Основные правила безопасности при работе в WEB 3.0

В рамках данной статьи я попробовал собрать и систематизировать информацию, касающуюся безопасности средств при работе с криптой. Большую часть, я уверен, многие из вас уже знают и успешно применяют. Тем не менее, вижу сообщения, что кто-то всё-таки продолжает попадаться на удочку мошенника. На чаше весов всегда будет две составляющие – безопасность ваших средств и удобство взаимодействия, комфорт. Часто весы склоняются ко второму варианту. И тут каждый сам решает – сможет ли та сумма криптовалют на кошельке потеснить ваш комфорт. Надеюсь, что после ознакомления с материалом получится прийти к некому балансу.

Выберите надежный криптокошелек

Первым шагом на пути к безопасности является выбор надежного и проверенного временем криптокошелька. Важно помнить, что криптовалютный кошелек никаких ваших средств не хранит — это интерфейс взаимодействия с вашими средствами, которые хранятся в блокчейне. Также кошельки генерируют ваш публичный ключ, приватный ключ, а также сид-фразу.

Вспомним, что это такое:

• Публичный ключ (Public Key) — это элемент криптографической пары, служащий для идентификации адреса кошелька в сети и шифрования информации, которая будет доступна всем. В контексте криптовалют публичный ключ является адресом кошелька, на который можно принимать криптовалюту.
• Приватный ключ (Private Key) — это другой элемент криптографической пары. Этот ключ является секретным и должен храниться в строгой тайне. Приватный ключ используется для расшифровки информации, подписи транзакций и доступа к средствам на соответствующем кошельке. Контроль за приватным ключом означает контроль над активами, хранящимися на кошельке. Доступ к приватному ключу пользователь может получить только через пароль, так что не используйте простые и типовые пароли.
• Сид-фраза (Seed Phrase), также известная как мнемоническая фраза (mnemonic phrase), представляет собой набор из нескольких слов (обычно 12, 18 или 24), которые генерируются случайным образом из 2048 вариантов и служат для удобного и безопасного восстановления приватных ключей и адресов кошелька. Сид-фраза обычно используется для создания деривационных ключей, которые, в свою очередь, генерируют приватные и публичные ключи. Это важный инструмент для восстановления доступа к кошельку в случае утраты или повреждения устройства. Её также стоит строго беречь и никогда не передавать третьим лицам.

Касательно хранения сид-фраз

Чаще всего люди теряют средства из-за того, что передают сид-фразу третьим лицам или банально теряют её. Если с первым всё просто — уже сказано выше, то со вторым фактором не так однозначно. Естественно, крайне не рекомендуется хранить фразу на фото в телефоне или в текстовом виде в различных онлайн-редакторах. Многие советуют хранить её на листке бумаги. Это неплохой вариант, если вы сможете обеспечить защиту от воздействия окружающей среды и не потеряете листок. Можно сделать несколько копий, храня в разных местах. Кто-то даже умудряется хранить в банковской ячейке. Но опять же, тут вопрос баланса безопасности и комфорта.

Компромиссным вариантом может быть хранение на компьютере в зашифрованном виде. Смена названия файла с фразой на что-то системное с изменённым расширением может сбить с толку злоумышленника. Сделайте второй экземпляр, который можно хранить в другом месте. Тут уже подойдет листок бумаги, который можно по необходимости обновлять.

Теперь поговорим про кошельки

Сначала две большие группы — кастодиальные и некастодиальные.

1. Custodial Wallet (кастодиальный кошелек) — это кошелек, в котором третья сторона (например, биржа или платформа) управляет вашими приватными ключами. Вы взаимодействуете с этой стороной, чтобы осуществлять транзакции и управлять своими средствами. Очевидно, что ваши средства в любой момент могут быть заблокированы биржей. Этот вариант не подходит для долговременного хранения.
2. Non-Custodial Wallet (некастодиальный кошелек) — это кошелек, в котором вы сами управляете своими приватными ключами. Это означает, что только вы имеете доступ к своим криптовалютам, и никто другой не может вмешиваться в ваши транзакции.

Некастодиальные кошельки можно поделить на следующие типы:

1. Холодные или аппаратные кошельки — являются наиболее безопасным вариантом, так как хранят закрытые ключи в отдельном аппаратном устройстве, не подключённом к интернету (Ledger, SafePal, Trezor, Tangem).
2. Горячие, онлайн-кошельки или браузерные кошельки — удобны для быстрого доступа к средствам, но менее безопасны из-за потенциальных уязвимостей в сети (MetaMask, Trust Wallet, Rabby, imToken, Taho и т.д.).
3. Мобильные кошельки — хороши для оперативных платежей, но также могут быть подвержены рискам в случае утери устройства (MetaMask, Trust Wallet и т.д.).
4. Десктопные кошельки — отдельное приложение для компьютера, по сути, аналог мобильных приложений (Exodus — один из самых популярных).

Конечно, взломать можно всё, но с холодными кошельками это сделать гораздо сложнее. Поэтому классическая схема — использование холодного кошелька для хранения основных средств в связке с любым другим типом, на котором будет относительно небольшая сумма для оперативного доступа к приложениям. Так, в случае компрометации вашего горячего кошелька вы рискуете только этой небольшой суммой.

Если нет возможности использовать холодный кошелек, можно использовать разные горячие кошельки на разных устройствах. Например, можно использовать устройство, которым вы редко пользуетесь, и поставить туда горячий кошелек, ограничив доступ в интернет — это и будет вашим «холодным» кошельком.

Наконец, уже многие горячие кошельки поддерживают совместную работу с холодными. Т.е вы работаете через интерфейс горячего, а транзакции одобряете уже в холодном.

Что ещё важно отметить

• Используйте двухфакторную аутентификацию. Многие криптокошельки и биржи поддерживают двухфакторную аутентификацию (2FA). Это дополнительный уровень безопасности, который требует не только пароля, но и дополнительного подтверждения (например, через приложение на мобильном устройстве).
• Регулярно обновляйте программное обеспечение. Разработчики постоянно улучшают безопасность криптокошельков и программного обеспечения для криптовалют. Важно следить за обновлениями и устанавливать их своевременно, чтобы избежать открытых уязвимостей. Также очень желательно пользоваться антивирусными программами.
• Разделяйте свои личные аккаунты и аккаунты для работы с криптой. Взлом одного хотя бы не потянет за собой остальные. Вообще лучше использовать разные физические устройства, причем для работы с криптовалютами использовать MacOS или Linux системы.

Виды мошенничества

«Чтобы поймать преступника, надо думать, как преступник», — гласит известное выражение. Воспользуемся этим советом и разберем основные схемы мошенничества в крипте, а заодно поймём, как от них уберечься.

Хонейпоты (Honeypots)

Хонейпоты — это схема, в которой злоумышленники создают мошеннический проект или токен, который кажется привлекательным и безопасным для пользователей. Цель хонейпота — убеждение пользователей вложить средства в проект, после чего злоумышленники похищают их.

Рассмотрим подробнее мошенничество с токенами. Создать свой токен или смарт-контракт - это довольно тривиальная задача. Поэтому постоянно создаются различные скам-токены, мимикрирующие под настоящие. Чаще всего это происходит в дешёвой и популярной сети BSC и на её самой популярной DEX — PancakeSwap. Особенность, которую мошенники закладывают во время создания токена, — невозможность его продажи.

Обычно такие токены создают на различные хайповые проекты или самостоятельно разгоняют хайп в «секретных» и закрытых чатах, где «пампят» токены.

Вот пример подобной статьи: https://telegra.ph/Kak-kupit-tokeny-LayerZero-ZRO-na-Binance-07-19. Тут автор предлагает купить не вышедший токен ZRO. Это типичный пример — хайповый проект, сеть BSC, PancakeSwap.

Как защититься:

1. Получайте информацию только из проверенных источников. Если говорить о контракте токена, то лучше брать его из блокчейн-эксплорера в разделе Tokens, если это популярный токен. Или использовать сервисы типа CoinMarketCap, CoinGecko, CryptoRank.
2. Если где-то предлагают купить хайповый токен, указывая контракт на DEX-бирже, обязательно его проверяйте. Например, вот токен из статьи: https://bscscan.com/txs?a=0xA12d522FF22f432a335df18D370030B3f762Bb82. В списке транзакций вы увидите только входящие, ни одной продажи.
3. Проверьте токен в сервисах: bscheck.eu, poocoin.app, tokensniffer.com, honeypot.is, presaleantirug.com итд.
4. Мошенники давят на эмоции, поэтому слова «срочно», «последний шанс» — повод насторожиться.

Регпулы (Rug Pulls)

Регпулы – еще одна схема, которая часто используется в DeFi. Это ситуация, когда создатели проекта внезапно забирают все средства, инвестированные пользователями, и исчезают. Это может произойти через мошеннические контракты, искусственное накачивание цены, а затем быстрое снятие средств. В целом похоже на предыдущий вариант, но с куда большими масштабами. Здесь собирается самый настоящий проект, привлекаются инвестиции, есть активные соцсети, ну а дальше – вы уже поняли.

Как защититься:

1)      Не вкладывайте больше средств, чем готовы потерять, в молодые и малоизвестные проекты

2)      Также через сервисы проверяйте токены из пула

http://rugpulldetector.com/

https://rugdoc.io/honeypot/

https://poocoin.app/rugcheck/

3)      Через вышеперечисленные сервисы и блок экплорер проверяйте распределение токенов у владельцев, заблокированы ли токены в пуле.

Понци-схемы (PonziSchemes) и другие формы финансовых пирамид

Понци-схемы — это одна из наиболее известных финансовых пирамид, где ранние инвесторы получают доход за счет средств новых инвесторов. Это нерабочая модель в долгосрочной перспективе, и такие схемы обычно обречены на провал, оставляя большинство участников с убытками. В крипте один из самых известных подобных случаев это Bitconnect, можно почитать тут.

Как защититься: стараемся залететь первыми =) А вообще просто обходим стороной проекты, где нет понятной и прозрачной схемы заработка, хотя сейчас таких, увы, очень много.

