Open in app

Sign in

Write

Sign in

Mantendo suas Cryptos

Drago
OlympusDAO Portuguese
Published in
10 min readDec 21, 2021

Mantendo suas Cryptos:

Segurança para iniciantes

É muito comum que as pessoas em criptomoedas tenham seus fundos roubados. A maioria dos incidentes pode ser evitada com conscientização, educação e segurança operacional adequada. Isso não quer dizer que golpes elaborados não acontecem, mas, em geral, golpes acontecem com usuários novos e inexperientes que não entendem o básico de segurança ou aqueles que foram complacentes com a segurança. Ainda me surpreende a frequência com que ouço falar de pessoas que estão no espaço Web3 há algum tempo, mas ainda deixam todos os seus tokens em uma hot wallet.

Esta não é uma lista abrangente, mas deve dar a você a capacidade de evitar a maioria dos ataques comuns.

O Modelo do Queijo Suíço

Um método útil para entender a segurança é o Modelo do Queijo Suíço. Imagine que sua chave está no final de um tubo. Neste tubo há uma série de camadas de segurança que lembram queijo suíço. Todas as camadas têm buracos, mas o que é preciso para ter sua chave roubada para que esses buracos se alinhem. Quanto mais camadas você tiver e quanto menores forem os orifícios, mais segura será sua chave.

A falha de uma camada não significa que você está comprometido se suas outras camadas estiverem lá. Por exemplo, se sua senha MetaMask foi comprometida, mas você está usando corretamente uma hardware wallet, sua chave e criptos ainda estão seguras.

Educação

A primeira e mais importante camada de segurança é a sua educação. Considero isso o mais importante porque aprimora todas as outras camadas de segurança e às vezes é a única que realmente importa.

Em geral, os golpistas (scammers) visam os novos e incultos. Assim como os golpistas por telefone ou e-mail, eles não querem gastar muito tempo e esforço em um esquema complexo.

Algo que muitas vezes vemos em criptomoedas são pessoas que se recusam a ler. Outro dia escrevi um guia para a migração do Olympus V2. No Twitter, onde compartilhei o link, pessoas me fizeram as perguntas exatas que respondi no artigo que claramente não se deram ao trabalho de ler o artigo. Com certeza, golpistas fingindo ser suporte estavam enviando mensagens para eles. Se você está desinformado ou, pior ainda, preguiçoso, está colocando um grande alvo nas costas.

Qualquer pessoa que considere mergulhar em criptomoedas deve fazer sua devida diligência e reservar um tempo para aprender sobre segurança adequada. Tome seu tempo, faça perguntas de pessoas experientes, mas acima de tudo tome a iniciativa e faça sua própria pesquisa.

OpSec

Segurança Operacional (OpSec) é guardar ou compartimentar informações. Essencialmente, quanto menos um golpista puder descobrir sobre você, mais seguro você estará.

  1. Use uma VPN. Esta é a segurança básica para evitar que as pessoas bisbilhotem seu endereço IP. Isso não fará muito por si só, mas pode fornecer uma boa base.
  2. Tenha um e-mail apenas para criptografia que não tenha informações pessoais como seu nome anexado a ele. Quanto mais antigo e usado for o seu e-mail, maior a probabilidade de ele vazar. Se um golpista souber que seu e-mail é usado para criptografia, você poderá ser alvo de phishing ou outros ataques.
  3. Nunca compartilhe seu endereço de carteira com o público. Isso também coloca um alvo nas suas costas, agora um golpista pode ver quanto você tem e se vale a pena mirar. Eles podem conectar um endereço ao seu Discord, Twitter, e-mail, etc.
  4. Não conte às pessoas sobre suas criptomoedas ou quanto você investiu. Muitas vezes vejo pessoas se gabando de suas participações. Isso representa duas ameaças, uma é a mesma acima. A blockchain é pública, se você for ao Discord da Olympus e disser: “Acabei de apostar US $ 20.000 em OHM”. Bem, agora o golpista vai e olha o contrato e tem sua carteira. O outro perigo é o ataque de chave inglesa de US$ 5. Se você tem US$ 100.000 em criptomoedas e alguém descobre onde você mora, você está se colocando em perigo.
  5. Usando um pseudônimo. Esta é uma razão pela qual muitos em criptos usam pseudônimos, você nunca sabe quais informações sobre você estão disponíveis para um golpista.
  6. Use senhas fortes. Um gerenciador de senhas é útil aqui. Use o gerenciador para gerar senhas fortes e nunca use a mesma. Minhas senhas sempre têm pelo menos 12 caracteres, totalmente aleatórias, maiúsculas e minúsculas, caracteres especiais e números. Você pode usar o gerenciador de senhas para armazenar senhas menos críticas, mas as senhas para carteiras e trocas não devem estar em seu gerenciador de senhas. Apenas papel!

Uma razão terciária para ter um bom OpSec é que o mau OpSec revela o seu nível de educação. Pessoas experientes em Web3 não estão dizendo a todos quanto investem e quando; eles não estão compartilhando seus endereços no Discord. Se você fizer isso, todos sabemos que você é novo, especialmente o golpista.

