About Teletype
Join
Инвест заметки
@investzametki
March 11

Безопасность в крипте

Начнем с важного. Ни одна статья, ни один сервис или устройство не сможет гарантировать вам абсолютную защиту от мошенников и сберечь ваши средства. Риски есть всегда, наша задача их минимизировать. Постоянно повышайте свою грамотность в области безопасности и хранения средств.

Как и где хранить?

Давайте сперва начнем с азов - с «холодного» хранения крипты, в котором нам помогают «холодные» кошельки. Каковы их плюсы:

  • Оффлайн хранение: средства находятся подальше от киберпреступников, так как холодный кошелек не имеет доступа к интернету.
  • Личный контроль: вы полностью контролируете свои средства и приватные ключи, что означает, что только вы имеете доступ к своим активам.
  • Дополнительная безопасность: холодные кошельки обычно имеют дополнительные функции безопасности, напрмиер, двухфакторную аутентификацию.

Холодный криптокошелек практически невозможно взломать, что делает его одним из самых безопасных способов хранения криптовалюты.

Понимаем, что не всегда и не у всех есть возможности для хранения средств на холодных кошельках, тогда постарайтесь диверсифицировать хранение между разными доступными для вас кошельками.

А теперь давайте разберемся, какие факторы могут привести к потере ваших средств.

Нелицензионный, он же «пиратский» контент

Использование подобного контента может привести к проникновению вредоносного ПО на ваши гаджеты. История про то, что «скупой платит дважды» именно об этом. Лучше заплатить и «спать спокойно».

Главное осознать, что мошенникам не обязательно здесь и сейчас совершать хищение ваших средств. Если они проникли в ваше ПО, то поверьте, профессионалы своего дела умеют выжидать. Злоумышленники крадут логи/куки, хранят сид-фразы кошельков и мониторят баланс, на случай, если вы вдруг сделаете выгодную и крупную покупку или успешно поучаствуете в аирдропе.

Советы:

  • С чистого устройства создать новые кошельки и переместить все свои активы туда. Отключите синхронизацию данных приложений-кошельков в iCloud/Google.
  • Сменить все пароли на почтовых и биржевых аккаунтах, включить 2FA + СМС.
  • Используйте хотя бы встроенный антивирус и регулярно обновляйте его.
  • Проверяйте переносные носители информации и тщательно следите за своими устройствами, чтобы ими пользовались только вы - так вы снизите риск заражения.

Личная жизнь и работа

Разделяя крипту, работу, отдых вы значительно повышаете свою продуктивность и внимательность.

Кроме того, имея отдельное устройство для работы с криптой вы снижаете риски его «заражения» вами или членами вашей семьи.

Советы:

  • Перенесите всё, что связано с криптой на отдельный аккаунт/ы. Там не должно быть компрометирующих данных: имя, фото, номер, никнейм.
  • Используйте хороший зарубежный сервис VPN/прокси,поисковик, который не отслеживает историю.
  • Всегда проверяйте адрес для приёма/отправки средств через CTRL+F.
  • Не используйтепубличные сети Wi-Fi.
  • Не оставляйте устройство без присмотра, не используйте разблокировку по отпечатку/лицу или Bluetooth.

Запомните важную, но не самую приятную информацию: безопасность и удобство практически никогда не идут рука об руку. Соответственно, разблокировка вашего кошелька на телефоне должна быть только по паролю.

Счастье любит тишину

Не надо лишний раз выкладывать ваши кошельки, финансовые успехи и прочую информацию, которую можно использовать против вас. Этим как минимум может заинтересоваться при необходимости налоговая служба, так и недоброжелатели, которые при первой возможности постарются вам навредить. Если злоумышленник заметит на вашем скриншоте, например 123,456 ETH, скорее всего он без труда сможет по холдерам в эксплорере блокчейна быстренько найти именно ваш адрес. Высока вероятность, что ни у кого больше нет такой суммы на данный момент.

Советы:

  • Не публикуйте точное значение баланса. То же самое касается и NFT – не показывайте #ID NFT или саму картинку. Как бы не хотелось похвастаться - но счастье любит тишину.
  • Не сообщайте адреса своих кошельков, даже старых. Помните, что потенциальными злоумышленниками могут оказаться даже родственники или просто завистник вокруг вас.
  • Не стоит распространяться о своих удачах в крипте, так как это повышает риск целевой атаки на вас посредством шантажа/давления/взлома. Причем не только на вас, но и на ваших близких.
  • Отключите автозагрузку медиа в мессенджерах, включите автоматические удаление кэша через 3-7 дней.
  • НИКОГДА, еще раз НИКОГДА не открывайте ссылки в личных сообщениях в Discord, Telegram, других соц.сетях / мессенджерах / почтовых сервисах, которые связаны с вашими криптоакканутами.
  • Осторожнее с файлами, в том числе от знакомых людей, так как они могут стать жертвой злоумышленника. Стоит открывать файлы только в облаке, по ссылке. Проверяйте адрес ссылки, ведь можно скопировать любой сайт. И обратите внимание на то, как похожи, например I и l, а это два разных символа.

Ошибки при использовании CEX

С централизованными биржами тоже не всегда так гладко, как хотелось бы. Приведенные ниже советы помогут вам минимизировать риски потери средств.

Советы:

  • Установите уникальный и сложный пароль (желательно, чтобы он не имел смысловой нагрузки, а был просто набором символов) и регулярно обновляйте его
  • Установите двухфакторную аутентификацию(2FA)
  • Используйте белый список адресов.
  • Самое главное помните: крипта на бирже это не ваша крипта.

Ошибки при взаимодействии с DeFi

Отключение расширения-кошелька от сайта не означает, что вы в безопасности, ведь все аппрувы остались! Мы не хотим сделать из вас параноика и нагнать жути, но «предупрежден = вооружён».

Советы:

  • Старайтесь знакомиться с новыми инструментами на тестнетах/в тестовой сети, а также совершать транзакции на небольшие суммы, чтобы убедиться, что вы действуете верно и понимаете, как работает новый инструмент.
  • Отозвать бесконечные аппрувы на сайтах, как бы вы им не доверяли. Для эфира есть Etherscan - официальный инструмент. Для остальных EVM блокчейнов аппрувы можно отзывать вручную, взаимодействуя со смартконтрактом на странице эксплорера.
  • Важно: не храните “обёрнутые” (wrapped) монеты. Если будет взломан мост и украдены все средства, то ваши обернутые монеты превратятся буквально в фантики, тк их обеспечение в виде заблокированных в мосте монет исчезнет.

Полезные инструменты и советы проверенные временем

Учиться на чужих ошибках это полезно. В данном блоке мы собрали советы и инструменты, которые не тривиальны, но также могут быть очень полезны при хранении крипты.

Советы:

  • И вновь речь про безопасность и удобство. Старайтесь соблюдать правило: 1 сервис/сайт = 1 уникальный пароль. Если с фантазией туго - можно воспользоваться генератором паролей и не забывать регулярно обновлять пароли на ключевых сайтах и сервисах.
  • Не знаете, что за ссылку вам прислали, но есть необходимость ее открыть? Можете использовать VirusTotal для проверки любых ссылок или файлов на вшитые вирусы.
  • Последнее время участились случаи перевода скам-токенов/NFT. Не стоит каким-либо образом взаимодействовать с ними.
  • Лайфхак для бывалых: используйте второй телефон в качестве хранилища паролей, кодов аутентификации Google и приёмника СМС. Не забывайте создавать на нем резервные копии.

Остерегайтесь сомнительных проектов

Крипта приучила нас, что не всегда «бесплатный сыр только в мышеловке», но давайте рассмотрим явные признаки того, что проект попахивает скамом. Если вы обнаружили хотя бы половину признаков - лучше обходите такой «перспективный проект» стороной.

Признаки:

  • Анонимность команды. Если не получается найти никакой информации о команде. Особенно если основные члены команды не показывает своих лиц и не дает ссылки, например, на Linkedin.
  • Ценность проекта. Если проект не привносит в индустрию ничего принципиального нового, а просто амбициозно заявляет, что станет «убийцей конкурента» - скорее всего не станет и просто пытается собрать деньги за счет упоминания громкого имени в презентациях.
  • Поддержка фондов. У любого фонда есть свой исследователь (или даже отдел), который на старте фильтрует откровенный скам. Правда, как показывает, практика - даже фонды порой ошибаются.
  • Проведение AMA. Отчасти отсутствие АskMeAnything-сессий с сообществом может быть продолжением первого пункта, связанного с анонимностью. Но также так формат подразумевает возможность задать любые вопросы, в том числе и каверзные - некоторые СЕО опасаются проводить такие встречи.
  • Период от создания проекта до запуска TGE. Если вы видите, что от создания официальных каналов до выхода на TGE у проекта ушло очень мало времени - это точно 🚩. Как мы все хорошо понимаем, за короткое время невозможно набрать команду профи, создать рабочую экосистему, обзавестись партнерами и обзавестись сообществом, которое не будет состоять только из ботов.

Напоследок: если вы тот самый хитрец, который хочет зайти в скам проект первым и разгрузиться в тех, кто зайдет после вас - в любом случае делайте это на сумму, которую готовы спокойно потерять. Хотя наша команда и против поддержки скамеров даже в таком виде.

На сегодня все. Информации много, найдите время, чтобы внимательно с ней ознакомится, а главное выработать привычку следовать всем основным советам.

Stanislav Andreev
March 11, 06:38
1 reaction
0 views