Привет, увидел тебя в чате по крипте и хотел предложить сотрудничество по тестированию майнете. Ты будешь делать переводы между своими биржевыми аккаунтами. За каждый перевод сеть будет начислять дополнительно крипту. Я дам тебе возможность посмотреть всё на практике, суммы в 20-30 долларов достаточно. Я показываю и рассказываю всё бесплатно, а потом прошу 30% от прибыли...

Для тех, кто разбирается в теме, это предложение звучит странно. Что такое тестирование в майнете? Как начисляются активы? Вопросов много, но новички могут не заподозрить ничего странного и клюнут на удочку мошенника. В этой записи мы приведем пример того, какую схему используют мошенники. Этот материал подготовлен с целью ещё раз доказать, что пишут в личные сообщения только мошенники, меняются только их схемы, которые уже не похожи на банальный арбитраж.

Устанавливаем контакт

Мошенник описал схему, но понятнее не стало. На этом этапе мы понимаем, что для мошенника не важно, какие биржи мы будем использовать.

Покупаем нужный актив

WAXP — это нативный токен блокчейна WAX. На этом этапе мы понимаем, что используем оригинальный актив, которым мошенник не сможет манипулировать.

Меняем псевдоним на Binance

Мошенник просит поменять имя пользователя на бирже, якобы для того, чтобы начислить дополнительные токены (но биржи позволяют делать внутренние переводы только по id, а не по имени). Следующий момент — почему имя должно состоять именно из 12 символов и маленьких букв?

Находим Memo для получения

Для получения WAXP на биржу действительно нужно указывать memo. Но почему мошенник не напоминает нам скопировать адрес для отправки?

Перевод монеты

Мы сделали перевод по инструкции мошенника. Вместо адреса подставили имя пользователя на Binance и указали нужное memo. Транзакция отправилась и монеты пришли на биржу где-то через 5 минут.

Куплено на OKX 499 WAXP —> получено на Binance 521 WAXP (+1.5$)

Разоблачение схемы

Как получилось так, что мы отправили с одной биржи 499 монет, а на другую пришло 521? Как начислилась эта награда? Тестирование майнета, о котором говорил мошенник работает?

Не работает. Давайте разбираться.

В блокчейне WAX есть стандарт имён для адресов (как ENS домены в Эфириум sunscrypt.eth). Стандарт имён, как вы наверное догадались, — 12 маленьких букв.

Получается, когда мы указывали для отправки имя пользователя Binance —jashsafpedkr, мы переводили на какой-то адрес в блокчейне, а не на кошелек биржи. Пора залезать в обозреватель!

Находим в обозревателе «наш» адрес и видим на нём три транзакции.

Начнем анализировать. Первая транзакция — это наш перевод с окекса (мы видим адрес okxtothemars. Вторая транзакция это поступление дополнительных монет с адреса promowaxcoin. Затем мы проверили адрес и не нашли о нём информацию в документации wax или в интернете, никакой промо программы разработчики блокчейна не запускали. Проведя анализ транзакций на адресе, стало точно понятно, что это просто счет мошенников с красивым названием.

Третья транзакция на кошельке — перевод всех монет на счет Binance (на наш биржевой адрес). В транзакции указано наше memo, которое позволяет биржи понять, что именно мы внесли средства на счет. Как мошенники узнали наше memo? Очень просто, они скопировали его из первой транзакции, ведь мы его там указывали (хотя для перевода на обычный адрес оно было не обязательно).

Теперь всё ясно

Схема мошенника раскрыта и хотя она казалась запутанной, в итоге всё просто. Давайте восстановим события:

1. Мы купили на OKX монету WAXP;
2. Поменяли имя пользователя на Binance. Полученное от нас имя мошенник использовал как название адреса в блокчейне WAX;
3. Скопировали memo для получения на Binancе;
4. Перевели средства на кошелек мошенника, который он создал используя наше имя. В транзакции указали memo, которое потом скопирует мошенник.
5. Мошенник пополнил адрес дополнительными монетами;
6. Мошенник перевел все монеты на наш счет Binance.

Мы заработали! Где обман?

Мошенник дал совершить нам тестовую транзакцию и потратил на нас 1.5$ для того, чтобы в итоге заработать на нас больше. Пользователи, которые не разберутся в схеме, могут подумать, что совершают транзакции сами и имеют полный контроль над активами, но это не так. Мошенник сам создаёт адрес в блокчейне WAX и полностью контролирует его.

На что он рассчитывает? На то, что нам понравится схема и мы возьмём большую сумму для того, чтобы больше заработать. И когда мы отправим с одной биржи 10.000$, они не придут на другую биржу, а мошенник очистит переписку с нами... Так грустно заканчиваются истории заработка у многих, кто только начинает погружаться в крипту.

Спасибо за прочтение статьи! Пишите в комментариях о каких ещё мошеннических схемах нам рассказать.

Для каждого пользователя, каким бы инструментом доходности он не заинтересовался(NFT, Farming, Trading), встает вопрос создания кошелька и сохранения резервной копии. Вот мы и встретились с ответственностью, ведь если закрыть глаза на этот важный шаг, остальная работа с криптой становится бессмысленной. Выполнить все советы по безопасному созданию и хранению сид-фразы — это личная ответственность каждого. И мы понимаем, что на рынке криптовалют понятия ответственности и безопасности неразрывно связаны.  

После того, как мы примем ответственное решение позаботиться о своей безопасности и купим холодный кошелек, перед нами снова появляются вопросы: Какой кошелек выбрать? Где хранить устройство? Нужно изучить много информации, пролистать кучу статей, чтобы погрузится в тему аппаратных устройств. 

После того, как этап создания кошелька пройден, приходит время для покупки криптовалют, перевода монет, работы в дексами. И здесь мы опять встречаемся с ответственностью, которая спрашивает нас: Какой криптой мы хотим владеть? Каким сервисом для покупки пользоваться? Как совершать транзакции? Почему мы доверяем сервисам, с которыми взаимодействуем?

Каждое действие требует принятия финансовых решений сравнимых с покупкой акции на фондовом рынке. Хотя даже на классическом рынке нам помогает брокер, а в крипте нам поможет только DYOR. 

Если следовать советам, которые диктует нам ответственность, тогда за нашу дисциплину мы получаем вознаграждение — профит. Увеличение капитала — это радость, но вместе с тем и ответственность. Как распорядится «лишними» деньгами, которые появились на балансе? Важный вопрос, ведь мы понимаем, что деньги могут испариться, а нужно ведь сделать правильное вложение. 

И вот мы решили зафиксировать профит и купить квартиру, для этого нужно перевести крипту в валюту. Процесс выхода в фиат сопряжен со многими рисками, избежать их позволит ответственность. Только прислушавшись к ее советам мы добьёмся своих целей: задекларируем доход, оплатим налог на прибыль и купим квартиру. 

Захотим анонимности нашего кошелька — поможет ответственность. Она покажет инструменты и правила анонимной работы с активами. 
Захочется заработать много иксов — будь добр ответственно подойти к вопросу иначе все средства будут потеряны. 
Захочется получить дроп — ответственность поможет рассчитывать на награды, ведь без нее мы просто пропустим одно из условий участия и потратим время впустую. 

Безопасность — это правила, привычки, границы защищающие нас. Ответственность похожа на безопасность тем, что за пределами её — игра и шанс. Риск остаться не тронутым или вероятность потерять всё.

Однако в моей статье она описывается, как личное качество каждого участника рынка. Ответственность можно сравнить с совестью, только совесть отвечает за моральные качества человека (вызывает внутренние переживания), а ответственность за конкретные поступки (имеющие отражение в жизни физической, в нашем случае материальный эффект ответственности). Нас окружают смарт-контракты, программы, искусственный интеллект, но человек решает всё, потому что право последнего слова всегда остается за ним. 

Крипто-сми, каналы в телеграмм, статьи и видео — это потоки информации. Мы понимаем, что важно правильно формировать свое инфополе (ответственно подходить к тому, какие паблики читать).

Из многих материалов узнаем новую информацию, но есть и такой контент, в котором ярко выражается точка зрения автора, а мы прислушиваемся к ней не рефлексируя и слепа веря в написанное. Да, слишком утрированный взгляд, однако мысль, которую я хочу донести: люди любят перекладывать ответственность. А ответственность такого обращения не терпит, она всегда индивидуальна. 

