Как безопасно использовать криптокошельки, смарт-контракты, DeFi и NFT

Атаки в криптовалюте становятся все более изощренными по мере развития криптопространства, ведь на карту поставлено больше средств, чем когда-либо прежде. И если и есть место в Интернете, где собираются эксперты, то это Crypto Twitter. Поэтому мы решили собрать лучшие экспертные мнения из X (Twitter) и поделиться ими с вами здесь.

Мы расскажем, как оставаться в безопасности при использовании:

• Крипто-кошельков
• Смарт-контрактов
• DeFi
• NFT
• Crypto Twitter

Хотя это руководство будет адаптировано к криптовалютной активности на Ethereum и его уровнях 2, предложенные методы обеспечения безопасности также весьма актуальны в других блокчейнах уровня 1, таких как Solana.  

1. Криптовалютные кошельки

Понимание хранения с помощью Jump Crypto

Давайте начнем с чего-то простого: понимания концепции хранения.

Речь о том, как сохранить ваши криптоактивы в безопасности. Каждый криптоактив привязан к закрытому ключу. И любой, у кого есть доступ к вашему личному ключу, также имеет доступ к вашим криптоактивам.

Кому доверить хранение?

Это зависит от того, какой риск безопасности и ответственность вы готовы принять. Многие новички предпочитают хранить свои криптоактивы на бирже, по крайней мере, на первых порах. Но пользователи, оставляющие свои цифровые активы на централизованной криптобирже, могут стать подвержены другим рискам. К ним относятся приостановка вывода средств, простои биржи и взломы. Что еще хуже, биржа может стать неплатежеспособной, в результате чего клиенты не смогут вывести свои активы, как это видно на примере краха FTX.

Самостоятельное хранение — это следующий уровень безопасности, но оно сопряжено со своими рисками. Эти риски включают неосознанную раздачу вашей исходной фразы или отправку средств на неправильный адрес.

Доступны и другие решения для хранения, такие как мультиподписи и даже услуги институционального хранения. Однако последний сервис является централизованным.

Фишинговые атаки с вашего одобрения

Вы подвержены фишинговым атакам независимо от вашего уровня опыта. Фишинговые атаки происходят, когда злоумышленник обманом заставляет вас совершить действие, ставящее под угрозу ваши криптоактивы, например, щелкнуть ссылку или открыть электронное письмо. Но чтобы фишинговая атака была успешной, злоумышленникам необходимо ваше одобрение.

Одобрение — это концепция, которая занимает центральное место в блокчейнах. Без одобрений вы не сможете взаимодействовать со смарт-контрактами, и без вашего одобрения ни один протокол не сможет получить доступ к вашим токенам. Но что вы можете сделать, если они получили ваше одобрение? Протоколы и злоумышленники могут получить доступ к вашим криптоактивам до тех пор, пока одобрение не будет отозвано.

Не имеет значения, используете ли вы холодный кошелек или нет! Если не было установлено никаких ограничений, После того как вы дали одобрение, те, у кого есть доступ, будут иметь его на неопределенный срок.

Давайте рассмотрим MetaMask в качестве примера. Когда MetaMask появится с запросом на одобрение, вы должны делать следующее:

1. Проверить адрес.  
2. Сохранять доверенные адреса и присваивать псевдонимы.

3. Проверить сбор, который вы утверждаете, на вкладке «Данные».

4. Отменить ненужные разрешения (для пользователей Ethereum — вы можете сделать это на Etherscan). Вы можете использовать Revoke.cash для отзыва ненужных утверждений на других уровнях Ethereum 2, таких как Optimism и Base.

Когда дело доходит до NFT, ситуация немного отличается, но мы поговорим об этом чуть позже.

Гигиена утверждения MetaMask с CryptoCat

Вы бы отдали свой кошелек незнакомцам в реальной жизни и доверили бы им взять любую сумму, которую они хотят, без каких-либо ограничений? По сути, это то, что вы делаете с утверждениями по умолчанию. Итак, вот как защитить себя от проблем с одобрением.

1. Знайте, что вы одобряете. Нажмите «Изменить разрешения» и проверьте данные вручную. На некоторые вещи следует обратить внимание: срок действия контракта, владелец контракта и откуда поступили средства.  
2. Знайте сумму, которую вы утверждаете. Рядом с надписью «Запрос на разрешение» нажмите «Изменить» и введите индивидуальный лимит расходов. Таким образом, даже если протокол будет взломан, он никогда не сможет получить доступ к сумме, превышающей одобренную вами.
3. Знайте, что одобрения привязаны к конкретному токену. Это означает, что риску подвергаются только определенные токены, которые были одобрены.
4. Знайте, что бесконечные одобрения — это ваша опция по умолчанию… но этого не должно быть. Они предоставляют неограниченное одобрение контракта на доступ к вашему токену.

На третьем изображении показано, как выглядит бесконечное одобрение:

Если вы видите строку с буквами f в конце, это означает, что вы утверждаете неограниченный лимит расходов, запрошенный протоколом. Чтобы изменить это, просто отредактируйте «Запрос разрешения» и введите желаемый лимит расходов.

Альтернативный криптокошелек: Rabby

Кошелек Rabby, созданный командой Debank с учетом потребностей пользователей DeFi, был запущен в 2022 году. Кошелек Rabby имеет множество дополнительных функций безопасности, что делает его привлекательной альтернативой проверенному и надежному кошельку MetaMask.

• Встроенный список утверждений: Вместо отзыва разрешений для сети Ethereum на Etherscan пользователи Rabby могут получить доступ к своему списку разрешений в нескольких блокчейнах в одном месте, встроенном в кошелек.

• Защита от фишинга: При посещении и подключении к децентрализованным приложениям (dApps) Rabby предоставит несколько ключевых данных, когда вы предложите подключение к кошельку:
• Данные о листинге веб-сайта
• Популярность сайта (по шкале от низкой, средней и высокой)
• Статус проверки Rabby: Должна быть указана нефишинговая официальная ссылка, популярная и, что еще лучше, проверенная командой Rabby.

• Подробное моделирование транзакций: Моделирование транзакций в Rabby четко представляет вам смоделированный результат, чтобы гарантировать, что транзакция не является неблагоприятной/злонамеренной. Что еще более важно, ключевая функция безопасности находится в нижней части моделирования транзакций. Rabby отметит, взаимодействовали ли вы ранее с конкретным смарт-контрактом, и это поможет вам понять, когда требуется больше внимания и заботы.

2. Смарт-контракты

Эксплойты смарт-контрактов выполняются на уровне протокола. В этом разделе мы рассмотрим, на что обращать внимание при аудите смарт-контрактов, как читать смарт-контракты и как использовать Etherscan.

Аудит смарт-контрактов с Thirdweb

Смарт-контракты подвержены взлому по двум причинам:

1. Они содержат ценные активы.   
2. Смарт-контракт имеет открытый исходный код, поэтому его может просмотреть любой, включая хакеров.

Смарт-контракты, запускаемые с уязвимостями, могут лишиться всех криптоактивов.  Целью аудита смарт-контрактов является предотвращение нарушений безопасности. Более того, аудиты гарантируют, что код работает так, как задумано.

Пользователю полезно знать, как проводится аудит смарт-контрактов.

Вот аудит смарт-контракта за 3 простых шага:

• Понимание варианта использования является важным первым шагом. Итак, Шаг 1 — задается вопрос: «Что должен делать смарт-контракт?»  
• Как только мы определим цель смарт-контракта, мы проверим его вручную. Действует ли контракт в рамках предполагаемого варианта использования? Другими словами, аудит направлен на выявление любого непреднамеренного поведения.   
• На последнем этапе мы запускаем инструменты автоматической проверки для выявления потенциальных уязвимостей. Мы достигаем этого, исчерпав контракт и выполняя его в полном объеме. Таким образом, мы сводим к минимуму любые потенциальные неприятные сюрпризы.

