Що робити, якщо ваш гаманець Web3 зламали
Сім порад плюс практичні рекомендації, якщо сталась ця неприємність
Автор статті та обкладинки: Trewkat | Редактор: Hiro Kennelly
Український переклад: гільдія перекладачів BanklessDAO (Romko, Yura_Teslya)
Відчуття, коли внизу шлунка все стискається. Повільне, а потім різке усвідомлення того, що токени зникли з вашого криптогаманця. (В нашої команди таке траплялось, на жаль)
Без сумніву, якщо з вами таке траплялося, ви пройшли через відчай, жах, сором, невіру і самозвинувачення протягом п'яти хвилин після того, як помітили, що вас обдурили.
В Інтернеті є безліч інформації про те, як уникнути шахрайства або злому. Серед безпечних звичок — ніколи не ділитися своєю ключовою фразою, використовувати окрему адресу гаманця для доступу до невідомих з'єднань, а також бути в курсі того, які дозволи у вас встановлені, і відкликати їх у разі потреби.
Це все корисно і, сподіваємось, превентивно, але якщо ви стали мішенню, попри ваші найкращі наміри, що робити в перші години після атаки, щоб мінімізувати вплив на себе та інших?
Ось кілька практичних кроків, які слід зробити, якщо ваш гаманець web3 зламали, щоб захистити інші ваші активи або, можливо, навіть повернути втрачені кошти.
Перевірте історію транзакцій на Etherscan і всіх пов'язаних з ним акаунтах (наприклад, біржових), щоб визначити масштаби злому і те, які активи було викрадено. Якщо в гаманці залишилися цінні для вас активи, переведіть їх на гаманець з іншою ключовою фразою для безпечного зберігання.
Визначте вектор атаки. Чи підписували ви транзакцію після переходу на невідомий вебсайт? Завантажували небажаний файл, який вам надіслали? Чи намагалися ви заклеймити ейрдроп без кросс-чейн перевірки легітимності події?
Відключіть всі дозволи ненадійних гаманців, щоб запобігти будь-яким подальшим транзакціям. Ви можете прочитати більше про цей важливий крок нижче.
Змініть свої паролі: Змініть пароль до вашого криптогаманця і всіх інших облікових записів, які можуть бути до нього підключені, наприклад, електронної пошти або біржових акаунтів. Використовуйте надійні та унікальні паролі, а також подумайте про використання менеджера паролів для їх створення та безпечного зберігання.
Повідомте всі відповідні біржі або платформи, на які були переведені вкрадені активи, а також будь-які відповідні органи про крадіжку (наприклад, поліцію або фінансові регулятори)
Подумайте про те, щоб зв'язатися зі спільнотою або командою розробників відповідного блокчейну, які можуть допомогти з поверненням коштів або відстеженням викрадених активів у блокчейні.
Захистіть свій комп'ютер та будь-які інші пристрої, що використовуються для доступу до вашого криптогаманця. Встановіть антивірусне програмне забезпечення, використовуйте брандмауер і в майбутньому уникайте підозрілих посилань та непідтверджених віндфолів.
Revoke, Revoke, Revoke
Наступний слайд з уроку Web3 Security від Bankless Academy містить чудові поради для тих, хто опинився в такому незавидному становищі:
Зверніть увагу на інструкцію відвідати Etherscan's Ethereum Token Approval Tool, щоб переглянути й відкликати схвалення ваших токенів для будь-якого dApp. Це ключовий крок, тому що якщо ви залишите дозвіл на смартконтракт на місці, це все одно, що залишити двері незамкненими для злодія, який може знову до вас завітати. Одним з цікавих аспектів інструменту Etherscan є можливість бачити дату і час, коли було надано дозвіл на використання токена — це може допомогти вам знайти зловмисника, який здійснив атаку.
Revoke.cash - ще один інструмент, який дозволяє перевіряти, сортувати і скасовувати дозволи гаманців. Хоча цей процес є важливим після атаки, щоб запобігти подальшим втратам, рекомендується робити це регулярно. За матеріалами сайту Revoke.cash:
ЗАПОБІГАННЯ КРАЩЕ, НІЖ ЛІКВІДАЦІЯ НАСЛІДКІВ. РОЗШИРЕННЯ ДЛЯ БРАУЗЕРА REVOKE.CASH ПОПЕРЕДЖАЄ ВАС, КОЛИ ВИ ЗБИРАЄТЕСЯ ПІДПИСАТИ ЩОСЬ ПОТЕНЦІЙНО ШКІДЛИВЕ. ЦЕ МОЖЕ ВБЕРЕГТИ ВАС ВІД ФІШИНГ-ШАХРАЙСТВА, ЗМУСИВШИ ВАС ДВІЧІ ПОДУМАТИ ПРО ТЕ, ЩО ВИ РОБИТЕ.
Revoke також має чудову інфографіку, яка допоможе вам визначити можливу причину вашої втрати та дії, які вам слід вжити.
Як уникнути повторної атаки
Дізнайтеся більше про безпеку блокчейну і про те, як захистити свої активи. Це включає в себе розуміння основ роботи блокчейну, як захистити свої приватні ключі, а також як розпізнати та уникнути потенційних шахрайств.
Фішинг та атаки соціальної інженерії, коли хакери використовують шкідливі посилання для отримання доступу до особистої інформації або крадіжки коштів, є поширеною тактикою шахрайства, яку використовують кіберзлочинці. Хоча ви можете вжити розумних заходів, щоб захистити себе, з обережністю переходячи за посиланнями і не надаючи особисту інформацію незнайомим джерелам, повністю виключити ризик стати жертвою таких атак неможливо, якщо тільки ви не перенесетеся в 1985 рік.
Хакери постійно вигадують нові способи обманом змусити людей переходити за посиланнями, що ускладнює завдання залишатися поінформованими та пильними. Неетичні люди часто готові грати в довгу гру; вони задобрюють вас, завойовують вашу довіру, а потім завдають удару, тому дуже важливо, щоб ви перепровірили й перевірили всі підходи та можливості перед тим, як вирішите вступити в гру.
Хоча у вас може виникнути спокуса опублікувати деталі вашого досвіду в Twitter або інших соціальних мережах, ви повинні робити це тільки після того, як ви врахували ризик подальших втрат, і бути готовими до навали фальшивих повідомлень про підтримку у відповідях, особливо якщо у вашому дописі згадуються MetaMask або OpenSea. Не піддавайтеся на них!!!
Живи та вчись
Якщо ви стали жертвою шахрая, не звинувачуйте себе, а зробіть правильні кроки, щоб мінімізувати наслідки й не допустити повторення подібного.
Біографія автора/дизайнера
Trewkat - письменниця, редакторка та дизайнерка в BanklessDAO. Вона зацікавлена у вивченні криптовалют та NFT, приділяючи особливу увагу тому, як найкраще донести ці знання до інших.
Біографія редактора
Hiro Kennelly - письменник, редактор і координатор BanklessDAO, співробітник Bankless Consulting, а також DAOpunk.
BanklessDAO - це освітній та медіа-рушій, покликаний допомогти людям досягти фінансової незалежності.
Оригінал статті знайдеш тут!
Це інформаційний блог, який носить виключно навчальний характер. Не є порадою щодо інвестування чи закликом купити чи продати будь-які активи чи прийняти будь-які фінансові рішення.