за даними з cointelegraph, шахрайство знову стало основною причиною криптовалютних злочинів, що призвело до прямих збитків у розмірі 4,6 мільярда доларів минулого року (2023 року).
згідно з даними звіту certik, лише в першому кварталі 2024 року в криптовалютному секторі сталося 223 значущих випадків безпеки on-chain, що призвели до збитків у розмірі 500 мільйонів доларів. Крім того, згідно з останнім звітом slowmist, тільки минулого місяця (травень) сталося понад 31 помітний випадок безпеки, що призвели до втрат у розмірі 124 мільйонів доларів через хакерські атаки, фішингові шахрайства, крадіжки облікових записів та rug pulls. Це означає зростання на близько 52,5% у порівнянні з квітнем.
Крім того, широко обговорюваний інцидент з крадіжкою великих сум грошей від користувачів okx, як повідомляється, не тільки висушив значні кошти у деяких користувачів, але й призвів до зняття 630 мільйонів доларів користувальницьких коштів з біржі цього місяця.
ці події - це лише ті, про які ми знаємо. Багато шахрайств, такі як схеми "вбивства свиней", спрямовані на новачків у цій галузі, важко оцінити.
отже, саме тому я завжди наголошую на двох основних принципах для новачків в цій галузі: спочатку, захищайте свій початковий капітал, а по-друге, уникайте того, чого ви не розумієте. просто кажучи, завжди надавайте пріоритет свідомості про безпеку. раніше ми узагальнили деякі пункти з безпеки в раніших статтях. сьогодні ми продовжимо цю дискусію, виділивши деякі загальні питання безпеки:
Загальні вразливості у Defi включають атаки на миттєві кредити та маніпулювання оракулом, обидві з яких можуть вичерпати ресурси протоколу Defi.
Флеш-позики — це інноваційний продукт DeFi, що дозволяє користувачам позичати будь-яку кількість криптоактивів у пулі протоколу без застави за умови, що основна сума та відсотки погашаються в межах однієї транзакції (одного блоку). Перевага флеш-позик полягає в тому, що вони дозволяють користувачам використовувати можливості ринкового арбітражу, досягаючи недорогих операцій з високою винагородою. Ризик полягає в тому, що якщо користувач не може погасити транзакцію протягом зазначеного часу, транзакція скасовується, що призводить до втрати комісій за транзакцію та відсотків.
Атаки на швидкісні кредити працюють шляхом швидкого виконання кількох операцій з позики та торгівлі на тій же мережі блокчейн, що спричиняє помилки в розумних контрактах та дозволяє зловмисникам отримувати надмірні вигоди. Наприклад, 14 травня протокол позики на основі Sonne Finance, який базується на Compound, став жертвою атаки на швидкісні кредити, втративши понад 20 мільйонів доларів.
оракули - це програми, які отримують, перевіряють та передають зовнішню інформацію (дані поза ланцюгом) для смарт-контрактів на блокчейн. Окрім того, оракули можуть витягувати дані поза ланцюгом та транслювати їх на ефіреумі, а також відправляти інформацію з блокчейну до зовнішніх систем. Наприклад, розумний замок може бути розблокований, якщо користувач відправляє комісію через транзакцію на ефіреумі. Без оракулів смарт-контракти були б обмежені використанням лише даних на ланцюгу.
Маніпулювання оракулами може призвести до того, що вони повідомлятимуть невірні дані про зовнішні події або реальні умови. Наприклад, розглянемо криптовалютний актив, який торгується на п'яти біржах, де 85% торгового обсягу відбувається на двох з них. Якщо оракул покриває тільки інші три біржі з меншою ліквідністю, то його охоплення недостатнє. Атакувальник може маніпулювати цінами на цих трьох менш ліквідних біржах, що спричинить звітування оракула цін, які відхиляються від фактичних ринкових цін, тим самим створюючи ризик маніпулювання.
наприклад, 10 червня була атакована платформа для позичання uwu lend, що призвело до втрати приблизно 19,3 мільйона доларів. Ядром цієї атаки було маніпулювання атакувачем ціновим оракулом шляхом здійснення великих угод на пулі curvefinance, що вплинуло на ціну токена susde. Після цього атакувач скористався маніпульованою ціною, щоб зняти інші активи з пулу.
Отже, при використанні протоколів defi важливо диверсифікувати свої інвестиції та уникати використання протоколів, які не були перевірені або мають низькі ліквідні пули.
Багато користувачів, ймовірно, стикалися зі шахрайськими веб-сайтами. Шахраї створюють фіктивні офіційні веб-сайти, які виглядають легітимними, і широко поширюють їх через соціальні мережі, електронну пошту, обговоренні групи та інші канали. Якщо користувач відвідає фальшивий веб-сайт і, спокушаний деякими перевагами, підключить свій гаманець та надасть дозвіл, активи в їх гаманці можуть бути автоматично вкрадені.
