Правила безопасного обмена. Часть I. Общая

Итак, вы решили сделать обмен. Просто ли это? С одной стороны - да, с другой - это требует постоянной цифровой гигиены. Что это? Сейчас расскажем.

Проверять, проверять и ещё раз проверять

Большая часть обманов, от 75% до 90%, в криптосфере происходят из-за невнимательности, поэтому первое, что стоит запомнить: не нужно заниматься финансами круглосуточно. Выберите оптимальный для себя режим: скажем, не раньше 09:00 утра и не позже 21:00. Вне зависимости от часового пояса.

Второй шаг - нужно определиться с личным риск-менеджментом: кому, когда и сколько можете отправлять одной транзакцией? Скажем, если делаете p2p-обмен первый раз, то не стоит переводить сразу всю сумму, даже если очень хочется. С другой стороны: доверие - главный враг ваш в Web 3.0 системах, поэтому лимит всегда должен базироваться на соотношении: доверие/риск, а не на одном только доверии.

Третий шаг - изучите то, чем платите, с помощью чего платите и т.д. О чём конкретно идёт речь?

Блокчейн, через который отправляете средства: каково время подтверждения транзакций? Есть ли в нём финализация? Какие базовые атаки возможны? И т.д. Чем больше понимаете структуру транзакций - тем сложнее вас обмануть.
Если используете фиатные средства, то изучите лимиты платёжной системы (банка, paypal и прочих); настройки безопасности и иные детали, которые не бывают лишними в финансах.
Старайтесь следовать во всём принципу DYOR — нет, речь не о хорошем парфюме, а о фраза “Do Your Own Research”, потому как главное правило p2p-мира: “ваши ключи - ваши деньги”, - и работает оно при этом в оба конца.

Теперь давайте несколько важных лайфхаков.

Лайфхаки: от 0 до 1

Итак, прежде чем начать обмен, изучите, какие аппрувы выданы от кошелька в разных сетях, включая и подписи. Сделать этом можно через сервис revoke.cash. И да, если не понимаете разницу между аппрувом и подписью - изучите вот этот мануал.

Есть и альтернативные сервисы по выданным разрешениям. Какие? Во-первых, на “официальных” сканерах:

Ethereum: etherscan.io/tokenapprovalchecker
BSC: bscscan.com/tokenapprovalchecker
Polygon: polygonscan.com/tokenapprovalchecker
Arbitrum: arbiscan.io/tokenapprovalchecker
Optimism: optimistic.etherscan.io/tokenapprovalchecker

Есть подобные на Base, Blast, etc.

Во-вторых, существуют более универсальные решения:

cointool.app/approve - один из самых масштабынх сервисов;
approved.zone - минималистичное решение;
revoke.cash - уже упоминаемые ранее, но крайне важные.

В-третьих, стоит помнить, что универсальные решения - не про Web 3.0, если они не дополнены чем-то.

Приведу пример, чтоб стало яснее: twitter.com/RevokeCash/status/1677950707104894977. Как видите, в данном случае простой отзыв апрува не поможет. И поэтому всегда надо быть начеку.

Следующий шаг - пройдитесь по чек-листу сайта, где меняетесь:

Всегда проверяйте домен на whois.com: регистрация должна быть не менее 6 месяцев, а лучше год и более;
Не пренебрегайте проверкой SSL-сертификата: в наше время это так себе защита, но по датам уже многое можно сопоставить;
Если сайту больше 1 года - посмотрите на старые версии в web-архиве;
Поскольку фишинг никто не отменял - проверьте сайт и на трафик - через Similarweb: и тут нужно внимательно! Молодой сайт с большим трафиком - сильно хуже, чем старый с небольшим, например;
Если есть отзывы на агрегаторах обменных пунктов - обязательно проверьте и их: главное - не количество, а качество: совпадение с датой открытия обменного пункта; векторы обменов и т.п.;
Поищите информацию в стандартном и расширенном поиске: ведь обменный пункт мог работать 10 лет до вас отлично, но именно в период ваших транзакций его взломали. Или он решил "уйти в закат".

Помимо перечисленных сервисов, есть множество иных для дополнительной защиты, но их использование предполагает большее погружение и поговорим о них уже в следующий раз, а сегодня лишь перечислим:

И это всё это значит, что вам нужно быть бдительным: нужно обязательно. Это требование не моё, но Web 3.0. Скоро продолжим, а пока - всё и

До!