Гайд по безопасности в крипте
1 пункт. Как хранить? И где хранить?
Вся крипта хранится в блокчейне, а криптовалютные кошельки, по сути - это программы, которые взаимодействуют с ним. Другими словами, криптокошельки предоставляют вам интерфейс для взаимодействия с блокчейном.
И так, какие бывают виды кошельков:
Кошельки бывают кастодиальными и некастодиальными.
•В кастодиальном кошельке приватные ключи хранятся и управляются третьей стороной от вашего имени. Другими словами, владелец не имеет полного контроля над своими средствами и не может подписывать транзакции.
•Некастодиальные кошельки полностью автономны. Только владелец может управлять балансом. Для доступа к таким кошелькам требуется приватный ключ и seed-фраза, которые пользователь должен надежно хранить.
В свою очередь, кастодиальные и некастодиальные кошельки делятся на два вида: холодные и горячие.
•Холодный кошелек – кошелек, который не имеет постоянного подключения к интернету. Подключение к сети осуществляется только на несколько секунд в момент непосредственного осуществления транзакции.
•Горячий кошелек – кошелька, который постоянно подключен к интернету.
2 пункт. Биржевые кошельки (кастодиальные, горячие)
Это кошельки бирж: Binance, Huobi, Bybit, Coinbase и т.д. Особенность в том, что средства, лежащие на бирже, принадлежат не вам, а бирже – вы лишь используете биржу со своим виртуальным счетом.
Пример кастодиального кошелька биржи Binance.
Как защитить кастодиальный, горячий кошелек в примере биржи Binance?
•E-mail. Лучше всего использовать отдельную почту для биржи
•Использовать стойкий пароль. Желательно сгенерировать и хранить его в менеджере паролей
•Добавить список разрешенных для вывода кошельков в разделе "Безопасность"
•2FA - двухфакторная аутентификация.
•Добавить антифишинговый код для писем.
•При работе с кошельком используйте режим инкогнито. Так вы минимизируете список расширений, добавленных в браузер, и избавитесь от сохранения данных.
3 пункт. Мобильные кошельки (некастодиальные, горячие)
Кошельки с онлайн доступом - Trust wallet, Metamask, и др. Они являются некастодиальными, не требуют KYC, доступ к счету имеет только владелец.
•Скачиваете приложения на мобильный телефон в AppStore или Google Play Market.
•Проходите небольшую регистрацию, получаете сид фразу из 12 слов и записываете на бумаге.
Что делать, чтобы обезопасить свои средства:
•Не оставляйте seed-фразу и приватные ключ на электронных носителях. Информацию можно перенести вручную на лист бумаги.
•Не передавайте seed-фразу третьим лицам.
•Проверяйте ссылки, по которым вы переходите для подключения своего кошелька.
•Всегда проверяйте транзакции, которые вы подтверждаете.
•Обновление приложений необходимо производить только через официальные сайты или магазины приложений.
Никогда не используйте ваш основной кошелёк для случайных взаимодействий с контрактами, которым вы не доверяете. Если всё же приходится это делать, всегда проверяйте, что именно вы подписываете: например, нет ли там апрува на allowance (это позволит опустошить ваш кошелек) или прокси, за которыми может скрываться упомянутая функция.
Проверить контракты можно на следующих сайтах:
https://cointool.app/approve/eth
https://etherscan.io/tokenapprovalchecker
https://bscscan.com/tokenapprovalchecker
https://polygonscan.com/tokenapprovalchecker
Получив Approve, контракт может тратить любую сумму в рамках выданного разрешения!
4 пункт. Аппаратные кошельки (некастодиальные, холодные)
Холодные кошельки (аппаратные): Ledger, Trezor, BitLox, SafePal и др. Данные кошельки используются в физическом виде, подключаются через usb или bluetooth к компьютеру.
В чем преимущество перед горячими кошельками ?
•Для того, чтобы взломать горячий кошелек, достаточно вмешательства в виртуальную среду. Инструментов для взлома великое множество, начиная от кейлоггеров(программ, считывающих вводимый на клавиатуре текст), вирусов, троянов, эксплойтов и заканчивая социальным инженерией. Что же касается аппаратного устройства, то этих условий недостаточно, так как к виртуальной среде прибавляется еще и внешнее устройство, со своей операционной системой. Получается, что даже взломав ваш компьютер, злоумышленник не сможет украсть деньги.
•Физическое подтверждение при совершении каждой операции. При совершении каждой транзакции владелец должен вписывать специальный пароль для аппрува.
•Покупайте кошельки только у официальных дилеров.
•Строго не рекомендуется покупать б/у, так как устройство может быть взломано.
•Сид-фразу храните только на бумаге.
•Защита от потери. Некастодиальные кошельки используют предложение по улучшению биткоина BIP39. Мастер-пароль кодируется в удобный вид - сид-фразу, которая может состоять из 12, 18 или 24 слов. Благодаря этому, в случае утери девайса, вы можете восстановить свой счет в любом кошельке через сид-фразу.
6 пункт. Как безопасно переводить криптовалюту?
