Безопасность кошелька Metamask – как не потерять средства

Оригинал статьи здесь.

Уже подробно, в своих постах, разбирал, что такое кошелек Метамаск и как его настроить, сегодня подробнее разберу вопросы безопасности, рассмотрю какие существуют угрозы и как их минимизировать.

Безопасность кошелька Metamask – как не потерять средства

Все риски разделяю на два типа:

1. Неконтролируемые, те на которые пользователь не может повлиять;

2. Контролируемые, те которые можно минимизировать.

Неконтролируемые риски

К этой категории можно отнести любой взлом кошелька на стороне издателя, взлом блокчейна или ограничения на использования средств. Если события из первых двух пунктов маловероятны и не реализовывались, то вариант с ограничением средств, хотя и частичным, вполне реален.

Не так давно пользователи стали жаловаться, что их Метамаск перестал работать в некоторых странах, дело оказалось не в самом Метамаске, а в Infura (система нод для приложений имеющая API и позволяющая разработчикам не создавать собственные узлы), которая выполняя санкционные требования перестала работать в определенных регионах.

Для пользователей такие ограничения не критичны, достаточно заменить в настройках кошелька URL-адрес RPC в настройках сети на альтернативный или воспользоваться сервисом VPN и подобрать IP адрес из разрешенных территорий.

Риски на которые можно влиять

Я вижу несколько основных «направлений» возможных атак мошенников:

1. Подключение приложений(сайтов) с излишними разрешениями на использование средств – наверное, самый распространенный скам, к кошельку просит доступ мошеннический сайт. Как избежать – не подключать кошелек ко всем подряд сайтам и регулярно проверять список подключенных сайтов в настройках. Пользоваться только надежными биржами, NFT маркетами и платформами для стейкинга. Адреса сайтов брать с CoinMarketCap или Coin Gecko;

2. Дискредитация сид-фразы. Никто и никогда не спрашивает сид-фразу, ее нельзя вводить на любых сайтах и предоставлять кому-либо. В интернете множество сайтов маскирующихся под официальные и требующие ввести сид-фразу. Любой сайт в интернете который спрашивает сид-фразу – мошенники. Сидфразу можно вводить только при восстановлении кошелька в официальном расширении или официальном приложении Metamask. Как избежать – не дискредитировать сид-фразу;

3. Доступ злоумышленников к устройству с кошельком, как физический так и «софтверный». Например – сервис для создания скриншотов был взломан и собирал сид-фразу при создании или восстановлении кошельков. Как избежать – не пользоваться хакнутым программным обеспечением, использовать пароли и шифрование диска на устройстве, серьёзно относится к разрешениям которые просят приложения;

4. Поддельные токены – это редкость, но бывает. Кто угодно может создать токен в блокчейне с любым названием, например может быть сколько угодно токенов USDT или USDC, но в отличии от оригинальных, эти токены подделки не имеют ценности и ничем не обеспеченны. Как избежать – проверяйте адреса смарт-контрактов при покупке криптовалюты, особенно на площадках децентрализованных финансов – DeFi;

5. Поддельные сайты и приложения, на мой взгляд, самая большая проблема, которая включает в себя первые два пункта, но заслуживает отдельного упоминания. Как избежать – всегда проверяйте адреса сайтов, например официальный адрес сайта Metamask это – https://metamask.io/, а официальный адрес сайта биржи Pancakeswap – https://pancakeswap.finance/ (мой разбор биржи здесь);

6. Бан токенов это новый уже реализовавшийся риск – компания Circle уже предупредила, что будет выполнять санкционные предписания правительства США. Как избежать – хранить средства в криптовалютах, а при использовании стейблкоинов распределять их в разных токенах и разных сетях.

7. Социальная инженерия – это отдельный вид мошенничества, когда преступники входят в доверие к жертве, например, представляются представителями Метамаска в телеграме и предлагают помощь. Как избежать – использовать только официальные каналы поддержки, у Метамаска это отдельный раздел на сайте и специальный аккаунт в Twitter.

Как безопасно использовать кошелек Метамаск

Не смотря на такое количество угроз, Метамаск остается надежным кошельком, хранящим приватные ключи на устройстве пользователя и как «платформа» еще ни разу не был скомпроментирован.

На мой взгляд, самым безопасным вариантом использования Metamask будет его использование с аппаратным кошельком (например Ledger), в этом случае Метамаск выступает внешним интерфейсом, а все приватные ключи хранятся на аппаратном кошельке, на нем же проходит подписание транзакций.

Остались вопросы? Появились новые? – добро пожаловать в комментарии!

Мой Telegram-канал с еженедельным дайджестом постов – https://t. me/polyanskiy_channel

В моем блоге вы найдете анализ перспективных проектов и технологий, обзоры и список лучших бирж, пошаговые инструкции по покупке биткоина и другой криптовалюты, а также разборы кошельков и подробные руководства для новичков и профессионалов. Присоединяйтесь! 🚀

1313
21 комментарий

Егор спасибо большое за полезную информацию

1

Вы сказаль что Сид фразу нельзя никому отдать, но даже если это требует какае-то биржа, на пример okex, чтоб подключить метамаск к бирже?

Нет, никто никогда не спрашивает сид-фразу для подключения метамаска к какому-то сайту или бирже, скорее всего это не биржа, а скам мимикрирующий под Окекс. Не вводите сид-фразу там.

1

Ну неплохо, но имхо Atomic получше. Если не считать того, что туда нельзя добавить свои токены, да.

Ну что как дела с Atomic Wallet после взлома 🤡

Привет, если подписал транзакцию на скам сайте, но сейчас в подключенных сайтах его нет, значит ли это что мой кошелёк заскамили?

В теории – да, но я бы поменял кошелек, это почти ничего не стоит.