Чек-лист по защите криптовалюты
Только за 2021 год крипто-мошенники украли у пользователей $14 млрд. В марте 2022 года в твиттере пользователя TheDeFiEdge появился тред с чек-листом по защите своих сбережений в DeFi. Хоть технологии блокчейна и инструменты скамеров развиваются каждый день, эти правила все еще актуальны, особенно на «медвежьем рынке». Cам автор называет этот чеклист «самой важной информацией, которую вы можете прочитать»
Мы перевели тред TheDeFiEdge и сделали из него материал, который поможет сохранить и защитить свои сбережения.
Пользователь TheDeFiEdge решил оставаться анонимным, но это не помешало ему собрать аудиторию в почти в 190 000 подписчиков в Twitter. На своем сайте TheDeFiEdge сообщает, что достиг финансовой независимости еще до того, как занялся криптовалютой и более 10 лет он создавал бренд электронной коммерции, который затем продал.
TheDeFiEdge сообщает, что работает с криптовалютой с 2013 года и был одним из тех, кто потерял все свои биткоины во время взлома криптобиржи Mt.Gox. Затем он снова занялся криптовалютой во время бычьего рынка 2017 года и сформировал семизначный портфель, который рухнул на 90% из-за крипто-зимы.
В конце 2020 года автор блога снова занялся DeFi и создал внушительный портфель благодаря ранним инвестициям в BNB, PancakeSwap, Spell, DeFi Kingdoms, Luna и так далее.
Чек-лист по защите криптовалюты
Знайте основы
Для работы с криптовалютой нужен крипто-кошелек. Чтобы переводить и обменивать крипто-активы нужно иметь два вида ключей шифрования: публичный и приватный.
Публичный ключ — это что-то вроде номера вашего банковского счета. Используя его, вы можете получать и отправлять криптовалюту. Вы можете делится им, например, чтобы получать криптовалюту на свой кошелек.
Приватный ключ — это ваша цифровая подпись, которая подтверждает подлинность транзакций. Приватный ключ похож на пин-код, который вы вводите в банкомате, чтобы получить доступ к банковскому счету. Он доказывает, что вы являетесь владельцем счета и позволяет отправлять транзакции. Делиться им нельзя.
Сохраните сид-фразу
Как только вы создадите крипто-кошелек, то получите сид-фразу, которая состоит из 12, 18 или 24 случайных слов. Они нужны на тот случай, если вы потеряете свой приватный ключ. Сид-фраза — это что-то вроде кодового слова, которое позволит восстановить доступ к кошельку.
Сохраните сид-фразу и никогда и никому ее не сообщайте. Если кто-то получит доступ к сид-фразам, то владелец кошелька навсегда потеряете свои крипто-активы.
Не храните сид-фразы в цифровом пространстве
Автор настоятельно рекомендует не хранить сид-фразы в облаке, на USB-накопителях или в менеджере паролей. Запишите куда-то свои сид-фразы, но только не на бумаге, которая недолговечна и легко портится.
Существуют специальные стальные таблички, на которых можно нанести гравировку с фразами. Автор приводит в пример такие таблички на Amazon, но на российском рынке их тоже можно найти или изготовить самостоятельно.
Главное, что нужно вынести: не храните сид-фразу в диджитал-среде и найдите более надежный носитель, чем бумага.
Где спрятать и как сохранить носитель с сид-фразой
Не храните карточки с сид-фразами в сейфе или в других очевидных местах. К этому процессу можно подойти творчески. Например, кто-то замораживает свои носители с сид-фразами в консервных банках и хранит на дне морозильной камеры. Автор треда также отмечает, что депозитные ячейки в банке не безопасны.
Также вы можете разбить свои сид-фразы на части и распределить их между разными людьми или местами. Таким образом, даже если кто-то захочет получить ваши ключи, ему нужно будет искать их в нескольких местах. Это похоже на то, как Лорд Волан-де-Морт разделил свою душу на части и поместил их в крестраж.
Купите холодный кошелек
Аппаратный кошелек — это физическое устройства, в котором хранятся ваши приватные ключи. Также их называют холодными кошельками. Никакая транзакция не может быть совершена, если вы не подтвердили ее с помощью своего кошелька.
Даже если кто-то взломает вас, то злоумышленники не смогут ничего сделать, так как просто не смогут подтвердить транзакцию.
Важно понимать, что аппаратный кошелек не хранит ваши монеты. Все активы хранятся в блокчейне, а кошелек и аппаратное устройство являются ключами для получения доступа к средствам. Поэтому даже если вы потеряете свой холодный кошелек, у вас все равно будет доступ к вашим активам до тех пор, пока есть сид-фразы.
Какой аппаратный кошелек выбрать?
Автор треда советует купить аппаратный кошелек Ledger Nano S на официальном сайте производителя. TheDeFiEdge призывает не покупать девайсы на Amazon или у других посредников, так как они могут скомпрометировать устройство перед продажей.
Если средства позволяют, то вместо Nano S возьмите Nano X. В нем больше памяти и более приятный интерфейс.
Как использовать аппаратный кошелек в DeFi?
Большинство горячих кошельков (онлайн-сервисов, которые предлагают услуги хранения криптовалюты) позволят подключаться с помощью аппаратных кошельков.
Автор приводит в пример подключение на кошельке Metamask. Всего два действия помогут пользоваться DeFi-сервисами безопасно.
Защитите учетные записи двухфакторной аутентификацией
Используйте приложение Authenticator от Google и не используйте SMS-аутентификацию. Хакеры могут скомпрометировать и получить дубликат sim-карты от оператора сотовой связи и обойти 2FA.
Проводите транзакции на отдельном устройстве
Автор сообщает, что использует два разных ноутбука: один для работы, а второй только для транзакций. Даже если основной ноутбук будет взломан, это никак не повлияет на безопасность криптоактивов.
На ноутбук для транзакций можно поставить специальную операционную систему, которая предназначена для обеспечения конфиденциальности и безопасности. Например, Qubes OS или TAILS.
Также стоит установить фаервол, который станет щитом для интернета. Каждое входящее/исходящее действие должно быть подтверждено или добавлено в белый список. Для Windows автор рекомендует встроенный брандмауэр, а для Mac — Little Snitch.
Не храните средства на централизованных биржах
Существует два вида криптовалютных бирж: DEX — децентрализованные биржи, такие как UniSwap или 1inch, и CEX — централизованные, вроде: Binance, FTX или Exmo.
Одно из ключевых отличий при работе с централизованной биржей в том, что вы не имеете доступа к приватным ключам, а значит ваши средства, по сути, принадлежат бирже. CEX подвержены угрозам взлома, а значит и ваш счет тоже. Кроме этого, биржа может заблокировать вас и заморозить счет без объяснения причин. Как говорит TheDeFiEdge: «Не твои ключи — не твои монеты».
СEX можно использовать для покупки монет, например, за фиатную валюту, но после этого отправьте средства на свой кошелек.
Всегда используйте VPN
Автор рекомендует никогда не пользоваться общественным Wi-Fi без VPN. В качестве рекомендации приводится Mullvad VPN. Его автор считает самым безопасным, так как компания не хранит о пользователе никакой информации, которая могла бы его идентифицировать.
Ограничьте расходы смарт-контракта
Некоторые смарт-контракты позволяют протоколу тратить бесконечное количество средств. Это как если бы вы отдали свою банковскую карту и пин-код от нее незнакомому человеку. С помощью функции Custom Spending Limit вы можете установить ограничения
Остерегайтесь фейковых сайтов
Добавляйте в закладки те сайты, в подлинности которых не сомневаетесь, чтобы в следующий раз быть уверенным, что вы в нужном месте. Мошенники могут создать полную копию сайта, адрес которого будет отличаться всего одним символом и это может привести к потере ваших средств.
Не подключайте свой кошелек к веб-сайтам вслепую, потому что вы не знаете, что могут сделать эти протоколы, получив доступ к вашему кошельку. Это же относится и к ссылкам на социальные сети: telegram, discord, twitter и так далее. Переходите по ним только с официальных сайтов.
Всегда все проверяйте
Если отправляете транзакцию, переведите сначала небольшую сумму в качестве теста и убедитесь, что она проходит по нужному адресу.
Некоторые вирусы могут перехватить ваш буфер обмена и вставить свои собственные адреса. Поэтому каждый раз, когда отправляете транзакцию, убедитесь, что она отправлена на правильный адрес. Проверяйте не только 4 цифры адреса, а прочитайте и проверьте его полностью.
Получали когда-то неизвестные монеты на свой кошелек? Это может быть пылевая атака. Так мошенники пытаются обманом заставить вас взаимодействовать с ними, потому что в смарт-контрактах может быть вредоносный код. Не переводите эти монеты и вообще не трогайте их.
Никому не доверяйте
Защищать свои средства — это ваша ответственность, поэтому не стоит ее перекладывать на других. На криптовалютном рынке не стоит доверять никому и нужно всегда все проверять.
Хакеры могут взломать аккаунт медийного лица, чтобы обмануть его подписчиков. Например, так было с Илоном Маском. Сейчас хакеры активно взламывают Discord-серверы проектов.
Существуют и более креативные методы социальной инженерии. Например, фейковые трансляции на YouTube, где мошенники накладывают на видео с медийными лицами звуковую дорожку с другими словами и ведут пользователей на скам-сайты.
И, конечно, не стоит лишний раз говорить о своих делах с криптовалютами в реальной жизни. Во-первых, это никого не волнует, а во-вторых, это делает вас мишенью для злоумышленников.
Компьютерра не дает инвестиционных рекомендацией. Информация на этом сайте не является советом по инвестированию и торговле. Компьютерра не рекомендует покупать, продавать или держать какую-либо криптовалюту. Проведите собственный анализ и посоветуйтесь с финансовым консультантом прежде, чем принять какое-либо инвестиционное решение.
Полный текст статьи читайте на Компьютерра
