Инструменты · Чек-лист

Чек-лист безопасности кошелька

Те самые меры безопасности при хранении и отправке крипты, которые легко упустить, — здесь они собраны по пунктам. Отмечайте каждый, смотрите, как полоса доходит до конца, — и на душе становится спокойнее.

Мороз · Всё в браузере · без сбора данных

Отметки хранятся только в браузере на этом устройстве — ничего не загружается и не записывается, а обновление страницы всё сбрасывает. Это не экзамен, а напоминание: отметьте то, что вы уже сделали, а всё неотмеченное — это то, чем стоит заняться дальше.

Прогресс 0 / 0

Пока ничего не отмечено. Начните с той группы, в которой увереннее всего.

Группа один

Сид-фраза / приватный ключ

Сид-фраза сохранена офлайн — переписана на бумагу, а лучше выгравирована на стальной пластинеСталь не боится огня и воды, а бумага боится и того, и другого; для крупных сумм стоит сделать и то, и другое. Я никогда не делал скриншот, не фотографировал и не сохранял её ни в облако, ни в перепискуГалерея телефона и облачная галерея синхронизируются сами — это всё равно что загрузить сид-фразу в сеть. Я никогда никому не называл сид-фразу — ни поддержке, ни людям из чата, ни тем, кто выдаёт себя за официальныхНастоящая поддержка никогда не попросит вашу сид-фразу. Кто просит — стопроцентно мошенник. Копии хранятся в двух разных физических местах, а не в одном ящикеСгорит или украдут в одном месте — во втором всё цело; не дайте одной случайности забрать всё.

Группа два

Безопасность аккаунта

На аккаунте биржи / кошелька включена 2FA, причём через приложение-аутентификатор, а не SMSSMS-код можно перехватить подменой SIM-карты, а приложение-аутентификатор взломать удалённо гораздо труднее. У этого аккаунта отдельный надёжный пароль, который нигде больше не используетсяУтечёт пароль в одном месте — подбор по базе откроет все аккаунты с тем же паролем. Кошелёк / приложение скачаны с официального домена или из официального магазина приложенийСайты-двойники и фальшивые ссылки в поисковой рекламе — главный источник кражи монет, заходите только на официальный сайт.

Группа три

Безопасность переводов

Перед отправкой сверяю первые и последние символы адреса получателя, а не только началоТроян, перехватывающий буфер обмена, подменяет адрес; спокойно, только когда совпали обе части. Перед отправкой убеждаюсь, что выбрал правильную сеть / чейн (с USDT чаще всего ошибаются именно в сети)Ошибётесь с чейном — монеты можно вообще не вернуть; не путайте TRC20, ERC20 и BSC. Перед крупным переводом сначала отправляю небольшую тестовую суммуПара центов комиссии — и вы убеждаетесь, что и адрес, и сеть выбраны верно. На бирже включён белый список адресов для выводаДаже если аккаунт взломают, монеты уйдут только на безопасные адреса, которые вы задали заранее.

Группа четыре

Долгосрочное обслуживание

Время от времени отзываю разрешения для контрактов / токенов, которыми больше не пользуюсьDApp, которому вы дали доступ годы назад, всё ещё может распоряжаться вашими монетами; не пользуетесь — отзовите. Я продумал запасной вариант на случай, если аппаратный кошелёк снимут с производства или он сломаетсяСид-фраза работает между разными брендами — держите это в голове, и любой кошелёк с той же спецификацией её восстановит. Время от времени сам проверяю заново все пункты вышеБезопасность — это не разовое дело; устройства, привычки и разрешения со временем меняются.

Логика за каждым пунктом · разверните, чтобы прочитать

Почему сид-фразу нельзя подключать к сети. Сид-фраза — это главный ключ от вашего кошелька, у кого она, тот и переведёт ваши монеты. Как только она попадает на устройство с интернетом — скриншот, синхронизация в облако, переписка, — вы теряете над ней контроль. Офлайн-копия на бумаге или стали — единственный по-настоящему надёжный бэкап. Подробнее в Пять способов хранения сид-фразы.

Почему разрешения нужно регулярно отзывать. Каждое разрешение, которое вы подписываете в DApp, может дать ему постоянный доступ к какому-то вашему токену. Команда проекта сбежала, контракт взломали — и эти старые разрешения превращаются в дыру. Что можно — убирайте, см. Как отозвать разрешения на токены.

Что делать, если ошиблись с чейном. USDT на разных чейнах — это разные контракты, адреса выглядят похоже, но не связаны между собой. Монеты, ушедшие не в тот чейн, — по-разному: что-то можно вернуть, что-то нет. Профилактика всегда спокойнее, чем спасение, см. Отправил USDT не в тот чейн, что делать.

Если приватный ключ утёк. Если вы подозреваете, что сид-фраза или приватный ключ засветились, не раздумывайте — сразу переводите монеты на новый, чистый кошелёк. Шаги в Что делать после утечки приватного ключа.

Оговорка: этот чек-лист охватывает самые частые и самые важные группы действий, но охватить все случаи невозможно. Все галочки не означают абсолютную безопасность — они лишь вытаскивают вас из ям, в которые попадает большинство. Этот инструмент не является инвестиционным или финансовым советом.

Что почитать дальше