Всевозможные вариации фишинга

Фишинг — это метод, при котором злоумышленники создают фальшивые веб-сайты, электронные письма или сообщения, чтобы собрать личные данные пользователей, такие как приватные ключи, пароли или фразы восстановления. Они могут выглядеть очень похоже на официальные ресурсы и новичкам не всегда просто вычислить мошенников.

Рассмотрим некоторые частные случаи:

Раздача скам токенов на кошелек

Регулярно получаю на кошелек разные скам-токены, обычно такие транзакции всегда помечены «красным флагом», но новичков все равно подобное может заинтересовать. Встречаются несколько вариантов – это токены двойники, который выдают себя за настоящие.

Второй вариант – токены, в наименовании которых есть отсылка на сайт.

Суть одна – заставить вас перейти на фишинговый сайт, подключить кошелек и подписать транзакцию в кошельке на управление вашими токенами.

Как защититься:

В 99% случаев подобные внезапные появления токенов в кошельке – это скам. Если вы активно работаете с дропами, то вы и так знаете, что вам должно прийти на кошелек. Но если хотите проверить – то сайты-чекеры выше в вашем распоряжении. Внимательно проверяйте, что подписываете в кошельке. Многие современные кошельки зачастую помогают вам, подсвечивая подозрительные транзакции. Не пренебрегайте различными предупреждениями.

Рассылка фишинговых писем, сообщений в соцсетях

Наверняка кто-то из вас сталкивался, когда вам пишет какой-нибудь инфлюенсер в личные сообщения и предлагает «заработать». Или же в нельзяграмме, когда вы подписались на популярного криптоблогера на вас тут же подписывается похожий аккаунт с почти таким же никнеймом и через некоторое время также начинает активно зазывать купить курс. Дальше все просто – вы отдаете деньги, человек их забирает и исчезает.

Нередко аккаунты проектов или инфлюенсеров взламываются и начинается активное заманивание в ловушку.

Как защититься:

В большинстве случае блогеры первыми никогда не пишут, только если вы заранее не даете им такую возможность, проходя опросы, к примеру. Но в любом случае - просто всегда внимательно проверяйте никнейм и вы увидите отличие от оригинала.
Если происходит взлом соцсетей, то увидев сообщение о «срочном» аирдропе или акции, заканчивающейся вот-вот через час, то просто выждите время. Посмотрите со стороны, обычно атакованный проект довольно быстро выходит на связь по другим каналам и сообщает о взломе.

Подмена адреса проекта

Про это уже писалось, но, так как это наверно самая распространенная ловушка, то выведу в отдельный пункт. Существует огромное кол-во сайтов-близнецов популярных проектов. BINANCE.COM и BlNANCE.COM выглядят одинаково, а между тем, 2 буква отличается - i и l.

Как защититься:

Всегда проверяем название сайта в строке поиска, используем официальные ссылки с официальных каналов проекта. Часто они выкладываются в дискорде проекта в соответствующем разделе.

Взлом смарт-контракта в DeFi

Все слышали о различных взломах площадок, роутеров, мостов итд. В этом случае пользователи, которые давали аппрув на свои токены могут их потерять.

Как защититься:

Отправлять на аппрув только ту часть, которую передаете в управление площадке. Таким образом вы лимитируете свои потенциальные потери. Если взлом произошел, но средства еще на месте, то использовать revoke для отзыва аппрува токенов через тот же revoke.cash. Недавно, кстати, появился и новый способ обмана через Revoke, когда для отзыва аппрува приходилось платить очень высокий газ, тем самым кормя мошенника. Сейчас уже пофиксили, но тем не менее это еще раз напоминает, что мошенники всегда ищут новые способы обмана.

Дополнительно перед работой с платформой стоит убедиться, что смарт-контракт прошел аудит у нормальных компаний (Certik,Slowmist) с положительным заключением.

А вообще вот статистика по атакам, чтобы был понятен масштаб

MEV-атаки (актуально для очень крупных кошельков)

Miner Extractable Value (MEV), также известные как "фронтраннинг", представляют собой еще один тип угрозы в сфере криптовалют. MEV-атаки используются для извлечения прибыли из блокчейна путем манипулирования последовательностью транзакций.

MEV-атаки возникают из-за специфики устройства блокчейнов, где транзакции соревнуются за включение в следующий блок. Злоумышленники используют эту особенность, чтобы извлекать прибыль, внедряя свои транзакции в блоки перед или после определенных сделок, которые могут изменить цену покупки.

Пример MEV-атаки:

Злоумышленник видит, что кто-то собирается сделать большую покупку определенного актива. Он отправляет свою собственную транзакцию на покупку актива немного раньше, переплачивая за газ. По сравнению с транзакцией оригинального покупателя, транзакция злоумышленника будет включена в блок раньше, и он может продать актив по более высокой цене.

Как защититься:

Использование протоколов с защитой от MEV-атак

В заключение

В рамках данного материала мы рассмотрели основные вопросы, связанные с безопасностью в криптовалютах. Уверен, теперь вас будет чуточку сложнее ввести в заблуждение и увести ваши средства. Конечно, мошенники также совершенствуют свои атаки, придумывают новые способы обмана, но знание основ минимизирует риски.