- Сообщения
- 185
- Реакции
- 616
(COPYPAST)
Криптовалюты позволяют почувствовать абсолютную свободу действий, но вместе с этим за эту свободу несёте ответственность лишь вы.
Количество пользователей криптовалют растёт, а вместе с тем растёт и число злоумышленников. Методы их работы становятся всё более изощрёнными с каждым годом, причём активность растёт независимо от фаз рынка.
В прошлый раз мы разобрали некоторые мифы про безопасность и пришли к выводу, что защита приватного ключа и доступа к нему – ключевой аспект обеспечения безопасности.
Безопасность — довольно широкая тема и это не ультимативный гайд по ней, а скорее - стартовый чеклист, который многие найдут полезным.
Ничто не является безопасным на 100%. Просто потому, что в любой цепочке ваших действий, предпринятых для безопасности, есть слабое звено - вы. Потому данный гайд призван значительно снизить, а не исключить риски потери ваших криптоактивов в результате случайной или целевой атаки.
Основные уязвимости
Использование пиратского контента
Один из фундаментальных пунктов, который может подорвать все остальные меры безопасности. Пиратский контент может включать в себя вредоносное ПО.
Речь об операционных системах, ПО, играх, фильмах и т.д. скачанных через торрент и других небезопасных источников.
Лучше заплатить и не переживать за безопасность в будущем - так дешевле.
Кстати, вредоносное ПО - это не всегда история про мгновенную кражу. Злоумышленники крадут логи/куки, хранят сид-фразы кошельков и мониторят баланс. Нет смысла красть у вас 30$, если высока вероятность увеличения баланса при пополнении/хорошем эйрдропе.
Устранение:
С чистого устройства создать новые кошельки и переместить все свои активы туда. Отключите синхронизацию данных приложений-кошельков в iCloud/Google.
Сменить все пароли на почтовых и биржевых аккаунтах, включить 2FA + СМС.
Используйте хотя бы встроенный антивирус и регулярно обновляйте его. Осторожно с переносными носителями информации и тщательно следите за своими устройствами, чтобы ими пользовались только вы - так вы снизите риск заражения. Обращайте внимание на расширение и тип файла.
Смешивание крипты, работы и отдыха
Разделяя крипту, работу, отдых вы значительно повышаете свою продуктивность и внимательность.
Кроме того, имея отдельное устройство для работы с криптой вы снижаете риски его заражения вами или членами вашей семьи.
В браузере для работы с криптой не используйте никаких левых расширений, так как они могут подменять адреса для отправки/получения криптовалюты, а также делать переадресацию на фишинговые сайты.
Если вы используете Google Chrome на вашем личном ПК и в настройках указано, что он управляется вашей организацией - велика вероятность, что ваш браузер заражён. Антивирус вряд ли поможет. Дополнительными признаками заражения являются всплывающие окна и реклама.
Устранение:
Создайте отдельные аккаунты для чтения чатов/каналов в том числе. Перенесите всё, что связано с криптой на отдельный аккаунт/ы. На нём не должно быть компрометирующих данных: имя, фото, номер, никнейм.
В идеале иметь второй ПК для работы с финансами, но мы остановимся на базовом решении – отдельный аккаунт/профиль/браузер с выключенными автосохранением данных и рекламой(нередко вредоносной). Для отключения рекламы можно использовать AdBlock.
Используйте хороший зарубежный сервис VPN/прокси, поисковик, который не отслеживает историю - это полезно и приятно. А если отказаться от Google вы не можете, всегда проверяйте адрес сайта рядом с которым стоит пометка реклама. Для посещения постоянных сайтов создайте уже наконец закладки
Всегда проверяйте адрес для приёма/отправки средств через CTRL+F.
