Segurança nas Transações Web3: Guia do Usuário

Com o florescimento do ecossistema on-chain, as transações on-chain tornaram-se uma parte importante das operações diárias dos usuários de Web3. Os ativos dos usuários estão migrando rapidamente de plataformas centralizadas para redes descentralizadas, e essa tendência também significa que a responsabilidade pela segurança dos ativos está se transferindo das plataformas para os próprios usuários. Em um ambiente on-chain, os usuários precisam ser responsáveis por cada interação, incluindo a importação de carteiras, o acesso a DApps, a assinatura de autorizações e a iniciação de transações. Qualquer operação descuidada pode se tornar um risco de segurança, resultando em vazamento de chaves privadas, uso indevido de autorizações ou ataques de phishing.

Embora as extensões de carteira mais populares e os navegadores tenham integrado gradualmente funções como reconhecimento de phishing e alertas de risco, enfrentar técnicas de ataque cada vez mais complexas torna difícil evitar completamente os riscos apenas com defesas passivas. Para ajudar os usuários a identificar mais claramente os pontos de risco potencial nas transações em blockchain, com base em nossa experiência prática, mapeamos cenários de alto risco ao longo de todo o processo e, em conjunto com recomendações de proteção e dicas de uso de ferramentas, elaboramos um guia sistemático de segurança para transações em blockchain, com o objetivo de ajudar cada usuário de Web3 a construir uma linha de defesa "autônoma e controlável".

Princípios centrais da negociação segura:

• Recusar a assinatura cega: nunca assine transações ou mensagens que não compreenda.
• Verificação repetida: Antes de realizar qualquer transação, certifique-se de verificar várias vezes a precisão das informações relevantes.

Sugestões para Transações Seguras

Transações seguras são a chave para proteger os ativos digitais. Estudos mostram que o uso de carteiras seguras e autenticação em duas etapas (2FA) pode reduzir significativamente os riscos. Aqui estão algumas recomendações específicas:

• Use uma carteira segura:

Escolha provedores de carteira com boa reputação, como carteiras de hardware ou carteiras de software conhecidas. As carteiras de hardware oferecem armazenamento offline, reduzindo o risco de ataques online, sendo adequadas para armazenar grandes quantidades de ativos.

• Verifique os detalhes da transação duas vezes:

Antes de confirmar a transação, verifique sempre o endereço de receção, o montante e a rede, para evitar perdas devido a erros de entrada.

• Ativar a autenticação de dois fatores (2FA):

Se a plataforma de negociação ou a carteira suportar 2FA, certifique-se de ativá-lo para aumentar a segurança da conta, especialmente ao usar uma carteira quente.

• Evite usar Wi-Fi público:

Não faça transações em redes Wi-Fi públicas para evitar ataques de phishing e ataques de intermediários.

Processo de Transação Segura

Um fluxo de transação completo de DApp inclui várias etapas: instalação da carteira, acesso ao DApp, conexão da carteira, assinatura de mensagens, assinatura de transações, e processamento pós-transação. Cada etapa apresenta certos riscos de segurança, e a seguir serão apresentadas as precauções a serem observadas na prática.

1. Instalação da carteira

Atualmente, a principal forma de uso de DApps é através de carteiras de navegador. Ao instalar a carteira de extensão do Chrome, é necessário confirmar que está a instalar a partir da loja de aplicações oficial, evitando a instalação a partir de sites de terceiros, para prevenir a instalação de software de carteira com portas dos fundos. Usuários com condições recomendam o uso combinado de carteiras de hardware para aumentar ainda mais a segurança geral na guarda das chaves privadas.

Ao instalar a frase-semente de backup da carteira (geralmente uma frase de recuperação de 12 a 24 palavras), é aconselhável armazená-la em um local seguro offline, como escrevê-la em papel e guardá-la em um cofre.

2. Acessar DApp

A pesca na web é uma técnica comum nos ataques Web3. Um caso típico é induzir os usuários a visitar uma aplicação DApp de phishing sob o pretexto de airdrop, levando-os a conectar a carteira e assinar autorizações de tokens, transações de transferência ou assinaturas de autorização de tokens, resultando em perdas de ativos.

Antes de acessar o DApp, deve-se confirmar a correção do endereço do site. Sugestão:

• Evite acessar diretamente através de motores de busca
• Evite clicar em links nas redes sociais
• Verificar repetidamente a correção do URL da DApp
• Adicionar site seguro aos favoritos do navegador

Ao abrir a página DApp, também é necessário realizar uma verificação de segurança na barra de endereços:

• Verifique se o domínio e o URL são semelhantes a uma falsificação
• Verifique se é um link HTTPS, o navegador deve mostrar o ícone de cadeado

3. Conectar carteira

Ao entrar no DApp, pode ser que a operação de conexão da carteira seja acionada automaticamente ou após clicar ativamente em Conectar. A carteira de extensão realizará algumas verificações e exibirá informações relacionadas ao DApp atual.

Se o site frequentemente solicitar ao wallet assinatura de mensagens ou transações após o login, e continuar a aparecer solicitações de assinatura mesmo após a recusa, é muito provável que seja um site de phishing, e deve ser tratado com cautela.

4. Assinatura de Mensagem

Em situações extremas, como quando um atacante compromete o site oficial do protocolo ou realiza ataques de hijacking no front-end, o conteúdo da página é substituído. É muito difícil para um usuário comum identificar a segurança do site nesse cenário.

Neste momento, a assinatura da carteira de plug-in é a última barreira que protege os ativos do usuário. Desde que se recuse assinaturas maliciosas, os ativos podem ser protegidos contra perdas. Os usuários devem examinar cuidadosamente o conteúdo da assinatura ao assinar qualquer mensagem e transação, recusando assinaturas cegas.

5. Assinatura de transação

A assinatura de transação é usada para autorizar transações na blockchain, como transferências ou chamadas de contratos inteligentes. Os usuários assinam com a chave privada, e a rede verifica a validade da transação. Sugestões de segurança:

• Verifique cuidadosamente o endereço do destinatário, o valor e a rede, evitando erros
• Para transações de grande valor, recomenda-se a assinatura offline para reduzir o risco de ataques online.
• Atenção às taxas de gas, assegure-se de que são razoáveis, evite fraudes.

Para utilizadores com algum conhecimento técnico, também é possível usar alguns métodos comuns de verificação manual: copiar o endereço do contrato alvo da interação e colá-lo no explorador de blockchain para revisão. O conteúdo da revisão inclui principalmente se o contrato é de código aberto, se houve um grande número de transações recentemente e se o endereço foi marcado com um rótulo oficial ou malicioso, entre outros.

6. Processamento pós-negociação

Após a transação, deve-se verificar rapidamente a situação on-chain da transação, confirmando se está de acordo com o estado esperado no momento da assinatura. Se forem encontrados anomalias, deve-se realizar rapidamente operações de mitigação como transferência de ativos ou revogação de autorização.

A gestão de aprovação ERC20 também é muito importante. Recomendamos que os usuários sigam os seguintes padrões para prevenir riscos:

• Autorização mínima. Ao realizar a autorização de tokens, a quantidade de tokens autorizados deve ser limitada de acordo com as necessidades da transação.
• Revogar rapidamente autorizações de tokens desnecessárias. Os usuários podem fazer login nas ferramentas relacionadas para consultar a situação de autorização do endereço correspondente e revogar a autorização de protocolos que não tiveram interações por um longo período.

Estratégia de Isolamento de Fundos

Na presença de consciência de risco e após a realização de medidas adequadas de prevenção de riscos, também é aconselhável realizar uma eficaz separação de fundos, a fim de reduzir o grau de perda de capital em situações extremas. As estratégias recomendadas são as seguintes:

• Usar uma carteira multi-assinatura ou uma carteira fria para armazenar grandes ativos
• Use uma carteira de plugin ou uma carteira EOA como carteira quente para interações diárias.
• Troque regularmente o endereço da carteira quente para evitar que o endereço fique exposto a ambientes de risco.

Se, por acaso, ocorrer uma situação de phishing, recomendamos que você execute imediatamente as seguintes medidas para reduzir as perdas:

• Utilizar ferramentas relevantes para cancelar autorizações de alto risco
• Se a assinatura do permit foi feita mas os ativos ainda não foram transferidos, pode-se iniciar uma nova assinatura para tornar a nonce da assinatura antiga inválida.
• Se necessário, transfira rapidamente os ativos restantes para um novo endereço ou carteira fria.

Participação segura em atividades de airdrop

O airdrop é uma forma comum de promoção de projetos de blockchain, mas também esconde riscos. Aqui estão algumas recomendações:

• Pesquisa de background do projeto: garantir que o projeto tenha um white paper claro, informações da equipe públicas e uma boa reputação na comunidade.
• Usar endereços dedicados: registre uma carteira e e-mail dedicados, isolando o risco da conta principal.
• Clicar com cautela em links: obtenha informações sobre airdrops apenas através de canais oficiais, evite clicar em links suspeitos nas plataformas sociais.

Sugestões para a escolha e uso de ferramentas de plugins

O conteúdo do código de segurança da blockchain é extenso, e pode não ser possível realizar uma verificação detalhada em cada interação. A escolha de plugins seguros é crucial, pois pode nos ajudar a fazer julgamentos de risco. Aqui estão algumas sugestões específicas:

• Utilize extensões confiáveis: escolha extensões de navegador com alta taxa de uso
• Verificação de avaliação: antes de instalar um novo plugin, verifique a avaliação dos usuários e o número de instalações
• Mantenha-se atualizado: atualize regularmente seus plugins para obter as últimas funcionalidades de segurança e correções.

Conclusão

Ao seguir as diretrizes de segurança para transações acima, os usuários podem interagir de forma mais tranquila em um ecossistema de blockchain cada vez mais complexo, melhorando efetivamente a proteção de seus ativos. Embora a tecnologia blockchain tenha a descentralização e a transparência como principais vantagens, isso também significa que os usuários devem enfrentar independentemente múltiplos riscos, incluindo phishing por assinatura, vazamento de chaves privadas e DApps maliciosos.

Para alcançar uma verdadeira segurança na blockchain, depender apenas de ferramentas de alerta é insuficiente; estabelecer uma consciência de segurança sistemática e hábitos operacionais é a chave. Ao utilizar carteiras de hardware, implementar estratégias de isolamento de fundos, verificar e atualizar permissões regularmente, e aplicar na operação de transações o conceito de "múltiplas verificações, recusar assinaturas cegas e isolamento de fundos", é possível realmente conseguir "subir na blockchain de forma livre e segura".