Цифровые кошельки, такие как MetaMask, xDeFi или даже Frame, необходимы для взаимодействия с миром криптовалют, особенно децентрализованных финансов (DeFi). Но эти расширения для браузеров также очень подвержены взлому. Вот 7 лучших практик, которые если не полностью устранят этот риск, то наилучшим образом защитят вас от возможной кражи ваших активов.
Основные меры предосторожности для защиты вашего криптовалютного кошелька
Подключение цифрового кошелька к физическому кошельку
Если вы используете такие кошельки, как MetaMask, вы являетесь владельцами своих приватных ключей, это называется кошельками без хранения. У этого есть одно большое преимущество и один большой недостаток:
- Преимущество: вы несете полную ответственность за свои криптовалюты;
- Недостаток: вы несете полную ответственность за свои криптовалюты.
Эта доза иронии на самом деле призвана заставить вас задуматься обо всем, что с этим связано. Конечно, вы не обязаны ни перед кем отчитываться, и в этом одна из прелестей нашей экосистемы. Но если вы допустите малейшую ошибку, нет службы поддержки клиентов, которая могла бы ее исправить.
Первый и самый важный совет — использовать аппаратный кошелек наряду с цифровыми кошельками. Их можно приобрести по цене от 60 евро за самые простые модели до нескольких сотен за самые сложные.
Когда ваш криптовалютный капитал начнет расти, не пренебрегайте этой инвестицией. Действительно, некоторое время назад мы снова получили доказательства того, что кошельки, работающие как расширения для браузеров, не совсем безопасны.
Большинство цифровых кошельков предлагают функцию «Подключить аппаратный кошелек». Это позволит вам использовать их с ключами Ledger или Trezor и т.д.
Рисунок 1: Подключение аппаратного кошелька к MetaMask
Сила этих инструментов заключается в том, что даже если кто-то удаленно завладеет вашим компьютером, он не сможет совершать транзакции. Действительно, необходимо будет провести физическое подтверждение этой транзакции непосредственно с подключенного аппаратного кошелька.
Разумеется, вы не должны сохранять закрытый ключ, фразу или файл восстановления на своем компьютере ни для какого адреса. И это включает в себя аппаратный кошелек, такое поведение имеет примерно такой же смысл, как размещение кредитной карты на фотографии профиля в Facebook.
Получение ссылки на платформу из CoinGecko или CoinMarketCap
При первом посещении протокола выберите доступ к нему через CoinGecko или CoinMarketCap. Так вы точно получите правильный адрес, а не мошенническую ссылку, найденную через поисковую систему. Если только CoinGecko или CoinMarketCap сами не были взломаны, но это уже другой вопрос…
Затем вы можете сохранить эту ссылку в избранном для дальнейшего использования и/или воспользоваться автоматическим вводом в строке поиска, чтобы перейти по нужному адресу.
Разновидностью этого метода является использование официального Twitter рассматриваемого протокола. Убедитесь, что на аккаунте есть логотип «verified», чтобы не попасться в ловушку поддельного профиля.
Последняя рекомендация справедлива и для браузерных кошельков, как показано на рисунке ниже. Действительно, первый результат нашего поиска «MetaMask Wallet» — это реклама, перенаправляющая на поддельный сайт MetaMask, на что указывает URL с лишней буквой «A» и неправильный домен (.co вместо .io). Если вы введете свою фразу восстановления, то можете быть уверены, что поцелуете свои криптовалюты на прощание.
Рисунок 2: Мошенническое объявление в первом результате поиска MetaMask
Настоящий адрес MetaMask — metamask.io, а не metamaask, или .com, или другие варианты. То же самое относится и к xDeFi, Frame, Keplr или Phantom, и многим другим, которые часто фигурируют в подобных подтасовках.
Поиск попыток фишинга
Механика здесь проста: они будут играть на ваших эмоциях, чтобы заманить вас в ловушку. В этом случае часто используется страх, как в случае с этим мошенническим письмом, выдаваемым за официальное сообщение от MetaMask
Рисунок 3: Попытка фишинга с псевдопочтой от MetaMask
В соответствии с тем, что написано, должны быть проведены действия по обеспечению безопасности. Однако если вы скопируете и вставите адрес на кнопке, то увидите, что он не указывает на официальный сайт MetaMask. Целью снова является кража закрытых ключей.
Предположите, что если действительно произойдет нарушение безопасности, команды проекта не будут отправлять вам электронные письма, а будут общаться напрямую в своих официальных социальных сетях, например, в Twitter.
Кроме того, подумайте, как, помимо KYC, децентрализованные приложения могут иметь в своей базе данных ваш адрес электронной почты, если он не нужен для использования их услуг?
В более общем плане, но все же в том же духе, будьте особенно бдительны в таких социальных сетях, как Discord и тем более Telegram. Поддельных каналов проекта множество, и очень легко быть одураченным, будучи перенаправленным на мошеннический
Не трогайте жетоны из ниоткуда
Когда мы смотрим на свои адреса в блокчейн-браузерах, у всех нас в кошельках есть токены, которые мы не знаем, откуда они взялись.
Рисунок 4: Пример мошеннических токенов на BSC
Инструкция проста: не трогайте его. Эти жетоны могут иметь или не иметь так называемую ценность, но часто все они имеют одну и ту же цель: выкачать деньги с вашего счета.
В этом виде мошенничества злонамеренные люди случайным образом отправляют токен на несколько адресов в надежде, что кто-то попытается его продать.
Затем будущая жертва будет стремиться обменять данный токен на более традиционный актив, такой как ETH, например. Это будет делаться либо с децентрализованной биржи, либо с «сайта проекта». В обоих случаях он неосознанно позволит смарт-контракту опустошить свой счет.
Чтобы сбить с толку, токен может даже иметь название, похожее на название более известной криптовалюты. Просто имейте в виду, что если вы каким-то образом не несете ответственности за доставку жетона на ваш адрес, то, скорее всего, это мошенничество.
В дополнение к этим мерам предосторожности избегайте работы с криптовалютами, когда вы не находитесь в оптимальном эмоциональном состоянии. Даже самые опытные из нас могут попасть в простые ловушки из-за усталости, стресса или невнимательности. Теперь давайте рассмотрим еще более сложные меры предосторожности, которые помогут вам избежать как можно большего количества рисков.
Дополнительные меры предосторожности
Управление разрешениями на портфель
Когда вы взаимодействуете с умным контрактом, вы должны уполномочить его тратить ваши токены. Чтобы проиллюстрировать это, представьте, что вы хотите добавить ликвидность в пул ETH-USDT на выбранной вами децентрализованной бирже. Вам потребуется предоставить 3 разрешения:
- Один для вашего ETH;
- Один для вашего USDT;
- Один для результирующего маркера LP, чтобы он стал доходным.
Эти разрешения часто символизируются кнопкой «Разблокировать» или «Утвердить», как в приведенном ниже примере, где TUSD должен быть разблокирован, прежде чем его можно будет обменять на MATIC:
Рисунок 5: Разблокировка TUSD на балансировщике
В этом примере, нажав на кнопку «Approve TUSD», 99% людей подписываются на неограниченные полномочия.
Опасность такой практики возникает, если протокол взломают или возникнут какие-то проблемы. Учтите, что если вы дадите Balancer неограниченное разрешение тратить ваши TUSD, то проблема с соответствующим смарт-контрактом подвергает риску ВСЕ TUSD в вашем кошельке в сети, где он находится.
На следующем снимке экрана показан список всех разрешений, предоставленных активам на адресе, а также количество токенов, выставленных в сети Polygon.
Рисунок 6: Разрешения, выданные смарт-контрактам в сети Polygon
$31 в примере представляет собой общую стоимость портфеля, подверженного авторизации. Вы также можете увидеть, что 16 USDC по этому адресу имеют активную авторизацию по 4 различным протоколам.