Если вы немного опасаетесь использования протокола, вы всегда можете запросить аудит у команды @0xMacroDAO. Также обратите внимание, что протоколы, данные которых были проверены, обычно считаются гораздо более безопасными, чем протоколы, данные которых не были проверены. Наконец, если команда протокола запускает программу вознаграждений, такие программы также помогают значительно повысить безопасность протокола.

Отдельно отметим то, что вы можете сделать в качестве первой линии защиты. Вы можете легко выполнить эту проверку безопасности.  Просто найдите на CoinGecko страницу соответствующего токена или протокола, который вы изучаете. Затем в разделе «Обзор» вы увидите вкладку «Безопасность».

Нажав на нее, вы увидите подробные отчеты об аудите и оценки безопасности, предоставленные различными компаниями, занимающимися аудитом смарт-контрактов. Это должно помочь вам относительно быстро определить, безопасно ли взаимодействие с протоколом или токеном.  

Освоение Etherscan с @CroissantEth

Вы уже должны знать, что умение читать Etherscan может дать вам огромное преимущество перед теми, кто этого не делает. Вот несколько эффективных действий, которые вы можете предпринять с помощью Etherscan.

1. Самый очевидный способ использования Etherscan — отслеживание криптокошельков. Все, что вам нужно сделать, это ввести адрес кошелька в поле поиска, и вы получите доступ к данным блокчейна, привязанным к их кошельку, включая историю транзакций. Это может дать вам представление о том, является ли адрес законным или вредоносным.   
2. Поскольку блокчейны оставляют след, вы можете отследить смарт-контракт вплоть до источника. Это имеет решающее значение, когда дело доходит до рассмотрения и проверки того, является ли контракт законным или потенциально вредоносным.   

3. Etherscan имеет мощные фильтры. Вы даже можете фильтровать определенные транзакции по адресу. В конечном итоге это сэкономит вам время при проверке безопасности.

4. Вы также можете более подробно изучить конкретные кошельки, в том числе просмотреть их аналитику и комментарии (например, чат ENS). Иногда даже простой просмотр истории транзакций может обнаружить, что что-то не так (например, история сжигания токенов ).

5. Вы также можете читать смарт-контракты через Etherscan и научиться искать конкретные смарт-контракты, что также экономит время (давайте будем честными: никто не хочет тратить кучу времени на изучение процедур безопасности).

Если вы умеете читать Solidity, как опытный пользователь вы можете сделать еще несколько вещей:

1. Вы можете изменить URL-адрес смарт-контракта с «etherscan.io» на «etherscan.deth.net» (как показано на изображении выше), но не изменяя остальную часть поискового запроса, поэтому включите все, начиная с «/address/». При этом вы увидите фактический код смарт-контракта, на который вы смотрите.  
2. Вы можете декодировать входные данные. Просто посетите страницу передачи, содержащую примечание. Под входными данными нажмите «Просмотреть как UTF-8». Вы можете оставить свои собственные заметки в случае, если обнаружите какие-либо проблемы, или вы также можете прочитать информацию о развертывании контракта здесь, что может быть полезно, прежде чем вы решите использовать смарт-контракт.

Попрактикуйтесь в использовании Etherscan и самостоятельно изучите несколько смарт-контрактов и адресов.  

3. DeFi

Основы безопасности DeFi с Quantstamp

DeFi развивается быстро, иногда в ущерб безопасности. Ошибки в кодировании и логике могут открыть пути для потенциальных эксплойтов, что привлекает злоумышленников со всех уголков DeFi. Понимание этих условий может помочь вам избежать их, если будут соблюдены надлежащие меры безопасности.

Тот же принцип применим и к компонуемости, которая является палкой о двух концах. Компонуемость — это способность dApps и DAO взаимодействовать и работать друг с другом. Самая распространенная аналогия, используемая для описания возможности компоновки, — это блоки LEGO.

Конечно, есть явные преимущества в размещении протоколов поверх протоколов. Но множество протоколов, взаимодействующих друг с другом, также открывают гораздо больше возможностей для эксплойтов.

Манипулирование ценами также является повторяющейся проблемой. Поскольку смарт-контракты должны взаимодействовать с оракулами, чтобы получить доступ к точным данным вне блокчейна, любой компромисс здесь может привести к серьезным последствиям.

Эта проблема может еще больше усугубиться, когда будут задействованы срочные кредиты, поскольку они могут привести к перемещению значительного объема ликвидности в одном блоке с использованием кредитного плеча. Срочные кредиты позволяют любому занять любую сумму активов, не требуя от заемщика предоставления какой-либо ликвидности — при условии, что общая сумма возвращается в одном и том же блоке.

Но даже если вы можете сказать, что протокол прошел проверку, он не обязательно на 100% безопасен. Это связано с тем, что разработчики несут ответственность за проверку результатов аудита и внедрение рекомендуемых изменений, что они не всегда могут сделать. Более того, каждый раз, когда код обновляется, появляются новые потенциальные эксплойты.

Поэтому вам важно понимать проблемы, с которыми сталкиваются разработчики, чтобы вы могли лучше ориентироваться в пространстве, не попадая в зыбучие пески.

10 схем атак в DeFi с @puntium

Давайте рассмотрим 10 распространенных шаблонов атак в DeFi, с которыми должны ознакомиться серьезные пользователи криптовалют.

1. Оракулы. Оракулы предоставляют блокчейнам реальные данные, поэтому очень важно, чтобы они передавали точную информацию. Поскольку в реальных ценах блокчейны зависят от оракулов, злоумышленник может найти слабое место, чтобы воспользоваться им, а затем манипулировать сообщаемыми ценами. Впоследствии злоумышленник может воспользоваться этим ложным несоответствием цен для торговли с целью получения прибыли.   
2. Атаки флеш-кредитов. Если злонамеренный оракул возьмет быстрый кредит, ситуация может очень быстро ухудшиться.  

3. Атаки с использованием флеш-кредитов работают следующим образом. Злоумышленник занимает большую сумму определенного токена без предоставления какого-либо залога. Затем злоумышленник манипулирует ценой на бирже, после чего сбрасывает токен на другую биржу, получая огромную прибыль. Все это происходит в одном блоке.

4. Атаки управления. Злоумышленник может приобрести достаточное количество токенов управления, манипулировать всем протоколом и исказить решающее голосование в свою пользу.   

5. Front running. Плохо спроектированные протоколы могут создавать возможности для эксплойтов между моментом отправки транзакции и моментом ее выполнения.  

6. Ключи администратора. Закрытые ключи протокольного кошелька могут быть скомпрометированы, как и любой другой кошелек, если не принять адекватные меры безопасности.   

7. Небезопасные интерфейсы. Веб-сайты, связанные со смарт-контрактом протокола, выступающим в качестве графического пользовательского интерфейса для пользователей, могут быть атакованы и скомпрометированы.  

8. Социальная инженерия. Злоумышленники могут выдавать себя за членов команды в Discord, X (Twitter) или на какой-либо другой платформе и обманом заставлять пользователей делиться личной информацией или заключать вредоносный контракт. 

9. Поглощение социальных аккаунтов. Аккаунт известного пользователя криптовалюты в Твиттере может быть взломан, и, прежде чем вы это заметите, он будет распространять ложную информацию (например, отправлять подписчиков для взаимодействия со сливщиком кошелька).   

10. Атаки первого уровня. Независимо от того, насколько безопасен протокол, если он находится на незащищенном уровне 1, он может быть скомпрометирован.   

Как вы, наверное, заметили, постоянно открываются новые векторы атак.

4. NFT

Защититесь от NFT-мошенничества с @DCLBlogger

Мошенничество не ограничивается пространством DeFi. Многие виды мошенничества с NFT постоянно используются. К ним относятся:

• Discord DM, например, бесплатные монетные дворы в течение ограниченного времени или кто-то, предлагающий помощь.   
• Недобросовестные фирменные электронные письма (например, «Эй, нажмите здесь и войдите в свою учетную запись OpenSea!», что также известно как фишинг).  
• Мошенничество с платной рекламой в Google   
• Поддельные продавцы NFT  
• Взломы криптовалютных бирж    
• Поддельные аирдропы
• Влиятельные лица, продвигающие проекты ковров
• Продажа 100% скопированных NFT с нулевой стоимостью
• Замена SIM-карты и взлом электронной почты, обход мобильной проверки 2FA
• Взлом канала Youtube и фальшивые стримы с раздачей подарков
• Просьбы денег для инвестирования
• Поддельные чеканки, которые опустошают ваш кошелек

