Безопасность в Web3

Не сообщайте ее никому. Мы не устанем это повторять.

Обманом заставить пользователей web3 передать или обнародовать свои SRP — это один из самых доходных способов работы мошенников. Всегда будьте крайне осторожны с теми, кто у вас ее запрашивает. MetaMask точно не делает этого.

Неслучайно другой основной вектор атаки также связан с использованием рисков самодепозитария. Речь идет о том, как вы используете свой кошелек MetaMask для выдачи разрешений децентрализованным приложениям (dapp), с которыми взаимодействуете.

Как мы выяснили в уроке Что такое криптокошелек ваш кошелек по сути является средством для управления вашими идентификационными данными и разрешениями. Как только вы используете свой кошелек для передачи разрешений третьей стороне, она получает ваше неизменное согласие делать все, что она запросит. Вот почему вы должны быть очень, очень осторожны при раздаче разрешений.

Одним из наиболее распространенных разрешений, которые вы будете подписывать в MetaMask, является разрешение доступа к токенам. Эти транзакции бывают разных форм, но обычно они дают запрашивающему dapp разрешение на доступ к определенному количеству токенов или NFT. Как известно, длинные шестнадцатеричные числа и код не очень удобны для восприятия человеком, что дает мошенникам лазейку: вас легче заставить одобрить вредоносную транзакцию, если вы не понимаете, что она влечет за собой. Другой распространенной тактикой является запрос на неограниченный доступ к токену, поэтому после одобрения dapp может снять с вашего счета столько, сколько захочет, поскольку технически оно получило на это разрешение. Если dapp является вредоносным, ваш счет будет опустошен.

Утверждения и разрешения — это сложная тема, которую можно долго обсуждать. Но есть одна вещь, которую вы должны помнить всегда: никогда не одобряйте транзакцию, предложенную подозрительным dapp, а если не уверены, не предоставляйте им неограниченный доступ к токену.

Чтобы узнать больше о разрешении доступа к токенам, см. ресурсы в разделе «Дополнительные материалы».

Самодепозитарий подразумевает, что вы должны обеспечивать собственную безопасность. Никто другой не сможет сделать это за вас. Никто не сможет создать резервную копию вашего счета, если вы потеряете к нему доступ, или получить для вас средства, если ваши токены будут украдены. Только вы и тот, кто имеет доступ к вашей секретной фразе для восстановления (SRP). Это большая ответственность, но именно вам выпала честь узнать и испытать на себе, как web3 распространяется по всему миру.

MetaMask ставит безопасность пользователей превыше всего. Вы можете увидеть это при использовании самого кошелька, где предусмотрены предупреждения, когда вы собираетесь сделать что-то опасное, в разработке таких инструментов, как LavaMoat, обеспечивающих безопасность самого кода, а также в образовательных материалах, подобных этому. Есть и дополнительные возможности, которые вводят еще один уровень безопасности между вами и злоумышленниками.

Аппаратные кошельки — физические устройства за пределами вашего компьютера, которые защищают закрытые ключи ваших счетов. Они не связаны с другими онлайн-действиями, которые вы обычно выполняете на своем телефоне и ноутбуке, например проверяете электронную почту, скачиваете приложения и просматриваете в Интернете смешные видео с котиками.

Вы можете подключить эти аппаратные кошельки к MetaMask для обеспечения гибкости при выполнении действий web3. Просматривайте приложения dapp с помощью MetaMask и подписывайте транзакции на своем аппаратном кошельке.

Сочетание аппаратных кошельков с MetaMask (программным кошельком) позволяет вам повысить безопасность, поскольку вы несете большую ответственность, используя метод самодепозитария.