Гайд. Безопасность в крипте

Вся крипта хранится в блокчейне, а криптовалютные кошельки, по сути - это программы, которые взаимодействуют с ним. Другими словами, криптокошельки предоставляют вам интерфейс для взаимодействия с блокчейном.

И так, какие бывают виды кошельков:

Кошельки бывают кастодиальными и некастодиальными.

• В кастодиальном кошельке приватные ключи хранятся и управляются третьей стороной от вашего имени. Другими словами, владелец не имеет полного контроля над своими средствами и не может подписывать транзакции.
• Некастодиальные кошельки полностью автономны. Только владелец может управлять балансом. Для доступа к таким кошелькам требуется приватный ключ и seed-фраза, которые пользователь должен надежно хранить.

В свою очередь, кастодиальные и некастодиальные кошельки делятся на два вида: холодные и горячие.

• Холодный кошелек – кошелек, который не имеет постоянного подключения к интернету. Подключение к сети осуществляется только на несколько секунд в момент непосредственного осуществления транзакции.
• Горячий кошелек – кошелька, который постоянно подключен к интернету.

Это кошельки бирж: Binance, Huobi, Bybit, Coinbase и т.д. Особенность в том, что средства, лежащие на бирже, принадлежат не вам, а бирже – вы лишь используете биржу со своим виртуальным счетом.

Как защитить кастодиальный, горячий кошелек в примере биржи Binance?

• E-mail. Лучше всего использовать отдельную почту для биржи
• Использовать стойкий пароль. Желательно сгенерировать и хранить его в менеджере паролей
• Добавить список разрешенных для вывода кошельков в разделе "Безопасность"
• 2FA - двухфакторная аутентификация.
• Добавить антифишинговый код для писем.
• При работе с кошельком используйте режим инкогнито. Так вы минимизируете список расширений, добавленных в браузер, и избавитесь от сохранения данных.

Кошельки с онлайн доступом - Trust wallet, Metamask, и др. Они являются некастодиальными, не требуют KYC, доступ к счету имеет только владелец.

Подробнее о криптокошельках вы можете узнать в этой статье.

Как создать:

• Скачиваете приложения на мобильный телефон в AppStore или Google Play Market.
• Проходите небольшую регистрацию, получаете сид фразу из 12 слов и записываете на бумаге.

Что делать, чтобы обезопасить свои средства:

• Не оставляйте seed-фразу и приватные ключ на электронных носителях. Информацию можно перенести вручную на лист бумаги.
• Не передавайте seed-фразу третьим лицам.
• Проверяйте ссылки, по которым вы переходите для подключения своего кошелька.
• Всегда проверяйте транзакции, которые вы подтверждаете.
• Обновление приложений необходимо производить только через официальные сайты или магазины приложений.

Никогда не используйте ваш основной кошелёк для случайных взаимодействий с контрактами, которым вы не доверяете. Если всё же приходится это делать, всегда проверяйте, что именно вы подписываете: например, нет ли там апрува на allowance (это позволит опустошить ваш кошелек) или прокси, за которыми может скрываться упомянутая функция.

Проверить контракты можно на следующих сайтах:

https://revoke.cash/

https://zapper.fi/revoke

https://app.unrekt.net/

https://cointool.app/approve/eth

https://etherscan.io/tokenapprovalchecker

https://bscscan.com/tokenapprovalchecker

https://polygonscan.com/tokenapprovalchecker

https://debank.com/

Получив Approve, контракт может тратить любую сумму в рамках выданного разрешения!

Холодные кошельки (аппаратные): Ledger, Trezor, BitLox, SafePal и др. Данные кошельки используются в физическом виде, подключаются через usb или bluetooth к компьютеру.

В чем преимущество перед горячими кошельками ?

• Для того, чтобы взломать горячий кошелек, достаточно вмешательства в виртуальную среду. Инструментов для взлома великое множество, начиная от кейлоггеров(программ, считывающих вводимый на клавиатуре текст), вирусов, троянов, эксплойтов и заканчивая социальным инженерией. Что же касается аппаратного устройства, то этих условий недостаточно, так как к виртуальной среде прибавляется еще и внешнее устройство, со своей операционной системой. Получается, что даже взломав ваш компьютер, злоумышленник не сможет украсть деньги.
• Физическое подтверждение при совершении каждой операции. При совершении каждой транзакции владелец должен вписывать специальный пароль для аппрува.

• Покупайте кошельки только у официальных дилеров.
• Строго не рекомендуется покупать б/у, так как устройство может быть взломано.
• Сид-фразу храните только на бумаге.
• Защита от потери. Некастодиальные кошельки используют предложение по улучшению биткоина BIP39. Мастер-пароль кодируется в удобный вид - сид-фразу, которая может состоять из 12, 18 или 24 слов. Благодаря этому, в случае утери девайса, вы можете восстановить свой счет в любом кошельке через сид-фразу.

• Рекомендуем зайти в настройки и добавить в адресную книгу часто используемые адреса для отправки, а также любые другие сайты, которыми вы пользуетесь на постоянной основе, чтобы вам не приходилось каждый раз искать их в поисковике, так как возрастает риск нарваться на фишинговый сайт
• Не переводите свои средства незнакомым лицам, которые обещают вам раскрутку счетов, инсайды с монетами, финансовые пирамиды, где ничего не делая, вам будут увеличивать депозит. Это все обман, переведя средства вы теряете их навсегда

Скачиваем кошельки только с официальных сайтов, таких как:

https://metamask.io
https://trustwallet.com
https://phantom.app

• Всегда проверяйте домен проекта, если требуется подключить свой кошелек.
• При первичном размещении проекта: Проверяйте white paper (техническую карту), известность разработчиков, агрессивный маркетинг или нет, другую основную информацию

Спам рассылки и стороннее вмешательство также являются часто используемым инструментом. Пройдемся по самым основным:

• Не переходите по ссылкам, которые вам приходят на email якобы об обновлении приложения metamask или о том, что необходимо ввести KYC (Паспортные данные). Все это также мошеннические сайты, которые делают все, чтобы доверчивый пользователь ввел свою сид-фразу

Вот один из примеров мошеннической рассылки:

Скачивая что-либо из интернета вы также подвергаетесь риску, что в файле будет содержаться троян или стиллер, который копирует все, что есть у вас в памяти компьютера и позже ваши аккаунты могут быть обчищены злоумышленниками.

Как себя обезопасить:

• Защитите аккаунт при помощи двухфакторной аутентификации. Если ваш аккаунт защищен таким способом, то украденных логина и пароля будет недостаточно для входа в него
• Не скачивайте ничего с сомнительных сайтов и пиратки. Злоумышленники знают тягу людей к бесплатному и пользуются ей
• Пользуйтесь надежными антивирусными программами, если используете операционную систему “Windows”
• Всегда обновляйте программное обеспечение. Это вдвойне актуально для важных программ. Злоумышленники используют известные бреши в системе защиты и через них засылают на ваш компьютер трояны, которые делают свою черную работу.

Спам рассылка также может быть на ваш кошелек в виде бесплатных токенов.

Зачем это нужно?

Создают какой либо токен с похожим названием на дорогие проекты, побуждая пользователя попытаться продать данный токен. Вы можете его продать только на сайте злоумышленников и подключая кошелек для продажи этих токенов, вы так же разрешаете использовать и остальные ваши токены.

Очень важно каждый раз, подписывая какое либо разрешение в метамаск, развернуть контракт, чтобы посмотреть на что именно вы даете разрешение. Исключительно на один токен или на весь портфель в целом!

*Какие стеблкоины надежнее: USDT, USDC, BUSD и DAI

В связи с последними событиями, огромная волна недоверия сейчас обрушилась на стейблкоины.

После краха Terra Luna и отвязки их стейблкоина UST на 99% от доллара, люди начали терять доверие к алгоритмическим стейблкоинам, вследствие чего произошла отвязка у USDD (Tron) и многих других.

После этого самый крупный стейблкоин USDT (Tether) показал снижение на 4%

На этом фоне объемы USDC и BUSD выросли в среднем на 20%, что показало явный переток средств.

Сейчас на рынке 4 крупных стейблкоина: USDT, USDC, DAI и BUSD. А USDC борется за лидерство с USDT

Tether (USDT) — одна из самых известных и популярных монет среди крипто инвесторов. Каждый доллар в USDT подкреплен USD, которые хранятся в резервах Tether и могут быть получены в обмен на токены проекта.

USDC - Эмитент “Circle Internet Financial”. Компания утверждает, что токен полностью обеспечен наличными средствами и краткосрочными казначейскими облигациями США и начинает выступать главным стейблкоином, которым можно шортить другие стейблкоины.

BUSD выпускается Binance в сотрудничестве с компанией Paxos, регулируется Департаментом финансовых услуг штата Нью-Йорк и проходит ежемесячные аудиты. BUSD централизован, за эмиссию и сжигание монет отвечает Paxos, что не совсем соответствует принципам цифровых валют, а также жестко мониторится и регулируется, в случае подозрительной активности баланс может быть заморожен.

Важно помнить: что Binance, что Circle выгодно убрать с рынка Tether, чтобы их влияние на рынок стало еще больше и было хотя бы какое то преимущество перед FTX и Alameda (которые просто поглощают компании на грани банкротства из-за сильного снижения рынка).

**Также нельзя не упоминуть DAI - стейблкоин, выпущенный децентрализованной платформой MakerDAO на блокчейне Ethereum. Другими словами, токен DAI является стейблкоином, то есть цифровым аналогом доллара, но, в отличие от него, децентрализован и никем не контролируется.

Курс DAI стабилизируется за счет механизма Target Rate Feedback Mechanism (TRFM) – автоматического алгоритма, который обеспечивает регулирование цены и поддерживает курс примерно на уровне 1 доллара США с минимальными отклонениями. Механизм TRFM активизируется, когда стабильная цена отклоняется от целевого значения, чтобы затем восстановить его.

Текущее предложение DAI на 2/3 обеспечено централизованными стейблкоинами, для которых медвежий рынок не так страшен.

• ОСНОВНОЙ КАНАЛ CRYPTUS ACADEMY

• CАЙТ CRYPTUS ACADEMY

• CRYPTUS MEDIA