Как не потерять криптовалюту с личного кошелька

Практически каждый пользователь криптовалют хотя бы раз пользовался некастодиальным кошельком, таким как Metamask, Trust Wallet, Trezor или Ledger. Это программное обеспечение, позволяющее иметь полный контроль над криптоактивами, в отличие от кастодиальных (биржевых) кошельков.

Как показывает практика, пользователи теряют большие объемы активов не по своей вине, храня их именно на биржах.

Вам также может понравиться

Это иллюстрирует недавний крах FTX, приостановка выводов средств с биржи и последующий взлом горячих кошельков. Только через два месяца после этого компания начала решать вопрос с утерянными средствами пользователей. На данный момент нашли лишь $5 млрд из $8 млрд, которые биржа должна вернуть.

Однако факт использования некастодиального кошелька не гарантирует полную безопасность хранящихся на нем средств. Зачастую люди совершают ошибки из-за невнимательности или по незнанию.

В этой статье мы разберем пять способов лишиться цифровых активов при использовании некастодиальных кошельков.

Предоставление разрешения на трату средств на непроверенном сайте

Предоставив разрешение на трату средств всего раз, вы можете лишиться их в будущем.

Если вы хотите обменять свои USDT на децентрализованной бирже, такой как 1inch, первым делом нужно предоставить сайту разрешение на трату токенов.

Эта транзакция называется approve. Вы даете третьему лицу разрешение на управление какой-либо частью токенов. Только во второй транзакции, уже после approve, вы можете совершить обмен. При последующих операциях делать approve не понадобится, так как разрешение на неограниченный доступ к токенам уже дано.

 

 

В случае с 1inch не стоит беспокоиться о предоставлении неограниченного доступа к токенам, ведь компания дорожит своей репутацией и существует достаточно давно.

Однако стоит вспомнить, где еще вы могли расплачиваться ERC-20 токенами (такими, как USDT, USDC, DAI и т.д.), и как можно отозвать все разрешения.

Потенциальные злоумышленники могли распродавать свои NFT-коллекции, запрашивая неограниченный доступ к активам. Затем мошенникам оставалось ждать подходящего момента для обналичивания ваших средств.

Для предотвращения таких ситуаций существует сервис revoke.cash (подробнее в статье «Что такое approve и как его отменить«). Там можно проверить, у какого адреса есть возможность потратить ваши токены. Чтобы отозвать разрешение, необходимо напротив суммы (или слова «Unlimited») нажать на карандаш и вписать значение «0». Эта операция требует оплаты комиссии. В сети Ethereum это может обойтись в круглую сумму. Поэтому лучше проделывать такое только с ненадежными адресами.

Чтобы избежать необходимости ограничивать адреса в тратах и избегать любые непроверенные сайты, можно использовать два кошелька:

  • один для работы с платформами и сайтами;
  • второй для хранения средств.

Так вы не будете разрешать никаким третьим лицам использовать ваши активы. Когда нужно обменять криптовалюту, вы отправляете токены на первый адрес со второго, совершаете обмен через первый и выводите обратно на второй. Комиссии будут больше, так как придется делать две дополнительные транзакции, но при использовании дешевых сетей, вы повысите свою безопасность за небольшую плату.

Подпись на непроверенном сайте

Для потери средств не обязательно отправлять транзакцию, достаточно лишь одобрить запрос на подпись.

Approve дает разрешение распоряжаться балансом какого-либо токена из вашего кошелька, а подпись используется для оффчейн операций, например для подтверждения владения адресом.

Сейчас некоторые кошельки научились определять опасные подписи и выводить текст с предупреждением, в остальных случаях подпись безопасна. К одному из таких кошельков относится Metamask.

Поэтому просто избегайте взаимодействий с непроверенными сайтами в случаях, когда кошелек оповещает вас таким сообщением.

Покупка неизвестного токена

Некоторые люди любят покупать какие-либо монеты на инфоповодах, чаще всего это мем-коины.

Например, недавно произошел хайп вокруг $BONK — собачья монета от Solana. У таких активов нет никакого практического назначения, оно исключительно спекулятивное.

Если вы думали, что можно безопасно купить малоизвестную монету и через час ее продать — вы глубоко ошибаетесь. Далеко не все ERC-20 токены одинаковы, они лишь имеют общий шаблон. Некоторые из них смоделированы так, чтобы вы могли только покупать их.

Например, набравший популярность за счет сериала Squid Game токен $SQUID был одним из так называемых «Honeypot». Смарт-контракт разработан таким образом, что только доверенные адреса могли управлять ликвидностью и извлекать из нее имеющие ценность токены USDT и wBNB (обернутый BNB). Благодаря этому цена $SQUID только росла, а люди думали, что смогут быстро заработать на перепродаже. И это длилось до тех пор, пока создатели скам-токена не извлекли всю ликвидность.

Чтобы проверить ERC-20 токен на возможность свободно им торговать, можно использовать бесплатный сервис Honeypot.is.

Обратите внимание, что разработчики скам-монет могут в любое время отключать и включать функцию продажи, если эта возможность предусмотрена в контракте.

Подобные сервисы показывают лишь возможность продавать монету в текущий момент времени. Именно поэтому следует воздерживаться от спекуляций с малоизвестными токенами.

Утечка приватного ключа или seed-фразы

Иногда мошенникам под различными предлогами удается убеждать людей в том, что можно безопасно передавать seed-фразу или приватный ключ.

Давайте еще раз вспомним, что это такое:

  • Seed phrase — это фраза из 12, 18 или 24 слов. Обычно люди хранят ее в текстовом документе на компьютере, однако лучше хранить важные данные на съемных носителях, либо на бумаге.
  • Закрытый ключ — это секретный ключ для шифрования/дешифрования сообщений, проходящих через ваш некастодиальный кошелек. На программном уровне для доступа к аккаунту используется именно он, а фраза из 12 слов является лишь интерпретацией этого ключа.

Пароль от кошелька также является одним из способов получения доступа к активам. Злоумышленник может достать закрытый ключ, имея доступ к вашему устройству и паролю.

Чтобы не потерять свои активы, старайтесь хранить информацию о паролях и ключах в надежном месте.

Запуск зараженных файлов

Заражение компьютера ведет к возможной потере активов на некастодиальном кошельке. Это может быть сделано следующим образом:

Вы скачиваете зараженный файл. Это чаще всего .exe или .lnk файлы. Антивирус может не отреагировать, ведь сейчас опытные хакеры используют криптование для устранения возможности обнаружения.

Злоумышленник извлекает Vault Data от Metamask из вашего браузера. Это зашифрованная seed-фраза и для ее дешифрования необходимо использовать пароль от Metamask.

Подробнее читайте в статье «Как защитить кошелек Метамаск от взлома»

Далее хакер удаленно использует дешифратор для извлеченных данных. На данном этапе получение доступа к вашему аккаунту — дело времени.

Для подбора пароля используют вычислительные мощности в виде высокопроизводительных видеокарт, процесс взлома может занять как 10 минут, так и несколько дней. Все зависит от того, насколько сложный пароль вы задали.

Чтобы обезопасить себя от возможной потери средств, обязательно пользуйтесь антивирусом и не скачивайте подозрительные файлы. В случае обнаружения факта заражения нужно оперативно перевести средства на новый кошелек.

Источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *