Перейти к основному содержанию

Последнее обновление страницы: 10 октября 2023 г.

Безопасность Ethereum и предотвращение мошенничества

С ростом интереса к криптовалютам важно изучить передовой опыт их использования. Криптовалюта может быть веселой и захватывающей, но есть и серьезные риски. Если вы немного поработаете над собой, то сможете свести риски к минимуму.

Веб-безопасность 101

Используйте надежные пароли

Более 80 % взломов учетных записей происходит из-за ненадежных или украденных паролей(opens in a new tab). Длинная комбинация знаков, цифр и символов лучше всего защищает ваши учетные записи.

Распространенная ошибка, которую совершают люди, заключается в использовании комбинации двух-трех распространенных слов, связанных друг с другом. Подобные пароли ненадежны, потому что они подвержены простой технике взлома, известной как перебор по словарю(opens in a new tab).

Пример ненадежного пароля: CuteFluffyKittens!

Пример надежного пароля: ymv\*azu.EAC8eyp8umf

Еще одна распространенная ошибка — использование паролей, которые можно легко угадать или узнать с помощью социальной инженерии(opens in a new tab). Включение в ваш пароль девичьей фамилии вашей матери, имен ваших детей или домашних животных и дат рождения небезопасно и увеличивает риск взлома вашего пароля.

Создание правильных паролей

  • Создавайте пароли такой максимальной длины, разрешенной вашим генератором паролей или формой, которую вы заполняете
  • Используйте комбинацию прописных и строчных букв, цифр и символов
  • Не используйте в пароле личные данные, такие как фамилии
  • Избегайте популярных слов, приведенных в словарях

Подробнее о создании надежных паролей(opens in a new tab)

Всегда используйте уникальные пароли

Надежный пароль не обеспечивает должной защиты, если он раскрывается при утечке данных. СайтHave I was Pwned(opens in a new tab) позволяет проверить, затронуты ли ваши учетные записи какими-либо утечками, данные о которых имеются в его базе данных. Если да, вам следует немедленно изменить раскрытые пароли. Использование уникальных паролей для каждой учетной записи снижает риск того, что хакеры получат доступ ко всем вашим учетным записям, если один из ваших паролей будет скомпрометирован.

Используйте менеджер паролей

Используя менеджер паролей, вы сможете избавиться от хлопот с созданием надежных и уникальных паролей и их запоминанием! Мы настоятельно рекомендуем использовать один из них, и большинство из них бесплатны!

Запоминание надежных уникальных паролей для каждой учетной записи — не лучшее решение. Менеджер паролей предлагает безопасное зашифрованное хранилище для всех ваших паролей, к которым вы можете получить доступ с помощью одного, но надежного мастер-пароля. Он также предлагает надежные пароли при регистрации в новом сервисе, поэтому вам не нужно будет придумывать их самостоятельно. Многие менеджеры паролей также сообщат вам, если ваши данные будут скомпрометированы, что даст вам возможность изменить пароли до вредоносных атак.

Пример использования менеджера паролей

Попробуйте менеджер паролей:

Используйте двухфакторную аутентификацию

Чтобы доказать, что это действительно вы, существуют различные уникальные доказательства, которые можно использовать для аутентификации. Они известны как факторы, и вот три основных:

  • Что-то, что вы знаете (например, пароль или секретный вопрос)
  • Что-то, чем вы являетесь (например, отпечаток пальца, скан радужной оболочки или лица)
  • Что-то, что у вас есть (ключ безопасности или приложение для аутентификации на вашем телефоне)

Использование двухфакторной аутентификации (2FA) обеспечивает дополнительный фактор безопасности для ваших онлайн-аккаунтов, так что для доступа к аккаунту недостаточно знать только пароль (что-то, что вы знаете). Чаще всего второй фактор представляет собой рандомизированный 6-значный код, известный как одноразовый временный пароль (TOTP), к которому вы можете получить доступ через приложение для аутентификации, такое как Google Authenticator или Authy. Они работают как фактор «что-то, что у вас есть», потому что начальное число, генерирующее временный код, хранится на вашем устройстве.

Примечание: использование двухфакторной аутентификации на основе вашейSIM-карты(opens in a new tab) ненадежно, так как она может быть взломана. Это небезопасно. Для максимальной безопасности используйте приложение вроде Google Authenticator(opens in a new tab) или Authy(opens in a new tab).

Ключи безопасности

Тем, кто хочет продвинуться еще дальше в 2FA, стоит подумать об использовании ключа безопасности. Ключи безопасности — это физические аппаратные устройства аутентификации, которые работают так же, как и приложения для аутентификации. Использование ключа безопасности — наиболее надежный вариант использования 2FA. Многие из этих ключей используют стандарт FIDO Universal 2nd Factor (U2F). Подробнее о FIDO U2F(opens in a new tab).

Видео о 2FA:

Удалите расширения браузера

Расширения браузера, такие как расширения Chrome или дополнения для Firefox, могут расширить функциональность браузера и сделать использование удобнее, но они сопряжены с рисками. По умолчанию большинство расширений браузера запрашивают доступ к «чтению и изменению данных сайта», что позволяет им делать с вашими данными практически все, что угодно. Расширения Chrome всегда автоматически обновляются, поэтому ранее безопасное расширение позже может обновиться, чтобы внести в код вредоносные изменения. Большинство расширений браузера не пытаются украсть ваши данные, но вы должны знать, что они могут это сделать.

Будьте в безопасности:

  • Устанавливайте расширения браузера только из надежных источников
  • Удаляйте неиспользуемые расширения браузера
  • Устанавливайте расширения Chrome локально, чтобы не допускать автоматическое обновление (дополнительно)

Подробнее о рисках, связанных с браузерными расширениями(opens in a new tab)

Крипто-безопасность 101

Повысьте уровень своих знаний

Одной из главных причин, по которым люди попадаются на мошенничество, в целом является недостаточное понимание того, как работает система. К примеру, вы не знаете того факта, что сеть Ethereum децентрализована и никому не принадлежит, поэтому вам легко стать жертвой мошенника, который выдает себя за агента обслуживания клиентов и обещает вернуть вам потерянные ETH взамен на ваши личные ключи. Узнайте об устройстве системы Ethereum, это вам обязательно пригодится и поможет избежать неприятных ситуаций.

Что такое Ethereum?

Что такое эфир?

Безопасность кошелька

Не раздавайте свои закрытые ключи

Никогда и ни по какой причине не делитесь своими закрытыми ключами!

Закрытый ключ вашего кошелька действует как пароль к вашему кошельку Ethereum. Ключ — единственное, что мешает кому-то, кто знает адрес вашего кошелька, слить с вашего счета все его активы!

Что такое кошелек Ethereum?

Не делайте скриншоты своих кодовых фраз и закрытых ключей

Делая снимки экрана с кодовыми фразами или закрытыми ключами, вы рискуете синхронизировать их с облаком и потенциально сделать их доступными для хакеров. Получение закрытых ключей из облака — распространенный способ атаки хакеров.

Используйте аппаратный кошелек

Аппаратный кошелек обеспечивает хранение закрытых ключей в режиме офлайн. Они считаются наиболее безопасным вариантом кошелька для хранения ваших приватных ключей: ваш приватный ключ никогда не касается Интернета и остается полностью локальным на устройстве.

Хранение закрытых ключей в режиме оффлайн значительно снижает риск взлома, даже если хакер получит контроль над вашим компьютером.

Попробуйте аппаратный кошелек:

Дважды проверяйте транзакции перед отправкой

Случайная отправка криптовалюты на ошибочный адрес является распространенной ошибкой. Транзакция, отправленная в Ethereum, необратима. Если вы не знаете владельца адреса и не сможете убедить его отправить вам ваши средства обратно, то вернуть их не удастся.

Прежде чем отправлять транзакцию, убедитесь, что адрес, на который вы отправляете, точно совпадает с адресом желаемого получателя. Также рекомендуется при взаимодействии с умным контрактом читать сообщение транзакции перед подписанием.

Установите лимиты расходов по умному контракту

При взаимодействии с умными контрактами не допускайте неограниченных лимитов на расходы. Неограниченные расходы могут привести к тому, что умный контракт опустошит ваш кошелек. Вместо этого установите лимиты расходов на сумму, необходимую только для транзакции.

Многие кошельки Ethereum предлагают защитные лимиты для предотвращения опустошения аккаунтов.

Как отозвать доступ умного контракта к вашим средствам в криптовалюте

Распространенные виды мошенничества

Мошенник всегда ищет способ украсть ваши деньги. Невозможно полностью пресечь мошенническую деятельность, однако мы можем укрепить свою безопасность, если будем знать их методы. Существует великое множество способов обмануть вас, но они по своей сути все похожи. Главное, помните:

  • Будьте скептичны!
  • Никто не собирается давать вам ETH бесплатно или продавать со скидкой
  • Никому, кроме мошенников, не нужен доступ к вашим закрытым ключам или личной информации!

Мошенничество с бесплатной раздачей средств

Один из наиболее распространенных видов мошенничества — обман с бесплатной криптовалютой. Это мошенничество может принимать разные формы, но суть в следующем: если вы отправите ETH на указанный адрес, то получите вдвое больше ETH. Поэтому такую схему называют «2 за 1».

Мошенники, работающие по этой схеме, обычно давят на вас тем, что это предложение ограничено, а так же прикрываются благими целями, например помощью малоимущим.

Взлом социальных сетей

Хорошим примером будет событие, произошедшее в июле 2020 года, когда были взломаны аккаунты в Twitter у известных людей и организаций. Хакеры в постах разместили информацию о раздаче биткоинов со взломанных аккаунтов. Хотя взлом быстро обнаружили и устранили, хакерам все же удалось украсть 11 биткоинов (около 500 000 долларов США по курсу на сентябрь 2021 г.).

Мошенничество в Twitter

Раздача от знаменитости

Раздача от знаменитостей — еще одна распространенная форма мошенничества с раздачами. Мошенники берут записанное видеоинтервью или выступление на конференции со знаменитостью и транслируют его в прямом эфире на YouTube, создавая впечатление, что знаменитость дает видеоинтервью в прямом эфире, поддерживая раздачу криптовалюты.

Чаще всего в этой афере используется Виталик Бутерин, но не только: иногда используются и другие известные люди, взаимодействующие с криптовалютами (например, Илон Маск или Чарльз Хоскинсон). Используя видео с известным человеком, мошенники придают прямому эфиру ощущение реализма (выглядит подозрительно, но здесь же Виталик, так что все должно быть в порядке!).

Бесплатные раздачи — это всегда мошенничество. Если вы отправите свои средства на такие счета, то потеряете их навсегда.

Мошенничество на YouTube

Мошенническая служба поддержи

Криптовалюта — это относительно молодая и непонятная технология. Распространенной аферой, использующей это непонимание, является мошенничество с поддержкой, когда мошенники выдают себя за сотрудников службы поддержки популярных кошельков, бирж или блокчейнов.

Большая часть дискуссий об Ethereum происходит в Discord. Мошенники из «службы поддержки» обычно находят свою цель, ища вопросы к поддержке в общедоступных каналах Discord, а затем отправляют спрашивающему личное сообщение с предложением помочь. Завоевав доверие, мошенники, выдающие себя за службы поддержки, пытаются обманом заставить вас раскрыть ваши приватные ключи или отправить средства на их кошельки.

Мошенничество с поддержкой в ​​Discord

Как правило, персонал никогда не будет общаться с вами по частным, неофициальным каналам. Несколько простых вещей, о которых следует помнить при работе с поддержкой:

  • Никогда не делитесь своими закрытыми ключами, кодовыми фразами и паролями.
  • Никогда не предоставляйте никому удаленный доступ к вашему компьютеру.
  • Никогда не общайтесь вне официальных каналов организации.
Будьте осторожны: хотя мошенничество под видом поддержки обычно происходит в Discord, оно также может быть в любых чатах приложений, где обсуждаются криптовалюты, а так же по электронной почте.

Мошенничество с токенами Eth2

В преддверии слияния мошенники воспользовались путаницей вокруг термина Eth2, чтобы попытаться заставить пользователей выкупить токены ETH2 за свои ETH. Токенов ETH2 не существует, и никаких новых настоящих токенов при слиянии не появилось. ЕТН, которыми вы владели до слияния, остаются теми же ЕТН. Нет никакой необходимости предпринимать какие-либо действия, связанные с вашими ETH, чтобы перейти от доказательства работы к доказательству владения.

Мошенники могут представиться «службой поддержки» и сказать, что при внесении ETH вы получите обратно «ETH2». Официальной службы поддержки Ethereum нет, как нет и никаких новых токенов. Никогда и никому не сообщайте кодовую фразу своего кошелька.

Примечание. Существуют производные токены и тикеры, которые могут представлять ETH, использованные в стейкинге (например, rETH от Rocket Pool, stETH от Lido, ETH2 от Coinbase), но это что-то, на что необходимо «перейти».

Фишинг

Фишинг — еще один все более распространенный способ, который мошенники будут использовать, чтобы украсть ваши средства.

Некоторые фишинговые письма требуют от пользователей перейти по ссылке, которая направит их на имитацию сайта, где далее их попросят ввести свою кодовую фразу, сбросить пароль или отправить ETH. Другие могут попросить вас установить вредоносное ПО, чтобы заразить ваш компьютер и предоставить мошенникам доступ к файлам вашего компьютера.

Если вы получили письмо от неизвестного отправителя, помните:

  • Никогда не открывайте ссылки и вложения с адресов электронной почты, которые вы не узнаете.
  • Никогда не разглашайте личную информацию или пароли кому-либо.
  • Удаляйте сообщения от неизвестных отправителей.

Подробнее о предотвращении фишинговых атак(opens in a new tab)

Мошенничество под видом криптоброкера

Мошенники-криптоброкеры утверждают, что являются специализированными брокерами по криптовалюте, которые предлагают взять ваши деньги и инвестировать их от вашего имени. Это предложение обычно сопровождается обещаниями нереалистичной прибыли. Получив ваши средства, мошенники могут ввести вас в заблуждение, попросив вас отправить больше средств, чтобы не упустить дополнительную прибыль от инвестиций, или могут полностью исчезнуть.

Такие «брокеры» находят свои цели, используя поддельные учетные записи на YouTube, чтобы выкладывать правдоподобные обсуждения услуг брокера. Эти обсуждения часто имеют высокий рейтинг, который должен сдеалать их правдоподобнее, но все голоса исходят от учетных записей ботов.

Не доверяйте незнакомцам из Интернета инвестировать от вашего имени. Вы потеряете свою криптовалюту.

Брокерское мошенничество на YouTube

Мошенничество с пулом для майнинга криптовалюты

По состоянию на сентябрь 2022 года добыча на Ethereum более не возможна. Тем не менее жульничество с пулами майнеров по-прежнему существует. Мошенничество с пулом для майнинга используется теми, кто связывается с вами и утверждает, что вы можете получить большую прибыль, присоединившись к пулу для майнинга Ethereum. Мошенник будет утверждать это и оставаться с вами на связи столько времени, сколько потребуется. По сути, он попытается убедить вас: когда вы присоединитесь к пулу для майнинга Ethereum, ваша криптовалюта будет использоваться для создания ETH, а вам будут выплачиваться дивиденды в ETH. В конечном итоге вы заметите, что ваша криптовалюта приносит вам маленькую прибыль. Это сделано для того, чтобы заставить вас инвестировать больше. В конце концов все ваши средства будут отправлены на неизвестный адрес, а мошенник либо исчезнет, ​​либо, в некоторых случаях, продолжит оставаться на связи, как в последнем примере.

Главный вывод: будьте осторожны с людьми, которые связываются с вами в социальных сетях и просят вас присоединиться к пулу для майнинга. Как только вы потеряете свою криптовалюту, они исчезнут.

Следует помнить:

  • Будьте осторожны при общении с теми, кто обращается к вам с предложением заработать на вашей криптовалюте.
  • Изучите информацию о стекинге, пулах ликвидности или других способах инвестирования вашей криптовалюты.
  • Если такие схемы и бывают безобидными, то крайне редко. Если бы это было так, то о них бы говорили все и вы бы уже о них знали.

Жертва потеряла 200 тысяч долларов из-за мошенничества с пулом для майнинга(opens in a new tab)

Мошенничество с раздачей (Airdrop)

Мошенничество с раздачей подразумевает, что мошеннический проект раздает актив (NFT, токен) в ваш кошелек и направляет вас на мошеннический сайт, где вы якобы сможете получить этот актив. При попытке предъявления претензий вам будет предложено войти в систему с помощью кошелька Ethereum и «одобрить» транзакцию. Эта операция компрометирует ваш аккаунт, отправляя мошеннику ваши открытые и приватные ключи. В альтернативной форме этого мошенничества от вас могут требовать подтвердить транзакцию, которая отправляет средства на счет мошенника.

Подробнее о мошенничестве c раздачами(opens in a new tab)

Дополнительные ресурсы

Веб-безопасность

Безопасность криптовалюты

Обучение борьбе с мошенничеством

Проверьте свои знания об Ethereum

Была ли эта статья полезной?