Кастодиальные сервисы, хранение сид-фразы в облаке, транзакции без газа — это противоречивые инструменты, которые, однако позволяют многим новичкам начать свой путь на рынке. С ними проще работать именно потому, что часть ответственности снимается. Можно долго спорить о том, теряется ли вместе с ней и безопасность пользователей, но точно ясно то, что ответственность задает нам новый вопрос: Использовать что-то новое и простое или выбрать проверенный всеми способ?

Зачем вы всё это прочитали и какой вывод можно сделать из написанного?

Важно улавливать подсказки, которые даёт нам ОТВЕТственность. Слушайте вопросы, которые она задает и старайтесь находить на них ответы. Всегда делайте выбор, хотите ли вы прислушаться к голосу ответственности или перейти на сторону хауса — туда, где нет решений и обдуманных шагов, а есть случайность которая решает все за вас. Ответственность не стремится добиться от нас правильного или неправильно поступка. Она раскрывает нашу индивидуальность. В вопросе ответственности, как и в жизни, у каждого свой путь.

«Следи за собой, будь осторожен»
 — Виктор Цой 

Это было небольшое размышление на тему важности личной ответственности каждого участника крипто рынка. Большинство мыслей легко переложить на другие сферы жизни.

Используем онлайн инструмент

Для того, чтобы попробовать работу системы, предложенной Entero Positivo, можно использовать онлайн инструмент. С его помощью легко совершить кодирование и обратный перевод цветов в сид-фразу. Для генерации мнемоники советуем использовать конвертер iancoleman.

Мы знаем, что приватные ключи от нашего кошелька не должны попадать в интернет, поэтому давайте поговорим о продвинутом (безопасном) способе преобразования нашей фразы.

Варианты безопасной работы с алгоритмом

Есть три варианта обезопасить процесс перевода сида в цвета:

1. Можно скачать онлайн инструмент с GitHub и использовать его офлайн. Минус в том, что мы вводим фразу через клавиатуру нашего ПК. Нужно быть уверенными в «чистоте» системы и довериться написанному коду;
2. Второй способ, которым мы будем пользоваться, — частичное выполнение алгоритма вручную;
3. Третий, самый безопасный вариант — ручное выполнение алгоритма. Каждый шаг кодирования выполняется офлайн на бумаге. Для преобразования чисел класса Decimal в Hexadecimal, можно использовать формулу, описанную на сайте — Decimal to Hexadecimal converter.

Выполняем алгоритм

Шаги выполнения алгоритма:

1. Не нужно вписывать сид-фразу в таблицу. Используя словарь BIP-39, заполните столбец «индекс» номерами слов. Если номер не состоит из четырех знаков, нужно дополнить его нулевыми значениями. 327 —> 0327
2. Следующий шаг — соединяем все номера в одну строку цифр;
3. В столбец «Префикс» вписываем по шесть цифр из получившейся строки;
4. Добавляем двузначный номер к каждому слову. Это нужно, чтобы в процессе декодирования установить правильный порядок слов. Можно ставить номера в классической последовательности — 00, 01, 02 или четными числами — 00, 02, 04(так цвета в палитре будут сильнее отличаться);
5. Получившиеся значения сразу преобразуются в цвета (по формуле в таблице). 02501882 —> 262CFA

Из получившегося набора hex значений мы можем создать рисунок или вписать их в код своего проекта. Главное, если мы решили использовать цвета в качестве резервной копии, не потерять hex-значения.

Декодирование seed-фразы

Процесс преобразования цветов в сид:

1. Подставляем в таблицу hex-значения. Формула автоматически переводит их в числа; 4E4397 —> 5129111
2. Теперь нужно привести все значения к восьми знакам. Для этого подставляем ноль вначале семизначных цифр; 5129111 —> 05129111
3. Первые две цифры — это заданная нами последовательность. Важно расставить получившиеся значения по возрастанию первых знаков; 01069903, 02501882, 03064303, 04701680, 05129111
4. После того, как мы разобрались с последовательностью, нужно убрать два первых числа обозначающих номер. Должно остаться шесть знаков; 069903, 501882, 064303, 701680, 129111
5. Теперь соединяем все значения в одну строку цифр;
6. Разбиваем на части по четыре символа;
7. Используя словарь BIP-39, восстанавливаем фразу.

Стоит ли использовать новый метод?

Да, но только в том случае, когда мы уверены в том, что:

• Сохраненные hex-значения соответствуют словам фразы. Для этого нужно провести декодирование хотя бы один раз;
• Цвета хранятся таким образом, что никто не догадается об их назначении. Если есть опасения на этот счет, то дополнительно защитить средства поможет кодовая фраза;
• Мы сможем быстро получить доступ к цветам для восстановления средств.

Лучше использовать метод Positivo вместе с классической резервной копией. В этом случае, если с цветами что-то случится мы сможем воспользоваться словами на бумаге и наоборот.

Также важно сохранять hex коды цветов 47BDF0. Если мы скопируем только картинку, а потом захотим получить hex из цвета, скорее всего значение будет неверным. В процесс передачи файла, его цвет может измениться. А также это зависит от конвектора, в который загружается картинка.

Полезные ссылки

• Видео на нашем YouTube канале
• Алгоритм предложенный Positivo
• Твиттер разработчика
• Онлайн инструмент

Список инструментов, о которых мы говорили на АМА сессии 02.08.2023. Запись разговора уже можно послушать в нашем Telegram.

• Web Archive — сервис, отображающий историю доменов. Можно посмотреть, как сайт выглядел раньше и найти удаленные данные;
• CoverYourTracks — проверка цифрового следа;
• Duckduckgo — поисковая система с органической выдачей и удобное мобильное приложение;
• Keepass, NordPass (VPN) — менеджеры паролей;
• Authy — удобное приложение 2FA;
• LNVPN — сервис для оплаты VPN и виртуальных номеров через Lightning Network;
• VirusTotal — проверка сайтов и ссылок для скачивания;
• AdsPower — один из лучших антидетект-браузеров;
• Multilogin — альтернатива AdPower. На основе этого браузера разработан еще один антик — Indigo;
• Dolphin — антик с 10 бесплатными профилями;
• Mail3, EtherMail — децентрализованные email-сервисы (Web3-почта);
• Silent.link — eSim c оплатой в Bitcoin и Monero;
• Privacy Badger — расширение, блокирующее трекеры на сайтах;
• Nighthawk (PhishFort) — плагин, показывающий оригинальные криптосайты.

Что такое кодовая фраза?

Кодовая фраза (Pass Phrase, парольная фраза) — это расширение стандартной seed-фразы, которая защищает активы пользователя в случае ее компрометации. Для доступу к средствам злоумышленнику, помимо 12 или 24 слов, нужно будет знать еще и кодовую фразу (Passphrase).

Кодовую фразу еще называют «25-м словом», но при помощи нее можно расширить также seed из 12 и 18 слов.

Кодовая фраза позволяет создавать скрытые кошельки. Например, вместе с одной сид-фразой мы можем использовать несколько парольных фраз, и это будут разные кошельки (счета и адреса).

Концепт кодовой фразы был описан в предложении по улучшению биткоина BIP39. Ее поддерживают горячие и аппаратные кошельки, такие как Ledger, Trezor, Safepal, Keystone, Ellipal, Onekey и SecuX.

Дополнительное слово создает сам пользователь, и фраза может состоять из строчных и заглавных букв, цифр и специальных символов. Ограничение по длине фразы устанавливаются производителем кошельков.

Зачем использовать кодовую фразу?

Дополнительное слово позволяет нам:

• Защититься от компрометации сида. Узнав наши 12, 18 или 24 слов, мошенник не получит доступ к активам;
• Защитить кошельки без SE-чипа, например, Trezor. Если физически устройство будет взломано, мошенник не узнает парольную фразу;
• Позволяет избежать «Атаки гаечным ключом» — подробнее про нее читайте в этой статье.

Когда мы создаем кошелек, наше устройство генерирует seed-фразу. И хотя рисков ошибки здесь нет, мы всё равно доверяем создание ключей девайсу. Тогда как кодовою фразу мы устанавливаем сами, и каждый введенный символ влияет на энтропию ключей нового счета. Подробнее о том, как генерируется сид-фраза, мы писали здесь.

Важно ли использовать кодовую фразу?

Хранение дополнительного слова — ответственный процесс. Если хоть один символ окажется неверным, мы не сможем восстановить наши средства. Начинающим пользователям мы не советуем устанавливать кодовую фразу, так как легче допустить ошибку в хранении двух секретов (сида и парольной фразы).

Важно все проверить!

В каждом холодном кошельке алгоритм создания и восстановления кодовой фразой разный. Поэтому при использовании этой функции сначала создайте несколько кодовых фраз и проведите процесс восстановления, сверяя публичные адреса: так вы убедитесь, что импортированы нужные счета.

Как установить хорошую кодовую фразу?

Кодовая фраза похожа на пароль. Поэтому устанавливая ее, мы можем руководствоваться методами создания надежных кодов.

• Не использовать памятные даты, названия мест, имена;
• Устанавливать длинную фразу (больше 15 символов);
• Использовать буквы, цифры, символы и разные регистры.

Сложность вашей фразы зависит от цели ее использования и от выбранного вами метода её хранения. Есть полезная статья на сайте Trezor, в которой описаны методы создания кодовых фраз и примеры сложных комбинаций.

Как хранить дополнительное слово?

Самое важное — хранить кодовую фразу отдельно от резервной копии сида. Если кто-либо получит доступ к мнемонике, он не сможет увидеть основные средства.

Даже если вы используете простую фразу, то лучше не стараться её запомнить, а сделать несколько копий на офлайн-носителе и надежно сохранить.

Также нужно составить алгоритм доступа к средствам, чтобы в экстренной ситуации доверенное лицо могло восстановить счет с кодовой фразой.

Подготовка кошелька

Взаимодействие с DApps всегда подразумевает работу со смарт-контрактами — программами, алгоритм работы которых нам не всегда понятен. Подключаясь к сайту мы доверяем коду, который писали люди и могли допустить в нем ошибки. Поэтому важно создать отдельный кошелек для подключения к DeFi.

Изучение протокола

Когда мы решили поработать с DeFi протоколом, важно разобраться в основах его работы и ответить на следующие вопросы:

• Как долго существует проект?
• В какой сети работает протокол?
• С какими инструментами он позволяет работать?

Если у нас нет возможности ответить на эти вопросы, то мы можем обратиться в экспертный чат. После того как мы посмотрим документацию и соц.сети проекта, нужно зайти на сайт DeFillama и посмотреть TVL (количество заблокированных средств) — это те деньги, которые одолжили люди в этот протокол, а значит они доверяют ему.

Не попадись на фишинг!

Важно всегда проверять, что мы находимся на оригинальном сайте проекта. Мошенники часто создают фейковые страницы, на которых пользователи теряют средства.

Вот наши советы:

• Переходите на сайт по ссылкам из соцсетей проекта или через сервисы DeFi Llama или DeFi Prime;
• Проверяйте домен сайта. Обычно мошенники меняют одну или две буквы в названии;
• Добавьте оригинальный сайт в закладки браузера;
• Установите расширение Nighthawk и аналогичные. Оно показывает оригинальные криптосайты.

Первые транзакции

Перед использованием больших сумм в новом протоколе важно протестировать его работу, чтобы понимать особенности подписи транзакций и стоимость комиссий. Поэтому перед добавлением ликвидности, совершением обмена или покупкой актива важно провести операцию с небольшой суммой. Например, добавив 10$ в пул ликвидности, мы сможем на практике понять: как происходит депозит актива, как распределяются награды в пуле и как происходит вывод средств.

Слепые подписи

Холодный кошелек сохраняет наши активы в автономной среде (без интернета), однако взаимодействуя с DeFi протоколом мы вынуждены доверять смарт-контрактам и подписывать транзакции «вслепую», беря на себя риск столкнуться с мошеннической схемой.

Не забудь отозвать разрешения!

Важно отключаться от сайтов dapps после их использования и отзывать разрешения на трату токенов (делать Revoke). Разрешение на трату токенов (Approval) — это передача права смарт-контракту взаимодействовать с активами на нашем кошельке. Отозвать approval можно в обозревателе блокчейна, напрямую через кошелек Rabby Wallet или в сервисе Revoke Cash. Подробнее об этой теме смотрите в видео.

Преимущества кошельков с аккумулятором

Многие аппаратные кошельки имеют встроенный аккумулятор. Он позволяет работать с кошельком автономно, например, в путешествии, когда у нас нет возможности подключиться к питанию зарядки. Как правило, аккумуляторные устройства соединяются напрямую со смартфоном (Bluetooth, air gap, NFC), тогда как модели без батареи мы можем подключить только к ПК через кабель.

Правила правильного использования

В большинстве кошельков установлены литий-ионные аккумуляторы, срок службы которых ограничен. Поэтому мы не советуем использовать устройства с батареями для долгосрочного (10+ лет) хранения криптовалют. Чтобы аккумулятор исправно работал, нужно:

• Не оставлять устройство разряженным на длительное время;
• Периодически пользоваться девайсом;
• Перезаряжать аккумулятор: хотя бы раз в квартал;
• Не оставлять устройство включенным, иначе кошелек быстро разряжается.

Если вы редко пользуетесь кошельком, тогда мы советуем подумать о покупке девайса без аккумулятора или устройства на батарейках. (Keystone Pro, Passport)

Важно и то, что батарея — это риск вывода кошелька из строя. Поэтому всегда проверяйте, точно ли сохранена секретная копия вашей мнемонической фразы! О том, как правильно это сделать, мы рассказали в этом видео.

Зачем обновляться?

Обновление прошивки аппаратного кошелька защитит от возможных уязвимостей, которые могли быть в прошлой версии, а также разработчики часто добавляют новые функции, упрощающие работу с устройством.

Новое программное обеспечение для девайсов редко появляется, куда чаще обновляются интерфейсы мобильных и десктопных приложений. Их версии тоже важно проверять, чтобы защититься от возможных атак и использовать все функции кошелька.

Конечно можно работать и со старой прошивкой. Однако правильно установленное обновление помогает защитить кошелек.

Как правильно обновлять прошивку?

Важно следить за обновлениями. Для этого можно подписаться на социальные сети производителя, чтобы не пропускать актуальные новости.

После релиза новой версии прошивки не нужно сразу устанавливать её. Следуя принципу «доверяй, но проверяй» важно сначала изучить детали обновления, ведь разработчики могли внести косвенные изменения в принцип работы устройства. После того как вы найдете ответы на вопросы «Что было исправлено?» и «Что нового появилось?», можно перейти к следующему шагу — проверке резервной копии.

Есть вероятность, что во время установки нового программного обеспечения что-то пойдет не так. Чтобы не потерять доступ к криптовалюте, важно проверить сохраненную секретную фразу от кошелька. Теперь мы можем быть уверенны, что восстановим кошелек на другом устройстве, если что-то случится во время обновления. Если вы не уверены в точности записанных слов, тогда посмотрите эту статью.

Следующий шаг: пользуясь принципом «сто раз отмерь..» мы проверяем, что устанавливаем новую прошивку именно с официального сайта или через оригинальный клиент. Вероятность подвергнуться атаке злоумышленников всегда сохраняется и, если такое случится, скаченное мошенническое ПО приведет к необратимым последствиям.

Поэтому, если вы загружаете файл прошивки с оригинального сайта, старайтесь проверить его подлинность. Разработчики некоторых девайсов объясняют, как это сделать. Ссылки на гайды по проверке ПО есть в конце записи.

Последний шаг — установка. Если вы раньше этого не делали, лучше найти информацию о том, как правильно обновить кошелек на официальном сайте. Если ваш девайс имеет аккумулятор, тогда он должен быть заряжен. Во время обновления нельзя отключать кабель или Bluetooth, чтобы не прервать передачу файлов.

После успешной загрузки прошивки, остаётся только проверить работу кошелька. В случае, если устройство будет «плохо» работать, лучше перевести средства на другой счет и связаться с разработчиками для выявления проблем.

Как часто надо обновлять прошивку?

Проверять наличие новых версий для обновления устройства нужно раз в несколько месяцев. Хотя бы раз за полгода важно обновлять кошелек и интерфейс. Если этого не делать, некоторые функции девайса могут перестать работать.

Чек-лист по правильному обновлению

• Следить за актуальными новостями;
• Проверить детали обновления;
• Убедится в точности сохраненной seed-фразы;
• Скачивать только с оригинального сайта или клиента;
• Знать процесс обновления;
• Зарядить кошелек и не отключать соединение.

Ссылки на материалы по обновлениям кошельков

• Ledger: Ledger filmware updates;
• Trezor: Update Trezor device firmware;
• SafePal: SafePal update Guide, Update page;
• OneKey: Hardware Wallet Firmware Upgrade;
• CoolWallet: How to update the firmware of CoolWallet?;
• Secux: Firmware Update;
• Keystone: Firmware Upgrade;
• Ellipal: ELLIPAL Firmware Update;
• BitBox: How do I upgrade my BitBox02 firmware?;
• Dcent: Update Device Firmware;
• Foundation Passport: Downloading the Firmware;
• CoinKite ColdCard: User Guide;
• Tangem: Прошивка не обновляется — нужно следить за версией приложения на смартфоне.

Проверка комплектации и коробки

В подлинности устройства можно убедится после проверки:

• Комплектации. Периодически производители её меняют, но если основного элемента комплекта не достает (провода, карточки для записи сида) лучше обратиться в техподдержку или задать вопрос в экспертном чате;
• Упаковки. На ней не должно быть следов вскрытия. Иногда она также меняется, например, в этом документе Trezor можно увидеть варианты упаковок за разные годы;
• Корпуса кошелька. На нём не должно быть следов использования.

Ledger

Подтверждается оригинальность кошелька, когда мы подключаем устройство к приложению Ledger Live. В этот момент устройства выполняет челлендж (математическую задачу), полученный с интерфейса Ledger Live – только оригинальный кошелек сможет выполнить ее. Не оригинальный кошелек Ledger работать с Ledger Live не будет. Об этом подробнее написано в статье Ledger.

Trezor

Модели Trezor T и Trezor One имеют специальные голографические защитные пломбы. Важно убедиться, что бы они не были повреждены. Все устройства Trezor продаются без установленной прошивки. Пользователь устанавливает её сам во время настройки кошелька. Оригинальность прошивки проверяется каждый раз, во время подключения Trezor к компьютеру.

Статья на сайте Trezor

OneKey

Кошельки OneKey проверяются на оригинальность через специальную программу«Bootloader», установленную на устройстве, которая подтверждает целостность и подлинность прошивки.

Проверка происходит каждый раз при подключении кошелька к приложениям OneKey. А также кошелек OneKey Touch поставляется с пломбой защищающей от вскрытия.

Информация на сайте OneKey

Tangem

Внести изменения в прошивку карт Tangem нельзя. Во время первого подключения карты к приложению Tangem, происходит проверка оригинальности прошивки. Прошивку на картах Tangem невозможно обновить. Если карта предлагает вам создать новый кошелек, значит устройство никем ранее не использовалось и является подлинным.

Интервью с техническим директором Tangem

Информация на сайте Tangem

Keystone

В чипе каждого кошелька Keystone сохранен приватный-ключ, который подтверждает оригинальность устройства после прохождения процедуры веб аутентификации.

Инструкция по прохождению аутентификации

Страница веб аутентификации

Статья на Medium о том как она работает

Ellipal

Кошельки Ellipal сделаны в цельнометаллическом корпусе, который защищает устройство от вскрытия во время транспортировки. Обновление прошивки Ellipal происходит через sd-карту и она проверяется кошельком на оригинальность.

Проверка файла прошивки на оригинальность

SafePal

Коробка кошелька имеет специальную пломбу, защищающую от вскрытия, а во время первого включения девайса, необходимо пройти процедуру аутентификации. С помощью алгоритмов шифрования мы подтверждаем, введя шестизначный код, что кошелек подлинный. После прохождения проверки, на кошельке отобразится информация об активации устройства.

Инструкция на сайте SafePal

CoolWallet

На упаковке кошелька есть пломба защищающая от вскрытия. Во время первого подключения к мобильному приложению мы идентифицируем устройство по его серийному номеру и вводим код синхронизации Bluetooth, подтверждая подлинность устройства.

Видео с распаковкой CoolWallet Pro

Активации CoolWallet

Secux

Каждая модель SecuX имеет защитную пломбу, которая закрывает разъем подключения кабеля. Проверяя её целостность мы можем быть уверены в том, что устройство никогда не использовалось. Также в моделях w20 и v20 подлинность проверяется кодами сопряжения Bluetooth соединения.

Страница безопасности SecuX

BitBox

Во время первого подключения BitBox к компьютеру мы должны подтвердить код синхронизации, сохраненный в чипе устройства. Это позволит убедиться в подлинности кошелька.Также установленная в девайсе программа Bootloader, проверяет подлинность прошивки.

Страница безопасности BitBox

D'CENT

Подлинность кошелька проверяется во время подключения к интерфейсу D'CENT. Также на коробке, в которой поставляется устройство, есть пломбы защищающее от вскрытия.

Проверка коробки и комплектации D'CENT

Foundation

Во время первого включения устройства нужно пройти верификацию подлинности девайса. По QR-коду на устройстве мы переходим на страницу верификации и вводим четыре слова, которые отображаются на экране кошелька. Результат проверки отобразится на веб странице. В модели Passport Batch 2 проверка осуществляется через мобильный клиент.

Документация Passport

CoinKite

Важно проверять пакет в котором поставляется кошелек. Он защищен от вскрытия и попадания воды. В упаковке также есть листок с номером пакета, номера мы можем сравнить, чтобы убедится в подлинности упаковки. В момент включения кошелька, появляется номер пакета, который нам нужно сверить с данными на упаковке.

Информация о пакете CoinKite

Пин-код

Большинство аппаратных кошельков защищены пин-кодом, который мы устанавливаем во время создания или восстановления секретной фразы.

Взломать пин-код на аппаратных устройствах сложнее, чем в кошельке MetaMask. Девайсы поддерживают специальную защиту, которая очищает данные на кошельке после нескольких неправильных попыток ввода. Но вероятность подбора пин-кода при попадании устройства в руки злоумышленника всё-таки есть. Важно ответственно подходить к созданию пин-кода:

• Устанавливайте длинный пин-код (от 6 цифр);
• Придумайте новую комбинацию. Важно, чтобы она не использовалась в другом сервисе (на смартфоне, в социальной сети, пин-код от банковской карты);
• Избегайте прямых/обратных последовательностей и повторений цифр;
• Не создавайте код из значимых дат (дня рождения, для свадьбы).

Пример плохих пин-кодов: 123456, 112233, 9876543

Пример хороших пин-кодов: 195643, 439522, 203381

Сохранять пин-код необязательно. Если вы его забудете, доступ к кошельку можно будет восстановить через сохранную резервную копию. Если вы всё же решили его сохранить, для этого мы советуем пользоваться менеджером паролей (KeePassXC, NordPass, BitWarden)

Биометрические данные

Кошельки Keystone Pro и D’CENT Biometric Wallet поддерживают авторизацию через отпечаток пальца. У использования биометрии есть свои преимущества:

• Мы не сможем забыть наши данные;
• Можно работать с кошельком в общественном месте. Никто не подсмотрит наш пароль.

Однако в таких кошельках всё равно устанавливается пин-код. На тот случай, если авторизация через биометрию не будет срабатывать. Получается, что для безопасности в экстренных ситуациях лучше сохранить пин-код, чтобы получить доступ к средствам если датчик биометрии перестанет работать.

Код сопряжения

В кошельках CoolWallet и SecuX используются специальные коды подтверждения, которые помогают установить связь устройства и смартфона через Bluethooth.

CoolWallet единоразово требует код подтверждения для синхронизации, а в моделях SecuX код необходимо вводить всякий раз при подключении по Bluetooth.

Такая защита обеспечивает безопасное соединение со смартфоном. Мошенник не сможет подключиться к кошельку дистанционно.

Авторизация в клиенте

В оригинальных приложениях кошельков также настраивается дополнительная мера безопасности. Вход в приложения можно защитить:

• Пин-кодом;
• Паролем;
• Отпечатком пальца (если поддерживает смартфон);
• Face ID (например в приложении кошелька Tangem, CoolWallet Pro).

Даже если злоумышленник получит доступ к приложению, он не сможет вывести средства без устройства. Однако лучше устанавливать пароль для того, чтобы никто не мог узнать баланс или историю транзакций.