Як запобігти взлому криптогаманця
Небезпека навколо нас. Захистіть себе за допомогою цих стратегій.
Дорога нація Bankless,
Минулого тижня творець Moonbirds Кевін Роуз став жертвою атаки фішингу, в результаті якої його гаманець був зламаний на суму ~684 ETH у NFT.
Якщо це може статися з гуру Web3, це може статися і з вами. Ознайомтеся з найкращими практиками безпеки наших гаманців та поставте свої криптоактиви під охорону вже сьогодні.
- Команда Bankless
Український переклад: гільдія перекладачів BanklessDAO (Romko, Yura_Teslya)
Як запобігти взлому криптогаманців
Автор Bankless: William M. Peaster, автор матеріалу Bankless та автор Metaversal
Зломи криптогаманців вже призвели до крадіжок цифрових активів на мільйони доларів у 2023 році.
Ця тактика Bankless покаже вам, як використовувати багаторівневий, багатогранний підхід для рішучого захисту гаманців від зливу криптовалют і NFT.
Ціль: Дізнатися, як створити захисну систему гаманців.
Навичка:від середнього до просунутого
Витрати: Декілька годин
ОКУПАЛЬНІСТЬ ІНВЕСТИЦІЙ: Душевний спокій, знаючи, що ваші активи захищені
Стратегія для збереження вашої криптовалюти
Підписувати чи не підписувати: основні небезпеки криптогаманців
"Гарячі" криптогаманці - це програмні онлайн-гаманці, а саме розширення для браузерів, такі як MetaMask, та мобільні програми, такі як Rainbow.
Ці види гаманців особливо популярні через простоту використання. Але в чому проблема? Хакер може легко злити гаманці, якщо компрометує пароль вашого облікового запису або початкову фразу.
Саме тут на допомогу приходять "холодні" криптогаманці. Від паперових до апаратних гаманців ці методи гарантують, що закриті ключі ваших адрес назавжди ізольовані від Інтернету, тим самим пом'якшуючи багато векторів злому.
Тут слід зазначити, що MetaMask та інші гарячі гаманці - це лише інтерфейси. Ви можете підключити свій холодний апаратний гаманець, наприклад Ledger, до використання через ці популярні інтерфейси і отримати найкраще з двох світів: зручний UX і надійний захист.
Однак такі ресурси, як апаратні гаманці, не є універсальним рішенням для захисту ваших криптовалютів та НФТ. Базова безпека, яку забезпечують ці пристрої, хороша лише настільки, наскільки хороші транзакції, які ви підписуєте.
Іншими словами, якщо вас обманом змусять підписати мерзенну транзакцію, створену хакером, він може зловжити всіма активними схваленнями токенів, які у вас є, щоб злити всі схвалені токени з гаманця.
Криптоінсайдер отримав шкідливий підпис
Минулого тижня криптовалютний простір отримав нагадування про те, наскільки кусачим може бути цей вектор атаки, коли Кевін Роуз, співзасновник таких проєктів, як Proof Collective та Moonbirds, побачив, як з одного з його гаманців пішли десятки NFT grails після підписання начебто законної. але насправді шкідливої транзакції.
На жаль, це цілком зрозуміло - ми вже бачили безліч подібних крадіжок. Роуз думав, що карбує монету зі справжньої колекції Memes Collection by 6529 , але насправді це був сайт-пастка, який запропонував підписати монету підробленим підписом. Запит на підпис виглядав нерозбірливо для людського ока, приблизно так:
Однак насправді підпис, підписаний Роузом, призначався для отруйної спеціально створеної транзакції OpenSea sales bundle, яка націлювалася на всі NFT, на які у нього були активні схвалення, і таким чином передавала їх хакеру практично безкоштовно.
Майте на увазі, що в екосистемах DeFi та NFT прийнято проводити транзакції схвалення для токенів, якими ви торгуєте. Це дозволяє смарт-контракту отримати доступ до ваших токенів.
Якщо ви, наприклад, дасте OpenSea необмежений дозвіл на витрачання ваших Bored Apes, це дозволить вам перерахувати всі наявні у вас BAYC NFT на протокол SeaPort компанії OpenSea. Однак хакер може зробити те саме, якщо заволодіє вашим гаманцем!
Таким чином, злом гаманця Кевіна Роуза було здійснено завдяки сукупному впливу трьох факторів:
сайт підробленого мінту був досить переконливим
Фактичне підписання краденої транзакції
Цінні схвалення токенів були доступні, щоб ними скористатися
Захист L.A.S.H. 101
Гарні новини? Існує певна серія засобів захисту, які за умови правильного використання в тандемі можуть рішуче захистити ваші гаманці від спустошення. Я називаю ці ресурси та їх додаткові програми разом системою L.A.S.H. (Layered Software and Hardware) для криптозахисту.
📱 Почніть з апаратних гаманців— використовуйте холодні гаманці, такі як пристрої Ledger, які захищають приватні ключі від контакту з інтернетом, для підтримки та взаємодії з вашими основними повсякденними криптовалютними рахунками.
💎 Консолідація за допомогою сховища - Створіть цифрове сховище для найцінніших криптовалют та НФТ за допомогою просунутих рішень для акаунтів, таких як Safe (для створення гаманців з кількома підписами) та/або Argent (для створення гаманців смарт-контрактів із соціальними зберігачами).
🔏 Покращіть безпеку за допомогою додатків безпеки — Покладіться на такі додатки безпеки, як delegate.cash (для брандмауера важливих "холодних" гаманців), Stelo (для попереджень про транзакції) і revoke.cash (для очищення ваших токенів), щоб захистити сток ваші гаманці
Апаратні гаманці як базова команда
Ledger, Trezors, GridPlus Lattices, о боже! Вибір за вами, але вам доведеться вибирати.
Ви хочете зберігати свої цифрові яйця, так би мовити, у різних кошиках, тому, припустимо, ви хочете мати три різні випадкові гаманці: один для спільної діяльності DeFi, один для мінту власних NFT і один для збору чужих NFT.
Хороша ідея, але подумайте про використання окремого апаратного гаманця для кожної з цих адрес! Таким чином, хакер не зможе скрафтити жоден із ваших випадкових рахунків, навіть якщо, скажімо, він зламає пароль до вашого розширення MetaMask.
Однак тут є кілька важливих моментів, про які слід пам'ятати:
Купуйте апаратні гаманці тільки безпосередньо на сайтах виробників - ви ж не хочете зіткнутися з ймовірністю, навіть малоймовірною, що ваш пристрій був підроблений у стороннього продавця.
Надійно захищайте свої початкові фрази - чи використовуєте ви вогнетривкий сейф, кілька банківських осередків за допомогою секретного обміну Шаміра або стенографію + татуювання (це можливо!), ставтеся до зберігання початкових фраз серйозно, тому що це як паролі "божественного режиму" для зв'язаних адрес. .
Створіть сховище для кращих активів
Після того як ви подбали про повсякденні гаманці, настав час підготувати цифрове сховище.
У розмовному сенсі сховище – це гаманець, який ви призначаєте для довгострокового зберігання криптовалют та НФТ. Ви ізолюєте його від випадкових дій, таких як майнінг з нових дропів, щоб уникнути активних схвалень токенів та атак на підпис транзакцій.
Ідея полягає в тому, щоб перевести найбільш цінні активи у сховище, а потім просто залишити їх там на зберігання. Якщо настане час, коли вам знадобиться продати щось із вашого сховища, наприклад, NFT, спочатку переведіть це на окремий гаманець, щоб ваше сховище ніколи не отримувало активних схвалень токенів. Таким чином, воно буде захищене від погроз.
І все-таки, як найкраще зробити сховище?
Звичайно, "сховище" - це лише позначення статусу. Як сховища можна використовувати, наприклад, наявний у вас запасний апаратний гаманець. Але я рекомендую піти далі і використовувати рішення, які можуть захистити ваші криптовалюти та НФТ за допомогою декількох рівнів безпеки, наприклад, гаманець з мультипідписом Safe або гаманець для смарт-контрактів Argent
У Safe ви можете створити сховище, використовуючи три різних апаратних гаманця для мультисигми 2з3, або п'ять гаманців для мультисигми 3з5 і т. д. Наприклад, у випадку 2-з-3 для підтвердження будь-якої транзакції зі сховища потрібно будь-яка комбінація з двох підписів із трьох призначених гаманців.
Ці додаткові рівні надмірності транзакцій є потужними, оскільки завдяки їм зловмиснику більше не потрібно компрометувати лише одну адресу, щоб вкрасти ваші граалі, а потрібно кілька адрес, що малоймовірно. На щастя, використовувати Safe дуже просто. Для цього потрібно:.
Зайдіть на сайт app.safe.global/welcome, підключіть гаманець та натисніть кнопку Створити новий сейф.
Виберіть ланцюжок розгортання - зараз підтримуються Ethereum та 10 інших мереж.
Назвіть свій сейф, наприклад "My Vault".
Введіть інші адреси, з якими ви бажаєте налаштувати свій multisig.
Натисніть кнопку "Створити", потім завершіть транзакцію розгортання і вуаля!
Щодо Argent, то це система розумних гаманців. Це означає, що коли ви створюєте гаманець через Argent, він фактично є смарт-контрактом Ethereum, а не простою адресою. Така конструкція дуже приваблива, оскільки вона дозволяє відмовитися від роботи із закритими ключами, соціально відновити свій рахунок та уникнути ненадійних транзакцій через Guardians.
Простіше кажучи, опікун це довірена третя особа, яку ви призначаєте, щоб допомогти вам зберегти контроль над гаманцем. Ви можете вибрати членів сім'ї, близьких друзів або навіть додаткові гаманці, які ви контролюєте. В Argent ви вказуєте, яким адресам ви довіряєте, а для взаємодії з будь-якими адресами, які не входять до цього списку, буде потрібно схвалення Охоронців.
Ці багаторівневі механізми відновлення та довіри роблять Argent ще одним цікавим варіантом для вашого цифрового сховища. Щоб створити гаманець Argent, вам потрібно:
Завантажити програму Argent Android або iOS
Відкрийте програму та натисніть "Створити новий гаманець", коли з'явиться запит.
Зарезервуйте ім'я користувача, а потім прочитайте та прийміть умови надання послуг
Введіть адресу електронної пошти та номер телефону, потім підтвердіть електронну пошту та введіть код перевірки, надісланий на ваш телефон.
Виберіть пароль для захисту гаманця та активуйте свій рахунок Ethereum, і це все!
Підвищіть рівень захисту за допомогою програм безпеки
Нарешті, у системі L.A.S.H. ви хочете доповнити свої базові гаманці та сховище деякими дійсно корисними програмами для захисту криптовалют, які доступні в даний час. Найяскравіші приклади включають:
🤲 delegate.cash — Ваше сховище було включено до списку дозволених для нового гарячого мінту NFT, але ви не хочете мінтити звідти? Такі сервіси, як delegate.cash, дозволяють делегувати повноваження вашого холодного гаманця гарячому гаманцю на ваш вибір, щоб ваші базові активи завжди залишалися ізольованими.
❌ revoke.cash — Підключіть свій гаманець до revoke.cash, щоб переглянути та видалити токени, які ви більше не використовуєте, як частина вашої звичайної процедури криптобезпеки... прикрийте зловмисників до того, як вони зможуть обдурити вас!
🛡️ Stelo — Це розширення для браузера, яке ви можете завантажити, щоб перетворити незрозумілі запити підпису гаманця в зрозумілі повідомлення або, при необхідності, зрозумілі попередження; це може стати вашою першою лінією оборони для запобігання поганим транзакціям.
Висновки
Підхід L.A.S.H. до криптобезпеки пропонує рівні захисту як для звичайних гаманців, так і для гаманців у сховищі. Якщо об'єднати гарантії, що надаються апаратними гаманцями, мультисигами, делегуванням облікових записів, регулярним очищенням схвалення токенів і підписами, ви отримаєте систему безпеки, яка надмірна у своєму захисті і не має єдиної точки відмови.
Якщо ви хочете забезпечити свою криптобезпеку назавжди, я рекомендую використовувати цей комплекс рішень у тандемі для практичного та ефективного захисту!
Кроки дії
Покращте свою криптовалютну безпеку:: використовуйте апаратні гаманці, цифрове сховище та програми захисту криптовалют, такі як Stelo 🛡️
Прочитайте мою попередню тактику, якщо її пропустили: Ваша криптовалюта не така безпечна, як ви думаєте 🪙
Біографія автора
Вільям М. Пістер – професійний письменник та творець Metaversal – нового інформаційного бюлетеня Bankless, присвяченого появі NFT у криптоекономіці. Останнім часом він також надає контент для Bankless, JPG та не тільки!
Оригінал статті знайдеш тут!
Це інформаційний блог, який носить виключно навчальний характер. Не є порадою щодо інвестування чи закликом купити чи продати будь-які активи чи прийняти будь-які фінансові рішення.