Dandelion

Анализ безопасности AdsPower

2026-01-09T20:42:45.008Z

Комплексный анализ безопасности экосистемы AdsPower — Аудит CertiK, верификация статуса «Топ-10%» и ретроспектива инцидентов 2024-2025 годов

Эта статья — симбиоз исследования от автора канала Royal Move, проведённого с помощью Gemini, и моего оформления и структурирования всего этого материала.

1. Введение: Парадигма безопасности в гибридных Web2/Web3 средах

В условиях стремительной цифровизации мировой экономики инструменты управления цифровой личностью, известные как антидетект-браузеры, трансформировались из нишевых утилит для арбитража трафика в критически важные инфраструктурные элементы для управления криптоактивами, электронной коммерции и маркетинга. Платформа AdsPower, занимающая одну из лидирующих позиций в данном сегменте, в конце 2024 года предприняла стратегический шаг, направленный на легитимизацию своего статуса безопасности через прохождение аудита у ведущего Web3-аудитора — компании CertiK. Данное решение стало прецедентом на стыке традиционных SaaS-решений и децентрализованных технологий, сформировав новый стандарт требований к прозрачности программного обеспечения, используемого для управления приватными ключами и цифровыми активами.

Цель настоящего отчета — предоставить исчерпывающий, многомерный анализ заявлений AdsPower о безопасности, базируясь на строгой верификации фактов аудита CertiK, проверке утверждения о вхождении в «Топ-10% защищенных проектов», а также детальном разборе критических инцидентов безопасности, произошедших в начале 2025 года. Исследование выходит за рамки простой констатации фактов, предлагая глубокое погружение в методологию аудита, архитектуру угроз и причинно-следственные связи, приведшие к реализации рисков цепочки поставок (supply chain attacks).1

Актуальность данного исследования обусловлена растущей зависимостью профессиональных участников рынка от инструментов мультиаккаунтинга. В ситуации, когда браузер становится не просто средством просмотра веб-страниц, а контейнером для хранения сессий, cookies и, что наиболее критично, расширений криптовалютных кошельков (таких как MetaMask или Phantom), требования к его безопасности выходят на уровень банковских систем. Аудит CertiK, традиционно ассоциирующийся с проверкой смарт-контрактов DeFi-протоколов, в применении к AdsPower сигнализирует о попытке перенести стандарты "trustless" (не требующие доверия) систем на доверенную среду Web2-приложения.2

2. Эволюция технологий цифровой идентификации и роль антидетект-браузеров

Чтобы полноценно оценить значимость аудита и последующих инцидентов, необходимо понимать технологический контекст, в котором оперирует AdsPower. Антидетект-браузеры функционируют как сложные системы виртуализации цифровых отпечатков (fingerprints).

2.1. Технологический стек и векторы атак

AdsPower базируется на ядре Chromium, но вносит существенные изменения в механизмы рендеринга и передачи данных, чтобы позволить пользователю управлять множеством изолированных профилей с одного физического устройства.

Изоляция профилей: Каждый профиль работает в изолированной среде ("песочнице"), где файлы cookies, локальное хранилище (Local Storage) и кэш строго разделены. Это предотвращает перекрестное отслеживание (cross-tracking) со стороны рекламных сетей и антифрод-систем.5
Спуфинг отпечатков: Браузер подменяет параметры Canvas, WebGL, AudioContext, шрифты, временные зоны и даже аппаратные характеристики (количество ядер CPU, объем RAM), создавая уникальный цифровой слепок для каждого аккаунта.7

С точки зрения безопасности, такая архитектура создает уникальные риски. Пользователь фактически доверяет проприетарному программному обеспечению не только свои поведенческие данные, но и криптографические ключи, используемые в расширениях. В отличие от стандартного Google Chrome, код которого открыт (в части Chromium) и проверяется тысячами независимых исследователей, антидетект-браузеры часто содержат закрытые модули для обхода детектирования. Именно поэтому внешний аудит кода становится критически важным инструментом верификации надежности.2

2.2. Конвергенция с Web3

В 2024-2025 годах наблюдается массовая миграция пользователей криптовалют в антидетект-браузеры для участия в токенсейлах, ретродропах и управлении портфелями. Это делает подобные браузеры привлекательной целью для хакеров (APT-группировок). Взлом одного такого инструмента может дать доступ к тысячам кошельков одновременно, что создает риск системного характера для экосистемы. Решение AdsPower пройти аудит именно у CertiK — лидера в области блокчейн-безопасности — было прямым ответом на этот запрос рынка, стремящегося к подтверждению безопасности своих активов.1

3. Методология оценки безопасности в Web3: Архитектура CertiK Skynet

Для корректной интерпретации результатов аудита AdsPower необходимо детально разобрать методологию, используемую компанией CertiK. В отличие от традиционных аудитов "snapshot" (моментальный снимок), CertiK продвигает концепцию непрерывного мониторинга через платформу Skynet.

3.1. Многофакторная модель скоринга (Security Score)

Оценка безопасности в экосистеме Skynet не является линейной метрикой. Она формируется как взвешенная сумма нескольких векторов, каждый из которых анализирует специфический аспект устойчивости проекта.1 Для проекта типа AdsPower, который классифицируется как "Non-Token Project" (проект без собственного токена), структура оценки имеет свои особенности.

3.2. Специфика пентестинга для Web2-инструментов

В случае с децентрализованными протоколами (DeFi), аудит фокусируется на математической верификации (Formal Verification) смарт-контрактов. Для AdsPower, являющегося централизованным приложением, CertiK применял методологию Penetration Testing (тестирование на проникновение).8 Это означает, что "белые хакеры" пытались взломать систему методами злоумышленников: атаками на API, попытками повышения привилегий, инъекциями кода.

Важно понимать, что успешное прохождение пентеста означает отсутствие известных уязвимостей в проверенной версии кода на момент проверки. Это не гарантирует защиту от будущих изменений кода или атак на инфраструктуру доставки обновлений, что и было трагически подтверждено событиями января 2025 года.

4. Детальный анализ аудита AdsPower (Декабрь 2024 года)

Согласно официальным документам и записям в реестре Skynet, отчет об аудите безопасности AdsPower был финализирован и опубликован 5 декабря 2024 года. Этот документ стал основой для масштабной PR-кампании, утверждавшей о высоком уровне надежности платформы.

4.1. Количественная деконструкция результатов

На момент публикации отчета AdsPower демонстрировал показатели, которые объективно выделяли его на фоне конкурентов и большинства Web3-проектов.

Общий рейтинг безопасности (Security Score): 79+ баллов из 100.
Оценка качества кода (Code Quality): 90/100.
Анализ: Оценка 90 баллов за код является исключительно высокой для сложного программного продукта. Это свидетельствует о том, что архитектура приложения была спроектирована с учетом требований безопасности, а основные векторы атак (XSS, CSRF, SQLi) были закрыты.2
Операционная целостность (Operational Integrity): 71/100.
Анализ: Данная оценка отражает состояние серверной инфраструктуры. Балл выше 70 считается "хорошим" (Good), указывая на наличие защиты от DDoS, правильную конфигурацию SSL/TLS и безопасность доменных записей.
Фундаментальная безопасность (Fundamental Security): 73/100.
Анализ: Ключевым фактором здесь стало прохождение процедуры KYC Bronze. В индустрии, где анонимность разработчиков часто является нормой, деанонимизация ключевых фигур перед аудитором (предоставление паспортов, видеоинтервью) служит мощным сигналом о долгосрочных намерениях проекта и готовности нести ответственность.8

4.2. Верификация утверждения о «Топ-10%»

Центральным элементом маркетинговой коммуникации AdsPower стало утверждение о вхождении в «Топ-10% защищенных проектов» по версии CertiK. Анализ базы данных Skynet подтверждает обоснованность этого заявления на момент конца 2024 года.

Статистическое распределение: База Skynet содержит данные о более чем 17 000 проектов. Значительная часть из них (более 50%) имеет низкие оценки (ниже 60 баллов) из-за отсутствия аудитов, анонимности команд или заброшенности. Проекты с оценкой 80+ составляют элиту рейтинга (например, Ethereum, Polygon, Aptos имеют 90+ 9). Оценка 79 баллов уверенно помещает проект в верхний дециль (10%) общего распределения.
Категориальное сравнение: В категории "Tools" (Инструменты), которая значительно уже категории DeFi, конкуренция ниже. Заявление о вхождении в «Топ-3 инструментальных проектов» также выглядит статистически достоверным, учитывая малое количество аудированных Web2-инструментов в базе CertiK.

Вывод: Заявление AdsPower не было маркетинговой уловкой. Оно опиралось на реальные данные сравнительного скоринга на конкретный исторический момент.

4.3. Выявленные уязвимости и их статус

Отчет о пентестинге от 05.12.2024 раскрывает детальную картину состояния безопасности кода. Всего было обнаружено 16 проблем, классифицированных по степени риска 8:

Наличие «признанных» (Acknowledged), но не «исправленных» (Resolved) уязвимостей уровня Major указывает на то, что компания приняла определенные риски, возможно, из-за сложности архитектурных изменений. Это стандартная практика в разработке, но она оставляет теоретическое окно возможностей для злоумышленников.

5. Дихотомия стандартов: Сопоставление Web2 (SOC 2) и Web3 (CertiK) подходов

Уникальность позиции AdsPower заключается в попытке синергии двух принципиально разных подходов к стандартизации безопасности. Параллельно с аудитом CertiK, в ноябре 2024 года компания получила аттестацию SOC 2 Type II.10

5.1. SOC 2 Type II: Процессная безопасность

Стандарт SOC 2 (Service Organization Control), разработанный AICPA, фокусируется не на коде, а на процессах.

Суть проверки: Аудитор проверяет, как компания управляет данными клиентов, как нанимает сотрудников, как реагирует на инциденты и как обеспечивает физическую безопасность серверов.
Type II: В отличие от Type I (проверка на конкретную дату), Type II оценивает эффективность контроля на протяжении длительного периода (обычно 6-12 месяцев).
Значение: Наличие этого сертификата гарантирует корпоративным клиентам, что в AdsPower выстроены бюрократические процессы безопасности.

5.2. CertiK: Техническая безопасность

Аудит CertiK дополняет SOC 2, предоставляя техническую верификацию того, что процессы, утвержденные в SOC 2, реализованы в коде без ошибок.

Синергия: Теоретически, комбинация SOC 2 + CertiK должна создавать непробиваемый щит. SOC 2 защищает от инсайдеров и халатности, CertiK — от хакеров и багов.

Однако, как показала практика, даже такая мощная комбинация не смогла предотвратить атаку на цепочку поставок, что поднимает вопрос о недостаточности современных стандартов аудита для защиты от изощренных векторов атак.

6. Анатомия компрометации: Инцидент безопасности января 2025 года

Несмотря на триумфальное завершение 2024 года, начало 2025 года стало катастрофическим для репутации безопасности AdsPower. В период с 21 по 24 января произошел инцидент, который эксперты классифицируют как классическую атаку на цепочку поставок (Supply Chain Attack).3

6.1. Хронология и вектор атаки

События развивались по следующему сценарию:

Инфильтрация (до 21 января): Злоумышленники получили доступ к инфраструктуре доставки обновлений или стороннему сервису, используемому AdsPower для управления плагинами. Официальное заявление упоминает уязвимость в «third-party technical service system».13
Внедрение полезной нагрузки (21 января, 18:00 UTC+8): Хакеры подменили легитимный файл установки/обновления расширения MetaMask (и, возможно, других кошельков) внутри внутреннего магазина приложений AdsPower на вредоносную версию.
Механизм действия: Модифицированное расширение содержало бэкдор. При создании или импорте кошелька пользователем, скрипт перехватывал мнемоническую фразу (seed-phrase) или приватный ключ и отправлял их на командный сервер (C2) злоумышленников.
Скрытый период (21-24 января): В течение трех суток пользователи, устанавливавшие или обновлявшие расширения, получали зараженную версию. Браузер AdsPower, доверяя внутреннему источнику обновлений, не блокировал эту активность.
Обнаружение и ликвидация (24 января): Команда безопасности обнаружила аномалии, заблокировала вредоносный канал распространения и выпустила экстренное обновление, принудительно удаляющее скомпрометированные плагины.

6.2. Последствия и ущерб

Финансовые потери: По данным аналитической фирмы SlowMist и компании Halborn, совокупный ущерб пользователей составил около $4.7 млн.3 Средства были выведены из кошельков, ключи от которых были скомпрометированы.
Репутационный удар: Инцидент произошел всего через полтора месяца после публикации отчета CertiK с оценкой 90/100 за качество кода. Это вызвало волну критики в адрес как AdsPower, так и аудиторов, обвиняемых в создании "иллюзии безопасности".

6.3. Реакция системы Skynet

Система мониторинга CertiK Skynet отреагировала на инцидент изменением статуса проекта.

Пессимизация рейтинга: В разделе "Incident" появилась запись о взломе. Рейтинг операционной целостности и доверия сообщества резко снизился.
Статус "Under Evaluation": На момент анализа, проект может находиться в статусе переоценки, так как предыдущий аудит перестал отражать реальную картину безопасности инфраструктуры.8
Анализ причин: CertiK не несет прямой ответственности за взлом, так как объектом атаки стал не проверенный ими код браузера, а внешний процесс доставки контента, который часто находится за рамками статического аудита кода.

7. Сравнительный анализ конкурентного ландшафта и профилей безопасности

Инцидент с AdsPower актуализировал вопрос выбора безопасного инструмента. Сравнение с основными конкурентами (например, GoLogin) позволяет увидеть различия в подходах к архитектуре безопасности.11

Инсайт: Парадоксально, но взлом AdsPower может сделать его более безопасным в долгосрочной перспективе. Компания, прошедшая через кризис ("боевое крещение"), обычно внедряет драконовские меры безопасности, недоступные конкурентам, которые еще не сталкивались с реальными APT-атаками.

8. Внешний контур угроз: Фишинг и социальная инженерия

Помимо внутренних уязвимостей, пользователи AdsPower сталкиваются с беспрецедентным уровнем внешних угроз. Исследование показало масштабную кампанию по созданию фейковых ресурсов, мимикрирующих под бренд.

8.1. Экосистема клонов

AdsPower официально подтвердил существование и удаление более 10 мошеннических сайтов.17

Техники обмана: Использование доменов-двойников (Typosquatting), таких как adspower.top, adspower.biz, abspower.com.18
Вредоносная нагрузка: Фейковые сайты распространяют модифицированные установщики, содержащие "стилеры" (stealers) — вредоносное ПО, которое сканирует систему на наличие файлов wallet.dat, паролей в браузерах и сессионных токенов еще до установки самого антидетект-браузера.
SEO-отравление: Мошенники часто покупают рекламу в Google Ads по запросу "AdsPower download", размещая свои фишинговые ссылки выше официального сайта.

8.2. Стратегия защиты бренда

AdsPower реализует активную стратегию защиты (Active Defense):

Сотрудничество с Google: Прямая отправка отчетов о мошенничестве (Scam Reports) для удаления фишинговых страниц из поисковой выдачи.
Мониторинг доменов: Использование автоматизированных систем для выявления регистрации похожих доменных имен.
Образование пользователей: Регулярные публикации в блоге с инструкциями по проверке цифровой подписи установщика и валидации URL.17

Этот аспект безопасности (Operational Integrity) также оценивался CertiK, и высокая оценка в этой категории отражает усилия компании по зачистке информационного пространства от угроз.

9. Заключение и стратегические рекомендации

Проведенное комплексное исследование позволяет сделать следующие выводы, синтезирующие данные аудита, рыночного позиционирования и инцидентов безопасности.

9.1. Итоговые выводы

Достоверность аудита: AdsPower действительно прошел глубокий аудит безопасности у CertiK в декабре 2024 года. Заявления о вхождении в «Топ-10%» и высоких баллах (Code Quality 90/100) являются фактологически верными и подтверждаются данными блокчейн-реестров на соответствующий период времени.
Природа уязвимости: Инцидент января 2025 года, повлекший кражу $4.7 млн, не опровергает результаты аудита кода самого браузера. Он демонстрирует уязвимость процессов доставки сторонних компонентов (расширений), что является "слепым пятном" для большинства статических аудитов.
Зрелость реакции: Действия компании после инцидента — привлечение правоохранительных органов Сингапура, запуск Bug Bounty программ и прозрачная коммуникация — соответствуют лучшим практикам индустрии кибербезопасности и выгодно отличают AdsPower от проектов, пытающихся скрыть утечки.
Лидерство в стандартах: AdsPower создал прецедент на рынке, став первым крупным антидетект-браузером с подтвержденным Web3-аудитом и сертификацией SOC 2. Это задает высокую планку для конкурентов, которым придется соответствовать этому уровню прозрачности.

9.2. Рекомендации для профессиональных пользователей

В свете выявленных рисков, пользователям рекомендуется придерживаться стратегии "Zero Trust" (Нулевого доверия):

Диверсификация хранения: Никогда не хранить значительные объемы средств на горячих кошельках (MetaMask/Phantom) внутри любого браузера, независимо от его аудитов. Использовать аппаратные кошельки (Ledger, Trezor, Keystone), подключая их к браузеру только для подписи транзакций. В этом случае, даже при компрометации браузера или плагина (как в январе 2025), приватный ключ не покинет устройство.
Верификация дистрибутива: Скачивать программное обеспечение исключительно с официальных доменов (adspower.com, adspower.net). Проверять цифровую подпись (Code Signing Certificate) исполняемого файла перед установкой.
Изоляция среды: Использовать отдельную физическую машину или виртуальную машину (VM) для работы с высокорисковыми активами, минимизируя влияние потенциальных уязвимостей браузера на основную систему.
Контроль расширений: Отключить автоматическое обновление расширений, если это позволяет функционал, и вручную проверять версии плагинов перед критически важными операциями.

