AVISO LEGAL

Este guia não pode garantir nada e não é escrito a partir da perspectiva de um "especialista em cripto ou cibersegurança".

É a culminação de aprendizado contínuo de múltiplas fontes e experiência pessoal.

Por exemplo, eu mesmo fui enganado pela FOMO e ganância muito cedo (golpe de transmissão ao vivo falso e golpe de bot MEV falso) ao entrar neste espaço, então eu reservei um tempo para aprender seriamente, configurar e entender a segurança.

Não seja a pessoa que é obrigada a aprender sobre segurança porque perdeu tudo ou uma quantia dolorosamente grande.

HACK OU ERRO DO USUÁRIO?

Todos os tipos de "hacks" ou compromissos de carteira/token/NFT geralmente se enquadram em uma de duas categorias:

1. Abuso de aprovações de tokens concedidos anteriormente.

2. Compromisso da chave privada/frase-semente (geralmente em uma carteira quente).

APROVAÇÕES DE TOKEN

As aprovações de tokens são essencialmente uma permissão para um contrato inteligente acessar e mover um tipo específico ou quantidade de um token da sua carteira.

Por exemplo:

1. Dando permissão ao OpenSea para mover seu NFT para que você possa vendê-lo.
2. Dando permissão ao Uniswap para seus tokens para que você possa fazer uma troca.
   \
   Se quiser ler mais sobre aprovações de token, você pode ler este tópico aqui.

Para algum precontexto, basicamente tudo na rede Ethereum, EXCETO o ETH, é um token ERC-20.

Uma das propriedades dos tokens ERC-20 é a capacidade de conceder permissões de aprovação a outros contratos inteligentes.

Essas aprovações são necessárias em algum momento, se você quiser fazer interações básicas de DeFi, como trocar ou conectar tokens.

NFTs, respectivamente, são tokens ERC-721 e 1155; seus mecanismos de aprovação funcionam de forma semelhante aos ERC-20s, mas para os mercados de NFTs.

A solicitação inicial de aprovação de token do MetaMask (MM) fornece várias informações, mas as mais relevantes são:

• o token para o qual está dando permissão

• o site com o qual você está interagindo

• o contrato inteligente com o qual você está interagindo

• a capacidade de editar a quantidade de permissão do token

Na lista suspensa de detalhes completos, vemos uma peça adicional de informação: a função de aprovação.

Todos os tokens ERC-20 devem ter certas características e propriedades conforme delineado pelo padrão ERC-20.

Uma dessas é a capacidade dos contratos inteligentes de mover tokens com base na quantidade aprovada.

O perigo dessas aprovações está se você conceder permissões de tokens para um contrato inteligente malicioso, você poderia ter seus ativos roubados/drenados.

APROVAÇÕES DE LIMITE ILIMITADO VS PERSONALIZADO (TOKENS ERC-20)

Muitos aplicativos DeFi solicitarão por padrão a aprovação ilimitada do token ERC20.

Isto é para melhorar a experiência do usuário, pois é mais conveniente, pois não requer aprovações futuras potenciais, poupando assim tempo e taxas de gás.

POR QUE ISSO É IMPORTANTE?

Permitir uma aprovação para uma quantidade ilimitada de tokens potencialmente coloca seus fundos em risco.

Editar manualmente a aprovação de token para uma quantidade específica define a quantidade máxima de tokens que o dApp aprovado pode mover até que outra aprovação seja assinada para uma quantidade maior.

Isso limita seu risco de queda se esse contrato inteligente for explorado. Se houver uma exploração em um dApp para o qual você concedeu aprovações ilimitadas, então você corre o risco de perder todos os tokens aprovados da carteira que detém esses ativos e concedeu essa aprovação.

Ver o Exploração Multichain WETH (WETH é um envoltório de token ERC-20 de ETH)como um exemplo.

Esta ponte comumente usada foi explorada através do abuso de permissões de token ilimitadas no passado para retirar fundos dos usuários.

Um exemplo (usando a carteira Zerion) de mudar das aprovações ilimitadas padrão para aprovações manuais.

APROVAÇÕES NFT

"setApprovalForAll" para NFTs

Essa é uma aprovação comumente usada, mas potencialmente perigosa, geralmente concedida a mercados NFT confiáveis quando você deseja vender seu NFT.

Isso permite que o NFT seja transferível pelo contrato inteligente do mercado. Assim, quando você vende um NFT para um comprador, o contrato inteligente do mercado pode mover o NFT automaticamente para o comprador.

Esta aprovação concede acesso a todos os tokens NFT de um endereço de coleção/contrato específico.

Isso também pode ser usado por sites/contratos maliciosos para roubar seus NFTs.

EXEMPLO DE ATOR MALICIOSO ABUSANDO DE “SETAPPROVALFORALL”

O clássico 'esvaziamento de carteira' para uma situação de lançamento livre de FOMO acontece assim:

O usuário acessa um site malicioso que eles acreditam ser legítimo.

Quando eles conectam sua carteira a um site, o site só é capaz de ver o conteúdo da carteira.

No entanto, eles usam isso para escanear a carteira em busca dos NFTs de maior valor e solicitar um 'set approval for all' do MM para o endereço do contrato deste NFT.

O usuário pensa que está criando tokens, mas na verdade está dando permissão ao contrato malicioso para movimentar esses tokens.

O golpista então rouba tokens e os liquida em lances abertos OS ou Blur antes que o item seja marcado como roubado.

ASSINATURAS VS APROVAÇÕES

Aprovações REQUEREM gás, pois estão processando uma transação.

As assinaturas não consomem gás e são frequentemente usadas para fazer login em dApps para provar que você controla a respectiva carteira.

Assinaturas são geralmente ações de menor risco, mas ainda podem ser usadas para explorar aprovações previamente concedidas para sites confiáveis como o OpenSea.

Também é possível (para ERC-20s) ter suas aprovações modificadas com uma assinatura sem gás devido às funções de permissão serem introduzidas recentemente no ETH.

Isso pode ser visto se você usar uma DEX como 1inch.

Uma leitura disso com mais detalhesaqui.

APROVAÇÕES DE TOKENS - PRINCIPAIS CONCLUSÕES

Tenha cautela sempre que estiver dando aprovações para qualquer coisa, certifique-se de saber quais tokens você está dando aprovação e para qual contrato inteligente (utilize etherscan).

Limite seu risco para aprovações:

1. Utilize várias carteiras (as aprovações são específicas para cada carteira) - não assine aprovações para sua carteira de cofre / alta valor.
2. Idealmente, reduza ou evite conceder aprovações ilimitadas para ERC-20s.
3. Verifique e revogue as aprovações periodicamente via etherscan ou revoke.cash.

Revoke.cashé um site que permite revogar facilmente várias aprovações de tokens.

CARTERAS DE HARDWARE/FRIO

Os hot wallets estão conectados à internet por meio do seu computador ou telefone. As chaves/credenciais da carteira são armazenadas online ou localmente no seu navegador.

Cold wallets são dispositivos de hardware onde a chave é gerada e armazenada PURAMENTE offline e fisicamente próximo a você.

Vendo que um ledger custa cerca de $120, se você tem mais de $1000 em ativos de cripto, provavelmente deveria comprar e configurar um Ledger. Você pode conectar (não importar) suas carteiras de ledger na sua MM para ter a mesma funcionalidade de outra carteira quente, mantendo um nível de segurança.

Ledger e Trezor são os mais populares. Eu gosto do Ledger pois é o mais compatível com carteiras de navegador (semelhante ao Rabby e MM).

MELHORES PRÁTICAS AO COMPRAR UMA LEDGER

Sempre compre no site oficial do fabricante, NÃO compre no Ebay ou Amazon = potencialmente comprometido / malware pré-carregado.

Certifique-se de que a embalagem esteja selada quando receber o item.

Quando você configura o ledger pela primeira vez, ele irá gerar uma frase-semente.

ESCREVA APENAS a semente em papel FÍSICO, ou uma placa de aço em uma data futura para que sua frase de semente seja à prova de fogo e à prova d'água.

NUNCA tire uma foto ou digite a semente em QUALQUER forma de teclado (incluindo o telefone) isso = digitalizar a semente e sua carteira fria agora é uma carteira "quente" insegura.

A cripto não é exatamente armazenada na carteira de hardware, mas "dentro" da carteira gerada pela frase-semente.

A frase semente (12-24 palavras) é TUDO, ela deve ser protegida/segura a todo custo.

Ele dá controle/acesso completo a TODAS as carteiras geradas sob essa frase-semente.

A semente não é específica do dispositivo, você pode “importá-la” para outra carteira de hardware como backup, se necessário.

Se a semente for perdida/destruída e a carteira de hardware original for perdida/destruída/bloqueada = perdendo o acesso a TODOS os seus ativos PERMANENTEMENTE.

Existem vários níveis de armazenamento em nível de semente, como dividir em várias partes, adicionar distância física entre as partes, armazená-la em lugares não óbvios (uma lata de sopa no fundo do congelador, em algum lugar subterrâneo em sua propriedade, etc.)

No mínimo, você deve ter pelo menos 2-3 cópias, sendo uma em aço para se proteger contra água e fogo.

Uma “chave privada” é como uma frase-semente, mas apenas para 1 carteira específica. Geralmente é usada para importar carteiras quentes para uma nova conta MM ou em ferramentas de automação como bots de negociação.

A 25ª PALAVRA - LEDGER

Além da semente original de 24 palavras, a Ledger possui um recurso de segurança adicional opcional.

O Frase-passeé um recurso avançado que adiciona uma 25ª palavra de sua escolha de no máximo 100 caracteres à sua frase de recuperação.

Usar uma frase secreta fará com que um conjunto completamente diferente de endereços seja criado, que não pode ser acessado apenas por meio da frase de recuperação de 24 palavras.

Além de adicionar outra camada, a Frase de Senha lhe concede negação plausível quando sob pressão.

Se estiver usando uma Frase de senha, é importante armazená-la com segurança ou lembrá-la perfeitamente, caractere por caractere e com sensibilidade a maiúsculas e minúsculas.

Esta é a única e última defesa para as situações de "ataque de chave de $5" em que você é ameaçado fisicamente.

POR QUE PASSAR POR TODA ESSA FRICÇÃO PARA CONFIGURAR UMA CARTEIRA DE HARDWARE?

As carteiras quentes armazenam as chaves privadas em um local conectado à Internet.

É enganosamente fácil ser enganado, ludibriado e manipulado a revelar essas credenciais via Internet.

Ter uma carteira fria significa que um golpista precisaria fisicamente encontrar e pegar seu ledger ou semente para ter acesso a essas carteiras e aos ativos dentro delas.

Semente comprometida = todas as carteiras quentes e ativos dentro estão em risco, mesmo aquelas que não interagiram com o site/contrato malicioso.

FORMAS COMUNS NO PASSADO EM QUE AS PESSOAS FORAM "HACKEADAS"

Formas comuns no passado em que as pessoas foram "hackeadas" (comprometimento da frase-semente) via carteiras quentes.

1. Enganado ao fazer o download de malware por meio de ofertas de emprego em PDFs, jogos de "teste beta", execução de macros por meio do Google Sheets, imitação de sites e serviços legítimos.

2. Interagindo com contratos maliciosos: FOMO emitindo de um site imitador, interagindo com contrato de NFTs desconhecidos recebidos/airdropped.

3. Inserindo ou enviando chaves & seed para “suporte ao cliente” ou um programa/formulário relacionado.

EXEMPLOS E ANÁLISE DE ‘HACKS’ DE ALTO PERFIL

Kevin Rose: Fui cunhar uma coleção (bloco de arte), assinou uma assinatura txn (sem gás) pensando que estava apenas entrando no site da Casa da Moeda.

Mas o Seaport (novo contrato de mercado aberto) permite que você crie pedidos personalizados que você pode aceitar apenas com uma assinatura.

Como Kevin já havia concedido aprovações para seus ativos ao contrato OpenSea, o hacker o enganou a assinar uma assinatura que cumpriu um pedido personalizado para vender todos os caros NFTs de Kevin de graça / ~ $ 1 para o hacker.

Principais pontos:

As assinaturas também podem ser abusadas se aproveitarem aprovações previamente concedidas, mesmo que essa aprovação tenha sido concedida a uma fonte confiável

Não assine aprovações OpenSea (OS) em sites que não sejam OS, não interaja com contratos ou sites se você tiver uma carteira “grail/main vault”, envie para uma carteira intermediária e depois interaja

NFT_GOD: usou a opção de importar uma conta (em oposição à adição de carteira de hardware) do MetaMask e digitou sua frase-semente no MetaMask ao configurar seu ledger.

Isso efetivamente transformou sua carteira fria em uma carteira quente - lembre-se da regra de ouro anterior de nunca digitalizar sua frase-semente.

Ele aparentemente baixou um OBS falso (software de gravação) chamado ODS, que estava sendo promovido como um anúncio no topo da pesquisa do Google.

Isso era malware, então ele roubou a frase-semente e, assim, roubou todos os ativos em suas carteiras quentes e também em suas carteiras frias.

Principais conclusões:

NUNCA 'digitalize' sua frase semente de qualquer forma = digitando-a em qualquer tipo de teclado (também no telefone) ou tirando uma foto (o backup automático para serviços em nuvem também comprometeu as pessoas.)

Aviso legal：

1. Este artigo é reproduzido de[Insiders perspicazes], Encaminhe o Título Original 'Como nunca mais ser enganado na cripto', Todos os direitos autorais pertencem ao autor original [PERSPICAZ]. Se houver objeções a esta reimpressão, por favor, entre em contato com o Gate Learnequipe e eles lidarão com isso prontamente.

2. Aviso de Responsabilidade: As opiniões expressas neste artigo são exclusivamente do autor e não constituem qualquer conselho de investimento.

3. As traduções do artigo para outros idiomas são feitas pela equipe Gate Learn. Salvo menção em contrário, é proibido copiar, distribuir ou plagiar os artigos traduzidos.