Безопасность.
Изначально, я планировал выпустить публикацию о проп-компаниях. В частности о тех, которые доступны для граждан СНГ.
Однако, с приходом новой аудитории лицезрел много рассказов ( в «личке» ) о том, как люди теряли деньги в crypto.
Говоря прямо, все эти истории сводились либо к беспечности, либо к желанию «перехитрить» систему.
Беспечность ( вкупе с желанием «перехитрить» систему ) связана в первую очередь с тем, что 95% участников российского crypto-коммьюнити априори относятся к индустрии как к «темке».
А между тем, дело требует фундаментального подхода, подхода «по науке».
И если рассуждать о рисках «по науке», то условно можно обозначить два типа рисков :
Технические - это риски того, что купленный вами актив подешевеет. Попадание в эту категорию рисков 100% предсказуемо и связано с отсутствием у вас знаний, риск менеджмента и т.д.
Не технические риски - это риски попасть на scam.
Данная группа рисков ( не технические ) преследует вас от момента регистрации на бирже. Ниже я не стану описывать банальные вещи по типу предупреждения фишинга и т.д. Вместо этого подойдем к вопросу комплексно, «по науке».
1. Хранить активы на бирже не безопасно. На сегодняшний день Binance является TOP - 1 криптовалютной биржей по объемам ( согласно СMC ). Однако, это не делает ее на 100% безопасной. Так, например :
Mt.Gox, 2014 год. После хакерской атаки завершила свою работу по причине банкротства ( ущерб составил $460 млн ). Пострадали клиенты и пользователи.
Bitfinex, 2016 год. Во время взлома было похищено активов на $72 млн.
Bithumb , 2017 год. Злоумышленники похитили идентификационные данные о 31 тысяче уникальных пользователей. Кроме того, было похищено $7 млн, которые к концу 2017 года превратились в $80 млн. В 2018-ом году биржу снова ограбили на $32 млн долларов.
Coincheck, 2018 год. В результате взлома, биржа потеряла рекордные $533 млн.
Binance так же подвергалась взломам. Однажды было похищено $40 млн. Сама биржа пообещала возместить убытки клиентов, но было ли это обещание исполнено - неизвестно.
Все вышеупомянутые истории связаны со взломами. Однако, мы не можем быть уверены в этом до конца. Не исключено, что биржи попросту решили «подзаработать» на выборке безалаберных пользователей.
* Даже если все истории со «взломом» на самом деле инициированы службой безопасности биржи для личного обогащения, то деньги «списывались» только у тех, кто априори позволяет у себя списать деньги. Как правило - это выборка из тех, кто не подключал 2FA, вход по SMS и т.д.
Отсюда следует то, что биржа выступает для нас лишь обменником.
Возникает резонный вопрос : «где хранить активы?».
- На DEX-кошельках, т.к к ним не имеют доступа даже разработчики. Второй вопрос : «как трейдить, если трейдер вынужден постоянно держать свои деньги на бирже?».
- Не заниматься трейдингом на свои деньги ( это вообще базовое правило ). Есть деньги пропов - на них и торгуйте.
Предположим, что у мошенника есть ваши имя и фамилия ( достаточно будет иметь любое ваше фото ).
На основе этих данных, мошенник может заказать стягивание с «Роспаспорта», где помимо ваших данных увидит список оформленных на вас номеров телефона.
Любой из этих номеров можно подключить к перехвату SMS, биллингу и т.д.
В этом случае, мошенник сможет перехватить SMS с кодами восстановления электронной почты. Далее, он принимает коды восстановления биржевого аккаунта на электронную почту ( и все тот же номер телефона ).
Отсюда следует, что в идеале вам важно иметь отдельную sim-карту на имя другого человека ( которого никто не станет «пробивать» ). При этом, вы должны иметь «рычаги воздействия» на этого человека, а сам человек не должен знать, для каких именно целей используется номер телефона.
Еще лучше, если вы имеете разные sim-карты под разные адреса электронных почт, чтобы в случае взлома одного номера под угрозу не попала вся система.
Разные ресурсы = разные sim-карты = разные электронные почты.
Выше было сказано о том, что на каждый ресурс у вас должна быть своя, отдельная электронная почта ( хотя бы на «группу ресурсов», например - «личное», «рабочее» и т.д ).
Стоит добавить то, что почты должны быть только иностранные ( gmail ), ибо данные с российских электронных почт «вытягиваются» так же легко, как и данные с «Роспаспорта».
3. Двухфакторная аутентификация.
Данная мера предосторожности обязательна для любого из ваших ресурсов. Особенно для криптовалютных бирж.
Она бывает разных видов : SMS, звонок, код на электронную почту, 2FA, ключ безопасности, флешка, белый список кошельков и т.д.
Я советую использовать как можно большее количество из всего этого одновременно ( получится не везде, но на том же Binance это вполне реализуемо ).
Итого, для произведения транзакции вам придется ввести 3 года и 1 ключ.
Такое обычно не взламывают и у таких биржа обычно не ворует.
Очень важно поставить код-пароль и на само приложение аутентификации ( не Face ID ).
Дополнительно, можете сделать дубликат устройства с кодами и спрятать его, либо пользоваться резервным кодом восстановления 2FA.
С ним желательно быть крайне аккуратным.
Во-первых, любую подобную сеть можно легко взломать с целью перехвата данных.
Во-вторых, эти данные хранятся в логах у провайдера и могут затем перепродаваться кардерам и т.д.
Существуют способы , позволяющие более-менее защитить маршрутизатор беспроводной сети, но в таком случае придется обращаться к специалистам информационной безопасности.
База - проводной метод подключения к сети.
Сам по себе провод не дорогой, так еще ( помимо безопасности ) передает данные быстрее и стабильнее, нежели Wi-Fi.
Каждая операционная система имеет свои уязвимости.
Как правило, iOS, MacOS и Linux реже подвергаются взломам ( особенно кастомный Linux ).
В случае с iOS и MacOS, важно не пропускать обновлений, т.к там разработчики «чинят» уязвимости.
Стоит забыть так же о «крякнутых» и не лицензированных продуктах. Таковые лучше держать на «левом» ПК.
Существует специальный софт, который подменяет адреса кошельков при отправке, на адрес злоумышленника.
При желании, злоумышленник может сгенерировать такой же префикс и суфикс, как на вашем кошельке ( благодаря приложению https://vanity-eth.tk/ ).
Нечто подобное происходило с пользователями Binance в 2019-ом году.
В идеале важно иметь «стерильный» ПК, на котором будут храниться те или иные данные и которой либо не имеет доступа в Интернет ( хранилище ), либо имеет ограниченный доступ.
Аналогично и с мобильными устройствами. Принимать коды можно даже на кнопочный телефон.
Подойдет так же и вариант с флешкой : написать софт, который будет шифровать данные.
Не стоит хранить данные в заметках, на скриншотах, в Telegram’e, VK и т.д.
iCloud’ы могут быть подвержены взломам и вся информация из облака перейдет в руки злоумышленника ( вместе со скриншотами паролей ).
Seed-фраза должна включать в себя как можно больше символов, ровно как и пароль ( чтобы исключить возможность взлома методом автоматического подбора ).
Если данные хранятся на устройствах - старайтесь их запутать.
Если данные хранятся на бумаге - правильно ее упакуйте, защитите от влаги и т.д.
Напомню, что при необходимости вы можете зашифровать все свои пароли на флешке.
8. Социальные сети, Telegram и т.д.
Регистрируются на отдельной sim-карте, которая не связана с crypto. Номер телефона обязательно скрывается в настройках.
Переодически завершайте сеансы на других устройствах. Реже пользуйтесь голосовыми сообщениями ( дабы избежать компиляции вашего голоса ). Подключите облачный пароль к Telegram.
Наиболее распространенные : Ledger Nano X, Trezor One, SafePal.
Покупать только у официальных дилеров.
Не рекомендую использоваться Ledger, т.к случались прецеденты с багами кошелька.
10. Социальная инженерия. В контексте информационной безопасности существуют примеры, когда одни люди при помощи социального инженеринга «вытягивали» seed-фразы и пароли из других людей.
Блокируйте любой подобный разговор о ваших активах, кошельках и т.д.
Если у вас есть команда, то необходимо донести до участников правила безопасности. Важно соблюдать стерильность всех устройств, разделять рабочие и личные.
При работе с финансами часто используются таблицы. Важно, чтобы доступ к ним осуществлялся только со стерильных почт. Важно отслеживать доступ в эти таблицы, следить за списком устройств на почте, двухфакторной аутентификацией и т.д.
Важно чистить cookies, пароли в браузерах ( в т.ч антидетектах ). Особенно, если там хранятся активы.
Не пользоваться бесплатными VPN. Весь трафик ( хоть и зашифрованный ) проходит через сам сервер и может хранится в виде логов. В идеале - «поднять» свой VPN на офис.
12. Меры безопасности при покупке и продажи криптовалюты в обменниках.
Важно понимать систему обмена. Не понимаете - не меняете.
Никаких отправок криптовалюты вперед. Только стол в стол. Желательно не в заброшенном подвале, куда могут прийти люди с оружием.
Лучше немного переплатить, чем искать «подешевле» и рисковать всем капиталом.
Всегда убеждайтесь в том, что ведете диалог именно с тем человеком, у которого меняете.
При обменах используйте голосовые сообщения или звонок для сравнения первых 5 и последних 5 символов кошелька перед отправкой. Кроме того, голос способен деанонимизировать злоумышенника.
При соблюдении всего вышеописанного, ваши данные невозможно перехватить через VPN, ваши данные невозможно перехватить через беспроводную сеть. Все ваши пароли хранятся на стерильных устройствах или бумаге.
Номера телефона никак не связаны с вами, а на их владельцев у вас есть «рычаги воздействия».
Электронные почты никак не связаны между собой. Каждая защищена двухфакторной аутентификацией. Любая транзакция проходит 4 не связанных между собой этапа подтверждения.
Такие конфигурации не взламывают и у таких не «воруют» биржи.
1. Не совершайте действий с незнакомыми вам NFT.
Иногда в вашем профиле на Open Sea ( либо другом маркетплейсе ) может появится незнакомый NFT-токен.
Система устроена таким образом, что для совершения любых действий с этим токеном, необходимо предоставить его алгоритмам доступ ко всем активам.
Таким образом, когда вы попытаетесь передать или продать «халявный токен», откроете доступ ко всем своим активам.
Данное правило в принципе касается любого «хлама», который есть на маркетплейсах.
2. Не подтверждайте подозрительных транзакций.
Любое действие в De-Fi ( от авторизации до непосредственно транзакции ) требует подтверждения ( запроса подписи ).
Каждый такой запрос сопровождается информационным табло, в котором указаны все детали транзакции :
Иногда пользователи бездумно относятся к содержанию требований, описанных на табло.
Вас должен насторожить тот факт, что при попытке «безобидной» авторизации, сервис запрашивает комиссию как бы за транзакцию. Скорее всего, данная комиссия оплачивается за перевод ваших активов на счет злоумышленника.
3. Переодически совершайте «переселение» ваших активов на новый кошелек. В процессе использования кошелька вы разрешаете все большему количеству приложений, сайтов и т.п сервисов иметь доступ к вашим активам. Это не безопасно, поэтому время от времени желательно создавать новый кошелек и переносить активы туда.
4. Старайтесь участвовать в mint’e с делегированного кошелька.
Планируя участие в mint’e, старайтесь уточнить возможность делегирования кошельков.
Предположим, что вы храните свои активы на одном кошельке и ваша задача минимизировать любые действия и разрешения с этим кошельком. В этом случае, вы делегируете полученный WL на другой кошелек ( пустой ) и mint’ите NFT с пустого кошелька, а после отправляете на основной.
5. О добавлении токенов в MetaMask.
Время от времени, вы будете участвовать в раздаче свежих токенов, которые не будут отображаться на кошельке до тех пор, пока вы их туда не добавите.
Добавляйте токены только через СMC ( ссылка на сервис будет ниже ). Никаких «левых» адресов, никаких «левых» токенов.
1. Внимательно относитесь к цифрам и обозначениям валют. Предположим, что на ваш счет должны поступить 200 000 рублей. В свою очередь, вам отправляют 200.000 рублей.
Таким образом, вместо двухсот тысяч рублей вы получаете двести рублей.
Все дело в том, что положения точки, пробела или запятой могут иметь разное значение, и по разному отражать истинное число.
Подобно этому способу, мошенники могут осуществлять переводы в другой валюте.
Так, вам могут перевести 1 000 рупий вместо 1 000 долларов. Новичок видит сумму платежа и не обращая внимания на валюту, закрывает сделку.
В процессе диалога, мошенник может отправить вам фиктивный чек, завернув все это психологическим трюком с формулировкой : «Брат / сестра, я очень тороплюсь, можешь скорее закрыть сделку?».
Доверчивый продавец «войдет в положение» и закроет сделку, так и не получив оплаты.
Вывод : не стоит «вестись» на подобные уловки. Человек заведомо знал, куда и зачем пришел.
Мошенник может открыть с вами два ордера ( с двух разных аккаунтов ) на одинаковую сумму.
Далее, он совершит оплату только по одному ордеру ( с одного аккаунта ) и предоставит доказательства оплаты к тому ордеру, по которому оплаты не совершал. Вы отпустите этот ордер ( по которому оплаты не было ), после чего он откроет апелляцию по первому ордеру, предоставив доказательства оплаты в службу поддержки.
Вывод : при открытии подобных ордеров, запрашивайте перевод с копейками по одной из сделок. Если вам все же направили перевод без копейки - не торопитесь. Дождитесь оплаты по обоим ордерам.
4. Работа через «подставные биржи» ( scam-площадки ). Мошенники завлекают жертв через тематические Telegram-каналы, YouTube и прочие источники, предлагая купить связку с участием реальных бирж и своей фейковой площадкой.
Как правило, они дают жертве возможность произвести один-два круга со спредом 10%- 15%. В этот момент жертва думает, что нашла идеальную связку и кратно увеличивает капитал на круге. Одна из «бирж» в связке – мошенническая и как только на неё будет переведена существенная сумма денег, круг «закроется».
Иногда подобные «связки» вам могут продавать под видом качественных за очень большие деньги.
5. Общение от лица «администратора» или «службы поддержки» в ордере.
Администрация биржи, ровно как и служба поддержки, никогда не ведут диалоги в ордере (внутри сделки).
Зачастую мошенники могут использовать следующую формулировку: «Извините, у нас возникли сложности. Сейчас подключится специалист поддержки биржи и сориентирует по дальнейшим действиям».
После этого вы получаете сообщение о том, что Вам необходимо сделать ряд действий, которые приведут к потере средств ( предложат назвать какой-нибудь код из SMS или подтвердить получение денег за сделку ).
6. Клон банковского приложения.
Может произойти так, что мошенник откроет с вами ордер на покупку криптовалюты, указав методом оплаты «Тинькофф Банк».
Далее, он уведомит вас об оплате и направит фиктивный чек. Само собой, вы не отпустите ордер ( т.к деньги на ваш счет не поступили ). После этого мошенник откроет апелляцию и в качестве доказательств предоставит видео, снятое в фейковом приложении банка.
Как парировать? Укажите номер транзакции в чате поддержки банка. Сотрудник уточнит, существует ли данная транзакция в системе. Если ее нет, апелляция будет отмена. Если она есть, апелляция будет открыта до тех пор, пока вы не получите деньги на счет.
Одна из самых распространённых мошеннических схем. Для большей наглядности проиллюстрирую суть схемы ниже:
В схеме участвуют трое : мошенник, его жертва и вы.
Мошенник открывает с вами сделку на бирже, желая купить у вас криптовалюту. Далее, вы предоставляете мошеннику реквизиты на оплату, которые он предоставляет жертве.
Жертвой выступает клиент мошенника, который на условном Avito оплачивает ему кроссовки.
Деньги поступают на ваш счет, вы переводите мошеннику криптовалюту.
Однако, жертва никаких кроссовок не получает и пишет заявление в полицию, указав, что переводил деньги на ваш счет.
Во-первых, всегда проверяйте реквизиты : они должны совпадать с реквизитами, указанными в ордере. Если они не совпадают - просите комментарий к платежу по типу : «Я покупаю криптовалюту на бирже Binance, на сумму …» ( человек, который хочет оплатить IPhone сразу заподозрит неладное и откажется от такой «покупки». В случае, если жертва согласится на подобный комментарий, претензий к вам не будет априори ).
Во-вторых, вы можете запросить у продавца криптовалюты фотографию банковской карты на фоне сделки ( у мошенника нет физической карты с таким номером ).
«Грязная валюта» - это разного рода ворованные деньги, либо деньги, которые по тем или иным причинам находятся в розыске и чем-то «помечены» ( например, реквизитами отправителя ).
Прием таких активов на свой кошелек или карту может привести к блокировке.
Самостоятельно определить «чистоту» активов можно при помощи бота AML-проверки ( https://amlbot.com/ru ). Другой вариант - работа с проверенными продавцами.
Любые технические риски сводятся к наличию базовых знаний инструментария, функционала бирж / маркетплейсов и внимательности.
Совершенствуйте экспертизу, подходите к вопросу фундаментально, по науке.