Как взламывают ваши криптокошельки и как защитить себя от скама

Поэтому лучше заранее знать, как именно ваши частные ключи могут быть деанонимизированы.

Использование уязвимых ключей

Иногда ГВЧ (генератор случайных чисел) выдает баг, через который кошелек будет иметь всего лишь несколько случайных символов — слабый адрес. Хакеры называют такие кошельки Weak Address, регулярно проверяют их балансы и воруют с них средства.

Нахождение ключей в транзакциях

Есть еще один тип бага ГВЧ — подписание разных транзакций одним nonce. Хакерам достаточно сопоставить и дешифровать подписи таких операций, чтобы получить приватный ключ. Эта атака носит название Random Vulnerability.

Генерация ключей из неслучайных данных

Скорее всего, вы знаете о Brainwallet — создание приватного ключа на базе фразы пользователя, а не случайного числа. Такой ключ легко запомнить. В большинстве случаев пользователи генерируют ее из одного слова, очевидной комбинации (например, 123456), телефонных номеров и т. п. Хакеры этим пользуются по полной и регулярно выводят средства из кошельков из-за обычной человеческой недальновидности.

Фишинг

Социальная инженерия никогда не выйдет из моды. Зачастую мошенники притворяются работником службы поддержки определенного кошелька/биржи, известным лицом или специалистом по безопасности. Они даже создают персонализированные e-mail письма, связываются через личные каналы коммуникации, чтобы получить ваш приватный ключ.

Мониторинг GitHub

Как бы грустно это ни было, но даже разработчики блокчейн-приложений и смарт-контрактов попадают на удочку мошенников. Иногда девелоперы проверяют правильность работы тестового кода личными кошельками. Хакеры просто проверяют наличие реальных ключей в опубликованных на хостингах проектах.

Скам-сайты

Уже около пяти лет хакеры успешно взламывают онлайн-генераторы ключей, ведь они часто обладают уязвимостью к перехвату. Кроме того, данные сервисы могут выдавать одинаковые ключи нескольким пользователям.

Как создать безопасный кошелек?

1. Не используйте сайты для создания адреса. Аппаратные кошельки и приложения в разы безопаснее.

2. Не используйте в качестве пароля фразы, которые можно запомнить. Они менее безопасны, чем комбинации ГВЧ.

3. После создания кошелька проверьте, действительно ли символы случайны. Если большинство из них нули, такой кошелек уязвим к брутфорсу.

4. Не используйте личные кошельки для разработки Web3-приложений. Лучше иметь отдельные кошельки для разных целей.

5. Регулярно обновляйте свой кошелек.

6. Никогда и никому не отправляйте свои ключи, ни одна техподдержка не будет просить вас об этом.

Также стоит отметить, что использование проверенных сервисов обмена криптовалют в несколько раз уменьшает риск потерять средства из-за хакерской деятельности. К таковым относится AnyExchange — финансовый сервис, он уже более 5 лет ежедневно подтверждает репутацию честного и конфиденциального обменника.