Гайд про pro-безопасность

Гайд про pro-безопасность

Юрий Бойцов

Всем салют, инвесторы!

Безопасность

Буквально недавно увидел новость с таким заголовком:

Похитители заставили жителя Калининграда перевести криптовалюту на $523 000 и выбросили его в лесу.

Вот вырезки из статьи:

По словам потерпевшего, 27 сентября неизвестные вытащили его из машины, надели маску, связали и удерживали сутки в неизвестном месте. Похитители заставили разблокировать iPhone, получили коды для двухфакторной аутентификации на Binance и перевели средства на свои кошельки.

Всего злоумышленники похитили около $523 000 в USDT. По словам пострадавшего, это были практически все его сбережения.

Во вторую ночь задержания потерпевшего душили и после «выбросили в лесу без одежды, спрятав под кучей веток». 

Но самое стремное в этом:

К счастью, поскольку похитители вводили мне седативные препараты случайным образом, они не могли проверить мое сердцебиение и подумали, что я умер», — рассказал пострадавший.

Человек действительно радовался тому, что его выбросили голым в лесу.

Поэтому, сегодня мы рассмотрим щепетильную тему - безопасности.

Я сразу отмечу: читайте этот гайд глазами параноика и психопата, который боится всего.

Вы не обязаны делать все что будет сказано тут, но и помните, что ответственность за ваши деньги лежит исключительно на вас.

Мысль первая - биржа небезопасна априори. Если вы думаете, что биржа защищает вас - скорее нет, чем да. Она пытается, но порой не может защитить даже себя.

В сентябре 20-го года хакеры взломали крупную криптобиржу KuCoin. По подсчетам аналитика The Block Ларри Чермака, они украли около $280 млн в USDT, Velo, Orion, Ocean Protocol и других токенах.

Биржа Cryptopia, в которой по некоторым данным было порядка 900.000 пользователей (хоть, вероятно, это сильно преувеличено) обанкротилась.

Биржа OKEx блокировала возможность вывода по неизвестным причинам (озвученные ими - абсурдны), а Bitmex - довольно крупная биржа - вела судебные разбирательства с властями США.

Но, если вы думаете, что Бинанс - это про надежность, это отнюдь не так. Это биржа номер один, но эти биржи постоянно менялись.

В 2017 многие торговали на hitBTC.

А с 2012 года существует биржа Bitfinex - некогда самая популярная по объемам торгов биржа - которую в 2016 ограбили на 116.000 биткоинов(!). Виновных не нашли.

При этом, если вы загуглите про Bitfinex - вы увидите заказные статьи о том, что биржа имеет безупречную репутацию, поскольку "правильно" среагировала на взлом и похищение.

До Bitfinex была биржа MrCox. Летом 2013 года через MtGox проходило около 50% всех транзакций в сети биткоин, а объем торгов на бирже составлял около 80% от всего оборота криптоиндустрии на тот момент. 

Однако 17 мая 2013 года власти США арестовали счета Mt.Gox в платежной системе Dwolla и в банке Wells Fargo за отсутствие лицензии на право предоставлять услугу пересылки денежных средств. В результате пользователи стали регулярно сталкиваться с задержками вывода долларов или вовсе с отказом на вывод.

7 февраля 2014 года все операции по выводу средств с биржи полностью остановили, а спустя 2 дня Mt.Gox заявил о хакерской атаке, в результате которой с биржи пропали 850 000 биткоинов. После этого Mt.Gox ушла в офлайн и подала заявление на банкротство.

Помните: биржи - лишь средство обмена и покупки. Если вы активно не трейдите - не храните деньги там в принципе.

Завели - купили/продали - вывели.

Деньги биржи принадлежат бирже, пока вы их не вывели на холодный кошелек.

Про холодные кошельки далее, но давайте по порядку.

Также касаемо биржи. На Binance помимо двухфакторки, есть отличный способ подтверждения - это ключ Yubikey (аутентификация с помощью ключа безопасности).

Но, я повторюсь и подчеркну: с Binance я не работаю. Я уже объяснял, почему я ушел на Bybit вот в этой статье (кликабельно).

Вот ссылка на официальный сайт: https://yubikey.ru/

Рекомендую покупать сразу два ключа, чтобы один был запасным.

В настройках находится в графе "аутентификация по ключу безопасности".

Его вы можете использовать не только для бинанс, но и для других сайтов.

Большинство из нас привыкли пользоваться Gmail и это не так чтобы плохо.

Однако, и не идеально.

В случае, если вы пользуетесь чем-то типа рамблера, мэил ру - ради Бога, перестаньте это делать. Как минимум, заведите отдельную почту для биржи и пусть она будет на нормальном сервисе.

Да, это касается всех: если ваша почта, ну, вообще нигде, кроме операций на бирже не используется - в этом ваше явное преимущество. Логика здесь простая, что почтой не так уж сложно завладеть. Неправильный форум, и все. Ваши данные у его создателя.

Но, что не так с гуглом?

Все, в целом ок, кроме того, что гугл собирает абсолютно все ваши данные вплоть до передвижения. А, зная ваши передвижения, вы можете стать аналогичным героем, но уже новой истории. 90-ые, увы, никуда не ушли.

Конечно, лучше всего такие вещи, как возможность отслеживать данные, отключать. Это помогает только рекламодателям и самому гуглу, на вас это никак не влияет.

Лучшая почта - Proton mail. Бесплатный тариф вам подойдет.

В идеале, как я писал выше, завести почту именно под биржу там. Если не хотите пользоваться такими сервисами, то, по крайней мере, подключите максимум безопасности к гугл (или yahoo) cервисам и не поленитесь завести отдельные аккаунты для биржи там.

В настройках убираем восстановление пароля через телефон (либо делаем отдельную симку, об этом позже).

Пароль должен состоять из 25 знаков (сколько позволяет сайт) и должен включать в себя различные нестандартные символы типа восклицательного знака.

При этом, он должен быть таким, чтоб ты сам его не мог запомнить. И должен быть абсолютно уникальным.

Но, как запомнить эту белеберду из символов?

  1. Используйте 1Password — надежная облачная программа для хранения паролей. Вам нужно запомнить только 1 пароль - пароль от входа в 1Password. Внутри будут хранится все ваши пароли. Их у вас не украдут. В случае потери смартфона или ноутбука, вы сможете восстановить доступ.
  2. Записываем пароль где-то и храним в надежном месте - банковской ячейке.
  3. В документах или заметках на девайсах пароли хранить крайне опасно!

    При этом, пароль записываем не в чистом виде. Например, у вас 24 символа, делим на 12 до и после. И меняем их местами (то есть первые 12 станут последними 12 символами). Или как-то иначе, лишь бы вы запомнили.

Делаем ее через приложение (не через смс - смс очень легко перехватить, перевыпустив вашу симку). Код пароль (на случай восстановления при потере) запоминаем и сохраняем аналогичным выше способом.

У гугл-аутентификатора есть свои недостатки: нет нормальной синхронизации, нет защиты самого приложения (кстати, вы можете поставить на двухфакторку, на само приложение, пароль, на случай кражи телефона и "угадывания" пароля мошенниками). Cейчас, вроде как, наконец-то решили вопрос с защитой от утери телефона и тд (когда двухфакторка пропадала вместе с телефоном и можно выгружать копию в облако).

У гугла есть аналог - Authy. Можете посмотреть присмотреться к нему.

Окей. Давайте объективно: компьютеры - ненадежны. Вы в любой момент, на любом сайте, в любом сообщении можете поймать вирус.

При том, недавно произошла ситуация с несколько известным крипто-блогером.

С его аккаунта вывели 200.000 долларов(!) в мгновение, купив какой-то NFT. Для покупки NFT бинанс не требует никаких двухфакторок, поэтому это, по сути, баг.

Если вы даете доступ по API - напрямую деньги ваши никто не выведет, но через низколиквидную монету перекачают себе. Такие случаи я тоже знаю.

Поэтому, компьютер - крайне небезопасное место.

Если вы хотите посмотреть графики - Tradingview сайт.

Если вы хотите поторговать - мое мнение, что сделки лучше заключать с телефона, но если уж хотите с пк или ноутбука, то:

Mac OS и Linux надежнее Windows. Винда в принципе ненадежна. От слова совсем. От слова никак. Говна там больше, чем мух на свалке. Подцепить можно всегда. Маки на М1 самые надежные на данный момент.

Браузер. librefox - Firefox с повышенной защитой. Ни в коем случае не нужно пользоваться Safari.

На Android будьте аккуратны с приложениями и так далее: там вероятность занести что-то нехорошее, опять-таки, выше, чем на iOS.

Чем чаще светите номером телефона - тем хуже.

При том, если вы скрыли его в мессенджерах - это не гарант безопасности.

Объявления на авито, старые сообщения, друзья друзей и так далее могут запросто его спалить.

После чего, через подставного сотрудника салона связи (посмотрите сколько в интернете объявлений о таких) или даже просто через ненадежного и ленивого оператора, восстанавливают вашу симку и перехватывают все нужные данные.

Очень круто, если вы найдете какие-то пути или возможности сделать здесь европейскую или американскую симку (и она будет тут работать), дабы просто принимать смс и делать подобные мелкие манипуляции.

Вы даже можете завести другой телефон, воткнуть все это дело туда и пользоваться им только для этих дел.

Похоже ли это на паранойю? Конечно.

Плохо ли это? Не думаю. Для кого-то речь идет о сотнях тысячах долларах.

Если вы все же не хотите или не можете, или боитесь заводить европейскую симку - вам нужно заключить контракт с оператором и убедиться в том, что восстановление симки может произойти только при вашем личном присутствии (то есть не по телефону, не по звонкам и тд, а по вашей личности с паспортом с личным присутствием).

И чуть не забыл: НЕ ПОЛЬЗУЙТЕСЬ ПУБЛИЧНЫМИ WI-FI!
У одного из наших соклубовцев так угнали 20 битков с биржи.

Всю крипту храните на холодных кошельках.

Используйте Ledger Nano X, как наиболее зарекомендовавший себя. Хотя, в связи с последними событиями, когда ledger чуть ли не прямо заявили "у нас есть ваши ключи", это компания скатилась на место номер 2 для меня.

Если уж быть совсем параноиком, то покупать стоит за наличку у официальных дилеров, дабы не оставлять цифрового следа.

Но, если позволяет бюджет - желательно диверсифироваться на два разных холодных кошелька и здесь, купив Trezor. Сейчас я отдаю предпочтение ему.

Они довольно просты в использовании, инструкция есть на ютубе.

В случае потери кошелька или иных катаклизмов вам нужно будет где-то хранить seed-фразу. Это код из 24 слов.

Next level безопасности - cryptotag. Это такая титановая пластина, на которой выгравирована исходная фраза вашего аппаратного кошелька. С ней не произойдет ничего даже при пожаре дома, как можно понять.

Вообще, есть разные способы хранить сид-фразу (помимо листочка). Например, вот сколько их есть (я заказывал на этом сайте):

https://cryptonist.ru/hranenie-seed-phrazy/

У меня вот такая штука:

Так же можете выбрать там более дешевые аналоги.

Рекомендую купить 2 таких устройства и миксануть пароль из слов между ними. Главное не забудьте в каком порядке вы это сделали. Кстати, в отверстии можно поставить замок и отправить эти устройства в банковскую ячейку надежного банка. Так вы будете спокойны, что никакие сотрудники втихую не посмотрят пароли без вашего ведома.

Хранив пароли в ячейке вы не будете иметь к ним быстрого доступа, а значит, не совершите глупые поступки со своей ходл позицией. Так же, в случае чрезвычайной ситуации (похищения), вам в любом случае придется лично придти в банк, а там вы сможете позвать на помощь, если вас похитят. По другому вашу крипту не получат, поэтому скорее всего, вас будут пытать и убьют. Это была шутка, всем добра и удачи!

В принципе, на этом все.

Не думайте, что "вас не коснется". Если коснется - будет очень больно.

Лучше перестраховаться и побыть параноиком, но со своими деньгами.

Report content on this page

Report Page

Please submit your DMCA takedown request to dmca@telegram.org