За каменной стеной: как чувствовать себя в безопасности на крипторынке?🛡

🛡 Создайте безопасный кошелек. Кошелек — это ваш сейф, конверт с заначкой и чемодан с деньгами. Хранить активы можно только тут, поэтому безопасный кошелек = целый депозит. Чтобы кошелек оставался безопасным достаточно:

• Держать при себе свою seed-фразу. Нигде, никому и никогда не передавайте seed-фразу, ведь это прямой доступ к кошельку.
• Управлять правами доступа — при взаимодействии кошелька со смарт-контрактом любой DEX или других dApp у вас будут требовать право на доступ к адресу кошелька (это ок) и отправку токенов от вашего имени.

Некоторые площадки требуют универсальные права на управление всеми активами для удобства пользователя (не нужно каждый раз подтверждать транзакцию). Опасность предоставления таких прав в том, что если нарветесь на скам-площадку, то останетесь без монет.

Всегда следите за тем какой площадке и какие права на доступ предоставляете. Если вы не используете сервис, то лучше отозвать апрув. О том, как управлять правами доступа на MetaMask можно узнать тут. Отозвать уже предоставленные разрешения можно например на Unrekt (мультичейновый) или Cointool (сеть Ethereum).

С аппрувами связан такой вид скама, как Халявные airdrop токены. Суть в том, что вам на кошелек падают рандомные токены под предлогом победы в раффле, холда какой-то NFT, активности в Discord или еще чего-то. Естественно, вы захотите слить этот токен и будете искать DEX, где есть соответсвующий пул. Вероятнее всего, это будет ноу-нейм DEX или фишинг-копия известной площадки. Как только вы дадите права доступа, что провести своп, все активы из вашего кошелька испарятся.

• Сохранять приватность кошелька. Да, ваш публичный адрес виден всем, но будет безопаснее, если у скамеров не будет возможности связать публичный адрес с персональными данными. Для этого достаточно не постить адрес кошелька в соцсетях, под постами с раффлами или на форумах. Как минимум, это защитит вас от “социальной инженерии”, то есть сомнительных DM и других взаимодействий, нацеленных на ваши активы.

🛡 Используйте Burned wallets - мы уже неоднократно упоминали это правило в наших гайдах. Burned wallets - это одноразовые кошельки, которые вы используете для одной конкретной активности. Кошелек лучше держать пустым (или отправить минимально необходимое количество монет для активности), даже если вы нарветесь на скам-активность, ваш основной депозит останется защищенным.

🛡 Пристально следите за DM - “вкусные” предложения в DM - это один из самых популярных способов скама. Причем обычно мошенники маскируются под админов/фаундеров проекта за которым вы следите или активничаете. По умолчанию админы и другие офф лица проекта не пишут в личку, поэтому если в DM постучали со вкусным оффером, то лучше проверить валидность аккаунта/предложения через соцсети проекта.

🛡 Избегайте шила — от этого не застрахован никто и речь не только о крипте. Если вы следите за каким-то блогером/инфлюенсером, то уже потенциально подвержены шилу. Единственный способ защититься от шила - DYOR. Что это такое и как его делать мы уже разбирали на одном из уроков Академии. Также не забывайте о принципе “шкура на кону” - в идеале шилер должен сам зайти в проект, который шилит и желательно на тех же условиях, что и вы.

🛡 Ищите ред-Флаги проектов — это для тех, кто уже делает DYOR. Ред-флаги — это стоп-сигналы, которые говорят, что проект лучше скипнуть или пока просто понаблюдать со стороны. У каждого криптана с опытом формируется свой список ред-флагов, который может сильно варьироваться в разных сегментах рынка.

Например, для research-team theфириума ред-флагами могут быть (но не всегда): анонимная команда, слабая активность в соцсетях, плохие метрики токеномики (о том, как ее читать мы тоже рассказывали), разработчики из СНГ, отсутствие Tier-1 фондов в инвесторах и т.д. Ваша задача — сформировать список ред-флагов для себя при минимальных потерях.

🛡 Научитесь смотреть информацию о смарт-контракте — смарт-контракт — единственный 100% маркер подлинности токена. Существуют десятки и сотни клонов известных монет с одним и тем же тикером. Скамеры часто создают “клоны” USDT, ETH и других токенов, чтобы скинуть их как “халявные дропы”. Вот, например, что мы увидим, если вбить в Etherscan запрос USDT:

Какой из этих токенов тру, а какой фейковый? Чтобы проверить это, достаточно перейти на Coinmarketcap и глянуть официальный адрес смарт-контракта USDT, который доступен в информации о токене:

Если нужного вам токена нет на Coinmarketcap, то чейкате официальный сайт проекта. После запуска нативного токена разработчики обычно публикуют адрес смарт-контракта. В крайнем случае, можно уточнить эти данные напрямую в Твиттере или Discord команды.

Подробный гайд по чтению информации о смарт-контракте доступен тут, ну а о том, как проверять подлинность NFT через смарт-контракт мы писали в нашем уроке об NFT-скамах.

🛡 Юзайте скам-алерт сервисы — один из самых удобных так и называется Scam Alert. Тут можно узнать общую информацию о скамах, посмотреть скамерские кошельки и даже отправить адрес кошелька, веб-сайт или токен, чтобы узнать связан ли ресурс/кошелек со скамерами. Также помогают сервисы безопасности и рект-чекеры вродe PeckShield - они сразу сообщают кого хакнули, какой проект скатился в рагпул.

🛡 Осторожнее с ОТС — внебиржевая торговля может быть более выгодной и позволяет продать/купить такие активы как место в WL или верифицированные аккаунты на площадках. Но если у вас нет опыта работы с OTC - лучше не лезть.

Тема безопасности на внебиржевых площадках стоит отдельной статьи и мы ее обязательно разберем. Конкретный набор правил безопасности сильно отличается в зависимости от площадки, но если коротко, то лучше пользоваться ОТС с гарантом (организация или человек, который гарантирует выполнение сделки) и не отправлять крипту первым т.к. вернуть средства будет невозможно.

✅ Чтение/аудит смарт-контракта - в идеале смарт-контракты любого проекта должно проходить аудит безопасности. Как показывают многие примеры, аудит не гарантирует полной безопасности, но наличие аудиторского отчета от известной компании позволяет надеяться на отсутствие рагпулов, ханнипотов и других “сюрпризов” в смарт-контракте. Обычно отчет об аудите публикуется на официальном сайте/в соцсетях проектах и может храниться на сайте компании-аудитора.

Если данных по аудиту нет, то остается проводить проверку самостоятельно. Но это уже реально “продвинутый” уровень, который требует хотя бы базовых навыков чтения смарт-контракта. Если вы все-таки решите проапгрейдить свои скиллы до этого уровня, то ловите наш респект и хорошую статью для старта.

✅ Холодные и аппаратные кошельки — если вы храните в криптовалюте большую сумму, то наверняка защитить их поможет аппаратный кошелек. Также можно сделать холодный кошелек (без доступа к интернету) со старого смартфона или ноутбука. Такие кошельки работают в безопасной, отключенной от интернета среде, поэтому хакеры не смогут перехватить ваши приватные ключи через вредоносное ПО.

И еще — не стоит взаимодействовать с площадками напрямую с холодного кошелька. Лучше создать для этих целей несколько кошельков-прокладок и переводить на них небольшие, необходимые для работы суммы.

✅ Отслеживание он-чейн активностей — при помощи обозревателя блокчейна вы можете посмотреть с кем взаимодействовал кошелек, который отправил вам дроп, сомнительные токены или сообщение вместе с транзакцией. Так, массовые рассылки одинаковых транзакций могут быть признаком скама.

Кроме того, многие кошельки маркируются и отслеживание взаимодействий на несколько звеньев может дать инфу откуда на адрес пришли токены или вообще вывести на “помеченный” скамом кошелек.

📌 VPN - тут комментарии лишние. В непростом мире регулируемого интернета все мы давно научились использовать этот метод обхода ограничений. Единственное — если вы собираетесь мультиаччить и активничать в проектах, а не просто свапать, то лучше юзать платные сервисы, которые предлагают постоянные IP.

В некоторых случаях именно через IP отсеивают мультиаккеров и сомнительные аккаунты/транзакции, так что в идеале адрес должен быть один и тот же. Хотя настолько строгие проверки — скорее исключение, характерное только для некоторых CEX.

📌Антидетект-браузеры - сюда относятся приложения, которые позволяют скрывать отпечаток устройства в сети или могут генерировать новый для каждого входа/вкладки/окна, скрывая не только IP, но и все метаданные пользователя. Такие браузеры помогают сохранить анонимность и без них просто не обойтись при абузе или мультиаккаунт-активностях. Самые известные примеры: Okto, Multilogin, Dolphin.

В качестве комбинации VPN и антидетекта можно использовать TOR, но он плохо адаптирован для мультиаккаунтов.

📌 Твиттер-ферма - окей, ферма звучит слишком громко. Но 2-5 аккаунтов для различных активностей вам потребуется. Многие крипто-сервисы (например, краны или площадки для раффлов/минтов) интегрированы с Твиттером и требуют прохождения авторизации через эту соцсеть. Поэтому, если хотите участвовать в активность, не передавая персональные данные, то потребуется несколько “левых” аккаунтов.

Важно: некоторые сервисы проводят проверку на “ботов”. Чтобы ее пройти нужно, чтобы у аккаунта было от 3 до 10 фолловеров и самому следить за несколькими (десятками) пользователей. Хотя официально требования к аккаунтам нигде не публикуются.

📌 Миксеры — ну и последний инструмент для самых заядлых анонимов. Миксеры позволяют скрыть не только сайд-данные, но и адрес самого кошелька. После блокировки TornadoCash одним из топ-миксеров на Ethereum стал Aztec. Эта площадка использует для обработки транзакций доказательства с нулевым разглашением (zkproofs), поэтому не передает в блокчейн данные о кошельке пользователя. Все транзакции, проведенные через Aztec проходят от имени Aztec.

Важно: CEX и CeFi очень не любят миксеры и часто маркируют проведенные с их применением транзакции (и кошельки), как высокорисковые. Это значит, что если вы отправите на централизованную биржу крипту через миксер, то она может заблокировать средства и потребовать дополнительные объяснения. Поэтому лучше не пользоваться такими сервисами без крайней необходимости.