Гид по безопасности. Часть 2: атаки на пользователей

Про кошельки мы уже рассказывали в прошлый раз. Настало время разобрать, какие опасности подстерегают «сам-себе-банк» криптанов и как от них защититься.

Как применять моделирование угроз

Конечная цель киберпреступника — максимизировать прибыль, поэтому ему должно быть экономически выгодно устраивать на вас атаку. Чем глубже ваш карман, тем шире потенциальный арсенал взломщиков, тем больше опасностей. Лоубанкам стоит опасаться в первую очередь массовых атак — фишинга и троянов. В этом случае купленное хакером за 100 долларов ПО может окупиться за счёт 10 украденных у 10 разных пользователей баксов. При этом подозрительность в крипте почти никогда не бывает лишней, поэтому в целом полезно знать и об атаках уровня выше, чем ваш сегодняшний депозит.

Атаки на протоколы мы здесь не будем рассматривать, потому что с ними обычный юзер почти ничего не может сделать — разве что пользоваться только проверенными протоколами, но и это не гарантирует защиты от взлома. Просто запомните, что любое взаимодействие со смарт-контрактом это дополнительный неподконтрольный вам риск, опасность которого зависит от компетентности команды и вашего собственного риск-менеджмента. То же самое относится и к хранению средств на биржах. Это будущее финансов, фронтир технологий — произойти может что угодно и когда угодно.

Атаки на пользователей криптовалют можно разделить на несколько групп.

Фишинг и всё с ним связанное

Вы перешли по непонятной ссылке и думаете, что подключаете кошелёк к привычному Uniswap, а на самом деле это Unɪswąp, который задеплоили злоумышленники специально чтобы уводить сид-фразы у доверчивых пользователей. Либо вообще созданный копипейстом сайт-однодневка, который просит вашу сид-фразу для логина.

Фишинг может происходить где угодно: в телеграме, дискорде, твиттере, на почте. Кроме топорного массового существует и целевой фишинг, который бывает довольно изобретательным и может обмануть даже искушённых криптанов. Такие атаки часто применяются против сотрудников криптокомпаний или владельцев крупных кошельков.

Примеры хитрого фишинга:

атака на пользователей OpenSea, в результате которой были украдены NFT на 1,7 миллиона долларов;
атака на пользователей BadgerDAO с применением фишинга, которая обошлась протоколу в 121 миллион долларов.

В случае с массовым фишингом атакующие, как хорошие маркетологи, стремятся угадать «боли» криптанов и сыграть на эмоциях. Среди самых популярных тем тут фейковые копии токенсейлов, в которые трудно попасть, фальшивая служба поддержки, которая стремится решить вашу техническую проблему, и скамные раздачи бесплатных денег, где любые отправленные средства вам обещают вернуть в двойном размере. Однако «наживка» может меняться от ситуации к ситуации и быть практически любой.

Как противостоять таким атакам:

Не открывайте непонятные ссылки от незнакомых людей и адресов, вообще относитесь к любым ссылкам с недоверием.
Проверяйте адрес сайта, на котором находитесь. Сохраните самые часто используемые в закладках, чтобы не опечататься при наборе. Кроме того, актуальные ссылки на практически любой DeFi-протокол можно найти на агрегаторах типа Coingecko или DefiLlama.
Используйте надёжные пароли — длинные комбинации (от 10, а лучше от 12 символов), состоящие из строчных и заглавных букв, цифр и специальных символов. Ни в коем случае не используйте в качестве паролей слова и комбинации, которые можно вычислить социальной инженерией (даты рождения, клички питомцев, фамилии родственников). Фишеры могут притворяться даже вашими друзьями и знакомыми. Везде используйте только уникальные пароли.
Везде, где это возможно, используйте двухфакторную аутентификацию, предпочтительно не через СМС, а через приложение или аппаратный ключ.— Никогда и ни с кем не делитесь сид-фразой.

Вредоносное ПО

Действует более скрытно, чем фишинговые атаки, ворует сид-фразы и подменяет адреса при отправке средств. Может поступить откуда угодно, поэтому стоит по умолчанию с подозрением относиться к любым файлам, которые попадают на ваше устройство.

Как противостоять таким атакам:

Не скачивайте файлы из мутных источников. Это касается любых расширений, не только *.exe. Избегайте кряков. Если это необходимо сделать, используйте «песочницу», отдельное устройство без доступа к вашим криптокошелькам или хотя бы проверяйте файлы с помощью VIrusTotal.
Будьте внимательны с расширениями браузера. Самые параноидальные могут устанавливать их локально, чтобы не допустить автообновления, при котором экплойт может прилететь даже в ранее легитимное приложение. В наиболее тяжелых случаях фейковым может оказаться и MetaMask.