Данные полномочия являются бесконечными, что означает, что потенциальные последствия остаются одинаковыми, независимо от того, сколько находится на счете: все USDC на адресе в сети Polygon подвергаются риску в случае сбоя одного из 4 смарт-контрактов. Таким образом, если вы отправите 1000 USDC на этот адрес, это будет 1016 USDC, которые могут быть украдены, если смарт-контракт, авторизованный на Curve, будет взломан.
Вы можете найти свои различные подробные авторизации в различных сетях, совместимых с Ethereum Virtual Machine (EVM), подключив свой кошелек к веб-сайту DeBank и перейдя на вкладку «Одобрение». Чтобы удалить одобрение, необходимо нажать «Отклонить».
Альтернативным вариантом является переход непосредственно на вкладку «Token Approvals» в браузере блокчейна соответствующей сети, в данном случае PolygonScan:
Рисунок 7: Меню утверждения токенов на PolygonScan
Логика остается одинаковой в различных блокчейн-браузерах, совместимых с EVM. Найдите свой адрес с помощью строки поиска, затем подключитесь с помощью кнопки «Подключиться к Web3». Это покажет вам все разрешения, которые вы предоставили
Рисунок 8: Вид различных разрешений адреса на PolygonScan
Опция «Отменить» справа позволяет удалить авторизацию. Однако имейте в виду, что независимо от того, используете ли вы этот метод или метод ДеБанка, каждый отзыв требует проведения транзакции. Если в сети Polygon стоимость невелика, то в Ethereum она совсем другая. После этого вы сами должны определить, соответствует ли вашим финансовым интересам удаление разрешения в соответствии с выставленным капиталом.
Другая возможность заключается в предоставлении не бесконечных полномочий, а полномочий, ограниченных суммой криптовалюты, которую вы хотите использовать в своей операции:
Рисунок 9: Настройка авторизации через MetaMask
При утверждении смарт-контракта, например, с помощью MetaMask, нажмите «Редактировать разрешение» перед подтверждением транзакции. Вы увидите, что по умолчанию опция «Proposed Approval Limit» отмечена, и что она представляет собой практически неограниченное количество токенов. Выбрав вместо этого «Custom Spend Limit», вы можете ввести только средства, необходимые для транзакции, сохранив остальной капитал в безопасности.
Однако следует помнить, что эти операции по управлению авторизацией не лишены ограничений. Ведь если вы отмените разрешение, вам придется вернуть его, чтобы вернуть активы в договор, и то же самое верно, если вы дадите ограниченное разрешение.
Как упоминалось ранее, эти методы могут иметь ограничения в сети Ethereum, если размер вашего капитала ограничен. Здесь нет правильных или неправильных ответов, вы сами должны оценить компромисс между гибкостью, стоимостью и риском, а также учесть возможные последствия каждого варианта.
Наличие аппаратного кошелька теоретически защищает вас от риска авторизации смарт-контрактов. Но то, что верно в данный момент, не обязательно будет верно бесконечно, поэтому необходимо быть внимательным.
Более того, если протокол будет взломан, ваши LP-токены вполне могут находиться в безопасности на вашем адресе, но больше ничего не стоить, поскольку базовые средства были опустошены в пул ликвидности приложения, не выполнившего свои обязательства. Вот почему также необходимо провести исследование выше по течению, чтобы исключить сомнительные протоколы.
Верификация смарт-контракта с исследователями блокчейна
Если вы вернетесь к скриншоту, позволяющему увидеть утвержденные смарт-контракты из проводника блокчейна, вы увидите колонку «Контракт». Давайте рассмотрим случай с USDC, вы можете убедиться, что смарт-контракт верифицирован, нажав на него, в соответствующей вкладке должна появиться маленькая зеленая отметка:
Рисунок 10: Смарт-контракт Paraswap для USDC на Polygon
Маленький логотип «Warning» также позволит вам увидеть, какие ошибки были найдены, но эта часть будет понятна только техническим специалистам. Здесь перечислены возможные недостатки, их уровень серьезности и краткое описание возможных последствий, которые могут быть вызваны:
Рисунок 11: Списки потенциальных уязвимостей в смарт-контракте Paraswap USDC
Вы также сможете получить доступ к странице смарт-контракта непосредственно перед подписанием его авторизации. Нажмите один раз на адрес контракта от MetaMask, затем второй раз в поле справа от страницы, на которую вы будете перенаправлены. Это приведет вас к тому же пункту, что и в примере с USDC, чтобы выполнить необходимые проверки:
Рисунок 12: Проверка смарт-контракта перед подписанием
Как правило, именно такая небольшая привычка может защитить вас от некоторых видов взломов, как это было в случае с фишинговой атакой OpenSea.
Консультационные проверки и потенциальная история взлома
Первое, что необходимо проверить перед взаимодействием, например, с протоколом DeFi, — не был ли он уже взломан. Для этого на сайте rekt.news приводится не очень приятная классификация, также информирующая о методе, используемом для эксплуатации дефекта, в подробных статьях, доступных на французском языке. Затем узнайте, был ли устранен недостаток.
Во-вторых, узнайте об аудитах смарт-контрактов протокола.
Как правило, проекты направляют вас в свой GitBook с домашней страницы (с сайта-витрины, а не приложения), ищите там вкладку «Doc» или «Documentation». Если в качестве примера взять протокол Aave, то при поиске «Audit» в строке поиска вы получите доступ ко всем аудитам смарт-контрактов платформы.
Рисунок 13: Список аудитов смарт-контракта Aave V2
В этом случае, если вы нажмете, например, на аудит PeckShield, вы попадете на Github и увидите, что он выявил два элемента в категории «Информационные», то есть не представляющие особой опасности.
Ошибки или другие нарушения обычно классифицируются таким образом, в порядке убывания степени серьезности:
- Критика;
- Высота;
- Средний;
- Низкий;
- Информационный.
Аудит может быть сложным для чтения новичком. Но если вы прочитаете хотя бы краткое изложение того, что было обнаружено, с какими опасностями это может быть связано и какие корректирующие действия были предприняты командой, то вы сделаете больше, чем 99% людей.
Однако имейте в виду две вещи: во-первых, не все компании, занимающиеся аудитом смарт-контрактов, одинаковы, для некоторых достаточно «выписать чек», чтобы получить сертификат.
Цель данного руководства — не быть разоблачителем, но, не называя имен, вы можете зайти в Twitter и набрать «» + название конкретной компании, специализирующейся в данной области. Посмотрите, какие проекты могут похвастаться тем, что прошли аудит. Если вы видите большое количество шиткоинов за короткий промежуток времени, это может служить индикатором.
Во-вторых, какой бы серьезной ни была аудиторская компания, она может полагаться только на прошлый опыт. Вы никогда не можете быть уверены в том, что талантливый хакер найдет недостаток, до которого никто еще не додумался.
Тем не менее, проект, прошедший аудит нескольких компаний для одного и того же смарт-контракта, все равно будет гарантией серьезности, если эти организации сами прошли аудит.
Если вы не можете найти информацию на сайте проекта, вы можете обратиться непосредственно к его основателям. Если команда настроена серьезно, она будет честна с вами о ходе аудита и не будет заинтересована в том, чтобы «заглушить рыбу», пытаясь убаюкать вас изысканными словами.
Вывод о безопасности вашего цифрового портфеля
Несмотря на все эти советы, помните, что никто не застрахован от взлома или другого мошенничества. Любой, кто утверждает обратное, будет уничтожен.
Помимо технических недостатков, самым слабым звеном в уравнении часто оказывается человеческая доверчивость. Тем не менее, хотя нулевого риска не существует, следуя ряду лучших практик, подобных тем, что описаны в этом руководстве, можно в некоторой степени ограничить этот риск и более спокойно ориентироваться в сложной экосистеме, которой являются криптовалюты и блокчейн.
