Ультимативный гайд на тему продвинутой технологии хранения криптовалюты.
Читайте внимательно, здесь будут только походы шпионского уровня 👇
Поймите, что всевозможные http://blockchain.info, TrustWallet, MetaMask и другие кошельки - это всего лишь интерфейсы.
Рассмотрите холодные кошельки, лично я не доверяю Ledger или Trezor. Существует хардкорная версия BitLox Ultimate, которая буквально напичкана функциями безопасности, пропускает трафик через Tor и имеет несколько уровней шифрования: http://bitlox.com/products/bitlox-ultimate.
Или аскетичная холодная карта- хороший выбор для тех, кто любит простые и понятные механики.
COLDCARD – Hardware Wallet - The Most Trusted and Secure Signing Device (aka. Hardware Wallet)
Сделайте холодный кошелек самостоятельно. Например, из старого смартфона. Вы также можете сделать холодный кошелек с помощью Electrum и пустить весь трафик через Tor. Знайте слабые стороны AirGap.
Слабые стороны: http://airgapcomputer.com
Проверьте, что вы подписываете, если мы говорим о ETH L1 L2, никогда не используйте свое основное холодное хранилище для случайной работы, но если вам приходится, всегда проверяйте, нет ли там одобрения allowance (которое позволяет слить ваш баланс) или прокси, за которыми может скрываться упомянутая функция.
Отмените одобрения для контрактов здесь:
> http://revoke.cash
> http://zapper.fi/revoke
> http://app.unrekt.net
> http://approved.zone
> http://tac.dappstar.io/#/
> http://defiyield.info/approved-contracts
> http://cointool.app
> http://cn.etherscan.com/tokenapprovalchecker
> http://debank.com
Никогда не используйте свое основное холодное хранилище и офисный компьютер для случайной работы, но если вам приходится это делать, используйте только кошельки с открытым исходным кодом, такие как http://alphawallet.com, http://electrum.org, http://sparrowwallet.com
Проверьте рейтинг безопасности ваших кошельков: Is your Bitcoin wallet secure? - Wallet Scrutiny
Примите как факт, что если устройство попадет в руки злоумышленников, спасти вас могут только заказные конденсаторы (чтобы нельзя было добраться напрямую до мозгов и считать электрические сигналы) и другие вещи вроде саморазрушения, эпоксидной смолы и так далее.
То есть, в идеале, нельзя допускать физического контакта ни в коем случае. Вы можете использовать специальные логические бомбы или логические ворота, дополнительные пароли, которые запускают какое-то действие безопасности, оповещения о событиях на вашем адресе через http://tenderly.co или с помощью 2/3 multi-sig.
Можно также создать кошелек-honeypot* и установить скрипт, который будет прослушивать tx, исходящие с этих адресов, предупреждая власти, охранные компании и/или друзей и семью о том, что вы находитесь под давлением, возможно, даже отправляя ваше местоположение или последнее известное местоположение через GPS.
Honeypot* («горшочек с мёдом») — ресурс, представляющий собой приманку для злоумышленников.
Задача Honeypot — подвергнуться атаке или несанкционированному исследованию, что впоследствии позволит изучить стратегию злоумышленника и определить перечень средств, с помощью которых могут быть нанесены удары по реально существующим объектам безопасности.
Всегда дважды проверяйте адрес, который вы скопировали в буфер обмена. Существует злая программа, которая может заменить адрес в вашем буфере обмена на очень похожий адрес, который имеет те же символы в начале/конце, что и ваш адрес.
-https://twitter.com/officer_cia/status/1491920415387574275
Будьте в курсе современных методов атак, внимательно прочитайте шаг за шагом это Руководство и Сборник, вам не нужно глубокое понимание того, как именно работают взломы, но важно знать, как это выглядит - быть жертвой:
- Crypto-OpSec-SelfGuard-RoadMap/Russian.md at main · OffcierCia/Crypto-OpSec-SelfGuard-RoadMap (github.com)
- http://graph.org/All-known-smart-contract-side-and-user-side-attacks-and-vulnerabilities-in-Web30--DeFi-03-31
Список атак холодного кошелька:
- http://adatainment.com/index.php
- http://ieeexplore.ieee.org/document/9284708
- http://cossacklabs.com/blog/crypto-wallets-security
- http://cipherblade.com/blog/list-of-breach-vectors-hackers-exploit-to-steal-cryptocurrency/
- http://arxiv.org/pdf/2108.14004.pdf
- http://bloom.co/blog/6-ways-a-site-can-attack-your-metamask/
- http://phishfort.com/blog/web3-phishing-has-finally-arrived
- http://arxiv.org/pdf/2204.01487.pdf
- http://arxiv.org/pdf/2111.08893
Изучите моделирование угроз и установить/осознайте все возможные угрозы, даже если они кажутся вам безумными. Подозрительность - это всегда хорошо. В конце концов, фальшивые новости лучше всего работают только с теми, кто разносит их своим знакомым, становясь своего рода донором.
Аналогично с атаками, очень часто вас могут попытаться взломать через знакомых, выдавая себя за знакомых или самих знакомых. Всегда помните об этом. Этот мир жесток и опасен.
- http://usenix.org/system/files/1401_08-12_mickens.pdf
Для сделок используйте escrow и tx alarm clock, а также специальные сервисы http://safient.io, http://sarcophagus.io, http://safehaven.io.
Используйте хранилище паролей OpenSource, систему ссылок, надежный способ связи, пользуйтесь услугами операционной безопасности, будьте в курсе последних технологий анонимности и приватности:
- http://keepass.info
- http://obsidian.md
- https://github.com/jlopp/physical-bitcoin-attacks/blob/master/README.md
- http://docs.google.com/spreadsheets/d/1-UlA4-tslROBDS9IqHalWVztqZo7uxlCeKPQ-8uoFOU/edit?usp=drivesdk
(продолжение списка Open Source приложений от @ollokio)
- https://bitwarden.com - пассвордменеджер и поддержка 2фа
- https://getaegis.app - удобно и по заверения защищенно для 2фа
Раздавать советы по кибербезопасности не компетентен, но предложенными приложениями сам пользуюсь.
Контр-ОСИНТ - это важно. Читайте об этом здесь:
- http://t.me/officer_cia/200
- https://twitter.com/officer_cia/status/1444456564551819270
- http://graph.org/Key-principles-of-storing-crypto-cold-wallet-attacks-defense-methods-best-practices--Bonus-04-23%D0%BC
Совет: используйте особый инструмент при работе с PDF, резюме и подобными файлами 😎 Или просто используйте Qubes OS. Вот программа, которая конвертирует PDF в пиксели, а затем обратно в PDF. Необходима, если вы открываете много случайных PDF, которые могут быть заражены.
firstlookmedia/dangerzone: Take potentially dangerous PDFs, office documents, or images and convert them to safe PDFs (github.com)
Благодарю за прочтения адаптации треда от Cia Officer`a
by @ollokio for RΞD CRYPTO KΞDS