Щоб уникнути цього, завжди перевіряйте домен dapp (url), коли відвідуєте веб-сайти, особливо ті, які потребують авторизації гаманця, наприклад, платформи dex. Найкраще додавати в закладки офіційні веб-сайти, які ви часто використовуєте, замість пошуку їх кожного разу в Twitter або Google, оскільки результати пошуку іноді можуть бути вводити в оману. Крім того, уникайте натискання на рекламу проектів на різних веб-сайтах, оскільки шахраї часто розміщують фейкову рекламу.
уникайте натискання посилань, надісланих незнайомцями. наприклад, поширене шахрайство на discord полягає в тому, що шахраї відправляють повідомлення з посиланнями на фальшиві сторінки або твіттер-пости (посилання на твіттер-пост може бути правильним, але воно містить шахрайське посилання).
якщо вам потрібно встановити плагіни для браузера, то встановлюйте лише ті, з якими ви знайомі. Недавно, 3 червня, користувач повідомив про втрату мільйона доларів після встановлення шкідливого розширення для Chrome, яке називається Aggr.
тому, при роботі з розширеннями для браузера (використовуючи Chrome як приклад), переконайтеся, що ви встановлюєте лише відомі розширення з Chrome Web Store, щоб уникнути невідомих розширень. Ви також можете розглянути використання розширень перевірки безпеки, наприклад, ScamSniffer, для безпечного перегляду.
Якщо вас особливо турбує безпека, розгляньте можливість створення окремого користувача Chrome, спеціально для взаємодії з додатками, які потребують доступу до гаманця. Не встановлюйте жодних плагінів у цьому профілі і переконайтеся, що ви вийшли з облікового запису негайно після завершення транзакцій.
крім перевірки безпеки та надійності протоколів при авторизації різних додатків, рекомендується регулярно перевіряти історію авторизації вашого гаманця та скасовувати будь-які авторизації, які можуть бути ризиковими або неясними, навіть якщо ви вже відключили свій гаманець.
Є кілька інструментів, доступних для перевірки авторизацій гаманця, при цьому revokecash є одним з найбільш часто використовуваних, як показано на малюнку нижче.
додатково, деякі гаманці пропонують функції для керування історичними авторизаціями. Наприклад, гаманець Rabby, який є криптогаманцем під DeBank, підтримує цю функціональність, як показано на зображенні нижче.
щодо використання гаманця, якщо у вас є значна кількість активів, рекомендується не зберігати всі ваші кошти в гарячих гаманцях, таких як metamask або phantom. ви можете зберігати частину ваших часто використовуваних коштів в гарячих гаманцях (розподілені по різних гарячих гаманцях), а іншу частину - на біржах (розподілені по різних біржах, але використовуйте лише основні). залишкові кошти слід зберігати в холодних гаманцях.
Додатково, холодні гаманці не обов'язково повинні бути апаратними гаманцями, такими як ledger, trezor або ellipal. Особисто я використовую два окремих телефони Apple офлайн як холодні гаманці. Для щоденних операцій я використовую окремий телефон Apple як гарячий гаманець (я не рекомендую використовувати телефони на Android), який також відокремлений від мого щоденного телефону.
Багато людей, особливо новачки, думають про аірдропи як про безкоштовні токени або NFT, на які вони можуть претендувати. Шахраї користуються цим, використовуючи фальшиві аірдропи, щоб обманом змусити людей розкрити приватні ключі їхніх гаманців або спрямувати їх на фішингові веб-сайти, де вони авторизують свої гаманці.
наприклад, ви можливо несподівано отримаєте nft (невелике зображення) у свій гаманець з url на ньому, що спонукає вас відвідати веб-сайт. якщо ви відвідаєте сайт і авторизуєте свій гаманець, ваші активи можуть бути миттєво вичерпані.
коли ви бачите адреси для безкоштовного отримання токенів або посилання на роздачі популярних проектів в соціальних мережах, завжди перевіряйте їх автентичність через офіційний веб-сайт проекту. Ніколи не діліться своїм seed phrase чи приватним ключем, щоб отримати будь-яку роздачу. Ваш seed phrase дорівнює всім вашим активам - ніколи не розголошуйте його комусь.
мы перечислили только некоторые распространенные проблемы безопасности и советы по их предотвращению здесь. криптопространство полно развивающихся методов мошенничества. мошенники постоянно придумывают новые способы обмана, подчеркивая то, что мы уже говорили: когда кто-то фокусируется на конкретной области и продолжает исследовать, он может опережать других. мошенники постоянно усовершенствуют свои тактики, что делает все сложнее для большинства людей оставаться защищенными.
Підбиваючи підсумки, давайте подивимося на деякі з останніх гарячих новин за останні пару днів:
за даними з cointelegraph, шахрайство знову стало основною причиною криптовалютних злочинів, що призвело до прямих збитків у розмірі 4,6 мільярда доларів минулого року (2023 року).
згідно з даними звіту certik, лише в першому кварталі 2024 року в криптовалютному секторі сталося 223 значущих випадків безпеки on-chain, що призвели до збитків у розмірі 500 мільйонів доларів. Крім того, згідно з останнім звітом slowmist, тільки минулого місяця (травень) сталося понад 31 помітний випадок безпеки, що призвели до втрат у розмірі 124 мільйонів доларів через хакерські атаки, фішингові шахрайства, крадіжки облікових записів та rug pulls. Це означає зростання на близько 52,5% у порівнянні з квітнем.
Крім того, широко обговорюваний інцидент з крадіжкою великих сум грошей від користувачів okx, як повідомляється, не тільки висушив значні кошти у деяких користувачів, але й призвів до зняття 630 мільйонів доларів користувальницьких коштів з біржі цього місяця.
ці події - це лише ті, про які ми знаємо. Багато шахрайств, такі як схеми "вбивства свиней", спрямовані на новачків у цій галузі, важко оцінити.
отже, саме тому я завжди наголошую на двох основних принципах для новачків в цій галузі: спочатку, захищайте свій початковий капітал, а по-друге, уникайте того, чого ви не розумієте. просто кажучи, завжди надавайте пріоритет свідомості про безпеку. раніше ми узагальнили деякі пункти з безпеки в раніших статтях. сьогодні ми продовжимо цю дискусію, виділивши деякі загальні питання безпеки:
Загальні вразливості у Defi включають атаки на миттєві кредити та маніпулювання оракулом, обидві з яких можуть вичерпати ресурси протоколу Defi.
Флеш-позики — це інноваційний продукт DeFi, що дозволяє користувачам позичати будь-яку кількість криптоактивів у пулі протоколу без застави за умови, що основна сума та відсотки погашаються в межах однієї транзакції (одного блоку). Перевага флеш-позик полягає в тому, що вони дозволяють користувачам використовувати можливості ринкового арбітражу, досягаючи недорогих операцій з високою винагородою. Ризик полягає в тому, що якщо користувач не може погасити транзакцію протягом зазначеного часу, транзакція скасовується, що призводить до втрати комісій за транзакцію та відсотків.
Атаки на швидкісні кредити працюють шляхом швидкого виконання кількох операцій з позики та торгівлі на тій же мережі блокчейн, що спричиняє помилки в розумних контрактах та дозволяє зловмисникам отримувати надмірні вигоди. Наприклад, 14 травня протокол позики на основі Sonne Finance, який базується на Compound, став жертвою атаки на швидкісні кредити, втративши понад 20 мільйонів доларів.
оракули - це програми, які отримують, перевіряють та передають зовнішню інформацію (дані поза ланцюгом) для смарт-контрактів на блокчейн. Окрім того, оракули можуть витягувати дані поза ланцюгом та транслювати їх на ефіреумі, а також відправляти інформацію з блокчейну до зовнішніх систем. Наприклад, розумний замок може бути розблокований, якщо користувач відправляє комісію через транзакцію на ефіреумі. Без оракулів смарт-контракти були б обмежені використанням лише даних на ланцюгу.
Маніпулювання оракулами може призвести до того, що вони повідомлятимуть невірні дані про зовнішні події або реальні умови. Наприклад, розглянемо криптовалютний актив, який торгується на п'яти біржах, де 85% торгового обсягу відбувається на двох з них. Якщо оракул покриває тільки інші три біржі з меншою ліквідністю, то його охоплення недостатнє. Атакувальник може маніпулювати цінами на цих трьох менш ліквідних біржах, що спричинить звітування оракула цін, які відхиляються від фактичних ринкових цін, тим самим створюючи ризик маніпулювання.
наприклад, 10 червня була атакована платформа для позичання uwu lend, що призвело до втрати приблизно 19,3 мільйона доларів. Ядром цієї атаки було маніпулювання атакувачем ціновим оракулом шляхом здійснення великих угод на пулі curvefinance, що вплинуло на ціну токена susde. Після цього атакувач скористався маніпульованою ціною, щоб зняти інші активи з пулу.
Отже, при використанні протоколів defi важливо диверсифікувати свої інвестиції та уникати використання протоколів, які не були перевірені або мають низькі ліквідні пули.
Багато користувачів, ймовірно, стикалися зі шахрайськими веб-сайтами. Шахраї створюють фіктивні офіційні веб-сайти, які виглядають легітимними, і широко поширюють їх через соціальні мережі, електронну пошту, обговоренні групи та інші канали. Якщо користувач відвідає фальшивий веб-сайт і, спокушаний деякими перевагами, підключить свій гаманець та надасть дозвіл, активи в їх гаманці можуть бути автоматично вкрадені.
Щоб уникнути цього, завжди перевіряйте домен dapp (url), коли відвідуєте веб-сайти, особливо ті, які потребують авторизації гаманця, наприклад, платформи dex. Найкраще додавати в закладки офіційні веб-сайти, які ви часто використовуєте, замість пошуку їх кожного разу в Twitter або Google, оскільки результати пошуку іноді можуть бути вводити в оману. Крім того, уникайте натискання на рекламу проектів на різних веб-сайтах, оскільки шахраї часто розміщують фейкову рекламу.
уникайте натискання посилань, надісланих незнайомцями. наприклад, поширене шахрайство на discord полягає в тому, що шахраї відправляють повідомлення з посиланнями на фальшиві сторінки або твіттер-пости (посилання на твіттер-пост може бути правильним, але воно містить шахрайське посилання).
якщо вам потрібно встановити плагіни для браузера, то встановлюйте лише ті, з якими ви знайомі. Недавно, 3 червня, користувач повідомив про втрату мільйона доларів після встановлення шкідливого розширення для Chrome, яке називається Aggr.
тому, при роботі з розширеннями для браузера (використовуючи Chrome як приклад), переконайтеся, що ви встановлюєте лише відомі розширення з Chrome Web Store, щоб уникнути невідомих розширень. Ви також можете розглянути використання розширень перевірки безпеки, наприклад, ScamSniffer, для безпечного перегляду.
Якщо вас особливо турбує безпека, розгляньте можливість створення окремого користувача Chrome, спеціально для взаємодії з додатками, які потребують доступу до гаманця. Не встановлюйте жодних плагінів у цьому профілі і переконайтеся, що ви вийшли з облікового запису негайно після завершення транзакцій.
крім перевірки безпеки та надійності протоколів при авторизації різних додатків, рекомендується регулярно перевіряти історію авторизації вашого гаманця та скасовувати будь-які авторизації, які можуть бути ризиковими або неясними, навіть якщо ви вже відключили свій гаманець.
Є кілька інструментів, доступних для перевірки авторизацій гаманця, при цьому revokecash є одним з найбільш часто використовуваних, як показано на малюнку нижче.
додатково, деякі гаманці пропонують функції для керування історичними авторизаціями. Наприклад, гаманець Rabby, який є криптогаманцем під DeBank, підтримує цю функціональність, як показано на зображенні нижче.
щодо використання гаманця, якщо у вас є значна кількість активів, рекомендується не зберігати всі ваші кошти в гарячих гаманцях, таких як metamask або phantom. ви можете зберігати частину ваших часто використовуваних коштів в гарячих гаманцях (розподілені по різних гарячих гаманцях), а іншу частину - на біржах (розподілені по різних біржах, але використовуйте лише основні). залишкові кошти слід зберігати в холодних гаманцях.
Додатково, холодні гаманці не обов'язково повинні бути апаратними гаманцями, такими як ledger, trezor або ellipal. Особисто я використовую два окремих телефони Apple офлайн як холодні гаманці. Для щоденних операцій я використовую окремий телефон Apple як гарячий гаманець (я не рекомендую використовувати телефони на Android), який також відокремлений від мого щоденного телефону.
Багато людей, особливо новачки, думають про аірдропи як про безкоштовні токени або NFT, на які вони можуть претендувати. Шахраї користуються цим, використовуючи фальшиві аірдропи, щоб обманом змусити людей розкрити приватні ключі їхніх гаманців або спрямувати їх на фішингові веб-сайти, де вони авторизують свої гаманці.
наприклад, ви можливо несподівано отримаєте nft (невелике зображення) у свій гаманець з url на ньому, що спонукає вас відвідати веб-сайт. якщо ви відвідаєте сайт і авторизуєте свій гаманець, ваші активи можуть бути миттєво вичерпані.
коли ви бачите адреси для безкоштовного отримання токенів або посилання на роздачі популярних проектів в соціальних мережах, завжди перевіряйте їх автентичність через офіційний веб-сайт проекту. Ніколи не діліться своїм seed phrase чи приватним ключем, щоб отримати будь-яку роздачу. Ваш seed phrase дорівнює всім вашим активам - ніколи не розголошуйте його комусь.
мы перечислили только некоторые распространенные проблемы безопасности и советы по их предотвращению здесь. криптопространство полно развивающихся методов мошенничества. мошенники постоянно придумывают новые способы обмана, подчеркивая то, что мы уже говорили: когда кто-то фокусируется на конкретной области и продолжает исследовать, он может опережать других. мошенники постоянно усовершенствуют свои тактики, что делает все сложнее для большинства людей оставаться защищенными.
Підбиваючи підсумки, давайте подивимося на деякі з останніх гарячих новин за останні пару днів: