Базовые рекомендации по безопасности при работе с криптовалютами
- Введение
- Рекомендации от turrizt 🏅 Moonbeam Sr.Ambassador
- Приватный ключ и Seed-фраза
- Менеджер паролей
- Двухфакторная аутентификация (2FA)
- Приложения и расширения для безопасности
- Аппаратные кошельки
- Кейс
Введение
Чтобы быть уверенными в сохранности своих средств многие площадки совершенствуют свои методы защиты. Но этим стоит озаботиться и обычным пользователям, которые используют криптовалюту. Игнорирование правил безопасности может привести к тому, что все накопления в криптовалюте будут безвозвратно утеряны.
Ниже приведены рекомендации, которые помогут защитить цифровую валюту и не допустить ее краж киберпреступниками.
Рекомендации turrizt🏅Moonbeam Sr.Ambassador
5 вещей которые нужно обязательно знать , чтобы избежать мошенничества:
Администраторы | модераторы проекта не будут связываться с вами через личные сообщения❗️
Никогда не сообщайте свой пароль, закрытый ключ или seed фразу.
Посетите официальные каналы проекта или свяжитесь с командой,чтобы проверить,является ли человек реальным членом проекта .
Не совершайте переводы средств без подтверждения того, что переводите их реальному участнику проекта.
Рекомендации от jadovita 🏅 Moonbeam Sr.Ambassador
Никогда не делитесь своим приватным ключём или Seed фразой
Приватный (закрытый) ключ по своей сути является сложной криптографической формой. Он позволяет пользователю получить доступ к своей криптовалюте. Закрытый ключ является неотъемлемой частью криптовалюты Bitcoin и остальных альткоинов. Благодаря ему, владелец криптовалютного кошелька защищен от потерь и несанкционированного доступа к своим средствам.
При работе с криптовалютами пользователь получает публичный адрес и приватный ключ для транзакций криптовалют или токенов. На публичном адресе владельца криптокошелька находятся полученные им средства, с которого он также может их отправить любому другому пользователю. Но даже если у пользователя есть токены, полученные на его адрес, он не сможет их использовать без уникального приватного ключа. Публичный (открытый) ключ создается из приватного ключа с помощью сложного математического алгоритма. Обратный процесс, создания приватного (закрытого) ключа из публичного практически невозможен.
Приватный ключ может принимать несколько различных форм, но зачастую выглядит, как последовательность буквенно-цифровых символов. Такой подход затрудняет взлом криптовалютного кошелька хакерами. Важно хранить приватный ключ в безопасности, иначе доступ в ваш криптокошелек может быть скомпрометирован.
При потере пользователем приватного ключа от своего кошелька, доступ к нему для совершения транзакций будет безвозвратно потерян. Поэтому к безопасному хранению приватного ключа необходимо подойти максимально ответственно. Для сохранности закрытого ключа есть несколько проверенных и надежных способов.
- Приватные ключи можно хранить используя бумажный кошелек. Это текст на бумаге или QR-код, используемые для подписи транзакции, когда это потребуется.
- Использование аппаратного кошелька для хранения приватного ключа. Он применяет USB-устройство для создания и защиты приватного ключа оффлайн.
- Для хранения приватного ключа также используется десктопный кошелек. В нем закрытый ключ хранится в файле, а когда требуется подписать транзакцию, он загружается на ПК и выполняет свою функцию.
Приватный ключ можно посмотреть с помощью мнемонической или Seed фразы с помощью:
Мнемоническая фраза или Seed фраза -это список слов, которые хранят всю информацию, необходимую для восстановления крипто-кошелька.
Кошелек обычно сам генерирует мнемоническую резервную фразу, чтобы пользователь записал ее на бумаге. Если компьютер пользователя сломается или жесткий диск повредится, он сможет снова загрузить тот же кошелек и использовать бумажную резервную копию, чтобы вернуть свои криптоактивы. Так как любой обладатель мнемонической фразы получает доступ к кошельку, требуется очень тщательно ее хранить.
Многие кошельки поддерживают создание двухфакторной мнемонической фразы. В этом случае кошелек генерирует мнемоническую фразу и запрашивает у пользователя пароль или кодовое слово. Затем для восстановления кошелька понадобится и мнемоническая фраза, и слово/пароль.
Большинство людей записывают фразы на бумаге, но их можно хранить многими другими способами: запомнить, записать на полях книги, выгравировать на металле и так далее. Для хранения на бумаге фразу лучше писать карандашом, а не ручкой. Записку следует хранить в темноте, избегая экстремально высоких или низких температур и влаги.
Лучше всего использовать металические планшетки . Они не боятся воды, огня и кислот. И их так просто не выбросишь, приняв за ненужную бумажку. Хранить лучше всего в сейфе или банковской ячейке.
Можете добавить во фразу лишние слова, чтобы запутать злоумышленника. Так как словарь из слов, которые используются для генерации мнемонических фраз состоит из 2048 слов , лучше выбрать лишние слова из этого списка потому что мошенник может быть достаточно умен.
https://github.com/bitcoin/bips/blob/...
Что лучше не делать с seed-фразой
Опасные способы хранения, которые лучше не использовать:
- Электронная почта, мессенджеры. Известны случаи, когда пользователи теряли деньги таким образом.
- Облачные хранилища.
- Онлайн-кошельки криптовалюты. Seed-фраза хранится на серверах, которые можно взломать и получить доступ к монетам пользователей.
Используйте менеджер паролей и надежные пароли
Больше не надо повторять один и тот же 8-значный пароль с одной заглавной буквой и одной цифрой для каждого сайта, на который вы подписываетесь.
Сервисы типа KeePass, LastPass или 1Password будут запоминать пароли для каждого сайта, на который вы осуществляете вход, и даже помогут вам генерировать надежные, безопасные пароли для всех этих учетных записей.
Благодаря современным методам безопасности и шифрования, а также надежному мастер-паролю, защищающему вашу учетную запись с помощью двухфакторной аутентификации, использование менеджера паролей является невероятно простым и безопасным способом управления паролями через браузеры и даже устройства.
Используйте двухфакторную аутентификацию (2FA)
Двухфакторная аутентификация (2FA) помешает посторонним пользоваться вашей учётной записью, запрашивая при входе дополнительный код. Сейчас поддерживается два метода двухфакторной аутентификации: при помощи специального аутентификатора и электронной почты или номера телефона .
Если вы включили двухфакторную аутентификацию, то для входа в учётную запись вам нужно будет ввести код. Вы сами выбираете метод его получения.
Чтобы включить двухфакторную аутентификацию, сделайте следующее.
- Откройте настройки учетной записи и перейдите на вкладку «Пароль и безопасность».
- Внизу страницы, под заголовком «Двухфакторная аутентификация», щёлкните «Включить аутентификатор» или «Включить аутентификацию по почте или по номеру телефона », чтобы выбрать метод аутентификации.
Если вы хотите использовать специальное приложение для двухфакторной аутентификации, вот несколько популярных приложений для мобильных устройств:
Пользуйтесь приложениями и расширениями для безопасности
CRYPTOMATOR
Почти все пользуются облачными хранилищами, это действительно удобно. Надеюсь вы понимаете, что Google / Dropbox / Microsoft / Яндекс регулярно просматривают, что вы храните у них. Кстати, в случае запроса от правоохранительных органов — ваши данные сразу же выдадут.
Cryptmator является полностью бесплатным и свободным ПО, с открытым исходным кодом, для шифрования данных на стороне клиента.
С помощью Cryptomator вы можете надежно защитить свои данные, поместив их в зашифрованные хранилища. Получить доступ к данным может только тот, кто знает пароль к хранилищу.
При открытии хранилища с помощью Cryptomator, оно будет отображаться как виртуальный накопитель. Вы можете работать с ним как с обычной USB-флешкой.
Зашифрованные данные хранятся в обычной папке. Если вы откроете хранилище без Cryptomator, то увидите только набор каталогов и файлов с непонятными именами. Распознать что это хранилище Cryptomator можно по файлу masterkey.cryptomator, который находится внутри папки.
Проверяйте легитимность сайтов, когда работаете с виртуальными активами. Мошенники любят создавать клоны популярных бирж или онлайн-сервисов по работе с виртуальными кошельками
SimilarWeb
SimilarWeb компания, осуществляющая деятельность в сфере информационных технологий
Фирма предоставляет услуги веб-аналитики, глубокого анализа данных и бизнес аналитики для международных корпораций. При помощи своей платформы под названием SimilarWeb компания использует технологии обработки больших данных для сбора, измерения, анализа и предоставления данных о поведенческих моделях и статистики вовлеченности пользователей веб-сайтов и мобильных приложений.
После установки , каждый раз когда вы заходите на определенный сайт вы можете увидеть все необходимую информацию о статистике сайта , сколько человек его посещает и убедиться что это подлинный сайт.
СRYPTONITE
Расширение было создано криптоэнтузиастами и в нем записаны все сайты разных ресурсов которые относятся к криптоиндустрии и соответсвенно таким образом вы можете быть уверены что вы попадаете на нужный сайт.
- Красное предупреждение = опасность
Всякий раз, когда вы открываете ссылку, это расширение немедленно проверяет ее по системе аутентификации MetaCert. Опасные ссылки/веб-сайты немедленно блокируются до того, как им будет причинен вред. А аутентифицированные веб-сайты отображают зеленый щит MetaCert.
ETHER ADRESS LOCKUP
EAL ведет ежедневно обновляемый черный список известных фишинговых доменов, чтобы помочь вам сохранить ваши средства/секреты в безопасности. Черный список сохраняется локально в расширении каждые 10 минут, чтобы сохранить вашу конфиденциальность. Единственный раз, когда вы обращаетесь к стороннему сервису, это когда расширение кэширует черные списки — сервисы Github.
Проверка истории. Наряду с блокировщиком домена существует также проверка истории для анализа истории вашего браузера, чтобы предупредить вас, если вы были в уже известном плохом домене.
Аппаратные кошельки
Аппаратные кошельки обычно производятся в виде небольших устройств, напоминающих USB-флэш-накопители, которые созданы с единственной целью - безопасно хранить большие суммы криптовалюты.
Без углубления в технические детали, достаточно знать лишь то, что такой тип устройств, по мнению большинства пользователей, обеспечивает наивысший уровень защиты. Критерии безопасности основаны на идее, чтобы сделать невозможным извлечение приватных ключей из устройства, если даже преступнику удалось физически завладеть вашим аппаратным кошельком.
Двумя наиболее известными на рынке провайдерами аппаратных кошельков являются:
Обе эти компании предлагают широкий ассортимент продукции на выбор. Важно приобретать устройства непосредственно на вебсайте провайдера.
Никогда не пользуйте публичным WiFi
Кейс , который необходимо знать, чтобы не повторить ошибки❗️
В субботу, 29 января 2022 г. (UTC), третье лицо разместило вредоносную ссылку на канале объявлений Moonbeam с целью получения средств от сообщества. Ниже приведены подробные сведения об инциденте и ответе.
Компания социальной инженерии позволила злоумышленнику получить доступ к каналу объявлений Moonbeam и публиковать сообщения через бота. Около 2:30 утра по всемирному координированному времени 29 января он был использован для публикации серии сообщений со ссылкой на мошеннический веб-сайт, на котором утверждалось, что пользователям, отправившим средства злоумышленнику, предлагаются бонусные вознаграждения за стекинг.
Команда Moonbeam оперативно удалила эти сообщения и отключила бота-нарушителя. Команда также сообщила о вредоносном веб-сайте хостинг-провайдеру, регистратору и CDN. В конечном итоге запись DNS была удалена.
Судя по всему, средства были отправлены на счет Kucoin.
Всего с 30 уникальных адресов на аккаунт злоумышленника было отправлено 4247 GLMR.
Этапы исправления:
Команда Moonbeam удалила бота-нарушителя с сервера Discord и лишила администраторов возможности управлять веб-перехватчиками, которые использовались для этой атаки. Кроме того, большинство членов команды Moonbeam были понижены до новой роли с меньшим количеством разрешений.