Back to Blog

Guía de Mitigación de Riesgos DeFi 03: Consejos de Seguridad para Usuarios de DeFi

July 6, 2024
7 min read

Esta serie de artículos, extraídos de la "Edición Especial de Seguridad 05" coeditada por OKX Web3 y BlockSec, aborda las preocupaciones de seguridad que enfrentan los usuarios de DeFi y los equipos de proyectos DeFi.

P1 : Cómo los usuarios desarrollan conciencia de monitoreo al participar en DeFi

Equipo de seguridad de OKX Web3 Wallet : Tomando como ejemplo a los usuarios ballena, ballena se refiere principalmente a inversores individuales o pequeños equipos de instituciones de inversión que manejan grandes volúmenes de fondos, pero que generalmente no cuentan con un equipo de seguridad muy sólido ni con la capacidad de desarrollar herramientas de seguridad propias. Por lo tanto, hasta ahora, la mayoría de las ballenas en realidad carecen de suficiente conciencia sobre los riesgos; de lo contrario, no habrían sufrido pérdidas tan significativas.

Debido al riesgo de pérdidas enormes, algunos usuarios ballena han comenzado conscientemente a depender de una serie de herramientas de seguridad disponibles públicamente para monitorear y detectar riesgos. Actualmente, muchos equipos trabajan en productos de monitoreo, pero la elección es fundamental. A continuación se presentan algunos puntos clave:

En primer lugar, está el costo de uso de la herramienta. Muchas herramientas, aunque muy potentes, requieren programación y no son económicas de usar. No es fácil para los usuarios comprender la estructura del contrato ni siquiera recopilar la dirección.

En segundo lugar, está la precisión. Nadie quiere irse a dormir por la noche con varias alertas seguidas, para luego descubrir que son falsos positivos. Por lo tanto, la precisión también es fundamental.

Por último, está la seguridad. Especialmente con este volumen de fondos, no podemos ignorar los diversos riesgos de seguridad del desarrollo de la herramienta y su equipo. Se dice que el reciente incidente de ataque a Gala Game se debió a la incorporación de un proveedor de servicios externo inseguro. Por lo tanto, un equipo confiable y productos de confianza son esenciales.

Hasta ahora, muchas ballenas también nos han encontrado, y les recomendaremos soluciones profesionales de gestión de activos para que los usuarios ballena puedan garantizar la seguridad de sus fondos y al mismo tiempo tener en cuenta la gestión diaria de fondos, como "minería, retiro y venta", percibir riesgos e incluso retirar fondos en situaciones de emergencia.

P2 : Consejos de seguridad para participar en DeFi y gestionar riesgos de seguridad

Equipo de seguridad de BlockSec : Para los participantes con grandes fondos, la principal preocupación al participar en protocolos DeFi es garantizar la seguridad de su capital, invirtiendo solo después de realizar un estudio exhaustivo de los posibles riesgos de seguridad. Hay varios aspectos a considerar para garantizar la seguridad de los fondos:

En primer lugar, se debe realizar una evaluación multidimensional del énfasis e inversión del equipo del proyecto en seguridad. Esto incluye si el proyecto ha pasado por una auditoría de seguridad exhaustiva, si el equipo del proyecto tiene la capacidad de monitorear los riesgos de seguridad del proyecto y responder automáticamente, y si existe un buen mecanismo de gobernanza comunitaria. Todo esto puede reflejar si el equipo del proyecto coloca la seguridad de los fondos de los usuarios en un lugar importante y si tiene una actitud altamente responsable hacia la seguridad de los fondos de los usuarios.

En segundo lugar, los participantes con grandes fondos también necesitan construir sus propios sistemas de monitoreo de seguridad y respuesta automática. En caso de un incidente de seguridad en el protocolo invertido, los grandes inversores de fondos deben ser capaces de percibir y retirar fondos en el primer momento, para recuperar pérdidas en la medida de lo posible, en lugar de depositar todas sus esperanzas en el equipo del proyecto. Observando los ataques de alto perfil a proyectos como Curve, KyberSwap y Euler Finance en 2023, queda claro que los grandes inversores a menudo pierden las alertas oportunas y carecen de sistemas autosuficientes de monitoreo de seguridad y retiro de emergencia.

Además, los inversores necesitan elegir buenos socios de seguridad para continuar prestando atención a la seguridad de los proyectos invertidos. Cualquier actualización del código del equipo del proyecto, cambios importantes en los parámetros, etc., deben percibirse a tiempo y evaluarse los riesgos. Estas tareas son difíciles de lograr sin la participación de un equipo de seguridad profesional y herramientas especializadas.

Por último, es necesario proteger la seguridad de las claves privadas. Para las cuentas que requieren operaciones frecuentes, es mejor combinar soluciones de multifirma en línea y seguridad de claves privadas fuera de línea para eliminar el riesgo de punto único tras la pérdida de una sola dirección y una sola clave privada.

¿Qué se debe hacer si el proyecto invertido enfrenta riesgos de seguridad?

Se cree que para cualquier ballena e inversor, la primera reacción ante un incidente de seguridad debe ser proteger el capital, y la primera prioridad es retirar los fondos lo más rápido posible. Sin embargo, los atacantes suelen ser muy rápidos y las operaciones manuales a menudo llegan demasiado tarde, por lo que es mejor retirar los fondos automáticamente según el riesgo. Actualmente, nuestra plataforma de monitoreo y bloqueo de ataques Phalcon puede retirar fondos automáticamente después de detectar una transacción de ataque, ayudando a los usuarios a evacuar primero.

En segundo lugar, si hay una pérdida, además de aprender las lecciones, se debe promover activamente que el equipo del proyecto busque la ayuda de empresas de seguridad para rastrear y monitorear los fondos dañados. Con la atención de toda la industria Crypto a la seguridad, la proporción de fondos recuperados está aumentando gradualmente.

Por último, para los tenedores sustanciales, considere contratar empresas de seguridad para auditar toda su cartera de inversiones en busca de vulnerabilidades similares. Muchos ataques provienen de causas raíz comunes, como se vio con el incidente de Compound V2, que tenía paralelismos en otros proyectos. Las empresas de seguridad pueden identificar riesgos en todas sus inversiones, lo que permite una comunicación oportuna con los equipos del proyecto o un retiro estratégico si es necesario.

Equipo de seguridad de OKX Web3 Wallet : Al participar en proyectos DeFi, los usuarios pueden tomar una variedad de medidas para participar de manera más segura, reducir el riesgo de pérdida de fondos y disfrutar de los beneficios que ofrece las finanzas descentralizadas. Desarrollaremos desde dos aspectos: el nivel del usuario y el nivel de OKX Web3 Wallet.

En primer lugar, para los usuarios:

  • 1)Elija proyectos que hayan sido auditados: Priorice los proyectos que hayan sido auditados por empresas de auditoría de terceros reconocidas (como ConsenSys Diligence, Trail of Bits, OpenZeppelin, Quantstamp, ABDK), revise sus informes de auditoría públicos y comprenda los riesgos potenciales y las correcciones de vulnerabilidades.
  • 2)Comprenda el contexto del proyecto y el equipo: Asegure la transparencia y credibilidad del proyecto estudiando el libro blanco del proyecto, el sitio web oficial y los antecedentes del equipo de desarrollo. Preste atención a las actividades del equipo en redes sociales y comunidades de desarrollo para comprender su fortaleza técnica y el apoyo de la comunidad.
  • 3)Diversifique las inversiones: No invierta todos los fondos en un solo proyecto DeFi o activo; la diversificación puede reducir el riesgo. Elija múltiples tipos diferentes de proyectos DeFi, como préstamos, DEX, farming, etc., para diversificar la exposición al riesgo.
  • 4)Pruebe con pequeñas cantidades: Antes de realizar transacciones grandes, primero realice transacciones de prueba pequeñas para garantizar la seguridad de las operaciones y las plataformas.
  • 5)Monitoree cuentas regularmente y gestión de emergencias: Revise regularmente sus cuentas y activos DeFi para detectar transacciones o actividades inusuales de manera oportuna. Use herramientas (como Etherscan) para monitorear los registros de transacciones en cadena y garantizar la seguridad de los activos. Tras detectar anomalías, tome medidas de emergencia a tiempo, como revocar todas las autorizaciones de la cuenta, contactar al equipo de seguridad de la billetera para obtener soporte, etc.
  • 6)Tenga precaución con nuevos proyectos: Mantenga una actitud cautelosa hacia los proyectos que acaban de lanzarse o no están verificados. Puede invertir primero una pequeña cantidad de fondos para realizar pruebas y observar su funcionamiento y seguridad.
  • 7)Use billeteras Web3 principales para las transacciones: Use únicamente billeteras Web3 principales para interactuar con proyectos DeFi, ya que estas proporcionan una mejor protección de seguridad.
  • 8)Protéjase contra ataques de phishing: Tenga precaución al hacer clic en enlaces desconocidos y correos electrónicos de fuentes desconocidas, no ingrese claves privadas o frases mnemónicas en sitios web no confiables, y asegúrese de que los enlaces que visita sean sitios web oficiales. Use canales oficiales para descargar billeteras y aplicaciones y garantizar la autenticidad del software.

En segundo lugar, desde la perspectiva de OKX Web3 Wallet:

Proporcionamos muchos mecanismos de seguridad para proteger la seguridad de los fondos de los usuarios:

  • 1)Detección de dominios de riesgo: Cuando los usuarios acceden a DAPPs, OKX Web3 Wallet detectará y analizará a nivel de dominio. Si los usuarios acceden a DAPPs maliciosas, las interceptará o les recordará para evitar que los usuarios sean engañados.

  • 2)Detección de Token Honeypot: OKX Web3 Wallet admite la detección integral de Token Honeypot, bloqueando proactivamente estos tokens dentro de la billetera para evitar que los usuarios interactúen con ellos.

  • 3)Biblioteca de etiquetas de direcciones: OKX Web3 Wallet ofrece una biblioteca de etiquetas de direcciones rica y completa, que proporciona alertas oportunas a los usuarios cuando interactúan con direcciones sospechosas.

  • 4)Pre-ejecución de transacciones: Antes de que se envíe cualquier transacción, OKX Web3 Wallet simula la ejecución de la transacción y muestra los cambios en los activos y autorizaciones para referencia del usuario. Los usuarios pueden juzgar si los resultados cumplen con sus expectativas y decidir si continuar con la transacción en base a esta información.

  • 5)Integración de aplicaciones DeFi: OKX Web3 Wallet ha integrado servicios de varios proyectos DeFi principales, lo que permite a los usuarios interactuar con confianza con estos proyectos DeFi integrados. Además, OKX Web3 Wallet proporciona recomendaciones de rutas para DEX, puentes entre cadenas y otros servicios DeFi para ofrecer a los usuarios los mejores servicios DeFi y soluciones de gas óptimas.

  • 6)Servicios de seguridad adicionales: OKX Web3 Wallet está agregando progresivamente más funciones de seguridad y desarrollando servicios avanzados de protección de seguridad para garantizar de manera mejor y más eficiente la seguridad de los usuarios de la billetera OKX.

Sign up for the latest updates
OFAC錫納羅亞卡特爾制裁:鏈上資金追蹤

OFAC錫納羅亞卡特爾制裁:鏈上資金追蹤

OFAC制裁了一個為錫納羅亞販毒集團洗錢芬太尼收益的網絡。我們使用MetaSleuth追蹤了六個被制裁地址的鏈上活動,發現資金幾乎全部流經中心化交易所的充值地址。

Zcash Orchard 健全性漏洞分析 | BlockSec 週報
Security Insights

Zcash Orchard 健全性漏洞分析 | BlockSec 週報

2026年6月1日當週,Zcash Orchard隱私池電路被公開披露存在嚴重健全性漏洞。該漏洞由halo2 ECC標量乘法組件缺少等式約束引起,可能導致透過雙重支付在Orchard池中無法被偵測地偽造ZEC。此漏洞自2022年5月Orchard啟用以來已存在逾四年,由研究員Taylor Hornby使用Anthropic Opus 4.8模型進行AI輔助安全審計時發現,並透過緊急網路升級(NU6.2)修補。本報告涵蓋技術根本原因、AI輔助發現過程、緊急應對時間軸及對ZKP生態系統的影響。

區塊鏈合規平台架構:2026年虛擬資產服務提供商監管指南

區塊鏈合規平台架構:2026年虛擬資產服務提供商監管指南

2026年虛擬資產服務商區塊鏈合規平台架構指南。涵蓋即時交易監控、鏈上風險評分、地址標記、可疑活動報告自動化、多司法管轄區規則支援及供應商評估標準。