ทีมรักษาความปลอดภัย Cobo: คำแนะนำเกี่ยวกับธุรกรรมที่ปลอดภัยของบล็อคเชน

ผู้เขียนต้นฉบับ: Cobo Global

ทีมรักษาความปลอดภัย Cobo รวบรวมจุดความเสี่ยงทั่วไปในกระบวนการทำธุรกรรมบนเครือข่ายและรวบรวมแนวทางการดำเนินการรักษาความปลอดภัยของธุรกรรม โดยมีเป้าหมายเพื่อให้ผู้ใช้สามารถหลีกเลี่ยงความเสี่ยงในระหว่างกระบวนการทำธุรกรรม รับประกันความปลอดภัยของเงินทุน และป้องกันการโจมตีแบบฟิชชิ่ง

คำนำ

ด้วยการผ่าน Bitcoin ETF ตลาดบล็อคเชนจึงเริ่มฟื้นตัว การฟื้นตัวของราคาสกุลเงินทำให้อุตสาหกรรมค่อยๆ กลับไปสู่ความเจริญรุ่งเรืองในอดีต ในขณะเดียวกัน กิจกรรมของแฮ็กเกอร์ก็เริ่มมีบทบาทเช่นกัน ทีมรักษาความปลอดภัย Cobo สังเกตเห็นการเพิ่มขึ้นของความถี่ของกรณีฟิชชิ่งในช่วงหนึ่งหรือสองเดือนที่ผ่านมา

เมื่อเร็ว ๆ นี้ ฮอตสปอตแอปพลิเคชันใหม่ ๆ เช่น Restmaking และ BTC L2 ได้เริ่มปรากฏให้เห็นแล้ว ธุรกรรมออนไลน์ได้ค่อยๆ กลายเป็นส่วนสำคัญในชีวิตประจำวันของผู้ใช้ Web3 และเงินทุนของผู้ใช้จำนวนมากขึ้นเรื่อย ๆ จะถูกโอนไปยังเครือข่าย

ต่างจากแอปพลิเคชันแบบรวมศูนย์ เช่น การแลกเปลี่ยน ความปลอดภัยของบัญชีของแอปพลิเคชันออนไลน์จำเป็นต้องได้รับการรับรองจากผู้ใช้เอง การทำธุรกรรมบล็อคเชนอย่างปลอดภัยเป็นความสามารถพื้นฐานที่สุดของ Web3 Native แม้ว่าโครงสร้างพื้นฐานจำนวนมาก เช่น กระเป๋าเงินปลั๊กอินของเบราว์เซอร์ และแม้แต่เบราว์เซอร์เองก็มีคำเตือนความเสี่ยงบางประการต่อฟิชชิ่ง แต่เหตุการณ์ที่ผู้ใช้สูญเสียทรัพย์สินเนื่องจากการทำธุรกรรมที่ไม่ปลอดภัยยังคงเกิดขึ้นเป็นครั้งคราว (เช่น คีย์ส่วนตัวรั่วไหล ฟิชชิ่งลายเซ็น ฯลฯ) .

ทีมรักษาความปลอดภัย Cobo รวบรวมจุดความเสี่ยงทั่วไปในกระบวนการทำธุรกรรมบนเครือข่ายและรวบรวมแนวทางการดำเนินการรักษาความปลอดภัยของธุรกรรม โดยมีเป้าหมายเพื่อให้ผู้ใช้สามารถหลีกเลี่ยงความเสี่ยงในระหว่างกระบวนการทำธุรกรรม รับประกันความปลอดภัยของเงินทุน และป้องกันการโจมตีแบบฟิชชิ่ง

ก่อนที่จะเริ่มการแนะนำ ทีมรักษาความปลอดภัย Cobo จะสรุปหลักการสำคัญของการทำธุรกรรมที่ปลอดภัยสำหรับทุกคนดังนี้:

1. ปฏิเสธที่จะลงนามแบบสุ่มสี่สุ่มห้า และอย่าลงนามในธุรกรรมหรือข้อความที่คุณไม่เข้าใจ

2. นำปัญหามาตรวจสอบซ้ำๆ

ซื้อขายอย่างไรให้ปลอดภัย

กระบวนการธุรกรรม DApp ที่สมบูรณ์ประกอบด้วยหลายลิงก์:การติดตั้ง Wallet, การเข้าถึง DApp, การเชื่อมต่อ Wallet, ลายเซ็นข้อความ, ลายเซ็นธุรกรรม และการประมวลผลหลังการทำธุรกรรมในแต่ละลิงค์มีความเสี่ยงด้านความปลอดภัย ต่อไปนี้จะแนะนำข้อควรระวังในการใช้งานจริง

หมายเหตุ: บทความนี้จะแนะนำกระบวนการโต้ตอบที่ปลอดภัยบน Ethereum และเครือข่ายที่เข้ากันได้กับ EVM เป็นหลัก เครื่องมือและรายละเอียดทางเทคนิคเฉพาะที่ใช้โดยเครือข่ายที่ไม่ใช่ EVM อาจแตกต่างกัน

การติดตั้งกระเป๋าสตางค์

การใช้งาน DApps กระแสหลักในปัจจุบันคือการใช้กระเป๋าสตางค์ปลั๊กอินของเบราว์เซอร์เพื่อโต้ตอบ กระเป๋าเงินกระแสหลักที่ใช้โดยเครือข่าย EVM ได้แก่ Metamask และ Rabby

หลังจากประสบการณ์เชิงลึก ทีมรักษาความปลอดภัย Cobo แนะนำให้ใช้กระเป๋าสตางค์ปลั๊กอิน Rabby เป็นกระเป๋าเงินโต้ตอบหลักบนเครือข่ายตามคำเตือนความเสี่ยง เหตุผลก็คือเมื่อเปรียบเทียบกับกระเป๋าเงิน Metamask กระเป๋าเงิน Rabby มีฟังก์ชั่นต่างๆ เช่น การวิเคราะห์ข้อมูลธุรกรรม การดำเนินการจำลองธุรกรรม คำเตือนความเสี่ยงในการทำธุรกรรม การสืบค้นการอนุญาต และการสืบค้นข้อมูลลายเซ็นในอดีต มีข้อได้เปรียบมากกว่ากระเป๋าเงิน Metamask ในการป้องกันฟิชชิ่ง

หากต้องการติดตั้งกระเป๋าเงินปลั๊กอิน Chrome คุณต้องยืนยันว่าดาวน์โหลดและติดตั้งแล้วจาก Chrome App Store อย่าติดตั้งกระเป๋าเงินจากเว็บไซต์บุคคลที่สามเพื่อหลีกเลี่ยงการติดตั้งซอฟต์แวร์กระเป๋าเงินแบบแบ็คดอร์

ผู้ใช้ที่มีคุณสมบัติเหมาะสมได้รับการแนะนำให้ใช้กระเป๋าสตางค์ฮาร์ดแวร์ร่วมกัน ซึ่งสามารถปรับปรุงความปลอดภัยโดยรวมในการจัดเก็บคีย์ส่วนตัวได้อย่างมาก

เยี่ยมชม DApp

ฟิชชิ่งบนเว็บเป็นวิธีการโจมตีทั่วไปในการโจมตี Web3 กรณีทั่วไปคือการชักจูงให้ผู้ใช้เข้าถึงแอปพลิเคชัน DApp ฟิชชิ่งในนามของ airdrops หลังจากที่ผู้ใช้เชื่อมต่อกับกระเป๋าเงินของพวกเขา พวกเขาจะถูกชักจูงให้ลงนามในการอนุญาตโทเค็น โอนธุรกรรม หรือลายเซ็นการอนุญาตโทเค็น ส่งผลให้ทรัพย์สินของผู้ใช้เสียหาย

ดังนั้นผู้ใช้จำเป็นต้องระมัดระวังเมื่อเข้าถึง DApps เพื่อหลีกเลี่ยงการเข้ากับดักฟิชชิ่งเว็บ

คุณควรยืนยันความถูกต้องของ URL ของ DApp ก่อนที่จะเข้าถึง DApp คำแนะนำ:

1. พยายามอย่าเข้าถึงโดยตรงจากคำค้นหาคำแรกของ Google ผู้โจมตีฟิชชิ่งสามารถซื้อพื้นที่โฆษณาเพื่อจัดอันดับการค้นหาเว็บไซต์ฟิชชิ่งไว้ที่ด้านบน ดังนั้น คำแรกจึงไม่จำเป็นต้องเป็นเว็บไซต์อย่างเป็นทางการ

