Back to Blog

Guia de Mitigação de Riscos DeFi 03: Dicas de Segurança para Usuários de DeFi

July 6, 2024
7 min read

Esta série de artigos, extraída da "Edição Especial de Segurança 05" co-curada pela OKX Web3 e BlockSec, aborda as preocupações de segurança enfrentadas por usuários de DeFi e equipes de projetos DeFi.

Q1 : Como os usuários desenvolvem consciência de monitoramento ao participar de DeFi

Equipe de Segurança da OKX Web3 Wallet : Tomando os usuários whale como exemplo, whale se refere principalmente a investidores individuais ou pequenas equipes de instituições de investimento que possuem grande volume de fundos, mas geralmente não contam com uma equipe de segurança muito robusta e não têm capacidade de desenvolver ferramentas de segurança próprias. Portanto, até agora, a maioria das whales realmente carece de consciência de risco suficiente, caso contrário, não teriam sofrido perdas tão significativas.

Devido ao risco de perdas enormes, alguns usuários whale passaram conscientemente a depender de diversas ferramentas de segurança disponíveis publicamente para monitorar e perceber riscos. Atualmente, muitas equipes trabalham em produtos de monitoramento, mas a escolha é fundamental. Aqui estão alguns pontos-chave:

Primeiro, há o custo de uso da ferramenta. Muitas ferramentas, embora muito poderosas, exigem programação e não são baratas de usar. Não é fácil para os usuários compreenderem a estrutura do contrato ou até mesmo coletar o endereço.

Segundo, há a precisão. Ninguém quer ir dormir à noite com vários alertas seguidos, apenas para descobrir que são falsos positivos. Portanto, a precisão também é fundamental.

Por último, há a segurança. Especialmente nessa escala de fundos, não podemos ignorar os diversos riscos de segurança da ferramenta desenvolvida e de sua equipe. O recente incidente de ataque ao Gala Game é dito ter ocorrido devido à introdução de um provedor de serviços terceirizado inseguro. Portanto, uma equipe confiável e produtos de confiança são essenciais.

Até agora, muitas whales também nos encontraram, e recomendaremos soluções profissionais de gestão de ativos para elas, de modo que os usuários whale possam garantir a segurança de seus fundos ao mesmo tempo em que consideram o gerenciamento diário de fundos, como "minerar, sacar e vender", perceber riscos e até mesmo retirar fundos em situações de emergência.

Q2 : Dicas de segurança para participar de DeFi e lidar com riscos de segurança

Equipe de Segurança da BlockSec : Para participantes com grandes volumes de fundos, a principal preocupação ao participar de protocolos DeFi é garantir a segurança do capital, investindo apenas após realizar um estudo aprofundado dos potenciais riscos de segurança. Há vários aspectos a considerar para garantir a segurança dos fundos:

Em primeiro lugar, deve-se fazer um julgamento multifacetado sobre a ênfase e o investimento do projeto em segurança. Isso inclui se o projeto passou por uma auditoria de segurança completa, se o projeto tem capacidade de monitorar riscos de segurança e responder automaticamente, e se existe um bom mecanismo de governança comunitária. Tudo isso pode refletir se o projeto coloca a segurança dos fundos dos usuários em uma posição importante e se possui uma atitude altamente responsável em relação à segurança dos fundos dos usuários.

Em segundo lugar, participantes com grandes volumes de fundos também precisam construir seus próprios sistemas de monitoramento de segurança e resposta automática. No caso de um incidente de segurança no protocolo investido, grandes investidores de fundos devem ser capazes de perceber e retirar fundos no primeiro momento, para recuperar perdas ao máximo, em vez de depositar todas as suas esperanças no projeto. Observando ataques de grande repercussão a projetos como Curve, KyberSwap e Euler Finance em 2023, fica claro que grandes investidores frequentemente perdem alertas oportunos e carecem de sistemas autossuficientes de monitoramento de segurança e retirada de emergência.

Além disso, os investidores precisam escolher bons parceiros de segurança para continuar acompanhando a segurança dos projetos investidos. Quaisquer atualizações no código do projeto, mudanças de parâmetros importantes, etc., precisam ser percebidas a tempo e os riscos avaliados. Tais tarefas são difíceis de realizar sem a participação de uma equipe de segurança profissional e ferramentas adequadas.

Por último, é necessário proteger a segurança das chaves privadas. Para contas que exigem negociações frequentes, é melhor combinar soluções de multi-assinatura online e segurança de chave privada offline para eliminar o risco de ponto único após a perda de um único endereço e uma única chave privada.

O que deve ser feito se o projeto investido enfrentar riscos de segurança?

Acredita-se que, para qualquer whale e investidor, a primeira reação ao encontrar um incidente de segurança deve ser proteger o capital, sendo a primeira prioridade retirar os fundos o mais rapidamente possível. No entanto, os atacantes geralmente são muito rápidos, e as operações manuais frequentemente chegam tarde demais, portanto é melhor retirar os fundos automaticamente de acordo com o risco. Atualmente, nossa plataforma de monitoramento e bloqueio de ataques Phalcon pode retirar fundos automaticamente após detectar uma transação de ataque, ajudando os usuários a se evacuar primeiro.

Em segundo lugar, se houver perda, além de aprender as lições, deve-se promover ativamente que o projeto busque a ajuda de empresas de segurança para rastrear e monitorar os fundos danificados. Com a atenção de toda a indústria Cripto à segurança, a proporção de fundos recuperados está aumentando gradualmente.

Por último, para detentores substanciais, considere contratar empresas de segurança para auditar todo o seu portfólio de investimentos em busca de vulnerabilidades semelhantes. Muitos ataques têm causas raiz comuns, como visto no incidente do Compound V2, que tinha paralelos em outros projetos. Empresas de segurança podem identificar riscos em seus investimentos, permitindo comunicação imediata com as equipes de projeto ou retirada estratégica, se necessário.

Equipe de Segurança da OKX Web3 Wallet : Ao participar de projetos DeFi, os usuários podem adotar uma variedade de medidas para participar de projetos DeFi com mais segurança, reduzir o risco de perda de fundos e aproveitar os benefícios trazidos pelas finanças descentralizadas. Vamos detalhar dois aspectos: o nível do usuário e o nível da OKX Web3 Wallet.

Em primeiro lugar, para os usuários :

  • 1)Escolha projetos que passaram por auditoria: Priorize projetos auditados por empresas de auditoria terceirizadas renomadas (como ConsenSys Diligence, Trail of Bits, OpenZeppelin, Quantstamp, ABDK), revise seus relatórios de auditoria públicos e compreenda os riscos potenciais e as correções de vulnerabilidades.
  • 2)Entenda o histórico do projeto e da equipe: Garanta a transparência e credibilidade do projeto estudando o whitepaper, o site oficial e o histórico da equipe de desenvolvimento. Preste atenção às atividades da equipe nas redes sociais e comunidades de desenvolvimento para entender sua capacidade técnica e suporte da comunidade.
  • 3)Diversifique os investimentos: Não invista todos os fundos em um único projeto ou ativo DeFi; a diversificação pode reduzir o risco. Escolha múltiplos tipos diferentes de projetos DeFi, como empréstimos, DEX, farming, etc., para diversificar a exposição ao risco.
  • 4)Teste com pequenas quantias: Antes de realizar grandes transações, primeiro faça pequenas transações de teste para garantir a segurança das operações e plataformas.
  • 5)Monitore contas regularmente e tome medidas de emergência: Verifique regularmente suas contas e ativos DeFi para detectar transações ou atividades incomuns em tempo hábil. Use ferramentas (como o Etherscan) para monitorar registros de transações on-chain e garantir a segurança dos ativos. Após detectar anomalias, tome medidas de emergência a tempo, como revogar todas as autorizações da conta, entrar em contato com a equipe de segurança da carteira para suporte, etc.
  • 6)Tenha cautela com novos projetos: Mantenha uma atitude cautelosa em relação a projetos recém-lançados ou não verificados. Você pode primeiro investir uma pequena quantia de fundos para teste, observando sua operação e segurança.
  • 7)Use carteiras Web3 principais para transações: Use apenas carteiras Web3 principais para interagir com projetos DeFi, pois elas oferecem melhor proteção de segurança.
  • 8)Proteja-se contra ataques de phishing: Tenha cuidado ao clicar em links desconhecidos e e-mails de fontes desconhecidas, não insira chaves privadas ou mnemônicos em sites não confiáveis e certifique-se de que os links que você visita são sites oficiais. Use canais oficiais para baixar carteiras e aplicativos para garantir a autenticidade do software.

Em segundo lugar, do ponto de vista da OKX Web3 Wallet :

Fornecemos muitos mecanismos de segurança para proteger a segurança dos fundos dos usuários :

  • 1)Detecção de domínios de risco: Quando os usuários acessam DAPPs, a OKX Web3 Wallet detecta e analisa no nível de domínio. Se os usuários acessarem DAPPs maliciosos, ela interceptará ou os lembrará para evitar que sejam enganados.

  • 2)Detecção de Token Honeypot: A OKX Web3 Wallet suporta detecção abrangente de Token Honeypot, bloqueando proativamente esses tokens dentro da carteira para evitar que os usuários interajam com eles.

  • 3)Biblioteca de Tags de Endereços: A OKX Web3 Wallet oferece uma biblioteca de tags de endereços rica e abrangente, que fornece alertas oportunos aos usuários quando eles interagem com endereços suspeitos.

  • 4)Pré-execução de Transações: Antes de qualquer transação ser enviada, a OKX Web3 Wallet simula a execução da transação e exibe as alterações em ativos e autorizações para referência do usuário. Os usuários podem avaliar se os resultados atendem às suas expectativas e decidir se continuam com a transação com base nessas informações.

  • 5)Integração de Aplicações DeFi: A OKX Web3 Wallet integrou serviços de vários projetos DeFi principais, permitindo que os usuários interajam com confiança com esses projetos DeFi integrados. Além disso, a OKX Web3 Wallet fornece recomendações de rotas para DEX, pontes cross-chain e outros serviços DeFi para oferecer aos usuários os melhores serviços DeFi e soluções de gas otimizadas.

  • 6)Serviços de Segurança Adicionais: A OKX Web3 Wallet está progressivamente adicionando mais recursos de segurança e desenvolvendo serviços avançados de proteção de segurança para garantir de forma melhor e mais eficiente a segurança dos usuários da carteira OKX.

Sign up for the latest updates
OFAC Sinaloa Cartel Sanctions: On-Chain Fund Tracing

OFAC Sinaloa Cartel Sanctions: On-Chain Fund Tracing

OFAC sanctioned a Sinaloa Cartel network for laundering fentanyl proceeds. We traced the six sanctioned addresses on-chain with MetaSleuth, and the money runs almost entirely through centralized exchange deposit addresses.

Zcash Orchard Soundness Bug Analysis | BlockSec Weekly
Security Insights

Zcash Orchard Soundness Bug Analysis | BlockSec Weekly

During the week of June 1, 2026, a critical soundness vulnerability was publicly disclosed in Zcash's Orchard shielded pool circuit, caused by a missing equality constraint in the halo2 ECC scalar multiplication gadget that could have enabled undetectable counterfeiting of ZEC within the Orchard pool through double-spending. The vulnerability, which existed for over four years since Orchard's activation in May 2022, was discovered by an AI-assisted security audit and patched through an emergency network upgrade (NU6.2). This single-event report covers the technical root cause (under-constrained ZK circuit relation), the AI-assisted discovery by researcher Taylor Hornby using Anthropic's Opus 4.8 model, the emergency response timeline, and the broader implications for the ZKP ecosystem.

Crypto Compliance Tools: A Pragmatic Purchasing Guide for VASPs

Crypto Compliance Tools: A Pragmatic Purchasing Guide for VASPs

Procurement framework for VASPs evaluating crypto compliance software. Covers AML controls, wallet screening, KYT, case management, API integration, and cost modeling, with a decision checklist for early-stage, growing, and fully licensed virtual asset service providers.