•Рекомендуем зайти в настройки и добавить в адресную книгу часто используемые адреса для отправки, а также любые другие сайты, которыми вы пользуетесь на постоянной основе, чтобы вам не приходилось каждый раз искать их в поисковике, так как возрастает риск нарваться на фишинговый сайт
•Не переводите свои средства незнакомым лицам, которые обещают вам раскрутку счетов, инсайды с монетами, финансовые пирамиды, где ничего не делая, вам будут увеличивать депозит. Это все обман, переведя средства вы теряете их навсегда
7 пункт. Как распознавать мошеннические сайты?
Скачиваем кошельки только с официальных сайтов, таких как:
•Всегда проверяйте домен проекта, если требуется подключить свой кошелек.
При первичном размещении проекта: •Проверяйте white paper (техническую карту), известность разработчиков, агрессивный маркетинг или нет, другую основную информацию
8 пункт. Вирусы, стороннее ПО, спам рассылка, бесплатные токены
Спам рассылки и стороннее вмешательство также являются часто используемым инструментом. Пройдемся по самым основным:
Не переходите по ссылкам, которые вам приходят на email якобы об обновлении приложения metamask или о том, что необходимо ввести KYC (Паспортные данные). Все это также мошеннические сайты, которые делают все, чтобы доверчивый пользователь ввел свою сид-фразу
Вот один из примеров мошеннической рассылки:
Скачивая что-либо из интернета вы также подвергаетесь риску, что в файле будет содержаться троян или стиллер, который копирует все, что есть у вас в памяти компьютера и позже ваши аккаунты могут быть обчищены злоумышленниками.
•Защитите аккаунт при помощи двухфакторной аутентификации. Если ваш аккаунт защищен таким способом, то украденных логина и пароля будет недостаточно для входа в него
•Не скачивайте ничего с сомнительных сайтов и пиратки. Злоумышленники знают тягу людей к бесплатному и пользуются ей
•Пользуйтесь надежными антивирусными программами, если используете операционную систему “Windows”
•Всегда обновляйте программное обеспечение. Это вдвойне актуально для важных программ. Злоумышленники используют известные бреши в системе защиты и через них засылают на ваш компьютер трояны, которые делают свою черную работу.
Спам рассылка также может быть на ваш кошелек в виде бесплатных токенов.
Создают какой либо токен с похожим названием на дорогие проекты, побуждая пользователя попытаться продать данный токен. Вы можете его продать только на сайте злоумышленников и подключая кошелек для продажи этих токенов, вы так же разрешаете использовать и остальные ваши токены.
Очень важно каждый раз, подписывая какое либо разрешение в метамаск, развернуть контракт, чтобы посмотреть на что именно вы даете разрешение. Исключительно на один токен или на весь портфель в целом!
*Какие стеблкоины надежнее: USDT, USDC, BUSD и DAI
В связи с последними событиями, огромная волна недоверия сейчас обрушилась на стейблкоины.
После краха Terra Luna и отвязки их стейблкоина UST на 99% от доллара, люди начали терять доверие к алгоритмическим стейблкоинам, вследствие чего произошла отвязка у USDD (Tron) и многих других.
После этого самый крупный стейблкоин USDT (Tether) показал снижение на 4%
На этом фоне объемы USDC и BUSD выросли в среднем на 20%, что показало явный переток средств.
Сейчас на рынке 4 крупных стейблкоина: USDT, USDC, DAI и BUSD. А USDC борется за лидерство с USDT
Tether (USDT) — одна из самых известных и популярных монет среди крипто инвесторов. Каждый доллар в USDT подкреплен USD, которые хранятся в резервах Tether и могут быть получены в обмен на токены проекта.
USDC - Эмитент “Circle Internet Financial”. Компания утверждает, что токен полностью обеспечен наличными средствами и краткосрочными казначейскими облигациями США и начинает выступать главным стейблкоином, которым можно шортить другие стейблкоины.
BUSD выпускается Binance в сотрудничестве с компанией Paxos, регулируется Департаментом финансовых услуг штата Нью-Йорк и проходит ежемесячные аудиты. BUSD централизован, за эмиссию и сжигание монет отвечает Paxos, что не совсем соответствует принципам цифровых валют, а также жестко мониторится и регулируется, в случае подозрительной активности баланс может быть заморожен.
Важно помнить: что Binance, что Circle выгодно убрать с рынка Tether, чтобы их влияние на рынок стало еще больше и было хотя бы какое то преимущество перед FTX и Alameda (которые просто поглощают компании на грани банкротства из-за сильного снижения рынка).
**Также нельзя не упоминуть DAI - стейблкоин, выпущенный децентрализованной платформой MakerDAO на блокчейне Ethereum. Другими словами, токен DAI является стейблкоином, то есть цифровым аналогом доллара, но, в отличие от него, децентрализован и никем не контролируется.
Курс DAI стабилизируется за счет механизма Target Rate Feedback Mechanism (TRFM) – автоматического алгоритма, который обеспечивает регулирование цены и поддерживает курс примерно на уровне 1 доллара США с минимальными отклонениями. Механизм TRFM активизируется, когда стабильная цена отклоняется от целевого значения, чтобы затем восстановить его.
Текущее предложение DAI на 2/3 обеспечено централизованными стейблкоинами, для которых медвежий рынок не так страшен.