Гайд по безопасности в криптовалюте от Whitelist
Мы бы хотели поговорить c вами о безопасности ваших средств, рассказать базовые правила их хранения, а также предупредить о возможных методах “скама” в криптопространстве.
Наш канал был основан для освещения информации о актуальных вайтлистах, с этого и начнем.
Заполнение Whitelist и Airdrop
Личные сообщения
Когда вы заполняете формы для попадания в Whitelist, или даже просто следите за проектом, вы вступаете в официальные группы Telegram и Discord (возможны и другие соц. сети) и тут неожиданно вам приходит личное сообщение, что “вы выиграли” или “вы были выбраны” или незадолго до выхода токена на рынок может прийти сообщение с контрактом токена.
100% это будут мошенники или, как принято их называть в криптосообществе, скамеры. Они мониторят пользователей вступивших в группы и начинают рассылать личные сообщения.
Никогда не переходите по ссылкам из личных сообщений, не отвечайте им и сразу же удаляйте/блокируйте чат , чтобы не потерять свои средства.
Минимизировать появление таких сообщений вы можете через настройки безопасности в приложениях:
- В Telegram мы рекомендуем запретить добавлять вас в группы.
- В Discord есть функция запрета написания личных сообщений.
Не бойтесь закрывать и удалять личные сообщения от неизвестных контактов, ведь администраторы проектов за которыми вы следите никогда вам не напишут первые.
Также в Telegram можно подменять ссылки формата “@ссылка” с помощью форматирования текста, поэтому всегда проверяйте ссылки вручную.
Иногда вы можете получить сообщение о выигрыше или с какой-то другой информацией от проекта на почту.
Первое что вы должны сделать — это проверить отправителя сообщения. В 99% случаев проекты сообщают через свои официальные средства информации, что они разослали письма пользователям и указывают email с которого должно прийти такое письмо.
Также хотели бы вас предостеречь от скачивания каких либо файлов из писем неизвестных отправителей (даже текстовые) — это может повлечь установку вредоносного ПО.
Fishing
Довольно часто встречаются фишинг-сайты.
Это копии сайтов проектов, игр или целых бирж, подключившись к которым, или подписав контракт, вы можете потерять свои средства. “Фишинг” переводится как рыбалка, но только “рыба” это вы. Не будьте “рыбой”.
Выше пример фишинг-копии сайта DAO Maker и оригинального сайта. Копия выполнена очень точно, различие вы можете заметить только лишь обратив внимание на домен.
Вы можете задаться вопросом: а как узнать официальный канал проекта?
- Во первых, публикуя информацию на канале мы всегда прикрепляем ссылки на сайт/канал или другой официальный источник.
- Во вторых, вы так же можете найти необходимые вам ссылки на таких сайтах-агрегаторах как CoinMarketCap или CoinGecko (если проект уже запустился, там есть и адрес контракта токена).
Также частым явлением стал фишинг в Twitter. В конце треда официального аккаунты скамеры оставляют фишинговые сайты под видом продолжения треда. Очень часто люди путаются и попадаются на данные уловки, поэтому будьте внимательны и перепроверяйте профили в Twitter, а также сайты, на которые переходите.
ОТС
Когда вы попали в вайтлист какого-либо проекта (или не попали..), возможно, вы захотите продать свой кошелек или наоборот купить еще один. Для этого все мы используем своеобразные “рынки” — ОТС. Но как и на любом рынке, здесь нас тоже будут ожидать любители наживы. Гарант может быть в сговоре с продавцом или продавец может списать ваши средства с приобретенного кошелька. Существует еще много других ситуаций которые могут возникнуть и принести вам убыток. Мы рекомендуем использовать только проверенные ОТС (например, наш OTC Whitelist), всегда обращаться к гарантам и проверять совпадает ли гарант указанный в ОТС с тем человеком, с которым вы общаетесь.
Если попробовать объединить в одно предложение все, что мы сказали выше в этом разделе — проверяйте источники информации очень тщательно. Это поможет сохранить вам свои средства.
Хранение средств и взаимодействие с кошельками
Seed фраза
Мы все знаем, что при создании кошелька мы получаем сид-фразу, которая нам обеспечивает доступ к кошельку на любом устройстве. Но правильно ли мы с ней обращаемся?
Можем предположить, что у большинства из вас сид-фраза хранится в заметках на телефоне или компьютере. Так делать не стоит, ведь атакам могут подвергаться и ваши телефоны. И мы говорим не только о взломе.
Телефон или ноутбук банально могут украсть, а если внутри будет информация о вашем крипто-кошельке, то потеря может сильно превышать стоимость самого устройства.
По нашему мнению, наиболее правильным способом хранения сид-фразы, даже не смотря на цифровую эпоху, будет лист бумаги, который вы оставите в сейфе или другом укромном месте. Можно конечно и выучить ее, но мы бы не рекомендовали настолько быть уверенными в своей памяти.
В этом же разделе посоветуем вам не хранить основные токены сети на других блокчейнах. Например, ETH в сети Polygon или BTC в сети Ethereum. Храните токены в основных их блокчейнах.
Холодные кошельки
Дополнительной защитой от взлома и кражи средств с вашего кошелька может быть использование так называемых “холодных” кошельков, которые не подключены к сети и находятся офлайн, пока не понадобятся вам. Они идеальны для хранения ваших токенов. В случае необходимости вы всегда можете подключить кошелек и провести необходимые вам транзакции, а все остальное время токены будут находиться в безопасности.
Мы бы рекомендовали выбирать между Tangem, Ledger и Trezor.
Покупайте холодные кошельки только на официальных сайтах производителя. Маркетплейсы, сетевые магазины (даже крупные), площадки объявлений и тем более б/у устройства могут представлять опасность для ваших средств.
Биржи
Упомянем, что не стоит хранить значительные суммы своих средств на централизованных биржах. В любой момент биржа может быть подвержена взлому, каким-либо сбоям или биржа может наложить на ваш аккаунт ограничения, тем самым заблокировав ваши средства.
Храните на биржах только необходимый минимум для торговли/обмена и используйте только благонадежные и крупные биржи.
Основные биржи: Binance, Huobi, OKEX, Gate, MXC, Bitmax, Kucoin, ByBit.
Stablecoins
Все мы используем стейблкоины, до того момента пока не решим инвестировать куда-либо. Основной наш совет — не храните все средства в одном виде стейблкоина.
Разделяйте сумму среди нескольких стейблов, тем самым диверсифицируя риски (пусть риски и минимальные, но все мы помним UST).
Есть несколько основных и крупных игроков.
- USDT (Tether) — самый крупный и распространенный стейблкоин на рынке. Управляется централизованно и по словам компании-владельца имеет 100% обеспечение.
- USDC — #2 стейбл по рыночной капитализации. Создан компанией CENTRE.
- BUSD — централированный стейблкоин от крипто-биржи Binance. Владеет компания Paxos.
Все 3 стейблкоина выше являются самыми крупными по дневному объему торгов, являются централизованными и по словам компаний-создателей имеют обеспечение к доллару США 1к1. Наибольший риск централизации стейблкоинов — возможность заблокировать средства на каком-либо кошельке компанией-владельцем, но для рядового пользователя такой сценарий маловероятен.
- DAI — единственный децентрализованный стейбл в нашей подборке, обеспечен через Ethereum (овер-обеспечение). Исключен риск блокировки средств, но по мнению некоторых аналитиков, децентрализованные стейблкоины более подвержены отвязки от доллара.
Неожиданный Airdrop
Иногда вы можете обнаружить у себя на кошельке неизвестные токены на крупные суммы. Казалось бы вот оно счастье, но нет, тут тоже может быть подвох и в 99% он там есть.
Пытаясь продать эти токены вы даете разрешение контракту взаимодействовать с вашими средствами на кошельке. А такое взаимодействие обычно отрицательно влияет на баланс вашего кошелька. :(
Очень часто в названии таких токенов есть сайт (домен чаще всего .io), где вам будет предложено их продать. Никогда не взаимодействуйте с этими сайтами (выше мы уже рассказали про фишинг, помните, не будьте “рыбой”).
Если вы все же подключили свой кошелек на неизвестном вам сайте или даже подписали какую то транзакцию, предоставив доступ к вашему кошельку, еще не все потеряно. Можно отменить/проверить выданные разрешения, используя специальные сервисы, например, https://app.unrekt.net/.
Антивирус
Если вы пользуетесь операционной системой Windows, то перед началом работы с криптовалютами нужно обязательно позаботиться о защите своего устройства. Самый лучший вариант — установить надежный антивирус, будь то платная или бесплатная версия и сразу же просканировать свое устройство и носители. Как правило, платные версии защитных программ предлагают больший набор опций. К примеру, одним из самых надежных антивирусов на данный момент является платная версия Kaspersky. Однако выбор за вами.
Компьютерные вирусы и вредоносное ПО представляют серьезную угрозу для всех пользователей. Особенно это касается новичков, только-только познающих мир криптовалют. В этой сфере с каждым днем появляются новые вредоносные программы и способы их внедрения на устройства.
Именно поэтому следует устанавливать продвинутые антивирусы, которые предоставляют не только обычные опции сканирования, но и продвинутую защиту от вредоносных программ.
Для MacOS этот вопрос стоит не так остро, но вы также можете воспользоваться Kaspersky или мультитулом CleanMyMac.
Операционная система
Раз уж мы затронули операционную систему Windows, стоит упомянуть, что при работе с криптовалютами необходимо использовать только официальную версию продукта. Вообще, это касается не только криптовалют, но и любой сферы, для которой нужен компьютер.
Самый главный аргумент за использование официальной версии Windows — это гарантии безопасности. Только при использовании лицензированного продукта вы можете быть спокойными за сохранность своих средств, в то время как пиратские копии могут содержать скрытые вредоносные программы, с помощью которых злоумышленники могут похитить ваши данные и средства. По сути, устанавливая нелегальную версию операционной системы, вы предоставляете ей полный доступ к ресурсам вашего устройства.
Помимо угрозы безопасности, использование пиратской копии Windows может повлечь за собой штрафы или компенсации в соответствии с законодательством вашей страны.
Чистка расширений
При работе с криптовалютами подавляющее большинство пользователей использует браузерные расширения — кошельки, с помощью которых проводятся транзакции и осуществляется взаимодействие с протоколами. Но что насчет других расширений?
Помимо кошельков многие устанавливают различные плагины: переводчики, фоторедакторы и тому подобные. Однако не все задумываются о том, насколько это безопасно. Для того, чтобы расширение функционировало, пользователь выдаёт ему разрешение на получение доступа к содержимому сайта. Мало кто берет в расчет тот факт, что расширения также собирают и анализируют данные пользователей, а некоторые и вовсе являются вредоносными.
Такие расширения могут заменять поисковую систему, показывать навязчивую рекламу, всячески манипулировать cookie-файлами: красть их совместно с данными или наоборот, загружать множество таких файлов, которые помогают мошенникам.
Поэтому всегда необходимо устанавливать расширения только из официальных источников и своевременно удалять ненужные, которые могут быть потенциально опасными. Тем более, нужно незамедлительно удалять те плагины, которые не устанавливали вы или ваши друзья и родственники.
Визуализация транзакций
Очень часто пользователи не глядя отправляют и подписывают те или иные транзакции. Причины могут быть разные: спешка, невнимательность, нежелание вдаваться в лишние детали. Однако такой подход в один момент может сыграть злую шутку, в результате чего средства с кошелька будут похищены или же по ошибке будут переведены не на тот адрес.
Решение данной проблемы до боли простое: нужно каждый раз обращать внимание на то, что требуется подписать в кошельке. Однако это не всегда бывает удобным, к тому же самый популярный кошелек Metamask не предлагает удобный интерфейс для просмотра такого рода транзакций.
В этом может помочь расширение Fire, которое наглядно показывает входящие и исходящие транзакции, подписываемые пользователем. Всё, что нужно сделать — установить расширение, после чего оно будет отображать все всплывающие транзакции в вашем кошельке.
Такая же функция реализована в кошельке Rabby: перед каждой транзакцией вы сможете наглядно посмотреть к чему она приведет.
Отключение кошелька и нулевые транзакции
При взаимодействии с DeFi протоколами пользователям то и дело нужно подписывать разрешения на использование токенов. Это делается для того, чтобы можно было произвести обмен или другую операцию с помощью смарт-контракта.
Однако в DeFi секторе нередки случаи взлома тех или иных протоколов. Вследствие этого может случиться так, что вы можете потерять свои средства, если разрешение на использование токенов осталось активным при взломе.
Для того, чтобы отозвать ранее выданное разрешение, нужно использовать сервис Revoke.cash. При переходе на сайт вы сразу увидите список выданных разрешений и сможете отозвать любое при надобности.
Помимо Revoke.cash можно использовать сервис Cointool, который зачастую видит больше разрешений, чем вышеописанный сайт. Чтобы проверить все разрешения на cointool, необходимо перейти на сайт и выбрать пункт Approval Checker, после чего выбрать нужную сеть и вставить свой адрес.
Лучше всего регулярно раз в 1–2 месяца проводить отзыв различных разрешений и апрувов.
Еще одним видом мошенничества являются нулевые исходящие транзакции. К примеру, после отправки токенов с вашего кошелька в сканере сразу же появляется ещё одна исходящая транзакция с похожего кошелька.
Расчет идет на то, что жертва захочет перевести средства назад, но скопирует уже поддельный адрес.
Для того, чтобы не стать жертвой таких злоумышленников, нужно всегда проверять куда вы отправляете свои средства. Кстати, для этого отлично подходит кошелек Rabby или расширение Fire.
Проверка функционала сайта
Как уже упоминалось выше, довольно часто можно встретить фишинговые сайты. Однако мошенники не стоят на месте и с каждым днем изобретают все новые способы хищения средств. Одним из таких стал скам известного сайта Galxe, в результате чего мошенник похитил $270 тыс.
Коротко говоря, злоумышленник подменил домен Galxe и создал сайт-заглушку, переходя на который пользователи лишались средств. В данном случае это был необычный фишинг, распознать который было бы очень трудно.
Однако все же можно понять: мошеннический сайт или нет. Для начала нужно убедиться, что в официальных источниках нет информации о взломе или сбое в работе ресурса. Далее необходимо проверить кликабельность всех ссылок и разделов на сайте. Как правило, мошенники не заморачиваются насчет второстепенных ссылок и разделов. Если некоторые из них не работают или работают некорректно, а официальных заявлений от проекта не было, то следует воздержаться от подключения кошелька и отправки транзакций.
Заключение
Мы уверены, что есть еще много способов как вас будут пытаться обмануть и стараться получить ваши средства, всего не учесть и не перечислить. Но следуя нашим советам вы сможете максимально себя обезопасить и научиться той самой бдительности.
Если вы встречали еще какие-то способы обмана или скама в криптопространстве, то поделитесь своими историями в нашем чате.
