Título original: "Cómo no volver a ser resistente en las criptomonedas"
Autor: PERSPECTIVA
Compilado por: Shenchao TechFlow
Descargo de responsabilidad
Nada en esta guía está garantizado y no está escrito desde la perspectiva de un "experto en cifrado o ciberseguridad", sino que se basa en el aprendizaje continuo de múltiples fuentes y experiencia personal.
Por ejemplo, yo mismo fui estafado por miedo a perderme algo (FOMO) y por codicia cuando ingresé por primera vez al campo (estafa de transmisión en vivo falsa y estafa de bot MEV falsa), así que me tomé el tiempo para aprender, configurar y comprender cuidadosamente. seguridad.
No seas esa persona que se ve obligada a aprender sobre seguridad porque perdió todo o gran parte de sus bienes.
¿Hacking o error de usuario?
Los “hacks” o compromisos de todo tipo de billeteras, tokens o NFT se pueden dividir en dos categorías:
Abuso de aprobación de token previamente otorgada.
Fuga de clave privada o frase mnemotécnica (generalmente ocurre con billeteras activas).
Aprobación de token
La aprobación de tokens es esencialmente un permiso para permitir que un contrato inteligente acceda y mueva un tipo o cantidad específica de tokens en su billetera.
Por ejemplo:
Dale permiso a OpenSea para mover tu NFT y poder venderlo.
Dale permiso a Uniswap para intercambiar con tus tokens.
Como información general, básicamente todo lo que hay en la red Ethereum, excepto ETH, es un token ERC-20.
Una característica de los tokens ERC-20 es la capacidad de otorgar permisos de aprobación a otros contratos inteligentes.
Si desea realizar interacciones centrales de DeFi (como intercambiar o conectar tokens), estas aprobaciones son necesarias en algún momento.
Los NFT son tokens ERC-721 y ERC-1155 respectivamente; sus mecanismos de aprobación son similares a los ERC-20, pero para el mercado NFT.
El mensaje inicial de aprobación del token de MetaMask (MM) proporciona varios datos, los más relevantes de los cuales son:
Estás otorgando tokens aprobados.
El sitio web con el que estás interactuando
El contrato inteligente con el que estás interactuando
Posibilidad de editar la cantidad de permisos de token
En el menú desplegable Detalles completos, vemos información adicional: Funciones de aprobación.
Todos los tokens ERC-20 deben tener ciertas características y propiedades como se describe en el estándar ERC-20.
Uno de ellos es la capacidad de los contratos inteligentes para mover tokens en función de una cantidad aprobada.
El peligro de estas aprobaciones es que si otorga permisos simbólicos a un contrato inteligente malicioso, sus activos pueden ser robados o agotados.
Aprobaciones de límites ilimitados versus personalizados (tokens ERC-20)
Muchas aplicaciones DeFi le solicitarán una aprobación ilimitada de tokens ERC-20 de forma predeterminada.
Esto se hace para mejorar la experiencia del usuario, ya que es más conveniente y no requiere aprobaciones adicionales en el futuro, ahorrando así tiempo y tarifas de gas.
¿Por qué es esto importante?
Permitir la aprobación de una cantidad ilimitada de tokens puede poner en riesgo su capital.
Establecer manualmente una aprobación de token en una cantidad específica limita la cantidad máxima de tokens que la dApp puede mover sin firmar una aprobación nueva y mayor.
Esto reduce su riesgo si se explota su contrato inteligente. Si otorga aprobación ilimitada a una dApp y esa dApp se vuelve vulnerable, puede perder todos los tokens aprobados de la billetera que contiene esos activos y que otorgó esa aprobación.
Por ejemplo, Multichain WETH (WETH es un contenedor de token ERC-20 para ETH) ha sufrido tal vulnerabilidad.
Este puente de uso común se vio comprometido por abusar de derechos de tokens previamente ilimitados, lo que resultó en el robo de los fondos de los usuarios.
A continuación se muestra un ejemplo (usando la billetera Zerion) que muestra cómo cambiar la aprobación ilimitada predeterminada a aprobación manual.
Aprobación NFT
"setApprovalForAll" para NFT
Esta es una aprobación de uso común pero potencialmente peligrosa que generalmente se otorga a un mercado de NFT confiable cuando se desea vender un NFT.
Esto permite que los contratos inteligentes del mercado transfieran sus NFT. Entonces, cuando vende una NFT a un comprador, los contratos inteligentes del mercado pueden transferir automáticamente la NFT al comprador.
Esta aprobación otorga acceso a todos los tokens NFT en una dirección de contrato o colección específica.
Esto también podría ser utilizado por sitios web o contratos maliciosos para robar sus NFT.
Ejemplos de actores maliciosos que abusan de "setApprovalForAll"
La clásica "reducción de la cuenta de billetera" en el caso de la acuñación libre de FOMO es la siguiente:
Un usuario visita un sitio web malicioso que cree que es legítimo.
Cuando conectan su billetera a un sitio web, el sitio web solo puede ver el contenido de la billetera.
Sin embargo, el sitio web malicioso escanea la billetera en busca del NFT de mayor valor y solicita al usuario que "Establezca todas las aprobaciones" desde MetaMask (MM) para la dirección del contrato de ese NFT.
Los usuarios que piensan que están acuñando NFT en realidad están otorgando un permiso de contrato malicioso para mover esos tokens.
Luego, los estafadores roban los tokens y los liquidan en ofertas en OpenSea o Blur antes de que el artículo se marque como robado.
Firma y aprobación
Las aprobaciones requieren tarifas de gas, ya que implican el procesamiento de transacciones.
La firma no requiere gasolina y generalmente se usa para iniciar sesión en una dApp y demostrar su control de la billetera.
La firma es generalmente una operación de bajo riesgo, pero aún puede usarse para explotar aprobaciones previamente otorgadas para sitios confiables como OpenSea.
Para los tokens ERC-20, también puede modificar sus aprobaciones mediante firmas sin gas, ya que la función de permiso se introdujo recientemente en Ethereum.
Puede ver esto si utiliza un intercambio descentralizado (DEX) como 1 pulgada.
Puntos de aprobación de tokens
Tenga cuidado al dar aprobaciones y asegúrese de saber qué tokens está aprobando y qué contrato inteligente (utilice etherscan).
Limite su riesgo de aprobación:
Utilice varias billeteras (las aprobaciones son específicas de la billetera); no firme aprobaciones para sus bóvedas o billeteras de alto valor.
Lo ideal sería reducir o evitar por completo la concesión de aprobaciones ilimitadas para tokens ERC-20.
Las aprobaciones se verifican y revocan periódicamente a través de etherscan o revoke.cash.
Hardware/billetera fría
Las billeteras activas se conectan a Internet a través de su computadora o teléfono, y las claves y las credenciales de la billetera se almacenan en línea o localmente en su navegador.
Las billeteras frías son dispositivos de hardware donde las claves se generan y almacenan completamente fuera de línea y físicamente cerca de usted.
Teniendo en cuenta que un Ledger cuesta alrededor de $120, si tienes más de $1000 en criptomonedas, probablemente deberías comprar y configurar un Ledger. Puede conectar su billetera Ledger a su MetaMask (MM) para disfrutar de la misma funcionalidad que otras billeteras activas mientras mantiene un nivel de seguridad.
Ledger y Trezor son las opciones más populares. Me gusta Ledger porque tiene la mejor compatibilidad con las carteras de los navegadores (similar a Rabby y MM).
Mejores prácticas al comprar un libro mayor
Compre siempre en el sitio web oficial del fabricante, nunca en Ebay o Amazon; puede haber sido manipulado o tener malware preinstalado.
Asegúrese de que el embalaje esté sellado cuando reciba el artículo.
Cuando configura un libro mayor por primera vez, genera una frase mnemotécnica.
Escriba su frase mnemotécnica únicamente en papel físico o, en el futuro, en una placa de acero para garantizar que su frase mnemotécnica sea resistente al fuego y al agua.
Nunca fotografíe ni escriba la frase mnemotécnica en ningún teclado (incluidos los teléfonos móviles); esto digitalizará la frase mnemotécnica y su billetera fría se convertirá en una billetera caliente no segura.
Los criptoactivos no se almacenan en una billetera de hardware, sino "en" una billetera generada a partir de una frase mnemotécnica.
La frase mnemotécnica (de 12 a 24 palabras) es todo lo que hay que hacer y debe estar protegida y segura a toda costa.
Proporciona control total y acceso a todas las billeteras generadas bajo esa frase mnemotécnica.
La frase mnemotécnica no es específica del dispositivo y puede "importarla" a otra billetera de hardware como respaldo si es necesario.
Si la frase mnemotécnica se pierde o se daña y la billetera de hardware original también se pierde, se daña o se bloquea, perderá permanentemente el acceso a todos los activos.
Hay varias formas de almacenar mnemotécnicos, por ejemplo, dividiéndolos en partes, aumentando la distancia física entre las partes, almacenándolos en un lugar discreto (por ejemplo, una lata de sopa en el fondo del refrigerador, en algún lugar subterráneo de su propiedad, etc.) .
Al menos deberías tener 2 o 3 copias, una de las cuales debería estar hecha de acero para protegerla contra el agua y el fuego.
Una "clave privada" es similar a una frase mnemotécnica, pero sólo específica de una billetera específica. Por lo general, se usa para importar billeteras activas a nuevas cuentas de MetaMask (MM) o para usar en herramientas automatizadas como robots comerciales.
Palabra 25 - Libro mayor
Además de la frase mnemotécnica original de 24 palabras, Ledger ofrece una característica de seguridad adicional opcional.
La frase de contraseña es una función avanzada que agrega una palabra número 25 de su elección hasta 100 caracteres a su frase de recuperación.
El uso de una frase de contraseña genera un conjunto de direcciones completamente diferente al que no se puede acceder con solo una frase de recuperación de 24 palabras.
Además de agregar una capa de seguridad, las frases de contraseña brindan una denegación razonable si usted se ve comprometido.
Si utiliza una frase de contraseña, asegúrese de almacenarla de forma segura o recordarla con precisión, carácter por carácter y distinguiendo entre mayúsculas y minúsculas.
Esta es la única y última defensa contra una situación físicamente amenazante como el ataque de la llave inglesa de cinco dólares.
¿Por qué pasar por todos estos problemas para configurar una billetera de hardware?
Las billeteras activas almacenan claves privadas en una ubicación conectada a Internet.
Es extremadamente fácil ser engañado, engañado y manipulado para revelar estas credenciales a través de Internet.
Tener una billetera fría significa que los estafadores necesitan encontrar y obtener físicamente su libro mayor o frase mnemotécnica para poder acceder a estas billeteras y a los activos que contienen.
Una vez que la frase mnemotécnica se ve comprometida, todos los hot wallets y los activos que contienen están en riesgo, incluso aquellos que no han interactuado con sitios web o contratos maliciosos.
Formas comunes en que las personas fueron "pirateadas" en el pasado
Las formas comunes en que las personas han sido "pirateadas" (frases mnemotécnicas filtradas) a través de billeteras activas en el pasado incluyen:
Engañados para descargar malware, por ejemplo a través de archivos PDF de ofertas de trabajo, juegos beta, ejecutar macros a través de Google Sheets o hacerse pasar por sitios web y servicios legítimos.
Interactuar con contratos maliciosos: acuñación FOMO en sitios web de imitación o interacción con lanzamientos aéreos desconocidos o contratos NFT.
Inserte o envíe la clave y la frase mnemotécnica a Atención al cliente o a un programa/formulario relacionado.
