July 15, 2022

Как в моменте потерять все свои деньги?

Прочитал заголовок? Наверняка ты убежден, что подобная участь всегда будет обходить тебя стороной... Думаю все, кто просыпались и внезапно видели нули на своих кошельках, тоже так думали :) Причины потерь могут быть разными: биржа заблокрировала аккаунт или хакеры стырили всю крипту, взломав твой Metamask и т.д. И вот для того чтобы ты, мой любимый подписчик, никогда не сталкивался с внезапной потерей всех своих денежных средств, я и написал этот мини-гайд. Обязательно дочитай статью до конца (если конечно хочешь быть уверенным в безопасности своих сбережений). Let's go

(Не забудь подписаться на мой канал Alpha ONE)

Холодные кошельки

Естественно, hard wallets считаются самым безопасным способом хранения крипты. Но! Наверняка ты слышал о Ledger, который многие считают самым удобным и безопасным кошельком. А вот и фиг там плавал. Жулики спокойно заберут твои деньги и оттуда.

ledger воткнули в черный песок, типо красиво

Во-первых, из очевидного, ты можешь наткнуться на паленный Ledger, если закажешь его черт пойми где. Как тырят миллионы... Приходят на ДР к своим криптанам друзьям, дарят паленный леджер, а потом забирают оттуда все деньги. Но сейчас не об этом...

!!! EthClipper атака !!!

Разработчики холодных кошельков в один голос твердят, что при подключении кошелька даже к зараженному вирусами компу украсть твою крипту не получится никак. Не тут-то было... Итак, представим, что тебе нужно перекинуть крипту, например, с Ledger на свой же Бинанс. Ты скопировал свой кошель с бинанса, вставил его в интерфейс, подтвердил на леджере транзу и сидишь ждешь, пока деньги появятся на бирже. Вот, кстати, как выглядят интерфейсы разных Hard Walets в момент подтверждения транзы

интерфейсы

Ты ждешь, ждешь, а крипта так не приходит и не приходит.. И вроде транзакция в блокчейне уже подтверждена, но на балансе ничего так и не появляется. Не хочу тебя расстраивать, бро, но там ничего и не появятся ;) Твои деньги сперли. Как? Пока что просто взгляни на картинку ниже и постарайся что-нибудь понять)

Картина маслом: как ты прощаешься со своими деньгами

Короче... Сначала ты ловишь на свой комп вирус, который можно зашифровать даже в обычную .pdf-ку. Он у тебя сидит на компе и ждет нужного момента. Как только ты собираешься переводить куда-то крипту, в 99% случаев ты должен откуда-то скопировать адрес получателя. Не будешь же ты адрес кошелька, состоящий из 20548 символов вручную писать. Вирусня видит, что в буфере обмена у тебя чей-то крипто-кошелек. За доли секунды делает запрос в ClipperCloud (там собрано огромное кол-во кошельков мошенников) и ищет в заранее собранной базе максимально похожий визуально кошель. Как правило, достаточно чтобы первые и последние 4-5 символов совпадали с твоим реальным кошельком (шанс что ты спалишь 1%). Далее происходит подмен буфера обмена, и получается так, что ты вставляешь номер совсем другого кошелька. Ну и наконец, ничего не подозревая, делаешь аппрув транзы в леджере и все... деньги ушли к мошенникам.

Социальная инженерия

Резко переходим к одному из супердейственных способов заставить тебя скачать ту самую pdf-ку с вирусней... к социальной инженерии.

понял, что ты ничего не понял. читай дальше

Предствь, что ты обычный офисный работник, бухгалтер в небольшой компании, который в свободное время подторговывает криптой и мечтает о лучшей жизни. Но в один момент, во всех соцсетях тебя начинает кибербуллить какой-то ноунейм человек. Оставлять негативные комментарии, всячески поддевать тебя, делать обидно, писать в лс всякие гадости, оскорблять и т.д. Казалось бы, легко избавиться от такого типа, просто заблокировать или не обращать внимание. Но нет, он создает новые аккаунты, он уже знает твой номер телефона и спамит тебе в мессенджеры. Знает твой адрес, заказывает тебе в гости всяких курьеров поздно вечером. Короче жить спокойно не дает, и ты ничего не можешь с этим сделать. И вот, ты уже не знаешь куда деться. Не можешь спокойно работать, отдыхать. Организм эмоционально истощен. И вдруг тебе пишет другой чел, который тоже столкнулся с подобным кибербуллингом. Сперва он также, как и ты не мог ничего сделать с этим, но потом нашел решение. Вы переписываетесь на общую тему, общаетесь, он помогает тебе избавиться от того самого назойливого типа, между вами происходит коннект, ресурс доверия увеличивается. Он тебе отправляет pdf-ку, а ты загружаешь ее на комп, открываешь, читаешь и через неделю теряешь свои битки.

Пример немного странный, но в любом случае, чтобы не попасться на уловки соц.инженера — надо мылсить как соц.инженер. Да и вообще, подобные навыки будут полезны во всех аспектах жизни. Поэтому вот тебе ссылка на гитхаб, там куча материала на эту тему, советую изучить.

