Александр Подобных – КриптодетективЪ – Цепная Безопасность (страница 20)

Основной способ эксплуатации заключается в создании новых адресов контрактов без истории подозрительных транзакций. Злоумышленники заставляют жертвы подписывать вредоносные транзакции, после чего переводят активы на предварительно рассчитанные адреса.

В декабре 2023 г. многие криптосервисы оказались под угрозой из-за взлома кода кошелька Ledger. Уязвимость была исправлена, но успела затронуть несколько популярных децентрализованных сервисов, администраторы которых вынужденно отключили пользовательский интерфейс. Оказался скомпрометированным широко используемый код сервиса авторизации через криптокошелек Ledger. Компания сообщила, что им удалось удалить вредоносный код, но уязвимость эксплуатировалась в течение двух часов и распространялась на большинство популярных децентрализованных криптосервисов.

Как видно из этого выборочного списка, эксплуатация практически любой уязвимости в криптокошельках или криптопротоколах немедленно ведет к эксплуатации финансовых рисков.

управление уязвимостями

Когда речь идет о контроле уязвимостей при эксплуатации криптовалютных кошельков, рекомендации всегда тривиальны, но от этого они не становятся менее важными.

1. Использование надежных кошельков. Выбор надежного и проверенного криптовалютного кошелька с хорошей репутацией снижает риск возникновения уязвимостей и кибератак.

2. Обновление системы и программного обеспечения. Регулярные обновления кошельков и всех связанных с ними программных компонентов помогают устранять известные уязвимости и обеспечивают безопасность системы.

3. Многофакторная аутентификация. Включение функции многофакторной аутентификации обеспечивает дополнительный уровень защиты от несанкционированного доступа к кошельку.

4. Резервное копирование и безопасное хранение ключей. Регулярное создание резервных копий ключей доступа к кошельку и их безопасное хранение в надежном месте поможет избежать потери средств в случае утери или повреждения исходного кошелька.

5. Обучение. Проведение обучающих мероприятий по безопасности криптовалютных кошельков поможет пользователям понять основные угрозы и принять меры по их минимизации.

Другими словами, чтобы минимизировать угрозы, рекомендуется использовать надежные и проверенные криптовалютные кошельки, следовать правилам кибергигиены и передовому опыту в сфере безопасности, таким как использование сложных паролей, установка двухфакторной аутентификации, резервное копирование закрытого ключа и резервной фразы, их хранение в надежном месте. Необходимо также проявлять бдительность и повышенное внимание при работе с криптовалютными операциями и подозрительными запросами.

Есть улучшения и в сфере стандартизации: в качестве примера можно привести механизм BIP (Bitcoin Improvement Proposal), используемый для предложения изменений в протокол биткоина. Предложения в рамках BIP разрабатываются членами сообщества, включая разработчиков, исследователей и пользователей, и предназначены для обсуждения и координации изменений в сети.

Обратим внимание на предложение BIP-0039 (обычно называемое просто BIP39) – это стандарт, определяющий метод генерации мнемонических фраз для создания и восстановления кошельков биткоин и других криптовалют.

Мнемоническая фраза (Seed Phrase) представляет собой набор слов, который можно легко запомнить и использовать для восстановления частного ключа кошелька. Этот стандарт был предложен для упрощения процесса резервного копирования и восстановления кошельков, а также для повышения безопасности, предоставляя пользователю удобный способ резервного копирования и хранения секретной информации.

Мнемонические фразы по BIP39 особенно полезны для создания и использования кошельков с использованием множества криптовалют, так как они обычно поддерживаются большинством кошельков и платформ.

…

Необходимо развивать взаимодействие и взаимную поддержку внутри сообщества по вопросам безопасности и устранения уязвимостей для повышения уровня безопасности криптоплатформ и криптосервисов.

Важным аспектом применения блокчейн-технологий стал запущенный в России цифровой рубль. К счастью, для него практически все, что было известно к моменту запуска, было учтено. Но остается важным вопрос операционной безопасности и повышения осведомленности граждан. Об этом требуется особая забота.

Все чаще злоумышленники используют фишинговые транзакции, фишинговые аирдропы (NFT), вредоносные смарт-контракты на сайтах для последующего опустошения криптовалютных кошельков. Это стало возможным ввиду доступности инструментов широкому кругу злоумышленников.

И конечно же, уже сегодня необходимо готовиться к грядущей квантовой угрозе, путем разработки квантовоустойчивых протоколов и технологий. В перспективе года-двух злоумышленникам могут стать доступны квантовые алгоритмы перебора ключей.

