Як більше ніколи не стати жертвою шахрайства в криптовалюті
ВІДМОВА ВІД ВІДПОВІДАЛЬНОСТІ
Цей посібник нічого не може гарантувати і написаний не з точки зору «експерта з криптовалют або кібербезпеки».
Це результат постійного навчання з різних джерел і особистого досвіду.
Наприклад, я сам був обманутий через FOMO та жадібність дуже рано (шахрайство з фейковим прямим ефіром та шахрайство з фейковим ботом MEV), коли увійшов в цей простір, тому я витратив час, щоб серйозно вивчити, налаштувати та зрозуміти безпеку.
Не будьте людиною, яка змушена вивчити про безпеку, тому що ви все втратили або болюче велику суму.
ХАК ЧИ КОРИСТУВАЧ ПОМИЛКА?
Усі типи «хаків» або компрометацій гаманців/токенів/NFT загалом поділяються на одну з двох категорій:
Зловживання раніше наданими схваленнями токенів.
Компрометація приватного ключа / фрази для відновлення (зазвичай в гарячому гаманці).
ПІДТВЕРДЖЕННЯ ТОКЕНІВ
Дозволи на токени в суті є дозволом для смарт-контракту на доступ та переміщення певного типу або кількості токенів з вашого гаманця.
Наприклад:
- Надання дозволу OpenSea на переміщення вашого NFT, щоб ви могли його продати.
- Надання дозволу Uniswap на ваші токени, щоб ви могли здійснити обмін. \
\
Якщо ви хочете додатково ознайомитися з схваленням токенів, ви можете прочитати цю тему тут.
Для певного передконтексту, в основному все на мережі Ethereum, ОКРЕМО від ETH, є токеном ERC-20.
Одна з властивостей токенів ERC-20 - можливість надавати дозволи на затвердження іншим розумним контрактам.
Ці схвалення необхідні в деякій мірі, якщо ви коли-небудь захочете взаємодіяти з основними процесами DeFi, такими як обмін або місткування токенів.
NFT відповідно до ERC-721 та 1155 токенів; їх механіка схвалення працює подібно до ERC-20, але для ринків NFT.
Початкове підтвердження токену від MetaMask (MM) надає вам кілька шматків інформації, але найбільш важливі -
токен, на який ви надаєте згоду
веб-сайт, з яким ви взаємодієте
розумний контракт, з яким ви взаємодієте
можливість редагувати кількість дозволу токена
Під розгорнутими повними деталями ми бачимо додатковий шматок інформації: функція схвалення.
Усі токени ERC-20 повинні мати певні характеристики та властивості, які визначено стандартом ERC-20.
Однією з них є можливість смарт-контрактів переміщувати токени на основі затвердженої суми.
Небезпека у цих схваленнях полягає в тому, що якщо ви надаєте дозволи на видачу токенів зловмисному смарт-контракту, ви можете втратити свої активи або їх можуть вкрасти.
НЕОБМЕЖЕНІ ПРОТИ СПЕЦІАЛЬНИХ ОБМЕЖЕНЬ (ТОКЕНИ ERC-20)
Багато додатків DeFi за замовчуванням будуть просити необмеженого підтвердження токену ERC20.
Це призначене для покращення досвіду користувача, оскільки це зручніше, оскільки це не потребує потенційних майбутніх схвалень, тим самим заощаджуючи час та комісії за газ.
ЧОМУ ЦЕ ВАЖЛИВО?
Дозвіл на необмежену кількість токенів потенційно ставить ваші кошти під загрозу.
Ручне редагування схвалення токена до певної суми встановлює максимальну кількість токенів, яку схвалений dApp може переміщати, доки не буде підписано інше схвалення на більшу суму.
Це обмежує ваш ризик зниження, якщо цей розумний контракт буде використаний. Якщо в додатку виявиться вразливість, для якого ви надали необмежені дозволи, то ви ризикуєте втратити всі ці схвалені токени з гаманця, який містить ці активи та надав цей дозвіл.
