В третьем квартале криптоиндустрия потеряла от взломов и скама $428 млн. За третий квартал 2022 года совокупные потери экосистемы Web3 от взломов и мошенничества составили $428,7 млн.

За период произошло 39 инцидентов, из которых 30 были собственно хакерскими атаками с общим ущербом $399 млн. Остальные потери в $29,8 млн пришлись на девять случаев скама, включая схемы rug pull.

Ключевыми целями хакеров и мошенников остаются DeFi-проекты — на них пришлось 98,8% совокупных потерь против 1,2% у сферы CeFi. Учет рисков и соблюдение правил безопасности помогает избегать многих видов атак, а микширование криптовалют — сохранять анонимность транзакций.

Кибербезопасность и анонимность — неотъемлемые части работы с цифровыми активами в условиях систематических хакерских атак и усиления давления регуляторов.

Базовые правила работы в сети

• генерируйте сложные пароли
• не используйте один пароль для разных учетных записей
• не переходите по подозрительным ссылкам
• не открывайте сомнительные письма
• проверяйте безопасность соединений
• не используйте общедоступный Wi-Fi и публичные сети
• не храните пароли и seed-фразы на цифровых носителях
• используйте 2FA аутентификацию
• выделите отдельный браузер и аккаунты только для кошельков и транзакций
• не устанавливайте неизвестные расширения — через них можно взломать Ваше устройство и подменить кошелек на мошеннический

Взаимосвязь рисков с криптокошельками

В 2022 под атаку хакеров попали юзеры генератора Ethereum-адресов Profanity, в общей сложности потерявшие $3,3 млн., а владельцы кошельков на базе Solana — около $8 млн.

Криптокошельки — это специальные программные решения, позволяющие хранить и проводить операции (отправка/получение) с криптовалютой. Такие кошельки бывают разных видов: кастодиальные и некастодиальные; холодные и горячие.

Кастодиальные кошельки предоставляются и контролируются третьей стороной (кастодиантами), обычно третья сторона — это криптовалютная биржа, которая имеет доступ к секретным ключам Вашего кошелька (privat key) и может в любое время «заморозить» Ваши средства.

Как обезопасить свои активы?

• старайтесь торговать на децентрализованных биржах. В этом случае биржа не будет хранить Ваши средства и личные данные, так как придерживаются принципов анонимности и не требуют KYC
• изучайте информацию о площадке перед началом торговли. Выбирайте проверенные сервисы, зарекомендовавшие себя
• выводите с биржи средства, если они не находятся в работе. Любой сервис может быть подвержен атаке хакеров или техническим сбоям

Некастодиальные кошельки — полностью принадлежат и контролируются владельцем. Только Вы владеете секретным ключом или seed-фразой, а значит никто кроме Вас не может получить доступ к Вашим активам. Но если Вы потеряете или забудете секретную фразу, то к сожалению уже никто не сможет Вам помочь.

Горячие кошельки имеют постоянное подключение к интернету и их можно установить в качестве софта на своё устройство. Для каждого блокчейна существует свой кошелёк. Для сети Ethereum — Metamask, в блокчейне Solana — Phantom, а для сети Polkadot — это расширение polkadot{. js} extension. Также существуют кошельки в виде мобильных приложений, например TrustWallet.

Холодный кошелёк представляет собой уже физическое устройство, которое с виду напоминает обычную флешку. Доступ к холодным кошелькам осуществляется с помощью seed-фразы. Преимущество данного вида кошельков в том, что мошенники не могут украсть Ваши активы, просто получив доступ к Вашему компьютеру или мобильному устройству, так как Вам необходимо будет подтвердить транзакцию, нажав кнопку на самом устройстве и ввести секретный пин-код, чтобы разблокировать его. Основной минус холодных кошельков — их цена (например базовая цена Trezor Model One ~ 69€).

• Важно покупать такие устройства только у проверенных поставщиков и проверять целостность упаковки. Крайне не советуем покупать холодные кошельки с рук!
• Также обратите внимание на то, что при покупке кошелька Вы сами должны настроить seed-фразу и пин-код. Если Вам предлагают купить кошелёк с уже готовой seed-фразой — это обман!
• При обновлении прошивки обязательно проверяйте компьютер или телефон на безопасность. Если Ваше устройство взломали мошенники, в момент подключения кошелька через USB, они в силах удаленно выгрузить память микроконтроллера с приватными ключами.

Безопасность горячих кошельков

Данный тип кошельков удобнее для постоянной работы, но в то же время подвержен большим рискам из-за постоянного подключения к Интернету.

• проводите каждую транзакцию через новый адрес. Так Вы сможете ограничить нахождение связей между переводами.
• используйте VPN и приватный браузер для скрытия IP. Важно: есть шанс блокировки со стороны биржи при использовании «луковой маршрутизации» (прим. сети специальных нод, каждая из которых шифрует данные пользователя. Таким образом, пользователь скрывает свою личность за несколькими «слоями», как будто бы внутри луковицы).

Что делать если Вы потеряли или у Вас украли кошелёк?

В первую очередь выводите свои активы на другой кошелёк. Вам будут нужны новое устройство и исходная seed-фраза. В момент активации нового кошелька выберите вариант «У меня уже есть seed-фраза» и введите её. Если хакеры еще не успели взломать устройство, Ваши активы в полном объёме будут на новом устройстве.

Как безопасно хранить seed-фразу?

Никогда не храните seed-фразу в каком-либо приложении или устройстве, подключенном к интернету. Офлайн-хранение — самый безопасный вариант. Обязательно запишите seed-фразу слово в слово так, как отображено в кошельке. Стоит только ошибиться в одном символе и доступ кошельку будет утерян!

Также можете воспользоваться системой разделения секрета Шамира: seed-фразу поделите на n частей так, чтобы из любых m-из-n частей можно было ее восстановить. Например, для восстановления фразы из девяти частей хватит семь из них.

Придерживаясь этих простых правил Вы сможете обеспечить безопасность своих активов!

«Ледяной фишинг»

В аналитическом отчёте от 20 декабря CertiK описал «ледяной фишинг» как атаку, которая обманом заставляет пользователей Web3 подписывать разрешения, что в конечном итоге позволяет мошенникам тратить токены.

Этот способ отличается от традиционных фишинговых атак, которые пытаются получить доступ к конфиденциальной информации, такой как закрытые ключи или пароли. Например, после краха биржи FTX, всё чаще стали появляться поддельные вёб-сайты, которые якобы помогают инвесторам FTX вернуть средства, потерянные на бирже.

«Ледяной фишинг представляет собой серьезную угрозу для сообщества Web3. Вместо того, чтобы получить доступ к вашему закрытому ключу, мошенники обманом заставляют вас подписывать разрешения на использование ваших активов».

Источник: CertiK Alert.

Похищение 14-ти Bored Ape Yacht Club

В декабре 2022 года в СМИ появилась информация о краже 14-ти невзаимозаменяемых токенов Bored Ape с помощью мошенничества с социальной инженерией. Инвестора убедили подписать запрос на транзакцию, замаскированный под контракт на фильм, что в конечном итоге позволило мошеннику продать себе всех обезьян пользователя за ничтожную сумму.

Как защитить себя от ледяного фишинга?

• Отозвать разрешения для адресов, которые нельзя распознать на сайтах обозревателя блокчейнов, таких как Etherscan, с помощью инструмента утверждения токенов.

• Проверять адреса, с которыми Вы планируете взаимодействовать, в обозревателях блокчейнов на наличие подозрительной активности.

• Взаимодействовать только с официальными сайтами, которые Вы можете проверить, и проявлять особую осторожность в отношении сайтов социальных сетей, таких как Twitter.

• Осуществлять проверку с помощью рейтингового сайта, такого как CoinMarketCap или Coingecko, чтобы Вы могли увидеть, что связанный URL-адрес не является законным сайтом, и его следует избегать.

Напомним, что в третьем квартале 2022 потери экосистемы Web3 от взломов и мошенничества составили $428,7 миллионов. Будьте бдительны, внимательно относитесь к своим цифровым активам и соблюдайте простые правила безопасности!