Захистіть свою криптовалюту #SAFU (поради від CZ)
Генеральний директор Binance CZ (Чанпен Чжао), в рамках нашого зобов'язання щодо безпеки для крипто спільноти, докладно обговорює багато аспектів крипто-безпеки в цьому блозі.
Безпека важлива. Хоча це очевидно, але боляче дивитися на відсутність пильності серед звичайних людей. Так само боляче бачити, як експерти вважають, що у всіх однакове глибоке розуміння проблем безпеки, а потім вони розробляють або рекомендують додаткові параметри, які складно використовувати і легко зіпсувати. Безпека - це широка тема, я ні в якому разі не експерт у багатьох областях, але я був свідком багатьох проблем безпеки, з якими стикаються люди. У зв'язку із зростанням цін на криптовалюту і недавнім пожвавленням ринку, багато новачків знову приходять у крипто простір. У цій статті я постараюся використовувати терміни непрофесіонала для пояснення деяких концепцій безпеки, пов'язаних із зберіганням криптовалюти, включаючи:
Кілька основних концепцій безпеки
Чому і як ви можете або не можете хотіти зберігати монети самостійно
Чому і як ви можете або не можете хотіти зберігати монети на централізованій біржі
Деякі інші теми
По-перше, ніщо не безпечно на 100%. Якщо наша маленька планета буде уражена астероїдом, ваші кошти навряд чи будуть у безпеці, незалежно від того, як ви їх зберігаєте. Так, ви можете зберігати їх у космосі, але давайте подивимося, як довго це триватиме, або, якщо вони чогось коштуватимуть, коли Земля зникне. Вам, мабуть, не буде байдуже в цей момент. Це говорить про те, що ви дійсно питаєте, чи “достатньо це безпечно”?
Тож давайте визначимо поняття "достатньо безпечно". Для різних людей і цілей воно різне. Якщо ви зберігаєте 100 доларів у своєму гаманці, ви, ймовірно, не потребуєте надвисокої безпеки. Ваш гаманець на мобільного телефону, ймовірно, зробить свою справу. Якщо ви зберігаєте мільйони доларів або свої заодщадження протягом життя, тоді вам потрібно буде прийняти більш жорсткі заходи безпеки. В наступній частині цієї статті ми будемо вважати, що це велика кількість коштів, яку ви намагаєтеся захистити.
Щоб зберігати свої монети, вам просто потрібно зробити 3 речі:
Не дозволяйте іншим вкрасти коштів
Захистити себе від втрати коштів.
Знайдіть спосіб передати їх своїм близьким у разі, якщо ви стаєте недоступними.
Просто, правда? Що ж, виконання всіх трьох пунктів належним чином вимагає деяких знань, зусиль і старанності, які не відомі або часто ігноруються більшістю людей.
Отже, давайте це розглянемо.
Чому ви можете або не можете хотіти зберігати монети самостійно
Ваші ключі, ваші кошти. Дійсно?
Багато криптовалют твердо заявляють, що це безпечно лише в тому випадку, якщо ви тримаєте криптовалюту самостійно, при цьому ніколи не враховуючи, наскільки це технічно для пересічної людини. Це справді найкраща порада для вас? Давайте зараз глибше розглянемо цей варіант.
Дозвольте мені спочатку запитати вас: чи знаєте ви, як виглядає приватний Bitcoin ключ? Якщо ви не впевнені, то вам обов'язково варто продовжувати читати.
Приватний ключ Bitcoin виглядає так: KxBacM22hLi3o8W8nQFk6gpWZ6c3C2N9VAr1e3buYGpBVNZaft2p
Це він. Це просто рядок символів. Той, у кого є його копія, може перевести Bitcoin за цією адресою.
Існує також концепція "seed фрази", яка представляє собою набір із 12 або 24 простих англійських слів у певному порядку. Їх можна використовувати для створення набору приватних ключів. Багато гаманців використовують seed фрази. У решті цієї статті ми будемо використовувати термін "приватні ключі", але більшість процедур та рекомендацій однаковою мірою стосуються "seed фраз".
Повернемося до теми, щоб надійно зберігати криптовалюту самостійно, вам необхідно:
Не дозволяти іншим отримувати ваші особисті ключі; захист від хакерів, захист ваших комп'ютерів від вірусів, інтернету і т.д.
Захистити себе від втрати ваших особистих ключів; наявність резервних копій для запобігання втрати або пошкодження пристроїв, а також захист цих резервних копій.
Знайти спосіб передати свої особисті ключі своїм близьким у разі смерті. Це не дуже приємний сценарій, але, будучи відповідальними дорослими перед нашими близькими, ми повинні впоратися з цим ризиком.
Давайте розглянемо кожен із них детальніше.
1. Не дозволяйте іншим отримувати ваші ключі
Це очевидно. Ми всі чули про хакерів, віруси, троянських коней і т.д. Вам не потрібно нічого із цього на пристрої, де зберігаються ваші монети.
Щоб домогтися цього з достатнім ступенем впевненості, ваш пристрій ніколи не повинен бути підключений до Інтернету, і ви ніколи не повинні завантажувати будь-які файли на цей пристрій. Отже, як ви використовуєте такий пристрій для безпечної відправки та отримання криптовалюти?
Давайте поговоримо про різні пристрої, які ви могли б використовувати.
Комп'ютер - очевидний вибір, і часто самий універсальний. Якщо ви вирішите використовувати комп'ютер для зберігання монет, вам ніколи не слід підключати цей комп'ютер до Інтернету або будь-якої мережі взагалі. Якщо ви коли-небудь підключите його до мережі, існує ймовірність того, що хакер може проникнути на ваш пристрій, скориставшись помилкою в операційній системі або використовуваному вами програмному забезпеченні. Програмне забезпечення ніколи не буває без помилок.
Отже, як встановити програмне забезпечення на комп'ютер, якщо він не підключений до Інтернету? Використовуєте компакт-диск або USB-накопичувач. Переконайтеся, що він чистий. Використовуйте по крайній мірі 3 різних антивірусних програми, щоб просканувати його. Завантажте програмне забезпечення (ОС і гаманець), який ви хочете встановити, на USB-накопичувач, зачекайте 72 години, перевірте новини, щоб переконатися у відсутності новин, пов'язаних з безпекою, або проблем, пов'язаних із завантаженим програмним забезпеченням або сайтом, з якого ви завантажили його. Було багато випадків, коли навіть офіційні веб-сайти були зламані, а пакет завантаження був замінений троянським конем. Ви повинні завантажувати програмне забезпечення лише з офіційних сайтів. Крім того, ви повинні використовувати тільки програмне забезпечення із відкритим вихідним кодом, щоб зменшити шанси на “back doors”. Навіть якщо ви самі не програміст, на програмне забезпечення із відкритим вихідним кодом дивляться інші програмісти, і у нього менше шансів мати “back doors”. Це означає, що ви повинні використовувати стабільну версію Linux (НЕ Windows або Mac) для своєї операційної системи і користуватися лише програмним забезпеченням гаманця із відкритим вихідним кодом.
Після того, як ви все встановили, ви використовуєте чисту флешку для підпису ваших транзакцій в офлайні. Це залежить від гаманців і виходить за рамки даної статті. Крім bitcoin, багато монет не мають гаманців, які могли б робити підписи в офлайні.
Вам також необхідно забезпечити фізичну безпеку пристрою. Якщо хтось вкраде його у вас, він зможе отримати до нього фізичний доступ. З цієї причини переконайтеся, що ваш диск надійно зашифрований, так що навіть якщо хтось заволодіє вашим жорстким диском, він не зможе його прочитати. Різні операційні системи пропонують різні інструменти шифрування. Знову ж, посібник із шифрування диска виходить за рамки даної статті, їх багато в Інтернеті.
Якщо ви можете добре виконати вищесказане, вам, ймовірно, не потрібно читати решту цієї статті. Якщо вищесказане не викликає у вас довіри, є й інші варіанти.
Ви можете використовувати мобільний телефон. В наші дні телефон без root/jailbreak, як правило, більш безпечний, ніж комп'ютер, завдяки дизайну «пісочниці» мобільних операційних систем. Існує дуже багато версій Android для відстеження, тому я зазвичай рекомендую використовувати iPhone. Знову ж таки, ви повинні використовувати один телефон тільки для вашого гаманця, а не змішувати його з вашим повсякденним телефоном. Ви повинні скинути налаштування телефону до заводських, видаливши «весь контент і налаштування». Тоді просто встановіть програмне забезпечення гаманця, і нічого більше. Ви повинні завжди тримати телефон в режимі польоту, крім випадків використання гаманця для переказів. Я також рекомендую використовувати окрему SIM-карту для телефону і використовувати тільки 4G для підключення до Інтернету. Ніколи не підключайте телефон до будь-якого WiFi. Підключайтеся до Інтернету тільки при використанні телефону для підписання транзакцій і оновлень програмного забезпечення. Як правило, це нормально, якщо ви не тримаєте в гаманці дуже великі суми.
