#Web3SecurityGuide

Web3SecurityGuide – Основные шаги для защиты ваших криптоактивов

Безопасность — это не разовая настройка. Это постоянная практика. Вот практическое руководство, как сохранять ваши активы в безопасности в Web3.

1. Seed-фразы — ваш кошелек

Ваша seed-фраза из 12 или 24 слов полностью контролирует ваши средства. Любой, у кого есть эти слова, может мгновенно опустошить ваш кошелек.

Никогда не вводите seed-фразу на каком-либо веб-сайте, в приложении или всплывающем окне. Никогда не храните её в виде скриншота на телефоне или текстового файла на компьютере. Запишите её на бумаге или нанесите на металл. Храните в надежном месте, недоступном для цифровых устройств.

Если кто-то просит у вас seed-фразу, он пытается украсть у вас. Ни одна легитимная служба поддержки никогда не попросит её.

2. Используйте аппаратные кошельки для значительных сумм

Аппаратные кошельки хранят ваши приватные ключи офлайн. Они невосприимчивы к вредоносным программам, кейлоггерам и удаленным взломам.

Для любых сумм, которые вы не готовы потерять, используйте аппаратный кошелек. Для ежедневных торгов и небольших балансов подойдет программный кошелек, например MetaMask, но он сопряжен с более высоким риском.

Никогда не вводите seed-фразу аппаратного кошелька в какой-либо программный кошелек.

3. Регулярно отзывать токен-аппрувы

Каждый раз, когда вы обмениваете токены или взаимодействуете с DeFi protocol(s), вы предоставляете разрешение этому контракту тратить ваши токены. Старые, неиспользуемые разрешения — это серьезный вектор атаки.

Используйте бесплатные инструменты, такие как Revoke cash или проверку токен-аппрувов на Etherscan, чтобы еженедельно просматривать и отзывать разрешения. Удаляйте разрешения для протоколов, которыми вы больше не пользуетесь.

4. Проверяйте каждую транзакцию перед подписанием

Злоумышленные контракты могут маскироваться под легитимные. Всегда внимательно читайте предварительный просмотр транзакции перед подписанием.

Следите за запросами на бесконечный апрув, когда контракт просит неограниченный доступ к расходованию. Обращайте внимание на неожиданные имена функций или адреса получателей, которые вам неизвестны. Замедляйтесь. Мошенники рассчитывают на скорость и отвлечение.

5. Разделяйте кошельки для разных видов активности

Используйте один кошелек для долгосрочного хранения. Используйте отдельный кошелек для взаимодействий с DeFi, минтинга и торговли. Используйте третий кошелек для тестирования новых протоколов или подключения к незнакомым сайтам.

Если один кошелек будет скомпрометирован, остальные ваши средства останутся в безопасности. Эта стратегия изоляции ничего не стоит, но спасает всё.

6. Остерегайтесь фишинговых атак

Большинство краж криптовалют начинаются с фальшивой ссылки. Мошенники выдают себя за легитимные протоколы, биржи и даже новостные источники.

Добавляйте в закладки официальные URL-адреса всех протоколов, которыми вы пользуетесь. Никогда не кликайте по Google-рекламе, чтобы перейти на сайт. Дважды проверяйте URL перед подключением кошелька. Не доверяйте личным сообщениям с предложениями поддержки или заявлениями о срочных проблемах с вашей учетной записью.

7. Держите ПО в актуальном состоянии

Устаревшие расширения кошельков, версии браузеров и операционные системы содержат известные уязвимости.

По возможности включайте автоматические обновления. Используйте отдельный браузер для криптоактивностей и устанавливайте в него только необходимые расширения. Удаляйте расширения, которыми вы больше не пользуетесь.

8. Сначала тестируйте небольшие суммы

Прежде чем переводить значительные средства на новый адрес или взаимодействовать с новым протоколом, отправьте небольшую тестовую транзакцию.

Убедитесь, что адрес получателя указан правильно. Убедитесь, что контракт работает так, как ожидается. Когда тест пройдет успешно, переходите к более крупному переводу. Терпение предотвращает необратимые потери.

9. Понимайте риски взаимодействия со смарт-контрактами

DeFi protocol(s) могут быть взломаны. Стейблкоины могут потерять привязку. Мосты могут быть использованы для атак. Даже если вы применяете корректные практики безопасности, это не защитит вас, если базовый контракт имеет уязвимости.

В протоколы стоит помещать только то, что вы готовы полностью потерять. Диверсифицируйте по нескольким платформам и цепочкам. Следите за новостями по протоколам и при сообщениях об уязвимостях приостанавливайте активность.

10. Заранее продумайте план реагирования на инциденты

Знайте точно, что делать, если вы подозреваете компрометацию. Немедленно отключите свой кошелек от любого dApp. Переместите оставшиеся средства на новый кошелек, если у вас еще есть такая возможность. Отзовите все разрешения с компрометированного кошелька.

Если ваша seed-фраза была раскрыта, считайте, что под угрозой находится каждый актив в этом кошельке. Создайте новый кошелек с новой seed-фразой и переведите средства до того, как это сделает злоумышленник.

Финальное правило

Безопасность — это скучно. Потери — нет. Отдавайте приоритет скучным привычкам, а не захватывающим коротким путям. Лучшее руководство по безопасности — то, которое вы реально соблюдаете каждый день.

Будьте в безопасности. Будьте скептичны. Собирайте защиту в тишине.