Segurança na Web3

Hero 11

A web3 é uma oportunidade única e inédita para mudar a forma como os cidadãos do mundo interagem, fazem transações e se divertem. Assim como em qualquer nova jornada, participar desse movimento não é isento de riscos.


Haverá pessoas que tentarão enganar você, como farsantes que se aproveitam de turistas ingênuos. Roubos e golpes não são novidade: eles existem há anos e simplesmente permeiam todos os setores de maneiras diferentes. O que é reconfortante, apesar desse fato, é como na web3 você está no controle e, de forma consciente, pode aprender a navegar com segurança nesse novo mundo usando práticas recomendadas. Nesta lição, falaremos sobre alguns dos princípios fundamentais que você deve internalizar antes de embarcar na sua odisseia pela web3.

Vetores de ataque e como evitá-los 


Lembra de nossa lição sobre autocustódia ? Bem, há uma razão pela qual abordarmos isso desde o início. Uma das formas mais comuns de explorar os usuários na web3 é enquanto navegam na transição de um modelo mental da web2 – você tem um nome de usuário e password e confia a proteção deles a uma plataforma – para um modelo de autocustódia da web3. A autocustódia, ainda que empoderadora, não está isenta de riscos.

Se você perdeu a senha do aplicativo de seu banco online, o banco pode redefini-la como guardião da sua conta e do seu dinheiro, desde que você possa provar sua identidade. Com a autocustódia, no entanto, você detém o único meio de provar sua identidade: sua Frase secreta de recuperação (frase-semente). Ninguém mais pode redefinir sua conta por você.

Secondary assets 10 - 01

Sua Frase secreta de recuperação (SRP) só deve estar em suas mãos e somente nas suas.

Nunca a compartilhe. Nunca é demais enfatizar este ponto.

Enganar os cidadãos da web3 para que eles entreguem ou exponham sua FSR é uma das maneiras mais lucrativas como os golpistas operam. Sempre seja extremamente cauteloso com qualquer pessoa que a pedir. A MetaMask certamente não vai.

Sem dúvida, o outro vetor de ataque principal também envolve a capitalização dos riscos da autocustódia. Ele gira em torno de como você usa sua carteira da MetaMask para dar permissões a aplicativos descentralizados (dapps) com os quais você interage.

Como exploramos na lição O que é uma carteira de criptomoedas? , sua carteira é fundamentalmente uma ferramenta para gerenciar sua identidade e permissões. Depois de usar sua carteira para assinar permissões para terceiros, eles têm seu consentimento imutável para fazer o que for solicitado. Por isso é que você deve ter cautela dupla ao distribuir permissões.

Uma das permissões mais comuns que você vai assinar na MetaMask é uma aprovação de token. Essas transações possuem muitas formas, mas geralmente dão permissão ao dapp solicitante para acessar um determinado número de tokens ou NFTs. Números e códigos hexadecimais longos notoriamente não são legíveis por humanos, o que dá aos golpistas um bom caminho: é mais fácil forçá-lo a aprovar uma transação maliciosa se você não entender o que ela implica. Outra tática comum é pedir acesso ilimitado a um token; após a aprovação, o dapp pode remover o quanto quiser da sua conta uma vez que, tecnicamente, ele recebeu permissão para fazê-lo. Se o dapp for malicioso, sua conta será esvaziada.

As aprovações e permissões são um assunto complexo e em desenvolvimento. No entanto, se há uma coisa que você deve se lembrar, é esta: nunca aprove uma transação proposta por um dapp suspeito e, se não tiver certeza, não dê a ele acesso ilimitado a um token.

Para ler mais sobre aprovações de token, consulte os materiais em Mergulhe mais fundo.

Micro System 10
Identity

Não morda a isca

Você pode aumentar significativamente a segurança da sua web3 se aprender os sinais reveladores de atividade maliciosa. Há muitas maneiras pelas quais os golpistas se entregam, tanto deliberada quanto inadvertidamente. Vejamos apenas algumas:

  • Exigências urgentes: usar pressão de tempo para criar urgência com prazos ou datas limite

  • FOMO: prometendo retornos irrealistas, airdrops ou listas de permissão

  • Personificação: imitação de protocolos, projetos e pessoas bem conhecidos

  • Falta de esmero: gramática ou web design ruins, ou branding amador em geral

  • Mensagens inesperadas: pedidos de dinheiro, entusiasmo excessivo e desespero pelo seu envolvimento.

Lembre-se sempre: se algo parece ser muito bom para ser verdade, provavelmente é.

Carteiras de hardware: uma camada adicional de segurança

Autocustódia significa que você precisa implementar sua própria segurança. Ninguém mais pode fazer isso por você. Ninguém pode fazer backup da sua conta se você perder o acesso a ela ou receber seus fundos por você se seus tokens forem roubados. Apenas você e quem mais tiver acesso à sua Frase secreta de recuperação (FSR). Isso é uma grande responsabilidade, mas uma que você tem a honra de aprender e experimentar à medida que a web3 cria raízes no mundo todo.

A MetaMask prioriza a segurança do usuário acima de tudo; você pode ver isso no uso da própria carteira, onde avisos são fornecidos quando você está prestes a fazer algo perigoso; no desenvolvimento de ferramentas como o LavaMoat, que garante a segurança do próprio código, além de esforços educacionais como esse. Existem opções adicionais disponíveis que adicionam outra camada de segurança entre você e os bandidos.

É aqui que entram as carteiras de hardware: dispositivos físicos fora do seu PC que protegem as chaves privadas das suas contas. Eles estão desconectados de outras coisas online que você normalmente faz em seu telefone e laptop, como verificar seu email, baixar aplicativos e navegar na internet para ver vídeos engraçados de gatos.

Você pode conectar essas carteiras de hardware à MetaMask para ter flexibilidade enquanto realiza atividades na web3. Navegue pelos dapps com a MetaMask e assine transações na sua carteira de hardware.

A combinação de carteiras de hardware com a MetaMask (uma carteira de software) permite que você melhore a segurança à medida que exerce mais responsabilidade em sua jornada pela autocustódia.

Segurança na Web3

Vamos fazer um staking de seu ETH; escolha seu provedor de staking preferido

  • Recompensas mais altas

    mega-staked-eth

    Mega Staked ETH

    mgETH

    23.68% rewards

  • Recompensas mais altas

    lido-staked-eth

    Lido Staked ETH

    stETH

    6.68% rewards

  • Recompensas mais altas

    rocket-pool-staked-eth

    Rocket Pool Staked ETH

    rETH

    5.83% rewards

  • Secondary assets 10 - 01
    01

    A autocustódia, embora empoderadora, tem riscos e exige medidas de segurança adequadas do meu lado

  • Secondary assets 10 - 02
    02

    Os dois ataques da web3 mais comuns que eu poderia enfrentar são agentes mal-intencionados tentando obter minha Frase secreta de recuperação e obter de mim aprovações indesejadas de tokens

  • 03 Takeaway 01
    03

    Uma carteira de hardware é um bom primeiro passo para melhorar a segurança da minha web3.

Tudo pronto para dar o próximo passo?

Explorar a MetaMask
Learn