Подивіться на Multichain WETH (WETH - це обгортка токена ERC-20 для ETH) використовуєтьсяна прикладі.
Цей широко використовуваний міст був використаний шляхом зловживання минулими необмеженими дозволами на токени для отримання коштів від користувачів.
Приклад (використання гаманця Zerion) зміни з необмежених схвалень на ручні схвалення.
ПІДТВЕРДЖЕННЯ NFT
«setApprovalForAll» для NFT
Це загалом використовуване, але потенційно небезпечне затвердження, яке, як правило, надається довіреним ринкам NFT, коли ви хочете продати свій NFT.
Це дозволяє NFT бути передаваним за допомогою смарт-контракту майданчика. Таким чином, коли ви продаете NFT покупцеві, смарт-контракт цього майданчика може автоматично перемістити NFT покупцеві.
Це схвалення надає доступ до всіх NFT-токенів з певної адреси колекції/контракту.
Це також може бути використано шкідливими веб-сайтами/контрактами для крадіжки ваших NFT.
ПРИКЛАД ЗЛОЧИННОГО АКТОРА, ЯКИЙ ЗЛОВЖИВАЄ «SETAPPROVALFORALL»
Класичне «опорожнення гаманця» для ситуації без FOMO мінтінгу виглядає наступним чином:
Користувач переходить на зловімний веб-сайт, в який він вірить, що він є законним.
Коли вони підключають свій гаманець до веб-сайту, веб-сайт може бачити лише вміст гаманця.
Проте вони використовують це, щоб сканувати гаманець на найвищу вартість NFT та викликати «встановлення затвердження для всіх» від MM для адреси контракту цього NFT.
Користувач думає, що він створює монети, але фактично він дає зловмисному контракту дозвіл переміщувати ці токени.
Шахрай потім краде токени та ліквідує їх у відкриті ОС або розмиті ставки, перш ніж товар відзначається як вкрадений.
ПІДПИСИ ПОРІВНЯНО З ПОГОДЖЕННЯМИ
Підтвердження вимагають газ, оскільки вони обробляють транзакцію.
Підписи не потребують газу і часто використовуються для підпису в додатки децентралізованих програм (dApps), щоб довести, що ви контролюєте відповідний гаманець.
Підписи, як правило, є менш ризикованими діями, але можуть все ще використовуватися для зловживання попередніми схваленнями для надійних сайтів, таких як OpenSea.
Також можна (для ERC-20) змінити ваші дозволи на безгазовий підпис через те, що функції дозволів були введені в ETH нещодавно.
Це можна побачити, якщо ви використовуєте DEX, наприклад, 1inch.
Читання цього детальнішетут.
ВИДОБУВАННЯ ТОКЕНІВ ВИХІДНІ ДАНІ
Будьте обережні, коли ви надаєте затвердження для будь-чого, переконайтеся, що ви знаєте, для яких токенів ви надаєте затвердження та до якого смарт-контракту (використовуйте etherscan.)
Обмежте свій ризик до затверджень:
- Використовуйте кілька гаманців (схвалення є специфічними для гаманця) - не підписуйте схвалення для свого сховища / гаманця високої вартості.
- Ідеально зменшити або повністю уникнути надання необмежених затверджень для ERC-20.
- Перевіряйте та відкликайте схвалення періодично за допомогою etherscan або revoke.cash.
Revoke.cash - це веб-сайт, який дозволяє легко відкликати різні схвалення токенів.
АПАРАТНІ/ХОЛОДНІ ГАМАНЦІ
Гарячі гаманці підключені до Інтернету через ваш комп'ютер або телефон. Ключі / облікові дані гаманця зберігаються в Інтернеті або локально в вашому браузері.
Холодні гаманці - це апаратні пристрої, де ключ генерується та зберігається ВИКЛЮЧНО офлайн та фізично поруч з вами.
Оскільки бухгалтерський запис коштує близько $120, якщо ви маєте більше $1000 криптовалютних активів, вам, напевно, варто купити і налаштувати Ledger. Ви можете підключити (не імпортувати) свої гаманці Ledger до MM, щоб мати ту ж функціональність, що й у іншого гарячого гаманця, зберігаючи рівень безпеки.
Ledger та Trezor є найпопулярнішими. Мені подобається Ledger, оскільки він найбільш сумісний з браузерними гаманцями (схожими на Rabby та MM).
ПРАКТИЧНІ ПОРАДИ ПРИ ПОКУПЦІ БУХГАЛТЕРСЬКОЇ КНИГИ
Завжди купуйте на офіційному веб-сайті виробника, НЕ купуйте на Ebay або Amazon = потенційно скомпрометовані / заздалегідь завантажені зловмисне програмне забезпечення.
Переконайтеся, що упаковка запечена, коли ви отримуєте товар.
Коли ви встановлюєте рахунок вперше, він згенерує фразу-насіння.
Лише колишні замітки зберіть на фізичному папері або сталевій пластині на майбутню дату, щоб ваша фраза була вогненостійкою та водонепроникною.
НІКОЛИ не фотографуйте або не вводьте на клавіатурі (включаючи телефон) ключове слово - це цифровизує ключове слово, і ваш «холодний» гаманець стає ненадійним «гарячим» гаманцем.
Крипто не зберігається безпосередньо на апаратному гаманці, але "в середині" гаманця, згенерованого за допомогою фрази-насіння.
Seed фраза (12-24 слова) - ЦЕ ВСЕ, її потрібно захищати/забезпечувати за будь-яку ціну.
Це надає повний контроль/доступ до ВСІХ гаманців, згенерованих за цим фразою-маркером.
На дійсності, насіння не обмежується конкретним пристроєм, ви можете його «імпортувати» в інший апаратний гаманець як резервну копію, якщо це необхідно.
Якщо насіння втрачено/знищено і оригінальний апаратний гаманець втрачено/знищено/заблоковано = втрата доступу до ВСІХ ваших активів назавжди.
Існують різні рівні зберігання на рівні насіння, такі як розділення на кілька частин, додавання фізичної відстані між частинами, зберігання в невідомих місцях (бляшанка з супом у нижній частині морозильника, під землею десь на вашій власності тощо).
Мінімально вам слід мати щонайменше 2-3 копії, одна з яких має бути на сталі, щоб захистити від води та вогню.
«Приватний ключ» - це як фраза-сім'я, але лише для 1 конкретного гаманця. Його загалом використовують для імпорту гарячих гаманців у новий обліковий запис MM або в автоматизаційних інструментах, таких як торговельні боти.
25-Е СЛОВО - LEDGER
Крім оригінального насіння з 24 словами, у Ledger є додаткова опційна функція безпеки.
Об'єкт Пароль є розширеною функцією, яка додає 25-е слово за вашим вибором з максимальною довжиною 100 символів до вашої фрази відновлення.
Використання фрази-пароля призведе до створення зовсім іншого набору адрес, до яких не можна отримати доступ лише за допомогою 24-словної фрази для відновлення.
Крім додавання ще одного рівня, фраза-пароль дає вам можливість відмовитися від знання пароля при примусі.
Якщо використовується фраза-пароль, важливо зберігати її безпечно або запам'ятовувати її бездоганно, символ за символом і з урахуванням регістру.
Це єдиний і остаточний захист від ситуацій «атаки з гаечним ключем на 5 доларів», коли вас фізично загрожують.
ЧОМУ ПРОХОДИТИ ВСЮ ЦЮ ТРЕНЮ ДЛЯ НАЛАШТУВАННЯ АПАРАТНОГО ГАМАНЦЯ?
Гарячі гаманці зберігають приватні ключі в місці, яке підключене до Інтернету.
Тут легко бути обманутим, ошуканим та маніпульованим, щоб розкрити ці облікові дані через Інтернет.
Мати холодний гаманець означає, що шахрайу фізично потрібно знайти та взяти ваш журнал або насіння, щоб мати доступ до цих гаманців та активів у них.
Ключ скомпрометований = всі гарячі гаманці та активи всередині перебувають під загрозою, навіть ті, які не взаємодіяли зо шкідливим сайтом/контрактом.
ЗВИЧАЙНІ СПОСОБИ, ЯКИМИ ЛЮДИ В МИНУЛОМУ БУЛИ "ВЗЛАМАНІ"
Звичайні способи, за якими людей раніше "відганяли" (компрометація фрази-зерна) через гарячі гаманці.
Обманом змушують завантажувати шкідливе програмне забезпечення через PDF-файли з пропозицією роботи, «бета-тестування» ігор, запуск макросів через Google Таблиці, імітацію законних сайтів і сервісів.
Взаємодія з зловісними контрактами: майнтинг FOMO з імітованого сайту, взаємодія з контрактом з невідомих отриманих NFT.
Вставлення або відправлення ключів & seed до "служби підтримки клієнтів" або пов'язаної програми/форми.
ПРИКЛАДИ ТА РОЗБИВКА ГУЧНИХ «ХАКІВ»
Кевін Роуз: Пішов, щоб створити колекцію (арт-блок), підписав транзакцію з підписом (без витрат газу), думаючи, що просто входить на сайт монетизації.
Але Seaport (новий контракт OpenSea marketplace) дозволяє створювати спеціальні замовлення, які ви можете приймати лише з підписом.
Оскільки Кевін вже надав дозволи на свої активи контракту OpenSea, хакер обманув його, підписавши підпис, який виконував індивідуальне замовлення на безкоштовний продаж усіх дорогих NFT Кевіна за безкоштовно / ~$1 для хакера.
Основні висновки:
Підписи також можуть бути зловживані, якщо вони використовують раніше надані схвалення, навіть якщо це схвалення було надано довіреному джерелу
Не підписуйте дозволи OpenSea (OS) на веб-сайтах, крім OS, не взаємодійте з контрактами або веб-сайтом, якщо у вас є гаманець "grail/main vault", надішліть його на посередницький гаманець, а потім взаємодійте
NFT_GOD: використовував опцію імпорту облікового запису (на відміну від додавання апаратного гаманця) MetaMask і ввів свою початкову фразу в MetaMask під час налаштування свого реєстру.
Це фактично перетворило його холодний гаманець на гарячий гаманець – пам'ятайте попереднє золоте правило ніколи не оцифровувати свою початкову фразу.
Здається, він завантажив фальшиву програму OBS (програма для запису) під назвою ODS, яка рекламувалася як оголошення у верхній частині пошуковика Google.
Це був шкідливий програмний код, тому він вкрав фразу-сім'ю, а потім вкрав усі активи з його гарячих гаманців, а також його холодних гаманців.
Основний висновок:
НІКОЛИ не «цифруйте» свою фразу-насіння ніяким чином = не вводьте її в будь-яку форму клавіатури (телефон також) або не робіть фотографію (автоматичне резервне копіювання до хмарних служб також ставило людей в небезпеку)
Відмова від відповідальності:
Цю статтю перепечатано з [Проникливі внутрішні], Переслайте оригінальну назву «Як ніколи більше не закріпитися в криптовалюті», Усі авторські права належать оригінальному автору [ІНСАЙТФУЛ]. Якщо є заперечення до цього повторного друку, будь ласка, зв'яжіться з Gate Learnкоманда, і вони оперативно займуться цим.
Відповідальність за відмову: Погляди та думки, висловлені в цій статті, є виключно тими автора і не становлять жодних інвестиційних porад.
Переклад статті на інші мови виконує команда Gate Learn. Якщо не зазначено інше, копіювання, розповсюдження або плагіат перекладених статей заборонено.
Статті на тему
Як поставити ETH?
Як провести власне дослідження (DYOR)?
Що таке фундаментальний аналіз?
Як більше ніколи не стати жертвою шахрайства в криптовалюті
ВІДМОВА ВІД ВІДПОВІДАЛЬНОСТІ
Цей посібник нічого не може гарантувати і написаний не з точки зору «експерта з криптовалют або кібербезпеки».
Це результат постійного навчання з різних джерел і особистого досвіду.
Наприклад, я сам був обманутий через FOMO та жадібність дуже рано (шахрайство з фейковим прямим ефіром та шахрайство з фейковим ботом MEV), коли увійшов в цей простір, тому я витратив час, щоб серйозно вивчити, налаштувати та зрозуміти безпеку.
Не будьте людиною, яка змушена вивчити про безпеку, тому що ви все втратили або болюче велику суму.
ХАК ЧИ КОРИСТУВАЧ ПОМИЛКА?
Усі типи «хаків» або компрометацій гаманців/токенів/NFT загалом поділяються на одну з двох категорій:
Зловживання раніше наданими схваленнями токенів.
Компрометація приватного ключа / фрази для відновлення (зазвичай в гарячому гаманці).
ПІДТВЕРДЖЕННЯ ТОКЕНІВ
Дозволи на токени в суті є дозволом для смарт-контракту на доступ та переміщення певного типу або кількості токенів з вашого гаманця.
Наприклад:
- Надання дозволу OpenSea на переміщення вашого NFT, щоб ви могли його продати.
- Надання дозволу Uniswap на ваші токени, щоб ви могли здійснити обмін. \
\
Якщо ви хочете додатково ознайомитися з схваленням токенів, ви можете прочитати цю тему тут.
Для певного передконтексту, в основному все на мережі Ethereum, ОКРЕМО від ETH, є токеном ERC-20.
Одна з властивостей токенів ERC-20 - можливість надавати дозволи на затвердження іншим розумним контрактам.
Ці схвалення необхідні в деякій мірі, якщо ви коли-небудь захочете взаємодіяти з основними процесами DeFi, такими як обмін або місткування токенів.
NFT відповідно до ERC-721 та 1155 токенів; їх механіка схвалення працює подібно до ERC-20, але для ринків NFT.
Початкове підтвердження токену від MetaMask (MM) надає вам кілька шматків інформації, але найбільш важливі -
токен, на який ви надаєте згоду
веб-сайт, з яким ви взаємодієте
розумний контракт, з яким ви взаємодієте
можливість редагувати кількість дозволу токена
Під розгорнутими повними деталями ми бачимо додатковий шматок інформації: функція схвалення.
Усі токени ERC-20 повинні мати певні характеристики та властивості, які визначено стандартом ERC-20.
Однією з них є можливість смарт-контрактів переміщувати токени на основі затвердженої суми.
Небезпека у цих схваленнях полягає в тому, що якщо ви надаєте дозволи на видачу токенів зловмисному смарт-контракту, ви можете втратити свої активи або їх можуть вкрасти.
НЕОБМЕЖЕНІ ПРОТИ СПЕЦІАЛЬНИХ ОБМЕЖЕНЬ (ТОКЕНИ ERC-20)
Багато додатків DeFi за замовчуванням будуть просити необмеженого підтвердження токену ERC20.
Це призначене для покращення досвіду користувача, оскільки це зручніше, оскільки це не потребує потенційних майбутніх схвалень, тим самим заощаджуючи час та комісії за газ.
ЧОМУ ЦЕ ВАЖЛИВО?
Дозвіл на необмежену кількість токенів потенційно ставить ваші кошти під загрозу.
Ручне редагування схвалення токена до певної суми встановлює максимальну кількість токенів, яку схвалений dApp може переміщати, доки не буде підписано інше схвалення на більшу суму.
Це обмежує ваш ризик зниження, якщо цей розумний контракт буде використаний. Якщо в додатку виявиться вразливість, для якого ви надали необмежені дозволи, то ви ризикуєте втратити всі ці схвалені токени з гаманця, який містить ці активи та надав цей дозвіл.
Подивіться на Multichain WETH (WETH - це обгортка токена ERC-20 для ETH) використовуєтьсяна прикладі.
Цей широко використовуваний міст був використаний шляхом зловживання минулими необмеженими дозволами на токени для отримання коштів від користувачів.
Приклад (використання гаманця Zerion) зміни з необмежених схвалень на ручні схвалення.
ПІДТВЕРДЖЕННЯ NFT
«setApprovalForAll» для NFT
Це загалом використовуване, але потенційно небезпечне затвердження, яке, як правило, надається довіреним ринкам NFT, коли ви хочете продати свій NFT.
Це дозволяє NFT бути передаваним за допомогою смарт-контракту майданчика. Таким чином, коли ви продаете NFT покупцеві, смарт-контракт цього майданчика може автоматично перемістити NFT покупцеві.
Це схвалення надає доступ до всіх NFT-токенів з певної адреси колекції/контракту.
Це також може бути використано шкідливими веб-сайтами/контрактами для крадіжки ваших NFT.
ПРИКЛАД ЗЛОЧИННОГО АКТОРА, ЯКИЙ ЗЛОВЖИВАЄ «SETAPPROVALFORALL»
Класичне «опорожнення гаманця» для ситуації без FOMO мінтінгу виглядає наступним чином:
Користувач переходить на зловімний веб-сайт, в який він вірить, що він є законним.
Коли вони підключають свій гаманець до веб-сайту, веб-сайт може бачити лише вміст гаманця.
Проте вони використовують це, щоб сканувати гаманець на найвищу вартість NFT та викликати «встановлення затвердження для всіх» від MM для адреси контракту цього NFT.
Користувач думає, що він створює монети, але фактично він дає зловмисному контракту дозвіл переміщувати ці токени.
Шахрай потім краде токени та ліквідує їх у відкриті ОС або розмиті ставки, перш ніж товар відзначається як вкрадений.
ПІДПИСИ ПОРІВНЯНО З ПОГОДЖЕННЯМИ
Підтвердження вимагають газ, оскільки вони обробляють транзакцію.
Підписи не потребують газу і часто використовуються для підпису в додатки децентралізованих програм (dApps), щоб довести, що ви контролюєте відповідний гаманець.
Підписи, як правило, є менш ризикованими діями, але можуть все ще використовуватися для зловживання попередніми схваленнями для надійних сайтів, таких як OpenSea.
Також можна (для ERC-20) змінити ваші дозволи на безгазовий підпис через те, що функції дозволів були введені в ETH нещодавно.
Це можна побачити, якщо ви використовуєте DEX, наприклад, 1inch.
Читання цього детальнішетут.
ВИДОБУВАННЯ ТОКЕНІВ ВИХІДНІ ДАНІ
Будьте обережні, коли ви надаєте затвердження для будь-чого, переконайтеся, що ви знаєте, для яких токенів ви надаєте затвердження та до якого смарт-контракту (використовуйте etherscan.)
Обмежте свій ризик до затверджень:
- Використовуйте кілька гаманців (схвалення є специфічними для гаманця) - не підписуйте схвалення для свого сховища / гаманця високої вартості.
- Ідеально зменшити або повністю уникнути надання необмежених затверджень для ERC-20.
- Перевіряйте та відкликайте схвалення періодично за допомогою etherscan або revoke.cash.
Revoke.cash - це веб-сайт, який дозволяє легко відкликати різні схвалення токенів.
АПАРАТНІ/ХОЛОДНІ ГАМАНЦІ
Гарячі гаманці підключені до Інтернету через ваш комп'ютер або телефон. Ключі / облікові дані гаманця зберігаються в Інтернеті або локально в вашому браузері.
Холодні гаманці - це апаратні пристрої, де ключ генерується та зберігається ВИКЛЮЧНО офлайн та фізично поруч з вами.
Оскільки бухгалтерський запис коштує близько $120, якщо ви маєте більше $1000 криптовалютних активів, вам, напевно, варто купити і налаштувати Ledger. Ви можете підключити (не імпортувати) свої гаманці Ledger до MM, щоб мати ту ж функціональність, що й у іншого гарячого гаманця, зберігаючи рівень безпеки.
Ledger та Trezor є найпопулярнішими. Мені подобається Ledger, оскільки він найбільш сумісний з браузерними гаманцями (схожими на Rabby та MM).
ПРАКТИЧНІ ПОРАДИ ПРИ ПОКУПЦІ БУХГАЛТЕРСЬКОЇ КНИГИ
Завжди купуйте на офіційному веб-сайті виробника, НЕ купуйте на Ebay або Amazon = потенційно скомпрометовані / заздалегідь завантажені зловмисне програмне забезпечення.
Переконайтеся, що упаковка запечена, коли ви отримуєте товар.
Коли ви встановлюєте рахунок вперше, він згенерує фразу-насіння.
Лише колишні замітки зберіть на фізичному папері або сталевій пластині на майбутню дату, щоб ваша фраза була вогненостійкою та водонепроникною.
НІКОЛИ не фотографуйте або не вводьте на клавіатурі (включаючи телефон) ключове слово - це цифровизує ключове слово, і ваш «холодний» гаманець стає ненадійним «гарячим» гаманцем.
Крипто не зберігається безпосередньо на апаратному гаманці, але "в середині" гаманця, згенерованого за допомогою фрази-насіння.
Seed фраза (12-24 слова) - ЦЕ ВСЕ, її потрібно захищати/забезпечувати за будь-яку ціну.
Це надає повний контроль/доступ до ВСІХ гаманців, згенерованих за цим фразою-маркером.
На дійсності, насіння не обмежується конкретним пристроєм, ви можете його «імпортувати» в інший апаратний гаманець як резервну копію, якщо це необхідно.
Якщо насіння втрачено/знищено і оригінальний апаратний гаманець втрачено/знищено/заблоковано = втрата доступу до ВСІХ ваших активів назавжди.
Існують різні рівні зберігання на рівні насіння, такі як розділення на кілька частин, додавання фізичної відстані між частинами, зберігання в невідомих місцях (бляшанка з супом у нижній частині морозильника, під землею десь на вашій власності тощо).
Мінімально вам слід мати щонайменше 2-3 копії, одна з яких має бути на сталі, щоб захистити від води та вогню.
«Приватний ключ» - це як фраза-сім'я, але лише для 1 конкретного гаманця. Його загалом використовують для імпорту гарячих гаманців у новий обліковий запис MM або в автоматизаційних інструментах, таких як торговельні боти.
25-Е СЛОВО - LEDGER
Крім оригінального насіння з 24 словами, у Ledger є додаткова опційна функція безпеки.
Об'єкт Пароль є розширеною функцією, яка додає 25-е слово за вашим вибором з максимальною довжиною 100 символів до вашої фрази відновлення.
Використання фрази-пароля призведе до створення зовсім іншого набору адрес, до яких не можна отримати доступ лише за допомогою 24-словної фрази для відновлення.
Крім додавання ще одного рівня, фраза-пароль дає вам можливість відмовитися від знання пароля при примусі.
Якщо використовується фраза-пароль, важливо зберігати її безпечно або запам'ятовувати її бездоганно, символ за символом і з урахуванням регістру.
Це єдиний і остаточний захист від ситуацій «атаки з гаечним ключем на 5 доларів», коли вас фізично загрожують.
ЧОМУ ПРОХОДИТИ ВСЮ ЦЮ ТРЕНЮ ДЛЯ НАЛАШТУВАННЯ АПАРАТНОГО ГАМАНЦЯ?
Гарячі гаманці зберігають приватні ключі в місці, яке підключене до Інтернету.
Тут легко бути обманутим, ошуканим та маніпульованим, щоб розкрити ці облікові дані через Інтернет.
Мати холодний гаманець означає, що шахрайу фізично потрібно знайти та взяти ваш журнал або насіння, щоб мати доступ до цих гаманців та активів у них.
Ключ скомпрометований = всі гарячі гаманці та активи всередині перебувають під загрозою, навіть ті, які не взаємодіяли зо шкідливим сайтом/контрактом.
ЗВИЧАЙНІ СПОСОБИ, ЯКИМИ ЛЮДИ В МИНУЛОМУ БУЛИ "ВЗЛАМАНІ"
Звичайні способи, за якими людей раніше "відганяли" (компрометація фрази-зерна) через гарячі гаманці.
Обманом змушують завантажувати шкідливе програмне забезпечення через PDF-файли з пропозицією роботи, «бета-тестування» ігор, запуск макросів через Google Таблиці, імітацію законних сайтів і сервісів.
Взаємодія з зловісними контрактами: майнтинг FOMO з імітованого сайту, взаємодія з контрактом з невідомих отриманих NFT.
Вставлення або відправлення ключів & seed до "служби підтримки клієнтів" або пов'язаної програми/форми.
ПРИКЛАДИ ТА РОЗБИВКА ГУЧНИХ «ХАКІВ»
Кевін Роуз: Пішов, щоб створити колекцію (арт-блок), підписав транзакцію з підписом (без витрат газу), думаючи, що просто входить на сайт монетизації.
Але Seaport (новий контракт OpenSea marketplace) дозволяє створювати спеціальні замовлення, які ви можете приймати лише з підписом.
Оскільки Кевін вже надав дозволи на свої активи контракту OpenSea, хакер обманув його, підписавши підпис, який виконував індивідуальне замовлення на безкоштовний продаж усіх дорогих NFT Кевіна за безкоштовно / ~$1 для хакера.
Основні висновки:
Підписи також можуть бути зловживані, якщо вони використовують раніше надані схвалення, навіть якщо це схвалення було надано довіреному джерелу
Не підписуйте дозволи OpenSea (OS) на веб-сайтах, крім OS, не взаємодійте з контрактами або веб-сайтом, якщо у вас є гаманець "grail/main vault", надішліть його на посередницький гаманець, а потім взаємодійте
NFT_GOD: використовував опцію імпорту облікового запису (на відміну від додавання апаратного гаманця) MetaMask і ввів свою початкову фразу в MetaMask під час налаштування свого реєстру.
Це фактично перетворило його холодний гаманець на гарячий гаманець – пам'ятайте попереднє золоте правило ніколи не оцифровувати свою початкову фразу.
Здається, він завантажив фальшиву програму OBS (програма для запису) під назвою ODS, яка рекламувалася як оголошення у верхній частині пошуковика Google.
Це був шкідливий програмний код, тому він вкрав фразу-сім'ю, а потім вкрав усі активи з його гарячих гаманців, а також його холодних гаманців.
Основний висновок:
НІКОЛИ не «цифруйте» свою фразу-насіння ніяким чином = не вводьте її в будь-яку форму клавіатури (телефон також) або не робіть фотографію (автоматичне резервне копіювання до хмарних служб також ставило людей в небезпеку)
Відмова від відповідальності:
Цю статтю перепечатано з [Проникливі внутрішні], Переслайте оригінальну назву «Як ніколи більше не закріпитися в криптовалюті», Усі авторські права належать оригінальному автору [ІНСАЙТФУЛ]. Якщо є заперечення до цього повторного друку, будь ласка, зв'яжіться з Gate Learnкоманда, і вони оперативно займуться цим.
Відповідальність за відмову: Погляди та думки, висловлені в цій статті, є виключно тими автора і не становлять жодних інвестиційних porад.
Переклад статті на інші мови виконує команда Gate Learn. Якщо не зазначено інше, копіювання, розповсюдження або плагіат перекладених статей заборонено.
Статті на тему
Як поставити ETH?
Як провести власне дослідження (DYOR)?