Как защитить криптовалюту от кражи
Перейти к содержимому

Как защитить криптовалюту от кражи

  • автор:

5 способов потерять криптовалюту на личном некастодиальном кошельке

Практически каждый пользователь криптовалют хотя бы раз пользовался некастодиальным кошельком, таким как Metamask, Trust Wallet, Phantom и Ledger.

Это программное обеспечение, позволяющее иметь полный контроль над криптоактивами, в отличие от кастодиальных (биржевых) кошельков.

Как показывает практика, пользователи теряют большие объемы активов не по своей вине, храня их именно на биржах. Это иллюстрирует недавний крах FTX, приостановка выводов средств с биржи и последующий взлом горячих кошельков. Только через два месяца после этого компания начала решать вопрос с утерянными средствами пользователей. На данный момент нашли лишь $5 млрд из $8 млрд, которые биржа должна вернуть.

Однако факт использования некастодиального кошелька не гарантирует полную безопасность хранящихся на нем средств. Зачастую люди совершают ошибки из-за невнимательности или по незнанию. В этой статье мы разберем пять способов лишиться цифровых активов при использовании некастодиальных кошельков.

1. Предоставление разрешения на трату средств на непроверенном сайте

Предоставив разрешение на трату средств всего раз, вы можете лишиться их в будущем.

Если вы хотите обменять свои USDT на децентрализованной бирже, такой как 1inch, первым делом нужно предоставить сайту разрешение на трату токенов.

Эта транзакция называется approve. Вы даете третьему лицу разрешение на управление какой-либо частью токенов. Только во второй транзакции, уже после approve, вы можете совершить обмен. При последующих операциях делать approve не понадобится, так как разрешение на неограниченный доступ к токенам уже дано.

В случае с 1inch не стоит беспокоиться о предоставлении неограниченного доступа к токенам, ведь компания дорожит своей репутацией и существует достаточно давно.

Однако стоит вспомнить, где еще вы могли расплачиваться ERC-20 токенами (такими, как USDT, USDC, DAI и т.д.), и как можно отозвать все разрешения.

Потенциальные злоумышленники могли распродавать свои NFT-коллекции, запрашивая неограниченный доступ к активам. Затем мошенникам оставалось ждать подходящего момента для обналичивания ваших средств.

Для предотвращения таких ситуаций существует revoke.cash. Там можно проверить, у какого адреса есть возможность потратить ваши токены.

Чтобы отозвать разрешение, необходимо напротив суммы (или слова «Unlimited») нажать на карандаш и вписать значение «0».

Эта операция требует оплаты комиссии. В сети Ethereum это может обойтись в круглую сумму. Поэтому лучше проделывать такое только с ненадежными адресами.

Чтобы избежать необходимости ограничивать адреса в тратах и избегать любые непроверенные сайты, можно использовать два кошелька:

  • один для работы с платформами и сайтами;
  • второй для хранения средств.

Так вы не будете разрешать никаким третьим лицам использовать ваши активы. Когда нужно обменять криптовалюту, вы отправляете токены на первый адрес со второго, совершаете обмен через первый и выводите обратно на второй. Комиссии будут больше, так как придется делать две дополнительные транзакции, но при использовании дешевых сетей, вы повысите свою безопасность за небольшую плату.

2. Подпись на непроверенном сайте

Для потери средств не обязательно отправлять транзакцию, достаточно лишь одобрить запрос на подпись.

Approve дает разрешение распоряжаться балансом какого-либо токена из вашего кошелька, а подпись используется для офф-чейн операций, например для подтверждения владения адресом

Сейчас некоторые кошельки научились определять опасные подписи и выводить текст с предупреждением, в остальных случаях подпись безопасна. К одному из таких кошельков относится Metamask.

Поэтому просто избегайте взаимодействий с непроверенными сайтами в случаях, когда кошелек оповещает вас таким сообщением.

3. Покупка неизвестного токена

Некоторые люди любят покупать какие-либо монеты на инфоповодах, чаще всего это мем-коины. Например, недавно произошел хайп вокруг $BONK — собачья монета от Solana. У таких активов нет никакого практического назначения, оно исключительно спекулятивное.

