October 7, 2023

Кибербезопасность в Web 3.0

HODL, криптаны!

Когда речь заходит о самых насущных проблемах в криптоиндустрии, первым в очереди (сразу после высокого Gwei) идет скам.

КМД расскажет, как не потерять свои аккаунты!

Виды скамов и как их избежать

Давай рассмотрим самые распространенные виды скамов, на которые рискуют нарваться не только новички, но и бывалые дропхантеры.

Twitter/Discord-скам

Видели, как Илон Маск или Виталик Бутерин раздают дропы в своих официальных Twitter(X)-аккаунте?

Так, в смысле не видели? На таких схемах мошенникам удается зарабатывать сотни тысяч долларов, причем иногда меньше, чем за полчаса!

​Поэтому, когда @Vital1kButer1n предлагает вам умножить свои эфирки, отправив ему 0.1 ETH — шлем лесом.

​С дискордом та же история. Незнакомцы начинают ломиться в личку с предложением заминтить NFTшку, поучаствовать в элитарном ICO-сейле, либо забрасывают приманку для доверчивых в виде ссылки на приватку, гарантированно ведущую тебя к утрате личных данных и/или средств.

​Иногда Twitter/Discord и правда взламывают злоумышленники, предлагая бедолагам получить «бесплатные деньги» с официальных акков. Нужно ли напоминать, где чаще всего можно найти бесплатный сыр?

Противоядие простое — проверяем все никнеймы официальных лиц на наличие лишних символов и не переходим по левым ссылкам в дискорде от ононимусов.

Подделка адресов

​Особенно опасная хрень для абузеров, прогоняющих сотни транзакций в день\неделю и не вникающих в детали. Злоумышленник создает фейковый адрес кошелька, соответствующий нашему, после чего отправляет на него фейковую транзакцию.

Теперь аферист рассчитывает, что при повторной транзакции вы скопируете последний адрес, не убедившись в его подлинности, тем самым отправив кэш прямо ему в руки.

В этом мошеннику иногда помогает и аппка кошелька, предлагающая сделать перевод на последний указанный адрес с помощью функции отслеживания недавних транзакций.

Поэтому всегда проверяем адреса кошельков, куда отправляем деньги, а не только последние 3 символа.

Вброс фейк-токенов

​Дроп хантерам, регулярно гоняющим по кошелькам различные токены, часто прилетают разные фейк-коины. Они могут быть на любом блокчейне с любым тикером. Отличием будет только смарт-контракт. Если попытаться аппрувнуть такой «оффер», рискуем потерять всю крипту с кошеля.

А значит что? Пральна. Даже не пробуем прикасаться ни к каким фейк-токенам!

Фейковые аппки, расширения и сайты

Куда ж без них.

​Мошенники создают на коленке клоны сайтов более-менее известных проектов с предложением заклеймить airdrop, а затем устраивают массовую спам-атаку их адресами в твиттере, дискорде, телеграме и других соцсетках.

​Обычно в таких сообщениях топорно вбрасывают ссылку с призывом получить дроп или халявную NFT. Но иногда подобный скам играет по-крупному, создавая платную рекламу в Google Adwords, после чего юзвери переходят на фейковые ресурсы прямо из поисковика, подключают кошелек, и дарят свои кровные довольным скамерам.

​С фейковыми аппками все плюс-минус так же. Причем, как в Google Play, так и в “защищенномAppStore, где регулярно всплывают скандалы с фейк-аппом очередного криптокошелька, главная цель которого — получить от юзера сид-фразу.

Расширения для браузера — тема еще более взрывоопасная. Здесь твои пароли и сидки могут угнать прям из буфера обмена.

Защититься от подобного достаточно легко. НЕ переходим по ссылкам из чатов и соцсеток, а также тщательно изучаем аппки с расширениями, которыми напичкиваем свои гаджеты.

Скрипты, боты, софт

Автоматизация — двигатель прогресса, напару с ленью, но и в погоне за упрощением процесса обогащения многие абузеры находят или же приобретают софт для прогонов у сомнительных инфлюэнсеров. Не, ну а разве можно не доверять кумирам?

​Веб трещит по швам от обилия прохладных историй о том, как у бедолаг уводили приватники, сдрейнили активы/дропы Arbitrum, etc. Однако, некоторые упорно продолжают искать пути отдать софт-скамерам свои бабки.

Вариантов попасть впросак здесь несколько:

  • закрытый исходник — ты никогда не узнаешь, что у софта под капотом и куда уплыли твои приватники
  • незащищенные TXT-файлы, в которых хранятся приватники для скрипта
  • попадание под кластеры схожего поведения кошелей — в этом случае “заскамить” нас может проект, который мы бомбим скриптами

Чтобы не сталкиваться с подобным — юзаем только собственноручно написанный софт.

Приватники и сид фразы

Почти все виды скама, которые мы упомянули целятся на наши приватники и сид-фразы, поэтому важно их максимально обезопасить.

