Всё, что нужно знать о безопасности в крипте.
Вместе с ростом крипто-рынка увеличивается и число взломов...
Оглавление:
1. База по безопасности
2. Виды скама и способы защиты
3. Сервисы-помощники
Только в 2022 году хакеры угнали более $3,8 миллиардов из Defi сектора. А сколько, помимо этого, средств было украдено у обычных пользователей - вопрос, на который невозможно дать точный ответ.
Но к чему эти догадки? Куда лучше потратить свое время на создание безопасной системы, которая поможет вам спать спокойнее)
Сразу хотим отметить, что неважно сколько у вас сейчас денег в крипте. Над безопасностью стоит заморочиться всем и каждому, ведь буквально завтра ваш банк может вырасти в 10 раз. А через час после этого - снова вернуться к текущим значениям. Просто потому что вы пренебрегли своей защитой.
А ведь это самое обидное - терять средства, заработанные собственным трудом...
Ниже собран чеклист из пунктов, которые стоит рассматривать в представленной последовательности. Пойдем от простого к сложному:
1. База по безопасности
Хранение крипты
Как вы знаете, криптовалюту можно хранить либо на кошельке, либо же на бирже. Давайте сразу уясним, что пока ваши деньги находятся на бирже - они не принадлежат вам. Это равносильно любому привычному банку - он может заблокировать вам счет, просто обанкротиться, ну или на худой конец - подвергнуться хакерской атаке.
Несомненно, биржи прикладывают огромные усилия для обеспечения безопасности. Однако этого явно недостаточно, чтобы вы, как конечный пользователь, могли им полностью довериться.
Храните здесь не больше 10-20% вашего депозита на случай быстрых сделок.
Обязательно установите всевозможные методы защиты, вроде Google Authenticator и подтверждения по номеру телефона!
Большую же часть ваших средств лучше всего хранить на крипто-кошельке. Так ваши деньги по-настоящему будут принадлежать вам. Если кошелек перестанет работать - вы всегда можете импортировать секретную фразу в другое приложение или устройство.
Виды кошельков:
- Горячий кошелек Так называют приложения, с помощью которых вы можете взаимодействовать с блокчейном через интернет. Благодаря им можно пользоваться децентрализованными решениями вроде 1Inch или Uniswap.
Примером может послужить Trust Wallet или Metamask.
Однако, с таких кошельков тоже могут угнать средства, используя фейковые сайты, подписи смартконтрактов и прочее. Их основная уязвимость - постоянное подключение к интернету, а следовательно и блокчейну.
- Холодный кошелек В отличие от горячих собратьев, эти ребята требуют подключения к интернету только в момент, когда вы хотите провести какую-либо транзакцию. В остальное же время они находятся офлайн, что и обеспечивает их безопасность. Чаще всего, такие кошельки представлены в виде аппаратных устройств.
Здесь примером будет Ledger и Trezor.
Такой способ хранения обеспечивает очень высокий степень защиты, позволяя хранить наибольшую часть депозита.
Как итог - распределяйте средства в комфортных для вас соотношениях: храните на крипто-биржах и горячих кошельках меньшую часть банка, ну а на холодных - ту сумму, с которой вы никак не готовы расстаться.
Хранение сид-фразы
После того как разобрались с кошельками, нам нужно защитить к ним доступ. Всего есть 2 способа зайти в ваш кошелек: по сид-фразе и по приватному ключу.
- Сид фраза - это набор из 12 или 24 случайно сгенерированных слов, при вводе которого вы получаете доступ ко всему кошельку. В одном кошельке вы можете создать множество счетов и, при наличии сид-фразы, можно попасть в любой из этих счетов.
- Приватный ключ - это набор символов, дающий доступ к конкретному счету. С ним вы можете воспользоваться лишь частью кошелька - определенным счетом, не имея при этом доступ к другим.
Любой из этих способов должен оберегаться максимально строго, ведь как только кто-то другой узнает вашу сидку или приватник - он в любой момент сможет вывести средства с вашего кошелька.
Ни в коем случае не храните такую информацию на электронных носителях!
1. Не в запароленных заметках!
2. Не в фотоплёнке!
3. Не в Excel!
4. Не в файлах на компьютере!
5. И даже не в раздельных файлах своего пк!
Их спокойно могут взломать. Самый лучший способ хранения - записать сидку на бумаге или же выцарапать на специальной металлической пластине (для большей долговечности).
Если вы часто пользуетесь кошельком и храните на нем лишь небольшую часть средств (например, это горячий кошелек для прокрутки ретродропов) - можно записать его приватник на форматированную флешку, на которой больше ничего не хранится.
Дополнительным уровнем безопасности для хранения приватника на флешке может стать шифрование. Придумайте свою собственный алгоритм: например поменяйте 3 и 7 символ в вашем приватнике. Так только вы будете знать, как приватник должен выглядеть на самом деле.
Офлайн защита
Не стоит также забывать и о защите в реальной жизни, ведь ситуации могут быть непредсказуемыми...
Наилучшим вариантом будет не распространяться в массы о том, что у вас есть крипта, попутно сохраняя анонимность со своих рабочих аккаунтов.
Среди криптанов существует термин "Атака гаечным ключом", который обозначает физическое воздействие на человека, чтобы выпытать у него секретную фразу.
С таким методом не поможет ни одна защита от взлома. Чтобы вас отпустили, придется в любом случае заплатить какую-то сумму похитителям.
Не стоит думать, что такие случаи редки! Бывает, что данная практика встречается несколько раз в год. И это только кейсы, получившие огласку. Чаще всего это происходит в небольших городах и странах с нестабильной экономикой.
Как противостоять такой атаке?
Как было сказано ранее - деньги любят тишину. Но на непредвиденный случай стоит обзавестись горячим кошельком с 5-10% банка, чтобы распрощаться только с ними, не отдавая весь депозит бандитам.
Помимо этого, не стоит записывать или открывать секретную фразу у окна, при камерах в помещении или же в людном месте. Кто-то может успеть сохранить ее, а, по закону подлости, узнаете вы об этом в самый неподходящий момент, когда на кошельке будет больше всего средств. Лучше делайте это дома под пледиком)
Офлайн защита - это действительно просто, но стоит уделить ей особое внимание, поскольку пренебрежение может быть чревато крайне печальными последствиями.
2. Виды скама и способы защиты
Фишинговые рассылки
Очень старый, но до сих пор работающий способ кражи данных. Избежать его несложно: достаточно быть внимательным.
Как защититься?
Отличным вариантом будет иметь два разных устройства для работы в крипте и личной жизни. Они не должны никак пересекаться. Так ваша защита от взломов возрастает в разы.
Если же такой вариант напряжен для вас - ограничьтесь использованием разных браузеров, почт и аккаунтов в соц. сетях.
Часто случаются утечки данных, после которых вам на почту начинают приходить разного рода фишинговые письма. Разделение аккаунтов может сильно помочь вам в такой ситуации.
Вирусы
Еще один весьма популярный способ взлома, от которого пострадало немало людей. Они бывают совершенно разными: от блокировки устройства с вымогательством средств, до кражи данных через буфер обмена.
Как защититься?
Тут все достаточно просто - в первую очередь, вы должны отказаться от нелицензированных и пиратских приложений.
Однажды, оплаченная подписка в $10 может спасти вам тысячи баксов!
То же самое касается и расширений в браузер. Всегда скачивайте только проверенные сервисы с официальных источников. Хорошим вариантом будет установка адблока, чтобы не попадаться на фишинговые сайты.
Не стоит также пренебрегать антивирусом. Лучше переплатить за качественный сервис.
Если собираетесь использовать какой-либо код - отдайте его для начала на проверку тому, кто умеет его читать.
Либо можно попросить проверить его Chat GPT.
Рекламный фишинг
На самом деле, пострадать от фишинговых сайтов весьма просто. Часто, при вводе в поисковике названия приложения, первой ссылкой вылезает рекламное скам-объявление, которое ничем не отличается от оригинала.
Как защититься?
Будьте предельно внимательны и перепроверяйте ссылки дважды! В ней может отличаться всего 1 символ, который будет стоить вам всего депозита.
Фейковые страницы проектов
Также дела обстоят с Телеграм/Твиттер/Дискорд аккаунтами проектов. Всегда проверяйте их подлинность на официальном сайте, поскольку часто такие скам группы имеют большое число подписчиков, да и в целом оформлены крайне качественно.
Как защититься?
Как только нашли официальный источник - следите только за ним. Не обращайте внимания на сообщения, прилетающие в личку или же на посты в других источниках. Весьма вероятно - это будет обманом.
Личные сообщения
Следя за проектом, вы присоединяетесь к официальным группам в соц. сетях. А затем начинаете получать личное сообщения о том, что "вы выиграли" или же непосредственно перед выпуском токена на рынок может прийти сообщение с контрактом токена.
В 100% случаев это мошенники! Они отслеживают пользователей, вступивших в группы, и начинают рассылать личные сообщения.
Как защититься?
Никогда не переходите по ссылкам из личных сообщений, не отвечайте на них, и сразу же удаляйте/блокируйте чат, чтобы не потерять свои средства.
Стейблкоины
Данный вид монет хорошо подходит для хранения средств до момента покупки какого либо актива. Однако стоит учитывать, что ситуации бывают разные. Стейблкоин никогда не будет стоить больше $1, а вот меньше - вполне может.
Как защититься? Тут вам поможет диверсификация средств. Храните сбережения только в самых известных и ликвидных стейблкоинах:
OTC рынки
Если вы хотите купить или продать какой-либо актив до выхода на рынок - вам придется воспользоваться OTC. Здесь очень просто попасться в ловушку мошенника, достаточно отключить бдительность всего на пару секунд.
Как защититься? Чтобы не нарваться на скам, на площадках присутствуют гаранты, которые проводят сделки. Как правило, они берут фикс. процент от сделки, в зависимости от ее стоимости.
- Используем только проверенные OTC
(Примеры таких можно найти в нашем ТГ <—) - Сверяем ссылку на площадку
- Проверяем аккаунты гарантов
(Оригинальные аккаунты обычно представлены в описании OTC) - Меняем пароли на купленном аккаунте и включаем 2FA
- Проводим тестовую сделку на 5-10% от задуманной суммы
Скам-трнзакции
При переводе средств с одного кошелька на другой, часто, вместе с нужной валютой, вам также могут дойти и другие активы. Это могут быть:
Любой из этих вариантов - скам!
Как защититься? 1. Никогда не переходите по ссылкам, прикрепленным к непонятным NFT!
2. Никогда не пользуйтесь историей кошелька, чтобы перевести средства!
3. Всегда берите нужный адрес для перевода из официального источника!
4. Не взаимодействуйте с неизвестными токенами!
5. И всегда проверяйте контракт токена на CoinMarketCap!
3. Сервисы-помощники
EtherAddressLookup
Это расширение поможет защититься от фишинга. Оно будет предупреждать вас о переходе на фейковый сайт.
Gnosis safe
Переходим к более продвинутым способам защиты.
Бывают ситуации, когда даже холодные кошельки могут быть подвергнуты взломам. Да, такое случается редко, но все же случается.
Но есть и альтернативный способ, который до сих пор никому не удавалось обойти:
Gnosis safe - это смарт-контракт, который используют для хранения средств.
Он работает по принципу: «для сейфа нужно несколько ключей».
Чтобы совершить перевод средств, вам понадобится подписать транзакцию сразу с нескольких кошельков.
Базово используется система «2 из 3», т.е. вы добавляете 3 разных кошелька, а для совершения транзакции нужно подтвердить ее с двух из них. Такая система защитит вас буквально от всего: утечка секретной фразы, взлом кошелька и даже ограбление в реальной жизни.
Идеальным вариантом будет использование трёх разных аппаратных кошельков, один из которых вы отдадите доверенному лицу или же спрячете где-либо.
Как же его использовать?
1. Сначала переходим на сайт <—
3. Затем придумываем название для сейфа и выбираем сеть, в которой будут лежать средства:
4. Теперь добавляем дополнительные кошельки, с помощью которых мы будем подтверждать транзакции. В графе "Threshold" устанавливаем значение 2 из 3.
Готово! Теперь у вас есть полноценный крипто-сейф)
При желании, можно добавить больше кошельков и подтверждений, например систему «3 из 5». Для справки, 80% активов в DeFi хранятся таким образом. Крупные проекты используют десятки кошельков и подтверждений, однако рядовому пользователю будет более чем достаточно «2 из 3»
Revoke Cash
Как говорилось в начале статьи, периодически в крипте происходят взломы различных децентрализованных приложений. Если вы воспользовались таким приложением, то скорее всего, подписывали для него какие-либо разрешения при подключении кошелька.
В таком случае, при его взломе, с помощью этого разрешения, у вас могут украсть средства с подключенного кошелька. Чтобы этого избежать, вам нужно сразу же после информации о взломе отозвать такие разрешения. Для этого стоит воспользоваться приложением Revoke Cash.
Как это делается?
1. Заходим на сайт <—
3. Выбираем нужную сеть и находим приложение, подверженное взлому.
5. Оплачиваем комиссию в нужной сети
Для наглядности прикрепляем официальный гайд: Смотреть тут <—
Как можете видеть, это приложение весьма просто в использовании, однако следует всегда помнить о нем, ведь никогда не знаешь, какой DApp будет взломан следующим.
Итоги:
В заключении хочется отметить, что защита - это одна первых вещей, которые стоит освоить новичку в крипте.
Децентрализация дает нам множество новых возможностей, а также свободу действий. Однако не стоит забывать, что вместе с этимприходит и серьезная ответственность. Только вы решаете, насколько надежно хранятся ваши средства.
А для тех, кто в крипте давно - искренне советуем найти время на устранение всевозможных рисков вашей безопасности. Помните, что злоумышленник может специально не красть мелкую сумму, ожидая пока вы закинете крупный улов на скомпрометированный кошелек.
А на этом все! Спасибо за прочтение! Берегите свои сидки и приватники, с вами был магазин Bip#39.
Скоро услышимся!
Наш Телеграм • Чат • Сайт • Озон • Отзывы