2. หลีกเลี่ยงการคลิกโดยตรงบน x.com และ URL ที่เผยแพร่ในความคิดเห็นและข้อความของผู้ใช้รายอื่นในซอฟต์แวร์โซเชียลต่างๆ URL ดังกล่าวมีแนวโน้มที่จะเป็นลิงก์ฟิชชิ่ง

3. ยืนยันความถูกต้องของ URL ของ DApp ซ้ำๆ ก่อนที่จะเข้าถึง สามารถตรวจสอบได้จากตลาด DApp เช่น DefiLlama บัญชี X อย่างเป็นทางการของฝ่ายโครงการ และผลการค้นหาของ Google

4. เว็บไซต์ที่ได้รับการยืนยันว่าปลอดภัยได้ถูกเพิ่มเข้าไปในรายการโปรดของเบราว์เซอร์แล้ว และสามารถเข้าถึงได้โดยตรงจากรายการโปรดในภายหลัง

หลังจากที่คุณเปิดหน้าเว็บ DApp แล้ว คุณจะต้องทำการตรวจสอบความปลอดภัยบนแถบที่อยู่ด้วย:

1. ตรวจสอบชื่อโดเมนและ URLโดยปกติแล้ว DApps จะใช้ชื่อโดเมนและ URL ที่ค่อนข้างกระชับ เช่น https://app.uniswap.org/ หากคุณพบชื่อโดเมนที่ยาวเป็นพิเศษ อาจอยู่ในรูปแบบ https://zk-polyhedra.network-8jb.xyz/ หรือชื่อโดเมนที่คล้ายกับ ชื่อของเว็บไซต์ชื่อดัง เช่น https://pufffer.fi (หมายเหตุ f พิเศษ) มีแนวโน้มจะเป็นเว็บไซต์ฟิชชิ่งและควรออกจากระบบทันทีเมื่อระบุชื่อโดเมน ควรให้ความสนใจเป็นพิเศษกับ 1 il, oO 0 และอักขระอื่นที่คล้ายคลึงกัน

2. ตรวจสอบสถานะลิงก์ https ของเบราว์เซอร์ปัจจุบัน DApps กระแสหลักทั้งหมดใช้ลิงก์ https และเบราว์เซอร์ควรแสดงเครื่องหมายรูป 🔒 หากไม่ใช่ลิงก์ https หรือเบราว์เซอร์แจ้งข้อยกเว้นใบรับรอง เว็บไซต์ที่คุณกำลังเยี่ยมชมอาจไม่ใช่เว็บไซต์อย่างเป็นทางการหรืออาจถูกโจมตีแบบไฮแจ็ก และคุณควรหยุดการเข้าถึงทันที

ปัจจุบัน กระเป๋าสตางค์ปลั๊กอินของเบราว์เซอร์กระแสหลักในตลาดได้รวมฟังก์ชันคำเตือนความเสี่ยงบางอย่าง เช่น Metamask/Phantom เป็นต้น เมื่อเข้าถึง URL ที่มีความเสี่ยงซึ่งอยู่ในบัญชีดำ กระเป๋าเงินปลั๊กอินของเบราว์เซอร์ หรือแม้แต่เบราว์เซอร์ Chrome เองก็อาจแสดงข้อความเตือนด้านความปลอดภัยที่รัดกุม (ดูภาพด้านล่าง)

เชื่อมต่อกระเป๋าสตางค์

หลังจากเข้าสู่ DApp การดำเนินการเชื่อมต่อกับกระเป๋าเงินอาจถูกกระตุ้นโดยอัตโนมัติหรือหลังจากคลิกเชื่อมต่อ ปลั๊กอินวอลเล็ทจะทำการตรวจสอบ แสดงข้อมูล ฯลฯ บน DApp ปัจจุบัน

ต่อไปนี้เป็นข้อมูลการตรวจสอบเว็บที่จัดทำโดย Rabby Wallet ซึ่งสามารถใช้เพื่อช่วยในการตัดสินความถูกต้องของ DApp

หลังจากเชื่อมต่อกับกระเป๋าเงินแล้ว โดยปกติแล้ว DApp จะไม่เปิดใช้งานกระเป๋าเงินปลั๊กอินเมื่อผู้ใช้ไม่มีการดำเนินการอื่น ๆ หากหลังจากเข้าสู่ระบบเว็บไซต์ DApp มักจะเรียกกระเป๋าเงินเพื่อขอข้อความและธุรกรรมที่เซ็นชื่อ และแม้แต่ลายเซ็นยังคงปรากฏขึ้นหลังจากปฏิเสธลายเซ็น ก็มีแนวโน้มที่จะเป็นเว็บไซต์ฟิชชิ่งและจำเป็นต้องได้รับการจัดการ คำเตือน.

