Guide de sécurité des transactions Web3 : construire un système de protection autonome et contrôlable
Avec le développement continu de l'écosystème on-chain, les transactions on-chain sont devenues une opération quotidienne indispensable pour les utilisateurs de Web3. Les actifs des utilisateurs migrent rapidement des plateformes centralisées vers des réseaux décentralisés, ce qui signifie également que la responsabilité de la sécurité des actifs passe des plateformes aux utilisateurs eux-mêmes. Dans un environnement on-chain, les utilisateurs doivent être responsables de chaque interaction, y compris l'importation de portefeuilles, l'accès aux DApps, la signature d'autorisations et le lancement de transactions. Toute opération imprudente peut entraîner des conséquences graves telles que la fuite de clés privées, l'abus d'autorisations ou des attaques de phishing.
Bien que les plugins de portefeuilles et les navigateurs grand public intègrent progressivement des fonctionnalités telles que la détection de phishing et les alertes de risque, il est encore difficile d'éviter complètement les risques en se reposant uniquement sur la défense passive des outils face à des méthodes d'attaque de plus en plus complexes. Pour aider les utilisateurs à identifier plus clairement les points de risque potentiels dans les transactions sur la chaîne, nous avons, sur la base de notre expérience pratique, dressé une liste de scénarios de risque fréquents tout au long du processus et, en combinant des conseils de protection et des astuces d'utilisation des outils, élaboré un guide systématique de sécurité pour les transactions sur la chaîne, visant à aider chaque utilisateur de Web3 à construire une ligne de défense "autonome et contrôlable".
Les principes fondamentaux d'une transaction sécurisée :
Refuser de signer aveuglément : ne signez jamais des transactions ou des messages que vous ne comprenez pas.
Vérification répétée : Avant d'effectuer toute transaction, assurez-vous de vérifier plusieurs fois l'exactitude des informations pertinentes.
I. Conseils pour un trading sécurisé
La clé pour protéger les actifs numériques réside dans des transactions sécurisées. Des études montrent que l'utilisation de portefeuilles sécurisés et de la vérification en deux étapes (2FA) peut réduire considérablement les risques. Les recommandations spécifiques sont les suivantes :
Choisir un portefeuille sécurisé :
Privilégiez les fournisseurs de portefeuilles ayant une bonne réputation, comme certains portefeuilles matériels ou logiciels connus. Les portefeuilles matériels offrent un stockage hors ligne, réduisant ainsi le risque d'attaques en ligne, et sont adaptés au stockage d'actifs importants.
Vérifiez soigneusement les détails de la transaction :
Avant de confirmer la transaction, il est impératif de vérifier l'adresse de réception, le montant et le réseau (comme s'assurer d'utiliser la bonne chaîne) pour éviter des pertes dues à une erreur de saisie.
Activer la vérification en deux étapes :
Si la plateforme de trading ou le portefeuille prend en charge la 2FA, veuillez l'activer pour renforcer la sécurité de votre compte, en particulier lorsque vous utilisez un portefeuille chaud.
Évitez d'utiliser le Wi-Fi public :
Ne faites pas de transactions sur des réseaux Wi-Fi publics, afin d'éviter les attaques de phishing et les attaques de l'homme du milieu.
II. Guide des opérations de trading sécurisé
Un processus de transaction DApp complet implique plusieurs étapes : installation du portefeuille, accès à la DApp, connexion du portefeuille, signature des messages, signature des transactions et traitement post-transaction. Chaque étape présente des risques de sécurité, et les points d'attention dans la pratique seront présentés un par un.
1. Installation du portefeuille
Actuellement, les DApp interagissent principalement via des portefeuilles de plugins de navigateur. Les portefeuilles dominants couramment utilisés sur les chaînes EVM incluent certains portefeuilles de plugins bien connus.
Lors de l'installation du portefeuille d'extensions Chrome, il est recommandé de le télécharger depuis la boutique d'applications officielle, afin d'éviter l'installation de logiciels de portefeuille contenant des portes dérobées provenant de sites tiers. Les utilisateurs en mesure de le faire sont conseillés d'utiliser en complément un portefeuille matériel pour améliorer davantage la sécurité globale de la conservation des clés privées.
Lors de la sauvegarde de la phrase de récupération (généralement une phrase de 12 à 24 mots), il est conseillé de la stocker dans un endroit physique sûr, loin des appareils numériques, par exemple en l'écrivant sur du papier et en la gardant dans un coffre-fort.
2. Accéder à DApp
Le phishing sur le web est une technique courante dans les attaques Web3. Un cas typique consiste à inciter les utilisateurs à visiter un DApp de phishing sous le prétexte d'un airdrop, puis à les pousser à signer des autorisations de jetons, des transactions de transfert ou des signatures d'autorisation de jetons après qu'ils aient connecté leur portefeuille, entraînant des pertes d'actifs.
Avant d'accéder à un DApp, assurez-vous de la validité de l'URL. Suggestions :
Évitez d'accéder directement via les moteurs de recherche
Cliquez avec prudence sur les liens dans les médias sociaux
Vérification de la précision de l'URL de l'application DApp
Ajouter le site sécurisé aux favoris du navigateur
Après avoir ouvert la page DApp, vous devez effectuer une vérification de sécurité dans la barre d'adresse :
Vérifiez si le nom de domaine et l'URL ressemblent à une contrefaçon
Vérifiez s'il s'agit d'un lien HTTPS, le navigateur doit afficher un symbole de verrou
3. Connecter le portefeuille
Après avoir accédé au DApp, il se peut qu'une opération de connexion au portefeuille soit déclenchée automatiquement ou après avoir cliqué activement sur Connect. Le portefeuille d'extension effectuera certaines vérifications et affichera des informations concernant le DApp actuel.
Après avoir connecté votre portefeuille, en général, lorsque l'utilisateur n'effectue pas d'autres opérations, le DApp ne sollicitera pas activement le portefeuille de l'extension. Si le site web demande fréquemment de signer des messages ou des transactions après la connexion, même après avoir refusé de signer, et continue à afficher des demandes de signature, cela pourrait être un signe de phishing, et il faut faire preuve de prudence.
4. Signature de message
Dans des situations extrêmes, comme lorsque des attaquants réussissent à infiltrer le site officiel du protocole ou remplacent le contenu de la page par des attaques de type hijacking en front-end, il est très difficile pour les utilisateurs ordinaires d'évaluer la sécurité du site.
À ce moment-là, la signature du portefeuille plug-in devient la dernière ligne de défense pour protéger les actifs de l'utilisateur. Tant que l'utilisateur refuse les signatures malveillantes, il peut éviter des pertes d'actifs. Lors de la signature de tout message et de toute transaction, l'utilisateur doit examiner attentivement le contenu de la signature et refuser de signer à l'aveugle.
Les types de signatures courants incluent :
eth_sign : signer des données de hachage
personal_sign : signer des informations en clair, couramment utilisé pour la vérification de connexion des utilisateurs ou la confirmation d'accords de licence.
eth_signTypedData (EIP-712) : signature de données structurées, couramment utilisée pour le Permit ERC20, les ordres de mise en vente NFT, etc.
5. Signature de la transaction
Une signature de transaction est utilisée pour autoriser des transactions sur la blockchain, comme des transferts ou l'appel de contrats intelligents. L'utilisateur signe avec sa clé privée, et le réseau vérifie la validité de la transaction. De nombreux portefeuilles d'extension décodent les messages à signer et affichent le contenu associé, et l'utilisateur doit impérativement suivre le principe de ne pas signer à l'aveugle. Conseils de sécurité :
Vérifiez attentivement l'adresse du bénéficiaire, le montant et le réseau pour éviter les erreurs
Il est recommandé d'utiliser une signature hors ligne pour les transactions importantes afin de réduire les risques d'attaques en ligne.
Faites attention aux frais de gas, assurez-vous qu'ils sont raisonnables et protégez-vous contre les escroqueries.
Pour les utilisateurs ayant certaines compétences techniques, une méthode de vérification manuelle peut être adoptée : copier l'adresse du contrat cible dans un explorateur de blockchain pour l'examiner, en vérifiant principalement si le contrat est open source, s'il y a eu récemment un grand nombre de transactions, et si l'explorateur a marqué cette adresse avec des étiquettes officielles ou malveillantes, etc.
6. Traitement après transaction
Même si vous parvenez à éviter les pages de phishing et les signatures malveillantes, il est toujours nécessaire de procéder à une gestion des risques après la transaction.
Après la transaction, il est important de vérifier rapidement l'état de la chaîne pour confirmer s'il correspond à l'état prévu au moment de la signature. En cas d'anomalie, effectuez rapidement des opérations de limitation des pertes telles que le transfert d'actifs ou la révocation d'autorisation.
L'approbation ERC20 est tout aussi importante. Dans certains cas, après que les utilisateurs ont accordé une autorisation de jetons à un contrat, ces contrats subissent des attaques des années plus tard, et les attaquants exploitent le montant autorisé pour voler des fonds aux utilisateurs. Pour prévenir de telles situations, il est recommandé de suivre les normes suivantes :
Autorisation minimale : Limitez le nombre de jetons autorisés en fonction des besoins de la transaction pour éviter d'utiliser l'autorisation illimitée par défaut.
Révoquer rapidement les autorisations inutiles : vérifier régulièrement l'état des autorisations des adresses, révoquer les autorisations des protocoles qui n'ont pas interagi depuis longtemps, afin d'éviter que des failles dans les protocoles ne causent des pertes d'actifs.
Trois, stratégie d'isolement des fonds
Même en ayant conscience des risques et en prenant des mesures de prévention adéquates, il est conseillé de mettre en œuvre une séparation efficace des fonds afin de réduire le niveau de perte en cas de situation extrême. Les stratégies recommandées sont les suivantes :
Utilisez un portefeuille multi-signatures ou un portefeuille froid pour stocker des actifs importants
Utilisez un portefeuille de plugin ou un portefeuille EOA comme portefeuille chaud pour les interactions quotidiennes.
Changez régulièrement l'adresse du portefeuille chaud pour éviter une exposition prolongée à un environnement à risque.
Si vous êtes malheureusement victime de phishing, il est conseillé de prendre immédiatement les mesures suivantes pour réduire les pertes :
Utiliser des outils professionnels pour annuler les autorisations à haut risque
Si le permis a été signé mais que les actifs n'ont pas encore été transférés, une nouvelle signature peut être immédiatement initiée pour rendre l'ancienne signature nonce invalide.
Si nécessaire, transférez rapidement les actifs restants vers une nouvelle adresse ou un portefeuille froid.
Quatre, participer en toute sécurité aux activités de largage aérien
L'airdrop est une méthode courante de promotion des projets blockchain, mais il comporte également des risques potentiels. Voici quelques conseils :
Recherche de contexte du projet : s'assurer que le projet dispose d'un livre blanc clair, d'informations publiques sur l'équipe et d'une bonne réputation au sein de la communauté.
Utiliser une adresse dédiée : enregistrez un portefeuille et un e-mail dédiés, isolant ainsi les risques du compte principal.
Cliquez avec prudence sur les liens : obtenez les informations sur les airdrops uniquement par des canaux officiels, évitez de cliquer sur des liens suspects sur les plateformes sociales.
V. Choix et conseils d'utilisation des outils de plugin
Étant donné la diversité des contenus des codes de sécurité de la blockchain, il peut être difficile d'effectuer des vérifications détaillées à chaque interaction, il est donc crucial de choisir des plugins sécurisés qui peuvent aider à évaluer les risques. Les recommandations spécifiques sont les suivantes :
Utiliser des extensions fiables : privilégiez les extensions de navigateur très utilisées et largement reconnues qui offrent des fonctionnalités de portefeuille et prennent en charge l'interaction avec les DApp.
Vérifiez les évaluations : avant d'installer un nouveau plugin, consultez les évaluations des utilisateurs et le nombre d'installations. Une bonne évaluation et un grand nombre d'installations indiquent généralement que le plugin est plus fiable, ce qui réduit le risque de code malveillant.
Restez à jour : mettez régulièrement à jour les plugins pour obtenir les dernières fonctionnalités de sécurité et correctifs. Les plugins obsolètes peuvent avoir des vulnérabilités connues, facilement exploitables par des attaquants.
VI. Conclusion
En suivant les directives de sécurité des transactions ci-dessus, les utilisateurs peuvent interagir plus sereinement dans un écosystème blockchain de plus en plus complexe, améliorant ainsi leur capacité à protéger leurs actifs. Bien que la technologie blockchain bénéficie d'avantages clés tels que la décentralisation et la transparence, cela signifie également que les utilisateurs doivent faire face de manière autonome à de multiples risques, y compris le phishing par signature, la fuite de clés privées et les DApps malveillants.
Pour réaliser une véritable sécurité sur la chaîne, il ne suffit pas de compter uniquement sur des outils de notification, établir une prise de conscience systématique de la sécurité et des habitudes d'opération est la clé. En utilisant des portefeuilles matériels, en mettant en œuvre des stratégies d'isolement des fonds, en vérifiant régulièrement les autorisations et en mettant à jour les plugins, et en appliquant dans les opérations de transaction le principe de "vérification multiple, refus de la signature aveugle, isolement des fonds", on peut réellement atteindre "une chaîne libre et sécurisée".
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
16 J'aime
Récompense
16
5
Reposter
Partager
Commentaire
0/400
MidnightMEVeater
· 08-08 17:37
Quatre heures du matin, en regardant les nouveaux pigeons se faire manger par le paquet mev, c'est particulièrement savoureux~
Voir l'originalRépondre0
NewPumpamentals
· 08-07 06:22
Cold Wallet 保平安
Voir l'originalRépondre0
SighingCashier
· 08-07 06:18
Le débutant est vraiment un pigeon dans l'univers de la cryptomonnaie.
Guide complet de Web3 : construire une ligne de défense pour la sécurité des actifs personnels
Guide de sécurité des transactions Web3 : construire un système de protection autonome et contrôlable
Avec le développement continu de l'écosystème on-chain, les transactions on-chain sont devenues une opération quotidienne indispensable pour les utilisateurs de Web3. Les actifs des utilisateurs migrent rapidement des plateformes centralisées vers des réseaux décentralisés, ce qui signifie également que la responsabilité de la sécurité des actifs passe des plateformes aux utilisateurs eux-mêmes. Dans un environnement on-chain, les utilisateurs doivent être responsables de chaque interaction, y compris l'importation de portefeuilles, l'accès aux DApps, la signature d'autorisations et le lancement de transactions. Toute opération imprudente peut entraîner des conséquences graves telles que la fuite de clés privées, l'abus d'autorisations ou des attaques de phishing.
Bien que les plugins de portefeuilles et les navigateurs grand public intègrent progressivement des fonctionnalités telles que la détection de phishing et les alertes de risque, il est encore difficile d'éviter complètement les risques en se reposant uniquement sur la défense passive des outils face à des méthodes d'attaque de plus en plus complexes. Pour aider les utilisateurs à identifier plus clairement les points de risque potentiels dans les transactions sur la chaîne, nous avons, sur la base de notre expérience pratique, dressé une liste de scénarios de risque fréquents tout au long du processus et, en combinant des conseils de protection et des astuces d'utilisation des outils, élaboré un guide systématique de sécurité pour les transactions sur la chaîne, visant à aider chaque utilisateur de Web3 à construire une ligne de défense "autonome et contrôlable".
