Guía de seguridad para transacciones Web3: protege tus activos on-chain
Con el continuo desarrollo del ecosistema descentralizado, las transacciones on-chain se han convertido en una parte importante de las operaciones diarias de los usuarios de Web3. Los activos de los usuarios están migrando de plataformas centralizadas a redes descentralizadas, lo que significa que la responsabilidad de la seguridad de los activos también se está trasladando gradualmente de la plataforma a los propios usuarios. En un entorno on-chain, los usuarios necesitan ser responsables de cada interacción, ya sea importando una billetera, accediendo a aplicaciones, o firmando autorizaciones e iniciando transacciones; cualquier error en la operación podría convertirse en un riesgo de seguridad, lo que podría provocar la filtración de claves privadas, abuso de autorizaciones o fraudes en la red.
Aunque actualmente los principales complementos de billeteras y navegadores han integrado gradualmente funciones de identificación y alerta de riesgos, enfrentar métodos de ataque cada vez más complejos hace que depender únicamente de la defensa pasiva de las herramientas sea difícil para evitar completamente los riesgos. Para ayudar a los usuarios a identificar más claramente los puntos de riesgo potencial en las transacciones on-chain, hemos organizado, basándonos en la experiencia práctica, los escenarios de riesgo de alta frecuencia a lo largo de todo el proceso, y hemos desarrollado un conjunto sistemático de guías de seguridad para transacciones on-chain, combinando recomendaciones de protección y técnicas de uso de herramientas, con el objetivo de ayudar a cada usuario de Web3 a construir una línea de defensa "autónoma y controlable".
Principios fundamentales del comercio seguro:
Rechazar firmas ciegas: no firme transacciones o mensajes que no entienda.
Verificación repetida: Antes de realizar cualquier transacción, asegúrese de verificar la precisión de la información relacionada varias veces.
Uno, Sugerencias para transacciones seguras
Las transacciones seguras son clave para proteger los activos digitales. Los estudios muestran que el uso de billeteras seguras y la verificación en dos pasos (2FA) pueden reducir significativamente los riesgos. A continuación se presentan recomendaciones específicas:
Utiliza una billetera segura:
Elija proveedores de billeteras de buena reputación, como billeteras de hardware o billeteras de software conocidas. Las billeteras de hardware ofrecen almacenamiento fuera de línea, lo que reduce el riesgo de ataques en línea, y son adecuadas para almacenar grandes activos.
Verificar los detalles de la transacción dos veces:
Antes de confirmar la transacción, siempre verifica la dirección de recepción, el monto y la red para evitar pérdidas debido a errores de entrada.
Habilitar la autenticación en dos pasos (2FA):
Si la plataforma de intercambio o la billetera admiten 2FA, asegúrate de activarlo para aumentar la seguridad de la cuenta, especialmente al usar una billetera caliente.
Evita usar Wi-Fi público:
No realices transacciones en redes Wi-Fi públicas para prevenir el phishing y los ataques de intermediarios.
2. Cómo realizar transacciones seguras
Un proceso completo de transacción de aplicaciones descentralizadas incluye múltiples etapas: instalación de la billetera, acceso a la aplicación, conexión de la billetera, firma de mensajes, firma de transacciones y procesamiento posterior a la transacción. Cada etapa conlleva ciertos riesgos de seguridad, a continuación se describirán las precauciones a tener en cuenta en la operación práctica.
1. Instalación de la billetera:
Actualmente, la forma principal de uso de las aplicaciones descentralizadas es a través de billeteras de navegador. Al instalar una billetera de extensión para Chrome, es necesario asegurarse de descargarla desde la tienda oficial de aplicaciones, evitando la instalación desde sitios de terceros para prevenir la instalación de software de billetera que pueda tener puertas traseras. Se sugiere a los usuarios que tengan la posibilidad combinar el uso de una billetera de hardware para mejorar aún más la seguridad general en el almacenamiento de claves privadas.
Al instalar la frase semilla de respaldo de la billetera (que generalmente es una frase de recuperación de 12 a 24 palabras), se recomienda almacenar esta en un lugar físico seguro, lejos de dispositivos digitales.
2. Acceder a la aplicación
El phishing web es una técnica común en los ataques de Web3. Un caso típico es inducir a los usuarios a visitar aplicaciones de phishing bajo el pretexto de un airdrop; después de que los usuarios conectan su billetera, se les induce a firmar autorizaciones de tokens, transacciones de transferencia o firmas de autorización de tokens, lo que lleva a la pérdida de activos.
Por lo tanto, al acceder a la aplicación, los usuarios deben mantenerse alerta y evitar caer en las trampas de phishing en la web.
Antes de acceder a la aplicación, se debe confirmar la corrección de la URL. Sugerencia:
Evita acceder directamente a través de motores de búsqueda: los atacantes de phishing pueden hacer que su sitio web de phishing aparezca en los primeros lugares al comprar espacios publicitarios.
Evita hacer clic en los enlaces en las redes sociales: las URL compartidas en comentarios o mensajes pueden ser enlaces de phishing.
Confirma repetidamente la corrección de la URL de la aplicación: se puede verificar a través de múltiples fuentes confiables.
Añadir sitios web seguros a los marcadores del navegador: acceder directamente desde los marcadores posteriormente.
Al abrir la página de la aplicación, también es necesario realizar una verificación de seguridad en la barra de direcciones:
Verifique si el nombre de dominio y la URL se parecen a una falsificación.
Verifica si es un enlace HTTPS, el navegador debería mostrar el ícono de candado.
Actualmente, las principales billeteras de plugins en el mercado también han integrado ciertas funciones de advertencia de riesgos, que pueden mostrar recordatorios fuertes al acceder a sitios web de riesgo.
3. Conectar billetera
Al ingresar a la aplicación, puede que se active automáticamente o tras hacer clic en Conectar para realizar la operación de conexión de la billetera. La billetera del plugin realizará algunas verificaciones y mostrará información relacionada con la aplicación actual.
Después de conectar la billetera, normalmente la aplicación no invocará activamente la billetera del plugin cuando el usuario no esté realizando otras operaciones. Si el sitio web solicita frecuentemente a la billetera que firme mensajes o transacciones después de iniciar sesión, e incluso sigue apareciendo constantemente la solicitud de firma después de rechazarla, es muy probable que se trate de un sitio web de phishing, lo que requiere un manejo cuidadoso.
4. Firma de mensajes
En situaciones extremas, como cuando un atacante compromete el sitio web oficial del protocolo o lleva a cabo ataques de secuestro en el frontend, reemplazando el contenido de la página. Es muy difícil para un usuario común identificar la seguridad del sitio web en este escenario.
En este momento, la firma de la billetera de complemento es la última barrera para que el usuario proteja sus activos. Siempre que se rechace la firma maliciosa, se puede garantizar que los activos no se verán afectados. Los usuarios deben revisar cuidadosamente el contenido de la firma al firmar cualquier mensaje y transacción, y rechazar la firma ciega, para evitar pérdidas de activos.
5. Firma de transacción
La firma de la transacción se utiliza para autorizar transacciones en la cadena de bloques, como transferencias o llamadas a contratos inteligentes. El usuario firma con su clave privada, y la red verifica la validez de la transacción. Actualmente, muchas billeteras de plugins decodifican los mensajes pendientes de firma y muestran el contenido relevante. Es importante seguir el principio de no firmar ciegamente. Recomendaciones de seguridad:
Verifica cuidadosamente la dirección del destinatario, el monto y la red para evitar errores.
Se recomienda firmar transacciones grandes fuera de línea para reducir el riesgo de ataques en línea.
Presta atención a las tarifas de gas, asegúrate de que sean razonables y evita estafas.
Para los usuarios con cierto nivel de conocimientos técnicos, también se pueden utilizar algunos métodos comunes de revisión manual: revisar el contrato objetivo de interacción copiando su dirección en un explorador de blockchain, donde los contenidos a revisar incluyen si el contrato es de código abierto, si ha habido un gran número de transacciones recientemente y si se le ha asignado una etiqueta oficial o una etiqueta maliciosa a esa dirección, entre otros.
6. Procesamiento posterior a la transacción
Sobrevivir a páginas de phishing y firmas maliciosas no significa que todo esté bien; después de la transacción, también es necesario realizar una gestión de riesgos.
Después de la transacción, se debe verificar a tiempo el estado on-chain de la transacción y confirmar si coincide con el estado esperado al momento de la firma. Si se detecta alguna anomalía, se deben realizar de inmediato operaciones de detención de pérdidas, como la transferencia de activos y la revocación de autorizaciones.
La gestión de la aprobación ERC20 también es muy importante. En algunos casos, después de que los usuarios autorizaron tokens a ciertos contratos, años después, esos contratos fueron atacados, y los atacantes aprovecharon los límites de autorización de tokens del contrato atacado para robar los fondos de los usuarios. Para evitar tales situaciones, recomendamos a los usuarios seguir los siguientes estándares para la prevención de riesgos:
Autorización mínima. Al realizar la autorización de tokens, se debe limitar la cantidad de tokens autorizados según las necesidades de la transacción. Si una transacción requiere la autorización de 100USDT, entonces la cantidad autorizada debe limitarse a 100USDT, y no se debe usar la autorización predeterminada ilimitada.
Revocar a tiempo las autorizaciones de tokens innecesarios. Los usuarios pueden iniciar sesión en una herramienta de gestión de autorizaciones dedicada para consultar el estado de autorización de la dirección correspondiente, revocar las autorizaciones de los protocolos que no han tenido interacción durante un largo período de tiempo, para prevenir que las vulnerabilidades en los protocolos lleven a la pérdida de activos debido al uso del límite de autorización del usuario.
Tres, estrategia de aislamiento de fondos
Bajo la condición de tener conciencia de riesgo y haber tomado suficientes medidas de prevención de riesgos, también se recomienda realizar un efectivo aislamiento de fondos para disminuir el grado de daño de los fondos en situaciones extremas. La estrategia recomendada es la siguiente:
Utilizar billeteras multifirma o billeteras frías para almacenar grandes activos;
Usar una billetera de plugin o una billetera EOA como billetera caliente para interacciones diarias;
Cambiar regularmente la dirección del monedero caliente para evitar que la dirección esté expuesta continuamente a un entorno de riesgo.
Si accidentalmente se encuentra en una situación de phishing, recomendamos tomar las siguientes medidas de inmediato para reducir las pérdidas:
Utilizar herramientas de gestión de autorizaciones para revocar autorizaciones de alto riesgo;
Si se ha firmado un permiso pero los activos aún no se han transferido, se puede iniciar inmediatamente una nueva firma para invalidar el nonce de la firma anterior;
Si es necesario, transfiera rápidamente los activos restantes a una nueva dirección o billetera fría.
Cuatro, cómo participar de manera segura en actividades de airdrop
El airdrop es una forma común de promoción de proyectos de blockchain, pero también conlleva riesgos. Aquí hay algunos consejos:
Investigación de antecedentes del proyecto: garantizar que el proyecto tenga un libro blanco claro, información del equipo pública y una buena reputación en la comunidad;
Utilizar direcciones dedicadas: registrar una billetera y un correo electrónico dedicados para aislar el riesgo de la cuenta principal;
Precaución al hacer clic en enlaces: obtenga información sobre airdrops únicamente a través de canales oficiales para evitar hacer clic en enlaces sospechosos en plataformas sociales;
Cinco, recomendaciones para la selección y uso de herramientas de plugins
El contenido de las normas de seguridad de blockchain es extenso, y puede que no siempre se puedan realizar revisiones detalladas en cada interacción. Elegir complementos seguros es crucial, ya que pueden ayudarnos a hacer juicios de riesgo. A continuación se presentan recomendaciones específicas:
Extensiones confiables: utiliza extensiones de navegador que son ampliamente utilizadas. Estos complementos ofrecen funciones de billetera y soportan la interacción con aplicaciones descentralizadas.
Revisión de calificaciones: Antes de instalar un nuevo complemento, verifica las calificaciones de los usuarios y el número de instalaciones. Una alta calificación y un gran número de instalaciones generalmente indican que el complemento es más confiable, lo que reduce el riesgo de código malicioso.
Manténgase actualizado: actualice regularmente sus complementos para obtener las últimas funciones de seguridad y correcciones. Los complementos obsoletos pueden contener vulnerabilidades conocidas que son fácilmente explotables por los atacantes.
Seis, Conclusión
Al seguir las pautas de seguridad para transacciones mencionadas anteriormente, los usuarios pueden interactuar de manera más tranquila en el cada vez más complejo ecosistema de blockchain, mejorando efectivamente su capacidad de protección de activos. Aunque la tecnología blockchain tiene como ventajas centrales la descentralización y la transparencia, esto también significa que los usuarios deben enfrentar de manera independiente múltiples riesgos, incluidos el phishing de firmas, la filtración de claves privadas y aplicaciones maliciosas.
Para lograr una verdadera seguridad on-chain, depender únicamente de herramientas de alerta no es suficiente; establecer una conciencia de seguridad sistemática y hábitos operativos es clave. A través del uso de monederos de hardware, la implementación de estrategias de aislamiento de fondos, la revisión periódica de autorizaciones y la actualización de complementos, así como la integración del concepto de "verificación múltiple, rechazo de firmas en blanco, aislamiento de fondos" en las operaciones de transacción, se puede lograr realmente "subir a la cadena de manera libre y segura".
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
13 me gusta
Recompensa
13
5
Republicar
Compartir
Comentar
0/400
GasSavingMaster
· 08-12 00:59
No hagas tantas tonterías. Recuerda mirar la firma un par de veces.
Ver originalesResponder0
mev_me_maybe
· 08-09 05:14
No es que yo diga, links igualmente permiten que la gente robe dinero.
Ver originalesResponder0
ZKSherlock
· 08-09 05:11
en realidad... la descentralización simplemente traslada los riesgos de seguridad de los cex a los usuarios. no voy a mentir, las matemáticas detrás de los zkps manejarían esto mucho mejor que las herramientas actuales de "detección de riesgos" smh
Ver originalesResponder0
ImpermanentSage
· 08-09 05:08
Seguridad primero, no queda nada.
Ver originalesResponder0
LiquidityWitch
· 08-09 05:03
La importancia de la seguridad se entiende realmente después de acuñar moneda.
Construir una defensa de seguridad de transacciones personales en la cadena: Guía completa para la protección de activos Web3
Guía de seguridad para transacciones Web3: protege tus activos on-chain
Con el continuo desarrollo del ecosistema descentralizado, las transacciones on-chain se han convertido en una parte importante de las operaciones diarias de los usuarios de Web3. Los activos de los usuarios están migrando de plataformas centralizadas a redes descentralizadas, lo que significa que la responsabilidad de la seguridad de los activos también se está trasladando gradualmente de la plataforma a los propios usuarios. En un entorno on-chain, los usuarios necesitan ser responsables de cada interacción, ya sea importando una billetera, accediendo a aplicaciones, o firmando autorizaciones e iniciando transacciones; cualquier error en la operación podría convertirse en un riesgo de seguridad, lo que podría provocar la filtración de claves privadas, abuso de autorizaciones o fraudes en la red.
Aunque actualmente los principales complementos de billeteras y navegadores han integrado gradualmente funciones de identificación y alerta de riesgos, enfrentar métodos de ataque cada vez más complejos hace que depender únicamente de la defensa pasiva de las herramientas sea difícil para evitar completamente los riesgos. Para ayudar a los usuarios a identificar más claramente los puntos de riesgo potencial en las transacciones on-chain, hemos organizado, basándonos en la experiencia práctica, los escenarios de riesgo de alta frecuencia a lo largo de todo el proceso, y hemos desarrollado un conjunto sistemático de guías de seguridad para transacciones on-chain, combinando recomendaciones de protección y técnicas de uso de herramientas, con el objetivo de ayudar a cada usuario de Web3 a construir una línea de defensa "autónoma y controlable".
