Безопасность в WEB-3

Фишинг сайты/Дрейнеры

Мошенники с целью за получения ваших средств или данных создают фишинговые сайты, которые один в один похожи на настоящие сайты.

Если вы подключите свой кошелек к фишинговому сайту, то скорее всего ваши данные или средства окажутся уже у мошенников.

Наверное вы замечали, когда вам в лс пишут люди с предложением перейти на сайт и заклеймить Airdrop. Так вот, это тоже фишинговый сайт. В основном пишут в Discord'е, Tg, почту

Ну и конечно же хочу сказать про Twitter. Многие ребята большую часть информации получают именно от туда, но в большинстве твитов присутствует фишинговая ссылка или ссылка на скам проект.

А что если LayerZero анонсирует токенсейл в лайф режиме?

К сожалению это тоже скам. Даже аккаунты фаундеров крупных проектов взламывают и взламывают. Недавний инцидент случилось с аккаунтом Виталика Бутерина, когда после взлома была размещена фишинговая ссылка на минт NFT и на уловку попались даже продвинутые пользователи. Потери оцениваются в $691k.

Обманы на OTC маркетах

В настоящий момент внебиржевые маркеты уже не так пользуются спросом, как раньше. Но я до сих пор вижу как новички скидывают деньги фейк гарантам и теряют последние деньги. Давай те разберем основные виды скамов на OTC:

• Фейк гарант. Наверное самый популярный вид скама, это когда скамеры создают аккаунты, которые максимально похожи на профиля гарантов популярных ОТС чатов и пытается провернуть сделку с жертвами, которые не внимательно сверяют данные аккаунта гаранта. Поэтому всегда сверяйте гарантов через канал OTC

• Скам площадки. Часто когда вы продаете аккаунт, вам могут написать скамер с предложением провести сделку через незнакомый для вас OTC и гаранта. ЗАПОМНИТЕ, никогда не пользуйтесь незнакомыми для вас OTC, даже если на чат подписано очень много подписчиков и сообщений.
  
  Список проверенных OTC:
  t.me/MarketICOBOG
  t.me/mediasocialmarket
  t.me/naem_rektovalshik
  t.me/terncrypto_otc
  t.me/doubletop_otc
• Во время продажи/покупки аккаунта, всегда пользуйтесь услугами гаранта, даже если контрагент является вашим знакомым.

Address Poisoning Attack

Это довольно новый вид скама, когда мошенник подменяет адрес кошелька получателя на свой фейковый адрес. Транзакция создаётся с кошелька злоумышленника, но кошелек отправителя становится адресом жертвы. Так как при работе с адресами кошельков рядовой пользователь обращает внимание в основном на первые или последние 4 символа, в теории становится легкой добычей для подобных махинаций.

После этого, мошенник просто ждет и надеяться, что жертва не обратит внимание на подмену, и посчитает, что это он сам когда-то работал с этим адресом, отправит свои деньги.

Что делать чтобы не попасться на этот вид скама:

• Всегда сверяйте адреса кошельков
• Всегда старайтесь проверять, когда и сколько отправляют вам монет на кошелек. Обычно это происходит с суммой, менее 0.00+.

Скам токены/NFT

Если вы активно делаете ретро активности, то наверное заметили как вам приходят различные фейк токены/NFT. Это могут быть токены в любом блокчейне, с абсолютно любым тикером, но адрес смарт-контракта будет отличаться от настоящего.

При попытке апрува/трансфера вы потеряете всю остальную крипту со своего кошелька, поэтому просто не обращайте внимание на них.

Приглашения без вашего разрешения в скам каналы

Иногда бывает, что вас добавляют в незнакомый канал без вашего согласия. Безусловно, там спрятано большое количество "гемов", но и scam в любом его виде тоже проскакивает. Поэтому остерегайте себя и не засоряйте список ваших чатов. Отключите в настройках приватности функцию приглашения в группу от незнакомых пользователей.

Софты со стилером

Иногда бывает что многие незнакомые ПО являются вредоносным. Откуда вы можете его скачать:

• Пиратские приложения. Это могут быть приложения которые вы установили с торрента или софт из телеграмм каналов. Как итог, после установки, программа логирует все ваши файлы, соц. сети, кошельки и отсылает разработчику. В последствии, скамер вытаскивает из логов ваши приватники.
• Тест игр. В основном такой вид скама популярен в Twitter. Вам пишу в лс с предложением протестировать новую и "нереально крутую" игру, за что вы потом получить награду в виде стейблов (и украденных денег). Поэтому никогда не скачивайте игры, даже если вам предлагают очень большие деньги - это скам.
• Софты для ретродропов. Многие крипто админы в последнее время начали выпускать свои платные или даже бесплатные софты, который первым заклеймит дроп и делает активности от проекта. Но по итогу, софт просто отправляет вашу сид-фразу мошеннику или даже токены. Поэтому пользуйтесь софтами от ребят в которых сами уверены или пишите свой софт.

Не хватает на комиссию

Иногда в телеграмме вам могут написать скамеры и притворяясь дурачками скинуть сид-фразу от кошелька. На кошельке могут лежать стейблы, но для вывода вам нужны будут токены, которые должны покрыть комиссию за перевод. Когда вы начнете переводить токены для комиссии на этот кошелек, то они мгновенно спишутся, так как у скамера настроен софт для быстрого вывода токенов.

Rug pull

Злоумышленники создают токен и добавляют ликвидность в пул. Далее начинают активно шилить проекта в соц. сетях. Затем создатели проекта продают свои токены все разом. Благодаря гибкости DEX это можно сделать практически мгновенно.

В результате баланс покупок и продаж токена разрушен - когда цена падает из-за массовых продаж, уже не находится достаточно покупателей, и остальные держатели также в панике продают свои активы в попытке избавиться от (ныне бесполезных) инвестиций.

• Не храните все свои средства в одном кошельке. Разделите их минимум на 2 кошелька, но желательно больше :
  - Холодный кошелек
  - Горячий кошелек
  - Мобильный кошелек
  - Деген кошелек (NFT mints или другие рискованные действия)
• Не пользуйтесь одним и тем же паролем для соц сетей. Также советую ставить разные пароли в ADS на metamask
• Устанавливаем Анти вирусник Malwarebytes и проверяем свой компьютер на наличие вирусов
• Везде где можно, установите 2FA и обязательно запишите куда-нибудь ключ
• Устанавливаем браузерный Malwarebytes для проверки сайтов

• Не используйте незнакомые вам расширения и приложения
• Если вы храните на физическом диске приватные ключи, тогда шифруем папку через «Дисковую утилиту» на mac и храним файл на флешках
• Ставим трэкер на ваши кошельки через тг бота @EVMTrackerBot
• Если есть возможность, то пользуйтесь ОС MAC
• Проверяйте наличие сертификатов безопасности, используйте протоколы безопасной передачи данных, такие как HTTPS, и придерживайтесь официальных веб-сайтов
• Будьте активными и регулярно обновляйте программное обеспечение и приложения, связанные с web3.
• Пользуйтесь только приватными VPN сервисами.