About Teletype
Join
Ranny Khaisman
@web3x100
December 18, 2024

Как обезопасить себя в крипте - 14 методов защиты активов в криптовалюте

Ринат о крипте — подписывайтесь, пишу о том, как зарабатываю на крипте.

Содержание материала:

▫️Противодействие фишингу
▫️Снятие разрешений кошелька
▫️Использование аппаратных кошельков
▫️Связка Adblock + uBlock Origin
▫️Расширение Wallet Guard
▫️Менеджер паролей с открытым исходным кодом
▫️Физические ключи двухфакторной аутентификации
▫️Двухфакторка с помощью приложений
▫️Дополнительный смартфон для бэкапа 2FA
▫️Внешний жесткий диск с шифрованием
▫️Отдельный ноутбук под криптоактивность
▫️Последние версии софта
▫️Использование нескольких кошельков
▫️Важнейшие принципы финансовой безопасности
▫️Вместо вывода

1. Используйте только официальные ссылки

Создатели фишинговых сайтов воруют крипту на сотни миллионов долларов.

Фишинговый сайт - это поддельный сайт, который выглядит как настоящий. Когда вы совершаете транзакцию на таком сайте, скрипт мгновенно сканирует ваши активы и мгновенно выводит все самое ценное, это могут быть токены или дорогие NFT. Иногда вместо вгновенного вывода на кошелек устанавливают дрейнер, который незаметно выводит активы небольшими частями.

Всегда проверяйте официальные каналы проекта в Twitter, Discord, Telegram и переходите только по оригинальным ссылкам, указанным непосредственно:

  • Twitter/X - в шапке профиля
  • Discord - как правило, в разделе "official links"
  • Телеграм - в закрепленных сообщениях и в описании канала
Типичный раздел с официальными ссылками в дискорде

Не редки случаи взлома официальных аккаунтов, поэтому не лишним будет проресерчить информацию во всех соц. сетях перед взаимодействием с сайтом, представленным в одной из соц. сетей проекта.

2. Снимайте аппрувы через Rabby Wallet

Когда вы взаимодействуете с децентрализованными приложениями (dApps) или DEX (децентрализованными биржами), вам нужно дать разрешение смарт-контракту на использование ваших токенов. Это называется "approval", разрешения или просто апрувы.

Аппрув USDC в сети OP. В этом примере я делаю аппрув на 3.9$ - проблема здесь в том, что аппрув после транзакции сохраняется. И, если DEX взломают, то я рискую потерять токены, на которые имеется аппрув.

Как это работает:

  1. При первом взаимодействии с dApp, вы подписываете транзакцию, разрешающую смарт-контракту получать доступ к определенному количеству ваших токенов
  2. Это делается для удобства - чтобы не подтверждать каждую операцию
  3. Однако разрешение остается активным, пока вы его не отзовете

Основные риски:

  • Если смарт-контракт скомпрометирован или содержит уязвимости, злоумышленники могут получить доступ к вашим средствам
  • Некоторые фишинговые сайты запрашивают неограниченные разрешения на доступ к токенам
  • Старые неиспользуемые разрешения могут представлять угрозу безопасности

Лучший способ проверки и снятия всех апрувов - использование функции "approval" в расширении кошелька Rabby Wallet, вот как это выглядит:

Approval" в расширении кошелька Rabby Wallet

Для быстрого снятия разрешений выберите все необходимые апрувы и нажмите кнопку "Revoke", после этого все выданные апрувы будут сниматься, чтобы не подтверждать снятие каждого разрешения отдельно, нужно оставаться на странице - при переходе на другую вкладку, снятие ставится на паузу.

Рекомендации по безопасности:

  1. Давайте разрешения только проверенным DEX проектам
  2. Ограничивайте сумму разрешения необходимым количеством токенов
  3. Регулярно проверяйте и отзывайте неиспользуемые разрешения
  4. Используйте отдельный кошелек для взаимодействия с новыми или непроверенными проектами
  5. Всегда проверяйте URL сайтов и адреса смарт-контрактов

При возникновении подозрений о компрометации немедленно отзовите все разрешения и переведите средства на новый кошелек.

На крипто-кошелек внезапно пришли деньги

Cегодня утром мне пришли монетки USDT и баланс кошелька заметно пополнился с 2к до 121к:

С вероятностью 99% это скам, поэтому пока не убедитесь откуда деньги нельзя ничего делать с этими монетами (свапы, пересылки и прочее) - это может открыть доступ к вашему кошельку скамерам.

3. Аппаратные кошельки Safepal, Ledger, Trezor

Покупать аппаратные крипто-кошельки рекомендую исключительно с официальных сайтов, у любых перекупов (даже компаний) покупать опасно - кошельки могут быть перепрошиты, а ваши средства спизжены.

Существует горячие и холодные кошельки, горячие служат для повседневных транзакций, тогда как холодные используются для надежного и как правило долгосрочного хранения криптовалют, к холодным относятся аппаратные.

Аппаратный кошелек работает как электронный сейф для цифровых активов, защищая приватные ключи от хакерских атак и вирусов. В отличие от уязвимых программных кошельков, физические кошельки изолируют приватные ключи внутри устройства, что делает удаленный взлом практики невозможным.

Обзор аппаратных кошельков

SafePal S1 Pro

SafePal - SafePal S1 Pro

SafePal S1 Pro — кошелек, обеспечивающий максимальную автономность и безопасность благодаря отсутствию USB и Bluetooth-подключений, полной изоляции от интернет-угроз и офлайн-транзакциям.

Управление осуществляется через мобильное приложение с помощью QR-кодов, а встроенная камера позволяет легко проверять и подтверждать транзакции.

Корпус выполнен из аллюминия и закаленного стекла.

Ledger - Ledger Nano X

Ledger Nano X

Ledger Nano X оснащен специальным чипом безопасности, который защищает приватные ключи от возможных онлайн-атак и вирусов. Преимуществом является встроенный Bluetooth, позволяющий удобно управлять активами через смартфон.

Для новичков Ledger Nano X - это надежный выбор с простым и понятным интерфейсом. Специальное приложение Ledger Live позволяет легко отслеживать балансы, совершать транзакции и даже торговать криптовалютами. Компактный металлический корпус и встроенный дисплей для подтверждения операций делают устройство не только функциональным, но и стильным.

Trezor - Trezor Safe 5

Trezor Safe 5

Trezor Safe 5 оснащен большим цветным сенсорным экраном, который делает управление интуитивно понятным даже для людей, далеких от высоких технологий. Отличительной особенностью является открытый исходный код (open-source), что позволяет экспертам со всего мира проверять и подтверждать безопасность устройства.

Мое предпочтение - SafePal S1 Pro - поддержка 2000+ монет, полная автономность, отсутствие интерфейсов, металлический корпус, закаленное стекло. Плюсом - инвестиции от Binance, Animonica Brands и других фондов.

4. Блокировка рекламы Adblock + uBlock Origin

Adblock + uBlock Origin

Расширения Adblock, особенно uBlock Origin, - блокируют потенциально опасную рекламу и вредоносные скрипты, существенно снижая риски кибератак и несанкционированного доступа к персональным данным при работе с криптовалютными платформами и не только.

5. Расширение Wallet Guard

Wallet Guard: Protect Your Crypto

Web3 security extensions, такие как Wallet Guard, - это специализированные инструменты защиты криптовалютных активов, которые предотвращают взаимодействие с потенциально вредоносными смарт-контрактами и блокируют мошеннические транзакции в режиме реального времени.

Web3 security extensions - важный, но не абсолютный механизм защиты криптовалютных активов, эффективность которого напрямую зависит от комплексного подхода к кибербезопасности и личной цифровой гигиены пользователя.

6. Менеджер паролей (открытый исходный код)

Открытый исходный код - это максимальная прозрачность и гарантия безопасности хранения критически важных персональных данных.

Обзор менеджеров паролей с открытым исходным кодом

1. Bitwarden

Bitwarden

Особенности софта:

  • Бесплатная версия с расширенным функционалом
  • Кроссплатформенность (Windows, macOS, Linux)
  • Синхронизация между устройствами
  • Шифрование AES-256
  • Возможность самостоятельного хостинга

2. KeePassXC

KeePassXC

Особенности софта:

  • Полностью автономный менеджер паролей
  • Бесплатный и без облачных сервисов
  • Максимальный контроль над данными
  • Шифрование AES-256
  • Поддержка Two-Factor Authentication
  • Встроенный генератор паролей
  • Работает на Windows, macOS, Linux

3. PassBolt

Особенности софта:

  • Корпоративное решение с открытым кодом
  • Командный менеджер паролей
  • Granular-контроль доступа
  • Встроенные механизмы аудита

Рекомендация: Bitwarden как оптимальный выбор для большинства пользователей с балансом между функциональностью и безопасностью.

7. Физические ключи двухфакторной аутентификации (2FA) - Yubikey

Ключи двухфакторной аутентификации, такие как Yubikey, - это физические устройства аутентификации нового поколения, которые обеспечивают многофакторную защиту персональных данных путем генерации уникальных криптографических ключей с высоким уровнем криптостойкости.

Преимущества

1. Повышенный уровень безопасности

  • Физическая двухфакторная аутентификация
  • Защита от фишинга и удаленных атак
  • Невозможность клонирования ключа
  • Моментальная блокировка при утрате устройства

2. Универсальность использования

  • Поддержка множества сервисов
  • Работа с криптовалютными кошельками
  • Интеграция с Google, GitHub, Binance
  • Совместимость с различными протоколами аутентификации

3. Технические характеристики

  • Отсутствие необходимости зарядки
  • Защита от программных уязвимостей
  • Многолетний срок службы
  • Компактность и портативность

Недостатки

1. Экономические ограничения

  • Высокая стоимость устройства
  • Необходимость резервирования
  • Затраты на замену при утрате

2. Технические сложности

  • Требуется техническая подготовка
  • Не все сервисы поддерживают
  • Риск полной блокировки при утрате

Вывод: ключи безопасности такие как Yubikey - эффективный, но не абсолютный метод защиты, который существенно повышает безопасность при грамотном использовании и комплексном подходе к информационной безопасности.

Если брать, то два ключа, чтобы при утрате одного, можно было восстановить аккаунт с резервного, хранящегося в надежном месте.

Человек, завладевший вашим ключом, сможет получить доступ к аккаунтам только при знании паролей от последних.


8. Двухфакторка с помощью приложений без облачного резервного копирования

Речь идет о приложениях-аутентификаторах для двухфакторной аутентификации (2FA) с акцентом на важности отсутствия облачного резервного копирования.

Основные моменты:

  1. Использовать приложение-аутентификатор для 2FA
  2. Принципиально важно, чтобы приложение НЕ имело облачного резервного копирования

Причины избегать облачного бэкапа:

  • Снижение риска перехвата одноразовых кодов
  • Предотвращение централизованного хранения секретных данных
  • Максимальная защита от несанкционированного доступа

Примеры подходящих authenticator-приложений без облачного бэкапа:

  • Google Authenticator
  • Aegis Authenticator
  • andOTP

Цель - обеспечить максимальную безопасность процесса двухфакторной аутентификации.

9. Дополнительный смартфон как физическое устройство резервного копирования для двухфакторной аутентификации

Подробнее: https://youtu.be/ofR7SRWCxKU

Ключевые моменты:

  1. Взять старый телефон
  2. Полностью очистить его (сбросить до заводских настроек)
  3. Использовать как физический backup для 2FA
  4. Возможность копирования секретных ключей с основного устройства

Цель - создание дополнительного защищенного механизма восстановления доступа к аккаунтам в случае потери основного устройства.

10. Использование внешнего жесткого диска для постоянного создания резервных копий

Лучше использовать накопители с защитой от влаги/пыли, а также внутренним шифрованием, чтобы в случае несанкционированного доступа, злоумышленник не овладел вашими данными.

Обзоры хороших внешних носителей:

11. Отдельный ноутбук под криптоактивность

Использование выделенного ноутбука для криптовалютных операций - это критический элемент персональной кибербезопасности, направленный на минимизацию рисков взлома и кражи активов.

macbook pro + air

Ключевые преимущества:

  • Полная изоляция от основных рабочих/бытовых устройств
  • Снижение риска заражения вредоносным ПО
  • Контроль над установленными приложениями
  • Минимизация поверхности атаки

Основные принципы безопасности:

  1. Никаких посторонних программ
  2. Минимальный выход в интернет
  3. Использование только защищенных браузеров
  4. Постоянные обновления безопасности
  5. Применение VPN при подключении

Критичные настройки:

  • Полное шифрование диска
  • Многофакторная аутентификация
  • Использование только официальных кошельков
  • Регулярное резервное копирование

Правила выбора ноутбука:

  • Никогда не покупайте ноутбук с рук
  • Покупайте только в официальных магазинах
  • Не покупайте малоизвестные бренды

Главная цель - создание максимально изолированной и контролируемой среды для управления криптовалютными активами.

Macbook Air - лучший выбор, на мой взгляд.

12. Последние версии софта

windows update process

Что обновлять в первую очередь:

  • ОС (апдейты безопасности)
  • Браузеры
  • Кошельки в виде расширений / приложений / софт аппартаных кошей
  • Антивирусы
  • Драйвера

Обновлять софт лишний раз не хочется, но с точки зрения безопасности это крайне важно делать, т.к. в обновлениях часто закрываются дыры, через которые мошенники могут пробраться в вашу систему и что-нибудь стырить, а желающих это сделать огромное количество.

13. Использование нескольких кошельков

stock image btc wallets

Почему важно использовать 2+ кошелька для криптовалюты?

1. Безопасность активов:
Основные средства хранятся на главном кошельке, доступ к которому максимально ограничен (например, аппаратный кошелек). Это защищает ваши активы от взломов и фишинга.

2. Лимит убытков:
Для ежедневных операций используется второй кошелек с ограниченным балансом. Даже если он будет скомпрометирован, вы потеряете лишь небольшую сумму.

3. Удобство использования:
Второй кошелек можно использовать для мелких транзакций, покупок или вывода средств, снижая риски и упрощая управление активами.

Рекомендации:

  • Главный кошелек:
    • Аппаратные кошельки (например, Ledger, Trezor).
    • Хранение только крупных сумм.
    • Ограниченный доступ (ни с кем не делитесь ключами).
  • Второй-третий-четвертый кошелек:
    • Программные и/или мобильные кошельки (Metamask, Rabby Wallet).
    • Удобство для частого использования и мелких операций.
    • Регулярно обновляйте программное обеспечение.
    • Для каждой сферы деятельности создайте свой кошелек с определенным лимитом средств.

Эта практика помогает минимизировать риски и обеспечивает баланс между безопасностью и удобством.

14. Принципы финансовой безопасности

Crypto Security Principles
  1. Никогда не используйте общедоступный Wi-Fi
  2. Никогда не пользуйтесь бесплатным VPN.
  3. Никогда не подключайтесь к публичным USB-портам и не используйте чужие либо неоригинальные кабели для зарядки.
  4. Если продаете ноутбук/стационарник - любой компьютер, на котором вы использовали свои кошельки, обязательно очищайте свободное пространство, да, это не опечатка, помимо формитирования дисков и переустановки ОС, нужно очистить свободное место - так, чтобы ваши данные не смогли восстановить после продажи. На macbook это делается софтом - Disk Drill Pro (официальный сайт - cleverfiles.com), в программе предусмотрена функция очистки свободного пространства, так и называется.
  5. WiFi роутер может быть перепрошит, и, как итог, злоумышленники могут получить доступ в вашей системе, поэтому покупать роутеры рекомедуется исключительно в официальных сайтах известных компаний - никаких ноунеймов и маркетплейсов (если только в маркетплейсе, в котром собираетесь купить роутер, не представлен официальный магазин).

    P.S. Маркус, спасибо за идею добавить этот пункт.
  6. Выключайте Bluetooth и NFC, когда они не используются.
  7. Не устанавливайте случайные или закрытые расширения для браузеров.
  8. Не устанавливайте неофициальные сборки операционных систем.
  9. Не носите одежду с крипто-символикой в потенциально опасных местах.
  10. Никогда не делитесь сид-фразой от своего кошелька. Она не должна вводиться в компьютер — только храниться в бумажном блокноте и аппаратном кошельке.

По поводу кабелей - в них могут встраивать микроустройства, которые потенциально могут сделать вредоносную инъекцию в виде трояна.

Всегда проверяйте перед отправкой средств:

  • Отправляете ли вы на правильный адрес?
  • Надежен ли получатель?
  • Это не мошенничество?
  • Сумма отправки / получения верна?
  • Контракт токена верный?
  • Баланс изменился на соответствующую сумму?

Эти правила помогают минимизировать риски при работе с крипто-активами и обеспечивают вашу безопасность в цифровой среде.

Что может произойти если пренебрегать финансовой безопасностью?

Как один из самых простых вариантов - мошенники могут увести деньги с помощью социальной инженерии, случай, который произошел буквально на днях.

Скриншот

Человек начал отправлять вебмастерам микротранзакции с суммами 6-10$, а взаимен просить перевести 4-5 значные суммы в долларах, вот как это было, цитирую свой телеграм канал:

Скрин поста из телеграм канала SEO-специалист.

Через пару недель мне снова написали о том, что тот же скамер пытался обмануть другого вебмастера.

Скамеры - хорошие психологи, тот что фигурирует в постах пользуется психологическими приемами такими как:

1) Щедрость (20$ на чай)
2) Попытки торопить
3) Давление на жалость (взнос на квартиру)

Первое - чтобы погасить бдительность, второе - постараться сократить время на трезвую оценку ситуации, третье - вызвать чувство сострадания.

Теперь в курсе, никогда не ведитесь на что-то подобное.

Вместо вывода

Добро пожаловать в мир криптовалют, здесь всегда платят за ошибки своими собственными деньгами (иногда стоимость опыта может равняться балансу вашего кошелька), в отличии от фиата (обычной валюты), крипта - слабо регилируемый и по большей части децентрализированный рынок, в котором вы сами отвечаете за безопасное хранение своих средств.

Используя простые принципы и правила из этого материала, вы можете защитить себя от скамеров и сохранить ваши деньги в безопасности.

С вопросом безопасности разобрались. Если вы хотите не только сохранить, но и приумножить, приглашаю в канал Ринат о крипте, где я делюсь своими действиями и стратегиями для заработка на криптовалюте.

Ranny Khaisman
December 18, 2024, 06:32
0 views
2 reactions
2 replies
0 reposts