Безпека у світі криптовалют
На що звернути увагу у крипто подорожі
Криптовалюти дають змогу відчути абсолютну свободу дій, але разом з цим за цю свободу несете відповідальність лише ви.
Кількість користувачів криптовалют зростає, а разом з тим зростає і кількість зловмисників. Методи їхньої роботи стають дедалі витонченішими з кожним роком, причому активність зростає незалежно від фаз ринку.
Безпека — доволі широка тема, і це не ультимативний гайд з неї, а скоріше — стартовий чеклист, який багато хто знайде корисним. Пристрій деяких згаданих інструментів виходять за рамки цієї статті, однак для допитливих будуть посилання ;)
Ніщо не є безпечним на 100%. Просто тому, що в будь-якому ланцюжку ваших дій, зроблених для безпеки, є слабка ланка — ви. Тому цей гайд покликаний значно *знизити*, а *не виключити* ризики втрати ваших криптоактивів у результаті випадкової або цільової атаки.
Пропоную почати здалеку й освіжити в пам'яті, що таке сід-фраза і як вона створюється, щоб краще розуміти, що ж ми захищаємо:
Основні вразливості
1. Використання піратського контенту
Один із фундаментальних пунктів, який може підірвати всі інші заходи безпеки. Піратський контент може містити в собі шкідливе ПЗ.
Йдеться про операційні системи, ПЗ, ігри, фільми тощо, скачані через торрент та інші небезпечні джерела.
Краще заплатити та не переживати за безпеку в майбутньому — так дешевше.
До речі, шкідливе ПЗ — це не завжди історія про миттєву крадіжку. Зловмисники крадуть логи/куки, зберігають сід-фрази гаманців і моніторять баланс. Немає сенсу красти у вас 30$, якщо висока ймовірність збільшення балансу під час поповнення/хорошого ейрдропу.
Усунення:
- З чистого пристрою створіть нові гаманці та перемістіть усі свої активи туди. Вимкніть синхронізацію даних додатків-гаманців в iCloud/Google.
- Змінити всі паролі на поштових і біржових акаунтах, увімкнути 2FA + СМС.
- Використовуйте хоча б вбудований антивірус і регулярно оновлюйте його. Обережно з переносними носіями інформації та ретельно стежте за своїми пристроями, щоб ними користувалися тільки ви — так ви знизите ризик зараження. Звертайте увагу на розширення і тип файлу.
2. Змішування крипти, роботи та відпочинку
Розділяючи крипту, роботу, відпочинок ви значно підвищуєте свою продуктивність та уважність.
Крім того, маючи окремий пристрій для роботи з криптою, ви знижуєте ризики його зараження вами або членами вашої родини.
У браузері для роботи з криптою не використовуйте ніяких зайвих розширень, оскільки вони можуть підміняти адреси для надсилання/отримання криптовалюти, а також робити переадресацію на фішингові сайти.
Якщо ви використовуєте Google Chrome на вашому особистому ПК і в налаштуваннях зазначено, що він управляється вашою організацією — велика ймовірність, що ваш браузер заражений. Антивірус навряд чи допоможе. Додатковими ознаками зараження є спливаючі вікна та реклама:
Усунення:
Створіть окремі акаунти для читання чатів/каналів зокрема. Перенесіть усе, що пов'язано з криптою, на окремий акаунт/и. На ньому не повинно бути компрометуючих даних: ім'я, фото, номер, нікнейм.
В ідеалі мати другий ПК для роботи з фінансами, але ми зупинимося на базовому рішенні — окремий обліковий запис/профіль/браузер із вимкненими автозбереженням даних і рекламою (нерідко шкідливою). Для вимкнення реклами можна використовувати AdBlock.
- Використовуйте хороший закордонний сервіс VPN/проксі, пошуковик, який не відстежує історію — це корисно і приємно. А якщо відмовитися від Google ви не можете, завжди перевіряйте адресу сайту, поруч з якою стоїть позначка реклама. Для відвідування постійних сайтів створіть уже нарешті закладки :)
Завжди перевіряйте адресу для приймання/відправлення коштів через CTRL+F.
Не використовуйте публічні мережі Wi-Fi. Зловмисник може перехопити дані вашого браузера або підмінити сторінку біржі, де ви введете, наприклад, email, пароль, а потім і 3 коди — всі ці дані він перехопить і введе на справжній сторінці авторизації біржі. Не забуваємо про те, що на Binance, як і раніше, можна купити NFT без жодних підтверджень. Зловмисник може купити на ваші гроші власний NFT і отримати їх на акаунт свого дропа.
Не залишайте пристрій без нагляду, не використовуйте розблокування за відбитком/особою або Bluetooth. Пам'ятайте, що безпека і зручність часто на різних полюсах. Відповідно, розблокування вашого гаманця на телефоні має бути тільки за паролем.
3. Безпека в месенджерах і реальному житті
Не варто ділитися скріншотами балансу. Якщо я бачу на вашому скріншоті 900,4582 ETH, найімовірніше, я зможу за холдерами в експлорері блокчейна швиденько знайти вашу адресу. Висока ймовірність, що ні в кого більше немає такої суми на цей момент. А якщо і є, можна нехитрим методом пошуку в груповому чаті уточнити, які ще валюти ви зберігаєте і скільки.
Усунення:
Не публікуйте точне значення балансу. Те ж саме стосується і NFT - не показуйте #ID NFT або саму картинку — це може дозволити однозначно визначити адресу вашого гаманця, а значить і баланс.
Не повідомляйте адреси своїх гаманців, навіть старих, тому що ви могли проколотися. Потенційними зловмисниками можуть виявитися далекі родичі або просто заздрісні незнайомці/знайомі.
Не варто поширюватися про свої успішні/невдалі кейси в крипті, оскільки це підвищує ризик цільової атаки на вас за допомогою шантажу/тиску/зламу. Як би не хотілося. Дівчаткам і суші про джерело доходу знати необов'язково.
Вимкніть автозавантаження медіа в месенджерах, увімкніть автоматичне видалення кешу через 3-7 днів.
НІКОЛИ не відкривайте посилання в особистих повідомленнях в Discord, Telegram, інших соц. мережах/месенджерах/поштових сервісах через які ви займаєтеся криптою
Обережніше з файлами, зокрема від знайомих людей, оскільки вони можуть стати жертвою зловмисника або втиратися до вас у довіру. Варто відкривати файли тільки в хмарі, за посиланням. Перевіряйте адресу посилання, адже можна скопіювати будь-який сайт. І пам'ятайте, що заливаючи файл на хмарне сховище, ви погоджуєтеся з тим, що файли більше не належать вам.
4. Розуміння пристрою DeFi
Відключення розширення-гаманця від сайту не означає, що ви "в будиночку", адже аппруви то залишилися!
Усунення:
Тестуйте нове безкоштовно або на невеликі суми: при роботі з новими інструментами є ризик безповоротно втратити свою криптовалюту. Найкраще знайомитися з новими інструментами на тестнетах/у тестовій мережі, або, якщо це неможливо, здійснювати транзакції на невеликі суми, щоб переконатися, що ви дієте правильно і розумієте, як працює новий інструмент.
Відкликати нескінченні аппруви на сайтах, хоч би як ви їм не довіряли. Для ефіру є Etherscan - офіційний інструмент. Для інших EVM блокчейнів аппруви можна відкликати вручну, взаємодіючи зі смартконтрактом на сторінці експлорера, або, використовуючи на свій страх і ризик Revoke.Cash і DeBank
Не зберігайте "обгорнуті/wrapped" монети: у чому проблема таких монет? Якщо зламають міст і вкрадуть усі кошти, то ваші обгорнуті монети перетворяться на фантики, бо їхнє забезпечення у вигляді заблокованих у мосту монет зникне, також є ризик депегу. Обгорнутою монета стає тоді, коли ви переганяєте її по мосту з рідного блокчейна на інший. Коли це відбувається, монети блокуються мостом на рідному блокчейні. А на тому блокчейні, куди ви її переказували, вам видається аналогічна кількість "обгорнутих" монет, які є токенами.
5. зберігання паролів і сід-фрази на пристрої з інтернетом
Так де ж тоді зберігати свої паролі та ключі? Є 3 варіанти, але перш, ніж ми до них перейдемо, досконально вивчіть пристрій їхньої роботи:
1. Спеціалізований софт — менеджери паролів з відкритим вихідним кодом KeePass і Bitwarden
2. Криптоконтейнери — це такий прихований розділ на вашому диску/флешці, для доступу до якого потрібно відкрити заздалегідь заданий файл і ввести пароль. Детальніше про це, можливо, поговоримо трохи пізніше. Якщо ви погано розумієте, як це працює — не використовуйте цей метод.
3. Апаратний менеджер паролів, наприклад, від Trezor
Додаткові поради та інструменти:
1 сервіс/сайт = 1 унікальний пароль. Щоб елементарно захистити себе від підбору пароля в майбутньому при черговому витоку даних сервісу/з вашої вини. Можете скористатися генератором паролів і не забувайте регулярно оновлювати паролі на ключових сайтах і сервісах.
Можете використовувати VirusTotal для перевірки будь-яких посилань або файлів на вшиті віруси. Для зручності є і телеграм бот
На ваші гаманці будуть активно засилатися скам-токени/NFT. Не варто заходити до них на сайт або намагатися їх продати. Це може призвести до повної втрати коштів. Сьогодні більшість проєктів просять вручну отримати свою нагороду, тобто зайти на сайт і заклеймити. Перевіряйте, чи збігається адреса контракту токена/NFT, зазначена в офіційному джерелі, з тим, що ви намагаєтеся заклеймити.
Свій старий телефон можна використовувати як сховище паролів, кодів аутентифікації Google і приймач смс. Ніхто не повинен знати ваш номер і про існування цього телефону. Не забуваємо заряджати й робити резервні копії.
Нікому не передавайте сід-фразу, зберігайте її в різних місцях, мати резервні копії, навчити довірених осіб
Використовуйте тільки поштові сервіси від Google/ProtonMail. Можна створити до 4-5 Gmail на один номер. Не використовуйте для цього віртуальні номери.
Пошта, яку ви використовуєте для паролів, ніде не повинна палитися, містити в собі ваше ім'я/нікнейм і використовуватися для спілкування з кимось.
Рекомендації:
окремі пошта+номер+акаунти для соціального життя
окремі пошта+номер+акаунти для криптовалютних активностей
окремі пошта+номер+акаунти для абузу та інших сумнівних активностей
Чек-лист з безпеки на централізованих біржах
Розберемо кроки, які можна застосувати на найпопулярнішій біржі Binance:
Встановити унікальний складний пароль і регулярно оновлювати його: якщо під час авторизації на біржі використовуєте смс — відключіть можливість відновлення вашої сім-карти за довіреністю. Тоді зловмисники не зможуть використовувати підроблену довіреність для відновлення доступу до ваших акаунтів. Ніколи не використовуйте для авторизації лише смс.
Встановити антифішинговий код для поштової розсилки потрібен для того, щоб вам не підкинули шкідливе посилання в пошті. Тепер кожен лист від біржі буде супроводжуватися вашим кодовим словом у шапці. Все інше — фішинг
Використовувати білий список адрес: після увімкнення виведення з біржі буде доступне тільки на зазначені адреси, у зазначених мережах. Виведення на нові адреси в списку буде заблоковано на 24 години.
Не зберігайте всі кошти на біржі: ваша крипта вам не належить, поки не надійде на кастодіальний гаманець. у кращому разі ви втратите час, а в гіршому — все. Трапитися може що завгодно: скам або злом біржі, технічні неполадки біржі/блокчейну, брак фактичної ліквідності криптовалюти і як наслідок — затримки з виведенням. А ще ваші гроші можуть бути заморожені службою безпеки (нерідко трапляється з тими, хто використовує міксери та інші витончені способи введення/виведення)
Це інформаційний блог, який носить виключно навчальний характер. Не є порадою щодо інвестування чи закликом купити чи продати будь-які активи чи прийняти будь-які фінансові рішення.