Как безопасно
использовать криптокошельки,
смарт-
контракты, DeFi и
NFT
Как безопасно использовать криптокошельки, смарт-контракты, DeFi и NFT
Дата публикации: 03.12.2024, 14:13
31
31
Скопировать
Поделись с друзьями!
Атаки в криптовалюте становятся все более изощренными по мере развития
криптопространства, ведь на карту поставлено больше средств, чем когда-либо
прежде. И если и есть место в Интернете• Телекоммуникации и связь » Компьютерная сеть » Интернет, где собираются эксперты, то это
Crypto Twitter• Коммуникации » Интернет-коммуникации » Интернет-сообщество » Социальные сети » Х (Twitter). Поэтому мы решили собрать лучшие экспертные мнения из X
(Twitter• Коммуникации » Интернет-коммуникации » Интернет-сообщество » Социальные сети » Х (Twitter)) и поделиться ими с вами здесь.
Мы расскажем, как оставаться в безопасности при использовании:
Крипто-кошельков
Смарт-контрактов
DeFi
NFT
Crypto Twitter• Коммуникации » Интернет-коммуникации » Интернет-сообщество » Социальные сети » Х (Twitter)
Хотя это руководство будет адаптировано к криптовалютной активности на
Ethereum и его уровнях 2, предложенные методы обеспечения безопасности также
весьма актуальны в других блокчейнах уровня 1, таких как Solana.
1. Криптовалютные• Экономика » Финансы » Платежные средства » Платежные системы интернета » Криптовалюта кошельки
Понимание хранения с помощью Jump Crypto
Давайте начнем с чего-то простого: понимания концепции хранения.
Речь о том, как сохранить ваши криптоактивы• Экономика » Финансы » Платежные средства » Платежные системы интернета » Криптовалюта в безопасности. Каждый криптоактив
привязан к закрытому ключу• Информационные технологии » Информатика » Защита информации » Криптография » Симметричные криптосистемы. И любой, у кого есть доступ к вашему личному
ключу, также имеет доступ к вашим криптоактивам.
Кому доверить хранение?
Это зависит от того, какой риск безопасности и ответственность вы готовы
принять. Многие новички предпочитают хранить свои криптоактивы• Экономика » Финансы » Платежные средства » Платежные системы интернета » Криптовалюта на бирже, по
крайней мере, на первых порах. Но пользователи, оставляющие свои цифровые
активы на централизованной криптобирже, могут стать подвержены другим рискам.
К ним относятся приостановка вывода средств, простои биржи и взломы. Что еще
хуже, биржа может стать неплатежеспособной, в результате чего клиенты не
смогут вывести свои активы, как это видно на примере краха FTX.
Самостоятельное хранение — это следующий уровень безопасности, но оно
сопряжено со своими рисками. Эти риски включают неосознанную раздачу вашей
исходной фразы или отправку средств на неправильный адрес.
Доступны и другие решения для хранения, такие как мультиподписи и даже услуги
институционального хранения. Однако последний сервис• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись является
централизованным.
Фишинговые атаки с вашего одобрения
Вы подвержены фишинговым атакам• Телекоммуникации и связь » Компьютерная сеть » Интернет » Фишинг
• Государство » Законы и право » Теория государства и права » Отрасль права » Информационное право » Компьютерные преступления » Преступления в сфере информационных технологий » Фишинг
• Безопасность » Информационная безопасность » Фишинг независимо от вашего уровня опыта. Фишинговые
атаки происходят, когда злоумышленник обманом заставляет вас совершить
действие, ставящее под угрозу ваши криптоактивы• Экономика » Финансы » Платежные средства » Платежные системы интернета » Криптовалюта, например, щелкнуть ссылку или
открыть электронное письмо. Но чтобы фишинговая атака• Телекоммуникации и связь » Компьютерная сеть » Интернет » Фишинг
• Государство » Законы и право » Теория государства и права » Отрасль права » Информационное право » Компьютерные преступления » Преступления в сфере информационных технологий » Фишинг
• Безопасность » Информационная безопасность » Фишинг была успешной,
злоумышленникам необходимо ваше одобрение.
Одобрение — это концепция, которая занимает центральное место в блокчейнах.
Без одобрений вы не сможете взаимодействовать со смарт-контрактами, и без
вашего одобрения ни один протокол не сможет получить доступ к вашим токенам.
Но что вы можете сделать, если они получили ваше одобрение? Протоколы и
злоумышленники могут получить доступ к вашим криптоактивам до тех пор, пока
одобрение не будет отозвано.
Не имеет значения, используете ли вы холодный кошелек или нет! Если не было
установлено никаких ограничений, После того как вы дали одобрение, те, у кого
есть доступ, будут иметь его на неопределенный срок.
Давайте рассмотрим MetaMask в качестве примера. Когда MetaMask появится с
запросом на одобрение, вы должны делать следующее:
Проверить адрес.
Сохранять доверенные адреса и присваивать псевдонимы.
3. Проверить сбор, который вы утверждаете, на вкладке «Данные».
4. Отменить ненужные разрешения (для пользователей Ethereum — вы можете
сделать это на Etherscan). Вы можете использовать Revoke.cash для отзыва
ненужных утверждений на других уровнях Ethereum 2, таких как Optimism и Base.
Когда дело доходит до NFT, ситуация немного отличается, но мы поговорим об
этом чуть позже.
Гигиена утверждения MetaMask с CryptoCat
Вы бы отдали свой кошелек незнакомцам в реальной жизни и доверили бы им взять
любую сумму, которую они хотят, без каких-либо ограничений? По сути, это то,
что вы делаете с утверждениями по умолчанию. Итак, вот как защитить себя от
проблем с одобрением.
Знайте, что вы одобряете. Нажмите «Изменить разрешения» и проверьте данные
вручную. На некоторые вещи следует обратить внимание: срок действия контракта,
владелец контракта и откуда поступили средства.
Знайте сумму, которую вы утверждаете. Рядом с надписью «Запрос на разрешение»
нажмите «Изменить» и введите индивидуальный лимит расходов. Таким образом,
даже если протокол будет взломан• Государство » Законы и право » Теория государства и права » Отрасль права » Информационное право » Компьютерные преступления, он никогда не сможет получить доступ к
сумме, превышающей одобренную вами.
Знайте, что одобрения привязаны к конкретному токену. Это означает, что риску
подвергаются только определенные токены, которые были одобрены.
Знайте, что бесконечные одобрения — это ваша опция по умолчанию… но этого не
должно быть. Они предоставляют неограниченное одобрение контракта на доступ к
вашему токену.
На третьем изображении показано, как выглядит бесконечное одобрение:
Если вы видите строку с буквами f в конце, это означает, что вы утверждаете
неограниченный лимит расходов, запрошенный протоколом. Чтобы изменить это,
просто отредактируйте «Запрос разрешения» и введите желаемый лимит расходов.
Альтернативный криптокошелек: Rabby
Кошелек Rabby, созданный командой Debank с учетом потребностей пользователей
DeFi, был запущен в 2022 году. Кошелек Rabby имеет множество дополнительных
функций безопасности, что делает его привлекательной альтернативой
проверенному и надежному кошельку MetaMask.
Встроенный список утверждений: Вместо отзыва разрешений для сети Ethereum на
Etherscan пользователи Rabby могут получить доступ к своему списку разрешений
в нескольких блокчейнах в одном месте, встроенном в кошелек.
Защита от фишинга• Телекоммуникации и связь » Компьютерная сеть » Интернет » Фишинг
• Государство » Законы и право » Теория государства и права » Отрасль права » Информационное право » Компьютерные преступления » Преступления в сфере информационных технологий » Фишинг
• Безопасность » Информационная безопасность » Фишинг: При посещении и подключении к децентрализованным
приложениям• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись (dApps) Rabby предоставит несколько ключевых данных, когда вы
предложите подключение к кошельку:
Данные о листинге веб-сайта
Популярность сайта (по шкале от низкой, средней и высокой)
Статус проверки Rabby: Должна быть указана нефишинговая официальная ссылка,
популярная и, что еще лучше, проверенная командой Rabby.
Подробное моделирование транзакций: Моделирование транзакций в Rabby четко
представляет вам смоделированный результат, чтобы гарантировать, что
транзакция не является неблагоприятной/злонамеренной. Что еще более важно,
ключевая функция безопасности находится в нижней части моделирования
транзакций. Rabby отметит, взаимодействовали ли вы ранее с конкретным
смарт-контрактом, и это поможет вам понять, когда требуется больше внимания и
заботы.
2. Смарт-контракты
Эксплойты• Безопасность » Компьютерная безопасность » Атаки и эксплойты
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Атаки и эксплойты смарт-контрактов выполняются на уровне протокола. В этом разделе мы
рассмотрим, на что обращать внимание при аудите смарт-контрактов, как читать
смарт-контракты и как использовать Etherscan.
Аудит смарт-контрактов с Thirdweb
Смарт-контракты подвержены взлому по двум причинам:
Они содержат ценные активы.
Смарт-контракт имеет открытый исходный код• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Свободное программное обеспечение » Открытое программное обеспечение
• Информационные технологии » Информатика » Программирование » Программное обеспечение » Свободное программное обеспечение » Открытое программное обеспечение
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Свободное программное обеспечение » Открытое программное обеспечение, поэтому его может просмотреть
любой, включая хакеров.
Смарт-контракты, запускаемые с уязвимостями• Безопасность » Компьютерная безопасность
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность, могут лишиться всех
криптоактивов. Целью аудита смарт-контрактов является предотвращение нарушений
безопасности. Более того, аудиты гарантируют, что код работает так, как
задумано.
Пользователю полезно знать, как проводится аудит смарт-контрактов.
Вот аудит смарт-контракта за 3 простых шага:
Понимание варианта использования является важным первым шагом. Итак, Шаг 1 —
задается вопрос: «Что должен делать смарт-контракт?»
Как только мы определим цель смарт-контракта, мы проверим его вручную.
Действует ли контракт в рамках предполагаемого варианта использования? Другими
словами, аудит направлен на выявление любого непреднамеренного поведения.
На последнем этапе мы запускаем инструменты автоматической проверки для
выявления потенциальных уязвимостей• Безопасность » Компьютерная безопасность
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность. Мы достигаем этого, исчерпав контракт и
выполняя его в полном объеме. Таким образом, мы сводим к минимуму любые
потенциальные неприятные сюрпризы.
Если вы немного опасаетесь использования протокола, вы всегда можете запросить
аудит у команды @0xMacroDAO. Также обратите внимание, что протоколы, данные
которых были проверены, обычно считаются гораздо более безопасными, чем
протоколы, данные которых не были проверены. Наконец, если команда протокола
запускает программу вознаграждений, такие программы также помогают значительно
повысить безопасность протокола.
Отдельно отметим то, что вы можете сделать в качестве первой линии защиты. Вы
можете легко выполнить эту проверку безопасности. Просто найдите на CoinGecko
страницу соответствующего токена или протокола, который вы изучаете. Затем в
разделе «Обзор» вы увидите вкладку «Безопасность».
Нажав на нее, вы увидите подробные отчеты об аудите и оценки безопасности,
предоставленные различными компаниями, занимающимися аудитом смарт-контрактов.
Это должно помочь вам относительно быстро определить, безопасно ли
взаимодействие с протоколом или токеном.
Освоение Etherscan с @CroissantEth
Вы уже должны знать, что умение читать Etherscan может дать вам огромное
преимущество перед теми, кто этого не делает. Вот несколько эффективных
действий, которые вы можете предпринять с помощью Etherscan.
Самый очевидный способ использования Etherscan — отслеживание криптокошельков.
Все, что вам нужно сделать, это ввести адрес кошелька в поле поиска, и вы
получите доступ к данным блокчейна, привязанным к их кошельку, включая историю
транзакций. Это может дать вам представление о том, является ли адрес законным
или вредоносным.
Поскольку блокчейны оставляют след, вы можете отследить смарт-контракт вплоть
до источника. Это имеет решающее значение, когда дело доходит до рассмотрения
и проверки того, является ли контракт законным или потенциально вредоносным.
3. Etherscan имеет мощные фильтры. Вы даже можете фильтровать определенные
транзакции по адресу. В конечном итоге это сэкономит вам время при проверке
безопасности.
4. Вы также можете более подробно изучить конкретные кошельки, в том числе
просмотреть их аналитику и комментарии (например, чат ENS). Иногда даже
простой просмотр истории транзакций может обнаружить, что что-то не так
(например, история сжигания токенов ).
5. Вы также можете читать смарт-контракты через Etherscan и научиться искать
конкретные смарт-контракты, что также экономит время (давайте будем честными:
никто не хочет тратить кучу времени на изучение процедур безопасности).
Если вы умеете читать Solidity, как опытный пользователь вы можете сделать еще
несколько вещей:
Вы можете изменить URL-адрес смарт-контракта с «etherscan.io» на
«etherscan.deth.net» (как показано на изображении выше), но не изменяя
остальную часть поискового запроса, поэтому включите все, начиная с
«/address/». При этом вы увидите фактический код смарт-контракта, на который
вы смотрите.
Вы можете декодировать входные данные. Просто посетите страницу передачи,
содержащую примечание. Под входными данными нажмите «Просмотреть как UTF-8• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Plan 9 » UTF-8
• Информационные технологии » Информатика » Программирование » Платформы программирования » Операционные системы » Plan 9 » UTF-8
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Кодировки » Юникод » UTF-8
• Информационные технологии » Информатика » Программирование » Программное обеспечение » Кодировки » Юникод » UTF-8
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Кодировки » Юникод » UTF-8
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Plan 9 » UTF-8».
Вы можете оставить свои собственные заметки в случае, если обнаружите
какие-либо проблемы, или вы также можете прочитать информацию о развертывании
контракта здесь, что может быть полезно, прежде чем вы решите использовать
смарт-контракт.
Попрактикуйтесь в использовании Etherscan и самостоятельно изучите несколько
смарт-контрактов и адресов.
3. DeFi
Основы безопасности DeFi с Quantstamp
DeFi развивается быстро, иногда в ущерб безопасности. Ошибки в кодировании и
логике могут открыть пути для потенциальных эксплойтов, что привлекает
злоумышленников со всех уголков DeFi. Понимание этих условий может помочь вам
избежать их, если будут соблюдены надлежащие меры безопасности.
Тот же принцип применим и к компонуемости, которая является палкой о двух
концах. Компонуемость — это способность dApps и DAO взаимодействовать и
работать друг с другом. Самая распространенная аналогия, используемая для
описания возможности компоновки, — это блоки LEGO.
Конечно, есть явные преимущества в размещении протоколов поверх протоколов. Но
множество протоколов, взаимодействующих друг с другом, также открывают гораздо
больше возможностей для эксплойтов.
Манипулирование ценами также является повторяющейся проблемой. Поскольку
смарт-контракты должны взаимодействовать с оракулами, чтобы получить доступ к
точным данным вне блокчейна, любой компромисс здесь может привести к серьезным
последствиям.
Эта проблема может еще больше усугубиться, когда будут задействованы срочные
кредиты• Экономика » Финансы » Финансовые услуги » Кредит
• Сфера услуг » Финансовые услуги » Кредит, поскольку они могут привести к перемещению значительного объема
ликвидности в одном блоке с использованием кредитного плеча. Срочные кредиты• Экономика » Финансы » Финансовые услуги » Кредит
• Сфера услуг » Финансовые услуги » Кредит
позволяют любому занять любую сумму активов, не требуя от заемщика
предоставления какой-либо ликвидности — при условии, что общая сумма
возвращается в одном и том же блоке.
Но даже если вы можете сказать, что протокол прошел проверку, он не
обязательно на 100% безопасен. Это связано с тем, что разработчики несут
ответственность за проверку результатов аудита и внедрение рекомендуемых
изменений, что они не всегда могут сделать. Более того, каждый раз, когда код
обновляется, появляются новые потенциальные эксплойты• Безопасность » Компьютерная безопасность » Атаки и эксплойты
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Атаки и эксплойты.
Поэтому вам важно понимать проблемы, с которыми сталкиваются разработчики,
чтобы вы могли лучше ориентироваться в пространстве, не попадая в зыбучие
пески.
10 схем атак в DeFi с @puntium
Давайте рассмотрим 10 распространенных шаблонов атак в DeFi, с которыми должны
ознакомиться серьезные пользователи криптовалют• Экономика » Финансы » Платежные средства » Платежные системы интернета » Криптовалюта.
Оракулы. Оракулы предоставляют блокчейнам реальные данные, поэтому очень
важно, чтобы они передавали точную информацию. Поскольку в реальных ценах
блокчейны зависят от оракулов, злоумышленник может найти слабое место, чтобы
воспользоваться им, а затем манипулировать сообщаемыми ценами. Впоследствии
злоумышленник может воспользоваться этим ложным несоответствием цен для
торговли с целью получения прибыли.
Атаки флеш-кредитов• Экономика » Финансы » Финансовые услуги » Кредит
• Сфера услуг » Финансовые услуги » Кредит. Если злонамеренный оракул возьмет быстрый кредит• Экономика » Финансы » Финансовые услуги » Кредит
• Сфера услуг » Финансовые услуги » Кредит,
ситуация может очень быстро ухудшиться.
3. Атаки с использованием флеш-кредитов• Экономика » Финансы » Финансовые услуги » Кредит
• Сфера услуг » Финансовые услуги » Кредит работают следующим образом.
Злоумышленник занимает большую сумму определенного токена без предоставления
какого-либо залога. Затем злоумышленник манипулирует ценой на бирже, после
чего сбрасывает токен на другую биржу, получая огромную прибыль. Все это
происходит в одном блоке.
4. Атаки управления. Злоумышленник может приобрести достаточное количество
токенов управления, манипулировать всем протоколом и исказить решающее
голосование в свою пользу.
5. Front running. Плохо спроектированные протоколы могут создавать возможности
для эксплойтов между моментом отправки транзакции и моментом ее выполнения.
6. Ключи администратора. Закрытые ключи• Информационные технологии » Информатика » Защита информации » Криптография » Симметричные криптосистемы протокольного кошелька могут быть
скомпрометированы, как и любой другой кошелек, если не принять адекватные меры
безопасности.
7. Небезопасные интерфейсы. Веб-сайты, связанные со смарт-контрактом
протокола, выступающим в качестве графического пользовательского интерфейса
для пользователей, могут быть атакованы и скомпрометированы.
8. Социальная инженерия• Безопасность » Компьютерная безопасность » Социальный инжиниринг
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Социальный инжиниринг. Злоумышленники могут выдавать себя за членов команды
в Discord, X (Twitter• Коммуникации » Интернет-коммуникации » Интернет-сообщество » Социальные сети » Х (Twitter)) или на какой-либо другой платформе и обманом заставлять
пользователей делиться личной информацией или заключать вредоносный контракт.
9. Поглощение социальных аккаунтов. Аккаунт• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись известного пользователя
криптовалюты• Экономика » Финансы » Платежные средства » Платежные системы интернета » Криптовалюта в Твиттере• Коммуникации » Интернет-коммуникации » Интернет-сообщество » Социальные сети » Х (Twitter) может быть взломан• Государство » Законы и право » Теория государства и права » Отрасль права » Информационное право » Компьютерные преступления, и, прежде чем вы это заметите, он
будет распространять ложную информацию (например, отправлять подписчиков для
взаимодействия со сливщиком кошелька).
10. Атаки первого уровня. Независимо от того, насколько безопасен протокол,
если он находится на незащищенном уровне 1, он может быть скомпрометирован.
Как вы, наверное, заметили, постоянно открываются новые векторы атак.
4. NFT
Защититесь от NFT-мошенничества с @DCLBlogger
Мошенничество не ограничивается пространством DeFi. Многие виды мошенничества
с NFT постоянно используются. К ним относятся:
Discord DM, например, бесплатные монетные дворы в течение ограниченного
времени или кто-то, предлагающий помощь.
Недобросовестные фирменные электронные письма (например, «Эй, нажмите здесь и
войдите в свою учетную запись• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись OpenSea!», что также известно как фишинг• Телекоммуникации и связь » Компьютерная сеть » Интернет » Фишинг
• Государство » Законы и право » Теория государства и права » Отрасль права » Информационное право » Компьютерные преступления » Преступления в сфере информационных технологий » Фишинг
• Безопасность » Информационная безопасность » Фишинг).
Мошенничество с платной рекламой в Google• Объект организация » Организации по алфавиту » Организации на Go » Google (компания)
Поддельные продавцы NFT
Взломы криптовалютных бирж
Поддельные аирдропы
Влиятельные лица, продвигающие проекты ковров
Продажа 100% скопированных NFT с нулевой стоимостью
Замена SIM-карты и взлом электронной почты, обход мобильной проверки 2FA
Взлом канала Youtube и фальшивые стримы с раздачей подарков
Просьбы денег для инвестирования
Поддельные чеканки, которые опустошают ваш кошелек
Так что же вы можете сделать, чтобы защитить себя от всех этих мошенников• Дела судебные » Дела уголовные » Мошенничество » Сетевое мошенничество? Вот
несколько советов:
Если кажется, что что-то не так, вероятно, так оно и есть. Избегайте этого
(лучше перестраховаться!).
Убедитесь, что вам действительно пишет друг, а не какой-то мошенник• Дела судебные » Дела уголовные » Мошенничество » Сетевое мошенничество,
скопировавший идентификатор вашего друга (проверьте историю сообщений).
Не храните свои личные ключи на каком-либо цифровом устройстве (никаких
скриншотов, никаких документов Word, нет).
Используйте аппаратный кошелек для хранения самых ценных криптоактивов. Для
ежедневной торговли используйте отдельный кошелек.
О защите ваших NFT с помощью @punk6529
Иногда мы забываем, что наши NFT также являются токенами, поэтому, когда мы
покупаем, обмениваем или продаем их, они фактически не меняют местоположение.
На самом деле происходит следующее: в реестр в блокчейне просто обновляется,
чтобы указать, кто является новым владельцем. Фактические данные NFT хранятся
на сервере, независимо от того, является ли этот сервер централизованным
(например, AWS) или децентрализованным (например, Arweave).
Ваш открытый ключ действует как ваш адрес электронной почты• Коммуникации » Интернет-коммуникации » Электронная почта » Адрес электронной почты, а ваш закрытый
ключ• Информационные технологии » Информатика » Защита информации » Криптография » Симметричные криптосистемы — как ваш пароль (так что не делитесь им!). Вы можете рассматривать
начальную фразу как метод восстановления пароля.
Если кто-то получит доступ к вашим личным ключам и/или исходной фразе и
парольной фразе, игра окончена.
Так как же защитить себя?
Общее правило punk6529: если вы планируете потратить 500 долларов или меньше
на NFT, просто используйте программный кошелек, такой как MetaMask. Однако,
если вы планируете инвестировать 1000 долларов или больше, используйте
аппаратный кошелек. Готовы потратить миллионы? Используйте Gnosis Safe,
мультиподписной кошелек.