Principios fundamentales del comercio seguro:
Uno, Sugerencias para transacciones seguras
Las transacciones seguras son clave para proteger los activos digitales. Los estudios muestran que el uso de billeteras seguras y la verificación en dos pasos (2FA) pueden reducir significativamente los riesgos. A continuación se presentan recomendaciones específicas:
Elija proveedores de billeteras de buena reputación, como billeteras de hardware o billeteras de software conocidas. Las billeteras de hardware ofrecen almacenamiento fuera de línea, lo que reduce el riesgo de ataques en línea, y son adecuadas para almacenar grandes activos.
Antes de confirmar la transacción, siempre verifica la dirección de recepción, el monto y la red para evitar pérdidas debido a errores de entrada.
Si la plataforma de intercambio o la billetera admiten 2FA, asegúrate de activarlo para aumentar la seguridad de la cuenta, especialmente al usar una billetera caliente.
No realices transacciones en redes Wi-Fi públicas para prevenir el phishing y los ataques de intermediarios.
2. Cómo realizar transacciones seguras
Un proceso completo de transacción de aplicaciones descentralizadas incluye múltiples etapas: instalación de la billetera, acceso a la aplicación, conexión de la billetera, firma de mensajes, firma de transacciones y procesamiento posterior a la transacción. Cada etapa conlleva ciertos riesgos de seguridad, a continuación se describirán las precauciones a tener en cuenta en la operación práctica.
1. Instalación de la billetera:
Actualmente, la forma principal de uso de las aplicaciones descentralizadas es a través de billeteras de navegador. Al instalar una billetera de extensión para Chrome, es necesario asegurarse de descargarla desde la tienda oficial de aplicaciones, evitando la instalación desde sitios de terceros para prevenir la instalación de software de billetera que pueda tener puertas traseras. Se sugiere a los usuarios que tengan la posibilidad combinar el uso de una billetera de hardware para mejorar aún más la seguridad general en el almacenamiento de claves privadas.
Al instalar la frase semilla de respaldo de la billetera (que generalmente es una frase de recuperación de 12 a 24 palabras), se recomienda almacenar esta en un lugar físico seguro, lejos de dispositivos digitales.
2. Acceder a la aplicación
El phishing web es una técnica común en los ataques de Web3. Un caso típico es inducir a los usuarios a visitar aplicaciones de phishing bajo el pretexto de un airdrop; después de que los usuarios conectan su billetera, se les induce a firmar autorizaciones de tokens, transacciones de transferencia o firmas de autorización de tokens, lo que lleva a la pérdida de activos.
Por lo tanto, al acceder a la aplicación, los usuarios deben mantenerse alerta y evitar caer en las trampas de phishing en la web.
Antes de acceder a la aplicación, se debe confirmar la corrección de la URL. Sugerencia:
Al abrir la página de la aplicación, también es necesario realizar una verificación de seguridad en la barra de direcciones:
Actualmente, las principales billeteras de plugins en el mercado también han integrado ciertas funciones de advertencia de riesgos, que pueden mostrar recordatorios fuertes al acceder a sitios web de riesgo.
3. Conectar billetera
Al ingresar a la aplicación, puede que se active automáticamente o tras hacer clic en Conectar para realizar la operación de conexión de la billetera. La billetera del plugin realizará algunas verificaciones y mostrará información relacionada con la aplicación actual.
Después de conectar la billetera, normalmente la aplicación no invocará activamente la billetera del plugin cuando el usuario no esté realizando otras operaciones. Si el sitio web solicita frecuentemente a la billetera que firme mensajes o transacciones después de iniciar sesión, e incluso sigue apareciendo constantemente la solicitud de firma después de rechazarla, es muy probable que se trate de un sitio web de phishing, lo que requiere un manejo cuidadoso.
4. Firma de mensajes
En situaciones extremas, como cuando un atacante compromete el sitio web oficial del protocolo o lleva a cabo ataques de secuestro en el frontend, reemplazando el contenido de la página. Es muy difícil para un usuario común identificar la seguridad del sitio web en este escenario.
