Як зламують ваші криптогаманці та як захистити себе від скаму

Новачки, а інколи й досвідчені криптоінвестори, наражають себе та власні кошти на небезпеку зламу. «Чорні» хакери ніколи не чекають і використовують будь-яку можливість, аби скористатися вашою неуважністю чи необізнаністю.

Тому краще знати завчасно, як саме ваші приватні ключі можуть бути деанонімізовані.

Використання вразливих ключів

Інколи ГВЧ (генератор випадкових чисел) видає баг, через який гаманець матиме лише декілька випадкових символів — слабку адресу. Хакери називають такі гаманці «Weak Address», регулярно перевіряють їхні баланси та крадуть з них кошти.

Знаходження ключів у транзакціях

Є ще один тип багу ГВЧ — підписування різних транзакцій одним nonce. Хакерам достатньо співставити та дешифрувати підписи таких операцій, щоб отримати ваш приватний ключ. Дана атака носить назву Random Vulnerability.

Генерація ключів з невипадкових даних

Скоріш за все, ви знаєте про Brainwallet — створення приватного ключа на базі фрази користувача, а не випадкового числа. Такий ключ легко запам’ятати. В більшості випадків користувачі генерують її з одного слова, очевидної комбінації (наприклад, 123456), телефонних номерів, тощо. Хакери цим користуються на повну та регулярно виводять кошти з гаманців через звичайну людську недалекоглядність.

Фішинг

Соціальна інженерія ніколи не вийде з моди. Зачасту, шахраї вдають працівника служби підтримки певного гаманця/біржи, відомою особою чи спеціалістом з безпеки. Вони навіть створюють персоналізовані e-mail листи, зв’язуються через особисті канали комунікації тощо, аби отримати ваш приватний ключ.

Моніторинг GitHub

Як би сумно це не було, але навіть розробники блокчейн-застосунків та смарт-контрактів потрапляють на вудочку шахраїв. Інколи девелопери перевіряють правильність роботи тестового коду особистими гаманцями. Хакери ж просто перевіряють наявність реальних ключів в опублікованих на хостингах проєктах.

Скам-сайти

Вже близько п’яти років хакери успішно зламують онлайн-генератори ключів, адже вони часто мають вразливість до перехоплення. Окрім того, дані сервіси можуть видавати однакові ключі декільком користувачам.

Як створити безпечний гаманець?

Не використовуйте сайти для генерації адреси. Апаратні гаманці та застосунки в рази безпечніші.
Не використовуйте як пароль фрази, які можна запам'ятати. Вони менш безпечні, ніж комбінації ГВЧ.
Після створення гаманця перевірте, чи справді символи є випадковими. Якщо більшість з них нулі, такий гаманець вразливий до брутфорсу.
Не використовуйте особисті гаманці для розробки Web3-застосунків. Краще мати окремі гаманці для різних цілей.
Регулярно оновлюйте свій гаманець.
Ніколи і нікому не відправляйте свої ключі, жодна техпідтримка не проситиме вас про таке.

Також варто зазначити, що використання перевірених сервісів обміну криптовалют в декілька разів зменшує ризик втратити кошти через діяльність хакерів. До таких належить AnyExchange — фінансовий сервіс, який вже більше 5 років щоденно підтверджує репутацію чесного та конфіденційного обмінника.