Безопасность Ethereum и предотвращение мошенничества
Растущий интерес к криптовалюте влечет за собой риск стать жертвой мошенников и хакеров. В этой статье приведены рекомендации по снижению этих рисков.
Введение в криптобезопасность
Повысьте уровень своих знаний
Непонимание того, как работают криптовалюты, может привести к дорогостоящим ошибкам. Например, если кто-то притворяется агентом по обслуживанию клиентов, который может вернуть потерянные ЕТН в обмен на ваши секретные ключи, то они охотятся на людей, не понимающих, что Ethereum является децентрализованной сетью, лишенной такого рода функциональности. Узнайте об устройстве системы Ethereum, это вам обязательно пригодится и поможет избежать неприятных ситуаций.
Безопасность кошелька
Не раздавайте свои секретные ключи
Никогда и ни за что не делитесь своими секретными ключами!
Секретный ключ — это пароль к вашему кошельку Ethereum. Фраза восстановления — единственное, что мешает кому-то, кто знает адрес вашего кошелька, слить с вашего счета все активы!
Не делайте снимки экрана с кодовыми фразами и секретными ключами
Делая снимки экрана с кодовыми фразами или секретными ключами, вы рискуете синхронизировать их с облаком и потенциально сделать их доступными для хакеров. Получение секретных ключей из облака — распространенный способ атаки хакеров.
Используйте аппаратный кошелек
Аппаратный кошелек обеспечивает хранение закрытых ключей в режиме офлайн. Они считаются наиболее безопасным вариантом кошелька для хранения ваших приватных ключей: ваш приватный ключ никогда не касается Интернета и остается полностью локальным на устройстве.
Хранение закрытых ключей в режиме оффлайн значительно снижает риск взлома, даже если хакер получит контроль над вашим компьютером.
Попробуйте аппаратный кошелек:
Дважды проверяйте транзакции перед отправкой
Случайная отправка криптовалюты на ошибочный адрес является распространенной ошибкой. Транзакция, отправленная в Ethereum, необратима. Если вы не знаете владельца адреса и не сможете убедить его отправить вам ваши средства обратно, то вернуть их не удастся.
Прежде чем отправлять транзакцию, убедитесь, что указанный адрес точно совпадает с адресом целевого получателя. Взаимодействуя со смарт-контрактом, рекомендуем прочитать сообщение транзакции перед подписанием.
Установите лимиты расходов по смарт-контракту
Взаимодействуя со смарт-контрактами, не допускайте неограниченных лимитов на расходы. Неограниченные расходы могут привести к тому, что смарт-контракт опустошит ваш кошелек. Вместо этого установите лимиты расходов на сумму, необходимую только для транзакции.
Многие кошельки Ethereum предлагают защитные лимиты для предотвращения опустошения аккаунтов.
Как отозвать доступ умного контракта к вашим средствам в криптовалюте
Распространенные виды мошенничества
Невозможно полностью пресечь мошенническую деятельность, однако мы можем повысить свою безопасность, если будем знать их методы. Существует великое множество способов обмануть вас, но они по своей сути все похожи. Главное, помните:
- Будьте скептичны!
- Никто не собирается давать вам ETH бесплатно или продавать со скидкой
- Никому, кроме мошенников, не нужен доступ к вашим закрытым ключам или личной информации!
Фишинг в рекламе Twitter
Есть метод подделки функции предварительного просмотра ссылок Twitter (также известного как X), с помощью которого можно ввести пользователей в заблуждение, заставляя их думать, что они посещают настоящий веб-сайт. Этот метод эксплуатирует механизм предпросмотра URL-адресов, размещенных в твитах, и показывает, например, с ethereum.org (как показано выше), когда на самом деле пользователи перенаправляются на вредоносный сайт.
Всегда проверяйте подлинность домена, особенно после перехода по ссылке.
Мошенничество с бесплатной раздачей средств
Один из наиболее распространенных видов мошенничества — обман с бесплатной криптовалютой. Это мошенничество может принимать различные формы, но суть в следующем: если вы отправите ETH на указанный адрес, то получите вдвое больше ETH. Поэтому такую схему называют «удвоение».
Мошенники, работающие по этой схеме, обычно давят на вас тем, что срок действия предложения ограничен, чтобы создать ощущение мнимой срочности.
Взлом социальных сетей
Хорошим примером будет событие, произошедшее в июле 2020 года, когда были взломаны аккаунты в Twitter у известных людей и организаций. Хакеры в постах разместили информацию о раздаче биткоинов со взломанных аккаунтов. Хотя взлом быстро обнаружили и устранили, хакерам все же удалось украсть 11 биткоинов (около 500 000 долларов США по курсу на сентябрь 2021 г.).
Раздача от знаменитости
Раздача от знаменитостей — еще одна распространенная форма мошенничества с раздачами. Мошенники берут записанное видеоинтервью или выступление на конференции со знаменитостью и транслируют его в прямом эфире на YouTube, создавая впечатление, что знаменитость дает видеоинтервью в прямом эфире, поддерживая раздачу криптовалюты.
Чаще всего в этой афере используется Виталик Бутерин, но не только: иногда используются и другие известные люди, взаимодействующие с криптовалютами (например, Илон Маск или Чарльз Хоскинсон). Используя видео с известным человеком, мошенники придают прямому эфиру ощущение реализма (выглядит подозрительно, но здесь же Виталик, так что все должно быть в порядке!).
Бесплатные раздачи — это всегда мошенничество. Если вы отправите свои средства на такие счета, то потеряете их навсегда.
Мошенническая служба поддержи
Криптовалюта — это относительно молодая и непонятная технология. Распространенной аферой, использующей это непонимание, является мошенничество с поддержкой, когда мошенники выдают себя за сотрудников службы поддержки популярных кошельков, бирж или блокчейнов.
Большая часть дискуссий об Ethereum происходит в Discord. Мошенники из «службы поддержки» обычно находят свою цель, ища вопросы к поддержке в общедоступных каналах Discord, а затем отправляют спрашивающему личное сообщение с предложением помочь. Завоевав доверие, мошенники, выдающие себя за службы поддержки, пытаются обманом заставить вас раскрыть ваши приватные ключи или отправить средства на их кошельки.
Как правило, персонал никогда не будет общаться с вами по частным, неофициальным каналам. Несколько простых вещей, о которых следует помнить при работе с поддержкой:
- Никогда не делитесь своими закрытыми ключами, кодовыми фразами и паролями.
- Никогда не предоставляйте никому удаленный доступ к вашему компьютеру.
- Никогда не общайтесь вне официальных каналов организации.
Мошенничество с токенами Eth2
В преддверии слияния мошенники воспользовались путаницей вокруг термина Eth2, чтобы попытаться заставить пользователей выкупить токены ETH2 за свои ETH. Токенов ETH2 не существует, и никаких новых настоящих токенов при слиянии не появилось. ЕТН, которыми вы владели до слияния, остаются теми же ЕТН. От вас не требуется никаких действий в связи с переходом от доказательства выполнения работы к доказательству доли владения.
Мошенники могут представиться «службой поддержки» и сказать, что при внесении ETH вы получите обратно «ETH2». Официальной службы поддержки Ethereum нет, как нет и никаких новых токенов. Никогда и никому не сообщайте кодовую фразу своего кошелька.
Примечание. Существуют производные токены и тикеры, которые могут представлять ETH, использованные в стейкинге (например, rETH от Rocket Pool, stETH от Lido, ETH2 от Coinbase), но это что-то, на что необходимо «перейти».
Фишинг
Фишинг — еще один все более распространенный способ, который мошенники будут использовать, чтобы украсть ваши средства.
Некоторые фишинговые письма требуют от пользователей перейти по ссылке, которая направит их на имитацию сайта, где далее их попросят ввести свою кодовую фразу, сбросить пароль или отправить ETH. Другие могут попросить вас установить вредоносное ПО, чтобы заразить ваш компьютер и предоставить мошенникам доступ к файлам вашего компьютера.
Если вы получили письмо от неизвестного отправителя, помните:
- Никогда не открывайте ссылки и вложения с адресов электронной почты, которые вы не узнаете.
- Никогда не разглашайте личную информацию или пароли кому-либо.
- Удаляйте сообщения от неизвестных отправителей.
Подробнее о предотвращении фишинговых атак
Мошенничество под видом криптоброкера
Мошенники, выдающие себя за специализированных криптоброкеров, предлагают взять ваши деньги и инвестировать их от вашего имени. Получив ваши средства, мошенники могут ввести вас в заблуждение, попросив вас отправить больше средств, чтобы не упустить дополнительную прибыль от инвестиций, или могут полностью исчезнуть.
Эти мошенники обычно используют поддельные учетные записи на YouTube и завязывают естественные на первый взгляд разговоры о брокерах. Эти обсуждения часто имеют высокий рейтинг, который должен сдеалать их правдоподобнее, но все голоса исходят от учетных записей ботов.
Не доверяйте незнакомцам из Интернета инвестировать от вашего имени. Вы потеряете свою криптовалюту.
Мошенничество с пулом для майнинга криптовалюты
По состоянию на сентябрь 2022 года добыча на Ethereum более не возможна. Тем не менее жульничество с пулами майнеров по-прежнему существует. Мошенничество с пулом для майнинга используется теми, кто связывается с вами и утверждает, что вы можете получить большую прибыль, присоединившись к пулу для майнинга Ethereum. Мошенник будет утверждать это и оставаться с вами на связи столько времени, сколько потребуется. По сути, он попытается убедить вас, что когда вы присоединитесь к пулу для майнинга Ethereum, ваша криптовалюта будет использоваться для создания ETH, а вам будут выплачиваться дивиденды в ETH. Затем вы увидите, что ваша криптовалюта приносит небольшой доход. Это сделано для того, чтобы заставить вас инвестировать больше. В конце концов все ваши средства будут отправлены на неизвестный адрес, а мошенник либо исчезнет, либо, в некоторых случаях, продолжит оставаться на связи, как в последнем примере.
Главный вывод: будьте осторожны с людьми, которые связываются с вами в социальных сетях и просят вас присоединиться к пулу для майнинга. Как только вы потеряете свою криптовалюту, они исчезнут.
Следует помнить:
- Будьте осторожны при общении с теми, кто обращается к вам с предложением заработать на вашей криптовалюте.
- Изучите информацию о стекинге, пулах ликвидности или других способах инвестирования вашей криптовалюты.
- Если такие схемы и бывают безобидными, то крайне редко. Если бы это было так, то о них бы говорили все и вы бы уже о них знали.
Жертва потеряла 200 тысяч долларов из-за мошенничества с пулом для майнинга
Мошенничество с раздачей (Airdrop)
Мошеннический проект выполняет эйрдроп NFT или токена на ваш кошелек и отправляет вас на мошеннический сайт, где вы якобы можете получить этот актив. При попытке предъявления претензий вам будет предложено войти в систему с помощью кошелька Ethereum и "одобрить" транзакцию. Эта операция компрометирует ваш аккаунт, отправляя мошеннику ваши открытые и приватные ключи. В альтернативной форме этого мошенничества от вас могут требовать подтвердить транзакцию, которая отправляет средства на счет мошенника.
Подробнее о мошенничестве c раздачами
Веб-безопасность 101
Используйте надежные пароли
Более 80 % взломов учетных записей происходит из-за ненадежных или украденных паролей. Длинная комбинация знаков, цифр и символов поможет защитить ваши аккаунты.
Распространенная ошибка — использование комбинации нескольких распространенных слов, связанных друг с другом. Подобные пароли ненадежны, потому что они подвержены методу взлома, называемому "перебор по словарю".
1Пример ненадежного пароля: CuteFluffyKittens!23Пример надежного пароля: ymv\*azu.EAC8eyp8umf
Еще одна распространенная ошибка — использование паролей, которые можно легко угадать или узнать с помощью социальной инженерии. Включение в ваш пароль девичьей фамилии вашей матери, имен ваших детей или домашних животных и дат рождения увеличивает риск взлома.
Создание правильных паролей
- Создавайте пароли такой максимальной длины, разрешенной вашим генератором паролей или формой, которую вы заполняете
- Используйте комбинацию прописных и строчных букв, цифр и символов
- Не используйте в пароле личные данные, такие как фамилии
- Избегайте популярных слов
Подробнее о создании надежных паролей
Всегда используйте уникальные пароли
Надежный пароль, раскрытый при утечке данных, больше не является надежным паролем. Сайт Have I Been Pwned позволяет проверить, затронуты ли ваши аккаунты какими-либо утечками данных. Если да, немедленно измените эти пароли. Использование уникальных паролей для каждого аккаунта снижает риск того, что хакеры получат доступ ко всем вашим аккаунтам, если один из паролей будет взломан.
Используйте менеджер паролей
Запоминание надежных уникальных паролей для каждой учетной записи — не лучшее решение. Менеджер паролей предлагает безопасное зашифрованное хранилище для всех ваших паролей, к которым вы можете получить доступ с помощью одного, но надежного мастер-пароля. Он также предлагает надежные пароли при регистрации в новом сервисе, поэтому вам не нужно будет придумывать их самостоятельно. Многие менеджеры паролей также сообщат вам, если ваши данные будут скомпрометированы, что даст вам возможность изменить пароли до вредоносных атак.
Попробуйте менеджер паролей:
- Bitwarden
- KeePass
- 1Password
- Или попробуйте другие рекомендуемые менеджеры паролей
Используйте двухфакторную аутентификацию
Иногда вас могут попросить подтвердить вашу личность с помощью уникальных доказательств. Они известны как факторы. Тремя основными факторами являются:
- Что-то, что вы знаете (например, пароль или секретный вопрос)
- Что-то, чем вы являетесь (например, отпечаток пальца, скан радужной оболочки или лица)
- Что-то, что у вас есть (ключ безопасности или приложение для аутентификации на вашем телефоне)
Использование двухфакторной аутентификации (2FA) обеспечивает дополнительный фактор безопасности ваших онлайн-аккаунтов. 2FA гарантирует, что одного только пароля будет недостаточно для доступа к аккаунту. Чаще всего второй фактор представляет собой рандомизированный 6-значный код, известный как одноразовый временный пароль (TOTP), к которому вы можете получить доступ через приложение для аутентификации, такое как Google Authenticator или Authy. Они работают как фактор «что-то, что у вас есть», потому что начальное число, генерирующее временный код, хранится на вашем устройстве.
Ключи безопасности
Ключ безопасности — более современный и безопасный тип 2FA. Ключи безопасности — это физические устройства, которые работают как приложения для аутентификации. Использование ключа безопасности — наиболее надежный тип 2FA. Многие из этих ключей используют стандарт FIDO Universal 2nd Factor (U2F). Подробнее о FIDO U2F.
Подробнее о 2FA:
Удалите расширения браузера
Расширения браузера, например Chrome или Firefox, могут расширить функциональность, но они также сопряжены с рисками. По умолчанию большинство расширений браузера запрашивают доступ к «чтению и изменению данных сайта», что позволяет им делать с вашими данными практически все, что угодно. Расширения Chrome всегда автоматически обновляются, поэтому ранее безопасное расширение позже может обновиться, чтобы внести в код вредоносные изменения. Большинство расширений браузера не пытаются украсть ваши данные, но вы должны знать, что они могут это сделать.
Будьте в безопасности:
- Устанавливайте расширения браузера только из надежных источников
- Удаляйте неиспользуемые расширения браузера
- Устанавливайте расширения Chrome локально, чтобы не допускать автоматическое обновление (дополнительно)
Подробнее о рисках, связанных с браузерными расширениями
Дополнительные ресурсы
Веб-безопасность
- До 3 миллионов устройств заражено вредоносными дополнениями для Chrome и Edge — Ден Гудин
- Как создать надежный пароль, который вы не забудете — AVG
- Что такое ключ безопасности? Coinbase
Безопасность криптовалюты
- Защита себя и свои средства MyCrypto
- Проблемы безопасности распространенного программного обеспечения для криптокоммуникаций — Salus
- Руководство по безопасности: для чайников и продвинутых MyCrypto
- Безопасность криптовалют: пароли и аутентификация Андреас М. Антонопулос
Обучение борьбе с мошенничеством
- Руководство: как определить мошеннические токены
- Обеспечение своей безопасности: распространенные виды мошенничества — MyCrypto
- Как избежать мошенничества — Bitcoin.org
- Тред в Twitter о распространенных криптографических фишинговых письмах и сообщениях — Тейлор Монахан