Мошенничество с криптовалютой — проблема, с которой сталкиваются инвесторы, трейдеры, владельцы криптокошельков и простые пользователи цифровых активов.
В данной статье рассмотрим виды мошеннических атак в криптосфере и приведем способы защиты от них:
1) Разрешение на безлимитную трату средств.
При подключении кошелька к мошенническому смарт контракту (DEX, Defi) и выдаче разрешения на трату средств (approve), мошенник выводит все средства с кошелька. Также средства могут быть похищены при взломе популярных смарт контрактов.
Решение: отзывать разрешения или устанавливать лимитное ограничение на трату средств.
2) Слепая подпись.
Аппаратный кошелек не может идентифицировать транзакцию при работе со смарт контрактами и не отображает ее детали. В результате можно подписать транзакцию в мошенническом смарт контракте и потерять свои средства.
Решение: при работе с Ledger использовать смарт контракты в самом клиенте ledger live. Использовать кошельки, которые проверяют смарт контракты на валидность (например кошелек keystone).
3) Клипперы, перехватывающие буфер обмена.
Мошенники распространяют вирусы через пиратское ПО, которые подменяют адреса кошельков при отправлении средств. В результате средства уходят на кошелек мошенника.
Решение: не скачивать пиратское и неизвестное программное обеспечение. Проверять автозагрузку программ на ПК. Проверять адрес отправки в кошельке.
4) Подбор приватных ключей.
При переборе приватных ключей мошенники могут найти адрес с монетами (вероятность очень низкая).
Решение: использовать мультисиг-кошелек, в котором доступ к трате средств возможен только при наличии 2-3 приватных ключей.
5) Требование выкупа за раскрытие информации.
Мошенник распространяет модифицированный клиент кошелька. При подключении кошелька к клиенту (например ledger к ledger live) будет использоваться нестандартный путь деривации (подробнее про пути деривации здесь). Средства не будут отображаться в кошельке т.к. в кошельке не прописан определенный путь деривации. Мошенник будет требовать оплату для восстановления доступа к средствам.
Решение: Использовать кошельки с функцией отображения нестандартных путей. На экране трезора отображается путь деривации. На экране леджера появляется предупреждение о нестандартном пути.
6) Взлом чипов аппаратных кошельков.
В аппаратных кошельках, у которых нет безопасного secure чипа (Trezor, Keepkey), возможно подключиться к чипу, перебрать пин код и получить доступ к сид фразе.
Решение: использовать сложную кодовую фразу (подробнее здесь) или кошельки с secure чипом (например ledger, safepal).
7) Подмена прошивки.
В аппаратных кошельках, у которых нет безопасного secure чипа, мошенники могут установить левую прошивку.
Решение: Покупать аппаратные кошельки только у официальных продавцов (не покупать на озон или авито).
8) Инициализированный аппаратный кошелек.
При покупке возможно получить активированный кошелек. Также в комплекте может прилагаться готовая сид фраза на бумаге.
Решение: тщательно проверять купленный кошелек на наличие пломб (на упаковке или самом кошельке). Новый кошелек должен быть чистым (не активированным).
9) Привязка приватных ключей к определенным словам.
Существуют сервисы, которые используются для хеширования слов и генерации приватных ключей. Предлагаются как удобный способ получения доступа к средствам через выбранные слова. Мошенники перебирают все возможные слова и получают доступ к приватным ключам и средствам.
Решение: генерировать приватные ключи только через встроенную функцию кошелька.
10) Атака пылью.
Атака пылью возможна в блокчейнах с моделью учета активов utxo: bitcoin, litcoin. Мошенник отправляет небольшую сумму на ваш адрес и далее по цепочке отслеживает ваши транзакции с целью деанонимизации владельца кошелька.
Решение: есть несколько способов защиты - отправить пыль обратно мошеннику без сдачи, не использовать данный выход, отправить свои средства на другой адрес или использовать coinjoin.
11) Фальшивые токены.
Мошенник предлагает совершить обмен и отправить на ваш кастодиальный кошелек (биржа) фальшивый токен с аналогичным тикером (например tether USD).
Решение: получать средства на некастодиальный кошелек (ledger, metamask и др) и проверять полученные средства на балансе кошелька (фальшивые средства не отобразятся) или проверять в обозревателе данные о полученном токене (если нет доступа к кошельку).
12) Атака двойного расходования.
Мошенник предлагает совершить обмен и отправляет биткоин на адрес покупателя. Покупатель видит средства на счете и отправляет деньги мошеннику. Мошенник, используя специальный кошелек, отменяет транзакцию.
Решение: при получении средств, контролировать подтверждение транзакции в обозревателе блокчейна (дождаться 2-3 подтверждений). Не принимать предложения обмена от посторонних людей.
13) Отравленные адреса.
Мошенники отправляют криптовалюту на ваш адрес. Адрес мошенника будет отображаться в истории транзакций. При этом в адресе мошенника первые и последние символы будут совпадать с символами вашего адреса. Есть риск по невнимательности скопировать адрес мошенника и отправить на него свои средства.
Решение: не использовать адреса из истории транзакций кошелька и обозревателей блокчейна (при получении и при отправлении).
14) Скам сид фраза.
Мошенники отправляют вам сид фразу, на которой есть средства и просят помочь вывести средства за вознаграждение. Чтобы вывести средства, в кошельке требуется пополнить баланс. При этом вывод средств заблокирован через определенные функции разрешений кошелька. После пополнения баланса мошенник моментально выводит ваши средства.
Решение: не восстанавливать чужие сид фразы на кошельке, либо проверять права кошелька.
Безопасность и заработок в криптовалюте - бесплатный мини курс
Мониторинг обменников с оценкой репутации и кешбэком - kurs.expert