Обычно, когда мы говорим о безопасности кошелька, мы на самом деле обсуждаем
эти две вещи с несколько противоположными целями: отказоустойчивость (т. е.
как гарантировать, что вы не потеряете доступ к своим закрытым ключам• Информационные технологии » Информатика » Защита информации » Криптография » Симметричные криптосистемы) и
безопасность (т. е. как гарантировать, что кто-то еще получит доступ к вашим
личным ключам). Каждый опытный пользователь криптовалюты• Экономика » Финансы » Платежные средства » Платежные системы интернета » Криптовалюта должен знать, что вся
хитрость заключается в балансе этих двух концепций.
Поддельные аирдропы в Crypto Twitter• Коммуникации » Интернет-коммуникации » Интернет-сообщество » Социальные сети » Х (Twitter)
Социальная инженерия• Безопасность » Компьютерная безопасность » Социальный инжиниринг
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Социальный инжиниринг — один из основных векторов, используемых при атаках на
кибербезопасность• Безопасность » Компьютерная безопасность
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность. В этом разделе мы хотим подчеркнуть важность выявления
таких атак и способы их предотвращения. В частности, мы рассмотрим, как
идентифицировать фальшивые аирдропы в Crypto Twitter• Коммуникации » Интернет-коммуникации » Интернет-сообщество » Социальные сети » Х (Twitter) (теперь называемом X),
платформе социальных сетей• Коммуникации » Интернет-коммуникации » Интернет-сообщество » Социальные сети, откуда большинство пользователей криптовалюты• Экономика » Финансы » Платежные средства » Платежные системы интернета » Криптовалюта
получают свои новости и информацию.
Крипто-мошенники• Дела судебные » Дела уголовные » Мошенничество » Сетевое мошенничество часто используют аирдроп как тактику обмана пользователей,
поскольку те уязвимы, когда запрашивают аирдроп. Пользователи должны быть
осторожны, поскольку для подачи официального заявления на аирдроп обычно
требуется:
Перейти на недавно запущенный веб-сайт/ссылку для получения токенов (основа
проекта New XXX).
Взаимодействовать с новым смарт-контрактом (поскольку токен новый).
Взаимодействие с новым токеном (при условии, что токен, переданный по
аирдропу, создан недавно).
Все эти факторы будут использованы мошенниками• Дела судебные » Дела уголовные » Мошенничество » Сетевое мошенничество, которые попытаются обманом
заставить вас зайти на их сайт и одобрить их новый, но вредоносный
смарт-контракт.
Общая тактика
Выдача себя за официальные аккаунты• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись в Твиттере• Коммуникации » Интернет-коммуникации » Интернет-сообщество » Социальные сети » Х (Twitter)
Мошенники• Дела судебные » Дела уголовные » Мошенничество » Сетевое мошенничество часто выдают себя за официальный аккаунт• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись, оставляя комментарии под
официальными сообщениями, чтобы заставить пользователей щелкнуть ссылку на
фальшивую заявку на аирдроп. Обратите внимание на имена с ошибками, например,
@ElgenLayer, написанный с буквой l, а не @EigenLayer, который является
официальным аккаунтом. Всегда проверяйте профиль пользователя этих публикаций,
чтобы убедиться, что это действительно правильный постер.
Проекты также могут включать нижние колонтитулы в конце X-сообщений для борьбы
с мошенничеством.
Следите за нижними колонтитулами веток твитов и игнорируйте любые
комментарии/объявления, которые появляются после нижнего колонтитула.
Реклама в Твиттере• Коммуникации » Интернет-коммуникации » Интернет-сообщество » Социальные сети » Х (Twitter)/электронная почта
Другая распространенная тактика — реклама в Твиттере• Коммуникации » Интернет-коммуникации » Интернет-сообщество » Социальные сети » Х (Twitter) (и даже электронные
письма, если злоумышленники заполучили их в результате утечки данных• Государство » Законы и право » Теория государства и права » Отрасль права » Информационное право » Компьютерные преступления). Вы
можете получать рекламу, в которой утверждается, что вы получили XX количество
токенов и что окно заявки на токен быстро закрывается, что заставляет вас
быстро взаимодействовать с указанным веб-сайтом.
На этих фиктивных веб-сайтах может быть предусмотрена “проверка аирдропа”,
которая покажет, что вы имеете право на участие, независимо от того, какой
адрес кошелька вы ввели. Затем они также могут предложить вам подключить свой
кошелек для продолжения и даже подписать несколько «разрешений», прежде чем вы
сможете использовать их программу проверки раздачи. Эти разрешения обычно
предоставляют поддельному веб-сайту доступ к вашему кошельку, после чего они
сливают его содержимое. Обратите внимание, что большинству официальных
программ проверки аирдропа даже не требуется подключение кошелька, достаточно
указать его адрес. Если программа проверки раздачи предлагает вам подключить
кошелек, это красный флаг, который обычно указывает на то, что проверка
является поддельной.
Заключительные мысли о криптобезопасности
В завершение этого руководства мы хотели поделиться некоторыми практическими
советами для пользователей криптовалюты• Экономика » Финансы » Платежные средства » Платежные системы интернета » Криптовалюта от соучредителя CoinGecko Бобби Онга.
Независимо от того, являетесь ли вы обычным пользователем, дегеном или опытным
инвестором, всегда полезно ознакомиться с этими лучшими практиками.
Криптовалюта• Экономика » Финансы » Платежные средства » Платежные системы интернета » Криптовалюта — очень опасное и враждебное место. Если вы не будете осторожны,
вы рискуете, что у вас украдут ценную криптовалюту• Экономика » Финансы » Платежные средства » Платежные системы интернета » Криптовалюта.
Я собрал ветку с некоторыми рекомендациями по обеспечению безопасности,
которым вы можете следовать, чтобы оставаться в безопасности. Читайте ниже
– Бобби Онг (@bobbyong) 13 июня 2021 г.
Никогда не используйте пароли повторно. Многие ли из нас используют один и тот
же пароль для нескольких учетных записей• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись? Конечно, это удобно, но если хакер
сможет узнать ваш пароль для одной учетной записи• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись, то будут скомпрометированы
несколько учетных записей• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись.
Используйте менеджер паролей. Используйте достойный менеджер паролей, и вам
никогда не придется запоминать ни один из своих паролей. Бонус: вы также
сможете максимально повысить безопасность своего пароля. Это несложно.
2ФА - это все. Включение двухфакторной аутентификации• Информационные технологии » Информатика » Защита информации » Аутентификация » Двухфакторная аутентификация (2FA) на ваших
устройствах значительно затрудняет взлом. Одним из преимуществ 2FA является
то, что вы можете включить уведомления, чтобы вы знали, когда кто-то пытается
войти в любую из ваших учетных записей• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись.
Используйте холодный кошелек. Trezor и Ledger — хорошие варианты. Однако
знайте, что хотя использование аппаратного кошелька обеспечит вам максимальную
безопасность, за это приходится платить удобством. Поэтому храните свои самые
ценные цифровые активы в своем жестком кошельке. Но подумайте о том, чтобы
иметь отдельный цифровой кошелек, если вы ежедневно взаимодействуете с Web3.
Не доксируйте себя. Это один из моих любимых советов. Если у вас есть деньги,
не делайте себя мишенью. Поскольку адрес вашего криптокошелька является
псевдонимным, любой может отследить всю историю ваших транзакций. Вот почему
важно не доксовать себя. А если делать это, то в привязке к кошельку, который
не так уж и интересен посторонним глазам.
Есть еще много моментов, которыми делится Бобби. Но, как мы уже говорили,
криптобезопасность — это обширная тема, которая постоянно развивается, потому
что хакеры так же изобретательны, как и мы. Вот почему крайне важно идти в
ногу со временем и пересматривать лучшие практики.
