Витік private key: перші 24 години

Що робити в перші 30 хвилин

Ви щойно усвідомили, що ваш приватний ключ або seed-фраза скомпрометовані. Можливо, ввели у фейковий «Ledger update» інструмент. Можливо, сфотографували для бекапу, і фото синхронізувалося в тепер-скомпрометований хмарний акаунт. Можливо, помітили дрібне несанкціоноване списання.

Наступні 30 хвилин визначають, скільки ви відновите і скільки втратите.

Хвилина 0–5: Тріаж

• Відкрийте чистий пристрій — телефон або ноутбук, на якому ніколи не було скомпрометованого гаманця.
• Згенеруйте новий seed на свіжому апаратному гаманці або імпортуйте у відомий чистий гарячий. Запишіть новий seed офлайн.
• Запишіть адреси нового гаманця. Сюди будете надсилати кошти.

Хвилина 5–15: Спочатку стейблкоїни

Стейблкоїни — пріоритетна ціль зливу. Перемістіть першими. По порядку:

• USDC, USDT, DAI, BUSD на ланцюзі з найбільшими холдингами.
• Потім ті самі стейблкоїни на інших ланцюгах (Polygon, Arbitrum, BSC).
• Надсилайте кожен переказ на новий гаманець. Використовуйте помірний газ.

Хвилина 15–25: Ліквідні majors

ETH, BTC, SOL, BNB, MATIC. Мають ліквідність, але атакуючий може скинути їх з малим slippage, тому друга за пріоритетом ціль.

Якщо є NFT — перемістіть найцінніші зараз.

Хвилина 25–30: Long-tail і прощання

Перемістіть все, що залишилося — long-tail токени, vested позиції, staked активи, якщо можете швидко анстейкнути.

Гаманець повинен бути порожнім або майже порожнім. Не «зберігайте» його як малоцінний — він назавжди в черзі атакуючого.

Перша година після порятунку

• Відкличте всі схвалення. На revoke.cash. Коштує газу, але зупиняє будь-які pending Permit-підписи.
• Аудитуйте всі пов'язані сервіси. Чи мав скомпрометований гаманець схвалення на Uniswap, Aave, Compound? Чи пов'язані CEX депозитні адреси?
• Перевірте пов'язані витоки. Якщо seed витік через фішинговий сайт, що ще ви дали тому сайту? Email? Телефон? CEX-логін?

Жорстка правда

Більшість компрометацій втрачають усе в постраждалому гаманці. 30-хвилинний рятувальний протокол — для випадків, коли помітили рано. Для випадків, коли помітили пізно, кошти пішли. Побудуйте наступний кастоді-сетап з припущенням, що вас знову атакують — і спроєктуйте так, щоб одна компрометація не втрачала все.