Безопасность кошелька Metamask – как не потерять средства

Уже подробно, в своих постах, разбирал, что такое кошелек Метамаск и как его настроить, сегодня подробнее разберу вопросы безопасности, рассмотрю какие существуют угрозы и как их минимизировать.

Все риски разделяю на два типа:

1. Неконтролируемые, те на которые пользователь не может повлиять;

2. Контролируемые, те которые можно минимизировать.

Неконтролируемые риски

К этой категории можно отнести любой взлом кошелька на стороне издателя, взлом блокчейна или ограничения на использования средств. Если события из первых двух пунктов маловероятны и не реализовывались, то вариант с ограничением средств, хотя и частичным, вполне реален.

Не так давно пользователи стали жаловаться, что их Метамаск перестал работать в некоторых странах, дело оказалось не в самом Метамаске, а в Infura (система нод для приложений имеющая API и позволяющая разработчикам не создавать собственные узлы), которая выполняя санкционные требования перестала работать в определенных регионах.

Для пользователей такие ограничения не критичны, достаточно заменить в настройках кошелька URL-адрес RPC в настройках сети на альтернативный или воспользоваться сервисом VPN и подобрать IP адрес из разрешенных территорий.

Риски на которые можно влиять

Я вижу несколько основных «направлений» возможных атак мошенников:

1. Подключение приложений(сайтов) с излишними разрешениями на использование средств – наверное, самый распространенный скам, к кошельку просит доступ мошеннический сайт. Как избежать – не подключать кошелек ко всем подряд сайтам и регулярно проверять список подключенных сайтов в настройках. Пользоваться только надежными биржами, NFT маркетами и платформами для стейкинга. Адреса сайтов брать с CoinMarketCap или Coin Gecko;

2. Дискредитация сид-фразы. Никто и никогда не спрашивает сид-фразу, ее нельзя вводить на любых сайтах и предоставлять кому-либо. В интернете множество сайтов маскирующихся под официальные и требующие ввести сид-фразу. Любой сайт в интернете который спрашивает сид-фразу – мошенники. Сидфразу можно вводить только при восстановлении кошелька в официальном расширении или официальном приложении Metamask. Как избежать – не дискредитировать сид-фразу;

3. Доступ злоумышленников к устройству с кошельком, как физический так и «софтверный». Например – сервис для создания скриншотов был взломан и собирал сид-фразу при создании или восстановлении кошельков. Как избежать – не пользоваться хакнутым программным обеспечением, использовать пароли и шифрование диска на устройстве, серьёзно относится к разрешениям которые просят приложения;

4. Поддельные токены – это редкость, но бывает. Кто угодно может создать токен в блокчейне с любым названием, например может быть сколько угодно токенов USDT или USDC, но в отличии от оригинальных, эти токены подделки не имеют ценности и ничем не обеспеченны. Как избежать – проверяйте адреса смарт-контрактов при покупке криптовалюты, особенно на площадках децентрализованных финансов – DeFi;

5. Поддельные сайты и приложения, на мой взгляд, самая большая проблема, которая включает в себя первые два пункта, но заслуживает отдельного упоминания. Как избежать – всегда проверяйте адреса сайтов, например официальный адрес сайта Metamask это – https://metamask.io/, а официальный адрес сайта биржи Pancakeswap – https://pancakeswap.finance/ (мой разбор биржи здесь);

6. Бан токенов это новый уже реализовавшийся риск – компания Circle уже предупредила, что будет выполнять санкционные предписания правительства США. Как избежать – хранить средства в криптовалютах, а при использовании стейблкоинов распределять их в разных токенах и разных сетях.

7. Социальная инженерия – это отдельный вид мошенничества, когда преступники входят в доверие к жертве, например, представляются представителями Метамаска в телеграме и предлагают помощь. Как избежать – использовать только официальные каналы поддержки, у Метамаска это отдельный раздел на сайте и специальный аккаунт в Twitter.

Как безопасно использовать кошелек Метамаск

Не смотря на такое количество угроз, Метамаск остается надежным кошельком, хранящим приватные ключи на устройстве пользователя и как «платформа» еще ни разу не был скомпроментирован.

На мой взгляд, самым безопасным вариантом использования Metamask будет его использование с аппаратным кошельком (например Ledger), в этом случае Метамаск выступает внешним интерфейсом, а все приватные ключи хранятся на аппаратном кошельке, на нем же проходит подписание транзакций.

Остались вопросы? Появились новые? – добро пожаловать в комментарии!

Мой Telegram-канал с еженедельным дайджестом постов – https://t. me/polyanskiy_channel

В моем блоге вы найдете анализ перспективных проектов и технологий, обзоры и список лучших бирж, пошаговые инструкции по покупке биткоина и другой криптовалюты, а также разборы кошельков и подробные руководства для новичков и профессионалов. Присоединяйтесь! 🚀

0
21 комментарий
Написать комментарий...
Сергей Нагорный

Егор спасибо большое за полезную информацию

Ответить
Развернуть ветку
Физический Кирилл

Вы сказаль что Сид фразу нельзя никому отдать, но даже если это требует какае-то биржа, на пример okex, чтоб подключить метамаск к бирже?

Ответить
Развернуть ветку
Егор Полянский
Автор

Нет, никто никогда не спрашивает сид-фразу для подключения метамаска к какому-то сайту или бирже, скорее всего это не биржа, а скам мимикрирующий под Окекс. Не вводите сид-фразу там.

Ответить
Развернуть ветку
Физический Кирилл

Я написал бирже с офицалиного сайта, но действительно страно что они требовали у меня сид фразу. А что делать елси я им уже сообщил сид фразу? Мне повезло что в данный момент у меня там нету никакаих средства. Возможно как-то обезопасить кошелек или уже плздно, удалить и сделать новый?

Ответить
Развернуть ветку
Егор Полянский
Автор

Конечно сделать новый.

Ответить
Развернуть ветку
Щитпостер на зарплате

Ну неплохо, но имхо Atomic получше. Если не считать того, что туда нельзя добавить свои токены, да.

Ответить
Развернуть ветку
Steven M Vining

Ну что как дела с Atomic Wallet после взлома 🤡

Ответить
Развернуть ветку
Сева Семенов

Привет, если подписал транзакцию на скам сайте, но сейчас в подключенных сайтах его нет, значит ли это что мой кошелёк заскамили?

Ответить
Развернуть ветку
Егор Полянский
Автор

В теории – да, но я бы поменял кошелек, это почти ничего не стоит.

Ответить
Развернуть ветку
Дмитрий Владимирович

Спасибо за информацию! Насколько анонимны переводы с Метамаск на сторонние криптокошельки. Спасибо

Ответить
Развернуть ветку
Егор Полянский
Автор

Все транзакции видны в блокчейны, все поддерживающие EVM блокчейны публичны т.е. любой может посмотреть отправителей, получателей и суммы.

Ответить
Развернуть ветку
Владимир Нерадовский

А вот эту фразу я не понял: "На мой взгляд, самым безопасным вариантом использования Metamask будет его использование с аппаратным кошельком (например Ledger), в этом случае Метамаск выступает внешним интерфейсом, а все приватные ключи хранятся на аппаратном кошельке, на нем же проходит подписание транзакций." Я думал это совершенно отдельные не связанные друг с другом системы. Как конкретно работает этва связка Леджер-Метамаск?
Мои реальный интерес - купить Aptos (APT), но его конкретно Леджер сейчас не поддерживает, говорят поддерживает ТрастВаллет, может быть связка Леджер-ТрастВаллет?

Ответить
Развернуть ветку
Егор Полянский
Автор

Смысл связки Метамаск-Леджер в том, чтобы приватные ключи хранились в аппаратном кошельке и подписание проходило там же, это необходимо для снижения риска заражения устройств. Метамаск и Трастваллет это «софтовые» кошельки, один другой не защищает.

Ответить
Развернуть ветку
Екатерина Седельникова

Скажите. Что делать если у меня сняли средства с кошелька, я никому не говорила ни секретный код ничего, ни по каким ссылкам не проходила, сторонними сайтами не пользовалась только приложением, сегодня захожу и средств нет, их перевели кому то. Как это произошло и что делать((

Ответить
Развернуть ветку
Егор Полянский
Автор

Все транзакции и балансы кошельков хранятся в блокчейне, а кошелек (любой) выступает как интерфейс для переводов и хранилище приватных ключей.
В статье разобраны основные, читай наиболее часто встречаемые, варианты атак и способы снизить вероятность потери средств.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Сергей Нагорный

Я подписался на твой телеграм )

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Азат Заитов

Здравствуйте, нужна ваша помощь помогите пожалуйста разобраться в ситуации я зашел в свой кошелек и обнаружил пропажу своих средств. Мне друг говорит не переживать что мои средства были заморожены поскольку он видит их в полигонскане. Они там отображаются серым цветом. Говорит что нужно закинуть такую же сумму и они разморозятся. Правда ли это? Что означает серый цвет?

Ответить
Развернуть ветку
Никита Щепковский

Здравствуйте как то решили вопрос?

Ответить
Развернуть ветку
Александр

///

Ответить
Развернуть ветку
Александр

Мошенник узнал сид фразу и уже достовал с кошелька средства у меня под носом ! как мне это исправить ? Спасибо за информацию!

Ответить
Развернуть ветку
Егор Полянский
Автор

Не пользоваться этим кошельком, сделать новый. Никому не передавать сид-фразу.

Ответить
Развернуть ветку

Комментарий удален автором поста

Развернуть ветку
18 комментариев
Раскрывать всегда