Таким образом, аудит CertiK подтвердил высокий уровень базовой безопасности AdsPower, но январский инцидент стал суровым напоминанием о том, что в мире кибербезопасности не существует абсолютной защиты, а есть лишь непрерывный процесс управления рисками.

Источники

Proof of Reserves Audit - CertiK, дата последнего обращения: января 8, 2026, https://www.certik.com/products/proof-of-reserves-audit
AdsPower Security Review: CertiK's Audit of Code, Operations, and Community, дата последнего обращения: января 8, 2026, https://www.adspower.com/blog/adspower-security-audit-by-certik
Explained: The AdsPower Hack (January 2025) - Halborn, дата последнего обращения: января 8, 2026, https://www.halborn.com/blog/post/explained-the-adspower-hack-january-2025
CertiK: Largest Blockchain Security Auditor, дата последнего обращения: января 8, 2026, https://www.certik.com/
AdsPower Antidetect Browser Review: Features, Pricing & Reviews, дата последнего обращения: января 8, 2026, https://www.adspower.com/blog/adspower-antidetect-browser-review
My experience with an antidetect browser AdsPower after a few months of real use - Reddit, дата последнего обращения: января 8, 2026, https://www.reddit.com/r/browsers/comments/1pcrwcd/my_experience_with_an_antidetect_browser_adspower/
What Is Browser Spoofing? Everything You Need to Know - AdsPower, дата последнего обращения: января 8, 2026, https://www.adspower.com/blog/what-is-browser-spoofing-everything-you-need-to-know
AdsPower - CertiK Skynet Project Insight, дата последнего обращения: января 8, 2026, https://skynet.certik.com/projects/adspower
CertiK All-Launch Leaderboard, дата последнего обращения: января 8, 2026, https://skynet.certik.com/leaderboards/security
The Latest News, Events, Product Updates of AdsPower Browser, дата последнего обращения: января 8, 2026, https://www.adspower.com/blog-news/t157
AdsPower Browser: Updated Review in 2025 - GoLogin, дата последнего обращения: января 8, 2026, https://gologin.com/blog/adspower-browser-vs-gologin/
Risky Bulletin: Supply chain attack at AdsPower browser platform, дата последнего обращения: января 8, 2026, https://news.risky.biz/risky-bulletin-supply-chain-attack-at-adspower-browser-platform/
AdsPower Addresses Security Breach Involving Malicious Wallet Plugins - Binance, дата последнего обращения: января 8, 2026, https://www.binance.com/es-MX/square/post/03-12-2025-adspower-addresses-security-breach-involving-malicious-wallet-plugins-21446054902666
AdsPower Addresses Security Breach Involving Malicious Wallet Plugins - Binance, дата последнего обращения: января 8, 2026, https://www.binance.com/en-AE/square/post/03-12-2025-adspower-addresses-security-breach-involving-malicious-wallet-plugins-21446054902666
AdsPower - CertiK Skynet Project Insight, дата последнего обращения: января 8, 2026, https://staging.skynet.certik.com/projects/adspower
2024 AdsPower Recap: Product Updates, Events, and Partnerships, дата последнего обращения: января 8, 2026, https://www.adspower.com/blog/adspower-recap-2024-product-updates-events
How AdsPower Actively Detects and Takes Down Fake Websites to Protect Users, дата последнего обращения: января 8, 2026, https://www.adspower.com/blog/adspower-takes-down-fake-website-protect-users
[Safety Reminder] How to Recognize AdsPower Official Channels and Avoid Fake Websites, дата последнего обращения: января 8, 2026, https://www.adspower.com/blog/recognize-adspower-official-site-channels

Промки

2025-08-14T16:14:42.045Z

Да, это немного, но это честная работа — хочется сказать в начале этой статьи.

Что по деньгам?

Для начала — что это и с чем это едят.
«Промками» называют акции с призовым пулом, которые проводят биржи. Чаще всего награда в таких акциях — токены нового проекта. Проект передаёт часть токенов бирже, и это обычно одно из условий листинга этого самого токена.

В итоге выигрывают все: проект получает листинг, биржа привлекает новых пользователей или активизирует старых, а мы забираем свою долю из призового пула.

💵 По деньгам расклад такой:

Награды в промках обычно сильно отличаются: для новых аккаунтов обычно все гораздо вкуснее, чем для всех пользователей.

Промки для новых пользователей, когда нужно зарегистрировать аккаунт во время акции или сделать первый депозит/трейд на аккаунте в этот период.

Средняя такая промка даёт около $100 на аккаунт
Практически каждый день появляется 1–2 хороших варианта, даже если отбрасывать акции с плохими условиями
Затраты на один новый аккаунт у вас составят около $10

Промок для всех пользователей сейчас почти нет с действительно вкусными условиями. А те, что появляются, в основном рассчитаны на общий пул, который распределяется между участниками пропорционально их объёму.

Средняя такая промка даёт около $20 на аккаунт
Отрабатывать их проще, потому что вам не нужен каждый раз новый аккаунт
Вкусные варианты появляются не так часто как для новых пользователей

Каждый может сам перемножить количество аккаунтов, которые он способен вести, на суммы, которые я привёл выше. Пара тысяч долларов в месяц отсюда вытащить не так уж и сложно, если подходить с головой.

Раздел со страницами акций мы пропускаем — эта статья специально написана как гайд по работе с моим каналом.
В нём весь мусор уже отсеян, а все годные варианты расписаны подробно, с ссылками, инструкциями и моими пометками по конкретной промке.
Сайт где собранны все нужные ссылки и сервисы для криптана.

Работа с биржевыми аккаунтами

Во-первых, независимо от того, какими прокси вы пользуетесь и какие действия делаете на аккаунте — ревериф вам может прилететь в любой момент.
И если в этот момент вы не сможете перепройти KYC, то вывести деньги с аккаунта станет почти невозможно.

Начнём с базы

Если работаем с несколькими аккаунтами — используем антидетект-браузер

Прокси:

Под каждый профиль — свой отдельный прокси
Важно: следите, чтобы ГЕО прокси не резало функционал биржи. ЕС сразу вычеркиваем.
Крайне желательно, чтобы ГЕО-прокси совпадало со страной гражданства того, кто проходил KYC
Менять прокси так же крайне нежелательно, ровно как и чистить куки в профиле.
Идеальный вариант — резидентские или ISP прокси, но и хорошо идут качественные серверные.

KYC

Если вы планируете выносить промки для новых пользователей или масштабировать свою постоянную «ферму», вам, естественно, понадобится KYC.

Что тут главное:

Смотрите, чтобы была возможность пройти ревериф. Такой KYC будет дороже, но потерять вы можете гораздо больше, если заблокируют вывод и попросят сделать селфи
Смотрите, KYC какой страны вы берете, и проверяйте, какие страны находятся под запретом для конкретной промки — эта информация всегда указана в описании. Чаще всего лучше всего подходят страны СНГ
Лучше выбирать варианты с возможностью реверифа и чтобы в комплекте шел тот же прокси, с которого проходился KYC — это самый безопасный подход.

KYC сервисы:
Cherry KYC
ProKyc
Секретный KYC Сервис
lemonchik_store

Работа с аккаунтами

Банально, но всё же стоит повторить: не отправляйте деньги с нескольких аккаунтов на один и тот же адрес или на разные адреса одного аккаунта, если биржа для ввода и вывода одинаковая.

Что делаем, что бы вас не сбрили в промке?

Не повторяйте действия точь-в-точь на нескольких аккаунтах. Меняйте суммы, кол трейдов, сети для пополнения и вывода.
Поддерживайте минимальную активность каждые пару дней после выполнения заданий промки — например, делайте пару сделок на споте или фьючах — до момента начисления наград за промку.
Не используйте обычные реферальные ссылки — только ссылки партнёров. Партнёрские ссылки на все биржи указаны в конце статьи и в каждом посте с конкретной биржей, о промке которой я пишу.
Лучше вообще не использовать реферальную ссылку, чем брать её со своего другого аккаунта, если только этот аккаунт не является партнером биржи
Для биржи аккаунт, который приведён через партнёрскую ссылку, выглядит более трастовым, особенно при промках для новых пользователей.
Перед входом или регистрацией аккаунта в новом профиле нужно «оживить» его куки. Куки — это данные, которые браузер сохраняет при посещении сайтов, чтобы распознавать вас при следующих визитах. После создания нового профиля в ADS вы можете сделать это, посетив несколько популярных сайтов, либо воспользоваться функцией Cookie Robot в настройках профиля.
Лучше всего держать средства на счёте до начисления наград, даже если в правилах указано, что их вывод разрешён.
Лучше депозитить чуть больше, чем указано в условиях.

Мобилки

Есть акции, которые можно выполнять только с телефонов, например как промки, которые нужно выполнять через кошелек Binance.

Лучший вариант для работы с мобилками - GeeLark. Есть и бесплатные аналоги: NOX и BlueStacks (видео по работе с этими эмуляторами), но с ними вам придется долго налаживать отношения и в итоге вы скорее всего все равно перейдете на GeeLark

Биржи для работы

OKX
Bybit
MEXC
Binance
Gate
Bitget
BingX
KuCoin

Трейдинг без трейдинга

2025-03-11T13:46:51.361Z

Тут речь пойдет обо всех способах заработка на фьючах, споте и их комбинациях без классического трейдинга и как из этого делать несколько сотен долларов в день.

Данное чудо, как без вазелина залезать в несовершенства рынка и лутать с этого зарплату, написал для вас Dandelion.

Давайте по фактам: то, что описано ниже — один из немногих реальных способов стабильно лутать по пару сотен долларов в день.
Но придётся чуть поднапрячься: просто «почитать пост с рефкой и алгоритмом нажатия кнопок» тут не прокатит — придётся немного самому думать.
Зато результат — здесь и сейчас, а не «консервативный лям через полгода с тысячи аккаунтов» в очередной L2-помойке.

Тут собрал для вас все ссылки, которые упростят жизнь криптана: https://web3toolkit.super.site/

Дальше — простыня терминов и советов, как не отлететь в бан и не слить депозит, а сами схемы ждут в последних четырёх разделах.

Пряник и немного горчицы

Хоть это все выглядит невероятно вкусно. Но сразу предупреждаем: ректануться тут можно быстрее, чем на дропах и с большей вероятностью.

Наверное, уже все заметили мету на шорт новых токенов на MEXC и GATE. Каждый второй канал сейчас пихает скрины с трёхзначными APR и нагоняте ФОМО.

Несколько моментов, которые стоит держать в голове перед прочтением статьи (и тем более перед входом в какую-то позицию):

У вас должна быть чёткая стратегия, которой вы придерживаетесь и от которой НЕ ОТХОДИТЕ ни при каких обстоятельствах.
Не торгуйте чужие сигналы вслепую — входите в позицию только после собственного анализа и понимания зачем оно вам надо.
Рынок не будет раздавать деньги каждый раз — маркетмейкер или сама биржа обязательно прокатит вас пару раз 😁
Но я постараюсь сократить для вас эти риски.

Риск-контроль — как биржа тебе поимеет

Особенно осторожно с РК при работе на MEXC, остальные биржи почти не грешат этим.

Что такое РК?
Это фильтр, защищающий биржу от манипуляций, багов и схем. Он может сработать автоматически или вручную. Проще говоря, это одна из основных причин, почему могут заблокировать ваш аккаунт при попытке заработать на шортах токенов на TGE — а иногда и при использовании других схем из этой статьи.

Основные причины за что может прилететь РК (со слов представителя одной из бирж):
1. Скоординированные атаки на малоликвидные токены
Много аккаунтов одновременно открывают шорт, синхронно входя/выходя. Цена падает, трейдеры теряют деньги — РК срабатывает.
⚠️ Именно это — самый вероятный повод для получения РК, ведь он напрямую описывает суть заработка на одной из схем, разобранных ниже.

2. Памп и дамп
Кто-то искусственно разгоняет токен, вызывает FOMO, а потом сливает. Новички в минусе — РК включается.

3. Фиктивная торговля (wash trading)
Объемы гоняются между своими аккаунтами. Это нарушает правила и законы — РК.

4. Мультиаккаунты
Один человек управляет десятками аккаунтов. Даже если всё “чисто”, алгоритмы видят паттерн — и включают РК.

«А я ничего не делал!»
Иногда РК срабатывает по ошибке — нестандартный IP, резкий рост объёмов и т.д. Если ты верифицирован и чист, доступ обычно восстанавливают после проверки, но деньги могут надолго зависнуть.

Так что следуйте этим рекомендациям:

Всегда держите возможность перепройти верификацию.
Прогревайте аккаунты: добавляйте разнообразную активность, а не только шорты на листинге. Наибольший риск — у новых аккаунтов с одной и той же схемой действий, особенно, если эти действия заключаются исключительно в шортах на листинге.
Если мультите — не повторяйте сделки один в один. Разводите по суммам и времени закрытия.

⚠️ НО! Даже если вы будете придерживаться всех этих рекомендаций — это не гарантирует, что вам не прилетит РК. Ещё как может прилететь, особенно если вы серьёзно возьмётесь за схемы заработка, описанные в этой статье.

Как же до**я насыпят

Что по деньгам тут?

Мы с вами разберем 4 схемы заработка на фьючах и их связках с DEX:

Банальный шорт новых токенов на фьючах в момент листинга
Шорт токенов на разлоках
Арбитраж спреда
Арбитраж фандинга

Несколько самых вкусных примеров из недавних возможностей:

Арбитраж спреда:
Листинг токена $BMT после IDO от Binance
В первые минуты торгов спред между фьючами на MEXC и спотом на PancakeSwap доходил до 2x!

Открываете шорт на MEXC
Покупаете токены на споте PancakeSwap
Как только курсы сравнялись, закрываете шорт и продаёте спот

💰 Итог — x2 меньше чем за час.

Арбитраж фандинга:
Разница в ставке финансирования на токене $XTER
Между MEXC и Bitget на протяжении нескольких недель держалась ситуация, когда из-за разницы в фандинге можно было почти без рисков лутать 300% APR!

Лонг на MEXC
Шорт на Bitget

Разница в ставке финансирования на токене $BTC
Даже на битке можно арбитражить фандинг и с этого получалось лутать 175% APR!

Лонг на Hyperliquid
Шорт на Arkham

💰 Итог — пассивка с жирным APR и почти без риска, так еще и дропы от PERP-ов можно фармить.

Шорт токенов на разлоках:
Вышел новый токен? Шортим его на фьючах MEXC, как только откроют.

Листинг $BMT — шорт на MEXC → профит
Листинг $ELX — шорт на MEXC → профит
Листинг $MINT — шорт на MEXC → профит

💰 Итог — не завышая рисков можно забирать до 2х к телу.

Шорт токенов на разлоках:
Комьюнити-дроп токенов $SOSO

Открылся клейм дропа — шорт на MEXC → профит

💰 Итог — не завышая рисков можно забирать до 2х к телу.

Теперь, когда вы зарядились фомо-мотивацией, можно перейти к главному — как находить такие возможности. И, как минимум, надеюсь, что после прочтения статьи вы перестанете на них терять деньги.

Общая информация

Сразу важная инфа, без которой можно слить на открытие и закрытие позиций больше, чем сама позиция принесет прибыли.

Сначала разберёмся с безопасностью сделок, а потом уже перейдём к схемам заработка.

Фандинг

Вы постоянно будете сталкиваться с фандингом — это комиссия, которую платят либо лонгисты шортистам, либо наоборот, в зависимости от перекоса в позициях. Если слишком много людей сидит в лонге, они платят шортам, если наоборот — шорты платят лонгам. Мы на этом тоже будем зарабатывать, но обычно нужно следить, что бы этот фандинг не нагнул всю вашу позицию.

Если вы просто шортите токены на листингах, то в позиции вы стоите недолго, и на фандинг можно особо не обращать внимание.
На фандинг стоит обращать внимание, когда позиция может затянуться, как при арбитражите спред между фьючами и фьючами/спотом. Если цены долго не выравниваются, фандинг может начать серьёзно жрать вашу потенциальную прибыль.
Ну и естественно, когда мы арбитражим сам фандинг, то мониторим его постоянно, но об этом поговорим позже.

Проскальзывание

Ещё более страшный зверь, чем фандинг — это ликвидность. На тир-3 биржах, особенно на щитках, да и особенно в моменте листинга, скорее всего, будет всё очень плохо с ликвидностью.

Проскальзывание — это когда вы ставите ордер по какой-то цене, но из-за нехватки ликвидности (мало заявок на покупку\продажу в стакане) или быстрого изменения цены, сделка выполняется по менее выгодной цене. Если вы заходите на большую сумму по рынку, а большая сумма здесь — это может быть несколько сотен баксов, то вас могут открыть с огромным проскальзыванием, и вы сразу окажетесь в минусе. А если ещё и закроетесь по рынку, то даже на удачной сделке вы можете уйти в минус.

Тут есть два варианта:

Заходить лимитками — самый безопасный вариант, но лучше использовать их, когда набираете позицию для арбитража фандинга. В случае с шортами или арбитражом спреда вашу лимитку могут просто не зацепить, и цена уйдёт без вас.
Второй вариант — вход по маркету небольшими ордерами. Если видите, что проскальзывание вас устраивает, можете увеличивать сумму ордеров.

Прайс-импакт. Если вы покупаете или продаёте большой объём токена на DEX с низкой ликвидностью, ваша сделка сама двигает цену против вас. Например, вы хотите купить токен, который стоит $1, но из-за недостатка ликвидности на бирже в итоге часть ваших токенов будет куплена по $1.10 или выше. Итоговая средняя цена будет выше, чем ожидалось.

Перед сделкой на DEX обязательно проверяйте прайс-импакт — он обычно указывается в интерфейсе свапа и смотрите на допустимое проскальзывание.

Ограничение суммы ордера биржей

Часто фьючи на новых токенах при листинге ограничены по сумме ордера, который вы можете открыть. Тут всё логично — если бы такого ограничения не было, один кит мог бы просто вынести стакан, и никто бы не заработал.

Если вы хотите заходить в позицию больше чем на $500 - $1000, то вам понадобятся несколько аккаунтов, как минимум на MEXC.

Время открытия фьючей

Фьючи могут открыть чуть раньше чем в анонсе, так что следить начинайте заранее. Особенно если это MEXC — там любят открывать фьючи на пару минут раньше.

Часто фьючи не открывают сразу в момент листинга на споте. Если фьючи появились уже после того, как основной удар по стакану был сделан, то заходить в позицию смысла нет.

Тут всё ситуативно, нельзя дать универсальны точных временных рамок. Нужно учитывать совокупность факторов и оценивать ситуацию в моменте:

На каких биржах листинги
Что из себя представляет проект
Как там дела с клеймом и депом на биржу у сибилов
Что творит маркет-мейкер на споте

Несколько примеров:

Если тир-1.5 токен листится на крупных биржах, а клейм и депозит на биржи были доступны заранее, то входить в такое можно только сразу. Если не успели в первые минуты — лучше пропустить эту сделку.
Если на тир-3 биржах листится какой то щиток, и у команды "по случайности" сломала сайт с клеймом дропа за несколько минут до листинга, то можно рассматривать такой шорт и через час.

Ликвидация

Когда вы долго стоите в позиции и вам не важно, куда пойдёт цена, потому что зарабатываете на спреде или арбитраже фандинга, вы всегда должны следить за обеспечением в сделке. Это важно, чтобы избежать ликвидации.

При арбитраже спреда вы не будете долго находиться в сделке, поэтому допускается держать небольшое обеспечение.
Такие сделки нужно постоянно мониторить в реальном времени, чтобы закрыть их в нужный момент. Вы всегда будете видеть, когда обеспечение заканчивается, и сможете долить его, если потребуется.
Но все же учитывайте, что на тир-3 биржах, особенно с мелкокапами и в момент листинга, могут в моменте возникать сильные сквизы.

А вот схема с арбитражем фандинга предполагает, что вы будете долго сидеть в позициях и оставлять их без присмотра. В этом случае важно иметь хороший запас обеспечения, чтобы вас не ликвиднуло.

Ваша ликва должна быть уже там

Вроде банальная вещь, но решил всё-таки прописать.

Вы должны держать ликвидность на тех инструментах, на которых работаете. Никто не будет ждать, пока вы депнете стейблы и откроете позицию или пополните кошелек, что бы встать в лонг на DEX.

Биржи, на которых будем работать

MEXC
GATE

Это две основная биржы для работы с фьючами, так что регистрироваться там нужно в первую очередь. Они первыми запускают фьючи на новые токены и дают намного больше лимиты на позиции во время TGE. Кроме того, на других тир-3 биржах вначале часто все плохо с ликвидностью, что может привести к значительному проскальзыванию при открытии или закрытии позиции. В большинстве связок вы будете работать именно с MEXC и GATE.

Для арбитража фандинга и спредов вам также понадобятся аккаунты на других биржах и PERP-ах:

OKX
Binance
Bybit
BingX
Bitget
KuCoin
Hyperliquid
Backpack
Paradex

Где искать инфу по входу в позицию?

Быть в инфополе — самый простой вариант:
Тогда вы будете в курсе всехдропов и, соответственно, разлоков.

Лучший агрегатор крипто каналов

Календарь криптособытий:
Где и когда какой листинг и вообще все основные события. Тут удобно все смотреть в одном месте.

coindar

Уведомления о листингах в телеграм:
Паблик, который уведомляет о всех листингах и ключевых апдейтах на биржах и, судя по всему, делает это быстрее остальных.

Coin listing

Анонсы бирж:
Тут смотрим анонсы о листингах на конкретной бирже.

MEXC
OKX
Binance
Bybit
Gate
BingX
KuCoin
Bitget

Шорт токенов на фьючах в момент листинга

Ну вот мы и добрались до первой нашей схемы.

Тут все довольно таки просто: листить новый токен - мы его шортим на фьючах. Но не все токены будут укатываться!

Ключевым фактором, который нам говорит о том, что токен сразу после листинга пойдет пробивать дно - разлоки комьюнити (дроп).
Вот два графика — посмотрите и угадайте с первой попытки, на каком из них токен, который вышел с дропом, а на каком нет.

Минутный таймфрейм.

Слева — $LAYER, который вышел с дропом и разлоком токенов с комьюнити-сейла.
Справа — $VENOM, который вместо дропа раздал памятные нфт.

Логика тут простая: маркет-мейкер не будет гнать цену вверх, когда по стакану лупят, как в последний раз. Если уж и стоит задача толкать цену выше, делать это будут только после того, как основное давление на стакан ослабнет.

Из этого вытекает два правила:
1. Мы не заходим в шорт токенов, которые не имеют большого разлока комьюнити. Не стоит смотреть на разлоки крупняка, даже если у фондов будет 100% на TGE — хрен знает, что они будут творить. Зато, мы отлично понимаем, что будет делать комьюнити 😎

2. Второе правило: не засиживаться в сделке. Ваша задача — зайти как можно раньше, прокатиться на падении за счет давления на стакан и выйти, не дожидаясь, пока у маркет-мейкера развяжутся руки.

Чем слабее проект, тем хуже обычно маркет-мейкер, и тем меньше шансов, что цену будут толкать вверх сразу после листинга (если вообще будут).
Важно также учитывать, на каких биржах выходит токен. Если какой-то непонятный щиткоин листят на Binance, его вполне могут сразу запампить — тут уже речь не о качестве проекта, а о манипуляциях и том, что у крупных бирж есть ресурсы для таких схем.

Вы должны провести собственный ресерч проекта, когда его анонсируют на фьючах, чтобы понять, от какой цены стоит заходить в шорт. Если затраты на дроп или комьюнити сейл не окупаются ценой токена, давление на стакан может быть минимальным.
Основные метрики:

Если был комьюнити сейл, то по какой оценки и сколько разлок на ТГЕ.
Какая средня цена на премаркете.
Сколько в среднем стоило нафармить один токен, если нужно было жечь бабки для дропа.
Сколько бесплатных токенов будет в рынке. Например, токены инфлов с рефок или модеров в Discord.
Есть ли намеки на то, что команда раздала большой процент дропа себе.

Шорт токенов в момент разлока

Тут будет проще с ликвидностью на фьючах, ведь не одним MEXC скорее всегоедины будете к этому времени.

Но все равно - будьте осторожны, когда будете набирать позицию. Всегда начинайте набирать небольшими ордерами!

Все очень похоже на схему выше: Не стоит слишком долго оставаться в сделках и особенно осторожно шортить крупные проекты с топовых бирж. Часто бывает, что токены наоборот начинают пампить на разлоках. Возвращаемся к мысли, что рынок обычно оказывается умнее вас...
Также проводим собственный ресерч на предмет сильного давления на стакан, по аналогии с тем, как это было описано в предыдущем блоке.

Главное тут это грамотно подобрать разлок - большинство разлоков никак не влияют на цену.

Шорт на разлоках может казаться логичным: типа, выходит большая масса токенов → больше предложения при той же капитализации→ цена должна падать. Но это слишком очевидно, и рынок такие штуки не разыгрывает по учебнику.

Во-первых, не весь разлок идёт в продажу. Часть фондов просто холдит, продает на ОТС или переливает токены в другие механизмы (например, в стейкинг).

Во-вторых, вся инфа о разлоке давно заложена в цене. Фонды не дураки и понимают, что толпа ждёт дампа. Они могут сыграть наоборот: загнать цену вверх, чтобы повыносить шортистов, а уже потом слить по хаям.

Так что возвращаемся к правилу номер один из первой схемы: главное, что бы был разлок значительного саплая для комьюнити.

Пятиминутный таймферйм.

Пример отработки шорта на рвзлоках: заранее было известно о большом дропе для комьюнити токенов SOSO. Проект тир-2.5, не торгуется на топ-1 биржах.

В итоге маркет-мейкер сработал, как по учебнику: дал опустить цену, откупил дроп и вернул её в нужный диапазон.
И тут снова возвращаемся ко второму правилу из предыдущего раздела: не засиживаемся в сделке. Мы не знаем, что будет делать маркет-мейкер после того, как спадёт давление на стакан.

Вот пару интересных закономерностей, но это уже высокие риски, и то, сработают ли эти паттерны, зависит от множества факторов:

Разлоки токенов с премаркета на биржах часто не происходят сразу (обычно это занимает около 2 часов). Если цена на текущий момент выше, чем на премаркете, можно ожидать, что многие начнут фиксировать прибыль и понесут токены в стакан.
Часто с листингом какого-либо токена запускаются фарминг-пулы. После завершения этих пулов и разблокировки токенов может последовать дамп.

В первую очередь нужно смотреть, какой объем был проторгован на премаркете и какой объем токенов был залочен в пуле. Логично, что разлок токенов на $1 млн не двинет цену токена с капитализацией в $1 млрд.

Дополнительные инструменты для мониторинга разлоков:

Агрегаторы текущих активных компаний:
Можно заранее посмотреть все активные проекты с подтверждённым аирдропом и быть готовым к разлоку после завершения кампании. Сам этим не пользуюсь, так как беру всю инфу из календарей и агрегаторов, но, возможно, кому-то будет полезно подготовиться заранее.

cryptorank
dropstab

Разлоки фондов:
Где, когда и у кого будут разлоки токенов, заранее прописанные в дорожной карте. В первую очередь это касается фондов, команды и других крупных держателей. Но не стоит шортить на этих разлоках — дампа не будет. Оставляю эту инфу чисто для общего развития, да и сам иногда пользуюсь в более сложных идеях.

Арбитраж спреда

Вот мы и подошли к первой из двух наименее рисковых, но более сложных стратегий.

В чём суть?

Цена токена на разных площадках может заметно отличаться.
Самый популярный и просто сценарий:

Встаём в шорт на фьючах, где цена выше.
Покупаем токен на споте по более низкой цене.
Ждём, когда цены сравняются, и закрываем обе позиции.

Почему это работает?

Ваша позиция захеджирована:

Если цена пойдёт вверх — ваш шорт на фьючах уйдёт в минус, но зато лонг на споте вырастет. Так как вы покупали на споте по заниженной цене, то прибыль от лонга будет больше, чем убыток от шорта на фьючах, что в итоге принесёт вам профит.
Если цена упадёт — ваш лонг на споте уйдёт в минус, но поскольку вы заходили в шорт на фьючах по завышенной цене, прибыль от шорта перекроет убыток от лонга и принесёт вам профит.

В итоге, как только цены сравняются, вы фиксируете гарантированную прибыль — разницу между завышенной ценой на фьючах и заниженной на споте.

Работают любые комбинации со всеми биржами и dex-ми: спот-DEX, фьючи-спот, фьючи-фьючи и так далее.

Тут наоборот — чем выше тир токена, чем лучше его маркет-мейкер и биржи, на которых он торгуется, тем проще отрабатывать арбитраж. Но на практике спреды чаще всего появляются на всяких мелкокапах и тир-3 биржах.

Если при шорте нам нужно, чтобы с этим щитком творилась полная грязь, то при арбитраже важно быть уверенным, что это не последние минуты жизни токена.

Начинайте с более-менее сильных токенов и первое время ищите пары для арбитража только сразу после листинга. Чем больше площадок добавляют токен, тем выше шанс появления спреда. Чаще всего цену на каком-нибудь DEX заваливают ниже, чем на биржах.
Маркет-мейкер просто не справляется с выравниванием цен на всех площадках и мы берем эту работу на себя)

Самый рабочий вариант, который я рекомендую новичкам, — это ситуация, когда цена на фьючах MEXC выше, чем где то на споте (обычно это какой то DEX).

Если депозиты на биржу открыты, то вы можете отправить токены, которые купили на споте, на биржу, продать их и закрыть шорт, не дожидаясь, пока цены сравняются — это принесет вам тот же профит.

Более сложные и рисковые стратегии, когда на фьючах цена ниже, чем на споте:

1. Займ токенов и продажа на споте. Если токен не полная помойка, его можно взять в долг на бирже или через лендинг (или вы могли быть его холдером) и сразу продать. Тут логика обратная: вы заходите в лонг на фьючах и продаёте заемные токены на споте (встаёте в шорт). После того как курс сравнялся откупаете токены обратно и закрываете лонг.

Процент по займу тоже стоит учитывать. Хоть он и не особо критичен из-за короткого времени нахождения в позиции, но можно случайно нарваться на неадекватные цифры на каком-нибудь лендинге. Поэтому перед заходом в сделку лучше проверить условия займа, чтобы не потерять на процентах больше, чем заработаешь на арбитраже.

2. Лонг на фьючах без хеджа. Если токен ведёт себя относительно стабильно, можно просто зайти в лонг на фьючах. Но это уже хай-риск стратегия! Здесь вы не хеджируетесь, и если цена пойдёт не в вашу сторону до выравнивания, можно уйти в минус. Особенно опасно это на низколиквидных токенах.

Когда появляются спреды?

Как бы очевидно это ни звучало, но спред появляется тогда, когда по стакану в одном месте лупят сильнее, чем в другом.

Из за чего они возникают?

Листинг нового токена, если он выходит с дропом
Крупные разлоки у комьюнити
Резкие движения рынка в целом и нехватка ликвидности
Взлом какого-то протокола и удар по стакану на DEX

Парсеры спредов:
Показывает токены с спредом между дексами и фьючами.

первый - Парсит спред между MEXC и DEX. Есть фильтр по проценту спреда, парсер новых листингов на фьючах MEXC, а также статус депозитов и выводов на MEXC.
второй - Парсит спред между MEXC и GMGN.
третий - Парсит резкий памп или дамп цены токена и отправляет уведомления, но спред всё же приходится проверять вручную.

Арбитраж фандинга на фьючах

Это самая сложная схема, требующая значительных затрат времени и заморозки финансов. К тому же возможность для такого арбитража возникает редко, но частенько можно найти связке, где вы будете выходить в ноль и вы можете таким образом бесплатно фармить PERP-пы.

Тут все как с арбитражем спреда: чем выше тир токена, чем сильнее его маркет-мейкер и чем крупнее биржи, на которых он торгуется, тем лучше и безопаснее. Но, к сожалению, чаше будем работать с тир-3 биржами и PERP-ми. Опять же все сводиться к MEXC, потому что в большинстве связок он будет одной из бирж.

В этой схеме требования к токену максимально жесткие — фандинг и цена должены быть относительно стабильными и предсказуемыми. Никаких щитков с капой в пачку пряников.

В чем ее суть?

Фандинг на разных площадках может сильно отличаться, и именно на этом можно заработать. Почему? Потому что на каждой бирже соотношение лонгистов и шортистов отличается, а это напрямую влияет на то, кто кому платит.

Вот пример:

На одной бирже вы открываете лонг-позицию, и вам платят фандинг в размере 2х за 8 часов (потому что на бирже много шортистов).
А на другой бирже вы открываете шорт и платите фандинг 1х раз в 8 часов, потому что там не так много шортистов как на первой бирже.

Получается, что на первой бирже ты получаешь фандинг больше, чем платишь на второй — эта разница и капает тебе в карман. А поскольку ты открыт в двух разных направлениях, твоя позиция захеджирована.
Также обращайте внимание на время начисления фандинга: на одной бирже расчет может идти каждые 4 часа, а на другой — раз в 8 часов. В данном млучае, чтобы правильно рассчитать, насколько позиция прибыльная, умножайте фандинг первой биржи на два.

Какие тут есть нюансы?

1. Что бы тут заработать вам нужно достаточно долго находиться в позиции с выгодным фандингом, потому что как только вы вошли в позицию - вы сразу в минусе:

Вы теряете на проскальзывании в момент открытия и закрытия
Вы платить комиссию за открытие и закрытие позиции
Цены на разных фьючах могут отличаться и изменяться, пока вы держите позицию. Может случиться так, что вы откроетесь на первой бирже по более высокой цене, а при закрытии цена уже окажется ниже чем на второй.

Все эти моменты нужно учитывать, когда принимаете решение о входе в сделку. Если за сутки доход с фандинга перекрывает все издержки, то такую позицию можно считать хорошей.

2. Не стоит сразу заходить в позицию, как только увидели хороший спред фандингов. Сначала нужно понаблюдать пару тиков за обновлением фандинга — обычно это происходит раз в 4 или 8 часов. Посмотрите, меняется ли фандинг. Если он стабильно держится, тогда можно набирать позиции.

3. Осторожнее с высоким фандингом на мелкокапах — часто попадаются очень заманчивые варианты, но обычно такой фандинг долго не держится. В итоге можете даже не отбить затраты на саму позицию.

Более сложные стратегии:

Арбитраж фандинга через заемные токены или если вы были их холдером:

Берем токен в долг на бирже или DeFi-платформе, где низкие ставки по займу.
Продаем его на споте и одновременно встаем в лонг на фьючах, где фандинг отрицательный (платят лонгистам).
Фармим разницу: если процент по займу ниже, чем выплаты по фандингу, то разница идет в карман.
Когда фандинг перестает кормить — закрываем лонг, выкупаем токен обратно на споте и возвращаем долг.

Арбитраж фандинга с покупкой токенов на споте:

Покупаете токены на споте.
Открываем шорт на фьючах где фандинг положительный (платят шортистам).
Когда фандинг перестает кормить — закрываем шорт и продаем обратно токены на споте.

Стратегий намного больше и тут уже у кого на что хватит фантазии. Комбинируйте фарм фанднига и PEPR-ов с пулами, стейкингом и т.д. Тут прям есть где развернуться.

Фандинг на разных биржах сравниваем на Coinglass.

Вот пара советов, когда искать возможности:

Первые дни после листинга — в этот момент часто появляются хорошие возможности для арбитража.
Резкие колебания цен, особенно на тир-3 токенах — чем выше волатильность, тем больше шансов найти перекосы в фандинге.
Крупные разлоки — когда на рынок выбрасывается большое количество токенов, на разных площадках может возникать дисбаланс.
Высокий общий фандинг на рынке — когда в целом на рынке перегретый фандинг (например, во время альтсезона или сильного тренда), шансы найти перекос на разных биржах выше.
Слежка за крупными позициями — если в каком-то токене открыли огромную позицию в лонг/шорт, есть шанс, что на этой бирже фандинг начнет сильно отличаться.

Несколько закономерностей:

Часто, когда запускаются фьючи на Binance, происходит небольшой дамп, и цена там отличается от других фьючей. Однако цена выравнивается всего за несколько минут, поэтому важно заранее держать ликвидность и внимательно следить за этим делом.
Если ищете связку для арбитража фандинга, а токен уже торгуется на фьючах Binance, OKX, Bybit, то шанс найти выгодную арбитражную позицию резко снижается — на топовых биржах фандинг быстро выравнивают. Однако это больше касается новых и мелкокапных токенов. На старых хайкапах, чьи фьючи есть везде, вполне можно находить арбитражные связки.

Токены под арбитраж фандинга ищем не только на биржах, но и на DEX:

Hyperliquid
Backpack
Paradex
И другие, где вы фармите дроп

Вы можете совмещать арбитраж фандинга и фарм дропов от PERP-ов. Если вы активно фармите перпы, то можно заходить в позиции, где по фандингу вы либо выходите в ноль, либо в небольшой плюс, и при этом фармить дропы бесплатно.

Бесплатная приватка, где постоянно кидают колы на все описанные выше схемы.

Все, что нужно криптану

2025-03-05T17:49:44.503Z

Статья, в которой я собрал все инструменты, которые помогут любому криптану, а также все ссылки, которыми вы пользуетесь каждый день. Короче, это статья-закладка, где всё собрано в одном месте, чтобы вы больше не искали ссылку на расширение metamask в своих сохранёнках в Телеграме.

❗ВНИМАНИЕ❗ Я собрал весь материал из статьи и ещё столько же сверху в виде удобного сайта https://web3toolkit.super.site/

В качестве респекта подойдет подписка на меня и прочтение лучшей статьи по безопасности.

Чатик, где я отвечу на все ваши вопросы, возникшие во время прочтения статьи.

Аналитика

Аналитика DeFi, dApps, Chains:

Defilama - это крупнейший DeFi агрегатор данных, который отслеживает TVL, объемы торгов, доходность и другие метрики DeFi-проектов и блокчейнов. Тут можно узнать практически все что касается активов, от самого ликвидного DEX в сети до данных о последних взломах в web3. Там есть просто все что вы можете представить, по данному сайту можно отдельную статью написать. Несколько полезных разделов:

Token Usage – вводите токен и видите, где его можно использовать (Lending, DEX, Derivatives и т. д.).
Yields – поиск фарминга и APY. Настройка "Single Exposure" покажет соло-пулы, а "Stablecoins" – фарминг стейблов. Если рядом с пулом 🪂 – возможен аирдроп.
Borrow Aggregator – сравнение условий займа. Полезно для залога стейблов и взятия ETH или другого актива для фарминга.
Airdrops - какие дропы положены кошельку.

DappRadar - крупнейший агрегатор данных по децентрализованным приложениям, включая NFT, GameFi, SocialFi, а также DeFi. Предоставляет рейтинг популярных dApps, объемы торгов, кол. пользователи и транзакций. В отличие от DeFiLlama, предоставляет больше информацию про dApps (игры, социальные сети, NFT и т. д.).

Dune - это платформа для анализа блокчейн-данных. Кладезь различных дашбордов созданных пользователями с аналитикой по DeFi, dApps и другим криптовалютным данным. На дашборды с этой платформы ссылаются практически все посты с актуальными метриками по проектам.

Coinglass -настоящий кладезь по деривативам,показывает ликвидации в реальном времени, отслеживает открытый интерес, соотношение Long/Short и ставки финансирования.

Рыночные данные

Все ниже перечисленные платформы показывают цены криптовалют, рейтинг токенов и их объемамы торгов, а также показывают историю цен и рыночные метрики. Они отслеживают биржи, их ликвидность. Позволяют создавать и мониторить свой портфель и найти нужный контракт токена.

Coinmarketcap - самый популярный агрегатор с базовыми функциями

CoinGecko - больше DeFi и NFT - метрик в сравнении с Coinmarketcap.

CryptoRank - максимальное количество данных по раундам инвестиций и инвестором, аналитике по фондам и портфелям инвесторов.

Dropstab - аналог CryptoRank, но с большим упором на анализ движения средств.

Мониторинг торгов

Tradingview - самая популярная и мощная платформа для технического анализа и просмотра графиков. Включает огромное количество различных инструментов для тех. анализа.

Dexscreener - дает подробную информацию о торговых парах, ценах и ликвидности на DEX, предназначен для анализа данных о конкретных пулах ликвидности. Можно фильтровать данные по блокчейнам и протоколам.

GMGN - платформа, которая дает посмотреть глубокую ончейн аналитику по активам и выдает свой вердитк на риск скама того того или иного токена. Очень актуально для новых токенов.

Аналитика кошельков

Debank - показывает все активы на кошельке, в том числе в DeFi проколах и историю транзакций.

JupiterPortfolio - лучший аналог Debank для соланы.

Assetdash - еще один аналог Debank для соланы.

Arkham - платформа, для анализа блокчейн данных. Предстваляет из себя мощный инструмент для тех, кто хочет анализировать, как крупные игроки или организации проводят транзакции, а также для выявления подозрительных действий. Если вы научитесь работать с этим инструментом, то сможете находить инсайды в транзакциях определенных кошельков. Гайд по использованию платформы на практике.

Nansen - аналог Arkham.

Боты в телеграм:
Через них вы можете прочекать активность ваших кошельков в проектах и наличие на них дропа, и все это просто по адресу:

Чекер активности и дропов на кошельке от ProMint

Чекер активности и дропов на кошельке от Вишни

Полезные инструменты

Revoke - показывает все ваши апрувы и позволяет их отменить, хотя этот функционал удобнее реализован внутри кошелька Rabby.

Chainlist - добавить любую сеть в кошелек, в том числе и тестовые.

Chaineye - можно посмотреть комиссию на вывод определенного токена на всех биржах. Незаменимая вещь, когда нужно раскидать какой то токен в дорогой сети.

ChatGPT - просто лучшая нейронка, поможет и аппеляцию составить, и выжимку сделает из документации проекта.

Deepseek — китайская альтернатива ChatGPT. Он менее сообразительный и не умеет генерировать изображения, но стабильно работает и не отказывает в извлечении Twitter-токенов из файлов, ссылаясь на на какие то нарушения.

Cointool - поможет раскидать массово токены по кошелькам, проверить кошельки на дроп и массово их сгенерировать.

Remix - поможет развернуть смарт-контракт в пару кликов, полезная штука при отработке проектов, что бы набить лишнюю уникальную активность.

Tweetscout - проверка скора, чем он больше - тем больше качественных подписчиков на аккаунте.

Mempool.space - чекер комиссии в BTC и мониторинг блоков.

Disperse - поможет в одну транзакцию раскинуть токены на множество кошельков.

Trustlabs - чекер активности кошельков в различных сетях.

Dream - бесплатный ии генератор картинок с удобным интерфейсом и без ограничений по количеству.

Cryptopanic - агрегатор крипто новостей.

Coindar - где и когда какой листинг и вообще все основные события. Тут удобно все смотреть в одном месте.

findmybridge - можно посмотреть все доступные варианты бриджей из одной сети в другую

Sms-activate - сервис для подтверждения номера телефона.

Маркетплейсы аккаунтов

Accsmarket

Darkshopping

Прокси

Proxywing (промокод -10%: BAMBINTON)

DCA трекер - показывает, какие крупные DCA-ордера (усреднённые покупки/продажи) проходят в реальном времени, поможет понять куда может пойти цена по щитку.

Coin listing - уведомляет о всех листингах и ключевых апдейтах на биржах.

Агрегаторы крипто каналов

Агрегатор — это канал, который собирает посты из заданного списка других каналов, отсекает рекламу и прочий шлак с помощью фильтров и выдаёт всё в виде репостов в одном месте.

WEB3 AGGREGATOR - самый популярный агрегатор с большим списком отслеживаемых каналов, фильтрами и строгим отбором источников. Парсит много мелких каналов, которые зачастую и оказываются настоящими кладезями альфы. В целом, одного этого агрегатора более чем достаточно, чтобы быть в курсе.

Другие агрегаторы:
Улей
Закрепи.sender
PARSER by NVS
ADEL AGREGATOR
Crypto Blender | Агрегатор
LC Parser

KYC Сервисы

CherryVerify (Вишня)

Секретный KYC Сервис (Секретный тг Макса)

ProKyc (ProMint)

KYC BLOCK (FACK BLOCK RESEARCH)

Обучающий материал

Безопасность в крипте - лучшая статья по безопасности, в которой присутствуют все инструкции по применению описанных там мер защиты.

Фьючи без риска - статья о заработке без лудомании. После прочтения многие, как и я, станут меньше тратить времени на ретро.

Chrome-профиля - гайд по использованию Chrome-профилей вместо антидетекта — и БЕЗ ДОПОЛНИТЕЛЬНЫХ РАСШИРЕНИЙ (ну, почти).

Гайд по мультиаккам - классный видеогайд по мультиаккаунтам.

Крипто почты для Ретро - как за $1 сделать 750 почт, которые не будут отлетать, без зарубежных карт, прокси и прочей ерунды.

Гайд по крипте, по всей крипте от Пирожка)

Гайд по ресерчу

Крипта уровня Advanced

On-chain

Мосты

Агрегаторы мостов

Squidrouter

Jumper

Rango

Агрегаторы DEX

Unidex

Defillama

DEX

ODOS

NFT

Пополнение газом

Gas.zip

Кошельки

Argent X

Премаркеты

SPOT

Kucoin

Bybit

Bitget

WhalesMarket

Премаркеты на PERP(вкладка "Pre-launch" в поиске пар)

Aevo

Hyperliquid

Биржи

Binance

OKX

Bybit

Gate

BingX

KuCoin

Bitget

MEXC

Антидетект

ADS

GeeLark (антидетект для мобилок)

Софтики

ProClub - подписка за $75 в месяц, которая даёт доступ ко всем софтам и закрытым чатам с альфой.

CherrySoft - конкурент ProClub с той же ценой и подходом.

Канала, которые советую почитать

💰 Alpha 💰

В этой папке вы найдете:
Несколько небольших каналов в которых часто можно увидеть альфу, которую не подсветят крупные каналы.
Два канала (ALPHA HUNTERS и Coin Case), где удобно смотреть апдейты по всем проектам.
Один канал (Bit.Future), где автор подробно расписывает метрики по популрным проектам.
Обратите особое внимание на группу ₿eater|ecosystem Alpha, а особенно на ветку ₿EATER LIVE. Это ветка фактически бесплатная приватка, где информации не меньше, а может даже и больше, чем в платных.

Список каналов из папки:

₿RAIN | ТА КРИПТА

₿eater | ecosystem Alpha

OG.Retro

Coin Case

Bit.Future

ⱭLPHⱭ HUNTΞRS

Воркаю , мечтаю

RICH CRYPTO BITCH

AUSLANDERIZATION

Gemvision

HVRSH on the base | #Vers

Brain Inc.

Hanzo

ALTMANN

Dandelion

Безопасность в крипте

2025-02-01T13:28:35.132Z

Это лучшая статья по безопасности в Web3 на русском

Вырази респект и подпишись на автора, который потратил на написание этой статьи 3 месяца. А бонусом — помимо инфы по ретро — в канале всегда будут разборы свежих скам-схем и способы защиты от них. Так что подписка — один из пунктов безопасности этой статьи.

Чатик, где я отвечу на все ваши вопросы.

Все ссылки из данной статьи удобно собраны тут: https://web3toolkit.super.site/safety

Спасибо всем авторам, кто делится своими знаниями в сфере безопасности, особенно в крипте, я многое у вас почерпнул и изложил в данной статье.

Я искренне убежден, что любая информация по безопасности должна быть общедоступной и распространяться на наибольшее количество людей. Чем проще взломать большинство людей в этой сфере - тем более лакомым кусочком становится эта ниша для киберпреступников, и как следствие - приводит к увеличению рисков для всех нас.

Вступление

В этой статье я постарался собрать все известные мне меры защиты. Однако это не означает, что я использую их все сам или рекомендую применять их всем.

Я советую сначала внимательно прочитать статью целиком, а затем обдумать, какие из предложенных методов подходят именно для вашей ситуации.

После прочтения вы сможете принять осознанное решение о том, стоит ли полностью переустанавливать систему и настраивать её с нуля. Если у вас есть сомнения по этому поводу, рекомендую взвесить все за и против перед принятием решения.

Самая важная часть

В вопросе безопасности важно найти баланс: чем выше уровень защиты, тем сложнее становится работать с системой. ⚖️ Помните, чем чаще вы видите системные предупреждения или запросы на ввод пароля, тем выше риск того, что вы однажды введёте пароль в фишинговое окно, которое появится совершенно не к месту (привет, macOS, которая не видит в таких окнах проблемы 👋).

Любое необычное поведение устройства — предупреждение, внезапное окно или запрос пароля — должно стать для вас красной тряпкой. Остановитесь на секунду и подумайте, что могло привести к этому. Если вы не понимаете, что и зачем требует от вас пароль, не вводите его! Сделайте следующее:

Отключите интернет.
Проанализируйте ситуацию: вспомните, какие программы вы запускали, какие файлы скачивали или изменения вносили в систему.
Проверьте журналы активности.
Проведите сканирование системы антивирусом или специализированным софтом для поиска угроз.

Если вы почитаете информацию на тему взломов корпораций, то вы не увидите там брутфорса пароля от самой главной супер-мега-админки. Вместо этого вы увидите картинку в сообщении на почте, которую секретарша открыла с рабочего компьютера.

Пожалуйста, запомните: вас не защитит никакой фаервол, если вы сами разрешите подключение с вашего устройства, через которое унесут ваши приватные данные. Станьте параноиками, не доверяйте никому и ничему. Вы тут заяц в волчьем логове, и у вас есть только ушки, которые должны быть на макушке. 🦊

Блок минимальной безопаснсоти

Социальная инженерия и личная осторожность

Не буду повторяться по очевидным вопросам, поэтому тезисно:

Не переходите по ссылкам, которые получили не из официальных или доверенных источников.
Не доверяйте никому, даже если вы полгода общаетесь с человеком, знаете его адрес, группу крови и размер полового органа. Множество случаев, когда скамер месяцами втирался в доверие.
Не раскрывайте свои личные данные и не рассказывайте о своих мерах защиты, чтобы не упростить целевую атаку на вас.
Не открывайте файлы, картинки, PDF-документы, Excel-таблицы и т. д., которые вам кто-то прислал. Не подключайте чужие флешки и другие устройства к своему рабочему компьютеру.
Не спешите переходить по ссылке, даже если она из официального источника. Пусть те, кто не могут ждать, возьмут удар на себя, если источник оказался взломан.
Не используйте чекеры, генераторы и сайты для массовой рассылки токенов и т. д. Даже если сайт кажется надежным, никто не застрахован от его взлома.
Забудьте про поиск в браузере. Мы им не пользуемся, а тем более не переходим по ссылкам из поисковой выдачи. Есть много способов вывести фишинговый сайт выше оригинала.
Все сайты, которые вы используете, после проверки через VirusTotal, должны попасть в закладки. И только из них переходите на сайты. 🌐
ВСЕ, абсолютно все ссылки и файлы проверяйте, даже если они с google.com. Проверяйте через вашего лучшего друга — VirusTotal. Он должен первым проверять все ссылки, файлы, IP-адреса и хэши файлов, а затем выдавать вам вердикт. ⚠️ Ложные срабатывания в 1-2 сервисах возможны, но если вы видите 10/94 — пора волноваться.

Важно! Не загружайте в VirusTotal приватные файлы — все, что вы загружаете туда, становится публичным!

Пароли

Сколько можно повторять эту мантру: делайте сложные пароли, делайте длинные пароли, не храните пароли где попало? Но, увы, большинству на всё это наплевать…

Давайте, я расскажу, зачем это важно. 🔍

Мы создаём длинный пароль из 20+ символов, чтобы, если стиллер украдёт кэш вашего браузера и зашифрованные тома, подобрать к ним пароль методом перебора было невозможно. Таким образом, мы разделяем ваше самое сокровенное на две части: кэш и пароль. Одно без другого бесполезно, и потерять сразу две части пазла будет гораздо сложнее. 🧩

Мы используем спецсимволы, буквы обоих регистров и цифры, чтобы максимально увеличить количество возможных комбинаций. Немного о математике:

Энтропия — это мера неопределенности системы, то есть чем выше энтропия, тем сложнее угадать конкретный вариант.

Вот зачем вам это нужно знать:

Пароль из 10 цифр — энтропия 30 бит. 🔢
Пароль из 20 цифр — энтропия 60 бит. 🔢
Пароль из 20 символов (цифры, буквы обоих регистров, спецсимволы) — энтропия 120 бит. 🔠
Пароль из 40 символов (цифры, буквы обоих регистров, спецсимволы) — энтропия 250 бит. 🔐

Длина ключа (пароля) в 128 бит считается минимальным уровнем безопасности в шифровании, а 256 бит — стандартом высокого класса. 128-битное шифрование имеет 2^128 комбинаций ключей.

Разные пароли важны, чтобы, даже если мы потеряем обе части пазла, ключи открывали не все наши расширения с приватниками, зашифрованные тома и соцсети, а только их часть.

Из всего этого можно сделать вывод, что пароли нужно генерировать только в менеджере паролей и делать их очень длинными, сложными и разнообразными.

Хранение приватной информации

Помимо всех описанных далее методов защиты, вы также должны разделять информацию по принципу частоты обращения к ней и хранить её в разных местах.

Давайте рассмотрим на примере:

В первом зашифрованном томе у вас хранятся различные таблицы и текстовые файлы для ведения статистики, скрипты и т.д. Суть здесь в том, что данный том будет постоянно смонтирован, то есть открыт, и в нём должна храниться информация, к которой вы должны иметь доступ постоянно.
Во втором томе хранятся ваши пароли от кошельков, бирж, почт и т.д. Этот том тоже может быть постоянно смонтирован, если внутри него данные хранятся в менеджере паролей.
Третий том — самый важный. Здесь хранятся ваши приватные ключи и сид фразы. Этот том монтируется в системе крайне редко, и лучше, если он будет храниться на нескольких флешках, а не на компьютере, чтобы снизить риски.

У вас может быть хоть 20 томов, если вы посчитаете, что это необходимо, но минимумом я считаю три, разделённые по данному типу.

Дальше — подробнее о том, что и как мы храним… 📚

Создание зашифрованных разделов

Для создания тех самых зашифрованных томов используем программу Veracrypt.

Вот подробный гайд и пара нюансов:

Создавайте тома больших размеров (50-100 ГБ), если это возможно. Эта мера усложнит взаимодействие зловредов с этими томами, так как код многих скам-скриптов достаточно примитивен. Они будут испытывать трудности при работе с такими большими файлами, особенно если зловред попытается скачать весь том целиком.
Создавайте тома в формате NTFS, если хотите настраивать права доступа в Windows к файлам. Подробнее об этом в разделе "Настройка Windows". ⚙️
На Mac придерживаемся тех же принципов. Единственным отличием будет то, что вместо Veracrypt мы можем использовать встроенную утилиту macOS для создания зашифрованных томов. Гайд по ее использованию.

При работе с VeraCrypt на Mac есть свои трудности, и я не вижу особого смысла отказываться от встроенных методов создания зашифрованных томов.

Менеджеры паролей

Менеджеры паролей служат для удобного хранения приватной информации в зашифрованном виде. Их существует множество, как платных, так и бесплатных, и иногда они идут в комплекте с антивирусами. Я всем рекомендую KeepassXC — это бесплатное приложение, без облачной синхронизации, с открытым исходным кодом, который тщательно изучают эксперты по безопасности по всему миру.

Вот подробный гайд и пара нюансов:

Устанавливайте минимальное комфортное время очистки буфера обмена и блокировки базы. 🧹 Это важно, чтобы после использования пароля, он не оставался в буфере обмена и не мог быть перехвачен сторонними приложениями.
При работе с базой, к которой вы постоянно обращаетесь, включите разблокировку по отпечатку пальца (в приоритете) или пин-коду. Это позволит вам не вводить длинный пароль от базы, когда она автоматически заблокируется. 🔒 Это не только ускоряет работу, но и повышает уровень безопасности.
Хорошим дополнением к паролю будет аппаратный ключ, такой как YubiKey 5. 🛡️ Без физического наличия этого ключа вашу базу не смогут открыть. Аппаратный ключ — это дополнительный уровень защиты, который требует физического подтверждения для доступа. Подробнее о аппаратных ключах читайте в разделе "Безопасность".

Взаимодействие с приватной информацией

Существует неочевидная проблема с доставкой информации до потребителя, будь то пароль от MetaMask или таблица приватных ключей для запуска софта.

Проблема заключается в буфере обмена, который может мониторить зловредный код. Особенно это актуально для Windows.

В macOS всплывает уведомление, если приложение запрашивает данные из буфера обмена. Также благодаря более строгой политике доступа к API и ограничениям для приложений, зловреду сложнее получить доступ к буферу обмена без ведома пользователя. Сервис SIP (System Integrity Protection) в macOS защищает Clipboard API, через который приложениям предоставляется доступ к буферу обмена. Даже если злоумышленник получит root-доступ, SIP предотвращает изменение защищённых файлов и процессов.
Windows предоставляет открытый доступ к Clipboard API, что делает буфер обмена менее безопасным. Системных уведомлений о том, что приложение получает данные из буфера обмена, нет. Это делает систему уязвимой для атак через злоумышленников, которые могут получить доступ к буферу обмена, не уведомляя пользователя.

Рекомендации для безопасного ввода приватной информации 💡

Там, где это возможно, не используйте буфер обмена для передачи приватной информации, а используйте безопасный ввод в менеджерах паролей.
Для Windows есть приложения, которые помогают защищать буфер обмена, которые могут работать в дополнение к вашему антивирусу. Они могут мониторить буфер обмена на предмет попыток нежелательного доступа и защищать вас от утечек данных.

Меры при работе с данными максимальной важности ⚠️

Перед началом работы с важными данными (например, ввод сид-фраз для вашей фермы) просканируйте систему антивирусом, который у вас установлен. Лучше сделать это в безопасном режиме, а также используйте антивирус, который не требует установки, для дополнительной проверки.
Включите режим максимальной безопасности, если такой имеется в вашем антивирусе и программах защиты системы. Это может включать блокировку ненадежных приложений и усиленную проверку всех процессов.
Отключите интернет на время работы с важными данными. Это предотвратит удалённый доступ к вашему устройству.
Расшифровывайте информацию только после выполнения этих шагов.
После работы с данными перезагрузите устройство. Это поможет завершить все процессы и защитить вас от возможных угроз.

Рекомендации для macOS 🍏

При вводе данных максимальной важности на macOS рекомендуется дополнительно включить "Режим блокировки", который можно найти в разделе Конфиденциальность и безопасность → Дополнительно. Эта мера обеспечит дополнительный уровень защиты вашей системы.

Почему режим блокировки полезен в таких случаях:

Ограничение сетевых угроз:
Режим блокировки отключает множество функций, таких как подключение неизвестных устройств, а также некоторые сетевые возможности.
Снижение риска перехвата данных:
При активации блокируются сторонние шрифты и сокращается количество фоново работающих процессов, которые могут получить доступ к буферу обмена или активному окну.
Защита от уязвимостей браузера:
Режим блокировки усиливает безопасность браузера и снижает вероятность успешной эксплуатации уязвимостей.

Опасные программы и расширения

Следите за тем, чтобы все программы на вашем компьютере своевременно обновлялись — это одно из основных правил безопасности.

⚠️ Компания никогда не будет вам писать в уведомлении об обновлениях, что они закрыли уязвимость, которая может дать злоумышленникам доступ к вашему устройству. Особенно это актуально для программ с открытым исходным кодом, где с каждым обновлением публикуются гайды с перечнем уязвимостей, которые были найдены в старой версии и закрыты в новой.

Telegram

Telegram может быть одной из самых опасных программ для вашей безопасности, так как является одной из основных платформ, где активно действуют скамеры. Кроме того, после установки приложения оно автоматически включает автозагрузку файлов, что создаёт серьёзную уязвимость.

Если эта функция не отключена, ваш компьютер будет автоматически загружать файлы из чатов, групп и каналов. Можете сами подумать, что вам могут подгрузить в таких публичных чатах.

По возможности не используйте Telegram на рабочем компьютере.

Как отключить автозагрузку файлов в Telegram:

Перейдите в Настройки.
Откройте Продвинутые настройки.
Найдите раздел Автозагрузка медиа.
Отключите автозагрузку во всех категориях:

В личных чатах
В группах
В каналах

Microsoft Office

Перенесите автосохранение с диска C: на зашифрованный контейнер (постоянно смонтированный том с наименьшим приоритетом по безопасности)..
Никогда не включайте макросы в чужих документах, даже если программа предлагает их установить. Это один из распространённых способов распространения вредоносного ПО. 🦠
Выключите облачной синхронизацию.

По поводу остальной гадости в вашей системе:

Главное правило: если программа или расширение не являются жизненно необходимыми, то они потенциально вредные.

Все программы, которые мы используем, должны быть скачаны только с официальных сайтов и активированы купленным ключом. В интернете существует множество площадок, где ключи можно купить за копейки.

Каждое лишнее расширение или программа - потенциальная угроза, которая может проявиться в любой момент.

Зловред может быть вшит в приложение с один из обновлений, если будет взломан разработчик. Или будет найдена ранее не известная уязвимость.
Расширения браузера, могут быть заражены или иметь уязвимости.

Пример: Приложение Lightshot стало известным после того, как в одной из версий был вшит троян, который был распознаны только позднее.

Расширения браузера: опасности ⚠️

В настоящее время около 12,5% (17,3 тыс.) расширений имеют необходимые разрешения для извлечения конфиденциальной информации на всех веб-страницах. Примером таких расширений являются AdBlockPlus и Honey.

Также около 33,6% (46,4 тыс.) расширений имеют доступ к конфиденциальной информации хотя бы на одном сайте.

Что это значит? Читайте подробнее в блоке "Безобидный чекер для ZK — сибилов" или в статье, которая описывает это подробнее.

Рекомендации:

Устанавливаем только самые необходимые расширения.
Если вы редко пользуетесь каким-либо расширением, выключайте его. Это минимизирует риски.
Перед установкой любого файла желательно проверяйте его хэш-сумму и убедитесь, что файл не был изменён.
Обязательно проверяйте все файлы через VirusTotal. Это поможет обнаружить возможные угрозы до того, как файл будет установлен на вашем устройстве.

Антивирусы

Антивирусы. Нам нужны антивирусы, которые включают модуль защиты буфера обмена, и как бы это не было странно, но на обоих системах это одни и те же кандидаты.

✅ Лучшие варианты:

👍 Хорошие альтернативы:

⚠️ Важно: Многие антивирусы прекратили работу в России, поэтому для их нормального функционирования может понадобиться VPN.

Настройка и дополнительная защита

Включите автоматическое периодическое сканирование

Настройте антивирус так, чтобы он регулярно сканировал систему, желательно в безопасном режиме.
Это поможет обнаружить вредоносное ПО, которое может активироваться только при определенных условиях.

Дополнительный антивирусный сканер

Помимо основного антивируса, рекомендуется использовать портативный антивирусный сканер, который не требует установки.
Он позволит провести независимую проверку системы, повышая уровень защиты.

🔍 Список рекомендуемых сканеров

Ваш антивирус скорее всего будет иметь функцию сканирования системы на наличие уязвимостей. Применяйте все настройки что он предлагает.

Настройки антидетект браузера (для ADS)

Установка расширений

Не используем массовую установку расширений в профили.
Не используем встроенный магазин расширений.
Все расширения ставим вручную в каждый профиль как в обычном Chrome (по прямой ссылке из официального магазина).

Отключение синхронизации и облачных данных

Отключаем все виды синхронизации: Настройки ⟶ Глобальные настройки ⟶ Синхронизация данных.
Удаляем из облака все синхронизированные данные: Выделяем все профиля ⟶ Нажимаем три точки в меню взаимодействия с профилями ⟶ Очистить кэш ⟶ Выбираем все типы данных и расположение в облаке

Безопасность профилей

Отключаем загрузку видео: Настройки ⟶ Глобальные настройки ⟶ Отключить загрузку видео.
Включаем безопасный доступ: Настройки ⟶ Глобальные настройки ⟶ Безопасный доступ.

Безопасность аккаунта

Настройки→ Глобальные настройки → Безопасность аккаунта
✅ Включаем:
Напоминание о входе удаленно.
Оповещение о неудачных попытках входа в систему.
Двухфакторную аутентификацию (2FA).
Уровень аутентификации: Высокий.

Обновления 🔄

Переодически обновляйте ядро браузера всех профилей:
Выделяем все профили → Меню (три точки) → Отпечаток → Изменить UA / ядро → Обновить ядро браузера и применяем.
Следите за актуальностью версии программы, патча и ядра:
Настройки → Локальные настройки → Информация о версии.

Все пункты должны отображать "Это последняя версия".

Автообновление ❓

Не могу рекомендовать включение автообновления, так как в контексте ADS это может не повысить, а наоборот снизить безопасность.
Команда данного браузера уже показала сомнительное отношение к защите доступа к своим серверам.

Если вы работаете с сотрудниками

Вы заходите и логинитесь в аккаунт сотрудника с урезанными правами.
Вы сами вводите пароли от кошельков.
Сотрудник получает только доступ к серверу и не знает паролей, что предотвращает утечку сид-фраз.
Используйте аналоги расширений без возможности экспорта сид-фразы.

Дополнительная безопасность

Работайте сами не под администратором

Создайте дополнительного пользователя для себя и максимально понизьте ему права.
Это могло спасти некоторых пользователей при взломе ADS, так как их сотрудники не могли устанавливать расширения → скамеры не смогли подменить расширения.

Почему нельзя использовать синхронизацию?

💀 Если злоумышленники взломают серверы антидетект-браузера, то:

Они смогут украсть все ваши профили.
Они смогут залить в облако вредоносный код, который автоматически скачается на ваш компьютер при следующей синхронизации.

Настройки Google Chrome/Chrome профилей в антидетект

Обязательные настройки ⚠️:

Включаем "Перед скачиванием спрашивать, куда сохранить файл": chrome://settings/downloads
Включаем "Улучшенная защита": chrome://settings/security
Запрещаем сайтам доступ к нашему буферу обмена: chrome://settings/content/clipboard

Рекомендуемые настройки:

Отключаем разрешение на вход в Chrome: chrome://settings/syncSetup
Выключаем все, что связанно с сохранением данных об оплате: chrome://settings/payments
Отключаем все, что связанно с автосохранением паролей: chrome://password-manager/settings

Дополнительно:

Включите запуск с пустой вкладки: chrome://settings/onStartup
Как минимум закрывайте все лишние вкладки перед выходом.

Правильно храним криптy

Как и в любой финансовой системе, главное правило – диверсификация. Не стоит хранить все средства даже на холодном кошельке. Оптимальная стратегия распределения:

🔥 Горячие кошельки (наименьшая часть средств)

Частые транзакции
Работа со скриптами

❄️ Холодные кошельки через интерфейс горячего кошелька (примерно 1/3 средств)

Используем, если нужно постоянно держать средства на балансе
Удобно и безопасно для участия в активности, где требуется постоянный депозит
Защищаем аппаратным кошельком (Ledger, Trezor)

🔒 Основной холодный / мультисиг кошелек (наибольшая часть средств)

Храним основные активы
Используем в фарминге ликвидностью
Минимальное количество адресов, поэтому удобство подписания неважно
Самая защищенная часть портфеля.

Горячие кошельки 🔥

😎 Рассказывать вам, что такое Metamask, я не буду, но пару слов, честно, скажу...

Мало кто задумывался, что такое сид-фраза. По сути, это одно из возможных представлений вашего мастер-ключа, который изначально представляет собой набор случайных чисел, закодированных в виде 256-битного числа (64 символа в HEX-формате). Мастер-ключ может быть представлен по-разному: в виде QR-кода, зашифрованного файла и других форматов — всё это сделано для удобства пользователя.

Но вот нюанс: алгоритмы генерации ключей могут отличаться. От использования обычных библиотек (к счастью, это уже история), до алгоритмов, которые учитывают даже температуру и давление, зафиксированные датчиками холодного кошелька в момент генерации фразы.

Если алгоритм был дырявым и генерировал приватные ключи со сниженной энтропией, то ваш кошелек могут подобрать методом перебора, просто пройдясь по всему диапазону слабых ключей.

Ох… Какое длинное получилось предисловие. 😅

Вывод: Генерируйте сид-фразу только проверенными методами. Никаких сервисов массовой генерации или "новомодных" кошельков. Один из надежных вариантов — Metamask.

Дополнительная проблема с малоизвестными кошельками в том, что даже если вы не генерируете в них сид-фразу, само расширение может быть уязвимым. Уже были случаи, когда злоумышленники получали доступ к сид-фразе из-за уязвимости кошелька.

Вывод: Не пихайте свою сид-фразу куда попало.

Холодные кошельки ❄️

Холодный кошелек — это криптовалютный кошелек, который хранит приватные ключи офлайн, то есть без постоянного подключения к интернету. Это делает его максимально защищенным от взломов, фишинга и вирусов.

Тезисно:

Покупайте только у проверенных продавцов или в крупных сетях.
Убедитесь, что никто не вскрывал упаковку до вас, обычно на таких устройствах отрывные пломбы или что то в этом роде.
Первым делом проверьте подлинность кошелька и обновите прошивку, вся информация будет на официальном сайте.
Посмотрите подробный гайд по вашей моделе кошелька.
После активации кошелька и создании сид-фразы пройдитесь по всем настройкам и возможностям кошелька. Вы должны понимать все его функции и настройки.
После всего выше перечисленного сбросьте кошелек до заводских настроек.
Пользуйтесь кошельком)

Холодный кошелек в связке с Rabby/Metamask ❄️ 🔥

Эта связка — золотая середина между удобством и безопасностью. Суть проста: вы продолжаете использовать Metamask или Rabby, но подключаете к ним холодный кошелек с поддержкой мультиадресов.

Как это работает?
При инициализации транзакции на любом из ваших кошельков вам потребуется физическое подтверждение на холодном кошельке. У каждого профиля будет свой адрес, но все адреса будут привязаны к одной сид-фразе, которая надежно хранится на аппаратном устройстве.

✅ Плюсы такой схемы:

Безопасность: Даже если злоумышленники получат все ваши пароли и доступ к ПК через удаленный рабочий стол, сид-фраза останется у вас, так как она никогда не покидает защищенный чип холодного кошелька.
Ограниченные риски: Максимум, что можно сделать — подписать скам-транзакцию или дать фулл-апрув на активы. Но это коснется только конкретного кошелька, а не всей вашей фермы.

⚠️ Важно: Не каждый аппаратный кошелек удобен для активной работы с большим количеством адресов. Вам нужно от холодного кошелька:

Скорость и удобство подписания транзакций.
Возможность работы с множеством адресов.
Простоту переключения между адресами.
Совместимость с Rabby и Metamask.
Поддержку разных сетей и возможность добавлять кастомные сети.

Поверьте, когда нужно подписывать 100+ транзакций в день, каждая лишняя секунда задержки ощущается как вечность

Какой холодный кошелек выбрать?

🥇 Лучший вариант — Ledger.

Но есть нюанс: у Ledger есть функция Ledger Recovery, которая позволяет восстановить сид-фразу через зашифрованное облачное хранилище. Чтобы ее активировать, нужно оформить подписку $10/мес, использовать официальное приложение и подписать сообщение на самом кошельке. Хотя система вроде бы защищена, техническая возможность извлечения сид-фразы существует, что может вызывать вопросы у параноиков 🧐

🥈 Альтернативный вариант —Trezor Model T.
Если Ledger вам не подходит, Trezor Model T — единственная достойная альтернатива. Но все же уступает в удобстве и скорости Ledger. Остальные кошельки, которые я пробовал, сильно ограничены в работе с большим количеством адресов, но возможно есть еще подходящие модели.

Gnosis Safe / мультисиг-кошелек ❄️ ❄️

Этот способ хранения активов самый безопасный, но при этом неудобный для быстрого взаимодействия с вашими средствами. Он отлично подходит именно для хранения значительных сумм.

Мультисиг кошелек - это криптовалютный кошелек, который требует подтверждения нескольких ключей (подписей) для выполнения транзакций.

Как это работает?

Создается смарт контракт, с определенными параметрами по взаимодействию с ним, а именно: сколько всего адресов нужно для подписания транзакции, и сколько адресов будут обладать этим правом.
Для отправки средств или любой другой транзакции требуется несколько подписей (например, 2 из 3 или 3 из 5).
Вы можете сделать три кошелька на трех разных устройствах, и пока вы не подпишете транзакцию на всех этих кошельках, средства на вашем смарт-контракт не сдвинуться с места.
Все это повышает безопасность, т.к. потребуется доступ ко всем вашим устройствам, с которых необходимо подписывать транзакцию.

Вот хороший видеогайд по Gnosis Safe.

Windows

Если у вас возникли сомнения в безопасности устройства после прочтения этой статьи, я рекомендую выполнить чистую установку системы.

Чистая установка системы

Скачиваем windows с офф источника и создаем установочный носитель, потребуется VPN.
Перед установкой форматируем весь диск. Если у вас есть файлы, которые вам нужно сохранить на вашем рабочем компьютере, то скиньте их на флэшку, и потом просканируйте ее антивирусом.
Все не важные файлы (фотографии, фильмы и т.д.), перенесите куда нибудь. На рабочем устройстве - только необходимые файлы.
При установке системы создаем локального пользователя. Для этого на время установки отключите интернет, и когда вы дойдете до окна "Давайте подключим вас к сети" нажмите Shift+F10 и в терминале введите oobe\bypassnro.

Настройка системы

Работать необходимо только через дополнительного пользователя без прав администратора. На windows работа из под админки открывает целый спектр уязвимостей, так что этого делать категорически нельзя.

Не забывайте ставить сложный пароль как для учетной записи администратора, так и для той, с которой будете работать. Если есть возможность добавить отпечаток пальца — делай это, так будет безопаснее и удобнее.

1. Устанавливаем требование выполнить повторный вход при выходе из спящего режима: Учетные записи → Варианты входа → Устанавливаем "Время выхода компьютера из спящего режима" в разделе "Дополнительные параметры".

2. Создайте дополнительного пользователя без прав администратора. Это можно сделать через: Учетные записи → Другие пользователи → Добавить учетную запись.

3. Устанавливаем минимальное комфортное время погружения компьютера в спящий режим: Система → Питание → Время ожидания экрана, спящего режима и гибернации.

4. Удаляем OneDrive.

5. Заходим в следующие настройки: Сеть и интернет → Дополнительные сетевые параметры → Дополнительные параметры общего доступа.

В разделах "Частные и общественные сети" выключаем сетевое обнаружен и общий доступ к файлам и принтерам.
В разделе Все сети отключаем доступ к общедоступным папкам, ставим 128-битное шифрование, включаем общий доступ с парольной защитой.

6. Проверяем что бы, тип сетевого профиля у вашего интернет подключения стоял - "Общедоступная сеть".

7. Установите антивирус и другие программы для защиты, которые вы посчитаете необходимыми. К другим программам относятся:

Keyscrambler - шифрует вводимые данные c клавиатуры. Поможет в случае, если зловред уже пробрался на ваш компьютер. Он не сможет считать вводимые данные с вашей клавиатуры, и тем самым узнать ваши пароли или другую приватную информацию, т.к. благодаря Keyscrambler получит абсолютно не те символы которые вы вводили. Учтите, что работает не со всеми программами.
Spyshelter - является программой защиты, которая дополняет ваш антивирус и нацелена на защиту от атак нулевого дня. В частности на защиту от постороннего доступа к вашей камере, микрофону, буферу обмена и т.д.

8. Переходим в раздел: Конфиденциальность → Безопасность Windows.

В разделе "Защита учетных записей" просто подтвердите, что у вас локальная учетная запись, что бы не горело предупреждение.
В разделе Безопасность устройства → Изоляция ядар: включаем все пункты.
✅ Проверяем, что бы все галочки были зеленого цвета, если есть красные или желтые - включите то, что вам предлагает Windows.

9. Выключаем журнал буфера обмена: Система → Буфер обмена.

10. Проверяем, что бы было выключено подключение по удаленному рабочему столу: Система → Удаленный рабочий стол.

11. Отключаем загрузку с других устройств: Центр обновления Windows → Дополнительные параметры → Оптимизация доставки.

12. Отключаем обмен с устройствами поблизости: Система → Обмен с устройствами по близости.

13. Bluetooth и WI-FI лучше не использовать.

14. Включаем BitLocker для шифрования локальных дисков: Конфиденциальность и защита → Безопасность Windows → Безопасность устройств → Управление шифрованием диска BitLocker

Дополнительная защита

Ограничение доступа к отдельным файлам

Вы можете ограничить доступ к важным папкам и томам для всех, кроме администратора. Это усложнит жизнь скамерам, ведь для взаимодействия с защищёнными файлами им понадобятся админ-права (ну и вам тоже надо будет вводить пароль администратора).

Настраиваем в Свойствах → Безопасность

Учтите, что для получения доступа к файлам, которые открываются через программу (такие как: keepass, veracrypt), необходимо запустить эту самую программу от имени администратора.
Что бы ограничить права доступа к тому, смонтированному через Veracrypt, нужно монтировать его в формате NTFS.

Мониторим автозапуск в Autoruns

Это инструмент от Microsoft, который показывает всё, что стартует при запуске Windows (включая скрытые процессы) и позволяет их отключить, а так же проверить через VirusTotal.

Основные возможности Autoruns:

Показ всех автозапускаемых программ – в отличие от стандартного диспетчера задач, утилита показывает не только программы, но и скрытые процессы, драйверы, службы и расширения.
Обнаружение вредоносного ПО – если вирус прописался в автозапуск, его можно найти и отключить.
Анализ автозагрузки браузеров – показывает, какие расширения и плагины загружаются при запуске.
Проверка цифровых подписей – позволяет убедиться, что программы от надежных источников.

С помощью этой программы вы можете в ручном режиме проверять свой автозапуск на наличие какой то гадости, а встроенная функция анализа через VirusTotal - просто имба. Так же вы можете делать снимки системы, и сравнивать их, что бы понять что поменялась после тех или иных действий.

Window на замке / тотальный Firewall с Windows Firewall Control

Данное решение по безопасности является невероятно мощной защитой, но только если ей правильно пользоваться, и всем рекомендовать я его не буду.

Как работает?

Отключаем автоматический сетевой экран антивируса.
Каждое новое соединение будет требовать вашего подтверждения.
Если программа хочет в интернет – вам решать, пускать её или нет.

⚠️ Еще раз: вы ОТКЛЮЧАЕТЕ свой сетевой экран, и сами будете выдавать разрешения, вы можете своими руками выдать разрешение какому то зловреду, который унесет вашу сид-фразу по неизвестному адресу. Firewall лишь выдаст окно с информацией по подключению и вариантами действий.

Оставляю вам гайд по настройке данного инструмента.

Mac

Настройка системы

⚠️ Перед использованием Mac, будь то после покупки или если у вас возникли сомнения в безопасности устройства после прочтения этой статьи, я рекомендую выполнить сброс к заводским настройкам. Сделать это просто: Основные → Перенос или сброс → Стереть контент и настройки.

Далее, перед тем как настраивать систему, советую выполнить несколько важных шагов:

Создайте дополнительного пользователя без прав администратора, под которым вы будете работать. Это можно сделать через Пользователи и группы → Добавить пользователя.
Убедитесь, что у ваших учетных записей (и администратора, и обычного пользователя) установлены сложные пароли. Особенно важно обеспечить безопасность для учетной записи администратора.

Настройки а macOS очень интуитивны, в них удобно ориентировать по поиску, разобраться в них можно даже без гайда. Пройдемся по всем вкладкам, которые нам важны:

1. Wi-Fi

Если есть возможность, откажитесь от использования Wi-Fi, так как это закроет часть возможных уязвимостей.
Отключите опции "Запрос на подключение" и "Спрашивать о подключении к точкам доступа".
В разделе "Дополнительно" активируйте все пункты, которые требуют авторизации администратора при изменении настроек.

2. Bluetooth

По возможности не используйте Bluetooth — это также минимизирует потенциальные риски.

3. Сеть

Отключите мост Thunderbolt.
Включите брандмауэр и активируйте режим невидимости (находится в разделе "Параметры").

4. Основные настройки

4.1. Обновление ПО

Нажмите на значок подсказки рядом с "Ответы на угрозы" и активируйте все доступные пункты.

4.2 Airdrop и Handoff

Отключаем Handoff.
Настраиваем AirDrop. По умолчанию выставляем режим "Никому".
Отключаем ресивер AirPlay.
Разрешаем AirPlay только текущему пользователю.
Включаем запрос пароля. Включите настройку "Запрашивать пароль" для подключения.

4.3. Автозаполнение и пароли

Отключите автозаполнение паролей и ключей входа.

4.4. Общий доступ

Убедитесь, что все службы в этом разделе отключены.

4.5. Объекты входа и расширения

Здесь можно посмотреть, какие программы автоматически запускаются при входе в систему и работают в фоновом режиме. Если обнаружите что-то лишнее, отключите. Оставляйте только то, что действительно нужно.

5. Дисплей

Настройте минимальное комфортное для вас время выключения дисплея и запроса пароля после его отключения.

6. Конфиденциальность и безопасность

Проверьте, какие программы имеют доступ к вашей системе. Если видите где-то цифру, отличную от нуля, убедитесь, что доверяете этим приложениям.

6.1. Безопасность

Установите "Спрашивать для новых устройств" напротив пункта "Разрешить подключение аксессуаров".
Включите FileVault для шифрования данных на диске.

6.2. Дополнительно

Активируйте настройку "Запрашивать пароль администратора для доступа к системным настройкам".

7. Touch ID и пароль

Добавьте отпечаток пальца для удобной разблокировки устройства.
Включите только пункт "Использовать Touch ID для разблокировки Mac".

ПО для защиты

Следующий софт представлен некоммерческой организацией Objective-See, является бесплатным и имеет открытый исходный код. С полным списком их продуктов можно ознакомиться тут. Вот несколько самых интересных приложений:

1️⃣ LuLu — брандмауэр, с помощью которого можно контролировать исходящие соединения вручную. При новом исходящем соединении появится предупреждение с информацией о соединении и возможностью его разрешить или заблокировать. Даже если ваше устройство будет скомпрометировано, но вы не дадите зловреду выйти в сеть — ваши приватные данные не покинут устройство.

2️⃣ KnockKnock — с помощью этой программы можно провести сканирование системы на существующие в ней закрепленные компоненты. Если в системе засел зловред с функцией автозагрузки — скорее всего, он будет отображен.

3️⃣ BlockBlock — работает по схожему принципу с KnockKnock, но замечает изменения в файлах автозагрузки в реальном времени и сразу выдает предупреждения. 🔒

4️⃣ What's Your Sign? — предназначена для проверки подписи файла.

Блок дополнительной безопасности

DNS

DNS (Domain Name System) — это "телефонная книга интернета". Оно переводит понятные человеку адреса сайтов (например, example.com) в IP-адреса (например, 192.0.2.1), которые нужны устройствам для подключения к серверам.

⚠️Чем опасен стандартный DNS?

Прозрачность: Стандартный DNS от интернет-провайдера передает запросы в нешифрованном виде, позволяя провайдеру и всем кто перехватит трафик видеть, какие сайты вы посещаете и иметь возможность подменить их.
Отсутствие фильтрации: Стандартный DNS не защищает от фишинговых сайтов, вредоносного ПО и рекламы.

🛡Почему важно менять DNS?

Шифрование: Альтернативы стандартному DNS поддерживают технологии DNS-over-HTTPS (DoH) и DNS-over-TLS (DoT), которые шифруют запросы и защищают их от перехвата.
Фильтрация: Современные DNS, такие как NextDNS и AdGuard DNS, блокируют вредоносные сайты, трекеры, рекламу и фишинговые атаки.

Как настроить DNS?

На уровне устройства: В macOS, Windows или мобильных устройствах можно вручную прописать DNS-серверы (например, 1.1.1.1 или адреса NextDNS).
На уровне роутера: Позволяет защитить все устройства в сети, но при этом желательно использовать DoH/DoT для шифрования запросов.
Через приложения: Некоторые DNS-провайдеры (например, NextDNS) предлагают свои приложения для упрощенной настройки и обеспечения DoH/DoT.

Альтернативы стандартному DNS

Если будете использовать обычный адрес IPv4, то шифрования не будет. Если используете адреса DoH/DoT, то DNS запросы будут шифроваться, но не везде будет поддерживаться данный стандарт.

1. NextDNS

Особенности:

Полная кастомизация блокировок через DoH/DoT (реклама, трекеры, фишинговые сайты), через персональный идентификатор.

Возможность отключить логи запросов для повышения конфиденциальности.

Адреса DNS:

IPv4:

Основной: 45.90.28.167
Резервный: 45.90.30.167

DoH/DoT: https://dns.nextdns.io/your-config-id (замените your-config-id на ваш персональный идентификатор).

2. AdGuard DNS

Особенности:

Использует фиксированную конфигурацию фильтрации, общую для всех пользователей.
Не поддерживает индивидуальные настройки через DoH/DoT.

Адреса DNS:

IPv4:

Основной: 94.140.14.14
Резервный: 94.140.15.15

DoH: https://dns.adguard-dns.com/dns-query
DoT: tls://dns.adguard-dns.com

3. Cloudflare DNS

Особенности:

Высокая скорость и конфиденциальность.
Не предоставляет глубокой фильтрации в бесплатной версии.

Адреса DNS:

IPv4:

Основной: 1.1.1.1
Резервный: 1.0.0.1

DoH: https://cloudflare-dns.com/dns-query
DoT: tls://1.1.1.1

4. Google Public DNS

Особенности:

Очень стабильный и быстрый.
Не предлагает фильтрацию вредоносного контента.

Адреса DNS:

IPv4:

Основной: 8.8.8.8
Резервный: 8.8.4.4

DoH: https://dns.google/dns-query
DoT: tls://dns.google

VPN и собственные DNS

Некоторые VPN-провайдеры используют собственные DNS-серверы для защиты:

Mullvad VPN:

Имеет встроенный DNS с опцией блокировки контента (реклама, трекеры, фишинговые сайты).
Обеспечивает автоматическое шифрование запросов через VPN-туннель.

NordVPN:

Собственные DNS с базовой фильтрацией.
Есть функция Threat Protection для блокировки вредоносных сайтов.

Если ваш VPN имеет встроенный DNS-сервер, использование внешнего DNS, такого как NextDNS, может привести к конфликтам или снижению уровня защиты. Если будете использовать внешние DNS, то убедитесь, что в вашем VPN встроенный DNS-сервер выключен, или заменен тем, который вы хотите использовать.

VPN

VPN скрывает ваш IP-адрес , что делает сложной целенаправленную атаку на вас. Но самое главное — VPN шифрует весь ваш интернет-трафик, делая его недоступным для перехвата, что особенно важно при использовании Wi-Fi.

🛡 VPN также помогает предотвратить подмену DNS-запросов, когда злоумышленник пытается перенаправить вас на фишинговые сайты .

Лучшие VPN-сервисы:

NordVPN:

Функция Double VPN для дополнительного шифрования — двойная защита для вашего трафика!

ProtonVPN:

Особое внимание к конфиденциальности и швейцарская юрисдикция . Отличный выбор, если вам нужен бесплатный VPN.
Функция Secure Core, аналогичная Double VPN, для усиленной безопасности.

Mullvad VPN:

Максимальная анонимность, возможность оплаты в криптовалюте.
Один из самых надежных вариантов для защиты вашей конфиденциальности.

Браузеры

Возможно кого то сейчас удивлю, но не обязательно юзать Сhrome, что бы иметь доступ к его расширениям.

Google Chrome проигрывает Brave и Edge в плане конфиденциальности и встроенных функций безопасности. Вам придется устанавливать больше расширений для защиты, что увеличивает риск уязвимостей.

⚠️ Но Chrome является самым популярным браузером, есть не малый шанс, что у вас что то не будет работать на том или ином сайте при использовании его аналогов. Особенно это актуально для индуских сайтов с каким то новым DEX, собранным за 2 дня.

Так что вариант с полной сменой браузера рассматривать не стоит, скорее тут речь идет об нишевой истории и общем понимании безопасности браузеров.

Аналоги с полной поддержкой расширений Chrome, в которых так же можно создать много профилей и сделать ферму, но с лучшей безопасностью:

1️⃣ Brave

Brave, как независимый проект, рассматривает возможность сохранения поддержки V2 или создания собственных решений для блокировки. А это значит, что он останется единственным браузером на базе Chromium с глубокой поддержкой блокировщиков вредоносных скриптов на сайтах.
Встроенный Brave Wallet, который можно использовать вместо сторонних кошельков.
Все профили изолированы для повышения безопасности
Улучшенная конфиденциальность: блокировка рекламы, трекеров и вредоносных скриптов прямо из коробки.
Улучшенная производительность: Brave работает быстрее за счет блокировки лишнего контента, что делает его удобным для работы.
Автономность: Brave Wallet встроен в браузер, что исключает необходимость использования расширений, снижающих безопасность.

2️⃣ Microsoft Edge:

Встроенные инструменты защиты от фишинга и вредоносных сайтов.
SmartScreen Filter: обнаружение подозрительных и вредоносных сайтов в реальном времени.
Удобный интерфейс, совместимость с расширениями и возможность тонкой настройки безопасности.

3️⃣ Firefox -Лучший вариант в принципе из всех браузеров, но только, если вам не нужен Chromium.

Firefox до сих пор поддерживает Manifest V2, что позволяет использовать полноценные блокировщики рекламы и скриптов, такие как uBlock Origin и NoScript.
Мощные инструменты приватности: встроенная защита от трекеров, защита от отпечатков браузера.

Полезные расширения

⚠️ Здесь я представил только проверенные расширения с безупречной репутацией, но решение об их установке должно быть взвешенным.

Каждое расширение - дополнительная нагрузка на систему.
У данных расширений высокие права доступа, и даже у таких мастодонтов, могут вскрыться уязвимости.

1️⃣ Основную опасность при посещении зараженных сайтов для нас представляют JavaScript-сценарии на них. Мы можем бороться с ними при помощи расширений, которые будут ограничивать загрузку различных элементов.

NoScript - идеальный вариант, но только для Firefox, в ввиду его специфических функций, которые обеспечивают детальный контроль над JavaScript и другими активными элементами страниц.
uBlock Origin - лучщее решение для Сhrome.

Но, с Сhrome существует проблема, т.к. он перешел на новую систему расширений Manifest V3. Основное изменение в MV3 касается API для блокировки содержимого. Новый Declarative Net Request API (DNR) сильно ограничивает возможности блокировщиков, позволяя устанавливать лишь фиксированные правила фильтрации. Это мешает динамической блокировке скриптов, что является ключевой функцией для uBlock Origin.

uBlock Origin Lite - как замена uBlock Origin, после перехода на Manifest V3 является лишь частичным решением, но большего Сhrome предложить не можешь.

Тут уже действительно хочется задуматься о переходе на браузер Firefox...

2️⃣ Malwarebytes Browser Guard - расширение, которые будет отличным дополнением к вашей защите.

Расширение блокирует фишинговые сайты, также защищает от вредоносных JavaScript-сценариев, которые могут эксплуатировать уязвимости браузера или взаимодействовать с подключёнными криптокошельками без вашего ведома. Но стоит учитывать, что данное расширение работает с базами и не блокирует не известные угрозы.

3️⃣ Для максимальной безопасности рекомендую использовать Malwarebytes Browser Guard в связке с uBlock Origin Lite на Сhrome, или NoScript на Firefox.

При совместном использовании расширения дополняют друг друга:

uBlock Origin: Блокирует блокирует рекламу, трекеры, майнеры и другое нежелательное содержимое.
Malwarebytes Browser Guard: Фокусируется на безопасности, блокируя фишинговые сайты, вредоносные ресурсы и подозрительный контент.

Так как каждая из этих технологий выполняет свою специфическую задачу, создается многослойная защита с проверкой сайтов на разных уровнях.

Роутер

Безопасность сети и роутеров: защищаем свою локальную сеть 🌐🔒

Большинство пользователей используют роутер от провайдера. И давайте будем честны: такие устройства чаще всего мусор в плане безопасности. Они ограничены по функциям, содержат известные уязвимости и практически никак не защищают вашу сеть от потенциальных угроз.

⚠️ Почему это опасно? Потому что безопасность вашей локальной сети играет важную роль. Если злоумышленник получит доступ к ней, он сможет:

Перехватывать весь ваш трафик.
Получить доступ к настройкам вашего роутера, что открывает ещё больше возможностей: от внедрения прокси-сервера для сбора данных до подмены DNS и перенаправления вас на фишинговые сайты.

⚠️ Если ваш роутер не обладает необходимыми функциями безопасности, его нужно заменить. Но в ряде случаев это сделать сложно, например:

Ваш интернет поступает через оптоволокно, и провайдерский роутер выполняет функции оптического конвертера.
Провайдер вшил данные авторизации непосредственно в ваш роутер и не предоставляет их вам.

Решение: второй роутер

Если вы не можете избавиться от роутера, выданного провайдером, единственный выход — поставить второй роутер, который будет выполнять функции маршрутизации и обеспечивать безопасность вашей сети. Роутер от провайдера в таком случае станет лишь "мостом" между интернетом и вашим оборудованием.

Порядок действий с роутером от провайдера

Смените стандартные логин и пароль.
Найдите гайд к модели вашего роутера в интернете, зайдите в настройки и измените данные для входа. На некоторых моделях есть две учётные записи: пользовательская и администраторская. Данные нужно менять в обеих. Иногда для этого придётся выгрузить конфигурационный файл роутера и редактировать его вручную, все инструкции есть в интернете.
Отключите Wi-Fi.
Роутер от провайдера не должен раздавать беспроводную сеть. Это уменьшает риски несанкционированного доступа.
Отключите лишние LAN-порты.
Оставьте активным только тот порт, через который будет подключаться второй роутер.
Ограничьте доступ к настройкам роутера.
Оставляем возможность подключаться к интерфейсу роутера, только через локальную LAN сеть.
Переключите роутер в режим моста (если возможно).
Если у вас есть данные авторизации от провайдера, переведите порт, через который подключается второй роутер, в режим моста (bridge mode). В таком режиме провайдерский роутер будет выполнять только функции конвертации сигнала/посредника, не влияя на безопасность вашей сети. Если это невозможно, роутер по прежнему будет обрабатывать трафик, что снижает общий уровень безопасности. Если это критично, стоит задуматься о смене провайдера.

Еще один прикол провайдерского роутера: у провайдера обычно есть доступ к удалённому изменению настроек вашего роутера. Это можно отключить только на некоторых моделях, зайдя в "продвинутую" административную панель.

Настройка основного (второго) роутера

Теперь переходим к настройке вашего основного устройства, которое будет защищать вашу сеть.

1. Wi-Fi.

Используйте сложный и длинный пароль (минимум 16 символов).
Выберите протокол безопасности: WPA2 — минимально допустимый стандарт, лучше WPA3 (если поддерживается устройствами).
Никогда не давайте пароль от основной Wi-Fi сети никому.
Настройте whitelist (белый список) устройств по MAC - адресу, которым разрешено подключение.

2. Гостевая сеть.

Создайте отдельную гостевую Wi-Fi сеть для всех устройств, которые не связаны с вашей работой: умных лампочек, ТВ, приставок и т.д.
Выставьте для гостевой сети максимальный уровень защиты (WPA2/WPA3) и длинный пароль.
Гостевая WIFI сеть не дает доступа к вашей основной локальной сети и настройкам роутера, а является сквозным доступом в интернет. Учитывайте нюанс: если вы подключили роутер не через режим моста, то хоть и доступа к локальной сети и настройкам вашего основного роутера не будет, но данный доступ будет к локальной сети вашего первого роутера (провайдерского).

3. Обновление прошивки.

Регулярно обновляйте прошивку вашего роутера. Это важно для устранения новых уязвимостей. Настройте автоматическое обновление, если это возможно.

4. Ограничение портов.

Включите фаервол и настройте блокировку входящих соединений. Вам нужно, чтобы устройства в сети могли выходить в интернет, но внешние подключения к вашей сети были невозможны.
Закройте порты, которые не используются, такие как 23 (Telnet) и 445 (SMB).

5. DHCP.

Привяжите IP-адреса к MAC-адресам ваших устройств. И установите ограничение на диапазон IP-адресов, что бы в него попадали только те адреса, которые вы выдали вашим устройствам.
Используйте нестандартный диапазон IP-адресов, например, 192.168.50.1 вместо 192.168.0.1.

6. Раздел безопасности.

Включаем все возможные степени защиты, доступные на вашем роутере, сюда могут входить: фаервол, защита от взлома WIFI, защита от сканирования портов и т.д.

7. Защита дополнительных функций.

Отключите UPnP. Эта функция может быть использована злоумышленниками для открывания портов.
Выключите WPS (Wi-Fi Protected Setup), так как это устаревшая и небезопасная технология.

Ханипот в Web3: Защита с изюминкой

Что такое ханипот?
Ханипот (от англ. honey — мёд и pot — горшок) — это специализированная система или программное обеспечение, предназначенное для имитации уязвимых устройств, сервисов или сетей с целью привлечения внимания злоумышленников. Это своего рода ловушка для хакеров, которая помогает обнаружить и анализировать угрозы, а также повысить безопасность.

Как использовать ханипот в Web3? 🛡️
Вот один из способов внедрения ханипота в Web3 для защиты ваших данных:

Создание ловушек: Размещаем файлы с seed-фразами и приватными ключами на разных уровнях защиты вашей системы — начиная с простых файлов .txt на рабочем столе и заканчивая файлами в зашифрованных томах с менеджерами паролей. Важно: устанавливаем слабые пароли для этих томов и файлов.
Пополнение кошельков: Создаём несколько кошельков, пополняем их на несколько десятков долларов в популярных нативных монетах (например, в Ethereum или BNB). Эти кошельки будут служить приманкой для хакеров.
Оповещения через бота: Подключаем эти кошельки к боту в Telegram, который будет уведомлять вас о любых транзакциях, происходящих на ваших кошельках.

Зачем это нужно? 🔍
Если вы получите уведомление о действиях на одном из ваших ловушечных кошельков, это будет сигналом о том, что ваша система скомпрометирована. Вы сможете понять, как глубоко злоумышленники проникли в вашу защиту.

Так же, хорошей практикой, будет поставить оповещения через того же бота в Telegram на каждый ваш 10-й кошелек. И заранее подготовить скрипт, который будет выводить деньги со всех ваших кошельков.

Про антидетект браузеры

Понимаю, что многим будет ещё долго больно после взлома ADS. Меня это тоже выбило из рабочей колеи. 😓

Да, команда ADS действительно подошла к своей работе с пугающим уровнем халатности. Но стоит понимать, что практически любую систему можно взломать. Чем популярнее инструмент, тем выше шанс, что он рано или поздно станет целью атаки.

Если говорить о потенциальных взломах, то тут всё упирается в два ключевых фактора:

Критическая масса пользователей.
Чем больше людей пользуются системой, тем больше она привлекает злоумышленников.
Уровень защиты.
Чем выше уровень защиты, тем дольше система будет сопротивляться атакам.

Реальность антидетект браузеров

В этой сфере много денег, а преследование за кражу криптоактивов практически невозможно. Компании занимающиеся разработкой антидетект браузеров не обладают должными финансами и по всей видимости желанием, что бы обеспечить защиту должного уровня.

Почти все антидетект браузеры уже ломали (и некоторых не раз). Тех, кого ещё не взломали, скорее всего тоже ждёт это в будущем, если они перехватят первенство на этом рынке. Так уж тут все устроено.

Что делать? 🤔

Точно не нужно метаться от одного инструмента к другому. Никто не даст вам гарантий, что, например, те же расширения для подмены отпечатков в Chrome не окажутся уязвимыми. Бегать между антидетект браузерами — тоже сомнительная идея.

Единственный реальный выход — это диверсификация.

Как это может выглядеть:

Часть кошельков держим на горячих кошельках в ADS с мелкими суммами.
Другую часть — на виртуалке через Chrome профили (тоже с мелкими суммами). Вот видеогайд и статья по ферме через профиля Chrome.
Основные средства — на холодном кошельке с мультиадресами через горячие кошельки в ADS.

Так вы в худшем случае потеряете только часть активов.

Работа с серверами

В принципе, не рекомендую вам работать с удалёнными серверами, особенно если вы храните там данные от ваших кошельков. Это может привести к неприятной ситуации, например:

В один прекрасный момент не сможете подключиться к серверу.
Личный кабинет на сайте будет забанен, и поддержка не ответит.
А кошельки, которые были на сервере, окажутся пустыми.

Советую вам собрать не дорогой отдельный компьютер под ваши скрипты - это будет лучшим решением.

Но, если все же бы собираетесь арендовать сервера, то вот пара советов:

Берите сервера от крупных провайдеров, которые не станут размениваться на мелочи в виде чей то фермы. В идеале используйте только сервера от крупных американских/европейских компаний (GoogleAWS, Contabo, Amazon, Hetzner и т.д.). Но, почти для всех нужно будет пройти процедуру КУС и привязать европейскую/американскую карту.
Смените пароль сервера на более сложный.
Поменяйте стандартный порт для подключения.
Измените пароль к VNC, если это возможно.
Поставьте фильтр ip-адресов, которые могут подключаться.

Все эти действия не защитят вас от скама провайдера, но помогут в защите от атак со стороны.

Аппаратные ключи

Аппаратные ключи — это физические устройства, используемые для двухфакторной аутентификации и защиты онлайн-аккаунтов, данных и систем. Их основная цель — обеспечить дополнительный уровень безопасности: помимо пароля, для входа в систему требуется подтверждение с аппаратного ключа. Проще говоря, можно представить их как аналог холодного кошелька, где ключи для авторизации хранятся непосредственно на устройстве.

Принцип работы и преимущества

Ключевой особенностью таких устройств является необходимость их физического присутствия и прикосновения к контакту на корпусе для подтверждения авторизации.

Использование аппаратного ключа значительно повышает безопасность, поскольку для получения доступа к информации злоумышленнику потребуются три элемента:

Зашифрованный файл (например, база паролей).
Пароль от файла.
Сам аппаратный ключ или его программный эквивалент (ключ, возможность просмотра которого зависит от протокола).

В OTP, PIV, OpenPGP ключ можно просмотреть с помощью специализированного ПО и при необходимости восстановить из аппаратного устройства.
В FIDO2, U2F ключ невозможно извлечь, поэтому без физического устройства авторизация невозможна, а перехват запроса практически нереален.

Где используются аппаратные ключи?

Большое количество сервисов и программ поддерживает аппаратные ключи, в том числе:

Криптовалютные биржи
Менеджеры паролей
Google-почта и другие сервисы Google
Авторизация в операционной системе

Советы по выбору и использованию

Выбирайте ключ с максимальной поддержкой протоколов или убедитесь, что он поддерживает нужные вам. Разные сервисы используют разные протоколы, и важно заранее определить, где будет применяться устройство.
Продумайте резервные способы авторизации, если используемый протокол не позволяет восстановить ключ (FIDO2, U2F). В случае утери или поломки устройства вы не сможете войти в аккаунт.
Запишите ключ на бумаге, если используете протоколы, где возможен просмотр/восстановление ключа (OTP, PIV, OpenPGP).
Покупайте устройство только у проверенных продавцов, чтобы избежать подделок и компрометированных устройств.

Лучший аппаратный ключ на рынке

На данный момент YubiKey 5 поддерживает наибольшее количество протоколов аутентификации.

Руководство по использованию Yubikey.

Гостевая ОС: безопасная песочница

Гостевая ОС — это изолированная виртуальная операционная система, если вкратце, то вы можете творить на этом виртуальном компьютере все что угодно, и это все будет полностью изолированно от вашей основной системы.

Гостевая ОС выполняет роль защищённого контейнера для работы и хранения данных. Зачем оно нам надо?

Использовать чужие софты и не бояться, что этот софт унесет всю информацию с вашего компьютера.
Вы можете скачивать подозрительные файлы, проверять разные DeFi помойки или лететь в числе первых смотреть на скам-чекер с дропом в консервативный лям, не подвергая риску основной компьютер.
Можете поделить ферму на более и менее рисковые кошельки.

Короче, варианты использования ограничиваются лишь вашей фантазией. Инструмент мощный, так что пользуйтесь.

Как настроить гостевую ОС: краткий гайд

1. Скачайте и установите VirtualBox.

2. Extension Pack. ⚠️

По необходимости устанавливаем пакет расширений (Extension Pack), чтобы обеспечить совместимость и удобство работы (например, передача файлов и совместное использование буфера). Но, учтите, что функции по типу общего буфера обмена и передачи файлов открывают уязвимости. Для полной безопасности виртуалка должна быть полностью изолированна от вашей основной системы.

3. Скачайте образ (ISO File) Windows 10 или Windows 11, либо Linux.

4. Создайте виртуальную машину.

Создайте новую гостевую ОС, укажите название и папку для виртуалки.
Выберите тип ОС и образ, который вы скачали.
Настройте параметры: выделите минимум 2 ГБ оперативной памяти и создайте виртуальный жёсткий диск объёмом от 30 ГБ.

5. Настройте характеристики под ваш ПК.

Процессор. Выделите кол. ядер: например, 4 ядра, если у вас 16.
Оперативная память. Рекомендуется выделить 8 ГБ, если у вас 32.
Графика. Память видеокарты от 2 ГБ в зависимости от объема вашей видеопамяти.

Вот видеогайд.

Так же вы можете пользоваться на виртуалке снимками системы.

🔄 Снимки системы (Snapshots) в VirtualBox — это функция, позволяющая зафиксировать состояние виртуальной машины (гостевой ОС) в определённый момент времени. Снимки включают всё: состояние жёсткого диска, оперативной памяти, настроек виртуальной машины, а также текущих данных и приложений.

Вы можете проверять любую дрянь и тут же откатывать систему к безопасному состоянию.

Про успешные атаки и безопасность систем

Безобидный чекер для ZK - сибилов

Атака была совершена через уязвимости в расширение.

У большинства расширений есть разрешение для выполнения определенных действий на веб страницах. Если вы любитель ставить бесплатные VPN расширения и блокировщики рекламы, то можете в один прекрасный момент быть не приятно удивлены.

🛑 Почти все расширения и так имеют слишком много разрешений, можете сами зайти и посмотреть в разрешения ваших расширений. Так что ставить дополнительный мусор в ваш браузер - не просто риск, а большая ошибка.

🔍 Суть атаки заключалась в выполнении зловредного кода через уязвимости в расширениях при посещении зараженной страницы с чекером активности ZkSync. Скрипт скачивал .dll - библиотеку для замены системной. Это может быть абсолютно любая служба или системный процесс.

Стоит учитывать, что данный способ доставки зловредного кода можно реализовать так же через:

открытие картинки или зараженного файла
уязвимость приложения
выполнение JS - скриптов внутри pdf

Уязвимости в расширениях криптокошельков

Phantom Wallet
Phantom Wallet – в 2022 году у него была опасная уязвимость, которая могла привести к краже активов при взаимодействии с некоторыми смарт-контрактами.

Ошибки в коде позволяли вредоносным контрактам запрашивать подписи, не уведомляя пользователя.

MetaMask
В июне 2021 года была обнаружена серьезная уязвимость в MetaMask, связанная с утечкой сид-фраз в macOS.

Сид-фраза кошелька могла сохраняться в логе системы в не шифрованном виде.

Slope Wallet
В августе 2022 года произошел один из крупнейших взломов экосистемы Solana, связанный с уязвимостью в Slope Wallet – популярном криптокошельке. Хакеры похитили более 8 000 кошельков и украли свыше $6 млн в SOL и в других токенах.

Расширение Slope Wallet хранило сид-фразы в не шифрованном виде на централизованном сервере.
Хакеры получили доступ к этим данным и просто опустошили кошельки пользователей.

Trust Wallet
В ноябре 2022 года в браузерном расширении Trust Wallet обнаружили критическую уязвимость, связанную с WebAssembly (WASM). Хакеры украли около $170 000.

В WASM уровень энтропии (случайности) оказался недостаточным, что делало некоторые приватные ключи предсказуемыми.
Из-за бага хакеры могли подобрать ключи к некоторым кошелькам, созданным в уязвимый период.

🚨 Из всего этого можно еще раз сделать важный вывод: никогда не генерируйте сид-фразы где попало и не вводите их куда попало. Потому что, как вы видите, даже у мастодонтов рынка бывают критические уязвимости.

Иллюзия неприступности MacOs

🍏 Почему macOS считается более безопасной системой?

Mac изначально позиционируется как более защищённая операционная система. Но это не значит, что Apple сделала что-то принципиально лучше, чем Microsoft. Важно понимать, почему macOS кажется безопаснее, чтобы избежать ложного ощущения абсолютной защиты.

На Mac также есть вирусы, и некоторые векторы атак могут быть даже проще, чем на Windows.

Основные причины безопасности macOS

Меньшая заинтересованность со стороны злоумышленников
Киберпреступники воспринимают свои действия как бизнес. Для них важно, чтобы затраты на создание вредоносного ПО окупались. На рынке macOS охват пользователей меньше, чем у Windows, а значит, потенциальных жертв тоже меньше.

⚠️ Но, текущая тенденция следующая:

За последние три года наблюдается 60% рост популярности macOS.
Увеличивается и количество обнаруживаемого вредоносного ПО для macOS, что говорит о увеличивающемся интересе со стороны злоумышленников.

Ограниченность функционала как преимущество
Простота и минимализм macOS играют важную роль в её безопасности. Ещё один важный аспект — использование технологий вроде песочницы (sandboxing). Программы в macOS работают в изолированных средах, что не позволяет вредоносному ПО получить доступ к системным компонентам или данным других приложений. Этот подход делает систему менее гибкой, но значительно повышает её устойчивость к атакам.

Windows — это огромная экосистема, предоставляющая пользователю массу возможностей, но открывающая больше "дыр" для атак.
macOS, напротив, предоставляет меньше функций или доступ к ним более ограниченный, что снижает количество потенциальных уязвимостей.

Закрытость системы
Apple активно защищает систему от главной угрозы — самих пользователей. Однако эта закрытость имеет и обратную сторону. Например: Таким образом, закрытость macOS создаёт баланс между защитой и удобством, где безопасность находится на первом месте.

Каждый раз перед совершением потенциально опасного действия macOS запрашивает пароль и предупреждает о рисках.
Закрытость системы препятствует запуску не проверенных приложений, уменьшая вероятность заражения.

Использование стороннего ПО может быть сложнее из-за строгих требований безопасности.
Пользователи ограничены в настройке системы под свои нужды, что иногда воспринимается как недостаток.

Итог:

Споры о том, какая операционная система лучше — Windows или macOS — бессмысленны, так как безопасность зависит от потребностей пользователя. В последние годы обе компании сделали серьёзные шаги вперёд в этой области.

macOS и Windows представляют два разных подхода к балансу между функциональностью и безопасностью.

Подробнее о том, как работает защита на macOS, можно узнать здесь.

Особенности атак и способов заражения MacOs

💀 Одним из самых распространенных способов доставки вирусов на mac в отличии от windows все еще являются зараженные установщики.

Apple сделали все, что бы вы не установили не доверенный софт. К доверенному относится программное обеспечение из AppStore или имеющее подпись, которую получает приложение после проверки apple и которая будет не легитимной, если после получения подписи в приложения будут внесены какие либо изменения. От сюда вытекает главное правило как для macOS, так и для всех систем - устанавливаем только проверенный софт.

Красным флагом будет, если к приложению будет идти инструкция по его установке, где вам будет представлен обход блокировки установки от не проверенных издателей. Никогда не открывайте файлы путем: ПКМ + Open - в этом случае вы обходите проверку подписи файла. При обычном запуске установщика левой кнопки мыши, вы не сможете установить ПО без подписи.

Так же к распространенным способам заражения относятся:

Заражение библиотек, инструментов или проектов, хранящихся на платформах с открытым исходным кодом, каких как GitHub.
Макросы Microsoft Office. При открытии документа с макросами, появится окно, которое оповестить о наличии макросов и предложит их загрузить. Будь очень осторожны с подобными файлами, лучше их открывать в изолированной среде.

Подробнее про методы атаки на macOS можете посмотреть в этом видео.

Windows система для скама?

К сожалению, эта операционная система широко распространена не только среди пользователей, но и среди киберпреступников. Любой школьник может найти в тёмном интернете множество готовых скриптов, способных сташить ваши приватные ключи.

Если от неопытных скамеров, которые рассылают вам в личку какую то дрянь, можно защититься антивирусом и базовыми мерами предосторожности, то против тех, для кого скам — это работа, защититься будет куда сложнее.

Да, macOS объективно безопаснее, но это не значит, что использование Windows превращает вашу работу в хождение по минному полю. И уж точно не является поводом брать кредит ради покупки Mac.

Те, кто использует Windows и соблюдает правила кибербезопасности, защищены не хуже, чем владельцы Mac, которые просто купили «более безопасную» систему.

Если покупка Mac составляет меньше 1/10 вашего депозита, то с точки зрения баланса капитал/безопасность это логичный шаг. Если же нет — просто соблюдайте правила безопасности, и, скорее всего, всё будет в порядке.

Поздравляю, ты дочитал эту статью! Ты молодец и круче большинства криптанов. 🚀 Я выражаю респект каждому, кто осилил этот талмуд по безопасности — вы действительно крутые!

Наверное хочешь подписаться на канал автора?) Можешь не листать в начало статьи - вот сюда *клик*

Что ты получил, прочитав эту статью?

1️⃣ Ты прокачал свою безопасность. Это значит, что ты внес бесценный вклад в сохранение и рост своего капитала. Возможно, здесь ты не узнаешь, как вынести очередной проект, но поверь, несколько часов, потраченных на изучение этой статьи и применение её рекомендаций, принесут тебе гораздо больше, чем ты можешь себе представить.

Как бы банально это ни звучало, в крипте главное — не заработать, а сохранить. И эта статья — один из лучших шагов в этом направлении.

2️⃣ Ты защитил свою нервную систему. И ты особенно это почувствуешь, когда в новостях снова появится сообщение об очередном взломе.

Ты будешь увереннее 99% людей в подобных ситуациях.
Твоя продуктивность не пострадает, а крипта не станет источником стресса, потому что ты не увидишь ноль на балансе своих кошельков в один прекрасный день.
Твой организм скажет тебе спасибо, потому что ты избежишь проблем, вызванных нервным напряжением, что опять же положительно скажется на твоей продуктивности и заработке.

3️⃣ Теперь у тебя есть чат, где я отвечу на все вопросы по безопасности.

Ну что, с безопасностью разобрались? Теперь пришло время и денег заработать. И можешь быть уверен — к рынку и ретро я подхожу не менее скрупулезно, чем к безопасности. Хотя, ты наверное уже и сам это понял, когда пролистал мой паблик.

Как бы странно это ни звучало, но безопасность — это не моя основная деятельность. Я такой же криптан, как и ты, и зарабатываю с рынка на свою жизнь и жизнь моей семьи. Безопасность — это всего лишь мое хобби, в котором я преуспел благодаря своему хроническому тревожному расстройству. 😆

Отдельная благодарность всем, кто бесплатно распространил статью в своём комьюнити — вы крутые!

₿RAIN | ТА КРИПТА

Вишня

AUSLANDERIZATION

HVRSH on the base | #Vers

Early Berkut

Фармим крипту

Cиноптик щитпостит

Сrypto Hustlers Media

OG.Retro

TestNet Worker

Записки серчера

Hermes Ledger

ace crypto

Блок для кодеров

Данный блок был честно ~~украден~~ написан на основе обучающего материала от Max Zarev, спасибо ему за проделанную работу.

Сразу скажу, что я не кодер. Я немного могу писать на JS, и мне этого хватило, что бы постараться передать суть. Это не гайд и не готовый шаблон, это информация исключительно для тех, кто уже пишет на python,или читает этот блок для общего повышения своей компетенции в данном вопросе.

Данный блок даст понять, какие есть инструменты для повышения безопасности вашего кода. Я не рассказываю как применять данные инструменты и могу где то допустить ошибки, я исключительно рассказываю о них.

Базовая защита для кодеров

К базовому уровню защиты можно отнести соление информации (добавление дополнительной части к уже имеющейся информации) и перемешивание символов. Данные методы реализуются стандартными средствами python. Логику работы вы можете выстроить на свой вкус. С помощью данных способ вы можете хранить в "зашифрованном" виде ваши приватники, сид-фразы, пароли от кошельков и вообще любую информацию.

Суть метода с перемешиванием символов заключается в том, что вы меняете местами символы по определенному алгоритму, и в таком виде храните информацию. Вы должны выстроить логику так, что бы в момент запуска вашего скрипта вы вводили в консоль пин-код, который будет указывать какие символы менять местами для обратного преобразования информации и работы с ней.

С солением паролей все максимально просто: при запуске скрипта вы вводите в консоле дополнительную часть, которую ваш скрипт подставляет к хранящейся части информации.

Пин-код и дополнительную часть информации храним в защищенном месте, отдельно от базы к которым они будут применятся. При комбинации двух этих методов вы уже не плохо себя обезопасите.

Чем длиннее будет ваш пароль, тем меньше шансов, что его смогут подобрать методом перебора символов из которых он состоит, если будут знать, что символы заменены местами. Это может произойти, если к хакеру попадет логика вашего скрипта. Т.к. вы все равно не будете вводить эти данные в ручную, можете сделать хоть 100 символов, если это будет возможно, чем больше - тем лучше.
К сид-фразам добавляйте лишние слова из списка слов BIP-39,потом перемешивайте слова и в таком виде храните их в вашей базе. Обязательно изменяйте последнее слово, оно самое важное, потому что является проверочным.
С приватными ключами поступаем по тому же принципу, что и с сид-фразами. Добавляйте лишние символы и потом перемешивайте.

Главное - сохраните вашу логику шифрования (соль и пин-код), а так же шифруемую информацию в исходном виде, где нибудь на зашифрованной флешке (например через veracrypt).

Скрипт нужно будет запускать через терминал, т.к. только там можно реализовать скрытый ввод информации, которой являются ваш пин-код и соль. Для этого устанавливаем библиотеку getpass и для безопасного ввода пароля в терминале используем метод getpass.getpass().

Продвинутая защита для кодеров

Тут я постараюсь дать информаци, каким способом можно именно зашифровать информацию. Я не кодер, повторюсь еще раз, это не гайд, разбирайтесь сами как это работает.

Для работы вам понадобится библиотека cryptography, после ее установки ипортируем из нее модуль fernet. Данный способ работает по симмитричному принципу - вы будуте использовать ключ как для шифровки, так и для расшифровки.

Ключ создаем с помощью метода Fernet.generate_key(). Ключ будет представлен в текстово представлении байтовой информации (буква "b" перед текстом), для работы с данным модулем вся передаваемая ему информация должна быть в байтовом представление (в таком же как и ключ).

Дальше создаем объект с использованием нашего ключа "object = Fernet(key)".

Потом мы применяем к нашему объекту методы: encrypt - для шифрования: "encrypted_seed = object.encrypt()" и decrypt - для дешефровки: "decrypted_seed = object.decrypt()".

Данные методы шифрования умеют работать только с байтовым представлением информации, так что передаем в них данные с помощью метода encode. Для удобства хранения информации в виде обычного текста после шифрования, можете применить метод decode. После дешефрования данные так же будут в байтовом представлении, что бы увидеть их в изначально виде и отдать скрипту нужно после метода decrypt применить метод decode.

Так же существует возможность записи вашей вашего ключа шифрования где то в логах, если что то сломается. Что бы этого избежать используем защищенную переменную из библиотеки pydantic. Импортируем саму библиотеку и модули BaseModel и SecretStr из нее.

Создаем класс конфигурации "class Config(BaseModel)" и в нем переменную с типом данных SecretStr. Дальше нам нужно передать значение через SecretStr в секретную переменную, которую мы создали, создаем объект конфигурации: "object = Config(key=SecretStr(getpass.getpass( )))".

Для извлечения ключа из секретной переменной и работы с ним используем метод get_secret_value.

Вы так же можете хранить ваш ключ в защищенном месте операционной системы, что бы не вводить его каждый раз. В этой области хранятся ключи доступа от всех программ на вашем устройстве, на mac - связка ключей, на windows - диспетчер учетных записей. Скрипт сам будет брать его из это защищенной области в нужный момент. Доступ к этой области можно получить только если есть полный доступ к устройству и авторизационные данные пользователя. Для каждой записи в этой защищенной области вы можете настраивать права доступа: какие программы будут иметь доступ к этой записи и что делать при попытке какой либо программы получить эти данные.

Для работы с ключами операционной ситстемы нам понадобится библиотека keyring. Создаем в защищенной области новый ключ, даем ему имя, вводим имя пользователя и в поле пароль помещаем наш ключ. Для извлечения ключа используем метод "keyring.get_password(key,username)".

Добавить запись с ключом в защищенную область системы можно напрямую с помощь python "keyring.set_password(keyname,username,key)".

При все при этом остается одна уязвимость, даже если вы храните ключ в защищенной переменно, то в оперативной памяти он все равно хранится и от туда его можно вытащить.

Что бы защититься от этого, наш скрипт должен каждый раз брать ключ из защищенной области, когда мы будем обращяться к нашему объекту для шифрования или дешефровки информации, это будет иметь вид "object = Fernet(keyring.get_password(key,username))".

Тут уже вам предстоит выбрать один из двух вариантов:

Ваш ключ будет хранится в защищенной переменной и тогда вы можете включить настройку, что бы при каждом обращении к вашему ключу из защищенной области системы требовался пароль.
Вы берете ключ из защищенной области системы каждый раз, когда требуется что то расшифровать или зашифровать, и вам придется добавить python в исключение для этой записи в защищенной области системы. Тут стоит учитывать, что даже если на вашем устройстве смогут запустить какой то скрипт python, потребуется все равно знать по какому имени и под каким юзером находится этот ключ.

Дополнительно для изучения

Материал, который я советую прочитать, и который я использовал при написании данной статьи:

Отчеты о безопасности mac за 2024 год:

https://moonlock.com/moonlock-2024-macos-threat-report

https://objective-see.org/blog/blog_0x7D.html

Способы заражения mac:

https://youtu.be/T5MV0G27xRU?si=1jvHPlaHCxCXZRg3

Как работает защита в mac и разбор самого популярного стиллера:

https://teletype.in/@cppmyk/macos-security#xnxu

Подробно про механизмы защиты на mac:

https://bit.ly/3XkA7k6

Методы атак и защиты:

https://teletype.in/@gusik4ever/TMzm6knrR8s

Как чекер ZkSync соскамил сибилов:

https://teletype.in/@whonion/howtoscam_2023

Хорошая статья по безопасности на windows и настройки сетевого экрана:

https://teletype.in/@insov/protecting_win