5 способов потерять криптовалюту на личном некастодиальном кошельке

Учимся защищать деньги на криптокошельке от непрошенных гостей и вычислять мошеннические схемы

5 способов потерять криптовалюту на личном некастодиальном кошельке

Краткое содеражание:

Материал подготовлен командой криптовалютной платформы Bitbanker

Практически каждый пользователь криптовалют хотя бы раз пользовался некастодиальным кошельком, таким как Metamask, Trust Wallet, Phantom и Ledger.

Это программное обеспечение, позволяющее иметь полный контроль над криптоактивами, в отличие от кастодиальных (биржевых) кошельков.

Как показывает практика, пользователи теряют большие объемы активов не по своей вине, храня их именно на биржах. Это иллюстрирует недавний крах FTX, приостановка выводов средств с биржи и последующий взлом горячих кошельков. Только через два месяца после этого компания начала решать вопрос с утерянными средствами пользователей. На данный момент нашли лишь $5 млрд из $8 млрд, которые биржа должна вернуть.

Однако факт использования некастодиального кошелька не гарантирует полную безопасность хранящихся на нем средств. Зачастую люди совершают ошибки из-за невнимательности или по незнанию. В этой статье мы разберем пять способов лишиться цифровых активов при использовании некастодиальных кошельков.

1. Предоставление разрешения на трату средств на непроверенном сайте

Предоставив разрешение на трату средств всего раз, вы можете лишиться их в будущем.

Если вы хотите обменять свои USDT на децентрализованной бирже, такой как 1inch, первым делом нужно предоставить сайту разрешение на трату токенов.

5 способов потерять криптовалюту на личном некастодиальном кошельке

Эта транзакция называется approve. Вы даете третьему лицу разрешение на управление какой-либо частью токенов. Только во второй транзакции, уже после approve, вы можете совершить обмен. При последующих операциях делать approve не понадобится, так как разрешение на неограниченный доступ к токенам уже дано.

В случае с 1inch не стоит беспокоиться о предоставлении неограниченного доступа к токенам, ведь компания дорожит своей репутацией и существует достаточно давно.

Однако стоит вспомнить, где еще вы могли расплачиваться ERC-20 токенами (такими, как USDT, USDC, DAI и т.д.), и как можно отозвать все разрешения.

Потенциальные злоумышленники могли распродавать свои NFT-коллекции, запрашивая неограниченный доступ к активам. Затем мошенникам оставалось ждать подходящего момента для обналичивания ваших средств.

Для предотвращения таких ситуаций существует revoke.cash. Там можно проверить, у какого адреса есть возможность потратить ваши токены.

5 способов потерять криптовалюту на личном некастодиальном кошельке

Чтобы отозвать разрешение, необходимо напротив суммы (или слова «Unlimited») нажать на карандаш и вписать значение «0».

Эта операция требует оплаты комиссии. В сети Ethereum это может обойтись в круглую сумму. Поэтому лучше проделывать такое только с ненадежными адресами.

Чтобы избежать необходимости ограничивать адреса в тратах и избегать любые непроверенные сайты, можно использовать два кошелька:

  • один для работы с платформами и сайтами;
  • второй для хранения средств.

Так вы не будете разрешать никаким третьим лицам использовать ваши активы. Когда нужно обменять криптовалюту, вы отправляете токены на первый адрес со второго, совершаете обмен через первый и выводите обратно на второй. Комиссии будут больше, так как придется делать две дополнительные транзакции, но при использовании дешевых сетей, вы повысите свою безопасность за небольшую плату.

2. Подпись на непроверенном сайте

Для потери средств не обязательно отправлять транзакцию, достаточно лишь одобрить запрос на подпись.

Approve дает разрешение распоряжаться балансом какого-либо токена из вашего кошелька, а подпись используется для офф-чейн операций, например для подтверждения владения адресом

Сейчас некоторые кошельки научились определять опасные подписи и выводить текст с предупреждением, в остальных случаях подпись безопасна. К одному из таких кошельков относится Metamask.

Поэтому просто избегайте взаимодействий с непроверенными сайтами в случаях, когда кошелек оповещает вас таким сообщением.

5 способов потерять криптовалюту на личном некастодиальном кошельке

3. Покупка неизвестного токена

Некоторые люди любят покупать какие-либо монеты на инфоповодах, чаще всего это мем-коины. Например, недавно произошел хайп вокруг $BONK — собачья монета от Solana. У таких активов нет никакого практического назначения, оно исключительно спекулятивное.

Если вы думали, что можно безопасно купить малоизвестную монету и через час ее продать — вы глубоко ошибаетесь. Далеко не все ERC-20 токены одинаковы, они лишь имеют общий шаблон. Некоторые из них смоделированы так, чтобы вы могли только покупать их.

Например, набравший популярность за счет сериала Squid Game токен $SQUID был одним из так называемых «Honeypot». Смарт-контракт разработан таким образом, что только доверенные адреса могли управлять ликвидностью и извлекать из нее имеющие ценность токены USDT и wBNB (обернутый BNB). Благодаря этому цена $SQUID только росла, а люди думали, что смогут быстро заработать на перепродаже. И это длилось до тех пор, пока создатели скам-токена не извлекли всю ликвидность.

Резкое падение курса $SQUID

Чтобы проверить ERC-20 токен на возможность свободно им торговать, можно использовать бесплатный сервис Honeypot.is. Обратите внимание, что разработчики скам-монет могут в любое время отключать и включать функцию продажи, если эта возможность предусмотрена в контракте.

Подобные сервисы показывают лишь возможность продавать монету в текущий момент времени. Именно поэтому следует воздерживаться от спекуляций с малоизвестными токенами.

4. Утечка приватного ключа или seed-фразы

Иногда мошенникам под различными предлогами удается убеждать людей в том, что можно безопасно передавать seed-фразу или приватный ключ.

Давайте еще раз вспомним, что это такое:

5 способов потерять криптовалюту на личном некастодиальном кошельке

Seed phrase — это фраза из 12, 18 или 24 слов. Обычно люди хранят ее в текстовом документе на компьютере, однако лучше хранить важные данные на съемных носителях, либо на бумаге.

Закрытый ключ — это секретный ключ для шифрования/дешифрования сообщений, проходящих через ваш некастодиальный кошелек. На программном уровне для доступа к аккаунту используется именно он, а фраза из 12 слов является лишь интерпретацией этого ключа.

Пароль от кошелька также является одним из способов получения доступа к активам. Злоумышленник может достать закрытый ключ, имея доступ к вашему устройству и паролю.

Чтобы не потерять свои активы, старайтесь хранить информацию о паролях и ключах в надежном месте

5. Запуск зараженных файлов

Заражение компьютера ведет к возможной потере активов на некастодиальном кошельке. Это может быть сделано следующим образом:

  • Вы скачиваете зараженный файл. Это чаще всего .exe или .lnk файлы. Антивирус может не отреагировать, ведь сейчас опытные хакеры используют криптование для устранения возможности обнаружения.
  • Злоумышленник извлекает Vault Data от Metamask из вашего браузера. Это зашифрованная seed-фраза и для ее дешифрования необходимо использовать пароль от Metamask.
  • Далее хакер удаленно использует дешифратор для извлеченных данных. На данном этапе получение доступа к вашему аккаунту — дело времени.
  • Для подбора пароля используют вычислительные мощности в виде высокопроизводительных видеокарт, процесс взлома может занять как 10 минут, так и несколько дней. Все зависит от того, насколько сложный пароль вы задали.

Чтобы обезопасить себя от возможной потери средств, обязательно пользуйтесь антивирусом и не скачивайте подозрительные файлы. В случае обнаружения факта заражения нужно оперативно перевести средства на новый кошелек.

Bitbanker — это криптовалютная платформа, которая предлагает легкий способ работы с криптовалютой. В Bitbanker можно купить или продать USDT, BTC, ETH, рубли, доллары и дирхамы ОАЭ. Свободные средства можно положить на депозит со ставкой до 8% годовых в USDT и рублях, а если есть потребность в деньгах, можно взять кредит. Для фрилансеров и онлайн-бизнеса есть криптоэквайринг.

Другие интересные материалы можно посмотреть в Telegram-канале СЕО Bitbanker:

Будем рады ответить на ваши вопросы в комментариях.

1111
6 комментариев

«Чтобы избежать необходимости ограничивать адреса в тратах и избегать любые непроверенные сайты, можно использовать два кошелька:

один для работы с платформами и сайтами;
второй для хранения средств.»

Думаю самый дельный и можно сказать банальный совет. Кошелек для хранения средств лучше никогда не использовать напрямую, а выводить через дополнительный (свой) кошелек

В случае с хонейпот, всегда нужно заглядывать в аудит проекта. И чтобы аудит разумеется был проведен от независимых компаний. А на проекты с плохим аудитом не стоит тратить свое время ради желаемых х100500

Сколько людей не учи, не предупреждай, все равно будут делать ошибки))). Тому доказательство, что каждый день люди скажем так позволяют себя обманывать даже в тг-переписках причем на деньги разумеется :)

Вроде как сид фраза бывает не только состоящая из 12 слов, а также из 18 и 24 слов

Спасибо, что поправили нас, исправили данные в статье. Во многих кошельках, в том числе и у MetaMask, сид-фраза состоит из 12 слов, поэтому мы использовали одно из самых популярных значений.

У меня вопрос такой. Если крипта хранится в Trust wallet, какова вероятность, что какое-то другое приложение, установленное на телефоне, сможет само вычитать сид фразу? Телефон не рутован.