Безопасность в Web 3.0 & Web3. Оценка мануала

Коротко: это 5 из 10, потому что много противоречий. Да и вообще, казалось бы: люди пишут про WW3 - заткнись и молчи в сторонке, пусть будет больше таких людей? Но за этой видимой массовостью приходит лишь одно - глупость. Почему? Потому что мы сначала пытаемся упростить, потом - примитизировать, а потом удивляемся, как так вышло, что очередной мост взломали через Web2-интерфейс.

Итак, оценка.

Разделы

Всего их на момент анализа (10.12.24) - 7:

1. Сид-фраза
2. Revoke
3. Транзакция
4. Мультисиг
5. Способы скама
6. Вопросы-ответы
7. Полезные контакты

Пойдём по этой структуре.

Сид-фраза

Минимальная рекомендованная длина пароля - 12 символов. По таким “мелочам” сразу распознаётся уровень: давно существуют радужные таблицы, поэтому существуют механики взлома по ним, а потому есть и рекомендованная длина пароля - для разных алгоритмов - это 15-18 и более символов. Но не 12: казалось бы, разница лишь в 3 символа? Но на практике 12-символьные пароли (буквы нижнего и верхнего регистра, цифры, спец. символы) из тех же символов, что и 15 - взламывают, а из 15 именно (и более) - нет. Пароли с меньшей длиной - вообще лучше не использовать нигде в критических местах, а seed-фраза - это критически важное место. Всегда.

Ещё одна рекомендация - это хранить сид-фразу на компьютере, где нужно “иметь антивирус”, - а это в подавляющем большинстве случае - Windows OS. Так вот на таких компьютерах иметь сид - строго не рекомендую, т.к. только профи могут настроить эту операционку правильно, а в остальном - она лидер по вирусам.

Идём дальше: “Холодный кошелёк - аппаратное физическое устройство, которое хранит ваши приватные ключи в оффлайн-среде”. Но это не так, более того - в другом разделе сами авторы говорят (да и сам автор, но в другом месте), что есть и другие способы создания “холода”:

• Лист бумаги
• Стальная пластина
• Прочее

К сожалению, копировать сей текст (хотя это обходится, но будем уважать выбор автора) нельзя поэтому делаю скриншоты, чтобы потом не было недоразумений:

Аппаратный кошелёк, такой, как трезор, может быть холодным, но холодным может быть правильно настроенный смартфон, с отключенными функциями wi-fi и блютуз, например.

Путанница подобного рода - часто встречается в сети, но будь она чисто теоретической - не уделил бы ей столько внимания: в видео, по ссылке как раз говорится, чем опасно смешение аппаратных и холодных кошельков. (Если коротко, то тем, что аппаратные кошельки производят конкретные фирмы и они могут блокировать транзакции, не обновлять ПО и в целом служат опасной прокладкой в мир блокчейна).

Далее идёт самый непонятный для меня раздел:

Здесь сразу несколько неверных допущений:

1. Если нужно крутить объём, то средства заводить можно, хоть и ненадолго;
2. Главное: “хранить seed допустимо на личном ПК, с которого ведётся отработка”;
3. И при этом: “стоит держать фразы в txt-файле, в не самом очевидном месте…”.

Итак, список правок:

1. Не важно, на 0.1 секунды вы заведёте средства или на 1 день, или на 1 год: если кошелёк дырявый и/или на него выданы не те аппрувы, и/или он иначе скомпрометирован, средства утекут: их украдут, говоря проще;
2. Хранить сид - никогда, никогда, никогда - нельзя на том же ПК, где вы работаете: это безумие. Если вы получили на дроп заветные $5k-$15k, то вам будет их также обидно потерять, как и любые другие деньги. Да даже $500 для многих - важные средства, а хранение на том же ПК сида - это безумие и нет тут никаких оправданий, что это кошелёк дроп-хантера: это как сказать, что охотник, который кормится ружьём, хранит его у бандитов-головорезов, надеясь, что его конкретное оружие не будет стрелять никогда по людям.
3. А уж совет про txt-файл - это за гранью: конечно, я понимаю, что огромное число ботоведов и дроп-хантеров так именно и работают (поэтому их периодически взламывают, а они молчат и кучают локти, потому что о таком в приличном обществе не рассказывают), но это повод “против”, а не “за”.

В общем, если хотите сохранить средства - делайте ровно НАОБОРОТ, нежели написано в трёх пунктах у автора про Drop Hunting Wallets.

Revoke

Важно, что создание сида - фактически списано с другого автора по пунктам. Собственно, этот пункт, как и другие, скажем (см. ниже), невозможность отзыва аппрувов на Solana, говорит для меня об уровне автора: пока, к сожалению, он ниже среднего:

Прокомментирую также раздел с мультисигом.

Мультисиг

Как видим, в минусах буквально записано: “если сервис выйдет из строя или компания разорится и никто не будет поддерживать инфраструктуру, то не будет возможности получить доступ к активам никому…”.

Конечно же, это не так:

1. Фактически мультисиг на тех же EVM - это смарт-контракт не примитивного типа, а на других блокчейнах - по-разному, но это в любом случае то, что хранит одну часть (адрес кошелька, скажем), внутри блокчейна, а вторую часть - формирует из xPUB и подобных данных участников;
2. Проще говоря, восстановить доступ к мультисигу можно без участия посредника, как раз в силу архитектуры, особенно и в первую очередь - на EVM-мультисигах.

Ну а то, что добавлять подписантов - “утомительно” - конечно, факт, но когда у вас в блокчейне появятся значимые деньги, вы сделаете это 100% ;).

Резюме

К сожалению, сидеть и делать аудит подобных подборок - дело точно утомительное, но могу сказать, что из таковых можно взять разве что фактологию: допустим, виды скама.

А вот использовать их как практическое руководство к действию - опасно: автор явно пока сам прошёл из 7 кругов ада - 1 и поэтому критически значимые вещи для него “не существены”.

Рекомендованные сервисы тоже оставляют желать лучшего, скажем, перейдя по ссылке на сервис Белых шляп, я увидел шляпу, но совсем иного цвета: https://white-hacker.tech/nfts:

Поэтому решать вам, как использовать подобные мануалы, но для участников DAO Synergis, а также чата данного ДАО, как и для слушателей курсов Menaskop (пока) СТРОГО НЕ РЕКОМЕНДУЮ.

До!