Как безопасно перейти на селф-кастоди
Крах FTX ещё раз доказал новому поколению криптоинвесторов, что нет ничего безопаснее самостоятельного хранения активов (селф-кастоди). Ниже личный опыт одного из разработчиков проекта Stable Unit.
- Не ваши ключи, не ваши монеты.
- Централизация это не просто модное слово. Достаточно взглянуть на 430 млн замороженных USDT.
- Прозрачность и доказательство резервов — обязательное условие взаимодействия с любыми проектами/протоколами.
Избегайте централизованных бирж
Лучший и самый простой способ избежать потери средств на централизованных сервисах и спать спокойно каждую ночь — не пользоваться ими. Почти для всего есть DeFi-аналоги.
Не ваши ключи — не ваша крипта
Закрытый ключ кошелька должны знать только вы. Точнее, закрытый ключ это и есть ваш кошелёк.
У меня есть три кошелька. (1) Холодный (Ledger Nano), где хранятся важные суммы денег, которые я не могу себе позволить потерять. (2) Горячий (Metatask), через который я взаимодействую с DEX’ами и т.д. Если нужно совершить операцию с токенами из холодного кошелька, я сначала перевожу их на горячий, а после этого отправляю обратно. Ваша цель — минимизировать количество апрувов с холодного кошелька. Наконец, у меня есть (3) публичный кошелек с .eth-доменом и хорошей историей. Я использую его для хакатонов и не продаю дропы DAO. Здесь хранятся только те суммы, о которых я хочу, чтобы общественность знала.
Я разделяю ключи (24 слова) на левую и правую половину. Их я записываю в нескольких местах: в смартфоне, на металлических пластинах и спрятанных открытках, в гараже тещи и т.д. При этом важно учитывать вероятность того, что место записи может быть потеряно, сломано, скомпрометировано. Мое эмпирическое правило — следовать философии 2FA: что-то, чем я владею + что-то, что я знаю + запасной вариант.
Как безопасно использовать dApp’ы
- Первым делом всегда проверяйте, по правильному ли URL вы зашли, фишеры не дремлют. Для большей уверенности можно переходить по ссылкам из страниц протоколов в DeFiLlama, Twitter или каком-либо агрегаторе.
- Никогда не давайте апрувов на бесконечное количество токенов, изменить лимит всегда можно в интерфейсе кошелька.
- Перед первым взаимодействием с контрактом я ищу его в Etherscan и смотрю, верифицирован ли он. Если нет — это красный флаг. Если да — проверяю, сколько других транзакций произошло с контрактом, и каковы были эти взаимодействия. Также я проверяю комментарии, люди часто пишут там предупреждения в случаях мошенничества.
- Периодически стоит посещать Revoke.cash и смотреть, у каких контактов есть действующие разрешения. Хорошая идея — отменить их для обновляемых контрактов.
- Для разных сетей я пользуюсь разные профилями Google Chrome. Для разных профилей выбираю цвета фона, соответствующие сети: красный для Avalanche, фиолетовый для Polygon и т.д.
- Для взаимодействий с тестнетами я использую другой браузер, например, Brave с Metamask.
- Для перевода любой значительной суммы я использую SafeTransfer.
- На Devcon опытные пользователи не клеймили POAP на месте из соображений безопасности, чтобы злоумышленники не узнали, где они сейчас находятся.
Централизованные активы
Эмитенты USDT и USDC могут программно заморозить в любой момент даже активы на холодных кошельках. Теоретически ничто не мешает регуляторам заставить Circle требовать KYC и банить всех несогласных.
Безопаснее всего использовать чистые BTC и ETH, эти активы доказали свою надежность. Что делать, если вы не хотите принимать волатильность? Первый совет — держать в USDT/USDC только небольшие суммы, а остальное поменять на DAI, LUSD или другой децентрализованный стейбл. Они не идеальны, у каждого есть свои риски, поэтому поможет разумная диверсификация.
Как избежать проблем с банкротством криптопроекта? Самый надежный способ — иметь твердые и чёткие доказательства, что все размещённые в нём активы готовы к выводу в любой момент. В свете недавних событий дэшборды с резервами бирж появились у DeFiLlama и Nansen, однако DeFi всё равно является победителем в области прозрачности: достаточно найти контракт протокола в блокчейн-эксплорере.
Здесь следует помнить две вещи:
- Многие DeFi-протоколы используют свою ликвидность в других протоколах для получения доходности. В этом случае протокол (в идеале) обязан показать, как можно проверить его обеспечение.
- Важна именно фактическая ликвидность, а не рыночная капитализация активов (вспомните UST/LUNA).
Ещё одним аспектом риска централизации является базовая инфраструктура. Чем централизованнее блокчейн (привет Solana и BNB Chain), тем опаснее хранить активы на нём. Здесь ваши главные друзья — мейннет Ethereum и его же L2, такие как Optimism или Arbitrum.