About Teletype
Join
Манна небесная
@manna_money
Безопасность
November 1

Как безопасно хранить и работать с криптовалютой

В начале были слёзы... Слёзы тех, благодаря чьей беде появилась эта статья. Не падайте духом, братья. Мы будем учиться и станем сильнее!

Ключевые уязвимости и риски

1. Компрометация seed-фразы

Небезопасное цифровое хранение

Вследствие неправильного хранения, к которому можно отнести почти все цифровые методы:

  • Облачные хранилища: Google Drive, iCloud, Dropbox могут быть взломаны через уязвимости в системе аутентификации или социальную инженерию
  • Менеджеры паролей: Даже зашифрованные базы 1Password, LastPass, KeePass небезопасны для хранения seed-фраз, так как:
    • Могут иметь уязвимости в механизмах шифрования
    • Подвержены атакам через облачную синхронизацию
    • Возможен перехват при расшифровке
  • Локальные файлы:
    • Могут быть украдены вредоносным ПО
    • Остаются в бэкапах системы
    • Сохраняются в буфере обмена
  • Антидетект-браузеры и сибил софт — no comments.

Компромиссным методом для цифрового хранения может стать разбиение сид-фраз на несколько частей и хранение в базе зашифрованных парольных менеджеров на разных устройствах, либо внешнем SSD хранилище. Но лучше всего бумага / ламинат / таблички, разделённые на несколько частей и помещенная в надёжные места.

Вредоносное ПО

  • Кейлоггеры: Записывают все нажатия клавиш, включая ввод seed-фразы
  • Скриншотеры: Делают снимки экрана при работе с кошельком
  • RAT (Remote Access Trojans):
    • Предоставляют полный удаленный доступ к компьютеру
    • Могут подменять адреса в буфере обмена
    • Перехватывают управление мышью и клавиатурой
  • Стилеры:
    • Специализируются на краже криптовалютных данных (кошельки, профили браузера, текстовые файлы и всё, где могут храниться ваши секреты)
    • Сканируют систему на наличие файлов с ключами
    • Могут извлекать данные из браузеров

Небезопасная генерация ключей

  • Предсказуемые источники энтропии: Использование слабых генераторов случайных чисел
  • Скомпрометированные генераторы: Модифицированное ПО, создающее предсказуемые ключи

Злоумышленники украли около $3,3 млн в криптовалюте у пользователей Ethereum, которые генерировали адреса через инструмент Profanity. — forklog

В 2023 году слабый генератор случайных чисел в расширении для браузера Trust Wallet привёл к краже активов у пользователей. Проблема затронула тех, кто создал криптовалютный кошелёк через фирменное расширение в период с 14 по 23 ноября 2022 года. 1

Уязвимость была обнаружена в модуле WebAssembly браузерного расширения. Он использовал генератор случайных чисел MT19937, у которого из-за неправильной настройки была ограничена верхняя планка общего количества ключей. Из-за этого генератор генерировал псевдослучайные секретные ключи, которые было возможно подобрать.

2. Уязвимости программного обеспечения

Кошельки

  • Поддельные версии:
    • Распространяются через фишинговые сайты
    • Имитируют официальные приложения
    • Содержат бэкдоры для кражи ключей
  • Уязвимости в Ledger Live:
    • Я не нашёл случаев взлома кошельков Ledger или Ledger Live, но есть случаи проблем с приложениями, которые были добавлены в Live и вызвали потерю средств, причём не были сразу удалены, не смотря на жалобы пользователей.
    • Мне не известны случаи, где удалось украсть приватный ключ непосредственно из Ledger или Keystone.

Браузерные расширения

  • Фальшивые MetaMask/Rabby:
    • Копируют интерфейс оригинальных расширений
    • Крадут ключи при импорте
    • Подменяют адреса при транзакциях
  • Вредоносные обновления:
    • Автоматическое обновление может установить скомпрометированную версию
    • Подмена репозитория обновлений

1. Google Chrome переходит на новый формат расширений Manifest V3, а старые перестанут работать из-за проблем с безопасностью. Если вы не используете какие-то из расширений, лучше их отключить, особенно если они устарели.

2. Использование фильтров содержимого AdGuard или AdBlock будет не лишним, поскольку много говна может быть отфильтровано и не загрузится в ваш компьютер, иногда даже без вашего ведома.

Подмена транзакций

Может происходить как в результате заражения, так и просто спам специальной dust атакой с похожих на ваш адресов.

  • Address Switching:
    • Замена адреса получателя в момент копирования (видно в Rabby, если используете whitelist)
    • Генерация похожих адресов (первые и последние символы совпадают) (видно в Rabby, если используете whitelist)

≪Как потерять миллионы рублей с помощью Ledger.≫ — vc.ru

  • Модификация данных транзакции на фишинговых сайтах:
    • Добавление скрытых approve на крупные суммы (видно в Rabby)
    • Подмена smart-контрактов (видно в Rabby)
    • Подмена permit2 аппрувов даёт доступ хакеру к распоряжению вашими монетами (видно в Rabby)

Чаще всего на такие сайты вы попадаете по ссылкам, если начинаете общаться с фальшивыми агентами поддержки в Discord, Telegram. Также по рекламе из поиска в браузере также часто можно попасть на копии сайтов. Короче, пользуйтесь закладками в браузере и обращайте внимание на предупреждения Rabby.

3. Проблемы с аппаратными кошельками

Аппаратные кошельки надёжно защищают сид-фразу, но всё еще могут быть компрометированы.

Если вы ввели куда-либо seed фразу из аппаратного кошелька, то вам следует создать новую, а старую считать горячим кошельком. Картонку с seed фразой также желательно заменить резервным аппаратным кошельком или хотя бы разделить на несколько частей и хранить в разных местах.

Уязвимости прошивок

  • Атаки при обновлении:
    • Установка модифицированной прошивки из не надёжного источника. Обновляйтесь только при острой необходимости и только с официального сайта, указанного производителем.
  • Физические атаки:
    • Модификация устройства до продажи (были случаи). Никогда не покупайте кошельки в непроверенных местах или с рук. То же касается и кабелей.

Взаимодействие с ПК

Данные можно модифицировать на программном и аппаратном уровне, поэтому даже при использовании аппаратного кошелька нужно быть бдительным. Проверять данные на экране, использовать оригинальные кабели или технологию air-gapped, без кабеля.

  • Компрометация интерфейса:
    • Подмена данных при отображении на экране компьютера. Вы можете видеть верные данные для подписи в кошельке, но фактически аппаратный кошелёк получит другую транзакцию. Поэтому важно проверять данные на экране аппаратного кошелька. Для этого лучше подходят кошельки с большим экраном и поддержкой EIP-712: например Keystone 3 PRO.
    • Манипуляции с USB-протоколом (смотри ниже).
  • Man-in-the-Middle:
    • Перехват коммуникации между кошельком и компьютером
    • Модификация данных в реальном времени

Уязвимость USB-кабелей заключается в классе хакерских атак BadUSB. Благодаря отсутствию защиты от перепрошивки в некоторых USB-устройствах злоумышленник может видоизменить или полностью заменить оригинальную прошивку и заставить устройство имитировать любое другое устройство. 4

Например, с помощью такого кабеля можно изменять системные файлы и DNS-записи, перенаправлять интернет-трафик на произвольные адреса, выдавать себя за клавиатуру и вводить произвольные команды. 1 Уязвимости подвержены все устройства с незащищёнными USB-контроллерами на борту: флеш-накопители, веб-камеры, мышки, клавиатуры, Android-устройства. 4

Для демонстрации уязвимости BadUSB в USB-кабеле объединённой группе исследователей удалось спроектировать кабель USBHarpoon. 12 После подключения кабеля к разблокированному компьютеру на нём автоматически выполнялся ряд команд, и все действия отображались на экране. 1

Достаточная причина никогда не оставлять ноутбук без присмотра и не заряжать там чужие смартфоны?

Операционные риски

  • Человеческий фактор:
    • Невнимательная проверка деталей транзакции
    • Спешка при подтверждении операций
  • Сложность верификации:
    • Длинные адреса затрудняют проверку
    • Ограниченный экран устройства усложняет проверку данных

Социальная инженерия

Отдельно стоит выделить социальную инженерию. Человек втирается вам в доверие и вы перестаёте фильтровать поступающую от него информацию и сами запускаете присланный зловред в виде документа, PDF, или даже исполняемого файла.

Наиболее опасный вид атак это операция, где целью хакера является конкретный человек или компания. Если цель достаточно ≪жирная≫, в ход пойдут самые передовые методы. Это подогрев вас в течение недель и месяцев и использование уязвимостей 0day, которые не обнаруживаются антивирусом. Возможно это и аппаратные способы взлома, как те же кабели, скрытые камеры, жучки и хрен знает что ещё. Если вы являетесь такой крупной рыбой, вам лучше найти специалиста по безопасности и проконсультироваться с ним.

Распространённый метод таких атак — через деловые звонки, когда вам предлагают скачать патч или программу для звонков чтобы попасть на собеседование или питч по инвестициям. Подробнее

— Бро, ты как? Еще не побежал продавать всю крипту? Тогда переходим к методам защиты.

Рекомендации по безопасности ОС

Общая рекомендация независимо от ОС — не покупать компьютеры с рук, только новые, где ОС также установите вы сами (лицензионную). Также и перед продажей компьютера следует использовать специальный софт для надёжного удаления данных с диска множественным проходом.

Софт и расширения браузера ставить только необходимые и лицензионные, желательно из магазина приложений.

Если необходимо запустить софт не из магазина приложений, который может быть опасным или не вызывает у вас доверия, можно использовать программы виртуализации с отдельной ОС: VirtualBox, VMWare. Обе бесплатны для индивидуального использования. Минус — тормозят, не всё железо поддерживает виртуализацию.

Windows Sandbox

Windows 11 Pro имеет встроенную песочницу Windows Sandbox, которая работает довольно шустро (если процессор поддерживает виртуализацию), права удаляет все данные после закрытия.

Альтернативой могут быть программы-песочницы Sandboxie (Windows) для безопасного запуска софта внутри ОС. Есть аналоги для Linux и Mac (Firejail). Берём на заметку, кидаем в закладки.

Windows

Windows 11 — самая актуальная версия на момент написания, содержит достаточно встроенных функций защиты. Необходимо их активировать и соблюдать правила цифровой гигиены.

1. Активировать расширенные функции Windows Defender:

  • Изоляция ядра и памяти
  • SmartScreen
  • Controlled folder access
  • Шифрование диска (Home) или BitLocker (Pro).

2. Использовать отдельный профиль браузера и пользователя без прав администратора в ОС для крипто операций.

Если у вас включен вход в учётную запись Microsoft, то для дополнительной безопасности выполните настройку 2FA и беспарольного входа через приложение Microsoft Authentificator на странице Безопасность. Для входа будет использоваться отпечаток пальца через Windows Hello, если ваш ноутбук поддерживает его, или приложение в смартфоне.

3. Регулярные проверки на вредоносное ПО:

  • Windows Defender и встроенный брендмауэр всегда включен и Windows Update регулярно должен накатывать обновления;
  • Malwarebytes для периодического дополнительного сканирования;
  • Process Monitor для отслеживания подозрительной активности, если вы шарите.

Рекомендую выполнить все шаги по настройке WIndows 11 из этого руководства по настройке. Некоторые функции отключены по-умолчанию.
https://pureinfotech.com/best-security-settings-windows-11/

MacOS

1. Базовая защита:

  • FileVault encryption
  • Использовать только App Store или проверенные источники

2. Мониторинг:

  • Little Snitch для контроля сетевой активности и подписей приложений
  • LuLu брандмауэр для блокировки неавторизованных соединений

3. Безопасность системы:

  • Регулярные обновления
  • Отдельный пользователь для крипто операций
  • Блокировка неиспользуемых портов

Хакеры могут взламывать не только ваш компьютер, но и компьютер разработчиков приложений. Поэтому с обновлением программы может прилететь что-то нежелательное и даже антивирус не сможет это определить. Поэтому 100% защиты нет и нужно минимизировать количество программ и максимизировать количество мер противодействия утечке данных.

Зловред может находиться в системе месяцами, а то и годами, никак не проявляя себя. Любые ваши данные и кошельки могут быть уже компрометированы.

Не стоит думать что если у вас MacOS, то вы в безопасности. Количество уязвимостей, доступным хакерам под эту ОС, также растёт, поскольку крипто инвесторы часто выбирают компьютеры Mac, считая их более безопасными. Не теряйте бдительность. Стимулом к написанию статьи стало 2 грабежа крипто кошельков моих коллег за неделю. Оба пользовались MacOS.

Linux

Ну это лучше меня разбираются

Четыре шага по улучшению безопасности прямо сейчас

1. Аппаратное обеспечение:

  • Приобрести hardware кошелек (Ledger или Keystone) в надёжном месте и создать новую seed фразу прямо в нём
  • Keystone предпочтительнее, так как не требует подключения к компьютеру и имеет наглядное представление операций
  • Использовать Safe мультисиг 2/3 для крупных сумм (для одного из ключей вполне подойдет хороший смартфон с чипом безопасности, такой как Samsung серии S с чипом Knox, Google Pixel, iPhone).

Важно помнить что адрес Safe кошелька может быть новый в каждой сети, где вы его развёртываете. Лучше выбрать какую-то одну сеть, где вы будете им пользоваться чтобы не запутаться. Safe также можно добавить в Rabby как обычный кошелёк. Даже если будет компрометирован или утерян доступ к одному из ключей, его можно заменить.

2. Операционная система:

  • Включить все рекомендованные настройки безопасности
  • Создать отдельный профиль для крипто операций без админских прав и лишних программ и сервисов

3. Практики безопасности:

  • Установить программу для хранения паролей Keepass XC, 1Password.
  • Придумать надёжный метод хранения seed-фраз
  • Проверять каждый символ адреса при транзакциях
  • Установить Rabby и настроить whitelist для адресов CEX и тех, с которыми часто работаешь

4. Цифровая гигиена

  • Создать отдельный электронный адрес для самых важных писем и привязки критичных сервисов. Этот адрес никто не будет знать.
  • Посмотреть видео по настройке Х и Telegram в конце статьи и выполнить настройки.

Действия при взломе

Надеюсь что этот раздел вам никогда не пригодится!

В случае если вы поняли что вас взломали и украли приватные ключи (средства утекают с кошелька в разных сетях или вы сами раскрыли свои секреты). В ином случае, если только в одной сети, то возможно вы просто подписали scam approve. В этом случае можно просто снять аппрувы через Rabby или сервис https://revoke.cash/ru

1. Немедленные действия:

  • Отключить компьютер от интернета;
  • Создать новый кошелёк с безопасного устройства и перевести все оставшиеся активы;
  • Обратиться к специалисту по цифровой безопасности чтобы сохранить все логи и доказательства для определения способа компрометации данных (опционально).

2. Подача заявлений и маркировка адресов хакера для блокировки на CEX:

  • Местная полиция (киберпреступления)
  • https://www.chainabuse.com/report
  • https://amlbot.com/reclaim-crypto
  • Обращение в волонтёрскую организацию @seal_911_bot

3. Специализированные сервисы:

  • CipherBlade (https://cryptoforensic.com/)
  • MistTrack (https://aml.slowmist.com/en/mistTrack.html)
  • StarCompliance.io

Антидрейн

Для того чтобы спасти то, что находится в локах, стэйкингах, а также остатки первее хакеров, может понадобиться антидрейн-сервис. Программист настраивает программу, которая отправляет транзакцию с максимальным приоритетом в нужный момент. Обычно это платная услуга, за процент от спасённых плюс газ.

Опции:

Частные специалисты. Спрашивайте рекомендаций в чате, вам порекомендуют куда обратиться.

Пример услуг: https://t.me/n4z4v0d/1055 или https://t.me/antidrain_cryppi

Whitehat спецы. Форма от Flashbots, если остаток от $1000 (комиссия 10%):

https://noteforms.com/forms/flashbots-whitehat-intake-form?notionforms=1

Изучить вопрос самостоятельно. Если у вас сумма меньше $1000 или вы любите сами во всём разбираться. Начать можете с ролика Flashbots 1 и 2.

Полезные ресурсы

Документация и гайды:

  1. Если вас заскамили от Officer CIA - этот блог рекомендую почитать, там очень много гайдов по безопасности
  2. Настройка безопасности и приватности Windows 11
  3. Настройка X, Telegram для защиты от угона и взлома

Инструменты безопасности:

🔐 Keepass XC для некритичных паролей. Тут можно настроить расшифровку не только паролем, но и пароль + файл, которым может быть что угодно, хоть песня Олега Газманова в mp3, так что никто и не узнает как его расшифровать кроме вас. https://keepassxc.org/

📱Hardware wallets (Ledger, Keystone). https://keyst.one/

🔢 Работа с seed фразами и приватными ключами. Полезный тул по разбиению ключей/фраз на части при помощи Shamir Secret. Использовать локально без подключению к интернету. https://iancoleman.io/shamir/

💧 Drops Telegram Bot для настройки уведомлений о транзакциях на своих кошельках. Система раннего предупреждения и просто мониторинга. @fomo

Где и как безопасно хранить криптовалюту

Повторим материал.

1. Хранение крупных сумм:

  • Использовать мультисиг - самый надёжный метод, но не самый удобный для ежедневного использования
  • Разделять рабочие средства между несколькими кошельками с разными сид фразами и аппаратным кошельком
  • Завести отдельный ноутбук для работы с криптой

2. Ежедневные операции:

  • Использовать кошелёк Rabby вместо MetaMask (мой видео обзор)
  • Отдельные кошельки для разных целей
  • Тщательная проверка адресов
  • Использование whitelist

3. Общие правила:

  • Никогда не хранить seed-фразы в открытом или слабо шифрованном цифровом виде
  • Не использовать б/у компьютеры для крипто операций
  • Регулярно обновлять ПО и проверять безопасность
  • Всегда использовать разные пароли высокой сложности
  • Использовать непубличный адрес почты для крипто бирж и сервисов
  • Всегда настраивать 2FA во всех сервисах через приложение с кодами типа Authy, что лучше чем SMS.

Риска нельзя избежать, но его можно предусмотреть и контролировать

Много всего можно добавить о безопасности (и это будет делаться), потому что методы взлома и защиты будут усложняться с каждым годом. Мы не можем обеспечить себе полную защиту, но можем усложнять злоумышленникам работу и не быть лёгкой добычей, внедряя эти базовые правила предосторожности и диверсификации рисков.

Контент

  1. Подкаст с профи по инфо безопасности Илья Суслин
  2. Поиск в моём канале по тэгу #безопасность

🪙 Место для звонких монет за полезные идеи:
0x0496B1eBF5054DAA209A6530587A4a616a04cB04

Pepe стал умнее, но Pepe не теряет бдительности.
Манна небесная
November 1, 13:09
10 reactions
0 views