About Teletype
Join
Loky LD
@loky
September 8, 2023

Криптобезопасность в 2023 году: Распространенные Мошенничества и Угрозы

1. Rug-Pull (Исчезновение ликвидности)

Rug pull в криптосфере - это мошенническая схема, при которой создатели проекта выводят ликвидность из пула, полученную от рядовых вкладчиков, и затем исчезают с похищенными средствами. Вкладчики остаются с бесполезными токенами, стоимость которых стремится к нулю.

2. Фишинговые атаки(+Спуффинг)

Как правило, хакеры используют фишинг для доступа к данным вашей учетной записи NFT. Для этого они рассылают поддельные ссылки, часто по электронной почте или через популярные каналы социальных сетей и форумы, такие как Twitter и Discord. После того, как вы нажмете ссылку и введете свои данные, хакеры используют кейлоггер или шпионское ПО, чтобы получить доступ к вашей учетной записи и скомпрометировать ее.

3. Мошенничество с торгами

Мошенничество на торгах часто происходит на вторичном рынке, когда вы пытаетесь продать свой NFT. Когда вы выставляете свой NFT на продажу, мошенники назначают самую высокую цену, и вы, естественно, захотите продать его им. Однако эти мошенники могут без вашего ведома изменить криптовалюту, используемую для торгов

4. Pump-and-Dump Schemes

В рамках мошенничества с NFT по схеме «накачка и сброс» мошенники искусственно завышают цену NFT, вводя в заблуждение и распространяя вводящую в заблуждение информацию. Как только цена растет, они «сбрасывают» NFT и бесследно исчезают, оставляя инвесторов с бесполезными активами.

Обычно мошенники используют социальные сети и поддержку знаменитостей, чтобы создать ажиотаж вокруг NFT. Во многих случаях они вливают деньги в NFT, повышая цену и мешая инвесторам игнорировать их.

5. Плагиат NFT

По сути, NFT — это создание уникальных цифровых токенов. К сожалению, на многих платформах NFT широко распространен плагиат. Недавно OpenSea сообщила , что более 80% NFT, отчеканенных с помощью ее инструмента, были фальшивыми. Таким образом, высока вероятность того, что вы покупаете украденную копию работы реального художника.

6. Розыгрыши NFT (аирдропы)

Мошенничество с раздачей NFT, также известное как аирдроп, происходит, когда мошенники просят вас рекламировать NFT и регистрироваться на их веб-сайте в обмен на бесплатный NFT. Как только вы закончите, они отправят вам ссылку, требующую ввести данные своего кошелька, чтобы получить приз. Эти мошенники NFT копируют данные вашей учетной записи и используют их для доступа к вашей коллекции NFT.

7. Мошенничество инвесторов

Мошенничество с инвесторами происходит, когда мошенники создают законные проекты NFT и рекламируют их как стоящие инвестиции. Однако на самом деле проекты ничего не стоят. Накопив достаточно средств инвесторов, мошенники бесследно исчезают.

8. Выдача себя за службу поддержки клиентов

Это своего рода фишинговая афера, когда мошенники выдают себя за агентов службы поддержки клиентов торговой площадки NFT. Обычно они связываются с вами через каналы социальных сетей, такие как Discord, Telegram или Twitter, и сообщают о проблеме, связанной с вашей учетной записью. Затем, под предлогом помощи, они отправят ссылку на поддельные торговые площадки NFT, которые потребуют от вас ввода личных ключей кошелька.

9.Схемы Понци заманивают ничего не подозревающих жертв, обещая высокую прибыль с минимальным риском или вообще без него. Но когда люди перестают инвестировать, схема рушится, и все деньги забирают операторы.

10. Романтические аферы

Мошенники также нацелены на инвесторов через приложения для знакомств, такие как Tinder, Hinge и Bumble, создавая романтические отношения в Интернете, а затем убеждая их инвестировать в криптовалюту. Благодаря технологиям искусственного интеллекта (ИИ), таким как ChatGPT и Google Bard, которые перепишут все правила в 2023 году, также будет распространяться чат-бот с искусственным интеллектом , который запрограммирован обманывать претендентов и опустошать их кошельки.

11. Мошенничество с SIM-картами (смишинг)

Одним из наиболее опасных видов криптомошенничества является мошенничество с SIM-картами. Эта афера позволяет мошенникам получить доступ ко всей информации, хранящейся на SIM-карте жертвы, включая пароли учетных записей криптовалюты и двухфакторную аутентификацию (2FA).

12. Фальшивые одобрения знаменитостей

Мошенники часто пользуются ложными заявлениями о поддержке со стороны знаменитостей, чтобы убедить инвесторов в надежности определенного проекта. Эти фейковые одобрения могут быть использованы для привлечения внимания и доверия, но часто оказываются обманными.

13. Фейковые биржи

Злоумышленники создают фейковые криптовалютные биржи, которые выглядят как настоящие, но на самом деле предназначены для кражи средств. Инвесторы могут случайно оказаться на этих фейковых платформах и потерять свои активы.

14. Поддельные кошельки

Мошенники могут создавать поддельные кошельки, которые выглядят как официальные, но на самом деле предназначены для кражи ваших средств. Осторожность при выборе кошелька и его источника - важный аспект безопасности.

15. Oтравление адреса

это мошенничество, нацеленное на пользователей криптовалюты, включая пользователей Ledger. В этом мошенничестве злоумышленник «отравляет» вашу учетную запись, отправляя вам небольшое количество криптовалюты — обычно USDT, MATIC или TRX — или иногда NFT, замаскированный под ваучер. В некоторых случаях мошенник может даже создать впечатление, будто вы инициировали транзакцию «Отправить».

Эта мошенническая транзакция затем появится в вашей истории транзакций Ledger Live, а адрес мошенника может быть похож на ваш собственный.

Мошенники надеются, что вы по ошибке скопируете их адрес из истории транзакций и отправите средства на их счет вместо законного.

16. Атаки с использованием срочных кредитов (Flash loans)

Атаки флэш-займов — это тип атаки DeFi, при которой кибервор извлекает флэш-кредит (форму необеспеченного кредитования) из протокола кредитования и использует его в сочетании с различными типами уловок, чтобы манипулировать рынком в свою пользу. Такие атаки могут произойти за считанные секунды, но при этом задействуют четыре или более протоколов DeFi.

17. Неограниченное одобрение (Token Approval) — это функция, которая позволяет пользователям предоставлять платформам и смарт-контрактам разрешение тратить токены/монеты от вашего имени без ограничений . Обычно при обмене на конкретный AMM, такой как Uniswap, пользователям необходимо утвердить смарт-контракт/платформу для передачи этих токенов от их имени

  • Утверждение токена : вас просят разрешить децентрализованному приложению и его смарт-контракту перемещать определенное количество токенов в вашем кошельке ( подробнее можно прочитать здесь ). Подумайте: «Зачем мне предоставлять доступ к моим токенам для создания NFT?» Ответ: не следует. Для чеканки NFT потребуется газ, оплачиваемый в ETH. Но монетному двору NFT определенно не понадобится доступ к каким-либо токенам, таким как ERC-20.

18. Эксплойт кода сайта/платформы/приложения

Эксплойт кода представляет собой программу или фрагмент кода, созданный с целью поиска и использования недостатков безопасности или уязвимостей в веб-сайтах, платформах или приложениях. Эти недостатки могут быть связаны с программными ошибками, неактуальными патчами безопасности или недоразумениями в проектировании системы.

Используя эксплойты, киберпреступники могут проникнуть в систему или устройство, а затем выполнять различные действия, такие как:

  • Установка вредоносного ПО (малвари) для дальнейшего контроля над системой.
  • Кража конфиденциальных данных, таких как личная информация, финансовые данные или криптокошельки.
  • Внедрение злонамеренных скриптов для майнинга криптовалюты без разрешения пользователя.
  • Выполнение атак на другие системы изнутри скомпрометированной сети.

Важно отметить, что сам эксплойт не является вредоносным ПО, но он может использоваться для доставки и выполнения вредоносных операций. Для защиты от таких угроз необходимо регулярно обновлять программное обеспечение, следить за патчами безопасности и соблюдать лучшие практики в области кибербезопасности.

19. Уязвимости в смарт-контрактах

Смарт-контракты, являющиеся ключевым элементом децентрализованных приложений и блокчейн-платформ, подвержены различным уязвимостям, которые могут быть эксплуатированы киберпреступниками. Некоторые из наиболее распространенных уязвимостей в смарт-контрактах включают:

  • Unsafe erc721 operation: Эта уязвимость связана с некорректной операцией с токенами ERC-721, что может привести к утере или некорректной передаче NFT (непередаваемых токенов).
  • Reentrancy in safeMint(): Эта уязвимость связана с рекурсивным вызовом функции safeMint(), что может привести к несанкционированным действиям в контракте.
  • Access control vulnerabilities: Уязвимости в управлении доступом могут позволить злоумышленникам получить доступ к функциям контракта, которые они не должны иметь.
  • Business logic error: Ошибки в бизнес-логике контракта могут привести к некорректному выполнению действий и потере средств.
  • Other smart contract bugs: Смарт-контракты могут содержать разнообразные ошибки, включая некорректную обработку данных, неправильную логику и многое другое.

Поддержание безопасности смарт-контрактов критически важно для защиты активов и данных пользователей. Для этого рекомендуется проводить аудиты смарт-контрактов, использовать стандартные библиотеки и лучшие практики разработки, а также следить за обновлениями и уязвимостями.

Увеличение Allowance (Разрешения) при создании, покупке и обмене NFT:

При создании, покупке или обмене NFT, пользователи не должны видеть функцию SetApprovalforAll. Регистрация в списке разрешений также не должна предоставлять функцию SetApprovalforAll. Вместо этого, рекомендуется использовать функции SafeTransferFrom и другие безопасные методы для выполнения соответствующих операций с NFT.

Соблюдение этих рекомендаций поможет уменьшить риски связанные с возможными уязвимостями в смарт-контрактах и повысит безопасность ваших криптовалютных активов.

20. атаки на кошелек «Permit2»

После того, как UNISWAP обновил свой протокол, к сожалению, это открыло новый тип атаки, которая может украсть все ваши токены с помощью одного знака/знака. Этот тип атаки (Permit2) может поглотить все содержимое портфеля кошельков в метамаске и кошельках, подключенных к UNISWAP.

21. Крипто-сливщики — Pink Drainer, Inferno Drainer, Pussy Drainer и Venom Drainer — в общей сложности украли 66,4 миллиона долларов примерно с начала 2023 года, согласно данным информационной панели Dune, собранной антимошеннической платформой Web3 Scam Sniffer .

Давайте подробнее разберем каждую из этих функций и какие меры предосторожности можно принять:

  1. "Увеличить разрешение" (Increase Allowance): Эта функция позволяет держателям NFT увеличивать разрешение (размер разрешенного оборота) для других пользователей или контрактов. Она полезна, но также может предоставить возможность злоумышленникам управлять вашими токенами, если используется неосторожно. Рекомендуется использовать эту функцию осторожно и только для доверенных адресов.
  2. "При покупке NFT" (When Buying NFT): Здесь предостерегают от использования функции "SetApprovalforAll" при покупке NFT. Это связано с тем, что, если вы предоставите разрешение на управление всеми вашими NFT какому-либо контракту при покупке NFT, это может создать риски для безопасности. Лучше предоставлять разрешение только тем контрактам, которым вы действительно доверяете.
  3. "Обмен или передача NFT" (Trading or Transferring NFT): Та же самая функция "SetApprovalforAll" может быть связана с рисками при обмене или передаче NFT. Опять же, важно ограничивать доступ к управлению вашими токенами только тем, кому вы доверяете.
  4. "Регистрация в списке разрешенных" (Listing on Permission List): Если речь идет о размещении NFT на бирже или платформе, рекомендуется быть осторожным при предоставлении разрешений. Убедитесь, что вы предоставляете разрешения только надежным и проверенным адресам.
  5. "См. функцию SetApprovalforAll для создания NFT" (See SetApprovalforAll Function for NFT Creation): Это предостережение касается того, что при создании NFT вам не следует видеть функцию "SafeTransferFrom". Это указывает на то, что процесс создания NFT должен быть отделен от функций передачи и обмена токенами.
  6. "При покупке NFT" (When Buying NFT): Похожее предостережение как в пункте 2 - предостерегайтесь использования функции "SafeTransferFrom" при покупке NFT. Эта функция может быть связана с рисками безопасности.
  7. "Регистрация в списке разрешенных" (Listing on Permission List): Снова, убедитесь, что предоставление разрешений для вашего NFT на бирже ограничено и только доверенными контрактами.

В целом, важно быть внимательным и осторожным при работе с NFT и предоставлении разрешений. Проверяйте контракты, платформы и сервисы, которые вы используете, и убедитесь, что они действительно заслуживают вашего доверия.

  1. Не переходите по подозрительным ссылкам: Не переходите по подозрительным или ненадежным ссылкам, особенно если они приходят вам в сообщениях или электронной почте. В конечном итоге, это может привести к передаче ваших данных мошенникам.
  2. Не сообщайте свой пароль или начальную фразу: Никогда не делитесь своими паролями или начальной фразой для восстановления доступа к вашей криптовалютной учетной записи. Это наиболее важные секреты, и никто, кроме вас, не должен их знать.
  3. Используйте двухфакторную аутентификацию (2FA): Включите двухфакторную аутентификацию (2FA) в своей криптовалютной учетной записи, чтобы добавить дополнительный уровень безопасности. Это поможет защитить вашу учетную запись от несанкционированного доступа.
  4. Проводите исследование перед инвестированием: Прежде чем инвестировать в NFT или другие криптовалютные проекты, проведите тщательное исследование. Проверьте личность и историю продавца NFT или проекта перед тем, как совершать сделку.
  5. Используйте виртуальную частную сеть (VPN): Для шифрования и анонимизации вашего NFT-трафика используйте виртуальную частную сеть (VPN). Это может помочь защитить вашу конфиденциальность и безопасность в сети.
  6. Используйте кошелек с холодным хранилищем: Для хранения своих цифровых активов в автономном режиме используйте кошелек с холодным хранилищем. Это поможет защитить ваши токены от онлайн-угроз.
  7. Используйте надежные методы аутентификации: Обеспечьте безопасность вашей учетной записи, используя надежные методы аутентификации, такие как двухфакторная аутентификация и доказательства с нулевым разглашением (ZKP).
  8. Ищите подробный технический документ: Перед инвестированием проверьте наличие подробного технического документа для криптовалюты или проекта. Отсутствие или низкое качество технической документации может быть красным флагом.
  9. Не отвечайте на нежелательные контакты: Не отвечайте на нежелательные сообщения или контакты от непроверенных источников. Если вас контактируют из финансового учреждения или крипто-брокера, найдите официальный номер учреждения и начните независимый контакт.
  10. Проверьте, прежде чем нажать: Не открывайте гиперссылки или вложения из ненадежных источников, особенно если они приходят вам в электронной почте или сообщениях.
  11. Держите счета отдельно: Не связывайте криптовалютные счета с традиционными банковскими счетами. Держите их отдельно, чтобы минимизировать риски.
  12. Немедленно установите удержание: Если вы получили уведомление о необычной активности на своей учетной записи, немедленно установите удержание, чтобы предотвратить дальнейшие транзакции.
  13. Используйте проверенные компании: Для обеспечения безопасности информации и криптобезопасности используйте кошельки и биржи от уважаемых компаний с хорошей репутацией. Убедитесь, что сайт биржи или кошелька начинается с "HTTPS".
  14. Всегда будьте в безопасности: Всегда будьте осторожными и предельно осторожными в мире криптовалют. Не спешите в инвестициях и не поддавайтесь соблазну "слишком хорошо, чтобы быть правдой".

Эти советы и меры предосторожности помогут вам защитить себя при работе с криптовалютами и NFT, а также предотвратить возможные мошеннические действия.

Loky LD
September 8, 2023, 20:08
0 reactions
0 views