Кілька мобільних гаманців пропонують підпис транзакцій в офлайн режимі (за допомогою сканування QR-коду), щоб ви могли повністю перевести свій телефон у офлайн, починаючи з моменту завершення встановлення додатків гаманця і до генерації особистих ключів. Таким чином, ви гарантуєте, що ваші особисті ключі ніколи не будуть на телефоні, який підключений до Інтернету. Це дозволить запобігти випадку, коли додаток гаманця має “backdoor” або відправляє дані назад розробнику, що траплялося з декількома додатками гаманців в минулих, навіть офіційних версіях. Але ви не зможете оновити додатки або ОС свого гаманця. Для оновлення програмного забезпечення можна використовувати інший телефон, встановити на ньому нову версію програми, перевести його в режим польоту, створити нову адресу, створити резервну копію (див. далі), а потім відправити кошти на новий телефон. Не дуже зручно для користувача. Крім того, існує обмежена кількість монет/блокчейнів, підтримуваних цими гаманцями.
Вам також необхідно забезпечити фізичну безпеку вашого телефону. Незважаючи на те, що останні версії пам’яті iPhone повинні бути повністю зашифровані, є повідомлення, в яких хакери стверджують, що можуть розблокувати iPhone, коли у них є фізичний доступ до нього, зламавши пін-код.
Апаратні гаманці
Ви можете використовувати апаратний гаманець. Ці пристрої розроблені таким чином, що ваші особисті ключі ніколи не залишають пристрій, тому на вашому комп'ютері його не буде. Підписання транзакцій відбувається на пристрої. Але ніщо не є на 100% надійним. Апаратні гаманці можуть містити помилки в прошивці, програмному забезпеченні і т.д. На ринку існує багато різних апаратних гаманців. Як правило, рекомендується вибирати більш старіший і більш відомий бренд, так як вони пройшли більш ретельну перевірку. Із двох основних брендів апаратного гаманця у кожного є кілька різних звітів про те, що якщо у хакера є фізичний доступ до пристрою, він може легко витягти ваші особисті ключі. Отже, вам необхідно переконатися, що ви зберігаєте його надійно. Крім того, майже всі апаратні гаманці вимагають взаємодії з програмним забезпеченням, що працює на комп'ютері (або мобільному телефоні). Тут вам як і раніше потрібно переконатися, що ваш комп'ютер чистий, без вірусів і не взломаний хакерами. Існують віруси, які в останню хвилину міняють адресу одержувача на адресу хакера і т.д. Отже, ретельно перевіряйте адресу одержувача на пристрої. І вам всерівно потрібно тримати свій комп'ютер у безпеці. Апаратні гаманці не дозволяють деяким основним типам файлів вкрасти ваші особисті ключі хакерами, але я все одно настійно рекомендую використовувати для цього дуже чистий комп'ютер, який ви не використовуєте ні для чого іншого, і з брандмауером, включеним по максимуму. Однак, апаратні гаманці є хорошим вибором, якщо ви хочете зберігати монети самостійно. Хитра і часто найслабша частина апаратних гаманців - це те, як ви зберігаєте резервні копії, про що ми поговоримо у наступному розділі.
Є багато інших варіантів гаманців і пристроїв. Я не зможу розказати про всіх них тут, але перераховані вище є найбільш стандартними категоріями. Тепер, коли ми обговорили, як зменшити (а не виключити) ймовірність того, що хтось ще отримає доступ до ваших ключів, ми майже на ⅓ пояснили, як зберігати монети самостійно.
2. Захистіть себе від втрати ключів
Ви можете втратити пристрій, який використовуєте для зберігання монет, або він може бути пошкоджений. Отже, вам потрібно:
Резервні копії.
Тут також є багато різних методів. У кожного є свої плюси і мінуси. По суті, ви хочете створити кілька резервних копій у різних географічних точках, які інші люди не зможуть побачити (розшифрувати).
Ви могли б записати його на аркуші паперу. Деякі гаманці, використовують seed фрази, оскільки їх відносно легко записати 12 або 24 англійських слова. Із приватними ключами ви можете легко помилитися із-за заголовних букв або нерозбірливого почерку (O або 0), і було б дуже важко з'ясувати, що пішло не так пізніше. Є деякі серйозні проблеми з листком паперу. Він може бути легко:
Втрачений - серед інших папірців
Пошкоджений - в результаті пожежі або потопу
Легко читається іншими - без шифрування
Деякі люди використовують банківські сховища для зберігання паперового ключів. Зазвичай я не рекомендую цей варіант із причин, вказаних вище.
Не робіть знімок паперу (або знімок екрана), синхронізувавши його із хмарою і думаючи, що він надійно захищений. Якщо хакер зламає ваш обліковий запис електронної пошти або комп'ютер, він знайде це легко. Крім того, хмарний провайдер може зберігати кілька копій у різних місцях і мати співробітників, які можуть їх переглядати.
