Крипто-безопасность с нуля: Как не потерять свои средства

ПЛАН

1. Вступление
2. Виды мошенничества в крипто-пространстве | База
3. Defi-гигиена
4. Мошенничестве с использованием логов браузеров
5. Скам в Софтах
6. Инструменты безопасности
7. Вывод

1. ВСТУПЛЕНИЕ

"Я скажу то, что для тебя не новость. Крипта не такая уж солнечная и приветливая. Это очень опасное, жесткое место. И если только дашь слабину, она ректанет с такой силой тебя, что больше уже не встанешь. Ни ты, ни я, никто на свете не бьёт так сильно, как КРИПТА. Совсем не важно, как ты ударишь, а важно, КАКОЙ ДЕРЖИШЬ УДАР, как двигаешься вперёд. Будешь холдить — ХОЛДИ, если с испугу не продашь. Только так побеждают! Если знаешь, чего ты стоишь, иди и холди своё, но будь готов просадку держать, а не плакаться и говорить: «Я ничего не заработал из-за него, из-за неё, из-за кого-то»! Так делают хомяки, а ты не хомяк! Быть этого не может! …я всегда буду тебя любить, что бы ни случилось. Ты мой зритель — плоть от плоти, самое дорогое, что у меня есть. Но пока ты не поверишь в себя, лайфченджа не будет"

Автор Материала - https://t.me/code_vartcall

Соавторы:

https://t.me/crypt0l0vir

https://t.me/codeherooo

Сегодня я расскажу вам о самых интересных видах мошенничества в крипто-пространстве. Мы раскроем много карт, поведаем как этого мошенничества можно избегать и найдем интересные сайты которые будут закрывать наши проблемы в безопасности.

Эта та самая статья которая помогла бы мне сэкономить тысячи долларов если бы таковая попалась мне под руку в начале моего становления в крипто-мире

Всем приятного чтение, Варткол вещает

2. ВИДЫ МОШЕННИЧЕСТВА В КРИПТО-ПРОСТРАНТВЕ

БАЗА:

сейчас мы кратко пройдемся по базовым видам мошенничества и будем идти по нарастающей

• Что такое дрейнеры и как их не получить?
• Что будет после получения seed-фразы сторонними лицами?

Что такое дрейнеры и как их не получить?

Drainer (с англ. осушитель) - инструмент, который используется для кражи средств с криптокошельков. Дрейнеры представляют собой программные комплексы, предназначенные для быстрого и автоматизированного опустошения кошельков

Что делают дрейнеры:

1. Позволяют узнать примерную стоимость хранящихся в кошельке криптоактивов и обнаружить среди них особенно ценные.
2. Умеют создавать транзакции и смарт-контракты, позволяющие быстро и эффективно выводить активы из кошелька жертвы.
3. Делают транзакцию максимально «мутной», чтобы по ней было сложно понять, что именно произойдет после одобрения (approve).

Где можно подцепить дрейнер?

- Абсолютно везде где можно подключить кошелек.

Как например было 17 декабря 2022 года, когда благодаря дрейнеру осущили NFT-Гиганта на $1 миллион Долларов

Тогда программисты создали фейковый сайт реально существующей лос-анджелесской киностудии Forte Pictures и связались от ее имени с влиятельным NFT-коллекционером.

У них была байка о том что они снимают фильм приуроченный технологии NFT и хотели получить от него лицензию в лице NFT со скучающей обезьяной.

Для этого, по словам мошенников, требовалось подписать контракт на "блокчейн-платформе" Unemployd, якобы предназначенной для "лицензирования интеллектуальной собственности", связанной с NFT.

В результате после подключения кошелька и подписания контракта в кошельке NFT-Энтузиаста с него были списаны 14-NFT обезьян общей стоимостью в $1 миллион долларов

https://etherscan.io/tx/0xd82484e970a1a0a065f4e710da84990df5cee35e2305fcf88db44271a24c5ceb - Транзакция этой операции

В результате всего за 0,00000001 $ETH ≈ 0.001 цента с кошелька были украдены все NFT самой узнаваемой коллекции Bored Ape Yacht Club которые были у держателя.

Подробнее об этой ситуации можете почитать тут - https://fullycrypto.com/14-bored-apes-stolen-through-social-engineering-scheme

Как злоумышленники получают трафик на свои сайты:

в 90% случаев это происходит в Twitter, где публикуется самая важная и актуальная информация из крипто-пространства

Пользуясь этим мошенники начинают писать твиты и треды, покупают галочки, тем самым завоевывая доверие аудитории.

А далее появляются посты такого вида:

Если брать недавние случаи - взлом Twitter-Аккаунта по крипо-безопасности, с которого шел трафик далее на дрейнер-сайт

Также мошенники могут массово закупать рекламу в Google для вывода их днейнер-сайта в топ. Такие конторы быстро прикрывают, но многие невнимательные пользователи успевают терять так свои активы.

Как защититься от дрейнера?

1. Не кладем яйца в одну корзину. Максимально диверсифицируем наши активы
2. Быть внимательным и проверять имя домена и его доменную зону (.com, .co etc)
3. Использовать инструменты для защиты вашего кошелька о которых мы поговорим тут

Что будет после получения seed-фразы сторонними лицами?

Представим такую ситуацию, вы пригласили домой вашу прекрасную даму посмотреть фильм. Ушли в душ, а на следующий день у вас нету ни крипты ни девушки. Неужели ваша сид-фраза лежала просто у вас на столе и попала в руку незнакомке.

Что будет с вашей криптой если кто-то получил доступ к вашей seed-фразе?

Обычно, в зависимости от навыков и возможностей того, кто получил доступ к кошельку, выполняется вывод всех средств во всех возможных сетях с кошелька на кошелёк вора.

После этого, кошелёк добавляют в софт, который автоматически выводит все монеты ("автовывод"). Автовыводы бывают разные: некоторые только выводят нативные монеты, некоторые ещё и читают мемпул и перебивают (отправляют транзакции с большим газпрайсом) транзакции, если они идут не на тот кошелёк. А некоторые могут ещё и выводить поступающие токены.

В некоторых случаях, могут остаться токены или нфт или ещё средства заблокированные где-либо. Но как их вывести, если весь натив для газа, который поступают на кошелёк, сразу уходит на другой адрес?

В этом случае отправляют монеты и транзакции для отправки токенов так, чтобы они шли в одном блоке. Обычная нода не позволяет отправлять транзакции, которые тратят натив, которого ещё нет на балансе, нужно отправлять транзакции через билдеры, такие как beaverbuild, titan builder и другие, они позволяют отправить транзакции бандлом, так, чтобы пополнение газа от одной транзакции было использовано другой транзакцией.

Зная это, можно спасти свои токены, если ваш кошелёк был взломан, а токены на нём остались.

3. DEFI-ГИГИЕНА

Безопасность в крипте не заканчивается лишь сохранностью сид фразы, приватников и избеганием фишинговых ссылок. Немаловажным фактором сохранности ваших кровных также является ваше поведение при взаимодействии с смарт контрактами. Об этом мы и поговорим в этом разделе.

Фейк контракты

Представим ситуацию, ты получил сигнал в своей любимой приватке, что токен ToTheMoon полетит на луну, или же супер возможность для арбитража монетки между CEX и Uniswap. И вот ты ввел название токена на юнике и тебе выдало море токенов с одним и тем же названием, или же твоя любимая приватка дала адрес фейк токена.

Как же этого избежать?

ВСЕГДА ищи и проверяй токены по адресу контракта.

Найди источник, которому ты точно сможешь доверять: официальные ресурсы проект

Либо же любой другой независимый агрегатор данных о криптовалютах. После этого можешь смело искать на DEX площадке нужный тебе токен по адресу смарт контракта и избежать попадания на фейк контракт

Вот яркий пример, когда под определенную мету выходят контракты с одинаковым тикером, разница заключается лишь в адресе контракта

Скам контракты

Теперь перейдем непосредственно к скаму в самих контрактах. Наиболее подвержены этому - любители заснайпить какой-то щиток на дексе. Один из самых распространненых видов скама - это ханипот

Проще говоря, это ловушка. Кажется, что всё нормально: купил монету, она растет, и ты уже выбираешь цвет новой ламбы. И вот ты решаешь зафиксировать прибыль — и проблема: твоя транзакция не проходит или проходит без зачисления средств.

