Web3 中的安全

Hero 11

Web3 带来了一次千载难逢的机会,足以改变全球公民的互动、交易和娱乐方式。就像所有新旅程一样,参与这场运动并非毫无风险。


就像骗子会盯上容易上当的游客一样,会有人设法欺骗您。盗窃和诈骗并非新鲜事物,它们古已有之,以各种方式存在于各行各业。但令人欣慰的是,在 Web3 中,您有控制权,也足够谨慎,可以学习如何通过最佳实践在这个新世界安全遨游。在本课程中,我们将讨论在开启 Web3 之旅前应当内化的一些关键原则。

攻击向量以及如何避免


记住我们的 自主托管课程 ?我们很早就讨论这个主题是有原因的。Web3 用户最常使用的就是从 Web2 心智模型(您有用户名和密码,并将其安全托管在平台上)过渡到自主托管模型。自主托管虽然强大,但并非没有风险。

如果忘记了网上银行应用程序的密码,银行作为账户和资金的托管人,可以代表您重置密码,您只需向银行证明自己的身份即可。但是,在自主托管中,您只有一种方式证明自己的身份:私钥助记词(助记词)。没有人可以替您重置账户。

Secondary assets 10 - 01

您应该牢记私钥助记词 (SRP),切勿告诉他人。

再次重申,切勿分享。

骗子最喜欢诱导 Web3 用户交出或暴露私钥助记词实施诈骗。始终对任何索要私钥助记词的要求保持高度警惕。MetaMask 绝不会向您索要。

并非偶然,另一个主要攻击向量也涉及利用自主托管的风险。它涉及如何使用 MetaMask 钱包向与您交互的去中心化应用 (dapp) 授予权限。

正如我们在 什么是加密货币钱包 课程中探讨的那样,钱包是用于身份和权限管理的基本工具。一旦您使用钱包将权限让渡给第三方,就代表您同意后者执行他们所请求的任何操作,且您不可撤销。因此,您在授予权限时应当极其谨慎。

在 MetaMask 中最常见的一种让渡权限是代币批准。此类交易方式有很多种,但通常涉及授权给提出请求的去中心化应用访问指定数量的代币或 NFT。众所周知,冗长的十六进制数字和代码并不容易读懂,这就给了骗子们可乘之机:如果您不理解交易背后蕴含的含义,那么骗子就能轻易说服您同意恶意交易。骗子另一种经常使用的策略是请求无限制地访问代币,一旦获得批准,去中心化应用就可以从您的账户中随意移除任意数量的代币,因为从技术角度上讲,您已授予了许可。如果去中心化应用为恶意应用,那您的账户就将被清空。

批准和权限的含义复杂,且不断演变。然而,最重要的是:切勿批准可疑去中心化应用提交的交易,如果您不确定,则切勿授予其代币的无限访问权限。

如需了解代币批准的更多信息,请参阅深入了解下方的资源。

Micro System 10
Identity

切勿上当

如果您能够识别恶意活动,即可显著提高您的 Web3 安全性。骗子有意无意地露了许多马脚。以下是其中几种:

  • 迫切要求:利用时间压力营造紧迫感,设定最后期限或截止日期

  • FOMO:承诺不切实际的回报、空投或白名单

  • 冒充:模仿知名协议、项目,冒充知名人物

  • 粗制滥造:语法糟糕、网页设计差或品牌形象不专业

  • 陌生人信息:索要钱财,过度热情,拼命要求您参与。

永远记住:如果某些事情好得令人难以置信,那这就是危险信号。

硬件钱包:额外的安全层

自主托管意味着您要对自己的资金安全全权负责。没有人可以代劳。如果您无法访问账户,没有人可以为您备份账户,或者如果您的代币被盗,没有人可以为您取回资金。您和其他有权访问您私钥助记词 (SRP) 的人士必须负全责。这项责任重大,但随着 Web3 拓展至全球各地,您必须了解和承担这份责任。

MetaMask 将用户安全放在首位;这体现在钱包的使用过程中,MetaMask 会在您执行高风险操作时发出警告;在开发 LavaMoat 等工具时确保代码的安全性,提供相关的培训。此外还有其他可用选项,可在您和恶意行为者之间增加另一层安全网。

输入硬件钱包—计算机外部的物理设备,用于保护您的账户私钥。它们独立于您通常在手机和笔记本电脑上执行的其他在线任务,例如查看电子邮件、下载应用程序以及浏览有趣的猫咪视频。

您可在执行 Web3 任务时,将硬件钱包与 MetaMask 连接,拥有更大的灵活性。使用 MetaMask 浏览去中心化应用,并在硬件钱包上签署交易。

硬件钱包与 MetaMask(软件钱包)双管齐下,您将在自主托管过程中承担更多责任,享受更高的安全性。

Web3 中的安全

我们来尝试质押您的 ETH,选择您的首选质押提供商

  • 最高奖励

    mega-staked-eth

    Mega Staked ETH

    mgETH

    69.63% 奖励

  • 最高奖励

    lido-staked-eth

    Lido Staked ETH

    stETH

    3% 奖励

  • 最高奖励

    rocket-pool-staked-eth

    Rocket Pool Staked ETH

    rETH

    3% 奖励

  • Secondary assets 10 - 01
    01

    自主托管虽然强大,但也存在风险,需要在用户端采取适当的安全措施

  • Secondary assets 10 - 02
    02

    我可能面临的两种最常见 Web3 攻击是恶意行为者试图获取我的私钥助记词和向我申请不必要的代币权限

  • 03 Takeaway 01
    03

    为了增强 Web3 安全性,使用硬件钱包是理想的第一步。

准备好迈出下一步了吗?

探索 MetaMask
Learn