Існують металеві мітки, призначені спеціально для зберігання резервної копії seed фрази. Передбачається, що їх майже неможливо пошкодити, що в основному вирішує проблему пошкодження в результаті пожежі або потопу. Але це не вирішує проблему втрати або легкого читання іншими, якщо надається фізичний доступ. Знову ж таки, деякі люди зберігають їх в банківських сховищах, зазвичай разом зі своїм золотом або іншим металом. Я думаю, це легко для людей, які захоплюються металами. Якщо ви використовуєте цей підхід, ви повинні розуміти його обмеження і ризики.
Підхід, який я рекомендую, полягає у використанні декількох USB-флешок, але він вимагає трохи більшого технічної участі. Є USB/флешки з захистом від ударів/води/вогню/магнітностійкі. Ви можете зберігати зашифровані версії вашої резервної копії особистого ключа на декількох USB-накопичувачах і зберігати їх в різних місцях (друзі або родичі). Це відповідає всім вимогам, зазначеним на початку цього розділу - кілька місць зберігання, не можливість пошкодження або втрати, а також їх не так легко прочитати іншим. Ключ тепер сильно зашифрований. Для цього на ринку є багато інструментів, і вони з часом розвиваються. VeraCrypt - інструмент початкового рівня, що забезпечує гідний рівень шифрування. Попередники VeraCrypt, TrueCrypt, деякий час були популярні, але пізніше, в результаті експертної оцінки були виявлені деякі уразливості, і розробка була припинена. З цієї причини рекомендується провести власне дослідження і знайти для себе кращі і сучасні інструменти шифрування. Також важливо не давати кому-небудь копію вашої резервної копії, навіть якщо вона зашифрована. І рекомендується періодично міняти ваші приватні ключі (створювати нові і переказувати кошти зі старих на нові).
3. Подбайте про своїх близьких
Ми не живемо вічно. Необхідний план правонаступницства/успадкування. Насправді, криптовалюта дозволяє вам легко передавати своє багатство спадкоємцям із меншим втручанням третьої сторони.
Знову ж, є кілька різних способів зробити це.
Якщо ви використовуєте підхід з низьким рівнем безпеки паперового гаманця або металевих міток, то ви можете просто поділитися ними із близькими. Це, звичайно, має деякі потенційні недоліки. Їм може не вистачати належних коштів для зберігання або захисту копії резервних копій, якщо вони молоді або нетехнічні. Якщо вони зіпсують безпеку, хакер може легко вкрасти ваші кошти через них. Крім того, вони можуть забрати ваші гроші у будь-який час.
Я настійно рекомендую не ділитися ключами між людьми, незалежно від ваших відносин, по тій простій причині, що якщо кошти будуть переміщені/вкрадені, неможливо визначити, хто їх перемістив або хто порушив безпеку.
Ви можете залишити свій паперовий гаманець або металеві мітки у банківському сховищі або у адвоката. Але, як уже згадувалося вище, якщо хтось із залучених людей отримає копію ключів, вони можуть перемістити кошти без особливого сліду. Це відрізняється від того, що юристам потрібно пройти через банк, щоб перевести залишок на вашому рахунку вашим спадкоємцям.
Якщо ви використовуєте згаданий вище підхід з USB-накопичувачем, є способи більш безпечно передати своє багатство. Але знову ж таки, це вимагає трохи більше зусиль.
Є онлайн-сервіси, які називаються Deadman's switch. Вони пінгуютть/пишуть вам по електронній пошті скажімо 1 раз в місяць. Ви повинні натиснути на посилання або увійти, щоб відповісти. Якщо ви не відповідаєте впродовж визначеного періоду часу, вони припускають, що ви померли, і відправляють будь-яку кількість електронних листів, в яких ви попередньо вказуєте вміст і одержувачів. Я не буду схвалювати або поручитися за будь-які з цих спеціальних сервісів, ви повинні їх погуглити і перевірити самі. Насправді, Google сам по собі є deadman’s switch. Глибоко в налаштуваннях Google є можливість надати комусь доступ до вашого облікового запису, якщо ви не користуєтеся ним протягом 3 місяців. Особисто я не перевіряв це і не можу ручатися за це. Проведіть власне тестування.
Якщо ви думаєте: “О, чудово, я просто відправив закриті ключі в електронних листах своїм дітям”, тоді, будь ласка, прочитайте цю статтю із самого початку ще раз.
