Bezpečnost 101: Hardwarové peněženky a Revoke.cash

Shrnutí: Krypto je o "Vlastní úschově" (Self-Custody). To znamená, že vy jste banka. Neexistuje žádné číslo zákaznické podpory, kam zavolat, když vás hacknou. Tento průvodce se zabývá bezpečnostním modelem "Ementál": hardwarové peněženky pro ukládání, horké peněženky pro obchodování a Revoke.cash pro hygienu.

1. Horké peněženky vs. Studené peněženky

• Horká peněženka (MetaMask, Phantom): Připojená k internetu. Pohodlná pro obchodování. Riziko: Pokud váš počítač chytí virus, vaše klíče mohou být ukradeny.
  • Pravidlo: Mějte na ní jen tolik, kolik jste ochotni ztratit (jako hotovost v peněžence).
• Studená peněženka (Ledger, Trezor): Není připojena k internetu. Vaše soukromé klíče nikdy neopustí USB zařízení. Transakce podepisujete stisknutím fyzických tlačítek. Bezpečnost: I když je váš počítač zavirovaný, hacker nemůže podepsat bez fyzického zařízení.
  • Pravidlo: Zde mějte své úspory (jako rodinný trezor).

2. Tichý zabiják: Neomezená oprávnění

Když poprvé obchodujete na Uniswapu, zeptá se: "Approve USDT?" (Schválit USDT?) Většina lidí klikne na "Max" nebo "Unlimited". Právě jste dali smart kontraktu Uniswapu povolení utratit všechny vaše USDT, navždy. Pokud bude Uniswap hacknut (nepravděpodobné, ale možné), hacker může vyprázdnit vaše USDT, i když je váš Ledger v trezoru.

Řešení:

1. Schvalujte pouze to, co potřebujete: Pokud měníte 100 $, schvalte 100 $. Nikdy "Unlimited".
2. Revoke.cash: Nástroj (integrovaný do TradingMaster) pro skenování starých oprávnění. Schválili jste ten NFT projekt v roce 2022? Odeberte to (Revoke). Zavřete zadní vrátka.

3. Ochrana "Ementál"

Žádná vrstva není dokonalá. Používejte jich více.

1. Hardware: Používejte Ledger/Trezor.
2. Segregace: Nemějte své NFT a DeFi úspory ve stejné peněžence.
3. VPN: Nikdy neobchodujte na Wi-Fi ve Starbucks bez VPN.
4. 2FA: Chraňte své e-maily a účty na burze pomocí YubiKey nebo autentizační aplikace. SMS 2FA není bezpečná (SIM-swap).

4. Phishing: Lidská chyba

99 % "hacků" je ve skutečnosti "phishing" (rybaření). Dostanete e-mail: "TradingMaster Airdrop! Nárokujte nyní!" Kliknete na odkaz. Vypadá přesně jako naše stránka. Připojíte peněženku. Požádá o podpis. Podepíšete. Bum. Peněženka je prázdná. Ten podpis byl "Permit" (Povolení), který jim umožnil vzít vaše mince.

Obrana:

• Ukládejte si stránky do záložek. Nikdy neklikejte na reklamy Google.
• Čtěte, co podepisujete. Pokud transakce říká: "Set Approval for All", odmítněte ji.

Závěr

V kryptu je paranoia ctností. Předpokládejte, že všechno je podvod, dokud se neprokáže opak. Věnujte hodinu o víkendu nastavení Ledgeru a spuštění skenu Revoke.cash. Vaše budoucí já vám poděkuje.