Guide de trading sécurisé Web3 : construire une ligne de défense "autonome et contrôlable"
Avec l'expansion continue de l'écosystème en chaîne, les transactions en chaîne sont devenues une opération quotidienne pour les utilisateurs de Web3. Les actifs des utilisateurs migrent des plateformes centralisées vers des réseaux décentralisés, ce qui signifie que la responsabilité de la sécurité des actifs se déplace progressivement vers les utilisateurs eux-mêmes. Dans un environnement en chaîne, les utilisateurs doivent être responsables de chaque interaction, que ce soit pour importer un portefeuille, accéder à une DApp, ou signer une autorisation et initier une transaction, toute erreur opérationnelle peut entraîner des risques de sécurité.
Bien que les plugins de portefeuille grand public et les navigateurs aient intégré des fonctionnalités de détection de phishing et d'alerte aux risques, faire face à des méthodes d'attaque de plus en plus complexes rend la défense passive par les outils insuffisante pour éviter complètement les risques. Pour aider les utilisateurs à mieux identifier les risques potentiels dans les transactions sur la chaîne, nous avons, sur la base de notre expérience pratique, dressé la liste des scénarios à haut risque tout au long du processus et, en combinant des conseils de protection et des astuces d'utilisation des outils, élaboré un guide systématique de sécurité des transactions sur la chaîne.
Les principes fondamentaux d'une transaction sécurisée :
Refuser de signer aveuglément : ne signez jamais des transactions ou des messages que vous ne comprenez pas.
Vérification répétée : Avant d'effectuer toute transaction, il est impératif de vérifier plusieurs fois l'exactitude des informations pertinentes.
I. Conseils pour des transactions sécurisées
Les transactions sécurisées sont essentielles pour protéger les actifs numériques. Des études montrent que l'utilisation de portefeuilles sécurisés et de l'authentification à deux facteurs (2FA) peut réduire considérablement les risques. Voici des recommandations spécifiques :
Utiliser un portefeuille sécurisé : choisissez un portefeuille matériel ou un portefeuille logiciel de bonne réputation. Les portefeuilles matériels offrent un stockage hors ligne, adaptés au stockage de gros actifs.
Vérifiez les détails de la transaction : Avant de confirmer la transaction, assurez-vous de vérifier l'adresse de réception, le montant et le réseau, afin d'éviter les pertes dues à des erreurs de saisie.
Activer la vérification en deux étapes (2FA) : Si la plateforme de trading ou le portefeuille prend en charge la 2FA, assurez-vous de l'activer pour renforcer la sécurité de votre compte.
Évitez d'utiliser le Wi-Fi public : ne réalisez pas de transactions sur des réseaux Wi-Fi publics pour éviter les attaques de phishing et les attaques de l'homme du milieu.
Deux, comment effectuer des transactions en toute sécurité
Un processus de transaction DApp complet comprend plusieurs étapes : installation du portefeuille, accès à DApp, connexion du portefeuille, signature des messages, signature des transactions, traitement après la transaction. Chaque étape présente certains risques de sécurité, les points d'attention lors des opérations réelles seront décrits ci-après.
1. Installation du portefeuille
Lors de l'installation d'un portefeuille de navigateur, il est nécessaire de le télécharger depuis le magasin d'applications officiel, afin d'éviter l'installation de logiciels de portefeuille contenant des portes dérobées à partir de sites tiers. Il est recommandé d'utiliser un portefeuille matériel en complément pour améliorer la sécurité de la gestion des clés privées.
Lors de la sauvegarde de la phrase de récupération, il est recommandé de la stocker dans un endroit physique sûr, éloigné des appareils numériques.
2. Accéder à DApp
Le phishing est une méthode d'attaque courante. Avant d'accéder à un DApp, vous devez vérifier l'exactitude de l'URL :
Évitez d'accéder directement via des moteurs de recherche
Évitez de cliquer sur les liens dans les réseaux sociaux
Vérifiez plusieurs fois l'exactitude de l'URL du DApp
Ajouter le site sécurisé aux favoris du navigateur
Après avoir ouvert la page DApp, effectuez une vérification de sécurité dans la barre d'adresse :
Vérifiez si le nom de domaine et l'URL ressemblent à une contrefaçon.
Vérifiez si c'est un lien HTTPS, le navigateur doit afficher l'icône de cadenas.
3. Connecter le portefeuille
Après avoir connecté votre portefeuille, si le site Web sollicite fréquemment une signature du portefeuille, même après avoir refusé la signature, et continue d'afficher des demandes de signature, il pourrait s'agir d'un site de phishing, il faut donc faire preuve de prudence.
4. Signature de message
La signature est la dernière barrière de protection des actifs. Les utilisateurs doivent examiner attentivement le contenu avant de signer tout message ou transaction et refuser les signatures aveugles. Les types de signatures courants incluent eth_sign, personal_sign et eth_signTypedData (EIP-712).
5. Signature de la transaction
La signature de la transaction est utilisée pour autoriser les transactions sur la blockchain. Conseils de sécurité :
Vérifiez attentivement l'adresse du destinataire, le montant et le réseau
Il est conseillé de signer hors ligne pour les transactions importantes.
Faites attention aux frais de gas, assurez-vous qu'ils sont raisonnables
Pour les utilisateurs disposant d'une expertise technique, il est possible de consulter le contrat cible d'interaction via un explorateur de blockchain.
6. Traitement après transaction
Après la transaction, il est important de vérifier rapidement l'état sur la blockchain pour confirmer qu'il correspond à l'état prévu lors de la signature. En cas d'anomalie, effectuez rapidement des opérations de réduction des pertes telles que le transfert d'actifs ou la révocation d'autorisation.
La gestion des autorisations ERC20 est également très importante :
Autorisation minimale : autoriser le nombre de jetons en fonction des besoins de la transaction.
Révoquez rapidement les autorisations de jetons inutiles
Trois, stratégies de séparation des fonds
Il est conseillé d'adopter les stratégies suivantes :
Utilisez un portefeuille multi-signatures ou un portefeuille froid pour stocker des actifs importants
Utilisez un portefeuille de plugin ou un portefeuille EOA pour les interactions quotidiennes
Changer régulièrement l'adresse du portefeuille chaud
En cas de phishing accidentel, il est conseillé de :
Utiliser l'outil de gestion des autorisations pour annuler les autorisations à haut risque
Si une signature de permit a été signée mais que les actifs n'ont pas encore été transférés, initiez immédiatement une nouvelle signature pour invalider l'ancienne.
Si nécessaire, transférez rapidement les actifs restants vers une nouvelle adresse ou un portefeuille froid.
Quatre, Participer en toute sécurité aux activités de largage aérien
Attention lors de la participation aux airdrops :
Recherche de contexte du projet : s'assurer que le projet dispose d'un livre blanc clair, d'informations publiques sur l'équipe et d'une réputation au sein de la communauté
Utiliser une adresse dédiée : enregistrez un portefeuille et un e-mail dédiés, isolant ainsi le risque du compte principal.
Cliquez avec prudence sur le lien : obtenez les informations sur les airdrops uniquement par des canaux officiels.
V. Sélection et recommandations d'utilisation des outils de plug-in
Utiliser des extensions de confiance
Vérifiez les évaluations et le nombre d'installations avant d'installer un nouveau plugin
Mettez régulièrement à jour les plugins pour obtenir les dernières fonctionnalités de sécurité et corrections.
Conclusion
Pour réaliser une véritable sécurité sur la blockchain, il est essentiel d'établir une conscience systématique de la sécurité et des habitudes opérationnelles. En utilisant des portefeuilles matériels, en mettant en œuvre des stratégies d'isolement des fonds, en vérifiant régulièrement les autorisations et en mettant à jour les plugins, et en appliquant le principe de "vérification multiple, refus de signature aveugle, isolement des fonds" dans les opérations de transaction, nous pouvons véritablement réaliser "une montée en chaîne libre et sécurisée".
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
20 J'aime
Récompense
20
8
Partager
Commentaire
0/400
DeFiChef
· 07-24 10:41
L'expérience ne vaut pas la sécurité.
Voir l'originalRépondre0
ChainMelonWatcher
· 07-24 04:16
Pleure quand tu te feras voler.
Voir l'originalRépondre0
CryptoPunster
· 07-24 01:04
pigeons veulent toujours TM entrer en ICU et sont déjà en route pour y entrer.
Voir l'originalRépondre0
ILCollector
· 07-21 11:10
J'ai peur, j'ai peur. J'ai déjà perdu plusieurs fois à cause d'une erreur de signature.
Voir l'originalRépondre0
GasFeeCryer
· 07-21 11:10
Vraiment, crier tous les jours que le gas est élevé, les investisseurs détaillants perdent et continuent de s'agiter.
Voir l'originalRépondre0
MetaMisery
· 07-21 11:10
Qui est responsable d'avoir mal utilisé le seed ?
Voir l'originalRépondre0
SlowLearnerWang
· 07-21 11:04
Les lapins que j'avais signés avant ont tous été volés. C'est ma faute de ne pas avoir regardé ça.
Voir l'originalRépondre0
SnapshotDayLaborer
· 07-21 10:50
Avec ce niveau de protection, il vaut mieux cacher directement dans un Cold Wallet.
Guide de sécurité des transactions Web3 : construire un système de protection off-chain autonome et contrôlable par l'utilisateur
Guide de trading sécurisé Web3 : construire une ligne de défense "autonome et contrôlable"
Avec l'expansion continue de l'écosystème en chaîne, les transactions en chaîne sont devenues une opération quotidienne pour les utilisateurs de Web3. Les actifs des utilisateurs migrent des plateformes centralisées vers des réseaux décentralisés, ce qui signifie que la responsabilité de la sécurité des actifs se déplace progressivement vers les utilisateurs eux-mêmes. Dans un environnement en chaîne, les utilisateurs doivent être responsables de chaque interaction, que ce soit pour importer un portefeuille, accéder à une DApp, ou signer une autorisation et initier une transaction, toute erreur opérationnelle peut entraîner des risques de sécurité.
Bien que les plugins de portefeuille grand public et les navigateurs aient intégré des fonctionnalités de détection de phishing et d'alerte aux risques, faire face à des méthodes d'attaque de plus en plus complexes rend la défense passive par les outils insuffisante pour éviter complètement les risques. Pour aider les utilisateurs à mieux identifier les risques potentiels dans les transactions sur la chaîne, nous avons, sur la base de notre expérience pratique, dressé la liste des scénarios à haut risque tout au long du processus et, en combinant des conseils de protection et des astuces d'utilisation des outils, élaboré un guide systématique de sécurité des transactions sur la chaîne.
Les principes fondamentaux d'une transaction sécurisée :
I. Conseils pour des transactions sécurisées
Les transactions sécurisées sont essentielles pour protéger les actifs numériques. Des études montrent que l'utilisation de portefeuilles sécurisés et de l'authentification à deux facteurs (2FA) peut réduire considérablement les risques. Voici des recommandations spécifiques :
Utiliser un portefeuille sécurisé : choisissez un portefeuille matériel ou un portefeuille logiciel de bonne réputation. Les portefeuilles matériels offrent un stockage hors ligne, adaptés au stockage de gros actifs.
Vérifiez les détails de la transaction : Avant de confirmer la transaction, assurez-vous de vérifier l'adresse de réception, le montant et le réseau, afin d'éviter les pertes dues à des erreurs de saisie.
Activer la vérification en deux étapes (2FA) : Si la plateforme de trading ou le portefeuille prend en charge la 2FA, assurez-vous de l'activer pour renforcer la sécurité de votre compte.
Évitez d'utiliser le Wi-Fi public : ne réalisez pas de transactions sur des réseaux Wi-Fi publics pour éviter les attaques de phishing et les attaques de l'homme du milieu.
Deux, comment effectuer des transactions en toute sécurité
Un processus de transaction DApp complet comprend plusieurs étapes : installation du portefeuille, accès à DApp, connexion du portefeuille, signature des messages, signature des transactions, traitement après la transaction. Chaque étape présente certains risques de sécurité, les points d'attention lors des opérations réelles seront décrits ci-après.
1. Installation du portefeuille
Lors de l'installation d'un portefeuille de navigateur, il est nécessaire de le télécharger depuis le magasin d'applications officiel, afin d'éviter l'installation de logiciels de portefeuille contenant des portes dérobées à partir de sites tiers. Il est recommandé d'utiliser un portefeuille matériel en complément pour améliorer la sécurité de la gestion des clés privées.
Lors de la sauvegarde de la phrase de récupération, il est recommandé de la stocker dans un endroit physique sûr, éloigné des appareils numériques.
2. Accéder à DApp
Le phishing est une méthode d'attaque courante. Avant d'accéder à un DApp, vous devez vérifier l'exactitude de l'URL :
Après avoir ouvert la page DApp, effectuez une vérification de sécurité dans la barre d'adresse :
3. Connecter le portefeuille
Après avoir connecté votre portefeuille, si le site Web sollicite fréquemment une signature du portefeuille, même après avoir refusé la signature, et continue d'afficher des demandes de signature, il pourrait s'agir d'un site de phishing, il faut donc faire preuve de prudence.
4. Signature de message
La signature est la dernière barrière de protection des actifs. Les utilisateurs doivent examiner attentivement le contenu avant de signer tout message ou transaction et refuser les signatures aveugles. Les types de signatures courants incluent eth_sign, personal_sign et eth_signTypedData (EIP-712).
5. Signature de la transaction
La signature de la transaction est utilisée pour autoriser les transactions sur la blockchain. Conseils de sécurité :
Pour les utilisateurs disposant d'une expertise technique, il est possible de consulter le contrat cible d'interaction via un explorateur de blockchain.
6. Traitement après transaction
Après la transaction, il est important de vérifier rapidement l'état sur la blockchain pour confirmer qu'il correspond à l'état prévu lors de la signature. En cas d'anomalie, effectuez rapidement des opérations de réduction des pertes telles que le transfert d'actifs ou la révocation d'autorisation.
La gestion des autorisations ERC20 est également très importante :
Trois, stratégies de séparation des fonds
Il est conseillé d'adopter les stratégies suivantes :
En cas de phishing accidentel, il est conseillé de :
Quatre, Participer en toute sécurité aux activités de largage aérien
Attention lors de la participation aux airdrops :
V. Sélection et recommandations d'utilisation des outils de plug-in
Conclusion
Pour réaliser une véritable sécurité sur la blockchain, il est essentiel d'établir une conscience systématique de la sécurité et des habitudes opérationnelles. En utilisant des portefeuilles matériels, en mettant en œuvre des stratégies d'isolement des fonds, en vérifiant régulièrement les autorisations et en mettant à jour les plugins, et en appliquant le principe de "vérification multiple, refus de signature aveugle, isolement des fonds" dans les opérations de transaction, nous pouvons véritablement réaliser "une montée en chaîne libre et sécurisée".