Manipulação de Chaves

A regra número um em criptos é nunca dar suas chaves a ninguém. Sempre. Independentemente disso, isso acontece o tempo todo. Muitas vezes isso é pura ignorância do usuário, às vezes é mais complexo. Aqui estão alguns princípios básicos, alguns devem ser conhecidos, mas vale a pena repetir porque ainda estão quebrados:

  1. Nunca digite sua frase-chave em seu computador. Existem raras exceções, como recuperar sua carteira. Se você precisar fazer isso, certifique-se de ter baixado uma carteira autêntica. Se um dApp ou site solicitar uma frase inicial, é uma farsa. Se você precisar recuperar uma hot MetaMask , poderá usar um teclado na tela para uma camada adicional de segurança; isso pelo menos o protegeria de um keylogger.
  2. Nunca salve sua seed em seu telefone ou computador. Você só deve escrever sua seed no papel. Malwares como keyloggers e screenloggers podem comprometer sua chave. Além disso, o malware pode sequestrar sua área de transferência e ver o que você copia e cola. Não é preciso dizer que isso significa que você nunca deve salvar suas chaves em um gerenciador de senhas.
  3. Nunca dê a sua chave a ninguém. Isso é algo que parece óbvio, mas, novamente, acontece o tempo todo. Normalmente, a maneira como isso acontece é que um golpista fingirá ser um suporte ou outra pessoa confiável, talvez uma conta falsa de um Mod no Discord. Eles então lhe dirão que precisam de sua frase para consertar sua carteira ou truque semelhante para que você divulgue sua chave de carteira.

Hardware Wallets (Carteira de Hardware)

Isso pode estar relacionado ao manuseio adequado das chaves, mas merece sua própria seção. Qualquer pessoa em DeFi deve ter um desses. É absolutamente uma das suas melhores camadas de segurança.

Há um mal-entendido geral sobre o que é uma hardware wallet (carteira de hardware) e como ela funciona. Uma hardware wallet, como Trezor ou Ledger, não guarda seus tokens, ela guarda sua chave. Quando você deseja fazer uma transação, a hardware wallet simplesmente exporta sua chave para permitir a transação. Isso tem alguns benefícios, um deles é a imunidade a keyloggers ou malware semelhante. Isso também exige que as transações sejam autorizadas no dispositivo físico.

Você nunca deve digitar sua chave de hardware wallet. Se você precisar recuperar sua carteira, isso deve ser feito com os botões físicos da sua hardware wallet. Se você for solicitado a fornecer sua chave de hardware wallet em um site ou dApp, é uma farsa.

Smart-Contract Wallets (Carteiras de Contrato Inteligente)

Carteiras de contrato inteligente, como a Argent, são carteiras que armazenam seus criptoativos em um contrato inteligente, o que permite muito mais funcionalidade e segurança. Com o Argent, você pode configurar “Guardiões” para recuperação de carteira sem usar uma frase inicial. Os guardiões agem como um multi-sig e são third-parties (terceiros) confiáveis, como amigos e familiares, ou uma carteira secundária. Os guardiões podem recuperar a carteira ou aprovar um novo dispositivo; aprova transferências acima do seu limite diário e permita transferências para carteiras não confiáveis.

O Argent possui vários outros recursos, como a capacidade de definir limites de retirada, congelar sua carteira ou endereços de lista branca.

Vetores de Ataque Comuns

Um dos ataques mais comuns são os golpistas de Direct Message (Mensagens Diretas). Se você gastou mais de 15 minutos no discord, provavelmente já viu um aviso de que mods ou admins nunca te mandarão DM primeiro, é por isso. Qualquer mensagem não solicitada deve ser recebida com cautela. Existem vários tipos de golpes de DM.

  1. Suporte falso: esses caras enviam mensagens para você fingindo querer ajudá-lo com seu problema técnico, mas realmente o enganarão para dar a eles sua chave. Às vezes, eles dirão para você enviá-lo a eles ou fazer com que você compartilhe sua tela onde eles tentam convencê-lo a revelar sua seed em sua carteira.
  • Como evitar: 99% das vezes isso deve ser relatado instantaneamente. Se você precisar contatar um mod, você pode identificá-los verificando suas funções de servidor no Discord. Às vezes, eles ficam espertos e fazem sua biografia parecer funções de servidor. Tome cuidado!
  1. Golpes de Doação: Você recebe uma mensagem dizendo que ganhou uma grande soma de criptomoedas. Se você seguir o link, você será direcionado a um site aparentemente legítimo. Muitas vezes, o site exato será copiado e colocado em um domínio semelhante ao real. Quando você vai reivindicar sua oferta, você é informado de que precisa fazer um depósito para fins de segurança. Se você fizer esse depósito, nunca o receberá de volta e definitivamente não receberá criptomoedas grátis.
  • Como evitar: Isso nunca será legítimo. Só não seja ganancioso e experimente.
  1. Sites falsos: Este tem sido um problema persistente com a Olympus. Os golpistas enviarão links de mensagens para um “aplicativo oficial” falso e informarão aos usuários que eles precisam usar o novo aplicativo. Muitas vezes, eles solicitarão que você sincronize sua carteira inserindo sua chave no ponto em que você está comprometido. Além disso, os golpistas criarão um site falso e pagarão por um anúncio. Às vezes, um site falso será o resultado número um no Google porque eles compraram um anúncio para aparecer como um dos principais resultados.
  • Nunca clique ou abra links enviados para você. Qualquer ação necessária será anunciada oficialmente pelo protocolo, se você não tiver certeza, pergunte ou verifique os anúncios. Nunca clique em sites que estão nos resultados como anúncios. Eu costumo ir para a página oficial do protocolo no Twitter e usar o link oficial lá. Certifique-se de que é o Twitter real, geralmente você pode saber pela contagem de seguidores e por quem está seguindo.

Tenha em mente que golpes muito semelhantes também acontecem no e-mail. Esta é outra razão para ter um e-mail apenas com criptografia. Sempre conheça o remetente e tenha cuidado com o que você abre. Mesmo os OGs de criptografia são vítimas de alguns dos golpes de phishing mais avançados.

Spyware é outro método de ataque. Isso pode ser inserido no seu computador por meio de links maliciosos que são enviados a você ou que você clica em sites desonestos. Existem alguns tipos:

  1. Keyloggers: Eles salvam suas teclas e permitem que o invasor veja o que você digita. Eles podem facilmente aprender suas senhas ou obter sua chave da carteira se você digitar sua frase inicial.
  • Como evitar: Se puder, compre uma assinatura de um bom programa AV como Kaspersky ou Norton. Muitos deles também possuem VPNs, geradores e gerenciadores de senhas incluídos. Se você estiver com orçamento limitado, o Malware bytes é uma boa alternativa gratuita. Use também sua carteira de hardware! Um golpista não pode roubar sua frase se você nunca a digitar.
  1. Screenloggers: permitem que um invasor veja sua tela. Isso pode permitir que você seja comprometido sem digitar sua semente. Até mesmo ver sua semente pode comprometê-lo. Um screenlogger pode comprometer uma nova carteira, permitindo que o invasor veja sua frase inicial na criação. Então eles apenas esperam que a carteira receba os fundos e os leve.
  • Como evitar: O mesmo que um keylogger
  1. Sequestro da Área de Transferência: semelhante a um keylogger, isso permite que um invasor veja o que você copia na área de transferência. Se você estiver copiando e colando senhas, o invasor poderá roubá-las.
  • Como evitar: O mesmo que keylogger/screenlogger. Além disso, esse é um dos principais motivos pelos quais você não deve salvar suas senhas críticas em um gerenciador de senhas. Como a maioria das pessoas copia e cola do gerenciador, o invasor pode roubar senhas do seu gerenciador sem realmente hackear seu gerenciador de senhas.

Um último ataque é o airdrop (depósito) falso, este pode ser o mais perigoso. Não é tão conhecido como os outros e pode ignorar todas as suas medidas de segurança. Aqui está como este vai:

Você olha em sua carteira e vê uma grande quantidade de novos tokens em sua carteira, talvez dezenas de milhares de dólares. Você acha que recebeu um grande airdrop, fica animado e vai trocar os tokens por uma stablecoin.

O token falso na verdade permite que o invasor ignore toda a sua segurança sem sua frase inicial e drene sua carteira.

“Rekt”

  • Como evitar: Nunca aprove ou interaja com tokens desconhecidos ou NFTs de forma alguma. Os invasores usarão grandes quantias para fazer você pensar que acabou de receber dinheiro que muda a vida. Na maioria das vezes você estará ciente de seus airdrops. Se não, faça algumas pesquisas no token para ter certeza de que é legítimo.

Considerações Finais

Não coloque todos os ovos na mesma cesta. É bom ter várias carteiras e contas onde você diversificou suas participações. Não é uma má ideia ter várias carteiras de hardware, uma para uso mais geral e outra para armazenamento de longo prazo que está trancada em algum lugar seguro.

Sempre use carteiras de hardware e carteiras de contrato inteligente. Para MetaMask e outras carteiras de navegador sempre use-as através da Trezor ou outra carteira de hardware.

Faça sua própria pesquisa e eduque-se. Não seja aquele que acha que não vai acontecer com eles.

Espero que isso ajude amigos.

Saúde!

Siga-nos no Twitter: @OlympusDAO

Torne-se um Ohmie no Discord

Junte-se à discussão no Forum

Siga-nos no Reddit

e visite a Sherpa Library para saber tudo sobre o OlympusDAO.

Originallmente publicado: https://medium.com em 17 de Dezembro, 2021.

Security
Crypto
Opsec
Hardware Wallet
Education

--

--

Drago
OlympusDAO Portuguese

Written by Drago

1 Follower
Editor for

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams