Безопасность в Web3

Hero 11

Web3 — это уникальная возможность изменить то, как граждане всего мира взаимодействуют, совершают сделки и развлекаются. Как и с любым новым явлением, участие в этом движении не обходится без рисков.


Будут люди, которые попытаются вас обмануть, подобно мошенникам, которые охотятся на доверчивых туристов. Воровство и мошенничество не являются чем-то новым. Они существуют уже много веков и просто по-разному проявляются в разных сферах. Несмотря на это, утешает то, что в web3 вы сами контролируете ситуацию, а благодаря осведомленности можете научиться безопасно ориентироваться в этом новом мире, используя накопленный опыт. В этом уроке мы обсудим некоторые ключевые принципы, которые вы должны усвоить, прежде чем приступать к работе с web3.

Векторы атак и как их избежать 


Помните наш урок о самодепозитарии? Что ж, мы рассказали об этом в самом начале не просто так. Одним из наиболее распространенных способов эксплуатации уязвимостей пользователей в web3 является переход от ментальной модели web2, когда у вас есть имя пользователя и пароль и вы доверяете их хранение платформе, к самодепозитарной модели web3. Самодепозитарий, как бы ни были велики его возможности, не лишен риска.

Если вы потеряли пароль к приложению для онлайн-банкинга, ваш банк, как хранитель вашего счета и денег, может сбросить его от вашего имени, если вы сможете подтвердить свою личность. А в случае самодепозитария у вас есть только один способ доказать свою личность: секретная фраза для восстановления (сид-фраза). Никто другой не сможет сбросить пароль для вашего счета за вас.

Secondary assets 10 - 01

Ваша секретная фраза для восстановления (SRP) должна храниться только у вас, ни у кого больше.

Не сообщайте ее никому. Мы не устанем это повторять.

Обманом заставить пользователей web3 передать или обнародовать свои SRP — это один из самых доходных способов работы мошенников. Всегда будьте крайне осторожны с теми, кто у вас ее запрашивает. MetaMask точно не делает этого.

Неслучайно другой основной вектор атаки также связан с использованием рисков самодепозитария. Речь идет о том, как вы используете свой кошелек MetaMask для выдачи разрешений децентрализованным приложениям (dapp), с которыми взаимодействуете.

Как мы выяснили в уроке Что такое криптокошелек ваш кошелек по сути является средством для управления вашими идентификационными данными и разрешениями. Как только вы используете свой кошелек для передачи разрешений третьей стороне, она получает ваше неизменное согласие делать все, что она запросит. Вот почему вы должны быть очень, очень осторожны при раздаче разрешений.

Одним из наиболее распространенных разрешений, которые вы будете подписывать в MetaMask, является разрешение доступа к токенам. Эти транзакции бывают разных форм, но обычно они дают запрашивающему dapp разрешение на доступ к определенному количеству токенов или NFT. Как известно, длинные шестнадцатеричные числа и код не очень удобны для восприятия человеком, что дает мошенникам лазейку: вас легче заставить одобрить вредоносную транзакцию, если вы не понимаете, что она влечет за собой. Другой распространенной тактикой является запрос на неограниченный доступ к токену, поэтому после одобрения dapp может снять с вашего счета столько, сколько захочет, поскольку технически оно получило на это разрешение. Если dapp является вредоносным, ваш счет будет опустошен.

Утверждения и разрешения — это сложная тема, которую можно долго обсуждать. Но есть одна вещь, которую вы должны помнить всегда: никогда не одобряйте транзакцию, предложенную подозрительным dapp, а если не уверены, не предоставляйте им неограниченный доступ к токену.

Чтобы узнать больше о разрешении доступа к токенам, см. ресурсы в разделе «Дополнительные материалы».

Micro System 10
Identity

Не попадайтесь на удочку

Вы можете значительно повысить безопасность своего web3, если узнаете об очевидных признаках вредоносной деятельности. Мошенники могут выдавать себя различными способами как намеренно, так и случайно. Вот лишь некоторые из них.

  • Срочность. Использование цейтнота для создания срочности с назначением сроков или крайних дат.

  • Синдром упущенной выгоды. Обещание нереальных доходов, бесплатная раздача токенов или включение в белый список.

  • Подмена. Подражание известным протоколам, проектам и людям.

  • Несовершенство. Грамматические ошибки, плохой веб-дизайн или непрофессиональный брендинг в целом.

  • Неожиданные сообщения. Просьбы о деньгах, чрезмерный энтузиазм и отчаянное желание вовлечь вас.

Всегда помните. Если что-то кажется слишком хорошим, чтобы быть правдой, это скорее всего так и есть.

Аппаратные кошельки: дополнительный уровень безопасности

Самодепозитарий подразумевает, что вы должны обеспечивать собственную безопасность. Никто другой не сможет сделать это за вас. Никто не сможет создать резервную копию вашего счета, если вы потеряете к нему доступ, или получить для вас средства, если ваши токены будут украдены. Только вы и тот, кто имеет доступ к вашей секретной фразе для восстановления (SRP). Это большая ответственность, но именно вам выпала честь узнать и испытать на себе, как web3 распространяется по всему миру.

MetaMask ставит безопасность пользователей превыше всего. Вы можете увидеть это при использовании самого кошелька, где предусмотрены предупреждения, когда вы собираетесь сделать что-то опасное, в разработке таких инструментов, как LavaMoat, обеспечивающих безопасность самого кода, а также в образовательных материалах, подобных этому. Есть и дополнительные возможности, которые вводят еще один уровень безопасности между вами и злоумышленниками.

Аппаратные кошельки — физические устройства за пределами вашего компьютера, которые защищают закрытые ключи ваших счетов. Они не связаны с другими онлайн-действиями, которые вы обычно выполняете на своем телефоне и ноутбуке, например проверяете электронную почту, скачиваете приложения и просматриваете в Интернете смешные видео с котиками.

Вы можете подключить эти аппаратные кошельки к MetaMask для обеспечения гибкости при выполнении действий web3. Просматривайте приложения dapp с помощью MetaMask и подписывайте транзакции на своем аппаратном кошельке.

Сочетание аппаратных кошельков с MetaMask (программным кошельком) позволяет вам повысить безопасность, поскольку вы несете большую ответственность, используя метод самодепозитария.

Безопасность в Web3

Давайте попробуем стейкинг ваших ETH, выберите предпочтительного поставщика стейкинга

  • Самые большие вознаграждения

    mega-staked-eth

    Mega Staked ETH

    mgETH

    69.63% вознаграждения

  • Самые большие вознаграждения

    lido-staked-eth

    Lido Staked ETH

    stETH

    3% вознаграждения

  • Самые большие вознаграждения

    rocket-pool-staked-eth

    Rocket Pool Staked ETH

    rETH

    3% вознаграждения

  • Secondary assets 10 - 01
    01

    Самодепозитарий, хотя и расширяет возможности, имеет риски и требует надлежащих мер безопасности со стороны пользователя.

  • Secondary assets 10 - 02
    02

    Две наиболее распространенные атаки web3, с которыми могут столкнуться пользователи, — это злоумышленники, пытающиеся получить секретную фразу для восстановления и разрешение доступа к токенам.

  • 03 Takeaway 01
    03

    Аппаратный кошелек — это хороший первый шаг к повышению безопасности web3.

Готовы сделать следующий шаг?

Узнать о MetaMask
Learn