Растущий интерес к криптовалюте влечет за собой растущий риск со стороны мошенников и хакеров. В этой статье изложены некоторые передовые методы снижения этих рисков.
Помните: никто из ethereum.org никогда не свяжется с вами. Не отвечайте на электронные письма, в которых утверждается, что они от официальной службы поддержки Эфириума.
Основы безопасности криптовалют
Повышайте уровень своих знаний
Непонимание того, как работает криптовалюта, может привести к дорогостоящим ошибкам. Например, если кто-то притворяется агентом службы поддержки, который может вернуть потерянные ETH в обмен на ваши приватные ключи, он наживается на людях, не понимающих, что Эфириум — это децентрализованная сеть, в которой отсутствует подобный функционал. Обучение тому, как работает Эфириум, — это стоящая инвестиция.
Что такое Эфириум?
Что такое эфир?
Безопасность кошелька
Никогда не делитесь своей фразой восстановления
Никогда и ни по какой причине не делитесь своей фразой восстановления или приватными ключами!
Ваша фраза восстановления (также называемая секретной фразой восстановления или сид-фразой) — это главный ключ к вашему кошельку. Любой, у кого она есть, может получить доступ ко всем вашим аккаунтам и вывести все активы. Приватные ключи работают так же для отдельных аккаунтов. Ни один законный сервис, агент службы поддержки или веб-сайт никогда не попросит их у вас.
Что такое кошелек Эфириума?
Не делайте скриншоты своих сид-фраз/приватных ключей
Создание скриншотов ваших сид-фраз или приватных ключей может привести к их синхронизации с облачным провайдером данных, что может сделать их доступными для хакеров. Получение приватных ключей из облака — распространенный вектор атаки для хакеров.
Используйте аппаратный кошелек
Аппаратный кошелек обеспечивает автономное хранение приватных ключей. Они считаются наиболее безопасным вариантом кошелька для хранения ваших приватных ключей: ваш приватный ключ никогда не попадает в интернет и остается полностью локальным на вашем устройстве.
Хранение приватных ключей в автономном режиме значительно снижает риск взлома, даже если хакер получит контроль над вашим компьютером.
Попробуйте аппаратный кошелек:
Дважды проверяйте транзакции перед отправкой
Случайная отправка криптовалюты на неправильный адрес кошелька — распространенная ошибка. Транзакция, отправленная в Эфириуме, необратима. Если вы не знаете владельца адреса и не сможете убедить его отправить вам ваши средства обратно, вы не сможете вернуть свои средства.
Всегда убеждайтесь, что адрес, на который вы отправляете, точно совпадает с адресом желаемого получателя перед отправкой транзакции. При взаимодействии со смарт-контрактом хорошей практикой является чтение сообщения транзакции перед подписанием.
Установите лимиты расходов для смарт-контрактов
При взаимодействии со смарт-контрактами не разрешайте неограниченные лимиты расходов. Неограниченные расходы могут позволить смарт-контракту опустошить ваш кошелек. Вместо этого установите лимиты расходов только на сумму, необходимую для транзакции.
Многие кошельки Эфириума предлагают защиту лимитов для предотвращения опустошения аккаунтов.
Как отозвать доступ смарт-контракта к вашим криптовалютным средствам
Распространенные виды мошенничества
Невозможно полностью остановить мошенников, но мы можем сделать их менее эффективными, зная об их наиболее часто используемых методах. Существует множество вариаций этих видов мошенничества, но в целом они следуют одним и тем же высокоуровневым шаблонам. Как минимум, помните:
- всегда будьте скептичны
- никто не собирается давать вам бесплатные ETH или ETH со скидкой
- никому не нужен доступ к вашим приватным ключам или личной информации
Фишинг через рекламу в Твиттере
Существует метод подделки функции предварительного просмотра ссылок в Твиттере (также известном как X), чтобы потенциально обмануть пользователей, заставив их думать, что они посещают законный веб-сайт. Этот метод использует механизм Твиттера для создания превью URL-адресов, которыми делятся в твитах, и показывает, например, от ethereum.org (как показано выше), когда на самом деле они перенаправляются на вредоносный сайт.
Всегда проверяйте, что вы находитесь на правильном домене, особенно после перехода по ссылке.
Дополнительная информация здесь (opens in a new tab).
Мошенничество с раздачами
Одним из самых распространенных видов мошенничества в криптовалюте является мошенничество с раздачами. Мошенничество с раздачами может принимать множество форм, но общая идея заключается в том, что если вы отправите ETH на указанный адрес кошелька, вы получите свои ETH обратно, но в двойном размере. По этой причине оно также известно как мошенничество «2 по цене 1».
Эти мошенничества обычно оговаривают ограниченное время возможности востребовать раздачу, чтобы создать ложное чувство срочности.
Взломы социальных сетей
Громкий случай подобного рода произошел в июле 2020 года, когда были взломаны аккаунты в Твиттере известных знаменитостей и организаций. Хакер одновременно опубликовал раздачу Биткоинов во взломанных аккаунтах. Хотя обманчивые твиты были быстро замечены и удалены, хакерам все же удалось скрыться с 11 биткоинами (или 500 000 долларов США по состоянию на сентябрь 2021 года).
Раздачи от знаменитостей
Раздача от знаменитостей — еще одна распространенная форма мошенничества с раздачами. Мошенники берут записанное видеоинтервью или выступление на конференции знаменитости и транслируют его в прямом эфире на Ютубе, создавая впечатление, будто знаменитость дает видеоинтервью в прямом эфире, одобряя раздачу криптовалюты.
Виталик Бутерин чаще всего используется в этом мошенничестве, но также используются многие другие известные люди, связанные с криптовалютой (например, Илон Маск или Чарльз Хоскинсон). Включение известного человека придает прямой трансляции мошенников ощущение легитимности (это выглядит сомнительно, но Виталик участвует, так что все должно быть в порядке!).
Раздачи — это всегда мошенничество. Если вы отправите свои средства на эти аккаунты, вы потеряете их навсегда.
Мошенничество со службой поддержки
Криптовалюта — относительно молодая и неправильно понимаемая технология. Распространенным мошенничеством, которое использует это, является мошенничество со службой поддержки, когда мошенники выдают себя за сотрудников службы поддержки популярных кошельков, бирж или блокчейнов.
Большая часть обсуждений об Эфириуме происходит в Дискорде. Мошенники из службы поддержки обычно находят свою цель, ища вопросы в службу поддержки в публичных каналах Дискорда, а затем отправляя спрашивающему личное сообщение с предложением поддержки. Завоевывая доверие, мошенники из службы поддержки пытаются обманом заставить вас раскрыть свои приватные ключи или отправить ваши средства на их кошельки.
Как правило, сотрудники никогда не будут общаться с вами через частные, неофициальные каналы. Несколько простых вещей, о которых следует помнить при обращении в службу поддержки:
- Никогда не делитесь своими приватными ключами, сид-фразами или паролями
- Никогда не предоставляйте никому удаленный доступ к вашему компьютеру
- Никогда не общайтесь за пределами назначенных каналов организации
Мошенничество с токеном «Eth2»
В преддверии Слияния мошенники воспользовались путаницей вокруг термина «Eth2», чтобы попытаться заставить пользователей обменять свои ETH на токен «ETH2». Не существует никакого «ETH2», и вместе со Слиянием не было введено никаких других законных токенов. ETH, которым вы владели до Слияния, — это тот же самый ETH сейчас. Нет необходимости предпринимать какие-либо действия, связанные с вашими ETH, для учета перехода от доказательства выполнения работы (PoW) к доказательству доли владения.
Мошенники могут представляться «службой поддержки», говоря вам, что если вы внесете свои ETH, вы получите обратно «ETH2». Не существует официальной службы поддержки Эфириума, и нет никакого нового токена. Никогда ни с кем не делитесь сид-фразой своего кошелька.
Примечание: существуют производные токены/тикеры, которые могут представлять ETH в стейкинге (например, rETH от Rocket Pool, stETH от Lido, ETH2 от Coinbase), но это не то, на что вам нужно «переходить».
Фишинговые мошенничества
Фишинговые мошенничества — это еще один все более распространенный метод, который мошенники используют для попытки украсть средства с вашего кошелька.
Некоторые фишинговые электронные письма просят пользователей перейти по ссылкам, которые перенаправят их на сайты-имитации, с просьбой ввести свою сид-фразу, сбросить пароль или отправить ETH. Другие могут попросить вас неосознанно установить вредоносное ПО, чтобы заразить ваш компьютер и предоставить мошенникам доступ к файлам вашего компьютера.
Если вы получили электронное письмо от неизвестного отправителя, помните:
- Никогда не открывайте ссылки или вложения с адресов электронной почты, которые вы не узнаете
- Никогда никому не разглашайте свою личную информацию или пароли
- Удаляйте электронные письма от неизвестных отправителей
Подробнее о том, как избежать фишинговых мошенничеств (opens in a new tab)
Мошенничество с криптовалютными брокерами
Мошеннические криптовалютные брокеры утверждают, что являются специалистами-брокерами по криптовалютам, которые предложат взять ваши деньги и инвестировать от вашего имени. После того как мошенник получит ваши средства, он может водить вас за нос, прося отправить больше средств, чтобы вы не упустили дальнейшую инвестиционную прибыль, или он может полностью исчезнуть.
Эти мошенники часто находят цели, используя фейковые аккаунты на Ютубе, чтобы начать, казалось бы, естественные разговоры о «брокере». Эти разговоры часто получают много голосов «за» для повышения легитимности, но все голоса «за» исходят от аккаунтов ботов.
Не доверяйте незнакомцам в интернете инвестировать от вашего имени. Вы потеряете свою криптовалюту.
Мошенничество с пулами для майнинга криптовалют
По состоянию на сентябрь 2022 года майнинг в Эфириуме больше невозможен. Однако мошенничество с пулами для майнинга все еще существует. Мошенничество с пулами для майнинга заключается в том, что люди связываются с вами без вашего запроса и утверждают, что вы можете получить большую прибыль, присоединившись к пулу для майнинга Эфириума. Мошенник будет делать заявления и оставаться с вами на связи столько, сколько потребуется. По сути, мошенник попытается убедить вас, что когда вы присоединитесь к пулу для майнинга Эфириума, ваша криптовалюта будет использоваться для создания ETH и что вам будут выплачиваться дивиденды в ETH. Затем вы увидите, что ваша криптовалюта приносит небольшую прибыль. Это просто приманка, чтобы заставить вас инвестировать больше. В конечном итоге все ваши средства будут отправлены на неизвестный адрес, и мошенник либо исчезнет, либо в некоторых случаях продолжит оставаться на связи, как это произошло в недавнем случае.
Итог: остерегайтесь людей, которые связываются с вами в социальных сетях с просьбой стать частью пула для майнинга. Как только вы потеряете свою криптовалюту, она исчезнет.
Некоторые вещи, о которых следует помнить:
- Остерегайтесь любого, кто связывается с вами по поводу способов заработать на вашей криптовалюте
- Проведите собственное исследование о стейкинге, пулах ликвидности или других способах инвестирования вашей криптовалюты
- Редко, если вообще когда-либо, такие схемы являются законными. Если бы они были таковыми, они, вероятно, были бы мейнстримом, и вы бы о них слышали.
Мужчина потерял 200 000 долларов в мошенничестве с пулом для майнинга (opens in a new tab)
Мошенничество с эирдропами
Мошенничество с эирдропами заключается в том, что мошеннический проект отправляет актив (NFT, токен) на ваш кошелек и направляет вас на мошеннический веб-сайт для востребования отправленного актива. При попытке востребования вам будет предложено войти в систему с помощью вашего кошелька Эфириума и «одобрить» транзакцию. Эта транзакция компрометирует ваш аккаунт, отправляя ваши публичные и приватные ключи мошеннику. Альтернативная форма этого мошенничества может заставить вас подтвердить транзакцию, которая отправляет средства на аккаунт мошенника.
Подробнее о мошенничестве с эирдропами (opens in a new tab)
Основы веб-безопасности
Используйте надежные пароли
Более 80% взломов аккаунтов происходят из-за слабых или украденных паролей (opens in a new tab). Длинная комбинация букв, цифр и символов поможет сохранить ваши аккаунты в безопасности.
Распространенной ошибкой является использование комбинации нескольких распространенных, связанных слов. Такие пароли небезопасны, поскольку они подвержены методу взлома, называемому атакой по словарю.
Пример слабого пароля: CuteFluffyKittens!
Пример надежного пароля: ymv\*azu.EAC8eyp8umf
Еще одна распространенная ошибка — использование паролей, которые можно легко угадать или узнать с помощью социальной инженерии (opens in a new tab). Включение девичьей фамилии вашей матери, имен ваших детей или домашних животных, или дат рождения в ваш пароль увеличит риск взлома.
Хорошие практики создания паролей:
- Делайте пароли настолько длинными, насколько это позволяет ваш генератор паролей или форма, которую вы заполняете
- Используйте смесь заглавных и строчных букв, цифр и символов
- Не используйте личные данные, такие как фамилии, в своем пароле
- Избегайте распространенных слов
Подробнее о создании надежных паролей (opens in a new tab)
Используйте уникальные пароли для всего
Надежный пароль, который был раскрыт в результате утечки данных, больше не является надежным паролем. Веб-сайт Have I Been Pwned (opens in a new tab) позволяет вам проверить, были ли ваши аккаунты вовлечены в какие-либо публичные утечки данных. Если да, немедленно измените эти пароли. Использование уникальных паролей для каждого аккаунта снижает риск того, что хакеры получат доступ ко всем вашим аккаунтам, если один из ваших паролей будет скомпрометирован.
Используйте менеджер паролей
Запоминание надежных, уникальных паролей для каждого вашего аккаунта — не идеальный вариант. Менеджер паролей предлагает безопасное зашифрованное хранилище для всех ваших паролей, к которому вы можете получить доступ с помощью одного надежного мастер-пароля. Они также предлагают надежные пароли при регистрации в новом сервисе, поэтому вам не нужно создавать их самостоятельно. Многие менеджеры паролей также сообщат вам, если вы были вовлечены в утечку данных, что позволит вам изменить пароли до любых вредоносных атак.
Попробуйте менеджер паролей:
- Bitwarden (opens in a new tab)
- KeePass (opens in a new tab)
- 1Password (opens in a new tab)
- Или ознакомьтесь с другими рекомендуемыми менеджерами паролей (opens in a new tab)
Используйте двухфакторную аутентификацию
Иногда вас могут попросить подтвердить вашу личность с помощью уникальных доказательств. Они известны как факторы. Три основных фактора:
- То, что вы знаете (например, пароль или секретный вопрос)
- То, кем вы являетесь (например, отпечаток пальца или сканер радужной оболочки глаза/лица)
- То, чем вы владеете (ключ безопасности или приложение для аутентификации на вашем телефоне)
Использование двухфакторной аутентификации (2FA) обеспечивает дополнительный фактор безопасности для ваших онлайн-аккаунтов. 2FA гарантирует, что простого наличия вашего пароля недостаточно для доступа к аккаунту. Чаще всего вторым фактором является случайный 6-значный код, известный как одноразовый пароль на основе времени (TOTP), к которому вы можете получить доступ через приложение-аутентификатор, такое как Google Authenticator или Authy. Они работают как фактор «то, чем вы владеете», потому что сид, генерирующий код по времени, хранится на вашем устройстве.
Ключи безопасности
Ключ безопасности — это более продвинутый и безопасный тип 2FA. Ключи безопасности — это физические аппаратные устройства аутентификации, которые работают как приложения-аутентификаторы. Использование ключа безопасности — самый безопасный способ 2FA. Многие из этих ключей используют стандарт FIDO Universal 2nd Factor (U2F). Узнайте больше о FIDO U2F (opens in a new tab).
Смотрите больше о 2FA:
Удалите расширения браузера
Расширения браузера, такие как расширения для Хрома или дополнения для Firefox, могут улучшить функциональность браузера, но также сопряжены с рисками. По умолчанию большинство расширений браузера запрашивают доступ к «чтению и изменению данных сайта», что позволяет им делать с вашими данными практически все что угодно. Расширения для Хрома всегда обновляются автоматически, поэтому ранее безопасное расширение может обновиться позже и включить вредоносный код. Большинство расширений браузера не пытаются украсть ваши данные, но вы должны знать, что они могут это сделать.
Оставайтесь в безопасности, выполняя следующие действия:
- Устанавливайте расширения браузера только из надежных источников
- Удаляйте неиспользуемые расширения браузера
- Устанавливайте расширения для Хрома локально, чтобы остановить автоматическое обновление (для продвинутых пользователей)
Подробнее о рисках расширений браузера (opens in a new tab)
Дополнительная литература
Веб-безопасность
- До 3 миллионов устройств заражены вредоносными дополнениями для Chrome и Edge (opens in a new tab) — Дэн Гудин
- Как создать надежный пароль, который вы не забудете (opens in a new tab) — AVG
- Что такое ключ безопасности? (opens in a new tab) — Coinbase
Безопасность криптовалют
- Защита себя и своих средств (opens in a new tab) — MyCrypto
- Проблемы безопасности в распространенном программном обеспечении для криптокоммуникаций (opens in a new tab) — Salus
- Руководство по безопасности для чайников и умных людей тоже (opens in a new tab) — MyCrypto
- Безопасность криптовалют: пароли и аутентификация (opens in a new tab) — Андреас М. Антонопулос
Обучение по вопросам мошенничества
- Руководство: как определить мошеннические токены
- Как оставаться в безопасности: распространенные виды мошенничества (opens in a new tab) — MyCrypto
- Как избежать мошенничества (opens in a new tab) — Bitcoin.org
- Тред в Твиттере о распространенных фишинговых электронных письмах и сообщениях в сфере криптовалют (opens in a new tab) — Тейлор Монахан