Если вы думали, что можно безопасно купить малоизвестную монету и через час ее продать — вы глубоко ошибаетесь. Далеко не все ERC-20 токены одинаковы, они лишь имеют общий шаблон. Некоторые из них смоделированы так, чтобы вы могли только покупать их.

Например, набравший популярность за счет сериала Squid Game токен $SQUID был одним из так называемых «Honeypot». Смарт-контракт разработан таким образом, что только доверенные адреса могли управлять ликвидностью и извлекать из нее имеющие ценность токены USDT и wBNB (обернутый BNB). Благодаря этому цена $SQUID только росла, а люди думали, что смогут быстро заработать на перепродаже. И это длилось до тех пор, пока создатели скам-токена не извлекли всю ликвидность.

Резкое падение курса $SQUID

Чтобы проверить ERC-20 токен на возможность свободно им торговать, можно использовать бесплатный сервис Honeypot.is. Обратите внимание, что разработчики скам-монет могут в любое время отключать и включать функцию продажи, если эта возможность предусмотрена в контракте.

Подобные сервисы показывают лишь возможность продавать монету в текущий момент времени. Именно поэтому следует воздерживаться от спекуляций с малоизвестными токенами.

4. Утечка приватного ключа или seed-фразы

Иногда мошенникам под различными предлогами удается убеждать людей в том, что можно безопасно передавать seed-фразу или приватный ключ.

Давайте еще раз вспомним, что это такое:

Seed phrase — это фраза из 12, 18 или 24 слов. Обычно люди хранят ее в текстовом документе на компьютере, однако лучше хранить важные данные на съемных носителях, либо на бумаге.

Закрытый ключ — это секретный ключ для шифрования/дешифрования сообщений, проходящих через ваш некастодиальный кошелек. На программном уровне для доступа к аккаунту используется именно он, а фраза из 12 слов является лишь интерпретацией этого ключа.

Пароль от кошелька также является одним из способов получения доступа к активам. Злоумышленник может достать закрытый ключ, имея доступ к вашему устройству и паролю.

Чтобы не потерять свои активы, старайтесь хранить информацию о паролях и ключах в надежном месте

5. Запуск зараженных файлов

Заражение компьютера ведет к возможной потере активов на некастодиальном кошельке. Это может быть сделано следующим образом:

  • Вы скачиваете зараженный файл. Это чаще всего .exe или .lnk файлы. Антивирус может не отреагировать, ведь сейчас опытные хакеры используют криптование для устранения возможности обнаружения.
  • Злоумышленник извлекает Vault Data от Metamask из вашего браузера. Это зашифрованная seed-фраза и для ее дешифрования необходимо использовать пароль от Metamask.
  • Далее хакер удаленно использует дешифратор для извлеченных данных. На данном этапе получение доступа к вашему аккаунту — дело времени.
  • Для подбора пароля используют вычислительные мощности в виде высокопроизводительных видеокарт, процесс взлома может занять как 10 минут, так и несколько дней. Все зависит от того, насколько сложный пароль вы задали.

Чтобы обезопасить себя от возможной потери средств, обязательно пользуйтесь антивирусом и не скачивайте подозрительные файлы. В случае обнаружения факта заражения нужно оперативно перевести средства на новый кошелек.

Bitbanker — это криптовалютная платформа, которая предлагает легкий способ работы с криптовалютой. В Bitbanker можно купить или продать USDT, BTC, ETH, рубли, доллары и дирхамы ОАЭ. Свободные средства можно положить на депозит со ставкой до 8% годовых в USDT и рублях, а если есть потребность в деньгах, можно взять кредит. Для фрилансеров и онлайн-бизнеса есть криптоэквайринг.

Другие интересные материалы можно посмотреть в Telegram-канале СЕО Bitbanker:

  • До каких уровней может упасть биткоин
  • Что ждать от крипты в 2023 году?
  • NFT-хайп прошел. Что дальше?

Будем рады ответить на ваши вопросы в комментариях.

Как защититься от кражи криптовалюты. Пять советов

Чтобы быть уверенными в сохранности своих средств многие площадки совершенствуют свои методы защиты. Но этим стоит озаботиться и обычным пользователям, которые используют криптовалюту. Игнорирование правил безопасности может привести к тому, что все накопления в криптовалюте будут безвозвратно утеряны. Эксперты дали рекомендации, которые помогут защитить цифровую валюту и не допустить ее краж киберпреступниками.

Личная информация

Для работы с криптоактивами необходимо использовать отдельные аккаунты, например, электронную почту и номер телефона, отличные от основных, советует основатель Listing.Help & Blockchain Life Сергей Хитров. По его словам, в таком случае даже при сопоставлении публичных данных учетные записи окажутся в безопасности от мошенников. Также он рекомендовал ни в коем случае не разглашать личные данные в открытом доступе, например, в социальных сетях, мессенджерах или блогах. Сооснователь майнинг-компании BitCluster Сергей Арестов также советует использовать отдельные электронную почту и номер телефона, которые не задействованы на других ресурсах. При этом он отметил, что важно пользоваться номером телефона, который принадлежит именно вам, чтобы в случае необходимости была возможность восстановить сим-карту.

Защита учетной записи

Обеспечить дополнительную защиту аккаунта поможет двухфакторная аутентификация, отметил Сергей Хитров. Он утверждает, что в комбинированном использовании с другими мерами безопасности (например, ряд бирж позволяет устанавливать дополнительные пароли на совершение сделок) она позволяет значительно повысить уровень безопасности учетных записей. По мнению Сергея Арестова, необходимо использовать максимальный набор функций безопасности: SMS-подтверждение, антифишинговый код, двухфакторную аутентификацию и проверочный код на электронную почту.

Двухфакторная аутентификация (2FA) — это метод идентификации пользователя для входа в сервис, при котором нужно как минимум двумя способами подтвердить, что именно он — хозяин аккаунта.

Распределение активов

Основатель Listing.Help & Blockchain Life рекомендует разделять криптовалюту по разным хранилищам, чтобы при получении доступа к одному кошельку у мошенников не было возможности похитить все средства. Небольшие суммы можно оставить на биржах и их онлайн-кошельках, но более крупные сбережения лучше хранить на аппаратных устройствах, считает сооснователь BitCluster.

Децентрализованные биржи

Децентрализованные криптовалютные биржи не хранят криптоактивы пользователей, а просто организовывают их взаимодействие, отметил Сергей Хитров. Особенность такого подхода заключается в том, что пользователь сам хранит свои сбережения и отвечает за их безопасность, а не передает их во владения третьим лицам. Также биржа не может заблокировать или отменить транзакцию. Эксперт отмечает, что в таком подходе есть и недостатки. Например, все проведенные операции будут необратимыми.

«Чрезвычайно важно следить за тем, какие разрешения при взаимодействии с кошельком запрашивают у вас децентрализованные протоколы. Зачастую это стандартные разрешения для работы с криптовалютными активами, однако если вы видите отличающийся запрос, то лучше лишний раз проверить как сам проект, так и возможность фишинговой атаки», — добавил Хитров.

Базовые принципы безопасности

  1. Кропотливо записывать и сохранять коды восстановления для двухфакторной аутентификации;
  2. Не использовать легких простых паролей типа 321A123a;
  3. Прописывать доверенные ip-адреса;
  4. Не хранить seed-фразу целиком в одном месте. Лучше разделить на две части и спрятать в разных местах
    (Seed-фраза — набор из случайных 12,18 или 24 английских слов, который используется для восстановления криптовалютного кошелька);
  5. Быть внимательными к обновлениям кошельков, если обновление будет мошенническим, то можно моментально лишиться средств;
  6. Прежде чем начинать активно пользоваться кошельком, стоит попробовать его удалить и восстановить через фразу.

Больше новостей о криптовалютах вы найдете в нашем телеграм-канале РБК-Крипто.

Как защититься от хакеров. 6 способов не потерять свою криптовалюту

В 2019 г. преступники похитили $4,3 млрд в криптовалюте. По информации аналитиков CipherTrace, по сравнению с 2018 г. число краж и мошенничества с использованием цифровых денег увеличилось на 150%, а за два года — на 2600%. Это говорит о том, что на крипторынке становится все опаснее, а защититься — сложнее. Рассказываем об основных способах обмана и о том, как можно избежать потери средств.

Программы-вымогатели

Один из самых популярных способов украсть криптовалюту — вымогательство. Вредоносная программа шифрует все данные на устройстве жертвы и отдает их только в случае перевода денег преступнику. Поймать такой вирус просто — открыть зараженное письмо на электронной почте или кликнуть на такую же рекламу.

Как защититься? Самое важное правило — иметь надежную антивирусную программу, которая сможет в режиме реального времени противостоять сложным вирусам. Также необходимо проводить резервное копирование данных. Например, хранить все важные файлы в облаке, на USB-накопителе или внешнем жестком диске. После записи нужно не забывать отсоединить устройство от компьютера, иначе оно также может быть заражено.

Фишинговые сайты

С помощью фишинговых сайтов хакеры пытаются получить доступ к вашим конфиденциальным данным. Преступники создают страницу, которая очень похожа на сайт, например, биржи. Но после ввода логина и пароля вы не попадете в свой аккаунт, зато в него смогут попасть злоумышленники. Зачастую интерфейс выглядит очень правдоподобно, по нему не всегда можно с первого раза отличить подделку. Как защититься? Ссылки на фишинговые сайты рассылаются в социальных сетях, через SMS и электронную почту. Первый способ защиты — не переходить по подозрительным ссылкам. Это правило звучит банально, но мошенники продолжают успешно обманывать людей. Например, в середине января в WhatsApp распространялась мошенническая схема с использованием бренда Adidas. Она была направлена на получение персональных данных пользователей мессенджера. Второе правило — внимательно проверять адресную строку. Даже небольшое отличие в написании говорит о том, что сайт — подделка. Также необходимо проверить функционал страницы — зачастую на фишинговых сайтах работает только одно окно — для ввода логина и пароля. Или, например, кликнув по одной из вкладок вы можете оказаться на странице, которая не похожа на оригинальный ресурс. Проще всего — сохранять в закладках сайты, которые вы посещаете чаще всего. Например, свой криптовалютный кошелек и биржи, на которых вы торгуете. Также проверить подозрительную страницу можно через специальный сервис от Google. Но всегда лучше перестраховаться и просто не связываться с ресурсом, который вызывает сомнения.

Фальшивые кошельки

В Google Play часто появляются приложения для хранения криптовалюты, которые таковыми не являются. На самом деле программа показывает не новый, ваш, адрес, а кошелек хакера. Ему и переводятся все деньги. Как защититься? Доверять свои средства только проверенным сервисам. Прежде чем начинать пользоваться новым приложением, узнать всю информацию о нем: как давно он появился, кто разработчики, какие отзывы. Попытаться создать в приложении новый адрес. Чаще всего фальшивая программа не генерирует их, кошелек остается один, принадлежащий преступнику.

Несуществующие криптовалюты

В прошлом году закрылось сразу несколько финансовых пирамид, нанесших ущерб в миллиарды долларов. Такие проекты прикрываются идеей создания собственной криптовалюты, но на самом деле об этом не идет речи. Организаторы создают классическую мошенническую схему, после чего исчезают с деньгами инвесторов. Как защититься? Проекты, которые обещают гарантированную прибыль и работают по схеме сетевого маркетинга, зачастую оказываются финансовыми пирамидами. Прежде чем вкладывать средства в какой-либо проект нужно подробно изучить его цель, команду, техническую составляющую. В сфере криптовалют тема инвестиций в новые стартапы особенно сложная, поэтому тут можно вкладываться лишь на свой страх и риск.

SIM-своппинг

Одной из мер безопасности для защиты своего аккаунта является двухфакторная аутентификация. Но хакеры уже придумали как использовать ее в своих целях. Зачастую для входа на биржу или в криптовалютный кошелек необходимо получить код на телефон, этим и пользуются преступники. Сначала они узнают номер телефона и персональные данные пользователя через открытые источники или сотрудников операторов, затем блокируют сим-карту (для этого достаточно обратиться в службу поддержки и сообщить о потере симки). Затем злоумышленники добиваются перевода номера на свою SIM-карту и получают доступ к аккаунту. Как защититься? Единственное, что может полностью обезопасить от SIM-своппинга — это оформление отдельной сим-карты для регистрации аккаунтов на биржах и в кошельках. Такой телефон нужно не использовать в повседневной жизни, нигде его не публиковать и никому не сообщать. Также для сим-карты можно создать дополнительный пароль. В таком случае для блокировки номера потребуется не только ФИО. Более простой метод и менее затратный — использовать специальные программы для двухфакторной аутентификации, а не телефон. Сейчас такая функция есть на большинстве криптовалютных бирж.

Взлом аккаунта

Самый классический способ кражи средств, но от того не менее злободневный — взлом аккаунта. Как защититься? Помимо заезженных правил об использовании сложных паролей и двухфакторной аутентификации (но не через телефон), главное — не хранить деньги на бирже. Преступники могут получить доступ к кошелькам торговой площадки вне зависимости от того, каких мер безопасности придерживаетесь именно вы. Поэтому вносить в аккаунт нужно ровно столько, сколько необходимо для заключения сделки. А затем прибыль сразу выводить, желательно в холодный кошелек, который хранится в надежном месте.

Три важных правила безопасного хранения криптовалюты

При покупке цифровых активов инвестор сталкивается с проблемой их хранения. Для сохранности криптовалюты необходимо придерживаться некоторых правил.

Основные аспекты безопасности

Для регистрации на криптобиржах и других криптовалютных сервисах не подойдет общий почтовый аккаунт, который ежедневно используется для личных целей. Лучше зарегистрировать отдельную почту и использовать ее только для операций с цифровыми монетами. Так же стоит поступить и с номером телефона.

В 2019 году нью-йоркский подросток Юсеф Селассие украл данные 75 человек и свыше $1 мл в цифровых деньгах. Он клонировал телефонные номера жертв, чтобы получить доступ к их почтовым аккаунтам и учетным записям на торговых площадках. При работе с криптоактивами стоит включать защищенный режим в браузере, который прекращает запись куки, кэша и другой системной информации, содержащей пользовательские данные. Известны случаи, когда злоумышленники подменяли в поисковой выдаче адреса криптовалютных площадок, что приводило к краже пользовательских данных. Чтобы этого избежать, необходимо сохранить адрес криптобиржи или вводить его в строку браузера самостоятельно.

Диверсификация в деле

Распределять активы стоит не только при инвестировании, но и при хранении криптовалюты. Например, большие суммы лучше не хранить на криптобиржах, поскольку всегда есть риск ее взлома. Цифровые монеты, находящиеся на криптовалютной бирже, фактически не принадлежат своему обладателю, поскольку находятся на кошельке площадки, который может пострадать от действий злоумышленников. За 8 лет хакеры украли более $13,6 млрд в криптовалюте, совершив свыше 330 взломов бирж, кошельков для хранения цифровых активов и децентрализованных приложений. Больше всего похищенных средств пришлось на биржи и онлайн-кошельки — около $12 млрд. При покупке цифровых монет на долгосрочную перспективу их лучше хранить на холодном, или аппаратном, кошельке. На криптобирже рекомендуется хранить тот объем средств, который нужен для торговли. Если сумма вложений в криптовалюту внушительная, то ее стоит распределить между несколькими холодными кошельками. Тогда при взломе одного из них средства на другом не пострадают.

Личные данные прежде всего

При работе с холодным кошельком, который устанавливается на ПК или мобильное устройство, также стоит обезопасить свои средства, сохранив в защищенном месте seed-фразу (набор из случайных 12, 18 или 24 слов для восстановления доступа к кошельку). Обычно seed-фразу распечатывают на бумаге и хранят вместе с важными документами. В прошлом году британский предприниматель Алистер Милн провел эксперимент, чтобы узнать, сколько времени потребуется хакерам на взлом его кошелька. Для этого он опубликовал 8 слов из своей seed-фразы от кошелька, на котором хранился 1 биткоин. Через 44 часа хакеру удалось получить доступ к хранилищу и завладеть криптовалютой. Остальные 4 слова хакер узнал методом подбора. — Биткоин падал на 33% за сутки. Что происходит с главной криптовалютой — Coinbase и Binance испытали технические проблемы из-за обвала биткоина — Последнее обновление Ethereum исправило опасную уязвимость сети Больше новостей о криптовалютах вы найдете в нашем телеграм-канале РБК-Крипто.

Похожие публикации:
  1. Где можно купить биткоин за рубли йены
  2. Как проверить полис росгосстрах
  3. Как сбербанк взыскивает долги по кредитам
  4. Льготная ипотека до какого числа

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *