ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ

Этот руководство ничего не гарантирует и не написано с точки зрения "крипто или эксперта по кибербезопасности".

Это является результатом непрерывного обучения из разных источников и личного опыта.

Например, я сам был обманут из-за FOMO и жадности очень рано (мошенничество с фейковым прямым эфиром и мошенничество с фейковым MEV-ботом), входя в эту сферу, поэтому я потратил время, чтобы серьезно учиться, настраивать и понимать безопасность.

Не будьте тем человеком, который вынужден учиться безопасности, потому что вы потеряли все или большое количество денег.

ВЗЛОМ ИЛИ ОШИБКА ПОЛЬЗОВАТЕЛЯ?

Все виды взломов кошельков/токенов/NFT или компрометации в целом можно разбить на две категории:

1. Злоупотребление ранее предоставленными одобрениями токенов.

2. Компрометация приватного ключа/мнемонической фразы (обычно на горячем кошельке).

ПОДТВЕРЖДЕНИЯ ТОКЕНА

Одобрения токенов в основном представляют собой разрешение для смарт-контракта на доступ и перемещение определенного типа или количества токенов с вашего кошелька.

Например:

1. Давая OpenSea разрешение на перемещение вашего NFT, чтобы вы могли его продать.
2. Дать разрешение Uniswap на ваши токены, чтобы вы могли совершить обмен. \
   \
   Если вы хотите прочитать дополнительные материалы о подтверждении токенов,вы можете прочитать эту тему здесь.

Для некоторого предварительного контекста, по сути, все на сети Ethereum, ЗА ИСКЛЮЧЕНИЕМ ETH, является токеном ERC-20.

Одно из свойств токенов ERC-20 - возможность предоставлять разрешения на согласование другим смарт-контрактам.

Эти разрешения требуются в какой-то момент, если вы хотите осуществлять основные взаимодействия с DeFi, такие как обмен или мост токенов.

Соответственно, NFT - токены ERC-721 и 1155; их механика утверждения работает аналогично ERC-20, но для рынков NFT.

Первоначальное уведомление о подтверждении токена от MetaMask (MM) предоставляет вам несколько информационных элементов, но наиболее актуальные из них:

• токен, для которого вы даете разрешение

• веб-сайт, с которым вы взаимодействуете

• смарт-контракт, с которым вы взаимодействуете

• возможность редактировать количество разрешений на токен

Под раскрывающимся полным описанием мы видим дополнительный элемент информации: функция утверждения.

Все токены ERC-20 должны иметь определенные характеристики и свойства, описанные в стандарте ERC-20.

Одним из преимуществ смарт-контрактов является возможность перемещения токенов на основе утвержденной суммы.

Опасность в этих разрешениях заключается в том, что если вы дадите разрешения на предоставление жетонов злонамеренному смарт-контракту, вы можете потерять/обесценить свои активы.

БЕСКОНЕЧНЫЕ ПРОТИВ СПЕЦИАЛЬНЫХ ОДОБРЕНИЙ ЛИМИТОВ (ТОКЕНЫ ERC-20)

Многие приложения DeFi по умолчанию будут запрашивать безлимитное подтверждение токена ERC20.

Это сделано для улучшения опыта пользователей, поскольку это более удобно и не требует будущих возможных одобрений, что экономит время и комиссии за газ.

ПОЧЕМУ ЭТО ВАЖНО?

Разрешение на неограниченное количество токенов потенциально ставит ваши средства под угрозу.

Ручное редактирование разрешения на токены на определенное количество устанавливает максимальное количество токенов, которое утвержденное приложение может переместить, пока не будет подписано новое разрешение на большее количество.

Это ограничивает ваши риски, если этот смарт-контракт будет использован. Если в dApp будет обнаружена уязвимость, на которую вы предоставили неограниченные разрешения, то вы рискуете потерять все утвержденные токены с кошелька, который удерживает эти активы и предоставил это разрешение.

СмотритеExploit Multichain WETH (WETH - обертка токена ERC-20 ETH)в качестве примера.

Этот часто используемый мост был злоупотреблен за счет недопустимого использования прошлых неограниченных разрешений на токены для изъятия средств у пользователей.

Пример (с использованием кошелька Zerion) изменения с неограниченных одобрений на ручные одобрения.

NFT УТВЕРЖДЕНИЯ

"setApprovalForAll" для NFT

Это обычно используемое, но потенциально опасное разрешение, обычно предоставляемое доверенным рынкам NFT, когда вы хотите продать свой NFT.

Это позволяет NFT быть передаваемым с помощью смарт-контракта рынка. Таким образом, когда вы продаете NFT покупателю, смарт-контракт этого рынка может автоматически переместить NFT покупателю.

Это одобрение предоставляет доступ ко всем токенам NFT с определенного адреса коллекции/контракта.

Это также может быть использовано злонамеренными веб-сайтами/контрактами для кражи ваших NFT.

ПРИМЕР ЗЛОУМЫШЛЕННОГО АКТЕРА, ЗЛОУПОТРЕБЛЯЮЩЕГО «SETAPPROVALFORALL»

Классическое 'опустошение кошелька' для ситуации без страха пропуска момента выглядит так:

Пользователь переходит на вредоносный веб-сайт, в который он верит, что он легитимный.

Когда они подключают свой кошелек к веб-сайту, веб-сайт может видеть только содержимое кошелька.

Однако они используют это для сканирования кошелька на предмет NFT с наивысшей стоимостью и предлагают MM «установить разрешение для всех» для адреса контракта для этого NFT.

Пользователь думает, что он чеканит монеты, но на самом деле он дает зловредному контракту разрешение на перемещение этих токенов.

Мошенник затем крадет токены и ликвидирует их через открытые ставки OS или Blur, прежде чем предмет будет отмечен как украденный.

ПОДПИСИ ПРОТИВ ОДОБРЕНИЙ

Утверждения ТРЕБУЮТ газа, так как они обрабатывают транзакцию.

Подписи бесгазовые и часто используются для входа в dApps, чтобы доказать, что вы контролируете соответствующий кошелек.

Подписи обычно являются менее рискованными действиями, но могут быть использованы для эксплуатации ранее полученных одобрений для доверенных сайтов, таких как OpenSea.

Также возможно (для ERC-20) изменять свои одобрения с помощью бесплатной подписи, так как функции разрешения были недавно введены на ETH.

Это можно увидеть, если вы используете DEX, такой как 1inch.

Чтение этого более подробноздесь.

ВЫВОДЫ ОБОДОБРЕНИЯ ТОКЕНОВ

Будьте осторожными, когда вы даете согласия на что-либо, убедитесь, что вы знаете, для каких токенов вы даете согласие и для какого смарт-контракта (используйте etherscan).

Ограничьте свой риск до утверждений:

1. Используйте несколько кошельков (разрешения зависят от конкретного кошелька) – не подписывайте разрешения для вашего хранилища/кошелька с высокой стоимостью.
2. Идеально уменьшить или полностью избежать предоставления неограниченных одобрений для ERC-20.
3. Периодически проверяйте и отзывайте разрешения через etherscan или revoke.cash.

Revoke.cash это веб-сайт, который позволяет легко отзывать разрешения на различные токены.

АППАРАТНЫЕ/ХОЛОДНЫЕ КОШЕЛЬКИ

Горячие кошельки подключены к Интернету через ваш компьютер или телефон. Ключи / учетные данные кошелька хранятся онлайн или локально в вашем браузере.

Холодные кошельки - это аппаратные устройства, где ключ генерируется и хранится ИСКЛЮЧИТЕЛЬНО офлайн и физически рядом с вами.

Учитывая, что бухгалтерский баланс составляет около 120 долларов, если у вас есть более 1000 долларов в криптовалютных активах, вам, вероятно, следует купить и настроить Ledger. Вы можете подключить (а не импортировать) свои кошельки Ledger в свою MM, чтобы иметь ту же функциональность, что и у другого горячего кошелька, сохраняя при этом уровень безопасности.

Ledger и Trezor самые популярные. Мне нравится Ledger, так как он наиболее совместим с браузерными кошельками (подобно Rabby и MM).

ЛУЧШИЕ ПРАКТИКИ ПРИ ПОКУПКЕ LEDGER

Всегда покупайте на официальном сайте производителя, НЕ покупайте на Ebay или Amazon = потенциально скомпрометированное / предварительно загруженное вредоносное ПО.

Убедитесь, что упаковка запечатана при получении товара.

При первоначальной настройке журнала будет сгенерирована фраза для восстановления.

ТОЛЬКО когда-либо пишите семя на ФИЗИЧЕСКОЙ бумаге или стальной пластине на будущую дату, чтобы ваше семя было огнезащитным и водонепроницаемым.

НИКОГДА не фотографируйте или не вводите сид-фразу ни в какую клавиатуру (включая телефон). Таким образом, вы цифровизируете сид-фразу, и ваш «холодный» кошелек превращается в небезопасный «горячий» кошелек.

Крипто не хранится непосредственно на аппаратном кошельке, а «внутри» кошелька, созданного на основе фразы-сида.

Seed-фраза (12-24 слова) - это ВСЕ, она должна быть защищена любой ценой.

Это дает полный контроль/доступ ко ВСЕМ кошелькам, созданным по этой мнемонической фразе.

Сид не привязан к конкретному устройству, вы можете «импортировать» его в другой аппаратный кошелек в качестве резервной копии, если это необходимо.

Если потеряно/уничтожено зерно и оригинальный аппаратный кошелек потерян/уничтожен/заблокирован = потеря доступа ко всем вашим активам навсегда.

Существуют различные уровни хранения семенного ключа, такие как разделение на несколько частей, добавление физического расстояния между частями, хранение его в неприметных местах (банка с супом внизу морозильника, под землей где-то на вашей собственности и т. д.)

Минимально у вас должно быть как минимум 2-3 копии, одна из которых должна быть на стали, чтобы защитить от воды и огня.

«Приватный ключ» похож на фразу-семя, но только для 1 конкретного кошелька. Обычно он используется для импорта горячих кошельков в новый аккаунт MM или в автоматизированных инструментах, таких как торговые боты.

25-Е СЛОВО - ЛЕДЖЕР

Помимо исходного 24-словного кода, у Ledger есть дополнительная опциональная функция безопасности.

Тем Фраза - это расширенная функция, которая добавляет 25-е слово на ваш выбор из максимум 100 символов к вашей фразе для восстановления.

Использование парольной фразы приведет к созданию совершенно другого набора адресов, к которым нельзя получить доступ только с помощью 24-словной фразы для восстановления.

Помимо добавления еще одного уровня, Фраза для доступа предоставляет вам возможность отрицать, находясь под давлением.

Если вы используете парольную фразу, важно хранить ее в безопасном месте или запомнить ее точно, символ за символом и с учетом регистра.

Это единственная и окончательная защита от ситуаций "атаки ключом за $5", когда вас физически угрожают.

ЗАЧЕМ ПРОХОДИТЬ ВСЮ ЭТУ ТРЕНИРОВКУ ДЛЯ НАСТРОЙКИ АРМИРОВАННОГО КОШЕЛЬКА?

Горячие кошельки хранят приватные ключи в месте, которое подключено к интернету.

Легко оказаться обманутым, обманутым и манипулированным в раскрытии этих учетных данных через Интернет.

Иметь холодный кошелек означает, что мошеннику физически нужно найти и забрать ваш бумажник или ключ, чтобы получить доступ к этим кошелькам и активам внутри них.

Seed compromised = все горячие кошельки и активы внутри находятся под угрозой, даже те, которые не взаимодействовали с вредоносным сайтом/контрактом.

Обычные способы, как люди были «взломаны» в прошлом

Распространенные способы, которыми люди в прошлом были «взломаны» (компрометация фразы-сида) через горячие кошельки.

1. Обманом загружают вредоносное ПО через PDF-файлы с предложением работы, "бета-тестирование" игр, запуск макросов через Google Sheets, имитацию законных сайтов и услуг.

2. Взаимодействие с вредоносными контрактами: создание FOMO с помощью подделанного сайта, взаимодействие с контрактом из неизвестных распространенных/полученных NFT.

3. Вставка или отправка ключей и семян в «службу поддержки» или связанную программу/форму.

ПРИМЕРЫ И РАЗБОР ВЫСОКОПРОФИЛЬНЫХ 'ВЗЛОМОВ'

Kevin Rose: пошел, чтобы выпустить коллекцию (арт-блок), подписал транзакцию сигнатуры (без газа), думая, что он просто входит на сайт выпуска.

Но Seaport (новый контракт OpenSea marketplace) позволяет вам создавать настраиваемые заказы, которые вы затем можете принять всего лишь подписью.

Поскольку Кевин уже дал согласие на передачу своих активов контракту OpenSea, хакер обманул его, заставив подписать сигнатуру, которая выполнила заказ на продажу всех дорогостоящих NFT Кевина бесплатно/~$1 хакеру.

Основные моменты:

Подписи также могут быть злоупотреблены, если они воспользуются ранее предоставленными одобрениями, даже если это одобрение было предоставлено доверенному источнику

Не подписывайте разрешения OpenSea (OS) на других сайтах, кроме OS, не взаимодействуйте с контрактами или сайтом, если у вас есть кошелек «grail/main vault», отправьте его на промежуточный кошелек, а затем взаимодействуйте.

NFT_GOD: использовал опцию импорта учетной записи (в отличие от добавления аппаратного кошелька) в MetaMask и ввел свою мнемоническую фразу в MetaMask при настройке своего Ledger.

Это фактически превратило его холодный кошелек в горячий кошелек — помните предыдущее золотое правило никогда не оцифровывать seed-фразу.

Затем он, похоже, скачал фальшивое ПО для записи OBS, называемое ODS, которое рекламировалось как реклама в верхней части поиска Google.

Это был вредоносный код, поэтому он украл фразу-сид, затем украл все активы на его горячих кошельках и, следовательно, на его холодных кошельках.

Основной вывод:

НИКОГДА не цифровизируйте свою мнемоническую фразу никаким образом, не вводите ее в любую форму клавиатуры (в том числе на телефоне) или не фотографируйте (автоматическое резервное копирование в облачных сервисах также подвергает людей риску.)

Отказ от ответственности：

1. Эта статья взята из [Проницательные Инсайдеры], Пересылка оригинального заголовка 'Как больше никогда не попадать в крипто мошенничество', Все авторские права принадлежат оригинальному автору [ПРОЗОРЛИВЫЙ]. Если есть возражения против этой перепечатки, пожалуйста, свяжитесь с Gate Learnкоманда, и они незамедлительно разберутся с этим.

2. Отказ от ответственности: Взгляды и мнения, выраженные в этой статье, являются исключительно мнениями автора и не являются инвестиционным советом.

3. Переводы статьи на другие языки выполняются командой Gate Learn. Если не указано иное, копирование, распространение или плагиат переведенных статей запрещено.