Вредоносные смарт-контракты

Сюда относятся опасности разрешений на расходование средств, различные скам-токены, токены-подделки, иногда даже обычные подписи.

Один из подвидов — ханипот-токены (интересно, что в кибербезопаности honeypot обозначает ресурс-приманку для злоумшленников, а в крипте по сути наоборот). Их можно купить, но нельзя продать — это опасно в первую очередь для любителей полудить свежие щитки на Pancakeswap, если такие ещё остались.

Также распространены скамные эйрдропы — большинство «дропов», которые прилетают на кошелёк сами, особенно за пределами сети Ethereum, к сожалению, фейк. Их основная цель — побудить вас перейти на сайт проекта и либо отдать приватный ключ, либо подписать скамную транзакцию — в общем, опустошить кошелёк.

Наконец, вам могут попадаться фальшивые токены и NFT, имитирущие известные названия. OpenSea пытается с этим бороться, но во-первых, есть и другие маркетплейсы, а во-вторых, исключить такую вероятность полностью всё равно пока не удаётся.

Как противостоять таким атакам:

Не давайте безлимитных апрувов смарт-контрактам, даже доверенным — нет гарантий, что позже в них не найдут дыру и не используют существующие апрувы для опустошения кошельков. Одобряйте лишь то количество токенов, которое необходимо для конкретной транзакции.
Всегда сверяйте адрес токена/NFT-коллекции с официальным перед покупкой.
При получении непонятных токенов, про которые вы слышите впервые, всегда проводите собственный ресёрч.
Проверять токен на предмет ханипота можно либо чтением контракта, либо через специальные сервисы, например, этот, этот или вот этот. Можно понаблюдать за историей торгов токена — правда, были случаи, когда скамеры отключали возможность продажи уже через некоторое время после начала торгов.

Пылевые атаки

На адрес приходит ничтожно малое количество какой-нибудь криптовалюты, которая используется для дальнейшего отслеживания транзакций и связей между адресами. Альтернативный вариант — фишинговые ссылки в мемо.

Как противостоять таким атакам:

Не трогайте токены, происхождения которых вы не знаете.

Фальшивые холодные кошельки

Сюда же относятся кошельки с вредоносными закладками или просто б/ушные — не забывайте, что приватный ключ от них будет известен и продавцу.

Как противостоять таким атакам:

Покупайте только новые кошельки только у официальных продавцов и дистрибьюторов.

Скамы «инфлюенсеров», инвестиционных пулов, доверительных управляющих

Недавний скандал с Blondychain — хороший тому пример. Это уже ближе к традиционному мошенничеству, жертвы которого добровольно отдают деньги скамеру в надежде заработать.

Как противостоять таким атакам:

Внимательно относитесь к людям, которые предлагают «сотрудничество» — мы в крипте конечно не обманываем друг друга, но ведь и деньги для многих не пахнут.

И не забывайте про физические атаки

Совершенно отдельный вид атак, защититься от которых можно в первую очередь с помощью OpSec (Operations Security, операционная безопасность). Это такой небольшой тизер к третьей части серии про безопасность.

Полезные инструменты

https://haveibeenpwned.com/ для проверки утёкших почтовых адресов и паролей
Google Authenticator / Authy для двухфакторной аутентификации
Bitwarden / LastPass / менеджер паролей по выбору для генерации и хранения надёжных паролей
https://cryptotag.io/ / https://coldbit.com/ / https://cryptosteel.com/ / https://www.simbit.com/ для хранения мнемоник-фраз
https://rugdoc.io/honeypot/ / https://tokensniffer.com/ / https://detecthoneypot.com/ для проверки ханипот-токенов.

И всегда помните, что:

User is a single point of failure. Хороший пример этого — та самая свежая атака, которая позволяет стащить ETH с кошелька через обычную подпись. Metamask выдаёт красное предупреждение об опасности, однако не всех пользователей это останавливает.
Постоянно учитесь и узнавайте новое — чем меньше человек понимает что делает, тем больше опасность, что его кто-нибудь обманет по пути. Не делайте того, что не понимаете сами или о чём не можете спросить более технически подкованных товарищей.
Берегите приватные ключи — именно они по сути и есть ваш кошелёк, после потери ключей обратной дороги уже нет. Не делайте скриншотов и фотографий с ними (которые могут утечь в облако), не храните в открытом виде в приложениях-блокнотах или тем более в Google Docs.

Gagarin Crypto | Канал | Чат | Twitter