ลายเซ็นข้อความ

ในกรณีที่ร้ายแรง เช่น ผู้โจมตีโจมตีเว็บไซต์อย่างเป็นทางการของโปรโตคอลหรือแทนที่เนื้อหาของหน้าด้วยการโจมตี เช่น การไฮแจ็กส่วนหน้า เป็นเรื่องยากสำหรับผู้ใช้ทั่วไปในการคัดกรองความปลอดภัยของเว็บไซต์ในสถานการณ์นี้

ในขณะนี้ ลายเซ็นของปลั๊กอินวอลเล็ตเป็นอุปสรรคสุดท้ายสำหรับผู้ใช้ในการบันทึกทรัพย์สินของตนเอง ตราบใดที่ลายเซ็นที่เป็นอันตรายถูกปฏิเสธ ทรัพย์สินของคุณจะได้รับการปกป้องจากการสูญหายผู้ใช้ควรตรวจสอบเนื้อหาลายเซ็นอย่างรอบคอบเมื่อลงนามในข้อความและธุรกรรมใดๆ และปฏิเสธการลงนามโดยไม่เปิดเผย

ในทางเทคนิคแล้ว ปัจจุบันมีประเภทลายเซ็นทั่วไปสามประเภทใน Ethereum:

• ลายเซ็นแฮช eth_sign:ลงนามแฮชดั้งเดิมของข้อมูลบางส่วน ข้อมูลดิบสำหรับแฮชอาจเป็นข้อความหรือแม้แต่ธุรกรรม Ethereum

• ลายเซ็นข้อความ Personal_sign:ข้อความธรรมดาในการลงนามข้อมูลเป็นเรื่องปกติมากที่สุดระหว่างการตรวจสอบการเข้าสู่ระบบของผู้ใช้หรือการยืนยันข้อตกลงใบอนุญาต

• ลายเซ็นข้อมูลที่มีโครงสร้าง eth_signTypedData (EIP-712):สำหรับลายเซ็นของออบเจ็กต์ข้อมูลที่ใช้ในโปรโตคอล DeFi ลายเซ็นทั่วไป ได้แก่ ลายเซ็นการอนุญาต ERC 20 Permit, ลายเซ็น NFT ที่รอดำเนินการ ฯลฯ

สำหรับการระบุความเสี่ยงของลายเซ็นข้อความ ผู้ใช้สามารถปฏิบัติตามแนวทางต่อไปนี้:

1. ลายเซ็นภาษาธรรมชาติมักจะผ่านลายเซ็นประเภทนี้มักจะเป็น Personal_sign ซึ่งใช้เพื่อยืนยันการเข้าสู่ระบบหรือยืนยันคำแนะนำผลิตภัณฑ์ เป็นคำอธิบายภาษาธรรมชาติขนาดใหญ่ (แทนที่จะเป็นตัวเลข เลขฐานสิบหก ฯลฯ) เนื่องจากข้อความดังกล่าวประกอบด้วยภาษาที่เป็นธรรมชาติ สตริงที่ซับซ้อน และการประมวลผลสัญญาอัจฉริยะที่ยากลำบาก จึงมักไม่ได้ใช้สำหรับการตรวจสอบความถูกต้องแบบออนไลน์ แต่เว็บไซต์ใช้เพื่อยืนยันข้อมูลระบุตัวตนของที่อยู่ ดังนั้นความเสี่ยงสัมพัทธ์จึงต่ำ

