Безпека у Web3

Не передавайте її нікому. Це дуже важливо.

Обманом змусити користувачів web3 передати або розкрити свою SRP — один із найприбутковіших способів, яким працюють шахраї. Завжди будьте вкрай обережні з тими, хто просить вас про це. Це точно не співробітники MetaMask.

Не випадково, ще один основний вектор атак також пов’язано з ризиками самостійного зберігання. Це стосується того, як ви використовуєте свій гаманець MetaMask для надання дозволів децентралізованим додаткам (dapps), з якими взаємодієте.

Як ми досліджували в Що таке криптогаманець? з цього уроку, ваш гаманець — це, по суті, інструмент для управління вашою ідентичністю та дозволами. Після того як ви використали свій гаманець для передачі дозволів третім особам, вони отримують вашу незмінну згоду робити все, що вони попросять. Саме тому ви повинні бути дуже обережними, коли надаєте дозволи.

Один з найпоширеніших дозволів, які ви підписуєте в MetaMask, — схвалення токенів. Ці транзакції мають різні форми, але зазвичай дають дозвіл децентралізованому додатку на доступ до певної кількості токенів або NFT. Як відомо, довгі шістнадцяткові числа і коди людині складно прочитати, тому вони стають легкою здобиччю шахраїв: їм простіше змусити вас схвалити шкідливу транзакцію, якщо ви не розумієте, до чого вона призведе. Інша поширена тактика — попросити необмежений доступ до токена, щоб після схвалення децентралізований додаток міг видаляти з вашого облікового запису необмежену кількість токенів, оскільки технічно він отримав на це дозвіл. Якщо децентралізований додаток шкідливий, з вашого рахунку знімуть усі кошти.

Схвалення та дозволи — це складна тема, яка постійно розвивається. Однак ви повинні запам’ятати одне: ніколи не схвалюйте транзакцію, запропоновану підозрілим децентралізованим додатком, а якщо ви не впевнені, не давайте йому необмежений доступ до токена.

Щоб дізнатися більше про схвалення токенів, перегляньте ресурси в розділі Зануртеся глибше.

Самостійне зберігання означає, що вам потрібно подбати про власну безпеку. Більше ніхто не зробить це за вас. Ніхто не зможе створити резервну копію вашого облікового запису на випадок втрати доступу до нього або повернути ваші кошти у разі крадіжки токенів. Це можете зробити тільки ви та ті, хто має доступ до вашої секретної фрази відновлення (SRP). Це велика відповідальність, але ви маєте честь дізнатися про неї й випробувати на собі, оскільки Web3 вкорінюється в усьому світі.

MetaMask ставить безпеку користувача понад усе. Це проявляється у використанні самого гаманця, де ви бачите попередження, коли ви збираєтеся зробити щось небезпечне, у розробці інструментів, як-от LavaMoat, що гарантують безпеку самого коду, і в освітніх заходах, таких як цей. Також існують опції, які додають ще один рівень безпеки між вами й зловмисниками.

Апаратні гаманці — фізичні пристрої за межами вашого ПК, які захищають закриті ключі ваших облікових записів. Вони від’єднані від інших речей в Інтернеті, які ви зазвичай робите на телефоні чи ноутбуці, наприклад перевіряєте пошту, завантажуєте програми чи переглядаєте в Інтернеті кумедні відео з котиками.

Ви можете підключити ці апаратні гаманці до MetaMask для зручності під час роботи з web3. Переглядайте децентралізовані додатки у MetaMask та підписуйте транзакції в апаратному гаманці.

Поєднання апаратних гаманців з MetaMask (програмним гаманцем) дає вам змогу підвищити безпеку, оскільки ви несете більшу відповідальність за самостійне зберігання.