Зі зростанням популярності крипторинку швидко з'являються проєкти та інновації Web3, що підігріває ажіотаж серед користувачів. Однак це хвилювання також пов'язане з ризиками, оскільки користувачі можуть ненавмисно стати жертвами шахрайства, злому або спроб фішингу під час вивчення нових проектів. У зв'язку з цим, а також на основі наших масштабних досліджень як ончейн, так і офчейн, ми розробили серію інформативних тематичних досліджень, присвячених захисту активів користувачів. Це призвело до створення нашого Посібника для початківців із безпеки Web3.
Наша мета - надати всебічний огляд потенційних ризиків у просторі Web3, підтриманий реальними прикладами, щоб допомогти читачам краще виявляти та пом'якшувати ці загрози. Посібник охоплює такі теми, як ризики, пов'язані з завантаженням та використанням гаманців, загальні помилки при спілкуванні з проектами екосистеми Web3, поради щодо визначення небезпечних авторизацій підписів та кроки, які потрібно вжити, якщо вас взламали. (Примітка: Зміст може змінюватися залежно від актуальних розробок та відгуків, тому кінцевий посібник може відрізнятися за обсягом.)
Незалежно від того, чи ви новачок, який цікавиться захоплюючим світом Web3, але відчуває перевантаження через термінологію галузі, незнайому геймплей та приховані ризики, або досвідчений користувач Web3, який пройшов крізь «темний ліс» блокчейну та зіткнувся з різними пастками - цей посібник для вас. Він призначений для допомоги кожному користувачу захищати свої активи та навігувати світом блокчейну з впевненістю.
Гаманці - це ворота до криптосвіту та ключовий компонент інфраструктури Web3. Їх важливість не може бути недооцінена. Давайте відразу перейдемо до нашого першого курсу - огляду типів гаманців та ризиків, пов'язаних з ними.
Браузерні гаманці, такі як MetaMask та Rabby, є розширеннями браузера, які інтегруються безпосередньо з вашим веб-переглядачем (таким як Google Chrome або Firefox). Зазвичай їх легко отримати та використовувати, не потребуючи додаткового завантаження чи встановлення програмного забезпечення.
(https://metamask.io/download/)
Веб-гаманці дозволяють керувати своїми криптовалютними активами безпосередньо через веб-браузер. Хоча це зручно, але вони мають значні ризики. Зазвичай веб-гаманці зберігають зашифровані фрази мнемонічних кодів на локальному сховищі вашого браузера, що робить їх вразливими до шкідливого програмного забезпечення або мережевих атак.
(https://www.myetherwallet.com/wallet/access/software?type=overview)
Мобільні гаманці працюють так само, як веб-гаманці, але доступні у вигляді додатків, які можна завантажити та встановити на смартфоні.
(https://token.im/download?locale=uk-us)
На початку криптовалют, настільні гаманці були більш поширеними, до популярних прикладів належать Electrum та Sparrow. Ці гаманці встановлюються як додатки на вашому комп'ютері, з приватними ключами та даними транзакцій, збереженими локально, що дає вам повний контроль над вашими криптогрошовими ключами.
Апаратні гаманці - це фізичні пристрої, призначені для безпечного зберігання криптовалют та цифрових активів, таких як Trezor, imKey, Ledger, Keystone та OneKey. Вони забезпечують безпечний офлайн-метод зберігання приватних ключів, що гарантує, що ваші ключі залишаються в безпеці навіть під час взаємодії з додатками DApps.
(https://shop.ledger.com/products/ledger-nano-s-plus/matte-black)
Паперовий гаманець передбачає друк вашої адреси криптовалюти та приватного ключа у вигляді QR-коду на аркуші паперу. Потім ви можете використовувати QR-код для проведення криптовалютних транзакцій.
(https://www.walletgenerator.net/?culture=zh¤cy=bitcoin)
Багато користувачів, через обмежений доступ до Google Play або проблеми з мережею, часто завантажують гаманці з альтернативних джерел, таких як сторонні сайти для завантаження, або шукають гаманець в Інтернеті і натискають на один з перших результатів пошуку. Цей підхід значно збільшує ризик завантаження підробленого гаманця, оскільки рекламні оголошення пошукових систем та високопрофільні результати пошуку можуть бути придбані. Аферисти використовують це, купуючи рекламне місце та створюючи підроблені веб-сайти гаманців для обману користувачів. Нижче наведено приклад результатів пошуку при пошуку гаманця TP на Baidu.
(https://mp.weixin.qq.com/s/NdwIE412MJ7y-O5f2OrSHA)
Атаки на ланцюг постачання - це серйозна загроза безпеці гаманців для зберігання криптовалюти. Якщо ви придбаєте апаратний гаманець де-небудь, крім офіційного магазину або уповноваженого дилера, ви не зможете знати, скільки рук він проходив або чи було змінено внутрішні компоненти. На зображенні нижче апаратний гаманець справа був змінений.
(https://www.kaspersky.com/blog/fake-trezor-hardware-crypto-wallet/48155/)
Якщо ваш комп'ютер інфікований трояном, ваш гаманець може бути компрометований шкідливим ПЗ. Команда з безпеки SlowMist провела глибокий аналіз цієї проблеми у своєму статті " Темний нічний злодій: троян Redline Stealer краде криптовалюту«,» пояснює, як розвивається цей ризик та його потенційний вплив. Ми рекомендуємо користувачам встановлювати довірений антивірусний софт, такий як Kaspersky, AVG або 360, включати захист у реальному часі та регулярно оновлювати вірусні визначення, щоб залишатися в безпеці.
Навіть якщо ви завантажите законний гаманець, використовуйте його обережно, і переконайтеся, що ваш пристрій і середовище є безпечними, ви все ще можете бути під загрозою, якщо сам гаманець має дизайнерські недоліки. Тому важливо враховувати не лише зручність гаманця, але й те, чи є його код відкритим. Гаманці з відкритим вихідним кодом дозволяють зовнішнім розробникам та аудиторам виявляти потенційні вразливості, зменшуючи ризик атак. У разі використання вразливості, команди безпеки можуть швидко виявити та виправити проблему.
У цьому посібнику ми описали різні типи гаманців і загальні ризики, пов'язані з ними, щоб допомогти вам сформувати фундаментальне розуміння безпеки гаманців. Незалежно від того, який тип або марку гаманця ви виберете, завжди зберігайте свої мнемонічні фрази та приватні ключі конфіденційними та безпечними. Ви також можете розглянути можливість використання комбінації типів гаманців, наприклад, добре відомого апаратного гаманця в поєднанні з надійним програмним гаманцем для управління великими активами або кількох надійних програмних гаманців для розподілу менших активів. У наступному випуску ми детальніше розглянемо ризики, пов'язані із завантаженням та купівлею гаманців. Слідкуйте за новинами! (Примітка: бренди та зображення гаманців, згадані в цій статті, призначені лише для освітніх цілей і не є рекомендаціями чи схваленням.)
Зі зростанням популярності крипторинку швидко з'являються проєкти та інновації Web3, що підігріває ажіотаж серед користувачів. Однак це хвилювання також пов'язане з ризиками, оскільки користувачі можуть ненавмисно стати жертвами шахрайства, злому або спроб фішингу під час вивчення нових проектів. У зв'язку з цим, а також на основі наших масштабних досліджень як ончейн, так і офчейн, ми розробили серію інформативних тематичних досліджень, присвячених захисту активів користувачів. Це призвело до створення нашого Посібника для початківців із безпеки Web3.
Наша мета - надати всебічний огляд потенційних ризиків у просторі Web3, підтриманий реальними прикладами, щоб допомогти читачам краще виявляти та пом'якшувати ці загрози. Посібник охоплює такі теми, як ризики, пов'язані з завантаженням та використанням гаманців, загальні помилки при спілкуванні з проектами екосистеми Web3, поради щодо визначення небезпечних авторизацій підписів та кроки, які потрібно вжити, якщо вас взламали. (Примітка: Зміст може змінюватися залежно від актуальних розробок та відгуків, тому кінцевий посібник може відрізнятися за обсягом.)
Незалежно від того, чи ви новачок, який цікавиться захоплюючим світом Web3, але відчуває перевантаження через термінологію галузі, незнайому геймплей та приховані ризики, або досвідчений користувач Web3, який пройшов крізь «темний ліс» блокчейну та зіткнувся з різними пастками - цей посібник для вас. Він призначений для допомоги кожному користувачу захищати свої активи та навігувати світом блокчейну з впевненістю.
Гаманці - це ворота до криптосвіту та ключовий компонент інфраструктури Web3. Їх важливість не може бути недооцінена. Давайте відразу перейдемо до нашого першого курсу - огляду типів гаманців та ризиків, пов'язаних з ними.
Браузерні гаманці, такі як MetaMask та Rabby, є розширеннями браузера, які інтегруються безпосередньо з вашим веб-переглядачем (таким як Google Chrome або Firefox). Зазвичай їх легко отримати та використовувати, не потребуючи додаткового завантаження чи встановлення програмного забезпечення.