2. ห้ามมิให้ลงนามในแฮชเลขฐานสิบหกดั้งเดิมโดยตรงลายเซ็นประเภทนี้มักจะเป็นลายเซ็น eth_sign ลายเซ็นประเภทนี้เป็นสิ่งที่อันตรายที่สุดเนื่องจากผู้ใช้ไม่สามารถระบุได้ว่าเนื้อหาข้อมูลต้นฉบับของแฮชคืออะไร ดังนั้นกระเป๋าเงินส่วนใหญ่จึงปิดการใช้งานความสามารถในการเซ็นแฮชแบบดิบ (ข้อมูลฐานสิบหก) กระเป๋าเงิน Metamask คุณสามารถยืนยันได้ว่าการกำหนดค่าถูกปิดอยู่ในแท็บการตั้งค่า -> ขั้นสูง -> คำขอ Eth_sign Rabby Wallet การกำหนดค่าที่เกี่ยวข้องจะถูกปิดใช้งานตามค่าเริ่มต้น ไม่จำเป็นต้องกำหนดค่าเพิ่มเติม

3. ลายเซ็นข้อมูลที่มีโครงสร้างจะพิจารณาเนื้อหาลายเซ็นอย่างละเอียดตัวอย่างเช่น หากเป็นลายเซ็นการอนุญาต ERC 20 Permit คุณต้องตรวจสอบว่าที่อยู่ผู้ใช้จ่ายตรงตามที่คาดหวังหรือไม่ หากเป็นที่อยู่ EOA เป็นไปได้ว่าคุณได้คลิกลายเซ็นฟิชชิ่งและควรถูกปฏิเสธทันที

เกี่ยวกับการลงนามข้อความ จะต้องให้ความสนใจเพิ่มเติมที่นี่ แม้ว่าการดำเนินการ eth_sign จะถูกห้ามโดยค่าเริ่มต้นใน Wallet Plug-in ของเบราว์เซอร์ แต่ Wallet ยังสามารถลงนามข้อมูลคลาสแฮชผ่าน Personal_sign ได้ ลายเซ็นประเภทนี้ไม่ส่งผลให้มีการอนุญาตหรือเริ่มการทำธุรกรรม อย่างไรก็ตาม แต่ละโปรโตคอล (เช่น กระเป๋าเงิน AA บางตัว) อาจยังคงใช้ลายเซ็น Personal_sign สำหรับการตรวจสอบสิทธิ์ ตามหลักการแล้ว เพื่อหลีกเลี่ยงการสูญเสีย ไม่ควรลงนามข้อมูลที่เป็นเลขฐานสิบหก ผลของลายเซ็นประเภทนี้มีดังนี้:

ลายเซ็นการทำธุรกรรม

ธุรกรรมการลงนามจะต้องเป็นไปตามหลักการไม่ลงนามแบบสุ่มสี่สุ่มห้า. ปัจจุบัน กระเป๋าเงินปลั๊กอินจำนวนมากจะถอดรหัสข้อความที่จะลงนามและแสดงเนื้อหาที่เกี่ยวข้อง ต่อไปนี้เป็นตัวอย่างของกระเป๋าเงิน Rabby ที่แยกวิเคราะห์ธุรกรรม DEX:

ผู้ใช้สามารถดูข้อมูลที่เกี่ยวข้องบางส่วนเกี่ยวกับที่อยู่เป้าหมายของธุรกรรมได้ เช่นไม่ว่าจะเป็นที่อยู่ EOA, ยอดคงเหลือของที่อยู่, เวลาปรับใช้สัญญา ฯลฯผู้ใช้สามารถตัดสินความเสี่ยงในการทำธุรกรรมที่จะลงนามตามข้อมูลนี้ ตัวอย่างเช่น หากที่อยู่เชิงโต้ตอบเป็นที่อยู่ EOA หรือเวลาการปรับใช้สัญญาเชิงโต้ตอบน้อยกว่า 7 วัน การดำเนินการนั้นถือว่ามีความเสี่ยงและควรได้รับการตรวจสอบอย่างครบถ้วนก่อนดำเนินการต่อ

สำหรับโปรโตคอลโอเพ่นซอร์ส กระเป๋าเงินปลั๊กอินของเบราว์เซอร์หลักรองรับการวิเคราะห์ข้อมูลธุรกรรมแล้ว ด้วยการดูเนื้อหาธุรกรรมหลังจากการถอดรหัส ABI คุณจะเข้าใจได้ชัดเจนยิ่งขึ้นว่าการดำเนินการใดกำลังดำเนินการอยู่ ชื่อฟังก์ชันที่สัญญาเรียกสามารถให้การอ้างอิงถึงฟังก์ชันได้ เช่น อนุมัติ สลับ โอน ฝากและถอน ฯลฯ

Rabby กระเป๋าเงิน imToken ยังรวมฟังก์ชันการดำเนินการจำลอง ผู้ใช้สามารถดูผลการดำเนินการธุรกรรมได้โดยตรงก่อนที่ธุรกรรมจะได้รับการยืนยัน ผู้ใช้สามารถดูการโอนเงินต่าง ๆ ที่เกิดจากธุรกรรมปัจจุบันผ่านการจำลองธุรกรรม ผู้ใช้ควรตรวจสอบอย่างรอบคอบและปฏิเสธลายเซ็นที่ไม่ตรงตามผลการดำเนินการที่คาดหวัง

สำหรับผู้ใช้ที่มีการสำรองทางเทคนิค หากเครื่องมืออัตโนมัติไม่สามารถแยกวิเคราะห์ธุรกรรมได้สำเร็จ ก็สามารถใช้วิธีการตรวจสอบด้วยตนเองทั่วไปบางวิธีได้เช่นกัน:

1. โดยการคัดลอกที่อยู่สัญญาเป้าหมายเชิงโต้ตอบไปยังเบราว์เซอร์บล็อกเชน เช่น etherscan เพื่อตรวจสอบ การตรวจสอบส่วนใหญ่จะรวมถึงว่าสัญญานั้นเป็นโอเพ่นซอร์สหรือไม่ มีธุรกรรมจำนวนมากเมื่อเร็ว ๆ นี้หรือไม่ และ Etherscan ได้ติดป้ายกำกับที่อยู่ว่าเป็นทางการหรือเป็นอันตรายหรือไม่ .

2. เมื่อพบธุรกรรมที่ Plug-in Wallet ไม่สามารถรับรู้ได้ คุณสามารถคัดลอกตัวเลข 8 หลักแรกในข้อมูลธุรกรรมดั้งเดิมได้ด้วยตนเอง (raw_data ซึ่งแสดงผ่านข้อมูลเลขฐานสิบหก) ไปยัง https://openchain.xyz/signatures เพื่อสืบค้นและรับ ฟังก์ชั่นดั้งเดิม ชื่อเพื่อกำหนดพฤติกรรมของธุรกรรมโดยประมาณ

3. ใช้เครื่องมือจำลองการซื้อขาย เช่น Phalcon, Tenderly และ Dedaub เพื่อจำลองการดำเนินการและดูรายละเอียดการดำเนินการเฉพาะของธุรกรรม

การประมวลผลหลังการค้า

หลังจากการหลบเลี่ยงหน้าฟิชชิ่งและลายเซ็นที่เป็นอันตรายก็ไม่ได้หมายความว่าทุกอย่างจะเรียบร้อยดี การบริหารความเสี่ยง ยังคงต้องดำเนินการหลังการทำธุรกรรม

หลังการทำธุรกรรม คุณควรตรวจสอบสถานะออนไลน์ของธุรกรรมทันทีเพื่อยืนยันว่าสอดคล้องกับสถานะที่คาดหวังเมื่อลงนามหรือไม่ หากพบความผิดปกติ การดำเนินการหยุดการสูญเสีย เช่น การโอนสินทรัพย์และการยกเลิกการให้สิทธิ์สามารถดำเนินการได้ทันเวลา

การจัดการการอนุญาตการอนุมัติ ERC 20 ก็มีความสำคัญเช่นกัน ในบางกรณี หลังจากที่ผู้ใช้อนุญาตโทเค็นสำหรับสัญญาบางสัญญา สัญญาเหล่านี้ก็ถูกโจมตีในอีกหลายปีต่อมา ผู้โจมตีใช้โควต้าการอนุญาตโทเค็นของสัญญาที่ถูกโจมตีเพื่อขโมยเงินของผู้ใช้

เพื่อหลีกเลี่ยงสถานการณ์ดังกล่าว ทีมรักษาความปลอดภัย Cobo แนะนำให้ผู้ใช้ปฏิบัติตามมาตรฐานต่อไปนี้เพื่อป้องกันความเสี่ยง:

1. ลดการอนุญาตเมื่ออนุญาตโทเค็น ควรอนุญาตโทเค็นที่เกี่ยวข้องในจำนวนจำกัดตามความต้องการของธุรกรรม หากธุรกรรมจำเป็นต้องมีการอนุญาต 100 USDT ปริมาณการอนุญาตจะถูกจำกัดไว้ที่ 100 USDT แทนที่จะใช้การอนุญาตแบบไม่จำกัดค่าเริ่มต้น

2. เพิกถอนการอนุญาตโทเค็นที่ไม่จำเป็นทันทีค้นหาสถานะการอนุญาตของที่อยู่ที่เกี่ยวข้องผ่านฟังก์ชันการอนุมัติของกระเป๋าเงิน Rabby หรือเข้าสู่ระบบเพื่อ revoid.cash และเพิกถอนการอนุญาตของโปรโตคอลที่ไม่ได้มีปฏิสัมพันธ์ด้วยเป็นเวลานานเพื่อป้องกันช่องโหว่ที่ตามมาในโปรโตคอลจากการก่อให้เกิด การสูญเสียทรัพย์สินอันเนื่องมาจากการใช้ขีดจำกัดการอนุญาตของผู้ใช้

เคล็ดลับอื่นๆ

นอกเหนือจากความเสี่ยงในกระบวนการทำธุรกรรมดังกล่าวข้างต้นแล้ว ความเสี่ยงบางอย่างยังสามารถหลีกเลี่ยงได้โดยการใช้ฟังก์ชันที่รวมอยู่ในเครื่องมือบางอย่างอย่างสมเหตุสมผล

1. กระเป๋าเงินบางใบมีฟังก์ชันนำเข้ากระเป๋าเงินในตัว (เช่น Rabby) ความเสี่ยงของฟิชชิ่งสามารถบรรเทาได้โดยการนำเข้าที่อยู่ของกระเป๋าเงินมือถืออื่น ๆ และดำเนินการยืนยันสำรองที่จำเป็นเมื่อทำธุรกรรม (ต้องปลุกกระเป๋าเงิน สแกนรหัส และป้อนรหัสผ่านเพื่อยืนยัน) ในเวลาเดียวกัน คุณสามารถเพลิดเพลินกับการตรวจสอบความปลอดภัยของธุรกรรมของกระเป๋าเงินมือถือ (ไวท์ลิสต์ การดำเนินการจำลอง เคล็ดลับฟิชชิ่ง ฯลฯ)

2. กระเป๋าเงินบางประเภทรองรับกระเป๋าเงินผู้สังเกตการณ์ที่นำเข้า (เช่น Rabby, OneKey, TokenPocket, imToken เป็นต้น) และคุณสามารถเข้าสู่เว็บไซต์ที่ไม่คุ้นเคยบางแห่งผ่านกระเป๋าเงินของผู้สังเกตการณ์ได้ หน้าสำหรับลายเซ็นข้อความหรือการเริ่มต้นธุรกรรมจะยังคงปรากฏตามปกติ และคุณสามารถดูเนื้อหาที่จะลงนามได้อย่างละเอียดในเวลานี้ ในขณะเดียวกัน เนื่องจากไม่มีคีย์ส่วนตัว จึงไม่จำเป็นต้องกังวลเกี่ยวกับการยืนยันการทำงานที่ไม่ถูกต้อง

3. ตรวจสอบสถานะการอนุญาตของที่อยู่ผ่านฟังก์ชันการอนุมัติของกระเป๋าเงิน Rabby และเพิกถอนการอนุญาตที่มีความเสี่ยงสูงในเวลาที่เหมาะสม เคล็ดลับ: Rabby ใช้หลายมิติในฟังก์ชันนี้ (จำนวนลิงก์การให้สิทธิ์ในอดีตทั้งหมด/จำนวนการยกเลิกใน 24 ชั่วโมง/เวลาในการให้สิทธิ์/จำนวนทรัพย์สินที่ได้รับอนุญาต) เพื่อประเมินความเสี่ยงในการให้สิทธิ์ ซึ่งสามารถช่วยให้ผู้ใช้ระบุความเสี่ยงในการให้สิทธิ์ได้อย่างมีประสิทธิภาพมากขึ้น

4. หลังจากลงนามโดยไม่ได้ตั้งใจ ให้ใช้ฟังก์ชันบันทึกลายเซ็นของกระเป๋าเงิน Rabby เพื่อตรวจสอบธุรกรรมที่ลงนามและข้อมูลข้อความของคุณทันทีเพื่อแก้ไขปัญหาความเสี่ยงในการอนุญาตในเวลาที่เหมาะสม

ด้วยการรับรู้ถึงความเสี่ยงและการป้องกันความเสี่ยงที่เพียงพอ การแยกเงินทุนอย่างมีประสิทธิภาพยังเป็นสิ่งจำเป็นเพื่อลดระดับความเสียหายของเงินทุนในสถานการณ์ที่รุนแรง ทีมรักษาความปลอดภัย Cobo ขอแนะนำให้คุณใช้โซลูชันต่อไปนี้เพื่อจัดเก็บเงิน:

1. ใช้กระเป๋าเงินหลายลายเซ็นของ Gnosis Safe หรือกระเป๋าเงินเย็นเพื่อเก็บเงินจำนวนมาก

2. ใช้ที่อยู่ที่สร้างโดยกระเป๋าเงินของเบราว์เซอร์หรือกระเป๋าเงิน EOA อื่น ๆ เพื่อเก็บเงินจำนวนเล็กน้อยสำหรับการโต้ตอบของผู้ใช้ และเปลี่ยนที่อยู่กระเป๋าเงินร้อนเป็นประจำ

หากคุณถูกฟิชชิ่งโดยไม่ได้ตั้งใจ คุณสามารถดำเนินการต่อไปนี้ได้ทันทีเพื่อลดการสูญเสีย:

1. Revoid.cash ยกเลิกการอนุญาตทันที

2. หากมีการลงนามข้อความใบอนุญาตฟิชชิ่งและไม่มีการโอนเงิน ให้ลงนามในข้อความใหม่ทันทีและเริ่มการเรียกใบอนุญาตเพื่อทำให้ข้อความฟิชชิ่งเป็นโมฆะทันที

3. โอนเงินบัญชีเมื่อจำเป็น

วิธีรับแอร์ดรอปอย่างปลอดภัย

ปัจจุบันการออก airdrops เป็นวิธีการทั่วไปที่ฝ่ายโครงการใช้เพื่อดึงดูดผู้ใช้ และยังเป็นพื้นที่ที่ผู้ใช้ถูกโจมตีด้วยการโจมตีแบบฟิชชิ่งได้ยากที่สุดอีกด้วย ด้วยเหตุนี้ ตามแนวทางการทำธุรกรรมที่ปลอดภัยข้างต้น ทีมความปลอดภัยของ Cobo ได้รวบรวมชุดกระบวนการโต้ตอบที่ปลอดภัยสำหรับการรับ airdrops ออนไลน์:

1. ขั้นแรกให้ใช้กระเป๋าเงินผู้สังเกตการณ์ Rabby เพื่อทดสอบกระบวนการโต้ตอบและยืนยันว่าไม่มีการอนุญาตโทเค็นหรือธุรกรรมการโอนโทเค็น

2. ลายเซ็นข้อความอนุญาตจะไม่ดำเนินการในระหว่างกระบวนการรับแอร์ดรอป ไม่มีการเรียกสัญญาอนุมัติ

3. ลองใช้ บัญชีขนาดเล็ก เพื่อรับแอร์ดรอป

4. ตรวจสอบผลการดำเนินการจำลองของธุรกรรม Airdrop เพื่อยืนยันว่าไม่มีการโอนโทเค็นออกไป

การเลือกเครื่องมือปลั๊กอิน

มีเนื้อหามากมายในรหัสรักษาความปลอดภัยบล็อคเชนและเป็นไปได้ว่าไม่ใช่ทุกการโต้ตอบที่จะสามารถตรวจสอบอย่างรอบคอบได้ ดังนั้น มีปลั๊กอินของเบราว์เซอร์ที่มีประโยชน์เพื่อช่วยเราในการตัดสินความเสี่ยงหรือไม่?

ทีมรักษาความปลอดภัยของ Cobo มีประสบการณ์กับปลั๊กอินการตรวจสอบความเสี่ยงในการทำธุรกรรมกระแสหลักมากขึ้นในตลาดและได้เรียนรู้จากการสกัดกั้นหน้าเว็บฟิชชิ่ง การตรวจสอบที่อยู่ที่เป็นอันตราย และ ไม่ว่าจะเป็นโอเพ่นซอร์สมิติข้อมูลสามมิติถูกจัดเป็นตาราง และคุณสามารถเลือกใช้ตามสถานการณ์ของคุณเองได้ดังนี้: