольовану» лінію захисту безпеки.
Основні принципи безпечної торгівлі:
! Нуль непорозумінь у взаємодії в мережі, будь ласка, відкладіть посібник із безпечних транзакцій Web3
Один|Рекомендації щодо безпечних транзакцій
Безпечна торгівля є ключем до захисту цифрових активів. Дослідження показують, що використання безпечного гаманця та двофакторної аутентифікації (2FA) може значно зменшити ризики. Ось конкретні рекомендації:
Вибирайте постачальників гаманців з хорошою репутацією, таких як апаратні гаманці Ledger або Trezor, або програмні гаманці, такі як Metamask. Апаратні гаманці забезпечують офлайн-зберігання, зменшуючи ризик онлайн-атак, і підходять для зберігання великих активів.
Перед підтвердженням транзакції завжди перевіряйте адресу отримання, суму та мережу (наприклад, переконайтеся, що ви використовуєте правильний ланцюг, такий як Ethereum або BNB Chain тощо), щоб уникнути втрат через помилки введення.
Якщо торгова платформа або гаманець підтримує 2FA, обов'язково активуйте його, щоб підвищити безпеку облікового запису, особливо при використанні гарячого гаманця.
Не проводьте транзакції через громадні Wi-Fi мережі, щоб запобігти фішинговим атакам та атакам посередників.
Два|Як здійснити безпечну угоду
Цілісний процес транзакції DApp складається з кількох етапів: установка гаманця, доступ до DApp, підключення гаманця, підписання повідомлення, підписання транзакції, післяопераційна обробка. На кожному етапі існує певний ризик безпеки, далі поетапно будуть представлені рекомендації щодо обережності під час виконання.
Примітка: Цього разу ми зосередимося на процесі безпечної взаємодії на Ethereum і кожному EVM-сумісному ланцюжку, а інструменти та конкретні технічні деталі, що використовуються іншими ланцюгами, що не належать до EVM, можуть відрізнятися.
1: Встановлення гаманець:
Наразі основний спосіб використання DApp полягає в інтеракції через плагіни для браузера. Основні гаманці, що використовуються в EVM-ланцюгах, включають MetaMask тощо.
Встановлюючи додатковий гаманець Chrome, переконайтеся, що ви завантажуєте та встановлюєте його з Веб-магазину Chrome, а також не встановлюйте його зі стороннього веб-сайту, якщо ви встановлюєте програмне забезпечення гаманця з бекдором. Умовним користувачам рекомендується використовувати комбінацію апаратних гаманців для подальшого підвищення загальної безпеки при зберіганні приватних ключів.
При встановленні резервної фрази для гаманця (зазвичай це від 12 до 24 слів для відновлення) рекомендується зберігати її в безпечному місці, подалі від цифрових пристроїв (наприклад, записати на папері та зберегти в сейфі).
2: Відвідування DApp
Фішинг веб-сторінок є поширеним методом атак у Web3. Типовий випадок - це спокушання користувачів відвідати фішинговий DApp під приводом аердропу, після чого користувачів спонукають підключити гаманець і підписати авторизацію токенів, перекази або підпис на авторизацію токенів, що призводить до втрати активів.
Тому, під час відвідування DApp, користувачам потрібно бути обережними, щоб уникнути потрапляння в пастки фішингу.
Перед відвідуванням DApp слід підтвердити правильність адреси. Рекомендації:
Після відкриття веб-сторінки DApp також необхідно провести перевірку безпеки адресного рядка: