🔐10 способов потерять крипту
2022 год превысил по числу хаков, экспойтов и скамов два предыдущих. Участились атаки на кошельки пользователей при помощи фишинга. И все еще остается высокая вероятность потерять крипту из-за невнимательности и незнания. Если не брать во внимание взломы смарт-контрактов, есть всего два способа лишиться крипты: перевести свои токены на адрес мошенника или позволить мошенникам завладеть вашей сид-фразой.
Однако различных уловок, как этого добиться, мошенники придумали огромное множество. Разберём в этой статье популярные кейсы, как 100% потерять деньги.
Статью дополнил специалист по безопасности Арсений Реутов.
Оглавление
∘ Не заметить подвоха и попасться на фишинг
∘ Подписать не глядя транзакции в Metamask и на других сервисах
∘ Скачать приложение на телефон и не проверить его легитимность
∘ Отправить Илону Маску 1 биткоин взамен на 2 биткоина
∘ Потерять, забыть или засветить свою сид-фразу
∘ Отправить криптовалюты на чужой или неправильный адрес
∘ Выбросить или повредить физический носитель с криптой
∘ Использовать публичный wi-fi и оставить устройство без пароля
∘ Участвовать в подозрительных IPO, IEO, IDO и прочих токенсейлах
∘ Зайти в закрытые, секретные, VIP-чаты, зашиленные ботами
∘ Вместо выводов
Не заметить подвоха и попасться на фишинг
Фишинг — это метод обмана, когда мошенники под видом представителей проектов пытаются разными способами украсть конфиденциальную информацию пользователей. Есть много видов фишинга.
Сайты-фальшивки: злоумышленники полностью копируют интерфейс сайтов известных проектов или бирж, заменяя формы для ввода данных или адреса кошельков для депозитов на мошеннические. Например, в 2020 году в сети появилось несколько сайтов-копий DeFi-биржи Uniswap. От оригинального ресурса (uniswap.org) они отличались адресами: uniswap.com, uniswap.site, uniswapdex.com. Подобные сайты-обманки крупных проектов массово появляются каждый день и сейчас.
Что делать: адрес сайтов-обманок может отличаться всего на символ — внимательно проверяйте все адреса, ссылки, имена. А лучше, не переходите по подозрительным ссылкам из писем и рекламы, и вбивайте нужные адреса вручную. Добавьте официальные сайты в закладки, чтобы всегда была возможность проверить их легитимность.
На Reddit советуют обращать внимание на зеленый замочек и надпись «защищено» в браузере — значит, сайт использует безопасное соединение https.
Предотвратить фишинг помогут расширения для браузеров, например, Cryptonight для Chrome. Разработчики этого расширения заявляют: «каждый год киберпреступники регистрируют миллионы новых доменов. Ни одна охранная компания в мире математически не в состоянии защитить вас от них всех. Вот почему мы решили действовать по-другому в MetaCert».
Арсений Реутов: eще одно полезное расширение — Wallet Guard. Оно определяет фишинговый сайт по URL и содержимому, причем специализируется именно на web3. Имеется база данных доверенных web3-приложений, по которому проверяются все посещаемые вами сайты.
Клон-фишинг: копия оригинального письма от сертифицированного сервиса/компании/человека, но с похожего адреса и вредоносной ссылкой внутри.
Например, это может быть фальшивое письмо от техподдержки криптобиржи с призывом срочно обновить свои данные и ссылкой на форму для ввода информации. Обычно, мошенники просят раскрыть пароли, сид-фразу или другую важную информацию.
О фейковых письмах предупреждает команда MetaMask: «поддельные электронные письма все еще в ходу и, вероятно, будут существовать и дальше. Ваша секретная фраза восстановления только для ваших глаз — MetaMask никогда не спросит вас об этом».
Целевой фишинг: просьбы от «двоюродного брата» или «бывшего одноклассника» перейти на какой-то сайт, скачать файл или срочно перевести им крипты. Ники мошенников могут слегка отличаться от настоящих имен. Мошенники перед этим собирают информацию про жертву, придумывают истории и бывают убедительными.
Арсений Реутов: DNS-hijacking — еще один опасный вид фишинга, так как рядовой пользователь ничего не может предпринять. Зараженная DNS ссылка будет перенаправлять трафик на вредоносные сайты автоматически.
С помощью такой атаки были взломаны Cream Finance и Pancake Swap. Больше всех пострадал MM Finance, чьи пользователи потеряли более двух миллионов долларов.
Угон аккаунта модератора или владельца сообщества в Discord: еще один популярный сейчас способ, злоумышленники получают доступ к аккаунту владельца с помощью следующей схемы. Сначала среди администраторов целевого сообщества выбирается жертва, затем хакер ищет другие сообщества в Discord, в которых состоит жертва в качестве участника. В другом дискорде хакер убеждает членов сообщества, что жертва нарушила какие-либо правила, подтверждая свои слова фейковым скриншотом переписки, где жертва якобы обманывает другого члена сообщества. После чего следует бан жертвы, и скаммер уже от лица якобы модератора сообщества обращается в личном сообщении к жертве. Чтобы доказать свою невиновность, псевдо модератор просит жертву нажать F12 (в браузере откроется режим разработчика) и отправить скриншот. На этом скриншоте будет виден токен доступа к дискорду, причем этот токен позволяет обходить двухфакторную аутентификацию. Далее, завладев аккаунтом жертвы, хакер направляется в первоначальный дискорд, где жертва является администратором. Действуя от его лица, хакер заманивает членов сообщества на фейковый сайт с распродажей “уникальных NFT”. По данной схеме хакерам удалось обмануть несколько криптосообществ через их администраторов, например Little Lemon Friends, Phantom Galaxies и Alien Frens.
Кстати, именно так действовали хакеры в очередном взломе Discord яхт-клуба Bored Ape BAYC. За 2022 год BAYC взламывали уже несколько раз. Всего через два дня пострадали сразу четыре Discord-сервера других NFT-проектов: Yung Ape Squad, Apocalyptic Apes, Aiternate и Bubbleworld.
Что делать: чтобы не попасться на такую махинацию, нужно проверить историю переписки и связаться с реальным пользователем.
Здесь перечислены не все виды фишинга, их сотни. Далее мы рассмотрим еще несколько схем.
Подписать не глядя транзакции в Metamask и на других сервисах
Pop-up уведомления еще один популярный вид фишинга. Яркий пример: недавний взлом топовых DeFi-агрегаторов Etherscan, CoinGecko и DeFi Pulse. Когда пользователи посещали эти сайты, выскакивало пуш-уведомление от браузерного расширения Metamask, которое запрашивало подпись. Пользователям предлагалось подключить кошельки к мошенническому сайту nftapes.win.
Сервисы экстренно опубликовали предупреждения для пользователей. Команда Etherescan написала, что лучше вообще никаких транзакций не одобрять на сайте, пока они не разберутся с происходящим. Позже стало известно, что классическая фишинговая атака проводилась с помощью вредоносного скрипта рекламной сети Coinzilla.
Что делать: ситуация учит тому, что нельзя подключать Metamask или другие dApps к непроверенным сайтам, а также необдуманно подписывать рандомные транзакции, даже на ресурсах, которым вы доверяете. Если вы уже подключали dApp к сайту и он просит сделать это повторно — проверьте, не фишинг ли это.
Арсений Реутов: Также стоит проверить все выданные вами разрешения на трату токенов. Для этого можно воспользоваться сервисом Revoke.cash. Он отобразит все web3-приложения, которым вы разрешили тратить ваши токены, стоит уделить внимание неограниченным разрешениям.
Скачать приложение на телефон и не проверить его легитимность
Другой вектор фишинговой атаки — поддельное ПО для хранения крипты, которое распространяется через официальные магазины мобильных приложений. Это могут быть кошельки, игры, биржи и тд.
В мае 2022 года пользователей предупредили о фейковом приложении Astroport (ASTRO) — популярной аппке из экосистемы Terra. О фейковом приложении предупредили и разработчики кошелька Keplr.
Такие программы иногда выходят в топы по скачиваниям, как в случае с фейковым приложением Myetherwallet, ставшим третьим по популярности в App Store в категории «Финансовые приложения».
Что делать: чтобы проверить фальшивое мобильное приложение или нет, следует зайти на официальный сайт проекта и от туда перейти в онлайн-магазины App Store или Google Play Market.
Отправить Илону Маску 1 биткоин взамен на 2 биткоина
Еще один способ социальной инженерии — гив-эвеи, в которых мошенники выдают себя за знаменитостей и выманивают криптовалюты у пользователей, чтобы те, якобы, получили вдвое больше.
В YouTube появляются ролики, где Илон Маск в разных вариациях предлагает отправить ему различные криптовалюты, обещая вернуть больше. Например, отправить один биткоин и получить два. Согласно данным обозревателя блокчейна пользователи отправили на адрес из одного такого ролика около 2,21 BTC.
Такие фейковые кампании есть не только в YouTube, но и в Twitter. Мошенники используют имена инфлюенсеров, основателей криптокомпаний и прочих знаменитостей. Поэтому многие из них вынуждены добавлять к своим никам в соцсетях приписки вроде «Never ask for your crypto». Например, у Виталика Бутерина, создателя Ethereum, никнейм в Twitter какое-то время был «Vitalik Non Giver of Ether», вдогонку к никнейму он еще написал твит. Сейчас схема с подменой имен инлюенсеров продолжает быть популярной и эффективной.
Пользователи ведутся на такой обман, потому что мошенники используют изображение и имя пользователя, и отвечают на пост, создавая впечатление, что известный человек ответил на свой твит. Это сообщение искусственно продвигается вверх в треде с помощью ретвитов и лайков от ботов, что придает ему легитимность. А боты с других учетных записей пишут что-то вроде: «Это работает! Я получил свои 3 ETH!».
За два года количество коиптоспама и ботов в соцсетях выросло на 4000%.
Что делать:чтобы не обмануться, стоит проверить верификацию пользователя в соцсети: есть ли у него голубая галочка, когда был создан аккаунт, сколько у него подписчиков и т.д.
Потерять, забыть или засветить свою сид-фразу
В крипте есть негласное правило: кто владеет сид-фразой — тот владеет деньгами или not your keys, not your money. Сид-фраза — это набор из 12, 18 или 24 рандомных слов, которая используется для восстановления доступа к вашим средствам. Это похоже на пин код от карточки. Только если ее потерять или забыть, никто не поможет вам восстановить доступ к средствам.
Это случилось с программистом Стефаном Томасом, который хранит свои 7002 биткоина на холодном кошельке, но пароль к нему он хранит на флешке с аппаратным шифрованием. У него нет доступа к ней и осталось две попытки ввода пароля. Более десяти лет назад он записал этот пароль на листке бумаги и потерял его.
Стефан не единственный, кто утратил доступ к своим деньгам. Сегодня в кошельках, к которым нет доступа, лежит около 140 млрд долларов США в биткоинах, согласно Chainanalysis.
Некоторые криптаны так параноят из-за потери своей сид-фразы, что делают гравировку на куске стали на случай пожара или наводнения.
Но с сид-фразами связаны и другие опасности. В сети также орудуют специальные алгоритмы — поисковые боты, которые нацелены на поиск мнемонических фраз. Если пользователь случайно введет свою мнемоническую фразу в публичном пространстве (в чате, мемо транзакции, во время стрима экрана в Zoom), — боты моментально обнаружат ее и автоматически за доли секунды выведут средства.
Кстати, если вы хоть раз вводили свою сид-фразу вручную со смартфона, скорее всего, она теперь хранится в его памяти и система подсказок выдаст всю фразу, стоит только начать писать одно из слов.
Что делать: стоит очистить кэш системы автоматических подсказок смартфона. Ни в коем случае не передавайте вашу сид-фразу. Вообще никому. Будьте аккуратны в ходе трансляции собственного экрана. Не делайте скриншотов. Помните, что если вы случайно где-то засветите свою фразу онлайн, скорее всего, ее мгновенно уведут. Придумайте, как запомнить свою сид-фразу, запишите и спрячьте. На Reddit есть обсуждение креативных способов запомнить фразу: написать стих, создать список чтения из книг с сид-словами, зашифровать в картинке и так далее.
Отправить криптовалюты на чужой или неправильный адрес
Еще один неприятный способ моментально лишиться средств — собственноручно сжечь их, отправив на неправильный адрес.
Такое часто происходит, когда пользователи путают сети для отправки токенов. Например стейблкоин USDT работает и в Ethereum и в Binance Chain, поэтому при переводе токена нужно выбрать сеть. Если кошелек от Ethereum, а пользователь отправил через блокчейн BNB — деньги исчезнут. Такое же произойдет, если юзер попытается отправить биткоины на эфириум-адрес и так далее.
Пользователей часто подводит ctrl+c/ctrl+v, особенно, когда нужно совершить последовательно несколько транзакций на разные адреса, а копирование не происходит и в буфере остается неправильный адрес. Юзеры просто вставляют не тот адрес и не замечают этого в момент отправки.
Разработчики Juno случайно сожгли почти $36 млн в крипте, когда человек, который отвечал за перевод, по невнимательности скопировал и вставил хеш транзакции, а не адрес кошелька для перевода.
Что делать: внимательно проверяйте адрес получателя после того, как уже вставили в поле. Лучше всего, сверить первые и последние цифры для большей уверенности перед отправкой. И не путайте сети.
Выбросить или повредить физический носитель с криптой
Самый надежный способ хранить крипту — на холодных кошельках, но некоторые хранят на жестких дисках, флешках или других физических носителях. Этот способ ранее был более популярен, в году 2017. Но для того, чтобы сделать такой кошелек, нужно скачать весь блокчейн, а они уже сейчас весят прилично. Тем не менее, в криптомире с такими кошельками связаны истории, которые уже перешли в разряд легенд.
Например, случай айтишника Джеймса Хауэлза, который в 2013 году случайно выкинул свой жесткий диск с 7500 BTC. Теперь он просит помощи — найти этот диск на свалке за вознаграждение, и даже привлек к поискам NASA, искусственный интеллект и рентген. Похожая ситуация случилась и с редактором издания Gizmodo Кэмпбеллом Симпсоном, который отправил в мусорку 1400 BTC на диске в 2010 году. Но в отличие от предыдущего героя, Симпсон заявил, что перерывать мусорные поля в надежде вернуть потерянные биткоины он не намерен, хотя, изредка расстраивается по этому поводу.
Храните свои физические носители в надежном месте, обращайтесь с ними бережно и не выбрасывайте в мусорку:)
Использовать публичный wi-fi и оставить устройство без пароля
Злоумышленники также пользуются случаем украсть крипту или другую информацию с устройств, подключенных к публичным незащищенным wi-fi-сетям. В 2017 у мужчины украли 117 тысяч долларов США в биткоинах из-за публичной wi-fi-сети в ресторане Вены. Это называется атака посредника (MitM), когда злоумышленник перехватывает разными способами сигнал между вашим устройством и публичным роутером.
Также не стоит оставлять устройство без пароля. Хорошая иллюстрация — история ареста создателя культового даркнет-магазина Silk Road Росса Ульбрихта, которого ФБР и ЦРУ пытались отследить много месяцев. Им удалось раскрыть его в публичной библиотеке, когда он отвернулся, агенты схватили его незапароленный макбук и смогли доказать, что он владелец преступных биткоин-кошельков.
Существуют также специальные NFC-устройства (NFC — это тип чипов, он встроен в нашу кредитку, например), которые могут взломать ваш незапароленный девайс, если поднести его достаточно близко. Мошенники оставляют такие устройства под столами в кафе или рядом с хабами с публичными зарядными устройствами в крупных городах.
Что делать: устанавливайте пароли, двухфакторную атентификацию, не пользуйтесь публичными незащищенными wifi-сетями и следите за своими девайсами.
Участвовать в подозрительных IPO, IEO, IDO и прочих токенсейлах
В криптоиндустрии есть сотни тысяч проектов, проводящих краудрайзинг (первичный сбор средств) в той или иной форме. Каждый из этих проектов обещает или прибыль, или надежные услуги за ваши деньги. Многие компании обманывают юзеров, пользуясь их незнанием. Согласно статистике Elliptic, в 2021 году из-за скамеров и воров люди потеряли $10,5 млрд.
Большинство скамов похожи и используют схемы пирамид, реферальных программ. Пользователю предлагают зарабатывать на привлечении других инвесторов и обещают высокую прибыль, если он будет вносить средства. Вся прибыль, которую получают ранние инвесторы, формируется за счет вложений поздних. Как правило, организаторы забирают себе основную часть средств, остальные участники остаются ни с чем.
Что делать: проводить собственное исследование той или иной компании. Проверять, проходила ли компания аудит, читать, что о ней пишут в новостях, есть ли информация о регистрации, команде, партнерах. Зайти в социальные сети и пообщаться с членами сообщества. И в целом, здраво оценить проект — зачем там блокчейн и какую пользу принесут токены проекта. Можно использовать специальные ресурсы, вроде Scam Alert или Crypto Scam List, которые собирают актуальную информацию о мошеннических проектах.
Зайти в закрытые, секретные, VIP-чаты, зашиленные ботами
В сети стали массово рекламироваться закрытые клубы: Telegram-чаты, каналы и группы, — где за членские взносы или другую форму оплаты «профессионалы» обещают поделиться секретными знаниями о том, как разбогатеть на крипте.
Участникам таких каналов обещают аирдропы и гив-эвеи, но зачастую розданные токены являются пустыми фантиками, выпущенными с целью создать видимость деятельности. В итоге, участники платят за вход в такие секретные чаты, но не получают никакой полезной информации. Иногда создатели таких «VIP» чатов собирают деньги с участников и удаляют аккаунты.
Есть фейковые трейдерские каналы, которые двигают цены на рынке (пампят и дампят) при помощи своей аудитории. Также есть группы, где пользователей призывают переводить деньги на счета трейдеров, которые будут делать сделки и делиться прибылью. Но через какое-то время такие трейдеры исчезают.
Явление подобных каналов стало довольно обширным. Поэтому запущен бот для борьбы с мошенниками в Telegram, который, как заверяет разработчик, собирает отзывы о проектах и помогает проверить их на вшивость перед вступлением.
Но также появились боты, которые незаметно воруют пароли криптокошельков. И есть целое сообщество в Telegram, где злоумышленники хвастаются своими «победами» и показывают результаты краж при помощи этих ботов.
Что делать: критично относитесь к группам и чатам, в которые вас добавляют. Проверяйте админов чата, не переводите средства, пока не проведете достаточное расследование о проекте.
Вместо выводов
Правила безопасности Арсения Реутова:
- Chrome с плагином Metamask, всегда стараюсь использовать последнюю версию;
- Операционная система: MacOS. Windows крайне не рекомендую особенно в свете последней критичной уязвимости Follina;
- Пароль от Metamask не храню в клауд сервисах, приватные ключи не выгружаю в файлы;
- Соблюдаю цифровую гигиену, не захожу на подозрительные сайты, документы открываю исключительно через Google Docs;
- Тщательно проверяю транзакции, иногда делаю симуляции через Tenderly перед отправкой.