En este momento, la firma de la billetera de complemento es la última barrera para que el usuario proteja sus activos. Siempre que se rechace la firma maliciosa, se puede garantizar que los activos no se verán afectados. Los usuarios deben revisar cuidadosamente el contenido de la firma al firmar cualquier mensaje y transacción, y rechazar la firma ciega, para evitar pérdidas de activos.
5. Firma de transacción
La firma de la transacción se utiliza para autorizar transacciones en la cadena de bloques, como transferencias o llamadas a contratos inteligentes. El usuario firma con su clave privada, y la red verifica la validez de la transacción. Actualmente, muchas billeteras de plugins decodifican los mensajes pendientes de firma y muestran el contenido relevante. Es importante seguir el principio de no firmar ciegamente. Recomendaciones de seguridad:
Para los usuarios con cierto nivel de conocimientos técnicos, también se pueden utilizar algunos métodos comunes de revisión manual: revisar el contrato objetivo de interacción copiando su dirección en un explorador de blockchain, donde los contenidos a revisar incluyen si el contrato es de código abierto, si ha habido un gran número de transacciones recientemente y si se le ha asignado una etiqueta oficial o una etiqueta maliciosa a esa dirección, entre otros.
6. Procesamiento posterior a la transacción
Sobrevivir a páginas de phishing y firmas maliciosas no significa que todo esté bien; después de la transacción, también es necesario realizar una gestión de riesgos.
Después de la transacción, se debe verificar a tiempo el estado on-chain de la transacción y confirmar si coincide con el estado esperado al momento de la firma. Si se detecta alguna anomalía, se deben realizar de inmediato operaciones de detención de pérdidas, como la transferencia de activos y la revocación de autorizaciones.
La gestión de la aprobación ERC20 también es muy importante. En algunos casos, después de que los usuarios autorizaron tokens a ciertos contratos, años después, esos contratos fueron atacados, y los atacantes aprovecharon los límites de autorización de tokens del contrato atacado para robar los fondos de los usuarios. Para evitar tales situaciones, recomendamos a los usuarios seguir los siguientes estándares para la prevención de riesgos:
Tres, estrategia de aislamiento de fondos
Bajo la condición de tener conciencia de riesgo y haber tomado suficientes medidas de prevención de riesgos, también se recomienda realizar un efectivo aislamiento de fondos para disminuir el grado de daño de los fondos en situaciones extremas. La estrategia recomendada es la siguiente:
Si accidentalmente se encuentra en una situación de phishing, recomendamos tomar las siguientes medidas de inmediato para reducir las pérdidas:
Cuatro, cómo participar de manera segura en actividades de airdrop
El airdrop es una forma común de promoción de proyectos de blockchain, pero también conlleva riesgos. Aquí hay algunos consejos:
Cinco, recomendaciones para la selección y uso de herramientas de plugins
El contenido de las normas de seguridad de blockchain es extenso, y puede que no siempre se puedan realizar revisiones detalladas en cada interacción. Elegir complementos seguros es crucial, ya que pueden ayudarnos a hacer juicios de riesgo. A continuación se presentan recomendaciones específicas:
Seis, Conclusión
Al seguir las pautas de seguridad para transacciones mencionadas anteriormente, los usuarios pueden interactuar de manera más tranquila en el cada vez más complejo ecosistema de blockchain, mejorando efectivamente su capacidad de protección de activos. Aunque la tecnología blockchain tiene como ventajas centrales la descentralización y la transparencia, esto también significa que los usuarios deben enfrentar de manera independiente múltiples riesgos, incluidos el phishing de firmas, la filtración de claves privadas y aplicaciones maliciosas.
Para lograr una verdadera seguridad on-chain, depender únicamente de herramientas de alerta no es suficiente; establecer una conciencia de seguridad sistemática y hábitos operativos es clave. A través del uso de monederos de hardware, la implementación de estrategias de aislamiento de fondos, la revisión periódica de autorizaciones y la actualización de complementos, así como la integración del concepto de "verificación múltiple, rechazo de firmas en blanco, aislamiento de fondos" en las operaciones de transacción, se puede lograr realmente "subir a la cadena de manera libre y segura".