راهنمای کامل امنیت ارزدیجیتال: کیف پول ارزدیجیتال، قراردادهای هوشمند، DeFi و NFT
راهنمای کامل امنیت ارزدیجیتال در این راهنمای کریپتو، ما از سوء استفادهها و حملات امنیتی بالقوه مختلف، مواردی که باید مراقب آنها باشیم و چگونه از آنها اجتناب کنیم، خواهیم پرداخت. ما امیدواریم که در پایان این راهنما، روزهایی که عبارات اولیه خود را با پشتیبانی مشتری جعلی به اشتراک میگذارید، گذشته باشد! با بالغ شدن فضای کریپتو، حملات در کریپتو پیچیدهتر شدهاند، وجوه بیشتری نسبت به قبل در خطر است.
و اگر یک فضای آنلاین وجود داشته باشد که کارشناسان در آن گرد هم آیند، توییتر کریپتو است. بنابراین ما فکر کردیم که بهترین برداشت های متخصص از X (توئیتر) را جمع آوری کنیم و آنها را در اینجا با شما به اشتراک بگذاریم.
ما نحوه ایمن ماندن در حین استفاده را توضیح خواهیم داد:
- کیف پول های ارزدیجیتال
- قراردادهای هوشمند
- دیفای
- NFT ها
- توییتر رمزنگاری شده
در حالی که این راهنما برای فعالیت های رمزنگاری در اتریوم و لایه 2 آن طراحی شده است، روش های امنیتی هنوز در زنجیره های لایه 1 دیگر مانند Solana بسیار مرتبط هستند. آماده است؟ بیایید چند توییت از کارشناسان شناخته شده در حوزه رمزنگاری را مرور کنیم.
راهنمای کامل امنیت ارزدیجیتال 1. کیف پول ارزهای دیجیتال
بیایید با یک چیز اساسی شروع کنیم: درک مفهوم حضانت.
حضانت به این سوال مربوط می شود که چگونه دارایی های رمزنگاری خود را ایمن نگه دارید. هر دارایی رمزنگاری به یک کلید خصوصی گره خورده است. و هر کسی که به کلید خصوصی شما دسترسی داشته باشد به دارایی های رمزنگاری شما نیز دسترسی دارد.
اما چه کسی حضانت دارد؟
این بستگی به میزان ریسک امنیتی و مسئولیتی دارد که شما مایل به تحمل آن هستید. بسیاری از مبتدیان ترجیح می دهند حداقل در ابتدا دارایی های رمزنگاری خود را در صرافی نگه دارند. اما پس از آن، کاربرانی که دارایی های دیجیتال خود را در یک صرافی متمرکز ارز دیجیتال رها می کنند، می توانند در معرض خطرات دیگر قرار گیرند. آنها شامل برداشت های متوقف شده، خرابی مبادلات و هک ها می شوند، یا حتی بدتر از آن، ممکن است صرافی ورشکسته شود و در نتیجه مشتریان نتوانند دارایی های خود را برداشت کنند، همانطور که در سقوط FTX مشاهده می شود.
خود حضانت سطح بعدی امنیت است، اما خطرات خاص خود را دارد.
این خطرات شامل توزیع ناآگاهانه عبارت اولیه یا ارسال وجوه به آدرس اشتباه است. راهحلهای دیگر حضانت، مانند چند سیگ و حتی خدمات حضانت نهادی در دسترس هستند. با این حال، دومی یک سرویس متمرکز است.
حملات فیشینگ با کورپی
شما بدون توجه به سطح تجربه خود مستعد حملات فیشینگ هستید! حملات فیشینگ زمانی اتفاق میافتند که یک بازیگر بد شما را فریب میدهد تا اقدامی انجام دهید که داراییهای رمزنگاری شما را به خطر میاندازد، مانند کلیک کردن بر روی پیوند یا باز کردن یک ایمیل. اما برای موفقیت آمیز بودن یک حمله فیشینگ، این بازیگران بد به تایید شما نیاز دارند.
تایید مفهومی است که برای بلاک چین ها اهمیت دارد. بدون تایید، نمی توانید با قراردادهای هوشمند تعامل داشته باشید. و بدون تایید شما، هیچ پروتکلی نمی تواند به توکن های شما دسترسی داشته باشد. اما اگر آنها تأیید شما را داشته باشند، چه کاری می توانید انجام دهید؟ پروتکل ها و بازیگران بد می توانند به دارایی های رمزنگاری شما دسترسی داشته باشند تا زمانی که تایید لغو شود.
قسمت دیوانه کننده؟ فرقی نمی کند که از کیف پول سرد استفاده می کنید یا نه! هنگامی که تأیید را صادر کردید، اگر محدودیتی اعمال نشده باشد، افرادی که دسترسی دارند به طور نامحدود آن را خواهند داشت.
بیایید به عنوان مثال به MetaMask نگاهی بیندازیم. هنگامی که MetaMask با یک درخواست تأیید ظاهر می شود، می توانید…
- آدرس را مرور کنید.
- آدرسهای مورد اعتماد را ذخیره کنید و نامهای مستعار اختصاص دهید.
3. مجموعهای را که تأیید میکنید در برگه «دادهها» بررسی کنید.
4. لغو تاییدیه های غیر ضروری. (برای کاربران اتریوم، میتوانید این کار را در Etherscan در اینجا انجام دهید.) میتوانید از Revoke.cash برای لغو تأییدیههای غیرضروری در سایر لایههای اتریوم 2 مانند Optimism و Base استفاده کنید.
در مورد NFT ها کمی متفاوت است، اما کمی بعد به آن خواهیم پرداخت.
تایید MetaMask با CryptoCat
آیا در زندگی واقعی کیف پول خود را به غریبه ها می دهید و به آنها اعتماد می کنید که هر مقداری را که می خواهند، بدون اعمال هیچ محدودیتی دریافت کنند؟ این اساساً کاری است که شما با تأییدیه های پیش فرض انجام می دهید. بنابراین در اینجا نحوه محافظت از خود در برابر مشکلات تأیید آمده است.
بدانید چه چیزی را تأیید می کنید. روی “Edit Permissions” کلیک کنید و داده ها را به صورت دستی بررسی کنید. برخی از مواردی که باید به آنها توجه داشته باشید: سن قرارداد، صاحب قرارداد، و محل تامین سرمایه.
2. میزان تأیید را بدانید. در کنار «درخواست مجوز»، روی «ویرایش» کلیک کنید و محدودیت هزینه سفارشی را وارد کنید. به این ترتیب، حتی اگر پروتکل هک شود، هرگز نمی تواند به بیش از مقداری که شما تأیید کرده اید دسترسی داشته باشد.
3. بدانید که تاییدیه ها به یک نشانه خاص گره خورده است. این بدان معنی است که فقط توکن های خاصی که تایید شده اند در معرض خطر هستند.
بدانید که تاییدیه های بی نهایت پیش فرض شما هستند… اما نباید باشند. آنها تأیید نامحدودی را برای قرارداد برای دسترسی به توکن شما اعطا می کنند. تصویر سوم نشان می دهد که تایید بی نهایت چگونه است:
اگر آن رشته از f را در انتها مشاهده کردید، این نشان میدهد که محدودیت هزینه نامحدودی را که توسط پروتکل درخواست شده است، تأیید میکنید.
برای تغییر آن، به سادگی “درخواست مجوز” را ویرایش کنید و حد هزینه مورد نظر خود را وارد کنید.
کیف پول کریپتو جایگزین: Rabby
کیف پول Rabby که توسط تیم Debank با در نظر گرفتن نیازهای کاربران DeFi ساخته شده است، در سال 2022 راه اندازی شد. کیف پول Rabby دارای بسیاری از ویژگی های امنیتی اضافی است که آن را به یک جایگزین جذاب برای کیف پول آزمایشی و واقعی MetaMask تبدیل می کند.
فهرست تاییدیه های داخلی
به جای لغو تاییدیههای شبکه اتریوم در Etherscan، کاربران Rabby میتوانند به لیست تاییدیههای خود در چندین زنجیره دسترسی داشته باشند که همه در یک مکان و در کیف پول تعبیه شده است.
پادمان های ضد فیشینگ
هنگام بازدید و اتصال به برنامههای غیرمتمرکز (dApps)، Rabby چندین اطلاعات کلیدی را هنگام درخواست اتصال کیف پول ارائه میکند:
- داده های فهرست وب سایت
- محبوبیت سایت (در مقیاس کم، متوسط و زیاد)
- وضعیت تأیید ربی
یک پیوند رسمی غیرفیشینگ باید لیست شده باشد، محبوب و بهتر است توسط تیم Rabby تأیید شود.
شبیه سازی تراکنش های تفصیلی
شبیه سازی تراکنش در Rabby به وضوح نتیجه شبیه سازی شده را برای شما نشان می دهد تا اطمینان حاصل شود که تراکنش نامطلوب / مخرب نیست.
مهمتر از همه، ویژگی کلیدی امنیتی در انتهای شبیه سازی تراکنش نهفته است.
Rabby مشخص می کند که آیا قبلاً با یک قرارداد هوشمند خاص تعامل داشته اید یا خیر، این کمک می کند تا به شما بگوید چه زمانی توجه و مراقبت بیشتری لازم است.
راهنمای کامل امنیت ارزدیجیتال 2. قراردادهای هوشمند
بهره برداری های قرارداد هوشمند در سطح پروتکل اجرا می شوند. در این بخش به بررسی مواردی که در ممیزی قراردادهای هوشمند باید بگردید، نحوه خواندن قراردادهای هوشمند و نحوه استفاده از اتراسکن می پردازیم.
حسابرسی قراردادهای هوشمند با وب 3
قراردادهای هوشمند به دو دلیل مستعد هک هستند:
1. دارای دارایی های با ارزش هستند
2. کد قرارداد هوشمند منبع باز است، بنابراین برای همه، از جمله هکرها، قابل مشاهده است.
قراردادهای هوشمندی که با آسیبپذیری راهاندازی میشوند، میتوانند تمام داراییهای رمزنگاری را تخلیه کنند. آنها همچنین در معرض خطر از بین بردن شهرت خوب یک توسعه دهنده هستند. هدف از حسابرسی قرارداد هوشمند جلوگیری از نقض امنیت است. علاوه بر این، ممیزیها اطمینان حاصل میکنند که کد آنطور که در نظر گرفته شده عمل میکند.
به عنوان یک کاربر، خوب است بدانید که ممیزی قرارداد هوشمند چگونه انجام می شود.
در اینجا ممیزی قرارداد هوشمند در 3 مرحله آسان مستلزم چیست:
1. درک مورد استفاده اولین قدم بسیار مهم است. بنابراین مرحله 1 این سوال را می پرسد: “قرارداد هوشمند برای انجام چیست؟”
2. هنگامی که هدف قرارداد هوشمند را مشخص کردیم، قرارداد را به صورت دستی بررسی می کنیم. آیا قرارداد در محدوده مورد استفاده مورد نظر خود عمل می کند؟ به عبارت دیگر هدف حسابرسی شناسایی هرگونه رفتار ناخواسته است.
3. در آخرین مرحله، ابزارهای تأیید خودکار را برای شناسایی آسیبپذیریهای احتمالی اجرا میکنیم. ما با تمام کردن قرارداد و اجرای کامل آن به این مهم دست مییابیم. به این ترتیب، ما هر گونه غافلگیری ناخوشایند احتمالی را به حداقل می رسانیم.
اگر در مورد استفاده از پروتکل کمی نگران هستید، همیشه میتوانید از تیم @0xMacroDAO درخواست ممیزی کنید. همچنین، توجه داشته باشید که پروتکلهایی که دادههای آنها بررسی شدهاند، عموماً بسیار ایمنتر از پروتکلهایی هستند که بررسی نشدهاند. در نهایت، اگر تیم پروتکل یک برنامه جایزه را اجرا می کند، چنین برنامه هایی همچنین به افزایش ایمنی یک پروتکل کمک می کند.
در یک یادداشت جداگانه، در اینجا آنچه می توانید به عنوان خط اول دفاع انجام دهید، آمده است. شما می توانید این بررسی امنیتی را به راحتی انجام دهید. به سادگی صفحه CoinGecko را برای توکن یا پروتکل مربوطه که در حال کاوش هستید پیدا کنید. سپس، در بخش نمای کلی، یک برگه “امنیت” را مشاهده خواهید کرد.
با کلیک بر روی آن، گزارش های حسابرسی دقیق و امتیازات امنیتی داده شده توسط شرکت های مختلف حسابرسی قراردادهای هوشمند نشان داده می شود.
این باید به شما کمک کند تا نسبتاً سریع تشخیص دهید که آیا یک پروتکل یا نشانه برای تعامل با آن ایمن است یا خیر. در مورد یک راه سریع و آسان برای بررسی خطرات امنیتی یک پروتکل صحبت کنید!
تسلط بر اتراسکن با @CroissantEth
شما باید تا به حال بدانید که یادگیری نحوه خواندن Etherscan می تواند برتری زیادی نسبت به کسانی که این کار را نمی کنند به شما بدهد. در اینجا چند اقدام قدرتمند وجود دارد که می توانید با Etherscan انجام دهید.
1. واضح ترین راه برای استفاده از اتراسکن ردیابی کیف پول های رمزنگاری شده است. تنها کاری که باید انجام دهید این است که آدرس کیف پول را در قسمت جستجو وارد کنید و به داده های بلاک چین مرتبط با کیف پول آنها، از جمله تاریخچه تراکنش، دسترسی خواهید داشت. این می تواند به شما تصور کند که آیا یک آدرس قانونی یا مخرب است.
2. از آنجایی که بلاک چین ها دنباله ای از خود به جای می گذارند، می توانید یک قرارداد هوشمند را تا سرچشمه ردیابی کنید. این موضوع زمانی که نوبت به بررسی و تأیید قانونی بودن یا مخرب بودن قرارداد میرسد بسیار مهم است.
3. Etherscan فیلترهای قدرتمندی دارد. حتی می توانید تراکنش های خاص را بر اساس آدرس فیلتر کنید. این باعث صرفه جویی در وقت شما در درازمدت هنگام بررسی ایمنی می شود.
4. همچنین میتوانید کیف پولهای خاص را عمیقاً بررسی کنید، از جمله مرور تجزیه و تحلیل و نظرات آنها (به عنوان مثال، چت ENS). گاهی اوقات، حتی مرور ساده تاریخچه تراکنش ممکن است نشان دهد که چیزی خاموش است (به عنوان مثال، سابقه سوزاندن توکن).
5. میتوانید قراردادهای هوشمند را از طریق Etherscan نیز بخوانید و نحوه جستجوی قراردادهای هوشمند خاص را بیاموزید، که باعث صرفهجویی در زمان نیز میشود. (بیایید صادق باشیم: هیچ کس نمی خواهد زمان زیادی را صرف بررسی رویه های ایمنی کند.)
اگر قادر به خواندن Solidity هستید، چند کار دیگر می توانید به عنوان یک کاربر پیشرفته انجام دهید:
- میتوانید URL قرارداد هوشمند را از «etherscan.io» به «etherscan.deth.net» تغییر دهید (همانطور که در تصویر بالا نشان داده شده است)، اما بدون تغییر بقیه جستجو، بنابراین همه چیز را از «/address/» به بعد اضافه کنید. . با انجام این کار، کد واقعی قرارداد هوشمندی که به آن نگاه می کنید، آشکار می شود.
- می توانید داده های ورودی را رمزگشایی کنید. فقط از یک صفحه tx که حاوی یک یادداشت است دیدن کنید. در زیر داده های ورودی، روی “مشاهده به عنوان UTF-8” کلیک کنید. در صورت پیدا کردن هر گونه مشکلی میتوانید یادداشتهای خود را بگذارید، یا میتوانید اطلاعات مربوط به استقرار قرارداد را در اینجا نیز بخوانید، که ممکن است قبل از انتخاب قرارداد هوشمند مفید باشد.
استفاده از Etherscan را تمرین کنید و چند قرارداد و آدرس هوشمند را به تنهایی کشف کنید. در نهایت، شما از آن استفاده خواهید کرد و تسلط به دست خواهید آورد!
راهنمای کامل امنیت ارزدیجیتال 3. دیفای
مبانی امنیت DeFi با Quantstamp
DeFi به سرعت حرکت می کند، گاهی اوقات به هزینه امنیت. خطاهای کدنویسی و منطقی میتوانند مسیرهایی را برای سوءاستفادههای بالقوه باز کنند که عوامل مخرب را از همه گوشههای DeFi به داخل میکشاند. درک این شرایط می تواند به شما در اجتناب از آنها در صورت رعایت اقدامات امنیتی مناسب کمک کند.
همین اصل در مورد ترکیب پذیری که یک شمشیر دولبه است نیز صدق می کند. Composability توانایی dApps و DAO برای برقراری ارتباط و کار با یکدیگر است. رایج ترین قیاسی که برای توصیف ترکیب پذیری استفاده می شود با بلوک های لگو است.
مطمئناً، قرار دادن پروتکل ها در بالای پروتکل ها در بالای پروتکل ها مزایای واضحی دارد. اما پروتکلهای متعددی که با یکدیگر تعامل دارند، فرصتهای بیشتری را برای اکسپلویتها باز میکنند.
دستکاری قیمت نیز یک مسئله تکراری است. از آنجایی که قراردادهای هوشمند باید با اوراکل ها تعامل داشته باشند تا به داده های خارج از زنجیره دقیق دسترسی پیدا کنند، هر گونه مصالحه در اینجا می تواند منجر به عواقب عظیمی شود.
این موضوع میتواند به محض درگیر شدن وامهای فوری تشدید شود، زیرا میتوانند منجر به جابهجایی حجم قابلتوجهی از نقدینگی در یک بلوک واحد با اهرم شوند. وامهای فوری به هر کسی اجازه میدهند هر مقداری از داراییها را بدون نیاز به وامگیرنده برای جمعآوری نقدینگی وام بگیرند – تا زمانی که کل مبلغ در همان بلوک برگردانده شود.
اما حتی اگر بتوانید بگویید که یک پروتکل تحت بازرسی قرار گرفته است، لزوماً 100٪ ایمن نیست. به این دلیل که توسعه دهندگان مسئول بررسی نتایج ممیزی و اجرای تغییرات توصیه شده هستند، کاری که ممکن است همیشه انجام ندهند. علاوه بر این، هر بار که کد به روز می شود، اکسپلویت های بالقوه جدیدی معرفی می شوند.
بنابراین، برای شما مهم است که چالشهایی را که توسعهدهندگان در انتهای خود با آن مواجه هستند، درک کنید تا بتوانید بدون وارد شدن به شنهای روان، در فضا پیمایش کنید.
راهنمای کامل امنیت ارزدیجیتال : 9 الگوی حمله در DeFi با @puntium
بیایید 9 الگوی حمله رایج در DeFi را مرور کنیم که کاربران جدی رمزارز باید با آنها آشنا شوند.
1. اوراکل. اوراکل ها داده های واقعی را در اختیار بلاک چین ها قرار می دهند، بنابراین ضروری است که اطلاعات دقیق را منتقل کنند. از آنجایی که بلاک چینها برای قیمتگذاری واقعی به اوراکلها وابسته هستند، مهاجم میتواند به دنبال نقطه ضعفی برای بهرهبرداری باشد و سپس قیمتهایی را که گزارش میکند دستکاری کند. پس از آن، مهاجم می تواند از این عدم تطابق قیمت کاذب برای تجارت برای سود استفاده کند.
2. حملات وام فلش. اما اگر یک مهاجم اوراکل یک وام فلش بگیرد، اوضاع میتواند خیلی سریع بدتر شود.
حملات وام فلش مانند این کار می کنند. مهاجم مقدار زیادی از یک توکن خاص را بدون قرار دادن وثیقه وام می گیرد. سپس مهاجم قیمت را در یک صرافی دستکاری میکند و پس از آن، توکن را در صرافی دیگری میریزد و سود بسیار زیادی میبرد. این همه در یک بلوک اتفاق می افتد.
3. حملات حکومتی. یک مهاجم میتواند به اندازه کافی توکنهای حاکمیتی بخرد و کل پروتکل را دستکاری کند و یک رای مهم را در مسیر خود تغییر دهد.
4. در حال اجرا از جلو. پروتکلهای طراحی ضعیف ممکن است فرصتهایی را برای بهرهبرداری بین زمان ارسال تراکنش و زمان اجرای آن فراهم کنند.
5. کلیدهای مدیریت اگر اقدامات ایمنی کافی انجام نشود، کلیدهای خصوصی کیف پول پروتکل ممکن است به خطر بیفتد – درست مانند هر کیف پولی.
6. جبهه های ناامن. وبسایتهایی که به قرارداد هوشمند یک پروتکل پیوند دارند و به عنوان رابط گرافیکی کاربر برای کاربران عمل میکنند، میتوانند مورد حمله و در معرض خطر قرار گیرند.
7 . مهندسی اجتماعی. بازیگران مخرب میتوانند در Discord، X (تویتر) یا برخی پلتفرمهای دیگر وانمود کنند که اعضای تیم هستند و کاربران را فریب دهند تا اطلاعات خصوصی را به اشتراک بگذارند یا با یک قرارداد مخرب درگیر شوند.
8. تصاحب حساب های اجتماعی. حساب کاربری توییتر یک کاربر برجسته ارز دیجیتال ممکن است هک شود، و قبل از اینکه متوجه شوید، اطلاعات نادرست را تبلیغ می کند (به عنوان مثال، فالوورهای خود را برای تعامل با یک تخلیه کننده کیف پول ارسال می کند).
9. حملات لایه 1. مهم نیست که یک پروتکل چقدر ایمن باشد، اگر روی لایه 1 غیر ایمن زندگی کند، احتمال به خطر افتادن آن وجود دارد.
همانطور که احتمالاً می توانید بگویید، بردارهای حمله جدید همیشه در حال کشف هستند.
راهنمای کامل امنیت ارزدیجیتال 4. NFT ها
با راهنمای کامل امنیت ارزدیجیتال DCLBlogger@ از کلاهبرداری های NFT در امان باشید
- کلاهبرداری ها به فضای DeFi محدود نمی شوند. بسیاری از انواع کلاهبرداری های NFT همیشه مورد سوء استفاده قرار می گیرند. این موارد عبارتند از…
- دیامهای Discord، مانند ضرابخانههای رایگان با زمان محدود، یا کسی که کمک ارائه میدهد.
- ایمیلهای نام تجاری Dodgy (به عنوان مثال، «هی، اینجا را کلیک کنید و وارد حساب OpenSea خود شوید!»، همچنین به عنوان فیشینگ شناخته میشود)
- کلاهبرداری های تبلیغاتی پولی در گوگل
- فروشندگان جعلی NFT
- هک تبادل کریپتو
- ایردراپ های جعلی
- اینفلوئنسرهایی که پروژه های فرش را ترویج می کنند
- فروشندگان NFT پروژه های 100٪ کپی شده را با ارزش صفر می فروشند
- تعویض سیم کارت و هک ایمیل، دور زدن تایید 2FA موبایل
- هک کانال یوتیوب و جریان های تقلبی تقلبی
- شخصی برای سرمایه گذاری برای شما درخواست پول می کند
- نعناع های تقلبی که کیف پول شما را خالی می کند
- بنابراین برای محافظت از خود در برابر این همه کلاهبرداری چه کاری می توانید انجام دهید؟ در اینجا چند نکته وجود دارد:
اگر چیزی احساس میکند، احتمالاً همینطور است. از آن اجتناب کنید. (بهتر است ایمن از متاسف شدن!)
- بررسی کنید که واقعاً یک دوست به شما پیام میدهد و نه یک کلاهبردار بوزو که شناسه دوست شما را کپی کرده است. (سابقه پیام خود را بررسی کنید.)
- کلیدهای خصوصی خود را روی هیچ دستگاه دیجیتالی ذخیره نکنید. (بدون اسکرین شات، بدون سند Word، نادا.)
از یک کیف پول سخت افزاری برای ذخیره با ارزش ترین دارایی های رمزنگاری خود استفاده کنید. برای معاملات روزانه، از یک کیف پول جداگانه استفاده کنید.
با DCLBlogger@ از کلاهبرداری های NFT در امان باشید.
گاهی اوقات فراموش می کنیم که NFT های ما نیز توکن هستند، بنابراین وقتی آنها را می خریم، معامله می کنیم یا می فروشیم، در واقع مکانشان را تغییر نمی دهند. آنچه در واقع اتفاق می افتد این است: در بلاک چین، رجیستری دفتر به سادگی به روز می شود تا مشخص کند که مالک جدید کیست. دادههای واقعی NFT روی یک سرور ذخیره میشوند، خواه آن سرور متمرکز (به عنوان مثال، AWS) باشد یا غیرمتمرکز (به عنوان مثال، Arweave).
کلید عمومی شما مانند آدرس ایمیل شما عمل می کند، در حالی که کلید خصوصی شما مانند رمز عبور شما است. (پس آن را به اشتراک نگذارید!) می توانید عبارت seed خود را به عنوان روش بازیابی رمز عبور خود در نظر بگیرید.
اگر شخصی به کلیدهای خصوصی و/یا عبارت اولیه و عبارت عبور شما دسترسی پیدا کند، بازی تمام شده است. پس چگونه از خود محافظت می کنید؟
قانون کلی punk6529: اگر قصد دارید 500 دلار یا کمتر برای NFT هزینه کنید، فقط از یک کیف پول نرم مانند MetaMask استفاده کنید. با این حال، اگر قصد دارید 1000 دلار یا بیشتر سرمایه گذاری کنید، از کیف پول سخت افزاری استفاده کنید. در میلیون؟ از Gnosis Safe، یک کیف پول چند علامتی استفاده کنید.
به طور کلی، وقتی در مورد ایمنی کیف پول صحبت می کنیم، در واقع در مورد این دو مورد بحث می کنیم، با اهداف تا حدودی متضاد: انعطاف پذیری (یعنی چگونه اطمینان حاصل کنیم که دسترسی به کلیدهای خصوصی خود را از دست نمی دهید) و امنیت (یعنی نحوه اطمینان از عدم دسترسی به کلیدهای خصوصی). یکی دیگر به کلیدهای خصوصی شما دسترسی پیدا می کند). هر کاربر باتجربه رمزارز باید بداند که ترفند در ایجاد تعادل بین این دو مفهوم است.
ایردراپ های جعلی در کریپتو توییتر
مهندسی اجتماعی یکی از بردارهای اصلی حمله است که در حملات امنیت سایبری استفاده می شود. در این بخش می خواهیم بر اهمیت شناسایی این حملات و نحوه اجتناب از آنها تاکید کنیم. به طور خاص، نحوه شناسایی کلاهبرداریهای ایردراپ جعلی را در کریپتو توییتر (که اکنون X نامیده میشود)، پلتفرم رسانه اجتماعی که اکثر کاربران رمزارز اخبار و اطلاعات خود را از آن دریافت میکنند، بررسی خواهیم کرد.
کلاهبرداران کریپتو اغلب از airdrops به عنوان تاکتیکی برای فریب کاربران سوء استفاده می کنند، زیرا کاربران هنگام ادعای ایردراپ آسیب پذیر هستند. کاربران باید محتاط باشند زیرا ادعای ایردراپ رسمی معمولاً کاربر را ملزم می کند:
- به وبسایت جدید راهاندازی شده/ پیوند ادعای نشانهها بروید (بنیاد پروژه جدید XXX)
- با یک قرارداد هوشمند جدید تعامل داشته باشید (زیرا توکن جدید است)
- با یک توکن جدید تعامل داشته باشید (با فرض اینکه توکن ایردراپ شده به تازگی ساخته شده باشد)
همه اینها عواملی هستند که توسط کلاهبردارانی مورد سوء استفاده قرار می گیرند که سعی می کنند شما را فریب دهند تا به وب سایت آنها بروید و قرارداد هوشمند جدید اما مخرب آنها را تأیید کنید.
تاکتیک های رایج در راهنمای کامل امنیت ارزدیجیتال
ظاهر شدن به عنوان حساب های رسمی توییتر
کلاهبرداران اغلب به عنوان حساب رسمی ظاهر می شوند و در زیر پست های رسمی نظر می دهند تا کاربران را فریب دهند تا روی پیوند ادعاهای ایردراپ جعلی خود کلیک کنند. به عنوان مثال به نامهای غلط املایی دقت کنید، @ElgenLayer با l در مقابل @EigenLayer که حساب رسمی است، نوشته شده است. همیشه نمایه کاربری این پست ها را بررسی کنید تا مطمئن شوید که پوستر درست است.
پروژه ها همچنین ممکن است شامل پاورقی در انتهای پست های X خود برای مبارزه با کلاهبرداری باشند.
مراقب این پاورقی های رشته توییت باشید و هر نظر/اعلامیه ای را که بعد از پاورقی می آید نادیده بگیرید.
Airdrop Checker تبلیغات/ایمیل های توییتر
یکی دیگر از تاکتیکهای رایج تبلیغات توییتر است (و حتی ایمیلهایی که مهاجمان از طریق نقض دادهها به آنها دسترسی پیدا میکنند). ممکن است آگهیهایی دریافت کنید که ادعا میکنند XX مقدار توکن دریافت کردهاید و پنجره ادعای توکن به سرعت بسته میشود، در نتیجه شما را به تعامل سریع با وبسایت آنها سوق میدهد.
این وبسایتهای جعلی ممکن است دارای یک «بررسی کننده هوا» باشند که بدون در نظر گرفتن آدرس کیف پولی که وارد کردهاید، نشان میدهد که واجد شرایط هستید. سپس ممکن است از شما بخواهند که کیف پول خود را وصل کنید تا ادامه دهید، حتی قبل از اینکه بتوانید از چک کننده airdrop آنها استفاده کنید، چند “تایید” را امضا کنید. این تأییدیهها معمولاً به وبسایت جعلی دسترسی به کیف پول شما را میدهند و پس از آن محتوای آن را تخلیه میکنند. توجه داشته باشید که اکثر چکرهای رسمی airdrop حتی نیازی به اتصال کیف پول خود ندارند، فقط آدرس کیف پول خود را ارائه دهید. اگر چک کننده airdrop به شما فشار می آورد تا کیف پول خود را وصل کنید، این یک پرچم قرمز است که معمولاً نشان می دهد که چک کننده airdrop جعلی است.
نظرات نهایی در مورد راهنمای کامل امنیت ارزدیجیتال
در پایان راهنمای کامل امنیت ارزدیجیتال، ما میخواستیم چند نکته کاربردی را از بابی اونگ، یکی از بنیانگذاران CoinGecko، برای کاربران کریپتو به اشتراک بگذاریم. چه یک کاربر معمولی، چه یک سرمایه گذار باتجربه باشید، همیشه ایده خوبی است که این بهترین شیوه ها را مرور کنید.
- هرگز از رمزهای عبور استفاده مجدد نکنید. چند نفر از ما از یک رمز عبور برای چندین حساب استفاده می کنیم؟ مطمئناً راحت است، اما اگر یک هکر بتواند رمز عبور شما را برای یک حساب کشف کند، چندین حساب در معرض خطر قرار می گیرند.
- از یک مدیر رمز عبور استفاده کنید. از یک مدیر رمز عبور مناسب استفاده کنید، و هرگز مجبور نخواهید شد هیچ یک از رمزهای عبور خود را به خاطر بسپارید. پاداش: همچنین می توانید امنیت رمز عبور خود را به حداکثر برسانید. این یک کار بیهوده است.
- 2FA همه چیز. فعال کردن احراز هویت دو مرحلهای (2FA) در دستگاههای شما، نفوذ به آن را برای هر کسی بسیار سختتر میکند. یکی از مزیتهای 2FA این است که میتوانید اعلانها را فعال کنید تا زمانی که شخصی تلاش میکند وارد یکی از حسابهای شما شود، به شما اطلاع میدهد.
- از کیف پول سرد استفاده کنید. ترزور و لجر گزینه های خوبی هستند. با این حال، بدانید که اگرچه استفاده از کیف پول سخت افزاری حداکثر امنیت را برای شما به ارمغان می آورد، اما به قیمت راحتی است.
- بنابراین، با ارزش ترین دارایی های دیجیتال خود را در کیف پول سخت خود ذخیره کنید. اما اگر روزانه با web3 تعامل دارید، یک کیف پول دیجیتال جداگانه نگه دارید.
خودت را لوس نکن این یکی از موارد مورد علاقه من است. اگر پول دارید، خود را هدف قرار ندهید. از آنجایی که آدرس کیف پول رمزنگاری شما مستعار است، هر کسی می تواند کل تاریخچه تراکنش شما را ردیابی کند. به همین دلیل است که مهم است که خودتان را اکسکس نکنید. و اگر چنین کردید، مطمئن شوید که به کیف پولی بسته شده است که برای چشمان کنجکاو چندان جالب نیست.
نقاط بسیار بیشتری وجود دارد که بابی به اشتراک می گذارد. اما همانطور که گفتیم، امنیت کریپتو یک موضوع گسترده و سریع است، موضوعی که همیشه در حال پیشرفت است زیرا هکرها نیز مانند ما خلاق هستند. به همین دلیل ضروری است که بهترین شیوه ها را دنبال کرده و بررسی کنیم.
با این حال، اگر میخواهید تمام 16 نکته امنیتی رمزارز بابی را بررسی کنید، راهنمای کامل امنیت ارزدیجیتال را که نوشتهایم بررسی کنید تا بتوانید در آرامش HODL کنید.
منبع راهنمای کامل امنیت ارزدیجیتال Master Guide To Crypto Security