Open in app

Sign in

Write

Sign in

Salvaguardare le proprie Crypto

Stonky
OlympusDAO Italian
Published in
10 min readDec 21, 2021

Sicurezza per Principianti

É fin troppo comune perdere i propri fondi per le persone nel mondo cripto. La maggior parte degli incidenti può essere evitata con consapevolezza, educazione e un livello di sicurezza appropriato. Scams elaborati esistono comunque ma, in generale, questi tendono ad accadere ad utenti inesperti che non capiscono le basi della sicurezza o coloro che la trattano in maniera superficiale. Mi continua a sorprendere che alcune persone sono nello spazio del Web3 da un pò di tempo, continuando a mantenere i propri token in un portafoglio “hot”.

Questa non è in alcun modo una lista completa, ma ti dovrebbe dare la capacità di evitare molti dei più comuni attacchi.

Il Modello del Formaggio Svizzero

Un metodo utile per comprendere la sicurezza è il metodo chiamato del “Formaggio Svizzero”. Immagina che le tue chiavi sono al termine di un tubo. Il tubo è una serie di livelli di sicurezza che assomigliano ad un formaggio svizzero. Tutti i livelli hanno buchi ma per perdere le tue chiavi tutti i buchi dovrebbero essere allineati. Maggiori sono i livelli e più piccoli i buchi, e più sicure le tue chiavi sono.

La falla di un livello non significa che sei compromesso se gli altri livelli sono lì. Ad esempio, se la tua password MetaMask è stata compromessa, ma stai utilizzando correttamente un portafoglio hardware, la tua chiave e crittografia sono ancora al sicuro.

Educazione

Il primo e più importante livello di sicurezza è quello dell’educazione. Lo considero il più importante perchè fortifica tutti gli altri livelli e, dunque, fondamentalmente è l’unico che importa realmente.

In generale, i truffatori prendono di mira i nuovi o gli ignoranti. Proprio come con un telefono o email gli scammers non vogliono perder tempo spendendo molto tempo e risorse su una truffa complessa.

Spesso in crypto vediamo gente che si rifiuta di leggere. L’altro giorno ho scritto una giuda per la migrazione ad Olympus V2. Su Twitter, dove ho condiviso il link, avevo gente che mi chiedeva le stesse domande che avevo risposto nell’articolo, dunque gente che palesemente non aveva letto l’articolo. Senza dubbio i truffatori pretendono di essere membri del supporto quando mandano messaggi. Se sei poco informato o, ancor peggio, pigro, stai mettendo un grosso bersaglio sulla tua schiena.

Chiunque consideri tuffarsi nel mondo cryto deve fare le proprie ricerche e prendersi il dovuto tempo per imparare riguardo alla sicurezza. Prenditi il necessario tempo, chiedi a persone più esperte e, soprattutto, fai tutte le ricerche necessarie.

OpSec — Sicurezza Operativa

La sicurezza operativa sta proteggendo o compartimentando le informazioni. In sostanza, meno un truffatore può scoprire di te, più sarai al sicuro.

  1. Usa un VPN.Questa è la sicurezza di base per impedire alle persone di spiare il tuo indirizzo IP. Questo non farà molto da solo, ma può fornire una buona base.
  2. Avere una mail solo per il mondo crypto. un’e-mail a cui non sono allegate informazioni personali come il tuo nome. Più la tua email è vecchia e utilizzata, più è probabile che trapeli. Se un truffatore sa che la tua email viene utilizzata per le criptovalute, potresti essere preso di mira da phishing o altri attacchi.
  3. Non condividere mai in pubblico info sul tuo portafoglio. Questo mette anche un bersaglio sulla tua schiena, dato che ora un truffatore può vedere quanto hai e se vale la pena prenderti di mira. Possono collegare un indirizzo a Discord, Twitter, e-mail, ecc. Se non stai utilizzando una VPN, potrebbe essere possibile per loro collegare il tuo IP e il tuo portafoglio monitorando il traffico e le transazioni nel tuo portafoglio
  4. Non dire ad altri quanto hai in crypto o quanto hai investito. Vedo spesso persone che si vantano delle loro proprietà. Ciò pone due minacce, una è la stessa di cui sopra. La blockchain è pubblica, se vai su Discord di Olympus e dici: “Ho appena puntato $ 20.000 di OHM”. Bene, ora il truffatore va a guardare il contratto e ha il tuo portafoglio. L’altro pericolo è l’attacco con una chiave inglese da $ 5. Se hai $ 100.000 in criptovalute e qualcuno scopre dove vivi, ti stai mettendo in pericolo.
  5. Usa uno pseudonimo. Questo è il motivo per cui molti in crypto usano uno pseudonimo, così che la tua persona non è collegata ad un account e il truffatore non riesce a ricevere abbastanza info su di te.
  6. Usa passwords complesse. Un password manager è utile qui. Usa il manager per generare password complesse e non usare mai la stessa. Le mie password hanno sempre almeno 12 caratteri, completamente casuali, maiuscole e minuscole, caratteri speciali e numeri. Puoi utilizzare il gestore delle password per memorizzare password meno critiche, ma le password per i portafogli e gli scambi non dovrebbero essere nel tuo gestore delle password. Solo in versione cartacea!

Un motivo terziario per avere una buona OpSec è che una cattiva OpSec rivela il tuo livello di istruzione. Le persone esperte in Web3 non dicono a tutti quanto investono e quando; non stanno condividendo i loro indirizzi su Discord. Se lo fai, sappiamo tutti che sei nuovo, in particolare il truffatore.

Mantenimento delle Chiavi

La regola numero uno in crypto è mai dare le tue chiavi a qualcun altro. Mai. Nonostante ciò, questo accade di continuo. Spesso si tratta di semplice ignoranza, a volte si tratta di qualcosa di più complesso. Ecco alcuni principi base, alcuni che dovrebbero essere noti ed altri che è bene reiterare:

  1. Non digitare mai la tua frase chiave sul tuo computer. Ci sono rare eccezioni come il recupero del portafoglio. Se hai mai bisogno di farlo, assicurati di aver scaricato un portafoglio autentico. Se una dApp o un sito Web ti chiede una frase seed è una truffa. Se hai mai bisogno di recuperare una chiave per MetaMask, puoi utilizzare una tastiera su schermo per un ulteriore livello di sicurezza; questo almeno ti proteggerebbe da un keylogger.
  2. Non salvare mai le tue parole seed sul computer. Dovresti sempre e solo scriverle su carta. Malware come keyloggers e screenloggers possono compromettere le tue chiavi. Inoltre, i malware posso fare l’hijack e vedere cosa copi e incolli. Dunque, naturalmente, non salvare mai le tue chievi in un password manager.
  3. Mai dare le chiavi a qualcun altro. Questo è qualcosa che sembra ovvio ma, ripeto, succede sempre. Di solito il modo in cui ciò accade è che un truffatore finge di essere supporto o qualcun altro di cui si fida, forse un account falso di un Mod su Discord. Ti diranno quindi che hanno bisogno della tua frase per riparare il tuo portafoglio o un trucco simile per farti divulgare la chiave del tuo portafoglio.

Portafoglio Hardware

Questo potrebbe collegarsi a una corretta gestione delle chiavi, ma merita una sezione a parte. Chiunque in DeFi dovrebbe avere uno di questi. È assolutamente uno dei tuoi migliori livelli di sicurezza.

C’è un malinteso generale su cosa sia un portafoglio hardware e come funzioni. Un portafoglio hardware, come Trezor o Ledger, non tiene i tuoi token, tiene la tua chiave. Quando vuoi eseguire una transazione, il portafoglio hardware esporta semplicemente la tua chiave per consentire la transazione. Questo ha alcuni vantaggi, uno è l’immunità ai keylogger o malware simili. Ciò richiede anche che le transazioni siano autorizzate sul dispositivo fisico.

