Защитите свои криптокошельки с помощью InfoSec — трехуровневой системы кошельков и криптогигиены
19 апреля 2022 г.Использование концепций кибербезопасности для защиты вашего криптоактива
«Крипто-ограбления» во всех новостях. В марте Arthur_0x, основатель DeFiance Capital, имел в своем кошельке много NFT и криптовалют, которые можно было украсть путем ошибочного попадания в фишинговые документы.
Через месяц владелец Bored Ape потерял мошеннику NFT на сумму 567 000 долларов после того, как они были обмануты в обмене ценных предметов на бесполезные PNG в рамках поддельной транзакции обмена. Они были последними в серии громких кибер-грабежей, которые произошли в секторе цифровых активов за последние годы. Таким образом, защита ваших кошельков имеет важное значение для защиты ваших цифровых активов от кибератак.
Давайте объединим их, используя знания о кибербезопасности, чтобы укрепить вашу криптобезопасность! 🦾
Крипто-кошелек и открытый и закрытый ключ 🔐 Пары
Криптокошельки — это, по сути, прикладное программное обеспечение, предназначенное для хранения и восстановления криптоактивов. По сути, криптокошелек выступает в качестве машиночитаемого доказательства права собственности на ваши криптоактивы. Криптовалюты никогда не хранятся в определенном месте и не имеют физической формы. Все, что мы можем найти, — это записи транзакций, задокументированные в блокчейне.
Публичные и закрытые ключи выступают в качестве основы криптокошельков:
- 🔑 Публичный ключ — это прежде всего адрес вашего кошелька. Вы можете поделиться открытым ключом, чтобы другие могли совершать платежи на ваш кошелек. Открытый ключ также может позволить другим снимать средства с вашего счета при авторизации. Адрес кошелька на самом деле больше похож на сжатую или хешированную версию открытого ключа. Затем люди могли просматривать открытые ключи в виде адреса кошелька.
- 🗝 Закрытый ключ в криптокошельке совпадает с паролем для вашей учетной записи онлайн-банкинга или PIN-кодом для вашей карты в банкомате. Закрытые ключи обеспечивают доступ к принадлежащим криптовалютам. Более того, этот закрытый ключ является вашей цифровой идентификацией на рынке криптовалют, и любой, кто получит его, может совершить мошеннические транзакции или украсть ваши криптовалюты.
Два типа кошельков - горячий и холодный
Использование горячего и холодного для описания кошелька похоже на то, что мы называем горячим сайтом и «холодным сайтом» с безопасностью. Короче говоря, «Горячий» означает онлайн; «Холодный» означает офлайн.
- 🥵 Горячий кошелек - Наиболее распространенным типом является «Горячий кошелек», который подключается к Интернету. Из-за лучшей доступности он также сопряжен с большим риском атак и мошенничества. Поскольку для торговли и расходования криптовалют требуется частый доступ к блокчейну, использование горячего кошелька было бы удобно.
🥶 Холодный кошелек - Кошельки хранят крипто-токены в автономном режиме. Поэтому они служат хранилищами, которые вы можете использовать для транзакций. Интересно, что некоторые холодные кошельки (или теплые кошельки) подключаются к Интернету, сохраняя при этом свои основные рабочие функции.
1. Многоуровневая система кошельков
Холодный кошелек — отличный выбор для хранения приватного ключа, но этого недостаточно. Хотя большинство людей используют холодный кошелек в качестве основного кошелька, он не так удобен, как горячий кошелек. Кроме того, помещение всех ваших активов в один кошелек создает единую точку отказа. Если кто-то получает доступ к закрытому ключу, он владеет вами.
В сфере кибербезопасности у нас есть глубокоэшелонированная защита (DiD). Если мы применим та же концепция для криптомира, первое, что нужно сделать, это сделать «сегменты» среди их своевременности и риска. В результате я представлю трехуровневую систему кошелька:
- Уровень 1: Горячие кошельки (например, MetaMask, Brave Wallet)
- Уровень 2: теплые аппаратные кошельки (опционально для коллекционеров)
- Уровень 3: Холодный аппаратный кошелек (хранилище)
Уровень 1: Горячий кошелек MetaMask 🦊
Хотя я говорю MetaMask, вы можете иметь свой собственный программный кошелек. Единственное правило заключается в том, что с его помощью вы можете выполнять большинство своих онлайн-действий. Если вы ведете деятельность в нескольких цепочках, вы можете владеть несколькими горячими кошельками в качестве кошельков первого уровня. Но помните, это кошелек для всех ваших повседневных действий, включая взаимодействие с веб-сайтами: покупку, продажу и чеканку.
Несмотря на все действия, следите за тем, чтобы общая стоимость (USD, NFT) в MetaMask никогда не превышала того, что вы можете себе позволить. Не забывайте перемещать доллары США (или другие стабильные монеты) и NFT, когда у вас есть время. Это кошелек, который предполагает, что вы можете потерять все.
Уровень 3: аппаратный кошелек (хранилище)
Как хранилище в доме для хранения всех ценностей, кошелек третьего уровня — это цифровое хранилище, в котором ваш закрытый ключ хранится в автономном режиме. В кошельке первого уровня вы можете позволить себе потерять все, а в сейфе вы храните все свои криптоактивы.
Привяжите к первому уровню, а в кошельке третьего уровня пользователи:
- держите стабильные монеты или доллары США,
- держите дорогие NFT и
- ничего не делать, кроме как получать/отправлять активы из доверенных кошельков (т. е. ваших горячих кошельков)
Для более высокого уровня безопасности рекомендуется не использовать кошелек третьего уровня для взаимодействия с общедоступными адресами. Вместо этого идеальным выбором будет аппаратный кошелек Ledger. Вы можете считать двухуровневую систему кошелька достаточной для начинающих, если у вас нет ценных криптоактивов.
Уровень 2: аппаратные кошельки между горячим и холодным
Некоторые проекты/веб-сайты требуют, чтобы пользователи хранили определенные NFT для чеканки, ожидая моментальных снимков. Например, если вы являетесь сборщиком NFT, вы не хотите хранить дорогостоящие NFT в горячем кошельке первого уровня, но также не хотите подключать кошелек хранилища третьего уровня к адресу , поэтому это кошелек второго уровня.
Теплый кошелек — это временное хранилище с ограниченным подключением к онлайн-платформе. Эмпирическое правило ограничивает доступ только к доверенным веб-сайтам/проектам, а NFT по-прежнему передаются в кошелек хранилища, когда он бездействует.
Кто-то может возразить, что трехуровневая система кошелька не может защитить вас от подписания злонамеренной авторизации контракта. Я согласен, но цель холодного кошелька — защитить вас от вредоносного ПО, работающего на ваших устройствах, будь то ноутбук или мобильный телефон. 2.
2. Взаимодействие с контрактами требует осторожности ✍️
Помимо трехуровневой системы кошелька, следующее, на что вам нужно обратить внимание, — это смарт-контракт. При использовании кошельков первого и второго уровня он будет взаимодействовать со смарт-контрактом проекта, и должна быть подписана авторизация, чтобы платформа могла управлять токенами от своего имени.
Например, когда OpenSea делает ставку на WETH, подписанный контракт разрешает платформе передавать токены. OpenSea заслуживает доверия, но инвесторы не должны изначально доверять всем другим сайтам; или, что еще лучше, по умолчанию не доверять всем новым платформам.
Мошенники, мошенники и хакеры прекрасно это знают. Казалось бы, обычный контракт может дать хакерам право перемещать все криптоактивы. Наиболее распространенными методами атаки являются вредоносные ссылки, распространяемые в фишинге, личных сообщениях и электронных письмах.
Фишинговые атаки, связанные с криптографией 🎣
Самая большая угроза «крипто-взлома» — это фишинг. По данным Federal Trade Commission (FTC) Consumer Sentinel, с октября 2020 года по 31 марта 2021 года мошенничество, связанное с криптовалютами, резко возросло: около 7000 человек сообщили об убытках на сумму более 80 миллионов долларов.
Для большинства из нас, если у вас есть крипто-кошелек, я уверен, что вы видите по крайней мере одно фишинговое электронное письмо / сообщение о блокировке вашего кошелька, подобное приведенному ниже:
Нулевое доверие — не доверяй и проверяй
Как и в случае с кибербезопасностью, сокращение поверхности атаки — это непрерывный процесс; мы также можем принять концепцию нулевого доверия для взаимодействия со всеми криптоактивами в эпоху криптографии.
Мошенники часто применяют тактику сильного давления, чтобы заставить вас быстро инвестировать свои активы. Например, обещая бонусы или скидки, если вы участвуете в ограниченном временном окне. Не торопитесь и проведите собственное исследование, прежде чем торговать какими-либо NFT или обменивать свои активы.
Более того, криптомошенники часто используют социальные сети для продвижения своих мошеннических схем. Например, они могут использовать несанкционированные изображения знаменитостей или высокопоставленных деловых людей (например, Илона Маска), чтобы имитировать ощущение легитимности или обещать подарки или бесплатные токены. Поэтому, пожалуйста, сохраняйте недоверие, когда видите возможности криптовалюты, продвигаемые в социальных сетях, и проявляйте должную осмотрительность.
3. Советы по безопасности для рынка криптовалют - "Криптогигиена" 🪥
У нас есть что-то под названием «Кибергигиена» в кибербезопасности, набор лучших практик, которые рекомендуют пользователям вырабатывать привычки для улучшения своей безопасности. Ниже приведены некоторые «криптогигиены», о которых следует помнить.
Не храните мнемонику на своем компьютере
Вместо длинной строки символов начальная фраза кошелька, также известная как мнемоническая фраза, состоит из 12, 18 или 24 слов, на которые кошелек изначально опирается при создании вашего закрытого ключа. Затем пользователь может записать или запомнить эти слова, чтобы быстро импортировать или восстановить кошелек. Напротив, если кто-то получит мнемонику вашего кошелька, он получит полный контроль над вашими криптоактивами в этом кошельке.
Независимо от того, что вы печатаете или фотографируете, вредоносное ПО, скрывающееся на подключенном к Интернету устройстве, ищет кодовые фразы. Так, например, любым способом, если ваш компьютер взломан, вредоносное ПО начнет искать мнемоническую фразу на вашем устройстве. Также, пожалуйста, не храните мнемонику аппаратного холодного кошелька на компьютере; в противном случае он только превратит холодный кошелек в горячий кошелек.
Используйте одну мнемоническую фразу для каждого кошелька
Применяя систему кошелька с тремя шинами, если, к сожалению, кошелек второго уровня однажды подпишет злонамеренный контракт, будет украден только кошелек второго уровня. Однако, если у вас есть Ledger, использующий одну и ту же мнемонику для создания кошельков второго и третьего уровня, хакеры могут одновременно получить доступ к кошелькам второго и третьего уровня.
Не подписывайте контракты с неизвестными сайтами, найденными в Discord или других социальных сетях, чтобы избежать ошибок. Если вы должны подписать, используйте кошелек, который не содержит много криптоактивов (т. е. подписывайте контракт только с вашими горячими кошельками).
Не используйте мобильную версию MetaMask
Ваш телефон обычно подключен к множеству случайных общедоступных сетей Wi-Fi, веб-сайтов и файлов; поверхность атаки более обширна, чем ваш ноутбук или настольный компьютер. В результате это приведет к взлому кошелька.
Другая причина заключается в том, что меры безопасности на мобильных устройствах сравнительно менее эффективны, и, следовательно, вредоносное ПО имеет больше шансов на успех при нацеливании на мобильные кошельки.
Но если вы считаете, что мобильный кошелек является обязательным, я бы посоветовал держать стоимость ваших активов в мобильном горячем кошельке как можно меньше и, опять же, предполагая, что вы можете потерять все в горячем кошельке.
Используйте отзыв авторизации (отзыв), если требуется
По своей природе блокчейн все транзакции, включая вредоносные контракты, по-прежнему записываются в блокчейне. В результате пользователь может проверить однажды авторизованное соглашение и отозвать его.
Ниже приведены два сайта, которые могут отозвать авторизацию:
После подключения кошелька к платформе перейдите на вкладки стандартов токенов Ethereum (включая ERC-20, ERC721 и ERC-115), пока не найдете одобрение токена, которое хотите отозвать.
Для каждого токена в вашем кошельке вы сможете увидеть смарт-контракты, которые одобрены для доступа или отправки транзакций от вашего имени. Наконец, здесь вы можете выбрать предполагаемое утверждение, которое хотите отменить.
Избегайте аирдропов, если вы не уверены
Все MintPass, моментальные снимки и аирдропы являются небезопасными методами и могут привести к потере всех ваших инвестиций. Согласно Binance:
Некоторые мошеннические схемы airdrop включают в себя просьбу отправить криптовалюту на неизвестный адрес кошелька, чтобы взамен разблокировать ваши бесплатные токены. Легальные аирдропы никогда не будут запрашивать ваши средства или сид-фразу. Будьте осторожны с электронными письмами или прямыми сообщениями.
Поскольку большинство аирдропов происходят из новых токенов, может быть сложно отличить, законно это или мошенничество. Таким образом, если у вас есть сомнения, избегайте их. Для дополнительной безопасности вы можете рассмотреть возможность создания нового кошелька и нового адреса электронной почты, зарезервированного только для получения аирдропов.
Заключительные слова - DYOR 🧐
Если вы являетесь частым трейдером или коллекционером NFT, владеющим дорогостоящими криптоактивами, некоторые правила, упомянутые в этой статье, должны войти в привычку. Как вы все знаете, все крипто-транзакции в блокчейне прозрачны, а это означает, что каждый может обнаружить ценные кошельки, включая злоумышленников.
Знание различных типов криптокошельков необходимо для инвестирования в криптовалюты. Кроме того, безопасность также является необходимой проблемой для инвестиций в криптовалюту после всех криптовалютных ограблений в последние годы.
У распространенных вариантов криптокошельков, горячих и холодных кошельков есть свои преимущества и недостатки. Поэтому вам нужно найти подходящую комбинацию для работы с криптоактивами. Хотя это казалось бесполезным, я хотел бы закончить свою статью словами:
Проведите собственное исследование, прежде чем принимать какое-либо важное финансовое решение.
Справка:
Инвестор NFT ycxc поделился своими мерами предосторожности для инвесторов, которые хотят повысить уровень своей безопасности.
Известный сборщик NFT 6529 также дал несколько предложений в Твиттере.
Спасибо за чтение. Да пребудет с вами информационная безопасность🖖.
Оригинал