Les principes fondamentaux d'une transaction sécurisée :
I. Conseils pour un trading sécurisé
La clé pour protéger les actifs numériques réside dans des transactions sécurisées. Des études montrent que l'utilisation de portefeuilles sécurisés et de la vérification en deux étapes (2FA) peut réduire considérablement les risques. Les recommandations spécifiques sont les suivantes :
Choisir un portefeuille sécurisé : Privilégiez les fournisseurs de portefeuilles ayant une bonne réputation, comme certains portefeuilles matériels ou logiciels connus. Les portefeuilles matériels offrent un stockage hors ligne, réduisant ainsi le risque d'attaques en ligne, et sont adaptés au stockage d'actifs importants.
Vérifiez soigneusement les détails de la transaction : Avant de confirmer la transaction, il est impératif de vérifier l'adresse de réception, le montant et le réseau (comme s'assurer d'utiliser la bonne chaîne) pour éviter des pertes dues à une erreur de saisie.
Activer la vérification en deux étapes : Si la plateforme de trading ou le portefeuille prend en charge la 2FA, veuillez l'activer pour renforcer la sécurité de votre compte, en particulier lorsque vous utilisez un portefeuille chaud.
Évitez d'utiliser le Wi-Fi public : Ne faites pas de transactions sur des réseaux Wi-Fi publics, afin d'éviter les attaques de phishing et les attaques de l'homme du milieu.
II. Guide des opérations de trading sécurisé
Un processus de transaction DApp complet implique plusieurs étapes : installation du portefeuille, accès à la DApp, connexion du portefeuille, signature des messages, signature des transactions et traitement post-transaction. Chaque étape présente des risques de sécurité, et les points d'attention dans la pratique seront présentés un par un.
1. Installation du portefeuille
Actuellement, les DApp interagissent principalement via des portefeuilles de plugins de navigateur. Les portefeuilles dominants couramment utilisés sur les chaînes EVM incluent certains portefeuilles de plugins bien connus.
Lors de l'installation du portefeuille d'extensions Chrome, il est recommandé de le télécharger depuis la boutique d'applications officielle, afin d'éviter l'installation de logiciels de portefeuille contenant des portes dérobées provenant de sites tiers. Les utilisateurs en mesure de le faire sont conseillés d'utiliser en complément un portefeuille matériel pour améliorer davantage la sécurité globale de la conservation des clés privées.
Lors de la sauvegarde de la phrase de récupération (généralement une phrase de 12 à 24 mots), il est conseillé de la stocker dans un endroit physique sûr, loin des appareils numériques, par exemple en l'écrivant sur du papier et en la gardant dans un coffre-fort.
2. Accéder à DApp
Le phishing sur le web est une technique courante dans les attaques Web3. Un cas typique consiste à inciter les utilisateurs à visiter un DApp de phishing sous le prétexte d'un airdrop, puis à les pousser à signer des autorisations de jetons, des transactions de transfert ou des signatures d'autorisation de jetons après qu'ils aient connecté leur portefeuille, entraînant des pertes d'actifs.
Avant d'accéder à un DApp, assurez-vous de la validité de l'URL. Suggestions :
Après avoir ouvert la page DApp, vous devez effectuer une vérification de sécurité dans la barre d'adresse :
3. Connecter le portefeuille
Après avoir accédé au DApp, il se peut qu'une opération de connexion au portefeuille soit déclenchée automatiquement ou après avoir cliqué activement sur Connect. Le portefeuille d'extension effectuera certaines vérifications et affichera des informations concernant le DApp actuel.
Après avoir connecté votre portefeuille, en général, lorsque l'utilisateur n'effectue pas d'autres opérations, le DApp ne sollicitera pas activement le portefeuille de l'extension. Si le site web demande fréquemment de signer des messages ou des transactions après la connexion, même après avoir refusé de signer, et continue à afficher des demandes de signature, cela pourrait être un signe de phishing, et il faut faire preuve de prudence.
4. Signature de message
Dans des situations extrêmes, comme lorsque des attaquants réussissent à infiltrer le site officiel du protocole ou remplacent le contenu de la page par des attaques de type hijacking en front-end, il est très difficile pour les utilisateurs ordinaires d'évaluer la sécurité du site.
À ce moment-là, la signature du portefeuille plug-in devient la dernière ligne de défense pour protéger les actifs de l'utilisateur. Tant que l'utilisateur refuse les signatures malveillantes, il peut éviter des pertes d'actifs. Lors de la signature de tout message et de toute transaction, l'utilisateur doit examiner attentivement le contenu de la signature et refuser de signer à l'aveugle.
Les types de signatures courants incluent :
5. Signature de la transaction
Une signature de transaction est utilisée pour autoriser des transactions sur la blockchain, comme des transferts ou l'appel de contrats intelligents. L'utilisateur signe avec sa clé privée, et le réseau vérifie la validité de la transaction. De nombreux portefeuilles d'extension décodent les messages à signer et affichent le contenu associé, et l'utilisateur doit impérativement suivre le principe de ne pas signer à l'aveugle. Conseils de sécurité :
Pour les utilisateurs ayant certaines compétences techniques, une méthode de vérification manuelle peut être adoptée : copier l'adresse du contrat cible dans un explorateur de blockchain pour l'examiner, en vérifiant principalement si le contrat est open source, s'il y a eu récemment un grand nombre de transactions, et si l'explorateur a marqué cette adresse avec des étiquettes officielles ou malveillantes, etc.
6. Traitement après transaction
Même si vous parvenez à éviter les pages de phishing et les signatures malveillantes, il est toujours nécessaire de procéder à une gestion des risques après la transaction.
Après la transaction, il est important de vérifier rapidement l'état de la chaîne pour confirmer s'il correspond à l'état prévu au moment de la signature. En cas d'anomalie, effectuez rapidement des opérations de limitation des pertes telles que le transfert d'actifs ou la révocation d'autorisation.
L'approbation ERC20 est tout aussi importante. Dans certains cas, après que les utilisateurs ont accordé une autorisation de jetons à un contrat, ces contrats subissent des attaques des années plus tard, et les attaquants exploitent le montant autorisé pour voler des fonds aux utilisateurs. Pour prévenir de telles situations, il est recommandé de suivre les normes suivantes :
Trois, stratégie d'isolement des fonds
Même en ayant conscience des risques et en prenant des mesures de prévention adéquates, il est conseillé de mettre en œuvre une séparation efficace des fonds afin de réduire le niveau de perte en cas de situation extrême. Les stratégies recommandées sont les suivantes :
Si vous êtes malheureusement victime de phishing, il est conseillé de prendre immédiatement les mesures suivantes pour réduire les pertes :
Quatre, participer en toute sécurité aux activités de largage aérien
L'airdrop est une méthode courante de promotion des projets blockchain, mais il comporte également des risques potentiels. Voici quelques conseils :
V. Choix et conseils d'utilisation des outils de plugin
Étant donné la diversité des contenus des codes de sécurité de la blockchain, il peut être difficile d'effectuer des vérifications détaillées à chaque interaction, il est donc crucial de choisir des plugins sécurisés qui peuvent aider à évaluer les risques. Les recommandations spécifiques sont les suivantes :
VI. Conclusion
En suivant les directives de sécurité des transactions ci-dessus, les utilisateurs peuvent interagir plus sereinement dans un écosystème blockchain de plus en plus complexe, améliorant ainsi leur capacité à protéger leurs actifs. Bien que la technologie blockchain bénéficie d'avantages clés tels que la décentralisation et la transparence, cela signifie également que les utilisateurs doivent faire face de manière autonome à de multiples risques, y compris le phishing par signature, la fuite de clés privées et les DApps malveillants.
Pour réaliser une véritable sécurité sur la chaîne, il ne suffit pas de compter uniquement sur des outils de notification, établir une prise de conscience systématique de la sécurité et des habitudes d'opération est la clé. En utilisant des portefeuilles matériels, en mettant en œuvre des stratégies d'isolement des fonds, en vérifiant régulièrement les autorisations et en mettant à jour les plugins, et en appliquant dans les opérations de transaction le principe de "vérification multiple, refus de la signature aveugle, isolement des fonds", on peut réellement atteindre "une chaîne libre et sécurisée".