Ви можете подумати, я міг би поставити паролі, які я використовував для шифрування USB-флешок в цих електронних листах, таким чином, моя дитина або чоловік може їх розблокувати. Це стає ближче, але все ще не зовсім. Оскільки ви не повинні залишати паролі для ваших резервних копій там на сервері в Інтернеті. Це значно послаблює безпеку ваших резервних копій/коштів.
Якщо ви думаєте, я міг би зашифрувати електронні листи, які містять паролі до USB-флешки, з іншим паролем, який я поділився зі своїми близькими, тоді ви на правильному шляху. Насправді вам не потрібен другий пароль. Існує старий перевірений часом інструмент шифрування електронної пошти, який називається PGP (або GPG), який ви повинні використовувати. PGP насправді є одним із ранніх інструментів, які використовують асиметричне шифрування (те ж саме, що і в Bitcoin). Знову ж таки, я не буду розглядати повне керівництво по PGP, їх багато в Інтернеті. Таким чином, ви повинні попросити вашого чоловіка і/або дитину створити власний закритий ключ PGP, і ви зашифруєте їм повідомлення про вашу смерть за допомогою їх публічного ключа, таким чином, тільки вони можуть читати вміст повідомлення, а не хтось інший. Цей метод є відносно безпечним, але він вимагає, щоб ваші близькі повинні мати можливість зберігати конфіденційність свого приватного ключа PGP і не втратити його. І, звичайно ж, їм потрібно знати, як використовувати електронну пошту PGP, що само по собі технічно важко.
Якщо ви можете слідувати рекомендаціям, які були поширені вище, то ви досягли базового (не просунутого) рівня, щоб самостійно зберігати значну кількість монет. Є багато інших тем, які ми могли б обговорити, які також можуть стосуватися деяких зі згаданих проблем, включаючи мульти підписи, порогові підписи і т.д. Але вони, ймовірно, належать до більш складного керівництва. У наступній частині ми розглянемо:
Використання бірж
Коли ми говоримо про біржу в цій статті, ми маємо на увазі централізовані біржи, які зберігають ваші кошти.
Отже, прочитавши попередню частину, ви можете сказати: «Чорт, це велика проблема. Дозвольте мені тоді зберігати мої монети на біржі. Що ж, використання біржі також не без ризику. Незважаючи на те, що біржі несуть відповідальність за безпеку коштів і систем, вам все одно необхідно дотримуватися належних правила для захисту вашого акаунта.
Використовуйте лише великі авторитетні біржі
Так, мені легко сказати, що Binance - одна із найбільших бірж у світі. Для цього є кілька вагомих причин. Не всі біржи однакові.
Великі біржі вкладають значні кошти в інфраструктуру безпеки. Binance інвестує сотні мільйонів доларів у безпеку. Це має сенс для масштабу нашого бізнесу. Безпека має відношення до безліч областей: від обладнання, мереж, процедур, персоналу, моніторингу ризиків, великих даних, AI, навчання, досліджень, тестування, сторонніх партнерів і до глобальних правоохоронних відносин. Потрібна значна сума грошей, людей і зусиль для забезпечення безпеки. Маленькі біржі просто не мають масштабу або фінансових коштів для цього. Це може виглядати скептично, але я часто говорю, що для більшості звичайних людей використання надійної централізованої біржи безпечніше, ніж зберігання монет самостійно.
Існує ризик контрагента. Багато малих/нових бірж часто призначені для шахрайства із самого початку. Вони збирають депозити і тікають із вашими коштами. З цієї ж причини тримайтеся подалі від «некомерційних» бірж або бірж, що пропонують 0 комісії, великі знижки і/або інші негативні стимули для отримання прибутку. Якщо їх метою не є належні доходи від бізнесу, то ваші кошти цілком можуть бути їх єдиною метою. Належна безпека коштує дорого і вимагає фінансування зі стійкою бізнес-моделю. Не економте на безпеці, коли справа доходить до ваших коштів. Великі прибуткові біржі не мають ніяких підстав для здійснення шахрайства. Коли ви вже керуєте прибутковим і стійким бізнесом на мільярд доларів, які стимули у вас будуть, щоб вкрасти кілька мільйонів і жити в укритті і страху?
Великі біржи також більш протестовані на фронті безпеки. Так, це теж ризик. Хакери більше націлені на великі біржи. Але хакери також однаково націлені на більш дрібні біржі, і деякі з них набагато легше взломати. Великі біржі, як правило, мають 5-10 зовнішніх охоронних підрозділів, які працюють на основі ротації для проведення тестів на проникнення і безпеку.
Binance йде на крок далі, ніж більшість бірж з точки зору безпеки. Ми вкладаємо великі кошти у великі дані і AІ для боротьби з хакерами і шахраями. Ми змогли запобігти втраті коштів багатьма користувачами, навіть коли була підміна SIM-карти. Деякі користувачі, що використовують кілька бірж, також повідомляли, що, коли їх акаунт електронної пошти було зламано, кошти з інших бірж, які вони використовували, були вкрадені, а кошти на Binance були захищені, оскільки наш AI блокував спроби хакерів вивести кошти. Менші біржі не могли б цього зробити, навіть якби захотіли, оскільки у них просто немає великих даних.
Захист вашого акаунта
При використанні бірж важливо захистити свій аккаунт. Давайте почнемо з основ.
1. Захистіть свій комп'ютер.
Знову ж таки, ваш комп'ютер часто є найслабшою ланкою в ланцюзі безпеки. Якщо ви можете, будь ласка, використовуйте виділений комп'ютер для доступу до вашого акаунта біржи. Встановіть на нього комерційне антивірусне програмне забезпечення (так, будь ласка, інвестуйте у безпеку) і мінімальну кількість іншого небажаного програмного забезпечення. Увімкніть брандмауер на максимум.
Грайте в свої ігри, робіть веб-серфінг, завантаження і т.д. на іншому комп'ютері. Навіть на цьому комп'ютері майте працюючий антивірус, а брандмауер на максимум. Вірус на цьому комп'ютері значно полегшить хакеру перехід на інші комп'ютери в тій же мережі. Так що тримайте його в чистоті.
Уникайте завантаження файлів
Навіть якщо у вас немає власного гаманця на комп'ютері, я настійно рекомендую вам не завантажувати будь-які файли на комп'ютер або телефон. Якщо люди відправляють вам word документ, попросіть їх відправити вам посилання на Google документ. Якщо вони відправлять вам PDF-файл, відкрийте їх на Google диску у браузері, а не на своєму комп'ютері. Якщо вони надсилають вам веселе відео, попросіть надіслати вам посилання на нього на який-небудь онлайн-платформі. Так, я знаю, що це проблемно, але безпека не безкоштовна, і ніхто не хоче втрачати свої кошти. Дивіться все на хмарі. Не завантажуйте нічого локально.
Крім того, вимкніть «автоматичне збереження фотографій і відео» в додатках для обміну миттєвими повідомленнями. Багато з них за замовчуванням налаштовані на завантаження GIF-файлів і відео, але це не дуже гарна практика безпеки.
Будьте в курсі оновлень програмного забезпечення
Я знаю, що всі оновлення ОС дратують, але вони часто виправляють недавно виявлені вразливості. Хакери також стежать за цими оновленнями і часто використовують саме ці уразливості, щоб проникнути на комп'ютери людей, які ліниві із оновленнями. Програмне забезпечення гаманця або додатки бірж, як правило, дотримуються тієї ж практики. Тому переконайтеся, що ви завжди використовуєте останні версії.
2. Захистіть свій акаунт електронної пошти.
Я рекомендую використовувати акаунт на Gmail або Protonmail. Ці два провайдера електронної пошти, як правило, сильніше в безпеці, ніж інші. Ми бачили більше порушень безпеки на інших платформах електронної пошти.
Я настійно рекомендую створити унікальний акаунт електронної пошти для кожної використовуваної вами біржи, щоб хаекрам було складно здогадатися про них. Таким чином, якщо інша біржа має збій, ваш акаунт на Binance не буде взламано. Це також зменшить кількість фішингових або цільових шахрайських листів, які ви отримуєте.
Увімкніть 2FA для служби електронної пошти. Я настійно рекомендую використовувати Yubikey для ваших акаунтів електронної пошти. Це надійний спосіб запобігання багатьох типів зломів, включаючи фішингові сайти і т.д. Детальніше про 2FA пізніше.
Якщо ви живете в країні із зареєстрованими випадками підміни SIM-карти, не зв'язуйте свій номер телефону в якості методу відновлення свого акаунта електронної пошти. Ми бачили багато жертв підміни SIM-карт, в яких скидали і зламували паролі акаунтів електронної пошти. Загалом, я не рекомендую прив'язувати телефонні номери до акаунтів електронної пошти. Тримайте їх окремо.
3. Захистіть свої паролі.
Використовуйте надійний і унікальний пароль для кожного сайту. Не намагайтеся згадати паролі. Використовуйте інструмент менеджера паролів. Для більшості людей, LastPass або 1Password, ймовірно, підійдуть. Обидва добре інтегровані у браузери, мобільні телефони і т.д. Обидва стверджують, що зберігають паролі тільки локально, але синхронізують між пристроями, використовуючи тільки зашифровані паролі. Якщо ви більш серйозні, виберіть KeePass або один з його варіантів, який підходить вашій ОС. KeePass зберігає інформацію тільки локально. Він не синхронізується між пристроями і має меншу мобільну підтримку. Він із відкритим вихідним кодом, тому вам не потрібно турбуватися про бекдор і т.д. Проведіть власне дослідження і виберіть інструмент, який вам підходить. Але не намагайтеся «заощадити час», використовуючи простий пароль або, що ще гірше, використовуючи однаковий пароль всюди. Переконайтеся, що ви використовуєте надійний пароль, інакше заощаджений час може коштувати вам чималих коштів.
З усіма цими інструментами, якщо у вас є вірус на вашому комп'ютері, ви можете будти взламані. Отже, переконайтеся, що у вас працює хороша антивірусна програма.
4. Увімкніть 2FA.
Настійно рекомендується увімкнути 2FA (двухфакторную аутентифікацію) свого акаунта Binance відразу після реєстрації або прямо зараз, якщо ви цього не зробили. Оскільки код 2FA зазвичай зберігається на вашому мобільному телефоні, він може в певній мірі захистити вас від зламаної електронної пошти та пароля.
2FA, тим не менш, не захищає вас від всього. На вашому комп'ютері може бути вірус, який вкрав електронну пошту і пароль, і, відстежуючи натискання клавіш, він також може вкрасти ваш код 2FA при його введенні. Ви можете взаємодіяти із фішинговим сайтом і ввести свою адресу електронної пошти, пароль, а потім код 2FA на фальшивому сайті, і хакер використає його для входу у ваш реальний акаунт на Binance одночасно. Тут багато потенційних ситуацій; ми не можемо перерахувати їх всіх. Ви все ще повинні тримати свій комп'ютер у чистоті і остерігатися фішингових сайтів (докладніше про це пізніше).
5. Налаштуйте U2F.
U2F - це апаратний пристрій, який генерує унікальний заснований на часі код, який також залежить від домену. Yubikey - свого роду де-факто пристрій для цього. (Хоча багато апаратних гаманців також можуть виступати в якості пристрою U2F, вони трохи менш зручні для користувача, вимагають установки додатків і набагато більшої кількості натискань для навігації.)
U2F пропонує три великі переваги. По-перше, вони засновані на апаратному забезпеченні, тому майже неможливо вкрасти секретний ключ, що зберігається на пристрої. По-друге, вони генерують ключ спеціально для домену. Це захищає вас, навіть якщо ви випадково взаємодієте ыз фішинговим сайтом. І, нарешті, вони дуже прості у використанні.
За вказаними вище причинами я настійно рекомендую вам прив'язати Yubikey до вашого акаунта Binance. Він пропонує одну з найкращих захистів від хакерів, що викрадають ваші кошти.
Вам також слід прив'язати свій Yubikey до Gmail, LastPass і будь-яких інших підтримуваних акаунтів для їх безпеки.
6. Припиніть використовувати SMS підтвердження.
Був час, коли SMS підтвердження було просунуте, але часи змінилися. З огляду на збільшення кількості підміни SIM-карт, ми рекомендуємо вам більше не використовувати SMS і більше покладатися на 2FA або U2F, описані вище.
7. Налаштуйте білий список для зняття коштів.
Ми настійно рекомендуємо вам використовувати функцію «Білий список» на Binance для зняття коштів. Це дозволяє швидко виводити кошти на ваші затверджені адреси і хакерам набагато складніше додати нову адресу для зняття.
8. Безпека API
Багато із наших користувачів використовують API для торгівлі та зняття коштів. Binance пропонує кілька різних версій API, причому остання версія підтримує асиметричне шифрування, а це означає, що нам потрібен тільки ваш публічний ключ. Таким чином, ви генеруєте свій приватний ключ у своєму середовищі і просто даєте нам свій публічний ключ. Ми використовуємо ваш публічний ключ для перевірки ваших ордерів, і у нас ніколи немає вашого приватного ключа. Ви повинні зберігати свій приватний ключ у безпеці.
Вам не обов'язково робити резервні копії свого API ключа так само, як при зберіганні власних монет. Якщо ви втратите свій API ключ у цьому випадку, ви завжди можете створити новий. Ви просто повинні переконатися, що ні у кого більше немає копії ваших API ключів.
9. Пройдіть KYC до 2-го рівня.
Один із кращих способів захистити свій профіль - пройти KYC до 2-го рівня. Таким чином, ми знаємо, як ви виглядаєте. Ми можемо використовувати розширені автоматичні перевірки по відео, коли наш механізм обробки великих даних виявляє аномалії у вашому профілі.
Це також важливо для ситуації «якщо ви станете недоступними». Binance може допомогти членам сім'ї отримати доступ до акаунта своїх померлих родичів при належній перевірці.
10. Захистіть фізично свій телефон і пристрої
Знову ж таки, ви повинні тримати свій телефон у безпеці. Можливо, у вас є програма електронної пошти, додаток Binance і ваші коди 2FA. Не робіть root і не робіть jailbreak телефону. Це значно знижує його безпеку. Ви також повинні тримати свій телефон фізично у безпеці і мати відповідне блокування екрану. Те ж саме стосується інших ваших пристроїв. Переконайтеся, що вони не потраплять у чужі руки.
11. Остерігайтеся спроб фішингу
Остерігайтеся спроб фішингу. Зазвичай вони приходять по електронній пошті, в текстових повідомленнях або в соціальних мережах з посиланням на фальшивий сайт, який виглядає як Binance. Там він запропонує вам ввести свої облікові дані, і хакери використовуватимуть їх для доступу до вашої реального акаунта Binance.
Запобігання фішингу вимагає тільки ретельності. Не натискайте посилання у листах електронної пошти або в соціальних мережах. Доступ до Binance можливий тільки шляхом введення URL-адреси або використання закладки. Не діліться своєю електронною поштою із іншими сторонами. Не використовуйте ту саму адресу електронної пошти на інших сайтах. Будьте обережні, коли незнайомці (особливо хлопці по імені CZ або аналогічні) несподівано спілкуються з вами в Telegram, Instagram і т.д.
В цілому, якщо ви будете дотримуватися наведених вище рекомендацій, то ваш акаунт Binance повинен бути відносно захищеним.
Отже, що краще?
Я зазвичай рекомендую людям використовувати як централізовані біржі, так і свої власні гаманці. Якщо ви не дуже розбираєтеся в технологіях, то я рекомендую більшу частину коштів зберігати на Binance і гаманцю для витрат (TrustWallet). Якщо ви технічно сильні, то відрегулюйте суми самі.
Централізовані біржи час від часу йдуть на обслуговування, і якщо вам потрібно зробити транзакцію саме тоді, зручно мати окремий гаманець.
Кілька інших тем
Існує багато шахраїв.
Люди створюють фейкові акаунти соціальних мереж, які схожі на популярні облікові записи, такі як @cz_binance_, і намагаються умовити вас відправити їм кошти. Просто запам'ятайте одне правило: не відправляйте людям гроші, якщо ви не хотіли зробити транзакцію із самого початку. Завжди використовуйте 2 різних канали зв’язку, щоб переконатися, що людина, якій ви відправляєте, є правильною людиною.
Якщо CZ несподівано звертається до вас і якимось чином, через якусь дуже переконливу історію, просить вас переказати йому кілька монет, будь ласка, негайно повідомте про це нашій команді.
Якщо ваш друг несподівано відправить вам текстове повідомлення із проханням вислати йому криптовалюту для екстрених випадків, зателефонуйте йому для перевірки або попросіть надіслати коротке відео для перевірки. Припустимо, що його IM-аккаунт тільки що зламали, або хтось просто вкрав його телефон.
Шахраї на YouTube стали розумнішими із відредагованими підробленими відео CZ, що роблять аірдропи, і т.д. Знову ж, просто повідомте про це, коли побачите.
Скам у соціальних мережах
Не приймайте участь у гівевеях, коли спочатку потрібно відправити кілька монет на будь-яку адресу, і ви отримаєте більше назад. Ви їх не отримаєте.
Пам'ятайте одне просте правило: будьте обачними, розсилаючи криптовалюту.
Ніколи не натискайте на посилання в електронних листах
НІКОЛИ не натискайте на посилання в електронному листі, а потім не вводіть своє ім'я користувача або пароль на сайті. Це завжди пастка. У зв'язку з цим, ніколи не переходьте за посиланням на сайті соціальних мереж, а потім не проходьте авторизацію.
Подумайте про це при переході на фішингові сайти. Просто не переходьте на них.
Завжди вводьте URL-адресу вручну безпосередньо на вашу улюблену крипто біржу. Навчіться правильно писати Binance.com або використовуйте закладку.
На закінчення
Ви дійшли до кінця цієї статті, я вітаю вас. Я сподіваюся, що ця стаття допоможе вам краще зрозуміти безпеку, щоб краще захистити свої кошти. Якщо ви будете слідувати рекомендаціям, описаним тут, то ви будете у хорошій формі і буду надійно тримати свої кошти, самостійно або на Binance.