Seguridad sa Web3

Hero 11

Ang Web3 ay isang once-in-a-generation na oportunidad para baguhin kung paano na nakikipag-ugnayan, nakikipagtransaksyon, at naglilibang ang mga mamamayan ng mundo. Gaya ng anumang bagong paglalakbay, may kaakibat na panganib ang pakikilahok sa ganitong mga gawain.


May mga taong susubukan kang linlangin, gaya ng mga manlolokong nambibiktima ng mga madaling mapaniwalang turista. Hindi na bago ang pagnanakaw at mga scam, matagal nang ginagawa ang mga ito at nakakapasok sa mga industriya sa iba't ibang paraan. Gayunpaman sa kabila ng katotohanang iyon, puwede pa ring maging kampante dahil sa pagkakaroon mo ng kontrol sa web3 at dahil sa kaalamang ito, puwede mong malaman kung paano ligtas na mag-navigate sa bagong mundong ito gamit ang pinakamagagandang kasanayan. Sa araling ito, tatalakayn natin ang ilan sa mga pangunahing prinsipyo na dapat mong maunawaan bago simulan ang iyong paglalakbay sa web3.

Mga attack vector at paano iwasan ang mga ito 


Tandaan ang aming Leksyon tungkol sa self-custody? May dahilan bakit maaga natin itong tinalakay. Isa sa mga pinakakaraniwang paraan na napagsasamantalahan ang mga user sa web3 ay habang nagna-navigate sa transition mula sa isang web2 mental model—mayroon kang username at password, at ipinagkakatiwala ang pagtatago nito sa isang platform—sa isang web3, na self-custody model. May kaakibat pa ring panganib ang self-custody, gaano man ito nagbibigay ng kakayahan.

Kapag naiwala mo ang password mo sa iyong online banking app, puwede itong i-reset ng bangko mo, bilang custodian ng account at pera mo, para sa iyo, hangga't mapapatunayan mo ang iyong pagkakakilanlan. Sa self-custody, nasa iyo ang mga tanging paraan para patunayan ang pagkakakilanlan mo: ang iyong Secret Recovery Phrase (seed phrase). Walang sinumang makakapag-reset ng account mo para sa iyo.

Secondary assets 10 - 01

Ikaw lang ang dapat na may hawak ng iyong Secret Recovery Phrase (SRP), at wala nang iba pa.

Huwag itong i-share kahit kanino. Kailangan namin itong bigyang-diin.

Isa sa mga pinagkakakitaang paraan na ginagawa ng mga scammer ang panlilinlang sa mga web3 denizen na ibigay o ipakita ang kanilang SRP. Palaging mag-ingat sa sinumang humihingi nito sa iyo. Hinding-hindi ito hihingin sa iyo ng MetaMask.

Kasama rin sa iba pang pangunahing attack vector ang pagsasamantala sa mga panganib ng self-custody. May kinalaman ito sa kung paano mo ginagamit ang MetaMask wallet mo para magbigay ng mga pahintulot sa mga desentralisadong application (mga dapp) kung saan ka nakikipag-ugnayan.

Habang nag-e-explore kami sa Ano ang Wallet ng Crypto na aralin, ang wallet mo ay isang tool para pamahalaan ang pagkakakilanlan mo at mga pahintulot. Kapag ginamit mo na ang wallet mo para magbigay ng mga pahintulot sa isang third party, mayroon na sila ng iyong hindi mababagong pahintulot na gawin ang anumang hiniling ng mga ito. Ito ang dahilan kung bakit dapat kang maging lubhang maingat sa pagbibigay ng mga pahintulot.

Ang pag-apruba ng token ay isa sa mga pinakakaraniwang pahintulot na ibinibigay mo sa MetaMask. Maraming anyo ang ganitong mga transaksyon, pero karaniwang nagbibigay sa humihiling ng pahintulot na dapp ng access sa ilang partikular na token o NFT. Sa kasamaang palad, hindi madaling mababasa ng mga tao ang mahahabang hexadecimal number at code, na nagbibigay sa mga scammer ng pagkakataong ma-access ang account mo" mas madali na para dito na kumbinsihin kang aprubahan ang isang mapaminsalang transaksyon kung hindi mo nauunawaan kung ano ang kasama nito. Isa pang karagdagang diskarte ang humingi ng unlimited na access sa isang token, na sa sandaling maaprubahan, puwede nang alisin ng dapp ang kahit anong gustuhin nito sa account mo dahil binigyan mo ito ng pahintulot na gawin iyon. Kung mapaminsala ang dapp, mauubos ang laman ng account mo.

Isang masalimuot at umuunlad na paksa ang mga pag-apriba at pahintulot. Gayunpaman, kung may isang bagay na dapat mong tandaan, ito iyon: huwag kailanman aprubahan ang isang transaksyong iminungkahi ng isang kahina-hinalang dapp. Kung hindi ka sigurado, huwag itong bigyan ng inlimited na access sa isang token.

Para magbasa pa tungkol sa mga pag-apruba ng token, tingnan ang mga resource sa ilalim ng Alamin pa.

Micro System 10
Identity

Huwag kagatin ang pain

Puwede mong lubhang i-boost ang kaligtasan ng web3 mo kung matututunan mo ang mga natukoy na palatandaan ng mapaminsalang aktibidad. Maraming paraan para makilala ang mga scammer—na halata at hindi sinasadya. Ilan lamang ang mga ito:

  • Mga apurahang demand: Ang paggamit ng time pressure o pagmamadali sa oras para maglikha ng pag-aapura sa mga deadline o mga cut-off date

  • FOMO: Ang pangangako ng hindi makatotohanang returns, mga airdrop, o allowlisting

  • Pagpapanggap: Panggagaya ng mga kilalang protocol, project, at tao

  • May mga mali: Mali ang grammar, hindi maganda ang web design, o hindi propesyonal ang branding sa pangkalahatan

  • Hindi inaasahang pagtanggap ng mensahe: Mga paghingi ng pera, lubhang masigasig, at mapilit na makilahok ka.

Palaging tandaan: kung ang isang bagay ay mukhang sobrang ganda para maging makatotohanan, malamang ay ganun na nga.

Mga wallet na hardware: Isang karagdagang layer ng seguridad

Kapag sinabing self-custody, kailangan mong protektahan ang sarili mong seguridad. Walang sinumang makakagawa noon para sa iyo. Walang sinumang makakapag-back up ng account mo kapag nawalan ka ng access dito o makakabawi ng mga pondo mo para sa iyo kapag nanakaw ang mga token mo. Ikaw lang at sinumang may access sa Secret Recovery Phrase (SRP) mo. Malaking responsibilidad, pero isang responsibilidad na may karangalan kang matutunan at maranasan habang itinataguyod ang web3 sa buong mundo. 

Binibigyang priyoridad ng MetaMask ang seguridad ng user higit sa lahat. Makikita mo ito sa mismong paggamit ng wallet, kung saan nagbibigay ito ng mga babala kapag may gagawin kang isang bagay na mapanganib; sa pagbuo ng mga tool gaya ng LavaMoat, na tinitiyak ang kaligtasan ng mismong code, at sa mga pagsisikap para matuto ang mga user gaya ng isang ito. May mga karagdagang opsyon din na magagamit, na makakadagdag ng isa pang layer o patong na seguridad sa pagitan mo at ng masasamang tao.

Maglagay ng mga wallet na hardware—mga pisikal na device na hindi bahagi ng computer mo na pinoprotektahan ang mga pribadong key ng mga account mo. Hindi nakakonekta ang mga ito sa iba pang naka-online na bagay na karaniwan mong ginagawa sa telepono at laptop mo gaya ng pag-check ng email mo, pag-download ng mga app, at pag-browse ng internet para sa mga nakakatuwang video ng pusa. 

Puwede mong ikonekta ang mga wallet na hardware na ito sa MetaMask para sa flexibility habang nagsasagawa ka ng mga aktibidad sa web3. Mag-browse ng mga dapp gamit ang MetaMask, at magpahintulot ng mga transaksyon sa wallet na hardware mo. 

Kapag pinagsama ang mga wallet na hardware at MetaMask (isang wallet na software), nagbibigay-daan ito sa iyo na mapahusay ang seguridad habang nagkakaroon ka ng mas maraming responsibilidad sa paglalakbay mo tungo sa pagkakaroon ng self-custody.

Seguridad sa Web3

Subukan nating i-stake ang ETH mo, piliin ang gusto mong provider sa pag-stake

  • Pinakamatataas na reward

    mega-staked-eth

    Mega Staked ETH

    mgETH

    69.63% mga reward

  • Pinakamatataas na reward

    lido-staked-eth

    Lido Staked ETH

    stETH

    3% mga reward

  • Pinakamatataas na reward

    rocket-pool-staked-eth

    Rocket Pool Staked ETH

    rETH

    3% mga reward

  • Secondary assets 10 - 01
    01

    Habang binibigyan ka ng kakayahan ng self-custody, may kaakibat itong mga panganib at nangangailangan ng mga tamang panseguridad na hakbang mula sa iyo

  • Secondary assets 10 - 02
    02

    And dalawang pinakakaraniwang pag-atake sa web3 na puwede kong harapin ay ang masasamang kalahok na sinusubukang makuha ang Secret Recovery Phrase ko at kumukuha ng mga hindi napagkasunduang pag-apruba ng token mula sa akin

  • 03 Takeaway 01
    03

    Ang wallet na hardware ay isang magandang unang hakbang tungo sa pagpapahusay ng seguridad ko sa web3.

Handa nang gawin ang susunod na hakbang?

I-explore ang MetaMask
Learn