About Teletype
Join
menaskop
@menaskop
June 18

DeFi. Оперативная безопасность

DeFi-безопасность

Не так давно, может, около 2-4 недель назад, один подписчик мне выслал подборку, которую с комментариями и опубликую ниже. А потом - другой скинул ссылку, которую тоже прокомментирую и тоже - ниже. И затем - третий и уже новую ссылку...

В общем, я решил расширить стандарты, чтобы вновь напомнить о важной теме.

OpSec - оперативная безопасность: она же - базовая

Как поясняет автор (если знаете - напишите в комменте, кто это):

OpSec - набор принципов и практик, которые помогают защитить информацию, ресурсы и идентичность от утечек, взломов, манипуляций и других угроз.

И далее - приводит базовый набор правил, которым стоит следовать, если вы хотите остаться в DeFi..., но я бы не остался собой, если бы просто привёл их без важных дополнений, поэтому:

  1. Не храните всё в одном месте — распределяйте средства по адресам, протоколам, CEXs и сетям: разные сети, разные монеты и стейблы. Здесь сразу же оговорюсь: централизованные биржи (CEXs) - худшее, что можно придумать для хранения. Правило здесь звучать должно так: положили на CEX? Потеряли деньги. Всё. Других нет. Поэтому да, нужно распределять, как писал ранее: по сетям (L1 & L2, EVM/NON-EVM), по методике 4/25 и т.д., но хранить средства только на не кастодиальных кошельках. Более того! Даже депозиты на DEXs надо ограничивать. У меня депозит на любой биржи - это никогда даже не 1%: 0.01% - скорее.
  2. Почта без имени — не используйте email-адреса, которые можно связать с вашей личностью:social engineering не спит. Да, конечно, это правда. Но! Без публичной почты, привязанной к вам хоть как-то (не обязательно - по имени и году рождения) - делать анонимную не имеет смысла. Её и начнут выяснять, за ней и начнут охотиться. Вам же нужен ханипот. И далее - индивидуализация (кастомизацию) публичной почты, чтобы отлавливать спам и фишинг-письма, и полная анонимизация не публичной.
  3. Никаких подозрительных ссылок — особенно из непроверенных источников: устал, под веществами, или в алкогольном состоянии - не лезь. Звучит так, будто автор читал мои рекомендации :), но дополню, что этого мало. Даже проверенные ссылки могут подвести: DNS выкрадут или "отравят" (Curve вспомните недавно), подделают через спец. символы, сделают таргетированную атаку на ваши закладки :)) и прочее. Поэтому любые ссылки при более-менее важных операциях нужно проверять: через WHOIS-сервисы, через сервисы анализа трафика, через Virus Total, через новости на CryptoNews, Rekt, etc. или даже через Web3-антивирусы.
  4. Никаких .exe .zip и автозагрузок на Telegram — не качайте и не открывайте подозрительные файлы. Совет хороший, но, во-первых, делится на два, а, во-вторых, не нужно использовать Windows в принципе. Никогда. Mac & Linux (для угорелых гиков - BSD)). Что касается автозагрузок - это же касается и писем, и других (не Telegram только) мессенджеров и чего угодно ещё.
  5. Доверие зарабатывается — не наоборот. Общайтесь с недоверием, пока человек не доказал обратное: люди, что знают друг друга в лицо, - кидают, доверяйте настолько насколько готовы потерять. Хороший совет, хотя уже и не технический. Дополню здесь одно: мы живём в эпоху deep-fake-ов и не нужно думать, что на вас "не будут тратиться": будут.
  6. Аппаратные кошельки — must-have, разные, несколько. Верно! Вот только аппаратные кошельки - не панацея. Надо: а) разделить холодные и горячие; б) следует не обходить стороной холодные хранилища и делать резервы на бумаге, металле и т.п.; в) и тестовые кошельки не забывать тоже. И да, мобильные и прочие - использовать, но лишь для диверсификации.
  7. Фразы-источники → стальные пластины. Бумага и скрины — путь к сливу: Этот тезис не ясен. Чем это металл лучше бумаги (относительно сливов)? Тем, что в огне не горит? Да, но и спрятать металл куда сложнее. Поэтому бумага - это как раз мастхев, а вот если вы можете ещё и в пластины - то совсем замечательно.
  8. Никогда не храните сиды дома. Банковская ячейка + собственное шифрование = лучшее решение: "знаете что есть лучше напишите...", - просит автор. Знаем - пишем: банковскую ячейку или у депозитария могут взломать как раз через социальные каналы - и этой атаке не первый год, а потом будут ссылаться на банковскую тайну. Сиды лучше шифровать с помощью стеганографии, дома не хранить - да, но и не в одном месте. Хранить в зашифрованном - в любом случае. (Конечно, ячейка выглядит логично, но базы данных банков сливаются на ура и ежедневно, поэтому так вы рискуете и сильно: если там достойная сумма - за вами просто начнут охоту, зная ваши исходные данные, а оформлять на дропа такую историю - точнее не верное решение).
  9. 2FA везде — и не через SMS: удивитесь насколько стоит дёшево, скопировать номер у нас в странах. Верно! Меня 10 лет назад так ломали: 1% оборотного капитала пострадал. Вернул через 2 года - через суд: со всеми штрафами и неустойками. Но! Лучше 2FA - это не использовать централизованные ресурсы настолько, насколько это вообще возможно.
  10. Не передавайте чувствительные данные просто так. Никому. Верно! Но опять - требует пояснений: что есть не просто так? Отправили част в Telegram (секретный чат)? Отправьте часть по голосу через Matrix, а ещё часть - на анонимную почту зашифрованную. И удалите после использования, как в известном фильме.
  11. Кошельки-ловушки — держите мелкие суммы на отдельных адресах на случай физической угрозы, на мобилках, и на антидетект браузерах. Да, но это совет больше для дегенов и дроп-хантеров. А вот для всех: делайте ханипоты. Делайте всегда и как можно больше.
  12. Подготовьте пути отхода и вывода средств со всех кошельков, в кратчайшие сроки. Тут не ясно, что именно имеется ввиду: если выкрали сид-фразу, прив(р)атник, то там будут действовать боты, которые работают куда быстрее вас. Если речь о личной угрозе - то не ясно, как перемещения помогут. Поэтому тут нужны пояснения от автора. Но в целом: конечно, если мы имеем ввиду ввод сид-фраз после похищения смартфона, например, то да, конечно же, тут план отхода важен, но он по сути - складывается из шагов, описанных выше.
  13. Поставьте уведомления на свои кошельки, через почту и приложения, или ботов. Отличный ход! Вот только не забывайте про доверие: ботам я чаще всего не доверяю - их сложно верифицировать, а вот уведомление в связке эксплорер + почта и подобные - вполне возможны. Особенно, если вы умеете про ifttt-паттерны.
  14. Развивайте навыки защиты — физической и цифровой. Что ж, так оно и есть: автор точно изучил моё полное руководство: уважение ему за это!

Теперь попробуем от технико-социальных аспектов перейти к психологическим, объединив де подборки.

Психология и ваши деньги

Вот эти две статьи:

  1. https://hashtelegraph.com/kak-ne-otdat-svoju-kriptovaljutu-moshennikam-anatomija-socialnoj-inzhenerii
  2. https://ru.beincrypto.com/ne-vygoret-trejderu

Попробую разобрать потезисно.

Шаг №01. Разведка — поиск мишеней. Мошенники начинают с наблюдения за пользователями в социальных сетях: X, Discord, Telegram и Reddit. Чем больше информации они соберут, тем проще создать персонализированную атаку.

Всё так. Поэтому - публичный кошелёк - неизбежность, а не прихоть. У меня это menaskop.eth: через него я демонстрирую всё - от поиска дрейнеров до DeFi-механик, но ничего вне публичного там как раз нет.

Шаг №02. Контакт — построение доверия. Затем они выходят на связь, притворяясь (кем-то). Они копируют фотографии профилей, имена пользователей (иногда с небольшими изменениями) и даже поддельные значки верификации, чтобы выглядеть подлинно. Все это направлено на снижение бдительности.

Тоже верно, поэтому здесь важно:

  • Важно установить режим работы: работать с 07:00 до 19:00, скажем; не выходить в сеть не в трезвом виде (это даже можно автоматизировать) и т.д.
  • По умолчанию - блокировать всех, а уже потом разбираться, что, где и как.
  • Иметь, опять же, публичный аккаунт и закрытые - для разных целей и нужд.
  • Изучать новостной фон, чтобы понимать, какие социальные атаки популярны в моменте и какие есть в принципе.

Шаг №03. Крючок — создание срочности или страха. Теперь они играют на ваших эмоциях срочными, пугающими или заманчивыми сообщениями: «Ваш кошелек под угрозой — действуйте сейчас!». Они используют страх, возбуждение и временное давление, чтобы заставить вас действовать быстро, не задумываясь.

Всё так, поэтому крайне важно провести профилактические мероприятия, описанные выше, до, а не после. После - нужно посыпать голову пеплом и провести таки все описанные мероприятия.

И да, безопасными никогда не суетят: они работают по инструкции, а вот мошенники - да. Поэтому - увидели нагнетаемую срочность, дефицит и прочее... ушли.

Шаг №04. Требование — извлечение конфиденциальной информации. Здесь и срабатывает настоящая ловушка. Они просят вас: поделиться приватным ключом или сид-фразой (большой красный флаг) и т.п. Если вы попадаетесь на этом этапе — игра окончена.

Собственно, здесь всё просто: приватник и Сид-фраза не нужны вам никогда в общении с любой тех. поддержкой, также как CVV-код от банковской карты, например.

Шаг №05. Ограбление — опустошение вашего кошелька. Тут добавить нечего...

И далее авторы разбирают популярные способы соц. инженерии в Web3:

  1. Фишинг: вот описание защиты от него.
  2. Имперсонация: происходит, когда злоумышленники выдают себя за легитимных лиц — будь то сотрудники поддержки, криптоинфлюенсеры или даже друзья — чтобы убедить жертв передать свою информацию или средства. Здесь нужно следовать советам выше: а) никогда и никакой спешки; б) никакой конфиденциальной информации при общении с кем-либо; в) никакой веры, даже вы видите "живого" человека на видео.
  3. Скамы с эирдропами: не знаю, зачем так сузили, но суть в том, что вас заставляют отправить средства туда, куда отправлять их не нужно. Это может быть не обязательно airdrops: это может быть и "новая" биржа, и "ваш" кошелёк и т.п. Здесь всё просто: надо проверять, куда, что и зачем отправляете и не верить на слово. Ниже как раз авторы дают ещё один пункт: фальшивые инвестиционные платформы - хотя их явно надо объединить.
  4. Романтические и дружеские скамы: да, такое бывает. Но здесь важно помнить одно - встречаетесь ли вы оффлайн или онлайн - никто не должен знать о ваших крипто-запасах. Никто. Супруг/супруга после 5-10 лет совместной жизни? Возможно - на ваш выбор. Родная мама? А зачем? Если же человек уже знаете что-то о вас и вы не KoL/инфлюенсер/блогер, то это красный флаг, которым перед вами машет судьба.

И теперь перейдём к последнему разделу.

Чистая психология

И хотя подборка явно написана для трейдеров, перечислю советы и прокомментирую для разных аудиторий:

  • Совет 1: Осознанно подходите к рискам: всё верно. Во только это не получится сделать "по наитию", "по интуиции": здесь важна системность: об этом авторы, справедливости ради отмечу, говорят в последних пунктах.
  • Совет 2: Игнорируйте «памп-группы»: верно, если видите признаки шиллинг-маркетинга (слишком большая активность, чересчур разогнанный трафик, прямые сговоры по пампу/дампу и т.п.), то лучше обходите это стороной. Ведь, как известно, если вы ничего не покупаете, то это значит одно: товар - это вы.
  • Совет 3: Учитесь на ошибках: супер! Но что это значит? Что надо изучать новостной фон и паттерны взломов, в том числе - не технических. Что нужно внимательно читать крупные кейсы потерь. Что не нужно верить на слово, а всегда проверять на факты: ICOs скам? Нет. А вы поверили: а значит? Не научились на ошибках, а совершили свою.
  • Совет 4: Следуйте тренду: речь про бычий/медвежий. Для меня же проще всё: не работайте на день - работайте на годы. И будет легче жить, легче богатеть и умнеть будете тоже легче. Хотя труда в этом будет много.
  • Совет 5: Изучайте проекты перед инвестированием: но как?! Через методику 4К: поищите в https://t.me/web3news и обрящите!
  • Совет 6: Используйте кризисы как возможности: а вот это - ложь! Мало кто может эти "возможно" использовать. Вам нужно не это: а) вы должны научиться хеджировать риски; б) понять с чем и как работать на медвежьих циклах; в) не жадничать на бычьих; г) диверсифицировать портфель и д) развивать своё понимание рынка и безопасности (риск-менеджмента - в том числе).
  • Совет 7: Не привязывайтесь к «альтам»: почему же? Привязывайтесь! Просто диверсифицируйте свой портфель, изучайте проекты не только по 4К, но и глубинному анализу и имейте BTC и другие ТОП-активы.
  • Совет 8: Управляйте рисками: верно! Но это сложно. Попробуйте найти в канале для начала. И, как минимум: используйте стратегию 4/25, понимайте, что и чем хеджируете, а ещё - никогда не вкладывайтесь слишком многим в одну и даже 10 сделок.
  • Совет 9: Сохраняйте дисциплину: 100%. См. выше, как это сделать.
  • Совет 10: Делайте паузы: 100%.

Выводы

Надеюсь, что эта подборка поможет вам стать лучше лично и ближе к безопасному криптофшору, а пока всё и

До!

menaskop
June 18, 14:22
0 views
5 reactions
0 replies
0 reposts