За каменной стеной: как чувствовать себя в безопасности на крипторынке?🛡
В представлении новичков крипторынок похож на уровень D&D-аркады: там яма, тут внезапная стрела, здесь файрболом накроет. Если вы тоже так думаете, то вы правы — крипторынок действительно похож на охотничьи угодья скамеров и хакеров. Но хорошая новость в том, что от них можно защититься, если соблюдать несложные правила безопасности. Давайте разбираться, как гулять по этому данжу и не стать жертвой очередной мошеннической схемы.
Базовые правила безопасности📄
Начнем мы с простых правил, которые должен соблюдать каждый активничающий криптан, чтобы сохранить свой депозит до следующего казино, на котором его можно благополучно просадить. Чтобы ваши токены всегда были в безопасности:
🛡 Создайте безопасный кошелек. Кошелек — это ваш сейф, конверт с заначкой и чемодан с деньгами. Хранить активы можно только тут, поэтому безопасный кошелек = целый депозит. Чтобы кошелек оставался безопасным достаточно:
- Держать при себе свою seed-фразу. Нигде, никому и никогда не передавайте seed-фразу, ведь это прямой доступ к кошельку.
- Управлять правами доступа — при взаимодействии кошелька со смарт-контрактом любой DEX или других dApp у вас будут требовать право на доступ к адресу кошелька (это ок) и отправку токенов от вашего имени.
Некоторые площадки требуют универсальные права на управление всеми активами для удобства пользователя (не нужно каждый раз подтверждать транзакцию). Опасность предоставления таких прав в том, что если нарветесь на скам-площадку, то останетесь без монет.
Всегда следите за тем какой площадке и какие права на доступ предоставляете. Если вы не используете сервис, то лучше отозвать апрув. О том, как управлять правами доступа на MetaMask можно узнать тут. Отозвать уже предоставленные разрешения можно например на Unrekt (мультичейновый) или Cointool (сеть Ethereum).
С аппрувами связан такой вид скама, как Халявные airdrop токены. Суть в том, что вам на кошелек падают рандомные токены под предлогом победы в раффле, холда какой-то NFT, активности в Discord или еще чего-то. Естественно, вы захотите слить этот токен и будете искать DEX, где есть соответсвующий пул. Вероятнее всего, это будет ноу-нейм DEX или фишинг-копия известной площадки. Как только вы дадите права доступа, что провести своп, все активы из вашего кошелька испарятся.
- Сохранять приватность кошелька. Да, ваш публичный адрес виден всем, но будет безопаснее, если у скамеров не будет возможности связать публичный адрес с персональными данными. Для этого достаточно не постить адрес кошелька в соцсетях, под постами с раффлами или на форумах. Как минимум, это защитит вас от “социальной инженерии”, то есть сомнительных DM и других взаимодействий, нацеленных на ваши активы.
🛡 Используйте Burned wallets - мы уже неоднократно упоминали это правило в наших гайдах. Burned wallets - это одноразовые кошельки, которые вы используете для одной конкретной активности. Кошелек лучше держать пустым (или отправить минимально необходимое количество монет для активности), даже если вы нарветесь на скам-активность, ваш основной депозит останется защищенным.
🛡 Пристально следите за DM - “вкусные” предложения в DM - это один из самых популярных способов скама. Причем обычно мошенники маскируются под админов/фаундеров проекта за которым вы следите или активничаете. По умолчанию админы и другие офф лица проекта не пишут в личку, поэтому если в DM постучали со вкусным оффером, то лучше проверить валидность аккаунта/предложения через соцсети проекта.
🛡 Избегайте шила — от этого не застрахован никто и речь не только о крипте. Если вы следите за каким-то блогером/инфлюенсером, то уже потенциально подвержены шилу. Единственный способ защититься от шила - DYOR. Что это такое и как его делать мы уже разбирали на одном из уроков Академии. Также не забывайте о принципе “шкура на кону” - в идеале шилер должен сам зайти в проект, который шилит и желательно на тех же условиях, что и вы.
🛡 Ищите ред-Флаги проектов — это для тех, кто уже делает DYOR. Ред-флаги — это стоп-сигналы, которые говорят, что проект лучше скипнуть или пока просто понаблюдать со стороны. У каждого криптана с опытом формируется свой список ред-флагов, который может сильно варьироваться в разных сегментах рынка.
Например, для research-team theфириума ред-флагами могут быть (но не всегда): анонимная команда, слабая активность в соцсетях, плохие метрики токеномики (о том, как ее читать мы тоже рассказывали), разработчики из СНГ, отсутствие Tier-1 фондов в инвесторах и т.д. Ваша задача — сформировать список ред-флагов для себя при минимальных потерях.
🛡 Научитесь смотреть информацию о смарт-контракте — смарт-контракт — единственный 100% маркер подлинности токена. Существуют десятки и сотни клонов известных монет с одним и тем же тикером. Скамеры часто создают “клоны” USDT, ETH и других токенов, чтобы скинуть их как “халявные дропы”. Вот, например, что мы увидим, если вбить в Etherscan запрос USDT:
Какой из этих токенов тру, а какой фейковый? Чтобы проверить это, достаточно перейти на Coinmarketcap и глянуть официальный адрес смарт-контракта USDT, который доступен в информации о токене:
Если нужного вам токена нет на Coinmarketcap, то чейкате официальный сайт проекта. После запуска нативного токена разработчики обычно публикуют адрес смарт-контракта. В крайнем случае, можно уточнить эти данные напрямую в Твиттере или Discord команды.
Подробный гайд по чтению информации о смарт-контракте доступен тут, ну а о том, как проверять подлинность NFT через смарт-контракт мы писали в нашем уроке об NFT-скамах.
🛡 Юзайте скам-алерт сервисы — один из самых удобных так и называется Scam Alert. Тут можно узнать общую информацию о скамах, посмотреть скамерские кошельки и даже отправить адрес кошелька, веб-сайт или токен, чтобы узнать связан ли ресурс/кошелек со скамерами. Также помогают сервисы безопасности и рект-чекеры вродe PeckShield - они сразу сообщают кого хакнули, какой проект скатился в рагпул.
🛡 Осторожнее с ОТС — внебиржевая торговля может быть более выгодной и позволяет продать/купить такие активы как место в WL или верифицированные аккаунты на площадках. Но если у вас нет опыта работы с OTC - лучше не лезть.
Тема безопасности на внебиржевых площадках стоит отдельной статьи и мы ее обязательно разберем. Конкретный набор правил безопасности сильно отличается в зависимости от площадки, но если коротко, то лучше пользоваться ОТС с гарантом (организация или человек, который гарантирует выполнение сделки) и не отправлять крипту первым т.к. вернуть средства будет невозможно.
Приведенные выше сервисы и методы защиты — это и есть та броня, которая позволит вам гулять по дикому миру крипты в относительной безопасности. Ее вполне достаточно, чтобы защититься от большинства угроз и видов скама, кроме разве самых технически изощренных. На первый взгляд кажется сложным, но со временем эти действия входят в привычку, главное - с самого начала создать список того, что нужно чекнуть.
Безопасность уровня Advanced🦾
Если вы работаете с реально большими суммами и вышли на альфа-каналы, которые дают информацию до того, как ее успеет чекнуть (и проверить) широкое комьюнити, то потребуется более надежная защита. Вот несколько правил, которые защитят даже от сложных хаков:
✅ Чтение/аудит смарт-контракта - в идеале смарт-контракты любого проекта должно проходить аудит безопасности. Как показывают многие примеры, аудит не гарантирует полной безопасности, но наличие аудиторского отчета от известной компании позволяет надеяться на отсутствие рагпулов, ханнипотов и других “сюрпризов” в смарт-контракте. Обычно отчет об аудите публикуется на официальном сайте/в соцсетях проектах и может храниться на сайте компании-аудитора.
Если данных по аудиту нет, то остается проводить проверку самостоятельно. Но это уже реально “продвинутый” уровень, который требует хотя бы базовых навыков чтения смарт-контракта. Если вы все-таки решите проапгрейдить свои скиллы до этого уровня, то ловите наш респект и хорошую статью для старта.
✅ Холодные и аппаратные кошельки — если вы храните в криптовалюте большую сумму, то наверняка защитить их поможет аппаратный кошелек. Также можно сделать холодный кошелек (без доступа к интернету) со старого смартфона или ноутбука. Такие кошельки работают в безопасной, отключенной от интернета среде, поэтому хакеры не смогут перехватить ваши приватные ключи через вредоносное ПО.
И еще — не стоит взаимодействовать с площадками напрямую с холодного кошелька. Лучше создать для этих целей несколько кошельков-прокладок и переводить на них небольшие, необходимые для работы суммы.
✅ Отслеживание он-чейн активностей — при помощи обозревателя блокчейна вы можете посмотреть с кем взаимодействовал кошелек, который отправил вам дроп, сомнительные токены или сообщение вместе с транзакцией. Так, массовые рассылки одинаковых транзакций могут быть признаком скама.
Кроме того, многие кошельки маркируются и отслеживание взаимодействий на несколько звеньев может дать инфу откуда на адрес пришли токены или вообще вывести на “помеченный” скамом кошелек.
Это что-то типа “тяжелой брони”, которая защитит даже от технически подкованных скамеров. Также эти правила — мастхэв для любого раннего инвестора т.к. помогут избежать изначально скамных проектов и хакеров, охотящихся на кошельки с крупными суммами.
Добавим немного анонимности😶
Хотя раньше анонимность проповедовалась как основная ценность криптовалют, сейчас это скорее опциональный уровень, который не любят регуляторы и поддерживают далеко не все площадки. Но, если вы верный солдат легиона Анонимус, то парочка инструментов позволят вам сохранить приватность на крипторынке:
📌 VPN - тут комментарии лишние. В непростом мире регулируемого интернета все мы давно научились использовать этот метод обхода ограничений. Единственное — если вы собираетесь мультиаччить и активничать в проектах, а не просто свапать, то лучше юзать платные сервисы, которые предлагают постоянные IP.
В некоторых случаях именно через IP отсеивают мультиаккеров и сомнительные аккаунты/транзакции, так что в идеале адрес должен быть один и тот же. Хотя настолько строгие проверки — скорее исключение, характерное только для некоторых CEX.
📌Антидетект-браузеры - сюда относятся приложения, которые позволяют скрывать отпечаток устройства в сети или могут генерировать новый для каждого входа/вкладки/окна, скрывая не только IP, но и все метаданные пользователя. Такие браузеры помогают сохранить анонимность и без них просто не обойтись при абузе или мультиаккаунт-активностях. Самые известные примеры: Okto, Multilogin, Dolphin.
В качестве комбинации VPN и антидетекта можно использовать TOR, но он плохо адаптирован для мультиаккаунтов.
📌 Твиттер-ферма - окей, ферма звучит слишком громко. Но 2-5 аккаунтов для различных активностей вам потребуется. Многие крипто-сервисы (например, краны или площадки для раффлов/минтов) интегрированы с Твиттером и требуют прохождения авторизации через эту соцсеть. Поэтому, если хотите участвовать в активность, не передавая персональные данные, то потребуется несколько “левых” аккаунтов.
Важно: некоторые сервисы проводят проверку на “ботов”. Чтобы ее пройти нужно, чтобы у аккаунта было от 3 до 10 фолловеров и самому следить за несколькими (десятками) пользователей. Хотя официально требования к аккаунтам нигде не публикуются.
📌 Миксеры — ну и последний инструмент для самых заядлых анонимов. Миксеры позволяют скрыть не только сайд-данные, но и адрес самого кошелька. После блокировки TornadoCash одним из топ-миксеров на Ethereum стал Aztec. Эта площадка использует для обработки транзакций доказательства с нулевым разглашением (zkproofs), поэтому не передает в блокчейн данные о кошельке пользователя. Все транзакции, проведенные через Aztec проходят от имени Aztec.
Важно: CEX и CeFi очень не любят миксеры и часто маркируют проведенные с их применением транзакции (и кошельки), как высокорисковые. Это значит, что если вы отправите на централизованную биржу крипту через миксер, то она может заблокировать средства и потребовать дополнительные объяснения. Поэтому лучше не пользоваться такими сервисами без крайней необходимости.
На этом заканчиваем наш базовый гайд по безопасности на крипторынке. Отдельные сегменты рынка и активности будет разбирать на других уроках, а всего вышеизложенного вам хватит для защиты от 95%+ всех возможных скамов. Защищайте себя, в крипте все еще нет государства, которое сделает это за вас!