Не используйте публичные сети Wi-Fi. Злоумышленник может перехватить данные вашего браузера или подменить страницу биржи, где вы введёте, например, email, пароль, а затем и 3 кода – всё эти данные он перехватит и введёт на настоящей странице авторизации биржи. Не забываем о том, что на Binance по-прежнему можно купить NFT без всяких подтверждений. Злоумышленник может купить на ваши деньги собственный NFT и получить их на аккаунт своего дропа.
Не оставляйте устройство без присмотра, не используйте разблокировку по отпечатку/лицу или Bluetooth. Помните, что безопасность и удобство зачастую на разных полюсах. Соответственно, разблокировка вашего кошелька на телефоне должна быть только по паролю.
Безопасность в мессенджерах и реальной жизни
Не стоит делиться скриншотами баланса. Если я вижу на вашем скриншоте 900,4582 ETH, скорее всего я смогу по холдерам в эксплорере блокчейна быстренько найти ваш адрес. Высока вероятность, что ни у кого больше нет такой суммы в данный момент. А если и есть, можно нехитрым методом поиска в групповом чате или СИ уточнить, какие ещё валюты вы храните и сколько.
Устранение:
Не публикуйте точное значение баланса. То же самое касается и NFT – не показывайте #ID NFT или саму картинку – это может позволить однозначно определить адрес вашего кошелька,баланс, а это первый шаг к вашей деанонимизации.
Не сообщайте адреса своих кошельков, даже старых, потому что вы могли проколоться. Потенциальными злоумышленниками могут оказаться дальние родственники или просто завистливые незнакомцы/знакомые.
Не стоит распространяться о своих успешных/неудачных кейсах в крипте, так как это повышает риск целевой атаки на вас посредством шантажа/давления/взлома. Как бы не хотелось. Девочкам и суши про источник дохода знать необязательно.
Отключите автозагрузку медиа в мессенджерах, включите автоматические удаление кэша через 3-7 дней.
НИКОГДА не открывайте ссылки в личных сообщениях в Discord, Telegram, других соц. сетях/мессенджерах/почтовых сервисах,через которые вы занимаетесь криптой.
Осторожнее с файлами, в том числе от знакомых людей, так как они могут стать жертвой злоумышленника или втираться к вам в доверие. Стоит открывать файлы только в облаке, по ссылке. Проверяйте адрес ссылки, ведь можно скопировать любой сайт. И помните, что заливая файл на облачное хранилище, вы соглашаетесь с тем, что файлы больше не принадлежат вам.
Понимание устройства DeFi
Отключение расширения-кошелька от сайта не означает, что вы "в домике", ведь аппрувы то остались! Об этом мы говорили в мифах про безопасность (относится к EVM-блокчейнам).
Устранение:
Тестируйте новое бесплатно или на небольшие суммы: при работе с новыми инструментами есть риск безвозвратно потерять свою криптовалюту. Лучше всего знакомиться с новыми инструментами на тестнетах/в тестовой сети, либо, если это невозможно, совершать транзакции на небольшие суммы, чтобы убедиться, что вы действуете верно и понимаете, как работает новый инструмент.
Отозвать бесконечные аппрувы на сайтах, как бы вы им не доверяли. Для эфира есть Etherscan - официальный инструмент. Для остальных EVM блокчейнов аппрувы можно отзывать вручную, взаимодействуя со смартконтрактом на странице эксплорера, либо, используя на свой страх и риск Revoke.Cash и DeBank
Не храните “обёрнутые/wrapped” монеты: в чем проблема таких монет? Если взломают мост и украдут все средства, то ваши обернутые монеты превратятся в фантики, потому что их обеспечение в виде заблокированных в мосте монет исчезнет, также есть риск депега. Обёрнутой монета становится тогда, когда вы перегоняете её по мосту с родного блокчейна на другой. Когда это происходит, монеты блокируются мостом на родном блокчейне. А на том блокчейне, куда вы ее переводили, вам выдаётся аналогичное количество "обёрнутых" монет, которые являются токенами.
Хранение паролей и сид-фразы на устройстве с интернетом
Так где же тогда хранить свои пароли и ключи? Есть 3 варианта, но прежде, чем мы к ним перейдём, досконально изучите устройство их работы:
Специализированный софт - менеджеры паролей с открытым исходным кодом KeePass и Bitwarden
Криптоконтейнеры - это такой скрытый раздел на вашем диске/флешке, для доступа к которому нужно открыть заранее заданный файл и ввести пароль. Подробнее об этом, возможно, поговорим чуть позже, а пока - видео. Если вы плохо понимаете, как это работает - не используйте данный метод.
Аппаратный менеджер паролей, например, от Trezor: тык - видео
Дополнительные советы и инструменты:
1 сервис/сайт = 1 уникальный пароль. Чтобы элементарно защитить себя от подбора пароля в будущем при очередной утечке данных сервиса/по вашей вине. Можете воспользоваться генератором паролей и не забывайте регулярно обновлять пароли на ключевых сайтах и сервисах.
Можете использовать VirusTotal для проверки любых ссылок или файлов на вшитые вирусы. Для удобства есть и телеграм боты, но рабочих временно нет.
На ваши кошельки будут активно засылаться скам-токены/NFT. Не стоит заходить к ним на сайт и тем более пытаться их продать. Это может привести к полной потере средств. Сегодня большинство проектов просят вручную получить свою награду, то есть зайти на сайт и заклеймить. Проверяйте, совпадает ли адрес контракта токена/NFT, указанный в официальных источника с тем, что вы пытаетесь заклеймить.
Свой старый телефон можно использовать как хранилище паролей, кодов аутентификации Google и приёмник смс. Никто не должен знать ваш номер и про существование этого телефона. Не забываем заряжать и делать резервные копии.
Никому не передавайте сид-фразу, храните её в разных местах, имейте резервные копии и обучите основам блокчейна ваши доверенные лица на случай форс-мажора.
Используйте только почтовые сервисы от Google/ProtonMail. Можно создать до 4-5 Gmail на один номер. Не используйте для этого виртуальные номера.
Почта, которую вы используете для паролей нигде не должна палиться, содержать в себе ваше имя/никнейм и использоваться для общения с кем-то.
Рекомендации:
-отдельные почта+номер+аккаунты для социальной жизни
-отдельные почта+номер+аккаунты для криптовалютных активностей
-отдельные почта+номер+аккаунты для абуза и других сомнительных активностей
Чек-лист по безопасности на централизованных биржах
Разберём шаги, которые можно применить на самой популярной бирже Binance:
Установить уникальный сложный пароль и регулярно обновлять его: если при авторизации на бирже используете смс - отключите возможность восстановления вашей сим-карты по доверенности. Тогда злоумышленники не смогут использовать поддельную доверенность для восстановления доступа к вашим аккаунтам. Никогда не используйте для авторизации лишь смс.
Установить двухфакторную аутентификацию(2FA)
Установить антифишинговый код для почтовой рассылки: нужен для того, чтобы вам не подкинули вредоносную ссылку в почте. Теперь каждое письмо от биржи будет сопровождаться вашим кодовым словом в шапке. Всё остальное - фишинг
Использовать белый список адресов: после включения вывод с биржи будет доступен только на указанные адреса, в указанных сетях. Вывод на новые адреса в списке будет заблокирован на 24 часа.
Не храните все средства на бирже: ваша крипта вам не принадлежит, пока не поступит на кастодиальный кошелёк. в лучшем случае вы потеряете время, а в худшем - всё. Случиться может что угодно: скам или взлом биржи, технические неполадки биржи/блокчейна, недостаток фактической ликвидности криптовалюты и как следствие - задержки с выводом. А ещё ваши деньги могут быть заморожены службой безопасности(нередко случается с теми, кто использует миксеры и другие изощрённые способы ввода/вывода)
На этом всё. Холодное хранение и меры безопасности для продвинутых ожидайте в следующей части ;)
Криптовалюты позволяют почувствовать абсолютную свободу действий, но вместе с этим за эту свободу несёте ответственность лишь вы.
Количество пользователей криптовалют растёт, а вместе с тем растёт и число злоумышленников. Методы их работы становятся всё более изощрёнными с каждым годом, причём активность растёт независимо от фаз рынка.
В прошлый раз мы разобрали некоторые мифы про безопасность и пришли к выводу, что защита приватного ключа и доступа к нему – ключевой аспект обеспечения безопасности.
Безопасность — довольно широкая тема и это не ультимативный гайд по ней, а скорее - стартовый чеклист, который многие найдут полезным.
Ничто не является безопасным на 100%. Просто потому, что в любой цепочке ваших действий, предпринятых для безопасности, есть слабое звено - вы. Потому данный гайд призван значительно снизить, а не исключить риски потери ваших криптоактивов в результате случайной или целевой атаки.
Основные уязвимости
Использование пиратского контента
Один из фундаментальных пунктов, который может подорвать все остальные меры безопасности. Пиратский контент может включать в себя вредоносное ПО.
Речь об операционных системах, ПО, играх, фильмах и т.д. скачанных через торрент и других небезопасных источников.
Лучше заплатить и не переживать за безопасность в будущем - так дешевле.
Кстати, вредоносное ПО - это не всегда история про мгновенную кражу. Злоумышленники крадут логи/куки, хранят сид-фразы кошельков и мониторят баланс. Нет смысла красть у вас 30$, если высока вероятность увеличения баланса при пополнении/хорошем эйрдропе.
Устранение:
С чистого устройства создать новые кошельки и переместить все свои активы туда. Отключите синхронизацию данных приложений-кошельков в iCloud/Google.
Сменить все пароли на почтовых и биржевых аккаунтах, включить 2FA + СМС.
Используйте хотя бы встроенный антивирус и регулярно обновляйте его. Осторожно с переносными носителями информации и тщательно следите за своими устройствами, чтобы ими пользовались только вы - так вы снизите риск заражения. Обращайте внимание на расширение и тип файла.
Смешивание крипты, работы и отдыха
Разделяя крипту, работу, отдых вы значительно повышаете свою продуктивность и внимательность.
Кроме того, имея отдельное устройство для работы с криптой вы снижаете риски его заражения вами или членами вашей семьи.
В браузере для работы с криптой не используйте никаких левых расширений, так как они могут подменять адреса для отправки/получения криптовалюты, а также делать переадресацию на фишинговые сайты.
Если вы используете Google Chrome на вашем личном ПК и в настройках указано, что он управляется вашей организацией - велика вероятность, что ваш браузер заражён. Антивирус вряд ли поможет. Дополнительными признаками заражения являются всплывающие окна и реклама.
Устранение:
Создайте отдельные аккаунты для чтения чатов/каналов в том числе. Перенесите всё, что связано с криптой на отдельный аккаунт/ы. На нём не должно быть компрометирующих данных: имя, фото, номер, никнейм.
В идеале иметь второй ПК для работы с финансами, но мы остановимся на базовом решении – отдельный аккаунт/профиль/браузер с выключенными автосохранением данных и рекламой(нередко вредоносной). Для отключения рекламы можно использовать AdBlock.
Используйте хороший зарубежный сервис VPN/прокси, поисковик, который не отслеживает историю - это полезно и приятно. А если отказаться от Google вы не можете, всегда проверяйте адрес сайта рядом с которым стоит пометка реклама. Для посещения постоянных сайтов создайте уже наконец закладки
Всегда проверяйте адрес для приёма/отправки средств через CTRL+F.
Не используйте публичные сети Wi-Fi. Злоумышленник может перехватить данные вашего браузера или подменить страницу биржи, где вы введёте, например, email, пароль, а затем и 3 кода – всё эти данные он перехватит и введёт на настоящей странице авторизации биржи. Не забываем о том, что на Binance по-прежнему можно купить NFT без всяких подтверждений. Злоумышленник может купить на ваши деньги собственный NFT и получить их на аккаунт своего дропа.
Не оставляйте устройство без присмотра, не используйте разблокировку по отпечатку/лицу или Bluetooth. Помните, что безопасность и удобство зачастую на разных полюсах. Соответственно, разблокировка вашего кошелька на телефоне должна быть только по паролю.
Безопасность в мессенджерах и реальной жизни
Не стоит делиться скриншотами баланса. Если я вижу на вашем скриншоте 900,4582 ETH, скорее всего я смогу по холдерам в эксплорере блокчейна быстренько найти ваш адрес. Высока вероятность, что ни у кого больше нет такой суммы в данный момент. А если и есть, можно нехитрым методом поиска в групповом чате или СИ уточнить, какие ещё валюты вы храните и сколько.
Устранение:
Не публикуйте точное значение баланса. То же самое касается и NFT – не показывайте #ID NFT или саму картинку – это может позволить однозначно определить адрес вашего кошелька,баланс, а это первый шаг к вашей деанонимизации.
Не сообщайте адреса своих кошельков, даже старых, потому что вы могли проколоться. Потенциальными злоумышленниками могут оказаться дальние родственники или просто завистливые незнакомцы/знакомые.
Не стоит распространяться о своих успешных/неудачных кейсах в крипте, так как это повышает риск целевой атаки на вас посредством шантажа/давления/взлома. Как бы не хотелось. Девочкам и суши про источник дохода знать необязательно.
Отключите автозагрузку медиа в мессенджерах, включите автоматические удаление кэша через 3-7 дней.
НИКОГДА не открывайте ссылки в личных сообщениях в Discord, Telegram, других соц. сетях/мессенджерах/почтовых сервисах,через которые вы занимаетесь криптой.
Осторожнее с файлами, в том числе от знакомых людей, так как они могут стать жертвой злоумышленника или втираться к вам в доверие. Стоит открывать файлы только в облаке, по ссылке. Проверяйте адрес ссылки, ведь можно скопировать любой сайт. И помните, что заливая файл на облачное хранилище, вы соглашаетесь с тем, что файлы больше не принадлежат вам.
Понимание устройства DeFi
Отключение расширения-кошелька от сайта не означает, что вы "в домике", ведь аппрувы то остались! Об этом мы говорили в мифах про безопасность (относится к EVM-блокчейнам).
Устранение:
Тестируйте новое бесплатно или на небольшие суммы: при работе с новыми инструментами есть риск безвозвратно потерять свою криптовалюту. Лучше всего знакомиться с новыми инструментами на тестнетах/в тестовой сети, либо, если это невозможно, совершать транзакции на небольшие суммы, чтобы убедиться, что вы действуете верно и понимаете, как работает новый инструмент.
Отозвать бесконечные аппрувы на сайтах, как бы вы им не доверяли. Для эфира есть Etherscan - официальный инструмент. Для остальных EVM блокчейнов аппрувы можно отзывать вручную, взаимодействуя со смартконтрактом на странице эксплорера, либо, используя на свой страх и риск Revoke.Cash и DeBank
Не храните “обёрнутые/wrapped” монеты: в чем проблема таких монет? Если взломают мост и украдут все средства, то ваши обернутые монеты превратятся в фантики, потому что их обеспечение в виде заблокированных в мосте монет исчезнет, также есть риск депега. Обёрнутой монета становится тогда, когда вы перегоняете её по мосту с родного блокчейна на другой. Когда это происходит, монеты блокируются мостом на родном блокчейне. А на том блокчейне, куда вы ее переводили, вам выдаётся аналогичное количество "обёрнутых" монет, которые являются токенами.
Хранение паролей и сид-фразы на устройстве с интернетом
Так где же тогда хранить свои пароли и ключи? Есть 3 варианта, но прежде, чем мы к ним перейдём, досконально изучите устройство их работы:
Специализированный софт - менеджеры паролей с открытым исходным кодом KeePass и Bitwarden
Криптоконтейнеры - это такой скрытый раздел на вашем диске/флешке, для доступа к которому нужно открыть заранее заданный файл и ввести пароль. Подробнее об этом, возможно, поговорим чуть позже, а пока - видео. Если вы плохо понимаете, как это работает - не используйте данный метод.
Аппаратный менеджер паролей, например, от Trezor: тык - видео
Дополнительные советы и инструменты:
1 сервис/сайт = 1 уникальный пароль. Чтобы элементарно защитить себя от подбора пароля в будущем при очередной утечке данных сервиса/по вашей вине. Можете воспользоваться генератором паролей и не забывайте регулярно обновлять пароли на ключевых сайтах и сервисах.
Можете использовать VirusTotal для проверки любых ссылок или файлов на вшитые вирусы. Для удобства есть и телеграм боты, но рабочих временно нет.
На ваши кошельки будут активно засылаться скам-токены/NFT. Не стоит заходить к ним на сайт и тем более пытаться их продать. Это может привести к полной потере средств. Сегодня большинство проектов просят вручную получить свою награду, то есть зайти на сайт и заклеймить. Проверяйте, совпадает ли адрес контракта токена/NFT, указанный в официальных источника с тем, что вы пытаетесь заклеймить.
Свой старый телефон можно использовать как хранилище паролей, кодов аутентификации Google и приёмник смс. Никто не должен знать ваш номер и про существование этого телефона. Не забываем заряжать и делать резервные копии.
Никому не передавайте сид-фразу, храните её в разных местах, имейте резервные копии и обучите основам блокчейна ваши доверенные лица на случай форс-мажора.
Используйте только почтовые сервисы от Google/ProtonMail. Можно создать до 4-5 Gmail на один номер. Не используйте для этого виртуальные номера.
Почта, которую вы используете для паролей нигде не должна палиться, содержать в себе ваше имя/никнейм и использоваться для общения с кем-то.
Рекомендации:
-отдельные почта+номер+аккаунты для социальной жизни
-отдельные почта+номер+аккаунты для криптовалютных активностей
-отдельные почта+номер+аккаунты для абуза и других сомнительных активностей
Чек-лист по безопасности на централизованных биржах
Разберём шаги, которые можно применить на самой популярной бирже Binance:
Установить уникальный сложный пароль и регулярно обновлять его: если при авторизации на бирже используете смс - отключите возможность восстановления вашей сим-карты по доверенности. Тогда злоумышленники не смогут использовать поддельную доверенность для восстановления доступа к вашим аккаунтам. Никогда не используйте для авторизации лишь смс.
Установить двухфакторную аутентификацию(2FA)
Установить антифишинговый код для почтовой рассылки: нужен для того, чтобы вам не подкинули вредоносную ссылку в почте. Теперь каждое письмо от биржи будет сопровождаться вашим кодовым словом в шапке. Всё остальное - фишинг
Использовать белый список адресов: после включения вывод с биржи будет доступен только на указанные адреса, в указанных сетях. Вывод на новые адреса в списке будет заблокирован на 24 часа.
Не храните все средства на бирже: ваша крипта вам не принадлежит, пока не поступит на кастодиальный кошелёк. в лучшем случае вы потеряете время, а в худшем - всё. Случиться может что угодно: скам или взлом биржи, технические неполадки биржи/блокчейна, недостаток фактической ликвидности криптовалюты и как следствие - задержки с выводом. А ещё ваши деньги могут быть заморожены службой безопасности(нередко случается с теми, кто использует миксеры и другие изощрённые способы ввода/вывода)
На этом всё. Холодное хранение и меры безопасности для продвинутых ожидайте в следующей части ;)