(https://metamask.io/download/)
Веб-гаманці дозволяють керувати своїми криптовалютними активами безпосередньо через веб-браузер. Хоча це зручно, але вони мають значні ризики. Зазвичай веб-гаманці зберігають зашифровані фрази мнемонічних кодів на локальному сховищі вашого браузера, що робить їх вразливими до шкідливого програмного забезпечення або мережевих атак.
(https://www.myetherwallet.com/wallet/access/software?type=overview)
Мобільні гаманці працюють так само, як веб-гаманці, але доступні у вигляді додатків, які можна завантажити та встановити на смартфоні.
(https://token.im/download?locale=uk-us)
На початку криптовалют, настільні гаманці були більш поширеними, до популярних прикладів належать Electrum та Sparrow. Ці гаманці встановлюються як додатки на вашому комп'ютері, з приватними ключами та даними транзакцій, збереженими локально, що дає вам повний контроль над вашими криптогрошовими ключами.
Апаратні гаманці - це фізичні пристрої, призначені для безпечного зберігання криптовалют та цифрових активів, таких як Trezor, imKey, Ledger, Keystone та OneKey. Вони забезпечують безпечний офлайн-метод зберігання приватних ключів, що гарантує, що ваші ключі залишаються в безпеці навіть під час взаємодії з додатками DApps.
(https://shop.ledger.com/products/ledger-nano-s-plus/matte-black)
Паперовий гаманець передбачає друк вашої адреси криптовалюти та приватного ключа у вигляді QR-коду на аркуші паперу. Потім ви можете використовувати QR-код для проведення криптовалютних транзакцій.
(https://www.walletgenerator.net/?culture=zh¤cy=bitcoin)
Багато користувачів, через обмежений доступ до Google Play або проблеми з мережею, часто завантажують гаманці з альтернативних джерел, таких як сторонні сайти для завантаження, або шукають гаманець в Інтернеті і натискають на один з перших результатів пошуку. Цей підхід значно збільшує ризик завантаження підробленого гаманця, оскільки рекламні оголошення пошукових систем та високопрофільні результати пошуку можуть бути придбані. Аферисти використовують це, купуючи рекламне місце та створюючи підроблені веб-сайти гаманців для обману користувачів. Нижче наведено приклад результатів пошуку при пошуку гаманця TP на Baidu.
(https://mp.weixin.qq.com/s/NdwIE412MJ7y-O5f2OrSHA)
Атаки на ланцюг постачання - це серйозна загроза безпеці гаманців для зберігання криптовалюти. Якщо ви придбаєте апаратний гаманець де-небудь, крім офіційного магазину або уповноваженого дилера, ви не зможете знати, скільки рук він проходив або чи було змінено внутрішні компоненти. На зображенні нижче апаратний гаманець справа був змінений.
(https://www.kaspersky.com/blog/fake-trezor-hardware-crypto-wallet/48155/)
Якщо ваш комп'ютер інфікований трояном, ваш гаманець може бути компрометований шкідливим ПЗ. Команда з безпеки SlowMist провела глибокий аналіз цієї проблеми у своєму статті " Темний нічний злодій: троян Redline Stealer краде криптовалюту«,» пояснює, як розвивається цей ризик та його потенційний вплив. Ми рекомендуємо користувачам встановлювати довірений антивірусний софт, такий як Kaspersky, AVG або 360, включати захист у реальному часі та регулярно оновлювати вірусні визначення, щоб залишатися в безпеці.
Навіть якщо ви завантажите законний гаманець, використовуйте його обережно, і переконайтеся, що ваш пристрій і середовище є безпечними, ви все ще можете бути під загрозою, якщо сам гаманець має дизайнерські недоліки. Тому важливо враховувати не лише зручність гаманця, але й те, чи є його код відкритим. Гаманці з відкритим вихідним кодом дозволяють зовнішнім розробникам та аудиторам виявляти потенційні вразливості, зменшуючи ризик атак. У разі використання вразливості, команди безпеки можуть швидко виявити та виправити проблему.
У цьому посібнику ми описали різні типи гаманців і загальні ризики, пов'язані з ними, щоб допомогти вам сформувати фундаментальне розуміння безпеки гаманців. Незалежно від того, який тип або марку гаманця ви виберете, завжди зберігайте свої мнемонічні фрази та приватні ключі конфіденційними та безпечними. Ви також можете розглянути можливість використання комбінації типів гаманців, наприклад, добре відомого апаратного гаманця в поєднанні з надійним програмним гаманцем для управління великими активами або кількох надійних програмних гаманців для розподілу менших активів. У наступному випуску ми детальніше розглянемо ризики, пов'язані із завантаженням та купівлею гаманців. Слідкуйте за новинами! (Примітка: бренди та зображення гаманців, згадані в цій статті, призначені лише для освітніх цілей і не є рекомендаціями чи схваленням.)