Gate

Appearance

Web3 钱包安全:确保链上交易安全的最佳实践

要点 区块链交易一旦确认,即不可逆转,因此仔细审查签名页成为 Web3 中的最后一道防线。

仔细核对完整的收款地址,而非仅查看其中几个字符,以确保资金到达正确的目的地。

了解签署交易和签署消息之间的区别,两者都可能带来重大风险。只需一次失误,骗子就可能窃取您的资产。

当您在 Web3 旅程中与数字资产和去中心化应用程序 (DApp) 交互时,了解如何保证资金安全至关重要。Gate钱包等同于您的数字保险库,而“签名页”则是您授权向保险库执行操作的步骤。

在与去中心化交易平台和 DApp 交互时,系统会例行提示您审查并确认交易或“签名请求”。这是您在资产离手前暂停、验证并保护资产的重要机会!继续阅读,了解如何避开麻烦,从容闯荡精彩纷呈的 Web3 世界。

了解基础知识 区块链的强大之处在于其不变性:一旦交易被记录下来,就会永远保留不变。因此,在进行任何链上操作之前,请务必先仔细核查验证,这是您的最后防线。

“不可撤销”规则 最终确定性:链上加密货币转账均为最终交易。一旦通过签名页确认交易并在区块链上完成处理,便不可再撤销。

收款方很重要:您的资金将发送至指定地址。如果地址错误,或者属于骗子,您的加密货币可能永远丢失。因此,请务必每次都仔细核对收款地址。

核实操作。确认页面是最后一步,将显示您即将执行的操作。是兑换、转账、授权、签名,还是其他?请务必确保其与您打算在 DApp 上执行的操作完全一致。

链上交易签名 当您进行转账(例如,将加密货币发送到另一个钱包)或执行智能合约(例如,在 DEX 上兑换代币、提供流动性等)时,您将通过签名页“确认”操作。这意味着您将授权更改区块链的状态,并且您的加密货币将被转移。

需要核对的内容

收款地址:是否准确?与您之前输入的地址相比是否有所变化?

详细信息:您用于发送资金的币种(USDC/USDT 等)和链(BSC/ETH 等)信息是否准确?

警告:转账过程中是否弹出安全警告?如果发现任何异常,请取消交易并重新核查。

签署消息(链下/签名请求) 有时,DApp 可能会要求您“签署消息”或授权“签名请求”。此种签名通常不会直接转移您的资金。

虽然签署消息本身不会直接促成转账,但恶意 DApp 可能会诱骗您签署 Permit、Permit2 或 eth_sign 等消息,为其授予更广泛的权限,甚至日后可无限制访问您的代币。Gate钱包已经阻止了危险程度较高的消息签名功能(如 eth_sign),但仍须保持警惕。

需要核对的内容

当出现需要签署的消息时,请先了解 DApp 为何要求签名。如果该请求看起来与您尝试执行的操作无关,或者消息文本无法阅读或看起来像一串随机字符,请拒绝签署。

如果无法确定,请关闭 DApp 并调查该特定签名请求对特定平台而言意味着什么。

识别常见陷阱

地址投毒陷阱 运作方式:诈骗者通过模仿您常用地址的前后几位字符,创建相似地址,并从该地址向您的钱包发送几乎毫无价值的加密货币。此外,他们还会采用更复杂的技术来仿冒地址,您以为向正确地址发送了资金,但实际上并没有。

运作原理:诈骗者希望您下次从交易记录中误将此地址当作正确地址进行复制。

预防手段:不要依赖肌肉记忆或复制近期交易清单。而要:

隐藏小额/垃圾交易。在Gate钱包中,您可以点击右上角的过滤按钮,从列表中隐藏此类交易。

使用地址簿。将常用收款人的已验证地址保存到地址簿,并始终使用其中的地址与交易对手进行交易。

从来源复制。始终直接从原始来源(您要发送资金的目标个人或平台)复制地址。

测试交易(尤其是大额交易)。对于大额转账,请先发送少量金额作为测试交易。只有在验证收据后,您才可以进行更大金额的转账。

粘贴并验证。将目标地址粘贴到您的钱包中,并目视对比完整字符串,确保二者完全一致。

钓鱼网站 此类虚假网站旨在窃取您的钱包凭证或诱骗您签署恶意交易。

运作方式:诈骗者可能会通过电子邮件或社交媒体向您发送链接,甚至操纵在线搜索结果。只要连接了钱包并提供授权或冒险签名,无需您采取进一步行动,您的资金就会被洗劫一空。

预防手段:

仔细检查 URL。查看是否存在细微的拼写错误(例如,uniswap.com 与 unὶswap.com)或不一致的域名结尾(如 .xyz 而非 .com)。

切勿点击可疑链接。始终自己输入 URL 或使用可信书签直接访问官方网站。

独立验证信息。如果您收到有关账户的紧急消息,请通过官方渠道进行验证(例如,直接登录账户,通过其官方联系信息联系客服人员),切勿点击消息中的链接。

仿冒反洗钱 (AML) 检查网站的钓鱼网站。

钱包中的虚假空投/NFT 您可能会突然在钱包中看到未曾购买的奇怪代币或 NFT。这是诈骗者发送的诱饵。

运作方式:他们可能会在代币的元数据或描述中嵌入恶意链接,诱骗您访问某个网站并在该网站上签署交易,由此窃取您钱包内的资金,也可能该空投/NFT 代币本身就是恶意内容。

预防手段:若收到任何不请自来或未知的代币或 NFT,切勿与任何相关链接交互,也不要进行出售或点击。只要您不与之互动,骗子就无法窃取您的资金。点击红色警告符号(表示已知的恶意代币),详细了解当前检测到的风险。

庞氏骗局 庞氏骗局旨在诱使您继续投资并推荐其他人投资,以此为骗子提供资金。

运作方式:此类计划利用后来者投入的资金为早期投资者提供高额回报。当没有足够的新投资者来支付旧投资者的收益时,骗局就会崩盘。

预防手段:如果一笔交易异常诱人,背后很可能潜藏骗局。合法的加密货币投资存在风险,而有保证的持续高额收益是重大危险信号。

链上安全的黄金法则 仔细调研:在将钱包连接到任何 DApp 之前,请先做好尽职调查,详尽了解项目情况及其团队和声誉。可尝试获取由信誉良好的第三方公司进行的智能合约审计。

尽量不要复制粘贴:虽然方便,但由于存在剪贴板劫持程序(篡改已复制地址的恶意软件),复制和粘贴地址可能会有风险。

使用地址簿:在地址簿中标记常用的已验证地址,并始终使用这些保存的地址进行交易。

再三检查:在签名页上确认任何转账之前,请逐个字符对比收款地址和您将要发送资金的地址。诈骗者通常笃定您只会检查前后几个字符。

警惕社会工程攻击:攻击者利用的往往是人类心理而非技术漏洞,因此要警惕不请自来的提议和诈骗者的施压手段。

了解权限:确切了解连接钱包或签署消息/交易时您在做什么,需要哪些权限。

留心警告:连接或尝试交易或签名时,请务必留意钱包中显示的警告,否则您可能遭受重大损失。

结语 若想安全探索 Web3 环境,需时刻保持警惕,并详细了解签名页的关键作用,牢记其作为区块链交易的最后防线,一旦签署,则无法逆转。仔细验证收款地址、区分交易与消息签名并对钓鱼网站和地址投毒等常见骗局保持警惕,即可显著降低丢失资产的风险。

切记,Gate钱包是您的数字保险库。请谨慎对待每个签名请求,仔细检查每处细节,切勿仓促行事。时刻掌握最新情况并保持谨慎是最佳防御手段,可帮助您保护资金安全,从容探索精彩的去中心化金融世界。

Released under the MIT License.

Copyright © 2019-Gate