Безопасность MetaMask — это набор привычек, которые не дают браузерному и мобильному hot-кошельку быть опустошённым. Шифрование, которым MetaMask защищает хранимый ключ, — не слабое место: почти никто не теряет средства из-за того, что кто-то перебрал хранилище. Теряют средства потому, что подписали транзакцию, которую не следовало; установили фейковое расширение; вставили адрес, который незаметно подменил clipboard-угонщик. Возьмите эти три вещи под контроль — и вы закроете подавляющую часть реального риска.
Устанавливайте только из настоящего источника
Первая ваша «подпись» — это установка. Вводите metamask.io вручную или используйте заранее сохранённую закладку; никогда не кликайте результат «MetaMask» из рекламного блока поиска и никогда не устанавливайте расширение, которое сайт сам предлагает добавить во всплывающем окне. Официальное расширение публикует ConsenSys; в листинге Chrome видны миллионы пользователей и годы отзывов. «MetaMask Pro» или свежеопубликованный клон с горсткой отзывов — это drainer. Если сомневаетесь, единственные ссылки на скачивание, которым стоит доверять, — канонические ссылки на самом metamask.io.
Seed-фраза — это весь аккаунт целиком
MetaMask показывает вашу seed-фразу из 12 слов ровно один раз, при настройке. Тот, у кого есть эти слова, владеет всеми аккаунтами, выведенными из неё, на всех сетях, навсегда — без пароля, без устройства, без сброса. Запишите её на бумаге (или на стали) и храните офлайн. Не делайте скриншот, не вбивайте в заметки, не позволяйте ей попасть в резервную копию iCloud или Google Drive и не вводите ни на одном сайте и ни в какой форме «поддержки». Сам MetaMask после настройки никогда не запрашивает seed-фразу; любой запрос, который её просит, — это мошенничество, точка.
Читайте то, что подписываете — approval и есть главная атака
Самое частое опустошение — не украденный ключ, а token approval. Когда вы подключаетесь к dApp и подтверждаете токен, вы даёте смарт-контракту право выводить этот токен из вашего кошелька. Вредоносные сайты запрашивают неограниченный allowance, а потом, нередко спустя недели после того, как вы забыли о взаимодействии, забирают баланс. Перед подтверждением читайте окно MetaMask: какой контракт, какой токен, какая сумма. Если страница «получите airdrop» или «подтвердите кошелёк» просит подписать Permit или setApprovalForAll, которые вы не собирались давать, отклоните. Периодически просматривайте и отзывайте старые approval инструментом вроде Revoke.cash, чтобы забытый allowance нельзя было использовать.
Фишинговые подписи и фейковая «поддержка»
Многие схемы вообще обходятся без малвари — им нужна лишь одна плохая подпись. Двойник настоящего dApp, всплывашка «валидация кошелька», «агент поддержки» в Discord или Telegram, который пишет первым и просит «синхронизировать» или «переподтвердить» кошелёк. Настоящая поддержка никогда не пишет первой и никогда не нуждается в вашей подписи, чтобы починить аккаунт. Считайте любой неожиданный запрос на подпись враждебным, пока не подтвердили точный сайт и точно то, что делает транзакция.
Clipboard и малварь с фейковыми окнами
Clipper-малварь следит за буфером обмена и заменяет скопированный крипто-адрес на адрес атакующего. После вставки адреса назначения каждый раз сверяйте первые и последние несколько символов с источником перед отправкой. Отдельно: часть малвари рисует фейковое окно MetaMask поверх страницы, чтобы выманить seed-фразу; настоящий интерфейс расширения открывается по иконке в панели инструментов, а не как наложение на странице, просящее ваши слова восстановления.
Свяжите MetaMask с аппаратным кошельком
Можно подключить Ledger или Trezor и работать через интерфейс MetaMask. Это сохраняет привычный UX, но переносит саму подпись на устройство с собственным экраном и физической кнопкой подтверждения — так что даже вредоносный dApp не сдвинет средства без вашего одобрения на железе. Для любого баланса, потерять который было бы больно, это важнейший апгрейд: он нейтрализует риск слепой подписи, потому что транзакцию нужно подтвердить на отдельном устройстве с офлайн-ключом.
Разумные привычки повседневного использования
Держите небольшой «расходный» hot-кошелёк для подключения к незнакомым dApp отдельно от кошелька со значимым балансом. Блокируйте MetaMask, когда отходите. Не держите в повседневном hot-кошельке больше, чем потратите за пару недель обычной активности, а остальное отправьте в холодное хранение. Ничего экзотического — та же дисциплина, к которой приходит каждый аккуратный холдер.
Дополнительное чтение: Hot wallet, Фишинг, Revoke.cash, Как распознать фейковое приложение кошелька.