Похожим случаем был недавний взлом Instagram Аккаунта McDonalds - 21 августа 2024 года

Тогда житель индии рекламировал криптовалюту Grimace, а также прикрепил контракт на покупку скам-токена, через некоторое время совершив Rug Pull на $700 тысяч долларов в Solana

Поздравляю, мой дорогой, это был ханипот. И выхода нет, ты просто купил опыт. Теперь ты будешь внимательнее читать и проверять смарт-контракты.

Если нет желания разбираться самостоятельно, есть отличный способ — использовать чекеры. Вот парочка из них:

1. Token sniffer

Проверяет контракт по многим параметрам составляя “рейтинг доверия” контракту. Из минусов, контракту требуется время для проверки.

2. Hoheypot.is

Более шустрый чекер, но имеет меньше проверок

Однако есть минус: проверка действительна только на момент проверки. Сори за тавтологию. Ловкий скамер может изменить условия продажи или комиссию. И ты попался

Как застраховаться?

1. Помогут базовые знание Solidity (язык программирования смарт контрактов), а также правило — перестать покупать всякую хрень на дексах.

К счастью, скамеры зачастую очень ленивы и просто копируют друг у друга скам-контракты. Поэтому распознать скам в коде не составит особого труда просмотрев десяток подобных контрактов.

2. Не использовать мейн кошелек

Этот совет относится не только к DeFi гигиене но и ко многим аспектам в крипте. Основной поинт состоит в том что НИ В КОЕМ СЛУЧЕ не использовать мейн кошелек где ты хранишь большинство своих средств, особенно что касается подключения к дексам и подписывания различных непонятных транзакций.

На скам/фишинг попадаются даже самые опытные криптаны. И этот совет поможет сохранить большую часть твоего депозита, даже если один из твоих кошельков будет скомпроментирован.

Поэтому старайся чтобы твой основной кошелек был подключен к наименьшему количеству сервисов, а также проверь и отзови подозрительные approvals на этом сервисе.

Он проверен, я уже много лет им пользуюсь, инцидентов с ним никаких не было. После подключения в правом верхнем углу нажимаем на адрес, в выпадающем меню выбираем Approvals и после этого проверяем и отзываем подозрительные approvals.

На этом все, надеюсь я уберег тебе от потерь в будущем, и ты сможешь наконец купить свою ламбу.

4. МОШЕННИЧЕСТВО С ИСПОЛЬЗОВАНИЕМ ЛОГОВ БРАУЗЕРА

Логи Браузера - записи действий, событий и ошибок, которые происходят во время работы браузера. Они могут включать в себя различную информацию, полезную для анализа работы веб-приложений, отладки кода или поиска проблем в работе сайта.

План:

• Как работает данный вид мошенничества
• Последний и самый интересный пример такого мошенничества
• Что привело к потере активов?
• Какие функции выполняют расширения Chrome
• Какие разрешения имеют расширения Chrome после установки?
• Как вредоносные расширения Chrome могут похищать разрешения пользователей?
• Почему жертва этого вредоносного расширения потеряла права доступа и средства?
• Что может сделать вредоносное расширение Chrome после кражи файлов cookie пользователя?
• Профилактические Меры

Мошенники используют специальные программы, которые собирают данные из браузеров жертв, такие как пароли, куки и другие конфиденциальные данные. Эти данные затем продаются на теневых форумах.

Как это работает:

1. Кража данных из браузера:

Мошенники используют вредоносное ПО, чтобы получить доступ к логам браузеров, где хранятся такие данные, как логины, пароли, сессии, куки, сохраненные seed-фразы и другая информация.

Эти логи могут включать даже сохраненные приватные ключи или пароли от криптокошельков.

2. Анализ ваших данных:

Логи продаются на теневых форумах или используются самими злоумышленниками. Они вручную или с помощью автоматизированных скриптов анализируют их в поисках полезной информации, в нашем случае это будут seed-фразы или пароли к криптокошелькам.

3. Процесс подбора паролей:

Если криптокошелек защищен сложным паролем, мошенники могут использовать мощные графические процессоры (GPU) для атаки методом перебора (brute-force атака) на пароль. Этот процесс может занимать время, но благодаря нынешней вычислительной мощности и оптимизированным алгоритмам злоумышленники могут добиться успеха.

