#Web3SecurityGuide

Web3SecurityGuide — Основні кроки, щоб захистити ваші криптоактиви

Безпека — це не налаштування “раз і назавжди”. Це постійна практика. Ось практичний посібник, як зберегти ваші активи в безпеці у Web3.

1. Seed phrase — це ваш гаманець

Ваша seed phrase з 12 або 24 слів повністю контролює ваші кошти. Будь-хто, хто має ці слова, може миттєво спорожнити ваш гаманець.

Ніколи не вводьте вашу seed phrase на жодному вебсайті, в застосунку або в будь-якому спливаючому вікні. Ніколи не зберігайте її як скріншот на телефоні або як текстовий файл на комп’ютері. Запишіть її на папері або нанесіть штамп на метал. Зберігайте в надійному місці, яке не є цифровим.

Якщо хтось просить вашу seed phrase, він намагається вкрасти у вас. Жодна законна служба підтримки ніколи не запитуватиме її.

2. Для значних обсягів використовуйте апаратні гаманці

Апаратні гаманці зберігають ваші приватні ключі офлайн. Вони захищені від шкідливого ПЗ, кейлогерів і віддалених атак.

Для будь-якої суми, яку ви не готові втратити, використовуйте апаратний гаманець. Для щоденної торгівлі та невеликих залишків програмний гаманець на кшталт MetaMask може бути прийнятним, але він несе вищий ризик.

Ніколи не вводьте seed phrase апаратного гаманця в будь-який програмний гаманець.

3. Регулярно відкликайте дозволи на токени

Кожного разу, коли ви обмінюєте токени або взаємодієте з DeFi protocol, ви надаєте цьому контракту дозвіл витрачати ваші токени. Старі та невикористані дозволи — це значний вектор атаки.

Використовуйте безкоштовні інструменти на кшталт Revoke cash або перевірку дозволів на токени від Etherscan, щоб переглядати й відкликати дозволи щотижня. Прибирайте дозволи для протоколів, якими ви більше не користуєтеся.

4. Перевіряйте кожну транзакцію перед підписанням

Зловмисні контракти можуть маскуватися під легітимні. Завжди уважно читайте попередній перегляд транзакції перед підписанням.

Слідкуйте за запитами на нескінченні дозволи, коли контракт просить необмежений доступ до витрачання. Звертайте увагу на несподівані назви функцій або адреси одержувачів, яких ви не впізнаєте. Сповільніться. Мошенники покладаються на швидкість і відволікання.

5. Розділяйте гаманці для різної діяльності

Використовуйте один гаманець для довгострокового зберігання. Використовуйте окремий гаманець для взаємодії з DeFi protocol, мінтингу та торгівлі. Використовуйте третій гаманець для тестування нових протоколів або підключення до незнайомих сайтів.

Якщо один гаманець буде скомпрометовано, ваші інші кошти залишаться в безпеці. Ця стратегія ізоляції нічого не коштує, але зберігає все.

6. Остерігайтеся фішингових атак

Більшість крадіжок у криптовалюті починається з фальшивого посилання. Мошенники видають себе за законні протоколи, біржі та навіть новинні джерела.

Додавайте в закладки офіційні URL-адреси кожного протоколу, яким ви користуєтеся. Ніколи не натискайте на Google ads, щоб потрапити на сайт. Двічі перевіряйте URL перед підключенням гаманця. Не довіряйте DM-повідомленням із пропозиціями підтримки або твердженням про термінові проблеми з вашим акаунтом.

7. Тримайте програмне забезпечення оновленим

Застарілі розширення для гаманця, версії браузера та операційні системи містять відомі вразливості.

Увімкніть автоматичні оновлення, якщо це можливо. Використовуйте окремий браузер для криптоактивностей, де встановлено лише необхідні розширення. Видаляйте розширення, якими ви більше не користуєтеся.

8. Спочатку тестуйте з малими сумами

Перш ніж переказувати значні кошти на нову адресу або взаємодіяти з новим протоколом, надішліть невелику тестову транзакцію.

Переконайтеся, що адреса отримувача правильна. Переконайтеся, що контракт працює так, як очікується. Після успішного тесту переходьте до вашого більшого переказу. Терпіння запобігає постійним втратам.

9. Знайте ризики взаємодії зі смарт-контрактами

DeFi protocol можуть бути зламані. Stablecoins можуть втратити прив’язку. Bridges можуть бути експлуатовані. Навіть коректно застосовані практики безпеки не захистять вас, якщо базовий контракт має вразливості.

Додавайте в протоколи лише ті кошти, які ви готові повністю втратити. Диверсифікуйте між кількома платформами та ланцюгами. Слідкуйте за новинами протоколів і призупиняйте активність, якщо повідомляється про вразливості.

10. Майте план реагування на інциденти

Знайте точно, що робити, якщо ви підозрюєте компрометацію. Негайно від’єднайте свій гаманець від будь-якого dApp. Перемістіть залишкові кошти на новий гаманець, якщо ви ще можете. Відкличте всі дозволи з компрометованого гаманця.

Якщо ваша seed phrase була розкрита, вважайте, що всі активи в цьому гаманці під ризиком. Створіть новий гаманець зі свіжою seed phrase та переказуйте кошти, перш ніж це зробить атакувальник.

Останнє правило

Безпека — це нудно. Втрати — ні. Надавайте перевагу нудним звичкам, а не захопливим “швидким шляхам”. Найкращий посібник з безпеки — той, якого ви реально дотримуєтеся щодня.

Берегіть себе. Будьте скептичні. Накопичуйте без зайвих слів.