Безпека у Web3
Web3 — це можливість, змінити те, як громадяни світу взаємодіють, здійснюють транзакції та розважаються, яка випадає раз на покоління. Як і будь-яка нова подорож, вона не позбавлена ризиків.
Деякі люди намагатимуться вас обдурити, подібно до злодіїв, які полюють на довірливих туристів. Крадіжку та шахрайство вигадали не вчора: вони існують вже протягом багатьох років, і різними способами проникають у різні галузі. Попри це, втішає те, що у web3 ви контролюєте ситуацію, а завдяки обізнаності ви можете навчитися безпечно орієнтуватися в цьому новому світі, використовуючи передові практики. На цьому уроці ми обговоримо деякі з основних принципів, які ви повинні засвоїти, перш ніж розпочати свою подорож у Web3.
Вектори атак і способи їх уникнути
Пам’ятаєте наш урок про самостійне зберігання? Що ж, ми розглянули його на початку не просто так. Один з найпоширеніших способів експлуатації користувачів у web3 — це перехід від ментальної моделі web2 (у вас є ім’я користувача та пароль, і ви довіряєте їхню безпеку платформі) до моделі web3, яка передбачає самостійне зберігання. Самостійне зберігання, розширює можливості, але також передбачає ризики.
Якщо ви втратили пароль до додатка онлайн-банкінгу, банк як зберігач вашого рахунку та грошей, може відновити його від вашого імені за умови, що ви зможете підтвердити свою особу. Проте у разі самостійного зберігання у вас є єдиний засіб, що підтверджує вашу особу: ваша секретна фраза відновлення (сід-фраза). Більше ніхто не зможе скинути ваш обліковий запис замість вас.
Ваша секретна фраза відновлення (SRP) повинна бути тільки у ваших руках, і тільки у вас.
Не передавайте її нікому. Це дуже важливо.
Обманом змусити користувачів web3 передати або розкрити свою SRP — один із найприбутковіших способів, яким працюють шахраї. Завжди будьте вкрай обережні з тими, хто просить вас про це. Це точно не співробітники MetaMask.
Не випадково, ще один основний вектор атак також пов’язано з ризиками самостійного зберігання. Це стосується того, як ви використовуєте свій гаманець MetaMask для надання дозволів децентралізованим додаткам (dapps), з якими взаємодієте.
Як ми досліджували в Що таке криптогаманець? з цього уроку, ваш гаманець — це, по суті, інструмент для управління вашою ідентичністю та дозволами. Після того як ви використали свій гаманець для передачі дозволів третім особам, вони отримують вашу незмінну згоду робити все, що вони попросять. Саме тому ви повинні бути дуже обережними, коли надаєте дозволи.
Один з найпоширеніших дозволів, які ви підписуєте в MetaMask, — схвалення токенів. Ці транзакції мають різні форми, але зазвичай дають дозвіл децентралізованому додатку на доступ до певної кількості токенів або NFT. Як відомо, довгі шістнадцяткові числа і коди людині складно прочитати, тому вони стають легкою здобиччю шахраїв: їм простіше змусити вас схвалити шкідливу транзакцію, якщо ви не розумієте, до чого вона призведе. Інша поширена тактика — попросити необмежений доступ до токена, щоб після схвалення децентралізований додаток міг видаляти з вашого облікового запису необмежену кількість токенів, оскільки технічно він отримав на це дозвіл. Якщо децентралізований додаток шкідливий, з вашого рахунку знімуть усі кошти.
Схвалення та дозволи — це складна тема, яка постійно розвивається. Однак ви повинні запам’ятати одне: ніколи не схвалюйте транзакцію, запропоновану підозрілим децентралізованим додатком, а якщо ви не впевнені, не давайте йому необмежений доступ до токена.
Щоб дізнатися більше про схвалення токенів, перегляньте ресурси в розділі Зануртеся глибше.
Не хапайте наживку
Ви можете значно підвищити свою безпеку в web3, якщо дізнаєтесь про ознаки шкідливої діяльності. Шахраї навмисно чи ненавмисно видають себе багатьма способами. Ось лише деякі з них:
Термінові вимоги: обмеження у часі для створення нагальності за допомогою крайніх термінів
FOMO: обіцянки нереальних прибутків, аірдропів або лістингів з низькою вартістю
Імітація: імітація відомих протоколів, проєктів і людей
Кострубатість: граматично неправильні речення, поганий вебдизайн або непрофесійний брендинг
Неочікувані повідомлення: прохання позичити гроші, надмірний ентузіазм і відчайдушне прагнення вас зацікавити.
Завжди пам’ятайте: якщо пропозиції здаються занадто хорошими, щоб бути правдою, це, ймовірно, так і є.
Апаратні гаманці: додатковий рівень безпеки
Самостійне зберігання означає, що вам потрібно подбати про власну безпеку. Більше ніхто не зробить це за вас. Ніхто не зможе створити резервну копію вашого облікового запису на випадок втрати доступу до нього або повернути ваші кошти у разі крадіжки токенів. Це можете зробити тільки ви та ті, хто має доступ до вашої секретної фрази відновлення (SRP). Це велика відповідальність, але ви маєте честь дізнатися про неї й випробувати на собі, оскільки Web3 вкорінюється в усьому світі.
MetaMask ставить безпеку користувача понад усе. Це проявляється у використанні самого гаманця, де ви бачите попередження, коли ви збираєтеся зробити щось небезпечне, у розробці інструментів, як-от LavaMoat, що гарантують безпеку самого коду, і в освітніх заходах, таких як цей. Також існують опції, які додають ще один рівень безпеки між вами й зловмисниками.
Апаратні гаманці — фізичні пристрої за межами вашого ПК, які захищають закриті ключі ваших облікових записів. Вони від’єднані від інших речей в Інтернеті, які ви зазвичай робите на телефоні чи ноутбуці, наприклад перевіряєте пошту, завантажуєте програми чи переглядаєте в Інтернеті кумедні відео з котиками.
Ви можете підключити ці апаратні гаманці до MetaMask для зручності під час роботи з web3. Переглядайте децентралізовані додатки у MetaMask та підписуйте транзакції в апаратному гаманці.
Поєднання апаратних гаманців з MetaMask (програмним гаманцем) дає вам змогу підвищити безпеку, оскільки ви несете більшу відповідальність за самостійне зберігання.
Безпека у Web3
2:00
залишилося, щоб скористатися цією обмеженою пропозицією
Спробуємо стейкінг вашого ETH, оберіть бажаного постачальника стейкінгу
Найвищі нагороди
Mega Staked ETH
mgETH
69.63% нагороди
Найвищі нагороди
Lido Staked ETH
stETH
3% нагороди
Найвищі нагороди
Rocket Pool Staked ETH
rETH
3% нагороди
- 01
Самостійне зберігання розширює можливості, але несе за собою ризики й вимагає належних заходів безпеки з мого боку
- 02
Дві найпоширеніші web3-атаки, з якими мені доводилося стикатися, — це зловмисники, які намагаються отримати мою секретну фразу відновлення та дозволи на використання токенів
- 03
Апаратний гаманець — це гарний перший крок до посилення моєї web3-безпеки.
Готові зробити наступний крок?
Дослідити MetaMask