Безопасность кошелька Metamask – как не потерять средства
Уже подробно, в своих постах, разбирал, что такое кошелек Метамаск и как его настроить, сегодня подробнее разберу вопросы безопасности, рассмотрю какие существуют угрозы и как их минимизировать.
Все риски разделяю на два типа:
1. Неконтролируемые, те на которые пользователь не может повлиять;
2. Контролируемые, те которые можно минимизировать.
Неконтролируемые риски
К этой категории можно отнести любой взлом кошелька на стороне издателя, взлом блокчейна или ограничения на использования средств. Если события из первых двух пунктов маловероятны и не реализовывались, то вариант с ограничением средств, хотя и частичным, вполне реален.
Не так давно пользователи стали жаловаться, что их Метамаск перестал работать в некоторых странах, дело оказалось не в самом Метамаске, а в Infura (система нод для приложений имеющая API и позволяющая разработчикам не создавать собственные узлы), которая выполняя санкционные требования перестала работать в определенных регионах.
Для пользователей такие ограничения не критичны, достаточно заменить в настройках кошелька URL-адрес RPC в настройках сети на альтернативный или воспользоваться сервисом VPN и подобрать IP адрес из разрешенных территорий.
Риски на которые можно влиять
Я вижу несколько основных «направлений» возможных атак мошенников:
1. Подключение приложений(сайтов) с излишними разрешениями на использование средств – наверное, самый распространенный скам, к кошельку просит доступ мошеннический сайт. Как избежать – не подключать кошелек ко всем подряд сайтам и регулярно проверять список подключенных сайтов в настройках. Пользоваться только надежными биржами, NFT маркетами и платформами для стейкинга. Адреса сайтов брать с CoinMarketCap или Coin Gecko;
2. Дискредитация сид-фразы. Никто и никогда не спрашивает сид-фразу, ее нельзя вводить на любых сайтах и предоставлять кому-либо. В интернете множество сайтов маскирующихся под официальные и требующие ввести сид-фразу. Любой сайт в интернете который спрашивает сид-фразу – мошенники. Сидфразу можно вводить только при восстановлении кошелька в официальном расширении или официальном приложении Metamask. Как избежать – не дискредитировать сид-фразу;
3. Доступ злоумышленников к устройству с кошельком, как физический так и «софтверный». Например – сервис для создания скриншотов был взломан и собирал сид-фразу при создании или восстановлении кошельков. Как избежать – не пользоваться хакнутым программным обеспечением, использовать пароли и шифрование диска на устройстве, серьёзно относится к разрешениям которые просят приложения;
4. Поддельные токены – это редкость, но бывает. Кто угодно может создать токен в блокчейне с любым названием, например может быть сколько угодно токенов USDT или USDC, но в отличии от оригинальных, эти токены подделки не имеют ценности и ничем не обеспеченны. Как избежать – проверяйте адреса смарт-контрактов при покупке криптовалюты, особенно на площадках децентрализованных финансов – DeFi;
5. Поддельные сайты и приложения, на мой взгляд, самая большая проблема, которая включает в себя первые два пункта, но заслуживает отдельного упоминания. Как избежать – всегда проверяйте адреса сайтов, например официальный адрес сайта Metamask это – https://metamask.io/, а официальный адрес сайта биржи Pancakeswap – https://pancakeswap.finance/ (мой разбор биржи здесь);
6. Бан токенов это новый уже реализовавшийся риск – компания Circle уже предупредила, что будет выполнять санкционные предписания правительства США. Как избежать – хранить средства в криптовалютах, а при использовании стейблкоинов распределять их в разных токенах и разных сетях.
7. Социальная инженерия – это отдельный вид мошенничества, когда преступники входят в доверие к жертве, например, представляются представителями Метамаска в телеграме и предлагают помощь. Как избежать – использовать только официальные каналы поддержки, у Метамаска это отдельный раздел на сайте и специальный аккаунт в Twitter.
Как безопасно использовать кошелек Метамаск
Не смотря на такое количество угроз, Метамаск остается надежным кошельком, хранящим приватные ключи на устройстве пользователя и как «платформа» еще ни разу не был скомпроментирован.
На мой взгляд, самым безопасным вариантом использования Metamask будет его использование с аппаратным кошельком (например Ledger), в этом случае Метамаск выступает внешним интерфейсом, а все приватные ключи хранятся на аппаратном кошельке, на нем же проходит подписание транзакций.
Остались вопросы? Появились новые? – добро пожаловать в комментарии!
Мой Telegram-канал с еженедельным дайджестом постов – https://t. me/polyanskiy_channel
В моем блоге вы найдете анализ перспективных проектов и технологий, обзоры и список лучших бирж, пошаговые инструкции по покупке биткоина и другой криптовалюты, а также разборы кошельков и подробные руководства для новичков и профессионалов. Присоединяйтесь! 🚀
Егор спасибо большое за полезную информацию
Вы сказаль что Сид фразу нельзя никому отдать, но даже если это требует какае-то биржа, на пример okex, чтоб подключить метамаск к бирже?
Нет, никто никогда не спрашивает сид-фразу для подключения метамаска к какому-то сайту или бирже, скорее всего это не биржа, а скам мимикрирующий под Окекс. Не вводите сид-фразу там.
Я написал бирже с офицалиного сайта, но действительно страно что они требовали у меня сид фразу. А что делать елси я им уже сообщил сид фразу? Мне повезло что в данный момент у меня там нету никакаих средства. Возможно как-то обезопасить кошелек или уже плздно, удалить и сделать новый?
Конечно сделать новый.
Ну неплохо, но имхо Atomic получше. Если не считать того, что туда нельзя добавить свои токены, да.
Ну что как дела с Atomic Wallet после взлома 🤡
Привет, если подписал транзакцию на скам сайте, но сейчас в подключенных сайтах его нет, значит ли это что мой кошелёк заскамили?
В теории – да, но я бы поменял кошелек, это почти ничего не стоит.
Спасибо за информацию! Насколько анонимны переводы с Метамаск на сторонние криптокошельки. Спасибо
Все транзакции видны в блокчейны, все поддерживающие EVM блокчейны публичны т.е. любой может посмотреть отправителей, получателей и суммы.
А вот эту фразу я не понял: "На мой взгляд, самым безопасным вариантом использования Metamask будет его использование с аппаратным кошельком (например Ledger), в этом случае Метамаск выступает внешним интерфейсом, а все приватные ключи хранятся на аппаратном кошельке, на нем же проходит подписание транзакций." Я думал это совершенно отдельные не связанные друг с другом системы. Как конкретно работает этва связка Леджер-Метамаск?
Мои реальный интерес - купить Aptos (APT), но его конкретно Леджер сейчас не поддерживает, говорят поддерживает ТрастВаллет, может быть связка Леджер-ТрастВаллет?
Смысл связки Метамаск-Леджер в том, чтобы приватные ключи хранились в аппаратном кошельке и подписание проходило там же, это необходимо для снижения риска заражения устройств. Метамаск и Трастваллет это «софтовые» кошельки, один другой не защищает.
Скажите. Что делать если у меня сняли средства с кошелька, я никому не говорила ни секретный код ничего, ни по каким ссылкам не проходила, сторонними сайтами не пользовалась только приложением, сегодня захожу и средств нет, их перевели кому то. Как это произошло и что делать((
Все транзакции и балансы кошельков хранятся в блокчейне, а кошелек (любой) выступает как интерфейс для переводов и хранилище приватных ключей.
В статье разобраны основные, читай наиболее часто встречаемые, варианты атак и способы снизить вероятность потери средств.
Комментарий удален модератором
Комментарий удален модератором
Я подписался на твой телеграм )
Комментарий удален модератором
Здравствуйте, нужна ваша помощь помогите пожалуйста разобраться в ситуации я зашел в свой кошелек и обнаружил пропажу своих средств. Мне друг говорит не переживать что мои средства были заморожены поскольку он видит их в полигонскане. Они там отображаются серым цветом. Говорит что нужно закинуть такую же сумму и они разморозятся. Правда ли это? Что означает серый цвет?
Здравствуйте как то решили вопрос?
///
Мошенник узнал сид фразу и уже достовал с кошелька средства у меня под носом ! как мне это исправить ? Спасибо за информацию!
Не пользоваться этим кошельком, сделать новый. Никому не передавать сид-фразу.
Комментарий удален автором поста