Делаем следующее:

  • стараемся не копировать сид-фразу в буфер обмена
  • не держим сидки на нашем ПК или в облаке
  • никогда и нигде не вводим лишний раз сид-фразы

Лучший вариант — хранить ее только на бумаге. Но когда кошельков много — это вряд ли прокатит, поэтому создаем таблицу с кошельками/сидками и храним как зеницу ока на внешнем носителе без доступа к сети.

Инновации

Ну или почти. Иногда случаются достаточно креативные взломы, как недавняя ситуевина с Galxe. Скамота подменила DNS во время обновы Galxe 2.0, а люди банально не заметили, что их попросили заново подрубить кошельки.

Избежать участи этого списка счастливчиков просто — приучаем себя всегда чекать подписываемые транзакции, иначе быть беде.

Безопасность ПК

Чтобы точно быть уверенным в том, что кошельки в безопасности, лучше начать с "чистого ПК" купить макбук (шуткуем).

Здесь фундаментальным советом будет отказ от пиратского контента. Поскольку именно он зачастую становится рассадником вирусов на системе пользователя.

Причем не факт, что средства украдут сразу. Смысл скамеру угонять кошель юзера с $100, если он увидит, что им активно пользуются? Лучше выжидать и сорвать куш покрупнее.

Ну а если отказаться от пиратской софтины совсем невмоготу, то хотя бы позаботься о наличии проверенного антивируса (спойлер — их нет), а также — не отрубай Microsoft Defender. Да, даже если хочется поиграть в игруху с кряком. После этого «крякнуть» могут твои токены.

Проще говоря:

  • Ставим антивирь и юзаем MS Defender
  • Меняем пассы на всех акках на сложные, попутно включив двухфакторную аутентификацию
  • Отключаем синхронизацию данных в аппках-кошельках с iCloud/Google
  • Ограничиваем или сводим на нет загрузку пиратского контента
  • Не проходим никакие капча-боты путем ввода личных данных или QR-кодов

Еще круче — выделить для дропов и крипты отдельное устройство, в идеале от эпЫл, где будешь минимально серфить и юзать его только для прогонов.

Ну и не стоит качать «ультрамегаспециальный» софт для фарма ретро/дропов, думая, что все вокруг тебе друзья — социальную инженерию никто не отменял.

Инструментарий для Web3-бро

​А чтобы воркать было спокойнее, ознакомься со списком инструментов, которые пригодятся как побитому волку с Шиткоин-стрит, так и новичку, еще не успевшему осознать масштабы скам-трагедии криптоиндустрии.

Revoke.cash — неплохое браузерное расширение для отзыва аппрувов и отслеживания всех разрешений, выданных юзером на трату его токенов. Так мы минимизируем риск несанкционированного доступа к нашим активам и сохраняем над ними полный контроль. НО даже у Revoke бывают фейлы вроде таких. Поэтому тоже имеем ввиду.

Wallet Guard — из той же оперы, но для определения фишинговых сайтов по их URL и содержимому. Причем заточен именно под Web 3.0 с базой данных из доверенных Web3-приложений, по которой прогоняют все посещенные вами сайты.

KeyScrambler — прога, ставящая крест на надеждах грязных подкидывателей кейлоггеров (записывающих все, что вбиваешь на клаве) увести твои данные. Она шифрует нажатия клавиш на уровне драйвера клавиатуры внутри ОС и затем, когда зашифрованные нажатия клавиш достигают одного из 60 поддерживаемых браузеров, программа расшифровывает их, а мы видим те буквы/клавиши, по которым тыкнули.

Etherscan — мастхев и лучший обозреватель блоков для сети Ethereum. Состояние сети, транзакции в ней, проверка смарт-контрактов, инфа об активах, и многое другое. Здесь проверяем транзакции от А до Я. Например, отслеживаем незаконные транзы, благодаря инструменту Every Transaction Hash Protect (ETHProtect), чекнув происхождение поступивших токенов и полную информацию до того момента, пока они не стали «грязными».

Полезные ссылки

  • Небольшая история о газкоинах с участием Revoke.cash и пример того, как мошенники могут обмануть юзверя.
  • YouTube-канал с кучей детальных гайдов, а также инструкций как делать НЕ нужно, чтобы не быть заскамленным.
  • База скам-проектов от американского DFPI.
  • PooCoin Rug Check, bscheck, Rugscreen — для проверки скам-коинов и проектов
  • Pocket Universe — еще одна расширялка для Mozilla/Chrome, позволяющая избегать множества скам-проектов.

Заключение

Этот лонгрид — лишь надводная часть айсберга и срез самых распространенных криптоскамов, с которыми может столкнуться мультиаккер, с головой погрузившийся в криптовалютные джунгли.

Выкручиваем наш скамдар на 200% и помним: если тебе кажется, что кто-то или что-то напоминает мошенничество, то скорее всего тебе не кажется.

🌐 Telegram КМД | Chat | Teletype | Twitter 🌐