Кибербезопасность в Web 3.0

HODL, криптаны!

Когда речь заходит о самых насущных проблемах в криптоиндустрии, первым в очереди (сразу после высокого Gwei) идет скам.

КМД расскажет, как не потерять свои аккаунты!

Виды скамов и как их избежать

Давай рассмотрим самые распространенные виды скамов, на которые рискуют нарваться не только новички, но и бывалые дропхантеры.

Twitter/Discord-скам

Видели, как Илон Маск или Виталик Бутерин раздают дропы в своих официальных Twitter(X)-аккаунте?

Так, в смысле не видели? На таких схемах мошенникам удается зарабатывать сотни тысяч долларов, причем иногда меньше, чем за полчаса!

​Поэтому, когда @Vital1kButer1n предлагает вам умножить свои эфирки, отправив ему 0.1 ETH — шлем лесом.

​С дискордом та же история. Незнакомцы начинают ломиться в личку с предложением заминтить NFTшку, поучаствовать в элитарном ICO-сейле, либо забрасывают приманку для доверчивых в виде ссылки на приватку, гарантированно ведущую тебя к утрате личных данных и/или средств.

​Иногда Twitter/Discord и правда взламывают злоумышленники, предлагая бедолагам получить «бесплатные деньги» с официальных акков. Нужно ли напоминать, где чаще всего можно найти бесплатный сыр?

Подделка адресов

​Особенно опасная хрень для абузеров, прогоняющих сотни транзакций в день\неделю и не вникающих в детали. Злоумышленник создает фейковый адрес кошелька, соответствующий нашему, после чего отправляет на него фейковую транзакцию.

Теперь аферист рассчитывает, что при повторной транзакции вы скопируете последний адрес, не убедившись в его подлинности, тем самым отправив кэш прямо ему в руки.

В этом мошеннику иногда помогает и аппка кошелька, предлагающая сделать перевод на последний указанный адрес с помощью функции отслеживания недавних транзакций.

Вброс фейк-токенов

​Дроп хантерам, регулярно гоняющим по кошелькам различные токены, часто прилетают разные фейк-коины. Они могут быть на любом блокчейне с любым тикером. Отличием будет только смарт-контракт. Если попытаться аппрувнуть такой «оффер», рискуем потерять всю крипту с кошеля.

Фейковые аппки, расширения и сайты

Куда ж без них.

​Мошенники создают на коленке клоны сайтов более-менее известных проектов с предложением заклеймить airdrop, а затем устраивают массовую спам-атаку их адресами в твиттере, дискорде, телеграме и других соцсетках.

​Обычно в таких сообщениях топорно вбрасывают ссылку с призывом получить дроп или халявную NFT. Но иногда подобный скам играет по-крупному, создавая платную рекламу в Google Adwords, после чего юзвери переходят на фейковые ресурсы прямо из поисковика, подключают кошелек, и дарят свои кровные довольным скамерам.

​С фейковыми аппками все плюс-минус так же. Причем, как в Google Play, так и в “защищенном” AppStore, где регулярно всплывают скандалы с фейк-аппом очередного криптокошелька, главная цель которого — получить от юзера сид-фразу.

​Расширения для браузера — тема еще более взрывоопасная. Здесь твои пароли и сидки могут угнать прям из буфера обмена.

Скрипты, боты, софт

​Автоматизация — двигатель прогресса, напару с ленью, но и в погоне за упрощением процесса обогащения многие абузеры находят или же приобретают софт для прогонов у сомнительных инфлюэнсеров. Не, ну а разве можно не доверять кумирам?

​Веб трещит по швам от обилия прохладных историй о том, как у бедолаг уводили приватники, сдрейнили активы/дропы Arbitrum, etc. Однако, некоторые упорно продолжают искать пути отдать софт-скамерам свои бабки.

Вариантов попасть впросак здесь несколько:

• закрытый исходник — ты никогда не узнаешь, что у софта под капотом и куда уплыли твои приватники
• незащищенные TXT-файлы, в которых хранятся приватники для скрипта
• попадание под кластеры схожего поведения кошелей — в этом случае “заскамить” нас может проект, который мы бомбим скриптами

Приватники и сид фразы

Почти все виды скама, которые мы упомянули целятся на наши приватники и сид-фразы, поэтому важно их максимально обезопасить.

Делаем следующее:

• стараемся не копировать сид-фразу в буфер обмена
• не держим сидки на нашем ПК или в облаке
• никогда и нигде не вводим лишний раз сид-фразы

Инновации

Ну или почти. Иногда случаются достаточно креативные взломы, как недавняя ситуевина с Galxe. Скамота подменила DNS во время обновы Galxe 2.0, а люди банально не заметили, что их попросили заново подрубить кошельки.

Безопасность ПК

Чтобы точно быть уверенным в том, что кошельки в безопасности, лучше начать с "чистого ПК" купить макбук (шуткуем).

Причем не факт, что средства украдут сразу. Смысл скамеру угонять кошель юзера с $100, если он увидит, что им активно пользуются? Лучше выжидать и сорвать куш покрупнее.

Ну а если отказаться от пиратской софтины совсем невмоготу, то хотя бы позаботься о наличии проверенного антивируса (спойлер — их нет), а также — не отрубай Microsoft Defender. Да, даже если хочется поиграть в игруху с кряком. После этого «крякнуть» могут твои токены.

Проще говоря:

• Ставим антивирь и юзаем MS Defender
• Меняем пассы на всех акках на сложные, попутно включив двухфакторную аутентификацию
• Отключаем синхронизацию данных в аппках-кошельках с iCloud/Google
• Ограничиваем или сводим на нет загрузку пиратского контента
• Не проходим никакие капча-боты путем ввода личных данных или QR-кодов

Еще круче — выделить для дропов и крипты отдельное устройство, в идеале от эпЫл, где будешь минимально серфить и юзать его только для прогонов.

Ну и не стоит качать «ультрамегаспециальный» софт для фарма ретро/дропов, думая, что все вокруг тебе друзья — социальную инженерию никто не отменял.

Инструментарий для Web3-бро

​А чтобы воркать было спокойнее, ознакомься со списком инструментов, которые пригодятся как побитому волку с Шиткоин-стрит, так и новичку, еще не успевшему осознать масштабы скам-трагедии криптоиндустрии.

​Revoke.cash — неплохое браузерное расширение для отзыва аппрувов и отслеживания всех разрешений, выданных юзером на трату его токенов. Так мы минимизируем риск несанкционированного доступа к нашим активам и сохраняем над ними полный контроль. НО даже у Revoke бывают фейлы вроде таких. Поэтому тоже имеем ввиду.

​Wallet Guard — из той же оперы, но для определения фишинговых сайтов по их URL и содержимому. Причем заточен именно под Web 3.0 с базой данных из доверенных Web3-приложений, по которой прогоняют все посещенные вами сайты.

​KeyScrambler — прога, ставящая крест на надеждах грязных подкидывателей кейлоггеров (записывающих все, что вбиваешь на клаве) увести твои данные. Она шифрует нажатия клавиш на уровне драйвера клавиатуры внутри ОС и затем, когда зашифрованные нажатия клавиш достигают одного из 60 поддерживаемых браузеров, программа расшифровывает их, а мы видим те буквы/клавиши, по которым тыкнули.

​Etherscan — мастхев и лучший обозреватель блоков для сети Ethereum. Состояние сети, транзакции в ней, проверка смарт-контрактов, инфа об активах, и многое другое. Здесь проверяем транзакции от А до Я. Например, отслеживаем незаконные транзы, благодаря инструменту Every Transaction Hash Protect (ETHProtect), чекнув происхождение поступивших токенов и полную информацию до того момента, пока они не стали «грязными».

Полезные ссылки

• Небольшая история о газкоинах с участием Revoke.cash и пример того, как мошенники могут обмануть юзверя.
• YouTube-канал с кучей детальных гайдов, а также инструкций как делать НЕ нужно, чтобы не быть заскамленным.
• База скам-проектов от американского DFPI.
• PooCoin Rug Check, bscheck, Rugscreen — для проверки скам-коинов и проектов
• Pocket Universe — еще одна расширялка для Mozilla/Chrome, позволяющая избегать множества скам-проектов.

Заключение

Этот лонгрид — лишь надводная часть айсберга и срез самых распространенных криптоскамов, с которыми может столкнуться мультиаккер, с головой погрузившийся в криптовалютные джунгли.

🌐 Telegram КМД | Chat | Teletype | Twitter 🌐