4. Результат

После того как мошенники получают доступ к кошельку, они выводят криптовалюту на свои анонимные счета.

Вернуть крипту вы конечно же не сможете (практически не сможете), это же крипта

Последний и самый интересный пример такого мошенничества

История о том как Расширение Chrome которое "получило" $1 миллион долларов от своих пользователей

3 июня 2024 года трейдер из Китая Twitter @CryptoNakamao поделился сообщением о том, как он потерял 1 миллион долларов со своего Binance аккаунта из-за вредоносного расширения для Chrome под названием Aggr.

Согласно длинной тираде трейдера на X, Aggr маскируется под рекламный плагин Google Chrome. Однако после установки он сразу же приступает к краже файлов cookie, хранящихся на компьютере пользователя.

Вредоносная программа выжимает данные из файлов cookie. Затем она использует эту информацию для кражи учетных данных ничего не подозревающей жертвы. Удивительно, но она может даже обойти механизмы двухфакторной аутентификации (2FA).

Это привело к потере активов на миллион со счета Binance китайца. 24 мая CryptoNakamao отследил аномальные действия. Он обнаружил инцидент со взломом только случайно, когда открыл свой счет на Binance, чтобы проверить цену биткоина в этот день.

Что привело к потере активов?

CryptoNakamao рассказал, что установил плагин Aggr в свой браузер Chrome, надеясь, что он предоставит ему доступ к важным данным трейдеров. По его словам, расширение было снабжено вредоносным ПО, которое собирает данные о просмотре страниц и cookies пользователя.

Поскольку трейдер использует тот же компьютер для доступа к своему счету на Binance, хакер, очевидно, сорвал джекпот на его устройстве. В итоге хакер использовал полученную информацию, чтобы проникнуть в портфель криптобиржи и совершить несколько сделок с кредитным плечом, чтобы поднять цены на пары с низкой ликвидностью и заработать на кросс-трейдинге.

Жертва объяснила, что функция 2FA на платформе могла бы помешать злоумышленнику вывести средства. Однако злоумышленник использовал cookies и активные сессии входа в систему на своем компьютере, чтобы обойти протоколы безопасности.

Трейдер возложил вину на Binance за то, что она не смогла заблокировать необычно высокий объем торгов на его счете. Он утверждал, что плагин уже давно находился в списке наблюдения криптовалютной биржи, и ей даже был известен адрес кошелька хакера. Несмотря на это, компания якобы предпочла держать своих пользователей в неведении относительно этого вопроса. Кроме того, она не предприняла необходимых действий, чтобы предотвратить проведение большого количества транзакций с подозрительного адреса кошелька.

Binance ответили на жалобы трейдера, объяснив все тем что это установка плагина - вина трейдера и за такие случаи мы не несем ответственность и деньги вернуть не можем

"К сожалению, у нас нет возможности компенсировать подобные случаи, не имеющие отношения к Binance", - добавил Binance.

Давайте подробнее разберемся с расширениями Chrome, какие данные они получают и как себя обезопасить от таких эксплоитов

Структура расширения Chrome обычно включает следующие компоненты:

- manifest.json: Конфигурационный файл расширения, в котором указывается основная информация, такая как имя, версия и разрешения.

- Фоновые скрипты: Выполняются в фоновом режиме браузера, обрабатывают события и выполняют долгосрочные задачи.

- Скрипты содержимого: Выполняются в контексте веб-страниц, обеспечивая прямое взаимодействие с ними.

- Пользовательский интерфейс (UI): Элементы, такие как кнопки панели инструментов браузера, всплывающие окна и страницы параметров.

Какие функции выполняют расширения Chrome:

1. Блокировка рекламы: AdBlock, uBlock Origin
2. Конфиденциальность и безопасность: Privacy Badger, LastPass.
3. Инструменты для повышения продуктивности: Todoist, Evernote Web Clipper.
4. Инструменты для разработчиков: React Developer Tools, Postman.
5. Социальные сети и коммуникации: Grammarly, Facebook Messenger.
6. Настройка веб-страниц: Stylish, Tampermonkey.
7. Автоматизация задач: iMacros, DownThemAll.
8. Перевод языков: Google Translate, deepl
9. Помощь с криптовалютами: MetaMask, Exodus, Trust Wallet

Какие разрешения имеют расширения Chrome после установки?

После установки расширения Chrome могут запрашивать различные разрешения для выполнения определенных функций. Эти разрешения указаны в файле manifest.json расширения и запрашиваются у пользователя во время установки.

Основные разрешения включают:

• <all_urls>: позволяет расширению получать доступ ко всем веб-сайтам и изменять их данные.
• tabs: дает доступ к информации о вкладках браузера, включая создание и закрытие вкладок.
• activeTab: временно предоставляет доступ к активной вкладке.
• storage: позволяет использовать API хранения Chrome для сохранения и извлечения данных.
• cookies: доступ к файлам cookie браузера и их изменение.
• webRequest и webRequestBlocking: перехват и изменение сетевых запросов.
• bookmarks: доступ и изменение закладок браузера.
• history: доступ и изменение истории браузера.
• notifications: отображение уведомлений на рабочем столе.
• contextMenus: добавление элементов в контекстное меню браузера.
• geolocation: доступ к географическому положению пользователя.
• clipboardRead и clipboardWrite: чтение и запись содержимого буфера обмена.
• downloads: управление загрузками.
• management: управление другими расширениями и приложениями в браузере.
• background: выполнение фоновых задач.
• webNavigation: контроль и изменение навигации в браузере.

Данные разрешения позволяют расширениям Chrome выполнять множество функций, но также могут дать доступ к чувствительным данным пользователя, таким как файлы cookie и информация для аутентификации!!

Как вредоносные расширения Chrome могут похищать разрешения пользователей?

Злонамеренные расширения Chrome могут использовать запрашиваемые ими разрешения для кражи пользовательских данных и другой конфиденциальной информации, так как они имеют прямой доступ к среде просмотра и данным пользователя. Способы эксплуатации включают:

• Широкий доступ к разрешениям: Злонамеренные расширения часто запрашивают большое количество разрешений, таких как доступ ко всем веб-сайтам (<all_urls>), чтение и изменение вкладок браузера (tabs) и доступ к хранилищу браузера (storage). Эти разрешения позволяют расширениям широко отслеживать активность пользователя и получать доступ к его данным.
• Манипуляция сетевыми запросами: Злонамеренные расширения могут использовать разрешения webRequest и webRequestBlocking для перехвата и изменения сетевых запросов, что позволяет им красть учетные данные и конфиденциальную информацию. Например, они могут перехватывать данные форм при входе пользователя на сайт и захватывать имена пользователей и пароли.
• Чтение и изменение содержимого страниц: С помощью скриптов содержимого (content scripts) злонамеренные расширения могут встраивать код в веб-страницы, чтобы читать и изменять их содержимое. Это позволяет им красть любые данные, вводимые пользователем на веб-страницах, такие как информация из форм и поисковые запросы.
• Доступ к хранилищу браузера: Злонамеренные расширения могут использовать разрешения storage для доступа к локальным данным пользователя и их хранения, включая хранилища браузера, которые могут содержать конфиденциальную информацию (например, LocalStorage и IndexedDB).
• Манипуляция содержимым буфера обмена: Используя разрешения clipboardRead и clipboardWrite, злонамеренные расширения могут читать и изменять содержимое буфера обмена, крадя или изменяя информацию, которую пользователь копирует и вставляет.
• Маскировка под легитимные сайты: Злонамеренные расширения могут изменять содержимое браузера или перенаправлять пользователей на веб-страницы, выдавая себя за легитимные сайты, чтобы обманом заставить пользователей ввести конфиденциальную информацию.
• Долговременная работа в фоновом режиме: Расширения с разрешениями background могут непрерывно работать в фоновом режиме, даже когда пользователь активно их не использует, что позволяет им длительное время отслеживать действия пользователя и собирать значительные объемы данных.
• Манипуляция загрузками: Используя разрешения downloads, злонамеренные расширения могут загружать и выполнять вредоносные файлы, что дополнительно угрожает безопасности системы пользователя.

Почему жертва этого вредоносного расширения потеряла права доступа и средства?

Вредоносное расширение Aggr имело доступ к важнейшим правам, о которых мы говорили ранее. Вот фрагмент разрешений из файла manifest.json этого вредоносного плагина:

Что может сделать вредоносное расширение Chrome после кражи файлов cookie пользователя?

1. Доступ к аккаунтам:

Используя украденные куки, расширение может имитировать вход пользователя в аккаунты на платформах (в нашем случае мошенник легко зашел на Binance трейдера), получая доступ к информации о балансе и истории транзакций.

2. Выполнение транзакций:

Украденные куки могут позволить расширению выполнять транзакции без согласия пользователя, покупая или продавая криптовалюту или даже переводя активы на другие счета.

3. Вывод средств:

Если куки содержат информацию о сеансе и токены аутентификации, расширение может обойти двухфакторную аутентификацию (2FA) и напрямую инициировать вывод средств, переводя криптовалюту пользователя на кошелек злоумышленника.

4. Доступ к конфиденциальной информации:

Расширение может получить доступ к конфиденциальной информации, хранящейся в аккаунте пользователя на торговой платформе, такой как документы удостоверения личности и адреса, что может привести к дальнейшей краже личности или мошенничеству.

5. Изменение настроек аккаунта:

Расширение может изменять настройки аккаунта, такие как связанные электронные адреса и номера телефонов, чтобы получить дополнительный контроль над аккаунтом и украсть больше информации.

6. Выдача себя за пользователя для атак социальной инженерии:

Злонамеренное расширение может использовать аккаунт пользователя для проведения атак социальной инженерии, таких как отправка мошеннических сообщений контактам пользователя с целью обмана и получения дополнительных конфиденциальных данных.

Профилактические Меры:

Для индивидуальных пользователей:

1. Установка расширений из проверенных источников:

Устанавливайте расширения только из надежных источников, таких как Chrome Web Store, читайте отзывы и проверяйте запрашиваемые разрешения.

2. Использование безопасной среды для браузинга:

Избегайте установки расширений из неизвестных источников, регулярно проверяйте и удаляйте ненужные расширения, используйте разные браузеры для обычного серфинга и финансовых операций.

3. Регулярная проверка активности аккаунта:

Постоянно проверяйте активность входов и транзакций, и сразу реагируйте на подозрительные действия.

4. Выход из аккаунтов после использования:

Всегда выходите из аккаунтов после завершения работы, чтобы избежать рисков.

5. Использование аппаратного кошелька:

Для хранения крупных активов используйте аппаратный кошелек для повышения безопасности.

6. Настройки браузера и защитные инструменты:

Настройте браузер на использование безопасных параметров и установите расширения для блокировки рекламы и защиты конфиденциальности.

7. Использование антивирусного ПО:

Установите и используйте защитное программное обеспечение для обнаружения и предотвращения вредоносных расширений и другого вредоносного ПО.

Для бирж:

1. Принудительное использование двухфакторной аутентификации (2FA):

Требуйте от всех пользователей включения 2FA для входа в систему и выполнения важных операций, таких как торговля и вывод средств, чтобы усложнить доступ к аккаунту злоумышленникам.

2. Управление сессиями и безопасность:

Включайте функции управления устройствами, устанавливайте политики автоматического выхода из системы при бездействии, и отслеживайте попытки входа с необычных IP-адресов.

3. Усиление настроек безопасности аккаунта:

Отправляйте уведомления о входах, изменениях паролей и выводе средств, а также предоставляйте возможность быстро заморозить аккаунт в экстренных случаях.

4. Усиление систем мониторинга и контроля рисков:

Используйте машинное обучение и анализ больших данных для мониторинга поведения пользователей, выявления аномалий и оперативного вмешательства при рисках.

Внимательно обдумывать установку программного обеспечения, загрузку плагинов или взаимодействие с новыми приложениями. Это поможет предотвратить инциденты и обеспечить более безопасный опыт.

5. СКАМ В СОФТАХ

Материал - https://teletype.in/@brokeboi/dsxymHafdZb

6. ИНСТРУМЕНТЫ БЕЗОПАСНОСТИ

В этом разделе хочу поделиться с вами подборкой полезных crypto инструментов и советов, для безопасности вас и вашей зелени.

Немного душноты. И так, как вы уже должны были понять, работая в web3 вам нужно не только искать и выполнять действия, для того чтобы набить карман котлетой, но ещё и быть крайне осторожным, ведь "опасность" будет поджидать вас за каждым кликом, каждой ссылкой и каждый зевком. Вы должны держать фулл-фокус на процессе вашей работы и оценивать каждое действие.

Начнём?

1. Топ 1 инструмент, которым я пользуюсь постоянно - ВАШ МОЗГ

И да, да, да, повторюсь, никакие. Ещё раз - НИКАКИЕ сайты, расширения, блокировщики не помогут вам, если не продумываете свои действия. Если вы перешли на подозрительный сайт, словили "вирус", подписали фейк апрув кошелька, и тд. и тп., а после начинаете упрекать прогу в неподлинности - вы осёл. Как бы грубо не звучало. Это есть правда. DYOR (do your own research) - очень зашиленная, но как никогда нужна фраза. Делаете свой собственный ресерч, ну и конечно же соблюдайте базовые правила.

2. Ваше web3 железо ≠ дефолт железо

Ваше железо которое вы используете под нужды web3 должно отличаться от вашего железа на котором вы смотрите "Бойцовский клуб", "Барби", "Зелёная миля" и катаете в Dota2 с братвой. Любая скачанная прога может сделать бум для вас, думаю здесь объяснять не нужно.

Версия для мажориков - MacOS лучшая тема. Гаранта нет, но сложнее словить паразитов по типу троянчика. Но кому надо, доберётся до вашего $ETH и $BTC даже через ЭВМ.

Юзаем лицензионку и антивирус(про него чуть позже), торрент отсекаем.

На железо под web3 не качаем ничего кроме рабочих программ.

Разные цели — разные браузеры

Разделение действий - ваш козырь. Серчите проекты, минтите NFTs в одном месте, залипайте в ютуб, слушайте музыку и ищете рецепт салата "Оливье" в другом. Под web3 юзайте Brave. Очень удобная + безопасная штука со многими фичами, рекомендую. Из поисковых систем - Duckduckgo наилучший вариант по безопасности, но не очень удобный для меня. Brave поиск топ-2, но приятностей больше.

3. Антивирус

Здесь ситуация немного иначе, ведь антивирус хоть и делает вашу работу безопаснее, но и тормозит процесс. Это может сказаться на проф. деятельности, связанной с многозадачностью. Лично у меня на постоянной основе нет данных программ. Однако если вы не способны вручную проверить ваше железо на вирусы, обязательно установите антивирус, и в лучшем случае платный. В платных добавится много фичей + спать вы будете немного спокойней. К счастью их развелось довольно много, поэтому выбирайте на ваш вкус и цвет, главное проверяйте подлинность сайта.

Так же не забывайте регулярно делать глобальные проверки. Не нужно доводить до абсурда и делать 3 раза в день. 1 раз в 3-5 дней - идеально. DrWeb здесь очень поможет.

4. Блокировщик рекламы

Если вы будете следовать совету и использовать Brave - рекламы у вас не будет.

Если вы решили использовать дедов браузеры+поиск - установите AdBlock или uBlock.

ближе к сути

Список полезных(базовых) инструментов под разные задачи:

1. Coinmarketcap, CryptoRank - Вот эти бро помогут вам брать только официальные ссылки на ресурсы проектов. Обычный поиск выдаст кучу фишинг сайтов. X(Twitter) в кое время был в этом списке и подходит для глубокого ресерча, но новичок может запутаться и попасть не на тот профиль и пойдёт грязь. Лучше перейдите в X с Coinmarketcap или CryptoRank.
2. Revoke.cash - Отец всех пра-пра-пра-пра-дедов. О нём знает даже твоя бабушка, когда читала базу безопасности web3. Если вкратце, отзывает доступы к вашему кошельку от приложений. Также есть браузерное расширение, которое может уберечь от фишинга.
3. Fire Wallet - Расширение, которое имитирует транзакцию перед её подписанием, можно отследить свои действия наперёд. Плюсом, накладывается поверх кошелька, нет доступа к средствам и сохраняет конфиденциальность.
4. Keyscrambler - Обеспечит защиту от перехвата клавиатурного ввода.
5. VirusTotal - Проверит ссылки/вебсайт на мошеннические фичи, уловки. Распаковывает, сканирует и анализирует. Сильно, но не всегда точно.
6. Etherscan - Базовая база, любой block explorer может дать вам много информации, будь дефолт кошёлек с транзакциями, либо IDM. Если вы засомневались в чем-то, это ваш герой. *(etherscan - эфировский блок эксплорер, для каждого чейна - свой эксплорер)
7. Debank - Портфельный трекер для для отслеживания и анализа DeFi-портфеля. Работает с огромным количеством сервисов + дает развернутую картину динамики портфелей.
8. Crypto Alerts - Сервис оповещения о действиях вашего кошелька. Можно настроить под себя и установить лимиты. Если с вашего кошелька начнут быстро выводить средства, есть вероятность что вы успеете вывести часть денег на роллы.
9. KeyPass - Менеджер паролей с открытым исходным кодом.
10. Authy - Двухфакторка с облачными функциями бэкапа. Аналог Google Authenticator c доп. функциями.
11. Defisafety - Независимая организация, оценивает продукты DeFi и присваивает оценки безопасности.
12. Web3 Antivirus - Расширение с открытым исходным кодом, защищающее от крипто-мошенников и кражи кошельков в режиме реального времени.

И так друзья, мы прошлись по базе, все то, что может облегчить вам жизнь. Но если вы параноик, ниже предоставил некоторые инструменты, которые облегчат / усложнят вам жизнь - могут пригодится

Вот несколько из них:

1. Immunefi - Платформа для поиска ошибок, которая предлагает услуги безопасности протокола DeFi. Позволяет обнаруживать уязвимости в смарт-контрактах, цепочках и веб-каналах для различных инфраструктур блокчейнов.
2. HackeroOne - Предоставляет комплексный набор услуг по тестированию безопасности веб-приложений и веб-сайтов, а также по обнаружению уязвимостей. Краудсорсинговым подходом к тестированию безопасности + проверенной стратегии.
3. BugCrowd - Многофункциональная платформа для поиска ошибок, которая обеспечивает быструю и точную оценку
4. 1Password - менеджер паролей под различные сервисы и т.п Особенно удобно если есть 10-15 акков с бабками, то генерировать сложные пароли и держать их в менеджере. Делать нужно сложные пароли, чтобы не смогли забрутфорсить Не пихать мейн почту в различные сервисы, чтобы туда не приходили скам линки, все пароли также должны быть сгенерированы, а не личные
5. VeraCrypt - Криптоконтейнеры, сам сейчас особо не пользуюсь, но можно хранить там какие-то кошельки , данные от ферм Как вариант можно сделать криптоконтейнер и закинуть куда-то в гугл драйв со всеми данными в качестве бэкапа Софты запускать на VM / Докерах Понятно что нужен ресерч всегда, но я обычно закидываю на вирустотал, а потом открываю через курсор иде / гружу в gpt чтобы проверил на какие-то угрозы

И тд. в том же духе глубже и глубже в дно океана безумия.

Возможно вам они пригодятся, поэтому сохраните списочек. Но если вы не собираетесь билдить DeFi платформу и смарт контракты, то выдохните. Вам хватит базовых тулзов.

И под конец.

работайте умом. никакие тулзы не помогут вам, если вы переходите по ссылке из вашего дм, в которой вы потенциально заберёте 1k$ на халявку, подписываете всё подряд и качаете себе на пк терабайты фильмецов и 18+ контента. не говоря уже о хранении сидки в доке на пк с названием "my_seed_phrase.txt"

умом...

7. ВЫВОД

Воин должен быть внимателен в своих действиях и не допускать даже незначительных оплошностей.

Благодаря данному материалу и информации в нем вы станете еще более осведомленным в вашем пути в криптопространатве. Желаю каждому задрейнить дрейнер и быть внимательным в ваших действиях

Внимательность!

Автор Материала - https://t.me/code_vartcall

Соавторы:

https://t.me/crypt0l0vir

https://t.me/codeherooo

Изучение Solidity и Блокчейн Разработки - https://www.guidedao.xyz/ + 10% по промокоду "VARTCALL" на любое обучение + бонусы на сайте суммируются