Non dovresti mai digitare la chiave del tuo portafoglio hardware. Se hai bisogno di recuperare il tuo portafoglio, questo dovrebbe essere fatto con i pulsanti fisici sul tuo portafoglio hardware. Se ti viene mai chiesto di fornire la chiave del tuo portafoglio hardware su un sito o dApp, è una truffa.

Portafogli Smart-Contract

Portafogli Smart contract, come Argent, sono portafogli che archiviano le tue criptovalute in un contratto intelligente, questo consente molte più funzionalità e sicurezza. Con Argent puoi impostare dei “Guardians” per il recupero del portafoglio senza utilizzare una frase seme. I guardiani si comportano come un multi-sig e sono terze parti fidate, come amici e familiari o un portafoglio secondario. I guardiani possono recuperare il portafoglio o approvare un nuovo dispositivo; approvare i trasferimenti oltre il limite giornaliero e consentire i trasferimenti a portafogli non attendibili.

Argent ha molteplici altre caratteristiche come la capacità di selezionare un limite al prelievo, congelare il tuo portafoglio, o indirizzi in whitelist.

Vettori di attacco comuni

One of the most common attacks are Direct Message scammers. If you’ve spent more than 15 minutes on discord you have probably seen a warning that mods or admins will never DM you first, this is why. Any unsolicited message should be met with caution. There are multiple types of DM scams.

  1. Supporto Falso: Questo tipo di truffa vede gente messaggiarti pretendendo di essere un membro del supporto, ma in realtà vogliono ingannarti per ricevere le tue chiavi. A volte ti chiedono di mandarle o di condividere uno screen shot nel quale ti chiedono di rivelare la tua frase seed del portafoglio.
  • Come evitare: Il 99% delle volte questi dovrebbero essere segnalati immediatamente. Se hai bisogno di modificare un mod, puoi verificarlo controllando i ruoli del loro server su Discord. A volte diventano furbi e fanno sembrare la loro biografia come ruoli del server. Stai attento!
  1. Truffe Giveaway: Ricevi un messaggio che dice che hai vinto una grossa somma di criptovalute. Se segui il link, verrai indirizzato a un sito Web apparentemente legittimo. Spesso il sito web esatto viene copiato e inserito in un dominio simile a quello reale. Quando vai a richiedere il tuo omaggio, ti viene detto che devi effettuare un deposito per motivi di sicurezza. Se effettui questo deposito non lo riavrai mai più e sicuramente non otterrai criptovalute gratuite.
  • Come evitare: Questo non è mai legittimo. Non essere avido e non provare.
  1. Falsi Websites: Questo è stato un problema persistente con Olympus. I truffatori invieranno collegamenti a una falsa “app ufficiale” e diranno agli utenti che devono utilizzare la nuova app. Spesso questi ti chiederanno di sincronizzare il tuo portafoglio inserendo la tua chiave a quel punto sei compromesso. Inoltre, i truffatori creeranno un sito Web falso e pagheranno per un annuncio. A volte un sito Web falso sarà il risultato numero uno su Google perché ha acquistato un annuncio per essere presentato come risultato principale.
  • Non fare mai clic o aprire i collegamenti inviati a te. Qualsiasi azione necessaria sarà ufficialmente annunciata dal protocollo, se non sei sicuro chiedi o controlla gli annunci. Non fare mai clic su siti che sono nei risultati come annunci. Di solito vado alla pagina Twitter ufficiale del protocollo e uso il link ufficiale lì. Assicurati che sia il vero Twitter, di solito puoi dirlo dal conteggio dei follower e da chi lo sta seguendo.

Tieni presente che truffe molto simili si verificano anche nelle e-mail. Questo è un altro motivo per avere un’e-mail solo crittografica. Conosci sempre il mittente e fai attenzione a ciò che apri. Anche le criptovalute sono vittime di alcune delle truffe di phishing più avanzate.
Lo spyware è un altro metodo di attacco. Questo può essere inserito nel tuo computer tramite collegamenti dannosi che ti vengono inviati messaggi o che fai clic su siti Web dannosi. Ci sono alcuni tipi:

  1. Keyloggers: Questi salvano le tue keystrokes e consentono al truffatore di vedere cosa scrivi. Potrebbero facilmente apprendere le tue password o ottenere la chiave del tuo portafoglio se digiti la tua frase seme.
  • Come evitare: Se puoi, acquista un abbonamento a un buon programma AV come Kaspersky o Norton. Molti di questi includono anche VPN, generatori di password e gestori. Se hai un budget limitato, i byte di malware sono una buona alternativa gratuita. Usa anche il tuo portafoglio hardware! Un truffatore non può rubare la tua frase se non la digiti mai.
  1. Screenloggers: Questi consentono a un utente malintenzionato di vedere il tuo schermo. Questo può permetterti di essere compromesso senza digitare il tuo seme. Anche vedere il tuo seme potrebbe comprometterti. Uno screenlogger potrebbe compromettere un nuovo portafoglio consentendo all’attaccante di vedere la tua frase iniziale al momento della creazione. Quindi aspettano solo che il portafoglio riceva i fondi e li prelevano
  • Come evitare: Come per i keylogger
  1. Hijacking degli Appunti: Simile a un keylogger, questo consente a un utente malintenzionato di vedere cosa copi negli appunti. Se stai copiando e incollando le password, il truffatore potrebbe rubarle.
  • Come evitare: Come per i keylogger/screenlogger. Inoltre, questo è uno dei motivi principali per cui non dovresti salvare le tue password critiche in un gestore di password. Poiché la maggior parte delle persone copia e incolla dal gestore, l’attaccante può rubare le password dal tuo gestore senza effettivamente hackerare il tuo gestore delle password.

Un ultimo attacco è il falso airdrop, questo potrebbe essere il più pericoloso. Non è così noto come gli altri e può aggirare tutte le tue misure di sicurezza. Ecco come va questo:

Guardi nel tuo portafoglio e vedi una grande quantità di nuovi token nel tuo portafoglio, forse decine di migliaia di dollari. Pensi di aver ricevuto un grande airdrop, ti ecciti e vai a scambiare i token con una stablecoin.

Il token falso in realtà consente all’attaccante di aggirare tutta la tua sicurezza senza la tua frase seme e drenare il tuo portafoglio.

Rekt.

  • Come evitare: non approvare o interagire in alcun modo con token sconosciuti o NFT. Gli aggressori utilizzeranno grandi quantità per farti pensare di aver appena ricevuto denaro che ti cambia la vita. La maggior parte delle volte sarai consapevole dei tuoi airdrop. In caso contrario, fai un po’ di ricerche sul token per assicurarti che sia legittimo.

Pensieri Conclusivi

Non mettere tutte le tue uova in un singolo paniere. É bene avere molteplici portafoglio e accounts dove diversificare i tuoi possedimenti. Non è una cattiva idea anche l’avere molteplici portafogli hardware, uno per uso quotidiano e uno per conservazione a lungo termine che è da qualche parte al sicuro.

Usa sempre portafogli hardware e portafogli smart contract. Per MetaMask, e altri portafogli browser, usali sempre attraverso Trezor o un altro portafoglio hardware.

Fai la tua ricerca ed educa te stesso. Non essere quello che pensa che non ti può accader nulla. Spero che questo aiuti gli amici.

Saluti!

Seguici su Twitter: @OlympusDAO

Diventa un Ohmie su Discord

Partecipa alla conversazione sul Forum

Seguici su Reddit

e visita Sherpa Library per imparare di più su OlympusDAO.

Originalmente pubblicato su https://medium.com il 21 Decembre, 2021.

Olympus Dao
Defi
Crypto
Security

--

--

Stonky
OlympusDAO Italian

Written by Stonky

26 Followers
Editor for

Dao Contributor since 2020. Content creator, community manager, content translator

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams