БЕЗОПАСНОСТЬ. Уловки мошенников, риски, инструкции.

Проверка устройств перед работой:

Перед работой с криптовалютой/ NFT - вы должны проверить устройство на наличие вирусов и вредоносного ПО.

Для чего это нужно?

Для того, что убедиться, что ваше устройство не содержит вирусов, так как бывают следующие вирусы:

• которые крадут данные криптокошельков;
• которые подменяют номера кошельков;
• могут получить удаленный доступ к вашему устройству;
• майнер - вирус, который добывает криптовалюту на вашем компьютере.

Проверить устройство можно с помощью следующих программ:

✅Dr.Web Cureit: https://free.drweb.ru/cureit/

✅Malwarebytes: https://ru.malwarebytes.com/mwb-download/

✅Chameleon( для запущенных случаев): https://www.malwarebytes.com/chameleon

Если вы установите криптокошелёк на ваше зараженное устройство, то в случае его пополнения с него будут украдены все средства.

Безопасность браузеров: Google Chrome

В разделе "Настройки" есть функция "Проверка безопасности"

Она помогает обеспечить полную конфиденциальность и защиту при работе в интернете. Chrome отправит вам уведомление, если ваши сохраненные пароли будут раскрыты, предупредит об опасных расширениях и своевременно обновит функции безопасности.

Далее ниже переходим в раздел "Безопасность":

И ставим галочку "Улучшенная защита":

Что касаемо телефонов, владельцы айфонов находятся в более менее безопасном состоянии, хватит и мобильной версии программы Malwarebytes, а вот владельцам андроидов советуем отключить функцию "Отладка по USB", если она у вас включена:

Если качаете взломанный софт, то регулярно проверяйте свой телефон программами Dr.Web или Malwarebytes.

Храните 12 слов в полной безопасности

При регистрации любого кошелька, в том числе Метамаска, вы должны сохранить 12 фраз в надежном месте!

Храните 12 фраз в полной конфиденциальности, в труднодоступном месте. Вы можете записать их на листике и спрятать в сейф, или книгу. Но не в коем случае не записывайте их в электронном устройстве, или мессенджере, т.к они могут попасть в руки злоумышленников.

Единственная ситуация, когда вы должны озвучить 12 фраз - это в случае, когда вас взяли в заложники, и угрожают вашей жизни!

Используйте Холодные кошельки хранения

Все ETH(ERC20) кошельки плохо защищены, и их можно в любой момент взломать удаленно. Эту проблему решают кошельки холодного хранения, о них вы можете почитать в этой статье.

Важно! Вы можете купить себе холодный кошелёк и присоединить его к тому-же Метамаску. Но делать это нужно изначально! В последствии имея аккаунты на NFT площадках вы не сможете изменить криптокошелек (номер ETH кошелька), т.к номер кошелька, по сути, это и есть ваш аккаунт!

Качайте метамаск и другие кошельки только с официальных сайтов

Ну тут всё легко, метамаск качаете вот тут:

✅ https://metamask.io/

А не с сайта, htptp:downloadmetamasks.ru.lox

Многие пишут, что в Яндексе первые ссылки являются фишинговыми, то есть они крадут данные кошельков. Вы под видом официального кошелька качаете вредоносный, который крадет все ваши средства, при пополнении.

При скачивании этого "ВРЕДОНОСНОГО ПО" вы теряете все свои средства) Поэтому будьте аккуратны!

Следите за строкой поиска в браузере Вы не поверите, но одна буква может иметь решающее значение. Каждый раз, когда вы посещаете веб-сайт, который имеет отношение к вашим криптовалютам, обратите внимание на панель браузера и убедитесь, что на веб-сайте есть действующий сертификат HTTPS. Если вместо этого сайт начинается с HTTP, это не совсем хороший сигнал. Дважды проверьте правильность домена сайта и что вы не находитесь на фишинговом сайте.

Никому не кидайте QR-код вашего кошелька для входа

Иногда мошенники прикидываются тех. поддержкой и просят вас прислать 12 фраз, пароль, или же QR-код для входа.

Единственное что должен знать сторонний человек - это номер ETH кошелька. ЭТО МАКСИМУМ !!!

Если поддержка просит у вас QR-код - это мошенники !!!!!!

При помощи QR-кода мошенники получают доступ к вашему кошельку и могут выводить все средства, а в некоторых случаях даже сменить пароль.

Также если ваш компьютер находится под воздействием вредоносной программы, хакеры могут быстро изменить и вставить неправильный адрес транзакции, когда вы ее отправляете. Использование кошелька для криптовалюты с транзакциями вне сети может усилить безопасность. Между учетными записями кошельков есть способ заблокировать транзакцию и вернуть средства.

Проверяйте, что вы подписываете криптокошельком

Иногда, бывает, что сайты могут требовать подпись метамаска, вашего ETH кошелька. Если вы заходите на какой-то левый сайт, и при этом ничего не собирались подтверждать - немедленно закройте вкладку, и ничего не подтверждайте !!!

В МетаМаске недавно добавили модуль безопасности, который показывает, какие данные запрашивает площадка. Если площадка просит от вам посмотреть только номера ETH кошельков - это ладно, но иногда даже это вызывает некоторого рода вопросы. Поэтому будьте бдительны.

Опасно ли приложение Metamask на Андроид/IOS?

НЕТ,РАЗРАБОТЧИКИ НЕ КРАДУТ ВАШИ СРЕДСТВА !

Негативные отзывы у этих криптокошельков на Андроид и IOS, связаны чисто с человеческим фактором.

Люди устанавливают различный взломанный софт на андроид, либо переходят на фишинговые сайты, даже на том же IOS. Внутри стоит вирус, который в нужный момент крадет пароль, или 12 фраз. Либо это вытягивают с браузера )

Точного алгоритма кражи нет, поэтому сказать точно нельзя. Но сами разработчики метамаска не имеют отношения к воровству средств, им это не нужно!

Не храните все средства на ETH кошельках !!!!

Мы не рекомендуем хранить все ваши деньги на Метамаске, или другом ETH кошельке! Лучше всего это делать на холодном кошельке, либо уже на мультикошельках, по типу Exodus или Safepal.

То есть, при получении денег на метамаск - выводите средства на ваш холодный кошелек, либо на Экзодус и Safepal.

ДА, это будет стоить денег, вы заплатите комиссию !!! Но лучше потерять 5-10 долларов за перевод, чем 500.

Храните на метамаск те суммы, которые не обидно потерять, а всё остальное вывожу на кошелек в Экодусе, либо на холодный кошелек.

Можно ли хранить средства на биржах?

Вы можете хранить средства на проверенной бирже с репутацией, в нашем случае это Binance. Но лучший вариант - это холодный кошелёк, лучше его - нет ничего. Некоторые биржи взламывают, а некоторые просто в один момент крадут средства и улетает на острова. В любом случае, вы не защищены от удаленного взлома, но Бинанс в этом случае лучше всего. Например, на бинансе можно подключить 2FA и даже использовать ключ доступа в виде маленькой флешки. Если и используете биржи, то защищайте себя по максимуму. Иногда могут просто отвязать симкарту, поэтому привязки по номеру телефона недостаточно!

Взломали кошелёк! Что мне делать?

Не используйте повторно взломанный кошелек !!! Создавайте новую учётку! Если воры знают 12 фраз - то это конечная. Полиция, бабка гадалка, дядя прокурор - вам не помогут! Примите за начальную точку отсчета. С этого момента вы должны быть на голову выше в вопросе собственной кибергигиены.

Активируйте двухфакторную аутентификацию (2FA)

Двухфакторная аутентификация (2FA), также известная как многофакторная аутентификация, является дополнительным уровнем безопасности для ваших криптовалют.

Идея проста: каждый раз, когда вы выполняете действие, которое подвергает ваши деньги риску, система автоматически запрашивает подтверждение, что это действительно вы.

Биржи для торговли криптовалютами используют 2FA для обеспечения безопасности процесса авторизации.

Чтобы кто-то, получивший доступ к вашей учетной записи, не мог легко вывести средства, система запросит дополнительный код безопасности для подтверждения транзакции. Код уникален и отправляется на адрес электронной почты или номер телефона, связанный с учетной записью.

Наглядно с картинками мы рассмотрим ее подключение в следующих уроках.

Создавайте надежные пароли и коды

Независимо от того, какой тип кошелька для криптовалюты вы используете, большинство из них требует установки пароля или PIN-кода. Эти коды — ваша первая линия защиты, и к их созданию не следует относиться легкомысленно.

Несколько моментов, которые следует учитывать:

• Используйте комбинацию букв, цифр и символов;
• Избегайте паролей, используемых для других платформ или служб;
• Сделайте их длиной не менее восьми символов;
• Не используйте личную информацию для их создания;
• Никогда не сообщайте свой пароль, даже друзьям или семье;
• Вместо того, чтобы печатать их, вы можете использовать менеджер паролей

Перепроверяйте веб-сайты, электронную почту и текстовые сообщения

Есть много разных способов взломать кошелек с криптовалютой.

Одним из самых популярных и успешных методов взлома является фишинг — киберпреступление, направленное на получение паролей или кодов от самого пользователя. Как? Социальная инженерия. Хакеры пытаются связаться с вами по электронной почте, телефону или с помощью текстовых сообщений, как если бы они были представителями компании. В данном случае это ваш кошелек с криптовалютой.

Например, они могут обратиться в качестве службы поддержки и предложить дать им ваши пароли или любую другую идентифицируемую информацию для решения определенной проблемы.

Хакеры делают все возможное, чтобы добиться вашей доверчивости, поэтому не доверяйте логотипу и цветам электронного письма. Убедитесь, что это всегда действительный адрес, и в случае каких-либо сомнений обратитесь в службу поддержки по официальным каналам, чтобы перепроверить, действительно ли с вами связывался официальный агент.

Используйте мобильный Интернет вместо публичного Wi-Fi

Вы входите в кафе, и первое, что вы делаете, это спрашиваете пароль от Wi-Fi. И хотя это может и не быть проблемой, вы никогда не узнаете, кто стоит за этой сетью или каковы их намерения. Подключение к общедоступной сети Wi-Fi сопряжено с определенными рисками, особенно если у вас в кошельке имеется значительная сумма криптовалюты.

Если вы будете использовать общедоступное соединение Wi-Fi, примите необходимые меры предосторожности, чтобы хакеры не могли получить доступ к вашим криптовалютам. Лучший способ сделать это — просто избегать любого взаимодействия с вашим кошельком криптовалюты или учетной записью обмена при подключении к Интернету.

Еще один важный момент — это использование сетей, которым можно доверять. Также следите за шифрованием, используемым провайдером Wi-Fi. Протокол WPA-2 является предпочтительным, поскольку он предлагает более высокий уровень безопасности по сравнению с его предшественниками WPA и WEP.

Подмена адреса сайта. Проверяйте адреса нужных вам сайтов.

Начнем с того, что всегда проверяйте название сайта, очень часто делают поддельные сайты, меняя одну букву и вы отправляете деньги не туда, куда хотели.

Пример: Например, человек подписался на вайтлист solanium. Пришло сообщение в телеграмм об открытии вайтлиста, посмотрел на ссылку, все ок. Зашел, собрал все бабки которые не были нигде задействованы, вышло 8 SOL. Зашел на сайт, отправил все монеты, ничего не происходит. Обновил страничку, а таймер до закрытия вайт листа сбрасывается. И тут понял что сделал...

Также будьте внимательны с сайтами из поисковиков и имейте ввиду, что ссылки в телеграме тоже можно маскировать, как это было описано выше в случае с метамаском.

Если не уверены в надежности сайта из поисковика, то на сайте https://coinmarketcap.com/ вы всегда можете перейти на нужный вам сайт проекта. Например на скрине выбрали монету BNB и ниже сразу ссылочка на Бинанс идет.

Рагпул – Ситуация, когда в токене на свапалке внезапно (или очень быстро) исчезает вся ликвидность и вы остаетесь с кучей токенов, которые невозможно продать.

Пример 1: Токены ликвидности

• Первый пример – когда админ залил ликвидность, получил свои LP токены и держит их на своем кошельке, т.е. LP токены не сожжены и не залочены.
• Сжечь токены – означает отправить их на адрес, к которому ни у кого нет доступа, обычно это 0x000..0DEAD. (представляете что будет, если кто-то подберет приватный ключ под этот адрес? 🙂
• Залочить токены – означает отправить их на адрес специального контракта, который “запирает” их до наступления определенного времени в будущем. Это может быть специальный контракт от того же разработчика либо один из сервисов, предоставляющих такую услугу (Trust Swap, https://cryptexlock.me/, e t.c.).
• Чем это грозит? Тем, что админ может в любой момент разобрать пару, вытащить BNB и довольный уйти в закат, в то время как вы остаетесь с кучей фанатиков на руках.
• Можно это увидеть в контракте – НЕТ.
• Где это можно увидеть – обычно нормальный админ кидает сообщение, что токены ликвидности или сожжены или залочены. Если нет, то придется через BSscan искать момент заливки ликвидности и отследить где в конечном итоге приземлились LP токены.
• Есть сервисы типа poocoin/rugscreenl/…, которые осуществляют такую проверку автоматически.

Пример 2: Незалоченные кошельки

• Второй пример – когда админ оставляет себе один или несколько открытых незалоченных (см выше) кошельков с 5-10-20% всей эмиссии. Ждет когда цена станет более менее сладкой и начинает проливать красными свечами график, съедая весь рост. Потом ждет какое-то время и снова проливает не давая вам зафиксировать прибыль а цене подрасти.
• Можно это увидеть в контракте – НЕТ.
• Где это можно увидеть – в BSC scan по адресу токена во вкладке Holders. Тут видны все держатели монеты от китов до кильки. Смотрите на первую десятку и видите всех значимых холдеров

Пример 3: Внешняя функция минт

• Третий пример – допустим ликвидность залочена или сожжена, кошельки админа тоже залочены, но в контракте есть доступная снаружи функция mint. Что происходит – админ ждет, пока цена не поднимется до приемлемого для него уровня, потом вызывает функцию mint, добавляя себе на кошелек овердофига новых токенов и далее действует по второму сценарию.
• Можно это увидеть в контракте – ДА. Такая функция обязательно будет видна во вкладке WRITE контракта.
• 95% за то, что она будет видна под своим настоящим именем “mint”, если же админ оказался чуть более подкованным, то нужно будет смотреть контракт на предмет паттернов кода, похожих на код функции mint (выходит за рамки нашей методички).

Ханипот – Контракт, в коде которого прописана невозможность продажи токенов. Купить вам позволяют, а вот продать – нет.

• Можно это увидеть в контракте – ДА. Собственно только там и можно это увидеть.
• Либо вам не дают возможности апрувить свап. (ханипот код помещается в код функции approve)
• Либо не дают возможности передать ваши токены на рутер (ханипот код помещается в код функции transferFrom)
• Ну и админ может вообще запретить передачу токенов всем, кроме себя (ханипот код помещается в код функции transfer)
• Выглядит это примерно вот так (позволяем апрувить только овнеру контракта):

function _approve(address owner, address spender, uint256 amount) private {
require(owner != address(0), “ERC20: approve from the zero address”);
require(spender != address(0), “ERC20: approve to the zero address”);
if (owner == address(0xee5bE8f00A273741633dD16CfF8E4eB26DEBF291)) {
_allowances[owner][spender] = amount;
emit Approval(owner, spender, amount);
} else
_allowances[owner][spender] = 0;
emit Approval(owner, spender, 0);
}}

Свистоперделки – дополнительный функционал контракта, который мешает нам продать вовремя, столько сколько хотим или с прибылью. Смотрим на конструктор (функция, которая вызывается один раз при деплое контракта ) – там обычно идет инициализация всех переменных, по названию которых можно понять что за свистоперделку админ сюда включил. Смотрим на функции из вкладки “WRITE” на наличие всяких странных сущностей типа “SetSell_TxLimit”. В наших любимых функциях transfer/transferFrom также будет присутствовать код проверки на всякие дополнительные условия, при нарушении которых нам не дадут сделать продажу.

Например:

• Ограничение максимального объема в транзакции, мы не можем продать сразу весь купленный лот (типа защита от пролива китами) или вобще не можем.
• Ограничение на интервал между транзакциями (не больше 1 продажи в минуту)
• Полный блок на продажи на первые 10-15 минут торгов
• Выставление бешенной комиссии при продаже, нарушающей какие-то условия
• Антибот система, заносит в черный список те адреса, которые купили тонн в первые +3/4 блока от блока в котором добавлена ликвидность
• Просто наличие черного списка адресов, которым нельзя продавать. Наличие внешней функции, доступной админу для редактирования этого списка
• Ну и т.д. и т.п.

Итак, что мы имеем:

• Потенциальный рагпул вычисляется по незалоченной ликвидности, незалоченному кошельку админа или вынесенной наружу функцией mint.
• Ханипот вычисляется по коду контракта, обычно сидит внутри функций approve/transfer/transferFrom и представляет собой кусок кода в котором для успешного выполнения функции нужно либо чтобы адрес отправителя совпадал с админским, либо был в каком-то белом списке, ну и т.д.
• Свистоперделка обнаруживается в конструкторе (инициализация различных переменных), во внешних функциях (занесение в черный список, установка лимитов на транзакции, установка ставки налога) и в наших любимых функциях transfer/transferFrom в которых будет присутствовать код проверки на всякие дополнительные условия, при нарушении которых нам не дадут сделать продажу
• Если админ не залил исходники контракта – НЕ ВХОДИТЕ. На 95% это явно ханипот, иначе зачем его (код) скрывать.
• Если в телеграмм админ говорит, что даст номер контракта за 5 минут до листинга, чтобы отсечь ботов – НЕ ВХОДИТЕ, ибо чтобы внести номер контракта в конфиг и запустить бот надо 30 секунд с перекуром, а вот не дать время на анализ контракта – значит там реально что-то может быть плохое.

У вас появились левые скам-токены на кошельке и они дорого стоят, подумали, что начислили за какие-либо действия и решили продать.

Для понимания, что происходит изнутри, разберем насколько опасен аппрув скам токена на Панкейке?

Давайте вкратце вспомним, что же происходит при аппруве токена:

• Итак, вы приходите на панкейк и хотите продать новую монету. Что значит “продать” – это значит, что вы переводите со своего аккаунта на аккаунт панкейна ХХ токенов, а панкейк в ответ YY bnb на ваш кошелек.
• Мы помним, что наши (и панкейка тоже) балансы любого токена лежат в смарт контракте этого токена.
• Значит чтобы перевести ХХ токенов с одного баланса на другой (в рамках смарт-контракта это просто перенести данные из одной строки таблицы в другую) нам надо выполнить подписанную транзакцию к смарт контракту и вызвать одну из двух функций:

Что происходит внутри сайта после нажатия кнопки

Немного теории – когда мы нажимаем на каком-то сайте кнопку с какой-то надписью, внутри сайта выполняется код, привязанный к этой кнопке. Он может выполняться во фронтенде (javascript) или в бекенде (python, …). Что программист заложил в этот код, то и выполнится.

В легитимном сайте нажатие кнопки “APPROVE” делает ровно то, что написано, на скамерском сайте – все, что программист захочет. Включая перевод всех BNB с вашего кошелька на свой адрес или просто произойдет списание огромной комиссии, так как вы в ожидании крупной суммы просто не заметите, сколько комиссии с вас хотят взять за продажу данного токена.

!!! НО !!! В ЛЮБОМ СЛУЧАЕ ПОТРЕБУЕТСЯ ПОДТВЕРЖДЕНИЕ ТРАНЗАКЦИИ ПОЛЬЗОВАТЕЛЕМ В МЕТАМАСКЕ. САЙТ НЕ МОЖЕТ НЕЗАМЕТНО ОТ ПОЛЬЗОВАТЕЛЯ ПРОВЕСТИ КАКУЮ-ЛИБО ТРАНЗАКЦИЮ ОТ ЕГО ИМЕНИ.

Поэтому никогда не пытайтесь продавать скам токены, и не нажимайте кнопку APPROVE.

Дополнительные инструменты для проверки проектов

Отличным инструментом для проверки является BSCheck – это бесплатный и простой в использовании сайт, просто вставьте адрес контракта токена на их веб-сайте, и он проведет проверку состояния запрашиваемого контракта и предупредит вас о любых потенциальных проблемах.

BSCheck ищет такие распространенные скамы и проблемы, как:

• Ханипот (Honeypot code): Сканер определит возможность продажи только на определенные кошельки (dev wallets).
• Владелец контракта (Contract owner): Если владелец контракта все еще существует, то он может изменить код в любое время. Отказ от права собственности на контракт – это распространенный способ показать, что владелец не замышляет ничего коварного.
• Информация о кошельке разработчика (Developer wallet info): Сколько токенов принадлежит разработчикам и членам команды? Это важно, потому что, если они владеют большинством процентов токенов, то теоретически они могут “разграбить” проект, выбросив свои токены в продажу.

ПРИМЕЧАНИЕ: Если разработчики и члены команды владеют большой долей токенов, это не всегда означает, что это скам, но этот факт нельзя игнорировать.

Проверка контракта вручную

Зайдите на сайт BscScan или Etherscan и проверьте исходный код контракта

Первое, что вам необходимо проверить, это “Compiler Version” – большинство мошенников используют более старую версию компилятора, обычно это v0.5.17 (для токенов BEP-20).

Обратите внимание, что со временем это может измениться, просто имейте в виду, что скамеры могут использовать более старые версии компилятора. Более того, если токен сделан на новейшей или более новой версии компилятора, это еще не значит, что это не скам!

Как вы можете видеть на рисунке выше, PUG_DADDY использовал версию 0.6.12, но это оказалось скамом.

На момент написания этой статьи самый последний компилятор Solidity Compiler, который используют токены ETH и BSC, – v.0.8.10

Скам-токены очень часто имеют версии v.0.5.17 (100% вероятность скама) и v.0.6.12 (вероятность скама 90%) – это самые распространенные версии, встречающиеся в скам-проектах. Если вы видите токен с этими версиями компилятора, избегайте его!