Łatwy
Ataki na kryptowaluty: jak chronić portfel Web3
Większość ataków kończy się sukcesem, ponieważ inwestor podpisuje umowę, której nie rozumie, zostawia swoje środki w hot wallet podłączonym do internetu lub łączy się przez niezabezpieczoną publiczną sieć Wi-Fi. Oto kilka konkretnych metod zmniejszających ryzyko ataku hakerskiego.
Spis treści
Zrozumienie, czego naprawdę chcą hakerzy
Haker nie atakuje samego blockchaina. Celuje w użytkownika. Słabym punktem nie jest Ethereum , Bitcoin, Solana ani Polygon , ale połączenie między użytkownikiem a jego portfelem. Większość kradzieży wynika z kradzieży kluczy prywatnych, fałszywych dApp , złośliwych rozszerzeń lub phishingu.
Wolisz przechowywać swoje środki cold wallet
cold wallet to fizyczny klucz offline. Nigdy nie przesyła klucza prywatnego do komputera ani przeglądarki. Gdy użytkownik podpisuje transakcję, podpis jest tworzony w kluczu, a następnie przesyłany do blockchaina.
W przypadku cold wallet istnieją dwa główne odniesienia: Ledger i Trezor .
Ledger (Nano S Plus, Nano X, Stax) wyróżnia się chipem Secure Element , certyfikowanym pod kątem maksymalnego bezpieczeństwa , oraz obsługą ponad 15 000 kryptowalut aplikacji Ledger Live . Wybór modelu zależy od zarządzanych aktywów pożądanych funkcji (Bluetooth, czasu pracy baterii, rozmiaru ekranu itp.).
Trezor ( Trezor One, Trezor Model T, Safe 3/5) koncentruje się na przejrzystości z kontrolowanym kodem open source . Najnowsze modele zawierają również chip bezpiecznego elementu . Trezor oferuje prostszy interfejs i filozofię open source , idealne dla tych, którzy faworyzują jasność i zaufanie do kodu.
hot walletpozostaje jednak stale podłączony do internetu. To otwiera drogę do kilku potencjalnych ataków.
Dlaczego cold wallet jest bardziej ochronny
hot wallet ( Metamask, Exodus, Trust Wallet itp.) przechowuje klucz prywatny na podłączonym urządzeniu. Luka w zabezpieczeniach przeglądarki lub złośliwe rozszerzenie może umożliwić hakerowi przechwycenie klucza lub zainicjowanie oszukańczej transakcji. cold wallet nigdy nie pozwala, aby klucz opuścił urządzenie, nawet jeśli komputer jest zainfekowany.
Typowe zagrożenia dla hot wallet
- Wstrzyknięcie kodu do przeglądarki za pomocą fałszywego rozszerzenia
- Kradzież sesji lub odzyskiwanie seedów
- Klonowanie dApp , która wymusza na użytkowniku zatwierdzenie nieograniczonych uprawnień
W przypadku cold wallet atak nie jest w stanie zdalnie wykraść środków. Haker musi fizycznie posiadać klucz i zweryfikować jego podpis, co czyni operację niepraktyczną.
Używaj VPN-u w przypadku połączeń publicznych
Włamania do portfeli często kończą się sukcesem, gdy ofiara łączy się z niezabezpieczoną siecią publiczną. Hotspot hotelowy, kawiarnia czy lotnisko pozwalają atakującemu na zajęcie pozycji między użytkownikiem a odwiedzaną przez niego stroną internetową. Gdy żądanie jest przesyłane w postaci niezaszyfrowanej, atakujący może uzyskać dostęp do informacji, przekierować połączenie na fałszywą stronę internetową lub ukraść sesję.
VPN NordVPN , VeePN , ProtonVPN lub inne) szyfruje Twój ruch. Nawet jeśli ktoś przechwyci dane, nie będzie mógł ich odczytać. Niektórzy DeFi z nich korzystają, zwłaszcza gdy muszą połączyć się z portfelem w podróży.
Konkretne przykłady ataków na sieć publiczną
- Przekierowanie na fałszywą stronę internetową giełdy o niemal identycznym adresie URL
- Pobieranie pliku cookie sesji w celu otwarcia konta bez hasła
- Śledzenie adresów IP, a następnie kierowanie na nie spersonalizowanego ataku phishingowego
VPN nie zapobiega złej inwestycji , ale uniemożliwia hakerom monitorowanie lub przejęcie połączenia. Gdy dostęp do portfela odbywa się za pośrednictwem przeglądarki połączonej z otwartą siecią Wi-Fi, warstwa szyfrowania ogranicza powierzchnię ataku.
Zweryfikuj wszystkie transakcje przed podpisaniem
Większość ataków na kryptowaluty nie polega na kradzieży klucza prywatnego. Pułapka polega na nakłonieniu ofiary do podpisania kontraktu, którego nie rozumie. Gdy portfel łączy się z dApp , aplikacja ta może zażądać dostępu do tokenów portfela. Kontrakt może wówczas zawierać funkcję umożliwiającą transfer środków na adres kontrolowany przez atakującego.
Jak fałszywa dApp zdecentralizowana opróżnia portfel
- Użytkownik klika na link otrzymany w wiadomości lub grupie
- Strona wygląda jak znana platforma: airdrop , DeFi, staking
- W portfelu wyświetlana jest prośba o zatwierdzenie.
- Transakcja pozwala kontraktowi na nieograniczone wydawanie wszystkich tokenów.
- Ofiara myśli, że odbiera nagrodę, ale w rzeczywistości przekazuje dostęp
Fałszywe interfejsy są powszechne. Często są kopiowane z uznanych protokołów o podobnej nazwie. Aby uniknąć podpisania złośliwego kontraktu, należy sprawdzić adres strony internetowej, zweryfikować wiarygodność platformy i przeczytać informacje wyświetlane przez portfel. W Metamask uprawnienia są widoczne w oknie podpisywania. Jeśli transakcja autoryzuje kontrakt do wydania całego tokena, gdy nie kliknięto niczego, co sugerowałoby transakcję, stanowi to poważne ryzyko.
Co sprawdzić przed zatwierdzeniem umowy
- Pełny adres witryny, a nie tylko logo
- Nazwa umowy, której dotyczy wniosek o autoryzację
- Kwota, którą umowa ma zarządzać: ograniczona lub nieograniczona
- Obecność protokołu w publicznej bazie danych lub agregatorze
Przechowuj frazę odzyskiwania w trybie offline
Fraza „seed” to prawdziwy właściciel portfela. Ktokolwiek ją posiada, może odzyskać portfel na dowolnym urządzeniu, nie pozostawiając po sobie śladu. Cyfrowa kopia tej frazy zamienia włamanie w natychmiastową kradzież. Plik na komputerze, notatka w chmurze, zrzut ekranu czy e-mail – wszystkie te elementy są łatwym celem.
Metody kradzieży nasion
- Oprogramowanie złośliwe skanujące komputer w poszukiwaniu takich terminów, jak „ziarno”, „mnemonik” i „klucz prywatny”
- Phishing za pomocą fałszywych formularzy odzyskiwania danych
- Zmodyfikowane rozszerzenia przeglądarki
Utrzymywanie frazy offline zapobiega kradzieży zdalnej. Niektórzy używają papieru, inni ognioodpornej płytki metalowej. Ważne jest, aby uniemożliwić pobranie kopii przez oprogramowanie lub atakującego.
Cofnij uprawnienia przyznane kontraktom
Każda podpisana umowa pozostaje aktywna do momentu jej odwołania. Umowa autoryzowana w 2023 roku może zostać wykorzystana w 2025 roku, jeśli jej twórca zniknie lub jego adres zostanie naruszony. Niektóre narzędzia umożliwiają przeglądanie i usuwanie tych autoryzacji. Regularna weryfikacja zapobiega wykorzystywaniu starej lub porzuconej umowy jako punktu wejścia.
Rozpoznawanie oznak oszustwa
ataki hakerskie na kryptowaluty wykorzystują psychologię. Najbardziej lukratywne oszustwa obiecują zrzuty, kopanie w chmurze, odwrotne zyski lub natychmiastowe nagrody. Pierwszy przelew odblokowuje drugi, a potem trzeci. Na każdym etapie protokół żąda dodatkowych uprawnień, aż do momentu opróżnienia portfela.
Typowe znaki ostrzegawcze
- Agresywna promocja w grupie Telegram lub Discord
- Zmodyfikowane adresy URL z brakującą literą lub dziwną subdomeną
- Prośba o nasionko lub klucz prywatny
- Nagrody, które są zbyt szybkie lub zbyt wysokie
Legalny protokół nigdy nie wymaga frazy początkowej. Jedyną legalną procedurą jest podpisanie z portfela, bez ujawniania dostępu.
Porównaj dAppprzed użyciem
Znana aplikacja zdecentralizowana dApp pozostawia weryfikowalne ślady: oficjalne adresy, dokumentację publiczną, audyty, społeczności, integracje. Anonimowy projekt, utworzony dwa tygodnie temu, bez audytów i transparentnych ogłoszeń, stwarza nieproporcjonalnie duże ryzyko. Rozsądek nakazuje sprawdzenie umowy w przeglądarce internetowej i porównanie jej z oficjalnym adresem opublikowanym przez projekt.
Wniosek
Bezpieczeństwo Web3 opiera się na prostych odruchach: podpisuj tylko to, co rozumiesz, trzymaj portfele osobno, trzymaj kapitał początkowy offline, korzystaj z VPN podczas podróży i preferuj cold wallet do dużych kwot. Ataki hakerskie na kryptowaluty są wymierzone w rozproszonych użytkowników, a nie w blockchain. Im więcej zweryfikowanych transakcji, tym mniejsze prawdopodobieństwo, że haker zmanipuluje kontrakt lub przejmie połączenie. Najlepszą ochroną pozostaje opanowanie działań i zrozumienie, co dzieje się podczas składania podpisu.
Inwestycje w kryptowaluty są ryzykowne. Crypternon nie może być pociągnięty do odpowiedzialności bezpośrednio lub pośrednio za jakiekolwiek szkody lub straty spowodowane po użyciu nieruchomości lub usługi przedstawionej w tym artykule. Czytelnicy muszą przeprowadzić własne badania przed podjęciem wszelkich działań i inwestowania tylko w granicach swoich zdolności finansowych. Wcześniejsze wyniki nie gwarantują przyszłych wyników. Ten artykuł nie stanowi porady inwestycyjnej.
Niektóre linki tego artykułu to linki sponsoringowe, co oznacza, że jeśli kupisz produkt lub zarejestrujesz się za pośrednictwem tych linków, zbierzemy prowizję ze strony sponsorowanej spółki. Te prowizje nie szkolą żadnych dodatkowych kosztów jako użytkownika, a niektóre sponsorowanie umożliwiają dostęp do promocji.
Zalecenia AMF. Nie ma gwarantowanej wysokiej wydajności, produkt o wysokim potencjale wynika, co oznacza wysokie ryzyko. To podejmowanie ryzyka musi być zgodne z twoim projektem, horyzontem inwestycyjnym i zdolnością do utraty części tych oszczędności. Nie inwestuj, jeśli nie jesteś gotowy stracić całości lub część swojego kapitału.
Wszystkie nasze artykuły podlegają rygorystycznej weryfikacji faktów. Każda kluczowa informacja jest weryfikowana ręcznie na podstawie wiarygodnych i uznanych źródeł. Kiedy cytujemy źródło, link jest systematycznie zintegrowany z tekstem i wyróżniany innym kolorem, aby zagwarantować przejrzystość i pozwolić czytelnikowi bezpośrednio skonsultować oryginalne dokumenty.
Aby pójść dalej, przeczytaj nasze strony prawne , politykę prywatności i ogólne warunki użytkowania .
YoAnn
Inżynier szkoleniowy szybko zainteresowałem się dziedziną finansów. Przekonany, że zdecentralizowane finanse mają przed sobą świetlaną przyszłość, uczestniczę w jego demokratyzacji poprzez rozwijanie Crypternon.
