Безопасность кошелька Metamask – как не потерять средства
Риски на которые можно влиять
Я вижу несколько основных «направлений» возможных атак мошенников:
1. Подключение приложений(сайтов) с излишними разрешениями на использование средств – наверное, самый распространенный скам, к кошельку просит доступ мошеннический сайт. Как избежать – не подключать кошелек ко всем подряд сайтам и регулярно проверять список подключенных сайтов в настройках. Пользоваться только надежными биржами, NFT маркетами и платформами для стейкинга. Адреса сайтов брать с CoinMarketCap или Coin Gecko;
2. Дискредитация сид-фразы. Никто и никогда не спрашивает сид-фразу, ее нельзя вводить на любых сайтах и предоставлять кому-либо. В интернете множество сайтов маскирующихся под официальные и требующие ввести сид-фразу. Любой сайт в интернете который спрашивает сид-фразу – мошенники. Сидфразу можно вводить только при восстановлении кошелька в официальном расширении или официальном приложении Metamask. Как избежать – не дискредитировать сид-фразу;
3. Доступ злоумышленников к устройству с кошельком, как физический так и «софтверный». Например – сервис для создания скриншотов был взломан и собирал сид-фразу при создании или восстановлении кошельков. Как избежать – не пользоваться хакнутым программным обеспечением, использовать пароли и шифрование диска на устройстве, серьёзно относится к разрешениям которые просят приложения;
4. Поддельные токены – это редкость, но бывает. Кто угодно может создать токен в блокчейне с любым названием, например может быть сколько угодно токенов USDT или USDC, но в отличии от оригинальных, эти токены подделки не имеют ценности и ничем не обеспеченны. Как избежать – проверяйте адреса смарт-контрактов при покупке криптовалюты, особенно на площадках децентрализованных финансов – DeFi;
5. Поддельные сайты и приложения, на мой взгляд, самая большая проблема, которая включает в себя первые два пункта, но заслуживает отдельного упоминания. Как избежать – всегда проверяйте адреса сайтов, например официальный адрес сайта Metamask это – https://metamask.io/, а официальный адрес сайта биржи Pancakeswap – https://pancakeswap.finance/ (мой разбор биржи здесь);
6. Бан токенов это новый уже реализовавшийся риск – компания Circle уже предупредила, что будет выполнять санкционные предписания правительства США. Как избежать – хранить средства в криптовалютах, а при использовании стейблкоинов распределять их в разных токенах и разных сетях.
7. Социальная инженерия – это отдельный вид мошенничества, когда преступники входят в доверие к жертве, например, представляются представителями Метамаска в телеграме и предлагают помощь. Как избежать – использовать только официальные каналы поддержки, у Метамаска это отдельный раздел на сайте и специальный аккаунт в Twitter.
Как безопасно использовать кошелек Метамаск
Не смотря на такое количество угроз, Метамаск остается надежным кошельком, хранящим приватные ключи на устройстве пользователя и как «платформа» еще ни разу не был скомпроментирован.
На мой взгляд, самым безопасным вариантом использования Metamask будет его использование с аппаратным кошельком (например Ledger), в этом случае Метамаск выступает внешним интерфейсом, а все приватные ключи хранятся на аппаратном кошельке, на нем же проходит подписание транзакций.
Остались вопросы? Появились новые? – добро пожаловать в комментарии!
Мой Telegram-канал с еженедельным дайджестом постов – https://t. me/polyanskiy_channel
В моем блоге вы найдете анализ перспективных проектов и технологий, обзоры и список лучших бирж, пошаговые инструкции по покупке биткоина и другой криптовалюты, а также разборы кошельков и подробные руководства для новичков и профессионалов. Присоединяйтесь! 🚀
Егор спасибо большое за полезную информацию
Вы сказаль что Сид фразу нельзя никому отдать, но даже если это требует какае-то биржа, на пример okex, чтоб подключить метамаск к бирже?
Нет, никто никогда не спрашивает сид-фразу для подключения метамаска к какому-то сайту или бирже, скорее всего это не биржа, а скам мимикрирующий под Окекс. Не вводите сид-фразу там.
Ну неплохо, но имхо Atomic получше. Если не считать того, что туда нельзя добавить свои токены, да.
Ну что как дела с Atomic Wallet после взлома 🤡
Привет, если подписал транзакцию на скам сайте, но сейчас в подключенных сайтах его нет, значит ли это что мой кошелёк заскамили?
В теории – да, но я бы поменял кошелек, это почти ничего не стоит.