February 19

Starknet - безопасность кошельков

Как думаете могут ли ваши кошельки уже быть на коротком поводке у хакера? Но пока ему не особо интересны 0.005 ETH, оставленные на кошельке для элигибла. Другое дело, когда на кошелек упадет честно заработанный дроп...

Вот тут-то мы и постараемся обломать этих ушлых личностей, рассказав как не попасть в руки скамерам (кроме разрабов Starknet, конечно) и спокойно получить свой миллиардный клейм STRK.

Argent Shield

Крайне полезная фича кошельков Argent X, позволяющая раз и навсегда забыть, что кошелек могут даже гипотетически увести у нас из-под носа.

Эта функция представляет собой двухфакторную аутентификацию, привязанную к железу/браузеру + почте. То есть, даже если у злоумышленника уже есть доступ к компу и он украдет нашу сидку, без доступа к почте нифига и никуда он не выведет.

Важно!

После того, как мы подрубим Shield юзать кошелек скриптами станет невозможно. Поэтому автоматизерам придется делать все ручками.

От слов к делу:

  1. Открыли Argent X.
  2. Нажали на значок настроек.
  3. Выбрали нужную учетку.
  4. Включили Shield.
  5. Подтвердили код, пришедший на мейл и аппрувнули транзакцию активации (стоит деняк — $0.2 - $0.5).
  6. Раз в 30 дней подтверждаем, что почта\железо не поменялись.

Теперь с привычного нам устройства\браузера доступ будет как обычно. Но как только мы (или кто-то) попробуем зайти с другого устройства, кошелек сразу потребует код с почты. А доступ к ней, в свою очередь, может быть только с двухфакторкой в виде СМС\пуша. Удобно? Еще бы!

При этом, если мы прое... потеряли почту — это неприятно, но не критично. Shield можно отрубить в приложении, выполнив еще одну транзу для удаления, и обождав 7 дней, чтобы подтвердить, что запрос на отключение отправляли мы, а не кто-то левый.

Braavos Hardware Signer

Подписывать каждую транзакцию внутри интуитивной приложухи на смартфоне с помощью биометрических данных? Заверните две!

Hardware Signer от Bravos — это та же двухфакторка, только в профиль, использующая кучу сложных терминов и «мощный изолированный чип» Secure Enclave/Secure Element/TEE, дефая наши счета от лишних глаз и загребущих рук.

Аппаратная подписывающая сторона использует Hardware Security Module (он же HSM), доступный на смартфонах для генерации безопасных ключей и подписи транзакции после получения подтверждения биометрической (лицо/палец) аутентификации юзера. Биометрия подключается напрямую к HSM, так что даже если ядро процессора приложений устройства будет скомпрометировано, ключи пользователя остаются в безопасности. Опять же, если мамкин хацкер получил доступ к нашему устройству, он не сможет совершить транзакцию без биометрии владельца.

Объяснить что за Secure Enclave/Element и TEE лучше нас получилось у разрабов Braavos. Изучаем тут и там.

Фича поддерживается на:

  • iPhone 5S (2013 года) и более свежих
  • Pixel 3 (2018 года) и всех последующих
  • Samsung линейки Galaxy от моделей S21 и более новых

Активировать легко:

  • Открываем Braavos.
  • Тыкаем слева сверху на наш акк.
  • Теперь тапаем по шестеренке.
  • Выбираем первый пункт Account Security.
  • Тыкаем Hardware Signer — Next — Add Hardware Signer и, наконец — Sign, подписав транзакцию.
  • Видим появившийся сверху по центру значок щита около названия акка.
  • Показываем средний палец хакерам.

Отключить его тоже можно. В случае потери телефона:

  • Заходим через браузерный кошелёк в Menu — Account Settings — Account Security.
  • Здесь тыкаем по Seed Phrase Signer.
  • Теперь выбираем Request to remove Hardware Signer и подписываем транзакцию.
  • Ждем 4 дня.

В случае если мы просто решили отключить HWS:

  • Прямо с телефона меняем HWS на Seed Phrase Signer.
  • Всё.

Инструкции что делать, если появилось новое устройство и нужно подвязать защиту к нему, либо старое где-то потерялось, детально расписаны вот здесь.

А вот вопрос о необходимости выделять отдельный телефон под каждый кошелек в Braavos для мультиаккеров остался открытым. Если есть смартфон на Android — можно попробовать что-нибудь нашаманить со вторым пространством. Но сработает ли такое виляние жопой, либо же возникнут проблемы при подписании транзы — снова вопрос. Так что делаем на свой страх и риск, не забывая яростно DYOR’ить.

В остальном КМД рекомендует придерживаться двух банальных и старых как мир правил тру-хантера:

  • Строго отказаться от автоматизации/софта для клейма. Исключение — только написанные лично ништяки, в соответствии с нашим сисурити-гайдом.
  • Выводить, как и всегда — не в тупую на один адрес, а смартово — на субаккаунты, действуя по схеме: 1 кошелек = 1 адрес.

В качестве напутствия оставляем парочку интересных материалов на тему того, как сменить приватник в Braavos, а также историю бедняги, потерявшего 20 акков Starknet.

🌐 Telegram КМД | Chat | Teletype | Twitter 🌐

Дисклеймер от автора - всегда Do Your Own Research и действуйте на свой страх и риск. Автор не несёт ответственности за утерянные в связи с использованием данного гайда средства.

Крипта - место, где любой проект сегодня может работать, быть на пике популярности и давать людям возможность заработать, а завтра может быть взломан либо соскамиться. Играйте только с тем количеством средств, которые вы готовы потерять.