Cпособы потерять крипту в DeFi В новой книге про DeFi от Coin | DEFI Daily

Cпособы потерять крипту в DeFi

В новой книге про DeFi от Coingeko авторы выделили 2 самых частых способа потери крипто активов со своего кошелька.

1. Разрешение на неограниченный доступ к кошельку в пользу DeFi платформ

При взаимодействии с любой DeFi платформой у вас всегда запрашиваются 2 транзакции, первая из которых, как раз является запросом на разрешение взаимодействовать с конкретным активом на вашем кошельке. Вам всегда предоставляется выбор - (i) дать разрешение только на конкретную сумму, которую вы именно сейчас хотите отправить на платформу, или (ii) дать неограниченное разрешение смарт-контракту данной платформы на взаимодействие с любым размером средств по данному активу на вашем кошельке.

Многие выбирают сэкономить на “газе” и дать разрешение один раз и на весь объем, чтобы не голосовать каждый раз при каждой транзакции два раза…те нести двойные расходы на каждую транзакцию. Более того, на некоторых DeFi платформах такое неограниченное разрешение запрашивается по умолчанию. Так что, если вы не следите за тем, что именно вы подтверждаете своим кошельком, вы можете раздавать такие неограниченные разрешения куче DeFi площадок налево и направо!

Ну а дальше все просто. При атаке на такой смарт-контракт DeFi платформы злоумышленники получают возможность списать все подтвержденные объемы крипто активов с ВАШИХ кошельков!

Такое уже было с Furucombo, Cream Finance и еще кучу с кем!

2. Атака на Metamask через вредоносное расширение браузера

Расширения в браузерах - Chrome, Brave - значительно облегчит нам работу с разными онлайн ресурсами. Самый часто используемый Web 3.0 кошелек - Metamask - как раз чаще всего устанавливается в качестве расширения в браузер. Это и правда быстро и очень удобно.

Однако, если вы случайно установили еще какое-либо расширение, которое оказалось вредоносным, это новое расширение может проникнуть в ваши ключи Metamask. Ну а дальше, имея ключи доступа к вашему кошельку, вывести средства с вашего кошелька - задача для школьника.

Это я даже про кошельки на мобильниках не говорю. Там уязвимости встречаются на каждом углу.

Как защищаться?

1. НЕ ДАВАТЬ неограниченный доступ никому!

1.1. При каждом запросе со стороны смарт-контракта платформы всегда смотреть, что именно вы подтверждаете кошельком и менять неограниченный доступ на объем конкретной сделки сейчас.

1.2. Проверить, кому вы УЖЕ РАЗДАЛИ такие права на неограниченный доступ через Etherscan и отозвать неограниченные разрешения

Как это сделать - читайте на 206 странице книге

2. Защитить Web 3.0 кошельки

2.1. ОТДЕЛЬНЫЙ ПРОФИЛЬ того же БРАУЗЕРА. Заведите НОВЫЙ ПРОФИЛЬ в вашем самом используемом браузере. Под этим профилем установите единственное расширение - ваш Metamask кошелек. Все остальные действия, поиск, почту и тп - делайте через другой профиль браузера

2.2. ОТДЕЛЬНЫЙ БРАУЗЕР только под Metamask. Если так любите Chrome, то установите, например, браузер Brave и на нем разверните Metamask. Так взломать вас станет сложнее

2.3. ХОЛОДНЫЕ АППАРАТНЫЕ КОШЕЛЬКИ. Да, мороки со всякими Ledger и Trezor побольше. Но получить удаленный доступ к ключам вашего кошелька значительно сложнее

2.4. MULTISIG кошельки и ДАО. Не хотите терять в мобильности из-за холодных кошельков, разверните мульти-подписной кошелек на Gnosis Safe, или сделайте полноценное ДАО, где даже при получении доступа к одному кошельку злоумышленники не способны будут вывести ваши средства без подписи/голосования остальных кошельков. А эти другие кошельки вполне могут быть развернуты просто на других устройствах у вас же или у вашей мамы и сына-геймера!

В общем, предохраняйтесь