опять какие-то иероглифы. ссыль на матеирал ниже

Рекомендую также изучить этот материал, в котором описывается как можно использовать соц.инженерию для взлома смарт-контрактов.

Некастодиальные кошельки (Metamask, Trust Wallet и др)

И снова резкий переход. С холодными кошельками разобрались, поговорим о способах стырить бабос с некастодиальных кошельков.

  • Подключение приложений(сайтов) с излишними разрешениями на использование средств
  • Дискредитация сид-фразы
  • Вредоносный смарт-контракт (который устанавливает неограниченный лимит расходов)
  • Уведомление о фальшивой неудачной транзакции (вследствие переподписание контракта, но уже мошеннического)
  • Поддельные токены при покупках на DeFi площадках
  • Эксплойты расширений браузеров (которые получают возможность управлять другими расширениями, т.е MetaMask-ом, например)

Вот, собственно, самые частые причины потери денег. Честно говоря, не особо хочу останавливаться, т.к изо всех щелей лезет огромная масса информации о том, как крадут крипту с метамаска. Думаю, здесь итак все понятно. Главное быть внимательным и не пытаться с основного кошелька, на котором лежат миллионы, делать аппрувы на всех подряд сайтах, раскрывать свою сид-фразу и тд.

Централизованные биржи

А вот здесь уже все намного интереснее.

Во-первых, любая биржа может внезапно попросить пройти дополнительные проверки, KYC и тд. А после чего может посчитать твой аккаунт подозрительным и заблокировать вывод, пока не предоставишь разъяснения, откуда на балансе средства. Уже данный факт может многих сподвигнуть на полный отказ от использования централизованных бирж, по типу Binance, Coinbase, ByBit и др.

Если говорить про мошенников, то у них тоже немало способов получить доступ к твоему аккаунту и вывести оттуда все средства.

Например, подмена SIM-карты является одним из самых популярных. Сделать SIM Jack и получить СМС для входа на твой аккаунт на бирже не самая сложная задача для продвинутых хакеров. Пароль можно сбрутить или, если ты используешь один и тот же пароль на всех подряд сайтах и сервисов, просто найти его. Почту также несложно откопать. А если шаришь за OSINT (вот тебе видеогайд на 4 часа), то проблем с поиском инфы вообще не возникнет. Кстати, лови еще сервис HavelBeenPwned, через который можно проверить есть ли твой email где-то в общем доступе или нет.

Также всегда присутствует риск словить кейлоггер к себе на комп. Для тех кто в танке, это вирусняк, который считывает нажатия клавиш. То есть все логины и пароли, которые ты будешь вбивать через клавиатуру на бинанс окажутся у мошенников.

Кейлоггер это еще пол беды. Спокойно могут закинуть софтину, которая будет делать запись экрана и тырить не только логины/пароли, но и всякие фотки, видео, другие личные данные и тд.

Часто бывает, что сид фразы или логин-пароль фотографируют на айфон или закидывают в заметки на айфоне. При этом у человека включена автоматическая синхронизация с iCloud, для взлома которого требуется лишь почта и пароль... Как ты уже понимаешь, для про-хакеров это вообще не проблема. С Google диском и Google документами такая же песня.

Ладно, в общем, способов много. Перейдем к главному

Как же себя обезопасить от потери средств

  1. Для начала прочитай вот эти 25 пунктов, вникая в каждый.
  2. Не забывай, что blockchain.info, TrustWallet, MetaMask и другие некастодиальные кошельки - это всего лишь интерфейсы.
  3. Насчет холодных кошельков. Лично я не доверяю Ledger и Trezor. Есть хардкорная версия BitLox Ultimate, которая буквально напичкана функциями безопасности, пропускает трафик через Tor и имеет несколько уровней шифрования.
  4. Если собираешься хранить миллиарды, сделай холодный кошелек самостоятельно. Например, из старого смартфона. Можно сделать холодный кошелек с помощью Electrum и пустить весь трафик через Tor.
  5. Всегда проверяй контракт перед подписанием. Не аппрувнешь ли ты безлимитное списание крипты с кошелька и тд. Лучше вообще не используй основной кошелек для подписания чего-либо, создавай под это отдельные кошельки и закидывай туда небольшие суммы.
  6. Не допускай физического попадания устройства с кошельками в руки злоумышленников. Или, как минимум, зашифровывай диски с помощью VeraCrypt
  7. Всегда дважды проверяй адрес, который ты скопировал в буфер обмена. Clipper ошибки не прощает.
  8. Будь в курсе современных методов атак. Вот тебе актуальный материал https://arxiv.org/pdf/2106.10740.pdf https://arxiv.org/pdf/2103.02873.pdf https://arxiv.org/pdf/2109.06836.pdf https://arxiv.org/pdf/2203.02662.pdf https://arxiv.org/pdf/2111.08893.pdf https://arxiv.org/pdf/2204.01487.pdf
  9. Юзай OpenSource хранилище паролей и OpSec сервисы. Будь в курсе последних технологий анонимности и конфиденциальности.
  10. Самое простое — купи себе Mac. Ведь 99% краж через вредоносный софт приходится именно на Windows.

Берегите себя и своих близких! До свидания :)

Подписывайся на мой канал, чтобы не пропускать новые статьи — https://t.me/a1_nft