рекомендации по безопасности

Далее рассмотрим, как обезопасить свою криптовалюту и цифровые активы. Для разных людей и задач понятие безопасности различается. Если вы держите в своём кошельке для текущих расходов $100, наверное, сверхвысокая безопасность не нужна. Скорее всего, мобильного кошелька будет достаточно39.

Если же вы держите миллионы долларов или все свои сбережения, тогда вам понадобятся более сильные меры безопасности. Будем исходить из того, что вы пытаетесь обезопасить существенные суммы.

Чтобы обезопасить свои монеты, нужны следующие три составляющих: защититься от кражи; защититься от потери; иметь возможность передать их вашим близким, если с вами что-то случится.

Чтобы безопасно хранить криптовалюту самостоятельно, нужно: обезопаситься от попадания ваших приватных ключей в чужие руки; защититься от хакеров, вирусов и т. д.; защититься от потери приватных ключей; иметь резервные копии на случай потери или повреждения устройств и надёжно их хранить; иметь возможность передать ваши приватные ключи близким в случае вашей смерти (должны учитывать и такой риск).

Рассмотрим каждый пункт подробнее. Защитите ключи от чужаков, с использованием настольных ПК, мобильных телефонов и аппаратных кошельков.

Обезопасьтесь от потери ключей, при помощи бумажных кошельков, металлических пластин или USB-флешек.

Позаботьтесь о близких, используя сервисы наследования, или только крупных бирж с хорошей репутацией.

Для защиты аккаунта: защитите свой компьютер, не скачивайте файлы, обновляйте программное обеспечение; защитите свою электронную почту; защитите свои пароли; включите двухфакторную аутентификацию; настройте U2F; перестаньте использовать СМС-верификацию; настройте белый список адресов для вывода средств; безопасность API; пройдите идентификацию второго уровня; физически защитите свой телефон и другие устройства; остерегайтесь фишинга.

Лучше использовать как централизованные биржи, так и собственные кошельки. Если вы не слишком технически подкованы, то рекомендую держать основную часть на бирже, а средства для текущих расходов – на собственном кошельке. Если вы хорошо ладите с технологиями, то можете больше держать самостоятельно.

На централизованных биржах иногда проводятся технические работы, так что стоит иметь отдельный кошелёк на случай, если вам как раз тогда понадобится провести транзакцию. Существует много видов мошенничества.

Люди создают в соцсетях фальшивые аккаунты, выглядящие как популярные страницы, и пытаются уговорить вас перевести им средства. Просто запомните одно правило: никому не переводите деньги, если только вы сами первым этого не захотели. Всегда используйте два разных канала, чтобы убедиться, что отправляете деньги именно тому, кому думаете.

Если вам напишет какой-то известный человек и будет убеждать, чтобы вы отправили ему криптовалюту, сразу же пожалуйтесь на такой аккаунт в поддержку.

Если знакомый вдруг прислал вам сообщение с просьбой срочно перевести ему криптовалюту, перезвоните ему или попросите прислать короткое видео, чтобы удостовериться. По умолчанию предполагайте, что кто-то взломал его аккаунт или украл его телефон.

Мошенничество на YouTube. Мошенники наловчились выкладывать на YouTube фейковые, смонтированные видео с известными людьми, якобы устраивающими эйрдропы и т. п. Опять же, когда видите подобное, сразу же жалуйтесь в поддержку.

Социальные скамы. Не ведитесь на халяву, когда нужно сначала перевести монеты на какой-то адрес, чтобы потом получить больше. Вы ничего не получите. Запомните простое правило: будьте осторожны, отправляя криптовалюту.

Не нажимайте ссылки в письмах. Никогда не переходите по ссылкам в электронных письмах и не вводите затем своё имя пользователя и пароль. Это всегда ловушка. Точно так же не переходите по ссылкам в соцсетях. По умолчанию считайте, что такие ссылки ведут на фишинговые сайты. Просто не трогайте их.

Всегда вводите адрес криптобиржи вручную. Запомните, как он правильно пишется, или же используйте закладку.

миксеры и свопы

Биткойн-миксер или биткоин-тумблер (bitcoin mixer) – сервисы, позволяющие пользователям смешивать монеты с монетами других пользователей, чтобы сохранить конфиденциальность. Биткоин и большинство других криптовалют легко отследить, биткойн-микcер защищает личность пользователей, скрывая связи между их биткоин-адресами и реальными личностями, делая их более анонимными и конфиденциальными.