Так что же вы можете сделать, чтобы защитить себя от всех этих мошенников? Вот несколько советов:

1. Если кажется, что что-то не так, вероятно, так оно и есть. Избегайте этого (лучше перестраховаться!). 
2. Убедитесь, что вам действительно пишет друг, а не какой-то мошенник, скопировавший идентификатор вашего друга (проверьте историю сообщений). 
3. Не храните свои личные ключи на каком-либо цифровом устройстве (никаких скриншотов, никаких документов Word, нет).  
4. Используйте аппаратный кошелек для хранения самых ценных криптоактивов. Для ежедневной торговли используйте отдельный кошелек. 

О защите ваших NFT с помощью @punk6529

Иногда мы забываем, что наши NFT также являются токенами, поэтому, когда мы покупаем, обмениваем или продаем их, они фактически не меняют местоположение. На самом деле происходит следующее: в реестр в блокчейне просто обновляется, чтобы указать, кто является новым владельцем. Фактические данные NFT хранятся на сервере, независимо от того, является ли этот сервер централизованным (например, AWS) или децентрализованным (например, Arweave).

Ваш открытый ключ действует как ваш адрес электронной почты, а ваш закрытый ключ — как ваш пароль (так что не делитесь им!). Вы можете рассматривать начальную фразу как метод восстановления пароля.

Если кто-то получит доступ к вашим личным ключам и/или исходной фразе и парольной фразе, игра окончена.

Так как же защитить себя?

Общее правило punk6529: если вы планируете потратить 500 долларов или меньше на NFT, просто используйте программный кошелек, такой как MetaMask. Однако, если вы планируете инвестировать 1000 долларов или больше, используйте аппаратный кошелек. Готовы потратить миллионы? Используйте Gnosis Safe, мультиподписной кошелек.

Обычно, когда мы говорим о безопасности кошелька, мы на самом деле обсуждаем эти две вещи с несколько противоположными целями: отказоустойчивость (т. е. как гарантировать, что вы не потеряете доступ к своим закрытым ключам) и безопасность (т. е. как гарантировать, что кто-то еще получит доступ к вашим личным ключам). Каждый опытный пользователь криптовалюты должен знать, что вся хитрость заключается в балансе этих двух концепций.

Поддельные аирдропы в Crypto Twitter

Социальная инженерия — один из основных векторов, используемых при атаках на кибербезопасность. В этом разделе мы хотим подчеркнуть важность выявления таких атак и способы их предотвращения. В частности, мы рассмотрим, как идентифицировать фальшивые аирдропы в Crypto Twitter (теперь называемом X), платформе социальных сетей, откуда большинство пользователей криптовалюты получают свои новости и информацию.

Крипто-мошенники часто используют аирдроп как тактику обмана пользователей, поскольку те  уязвимы, когда запрашивают аирдроп. Пользователи должны быть осторожны, поскольку для подачи официального заявления на аирдроп обычно требуется:

• Перейти на недавно запущенный веб-сайт/ссылку для получения токенов (основа проекта New XXX).    
• Взаимодействовать с новым смарт-контрактом (поскольку токен новый).   
• Взаимодействие с новым токеном (при условии, что токен, переданный по аирдропу, создан недавно).   

Все эти факторы будут использованы мошенниками, которые попытаются обманом заставить вас зайти на их сайт и одобрить их новый, но вредоносный смарт-контракт.

Общая тактика

Выдача себя за официальные аккаунты в Твиттере

Мошенники часто выдают себя за официальный аккаунт, оставляя комментарии под официальными сообщениями, чтобы заставить пользователей щелкнуть ссылку на фальшивую заявку на аирдроп. Обратите внимание на имена с ошибками, например, @ElgenLayer, написанный с буквой l, а не @EigenLayer, который является официальным аккаунтом. Всегда проверяйте профиль пользователя этих публикаций, чтобы убедиться, что это действительно правильный постер.

Проекты также могут включать нижние колонтитулы в конце X-сообщений для борьбы с мошенничеством.

Следите за нижними колонтитулами веток твитов и игнорируйте любые комментарии/объявления, которые появляются после нижнего колонтитула.

 Реклама в Твиттере/электронная почта

Другая распространенная тактика — реклама в Твиттере (и даже электронные письма, если злоумышленники заполучили их в результате утечки данных). Вы можете получать рекламу, в которой утверждается, что вы получили XX количество токенов и что окно заявки на токен быстро закрывается, что заставляет вас быстро взаимодействовать с  указанным веб-сайтом.

На этих фиктивных веб-сайтах может быть предусмотрена “проверка аирдропа”, которая покажет, что вы имеете право на участие, независимо от того, какой адрес кошелька вы ввели. Затем они также могут предложить вам подключить свой кошелек для продолжения и даже подписать несколько «разрешений», прежде чем вы сможете использовать их программу проверки раздачи. Эти разрешения обычно предоставляют поддельному веб-сайту доступ к вашему кошельку, после чего они сливают его содержимое. Обратите внимание, что большинству официальных программ проверки аирдропа даже не требуется подключение кошелька, достаточно указать его адрес. Если программа проверки раздачи предлагает вам подключить кошелек, это красный флаг, который обычно указывает на то, что проверка  является поддельной.

Заключительные мысли о криптобезопасности

В завершение этого руководства мы хотели поделиться некоторыми практическими советами для пользователей криптовалюты от соучредителя CoinGecko Бобби Онга. Независимо от того, являетесь ли вы обычным пользователем, дегеном или опытным инвестором, всегда полезно ознакомиться с этими лучшими практиками.

Криптовалюта — очень опасное и враждебное место. Если вы не будете осторожны, вы рискуете, что у вас украдут ценную криптовалюту.

 Я собрал ветку с некоторыми рекомендациями по обеспечению безопасности, которым вы можете следовать, чтобы оставаться в безопасности. Читайте ниже

– Бобби Онг (@bobbyong) 13 июня 2021 г.

1. Никогда не используйте пароли повторно. Многие ли из нас используют один и тот же пароль для нескольких учетных записей? Конечно, это удобно, но если хакер сможет узнать ваш пароль для одной учетной записи, то будут скомпрометированы несколько учетных записей.  
2. Используйте менеджер паролей. Используйте достойный менеджер паролей, и вам никогда не придется запоминать ни один из своих паролей. Бонус: вы также сможете максимально повысить безопасность своего пароля. Это несложно.  
3. 2ФА - это всё. Включение двухфакторной аутентификации (2FA) на ваших устройствах значительно затрудняет взлом. Одним из преимуществ 2FA является то, что вы можете включить уведомления, чтобы вы знали, когда кто-то пытается войти в любую из ваших учетных записей.   
4. Используйте холодный кошелек. Trezor и Ledger — хорошие варианты. Однако знайте, что хотя использование аппаратного кошелька обеспечит вам максимальную безопасность, за это приходится платить удобством. Поэтому храните свои самые ценные цифровые активы в своем жестком кошельке. Но подумайте о том, чтобы иметь отдельный цифровой кошелек, если вы ежедневно взаимодействуете с Web3.   
5. Не доксируйте себя. Это один из моих любимых советов. Если у вас есть деньги, не делайте себя мишенью. Поскольку адрес вашего криптокошелька является псевдонимным, любой может отследить всю историю ваших транзакций. Вот почему важно не доксовать себя. А если делать это, то в привязке к кошельку, который не так уж и интересен посторонним глазам.

Есть еще много моментов, которыми делится Бобби. Но, как мы уже говорили, криптобезопасность — это обширная тема, которая постоянно развивается, потому что хакеры так же изобретательны, как и мы. Вот почему крайне важно идти в ногу со временем и пересматривать лучшие практики.