Інструменти · Чек-лист

Чек-лист безпеки гаманця

Ті самі кроки безпеки під час зберігання та надсилання крипти, які легко проґавити, — тут вони зібрані по пунктах. Відмічайте кожен, дивіться, як смужка доходить до кінця, — і на душі стає спокійніше.

Мороз · Усе в браузері · без збору даних

Позначки зберігаються лише в браузері на цьому пристрої — нічого не завантажується й не записується, а оновлення сторінки все скидає. Це не іспит, а нагадування: відмітьте те, що ви вже зробили, а все невідмічене — це те, чим варто зайнятися далі.

Прогрес 0 / 0

Поки нічого не відмічено. Почніть із тієї групи, у якій почуваєтеся найвпевненіше.

Група один

Сід-фраза / приватний ключ

Сід-фразу збережено офлайн — переписано на папір, а краще вигравіювано на сталевій пластиніСталь не боїться вогню й води, а папір боїться і того, і того; для великих сум варто зробити і те, і те. Я ніколи не робив знімок екрана, не фотографував і не зберігав її ні в хмару, ні в листуванняГалерея телефона й хмарна галерея синхронізуються самі — це те саме, що завантажити сід-фразу в мережу. Я ніколи нікому не називав сід-фразу — ні підтримці, ні людям із чату, ні тим, хто видає себе за офіційнихСправжня підтримка ніколи не попросить вашу сід-фразу. Хто просить — на сто відсотків шахрай. Копії зберігаються у двох різних фізичних місцях, а не в одній шухлядіЗгорить чи вкрадуть в одному місці — у другому все ціле; не дайте одній випадковості забрати все.

Група два

Безпека акаунта

На акаунті біржі / гаманця увімкнено 2FA, причому через застосунок-автентифікатор, а не SMSSMS-код можна перехопити підміною SIM-картки, а застосунок-автентифікатор зламати дистанційно набагато важче. У цього акаунта окремий надійний пароль, який ніде більше не використовуєтьсяВитече пароль в одному місці — підбір за базою відкриє всі акаунти з тим самим паролем. Гаманець / застосунок завантажено з офіційного домену або з офіційного магазину застосунківСайти-двійники та фальшиві посилання в пошуковій рекламі — головне джерело крадіжки монет, заходьте лише на офіційний сайт.

Група три

Безпека переказів

Перед відправленням звіряю перші й останні символи адреси отримувача, а не лише початокТроян, що перехоплює буфер обміну, підміняє адресу; спокійно, лише коли збіглися обидві частини. Перед відправленням переконуюся, що обрав правильну мережу / чейн (із USDT найчастіше помиляються саме в мережі)Помилитеся з чейном — монети можна взагалі не повернути; не плутайте TRC20, ERC20 і BSC. Перед великим переказом спершу надсилаю невелику тестову сумуПара центів комісії — і ви переконуєтеся, що і адреса, і мережа обрані правильно. На біржі ввімкнено білий список адрес для виведенняНавіть якщо акаунт зламають, монети підуть лише на безпечні адреси, які ви задали заздалегідь.

Група чотири

Довгострокове обслуговування

Час від часу відкликаю дозволи для контрактів / токенів, якими більше не користуюсяDApp, якому ви дали доступ роки тому, досі може розпоряджатися вашими монетами; не користуєтеся — відкличте. Я продумав запасний варіант на випадок, якщо апаратний гаманець знімуть з виробництва або він зламаєтьсяСід-фраза працює між різними брендами — тримайте це на думці, і будь-який гаманець із тією самою специфікацією її відновить. Час від часу сам перевіряю наново всі пункти вищеБезпека — це не разова справа; пристрої, звички та дозволи з часом змінюються.

Логіка за кожним пунктом · розгорніть, щоб прочитати

Чому сід-фразу не можна під'єднувати до мережі. Сід-фраза — це головний ключ від вашого гаманця, у кого вона, той і перекаже ваші монети. Щойно вона потрапляє на пристрій з інтернетом — знімок екрана, синхронізація в хмару, листування, — ви втрачаєте над нею контроль. Офлайн-копія на папері чи сталі — єдиний по-справжньому надійний бекап. Докладніше в П'ять способів зберігання сід-фрази.

Чому дозволи треба регулярно відкликати. Кожен дозвіл, який ви підписуєте в DApp, може дати йому постійний доступ до якогось вашого токена. Команда проєкту втекла, контракт зламали — і ці старі дозволи перетворюються на дірку. Що можна — прибирайте, див. Як відкликати дозволи на токени.

Що робити, якщо помилилися з чейном. USDT на різних чейнах — це різні контракти, адреси виглядають схоже, але не пов'язані між собою. Монети, що пішли не в той чейн, — по-різному: щось можна повернути, щось ні. Профілактика завжди спокійніша, ніж порятунок, див. Надіслав USDT не в той чейн, що робити.

Якщо приватний ключ витік. Якщо ви підозрюєте, що сід-фраза чи приватний ключ засвітилися, не вагайтеся — одразу переказуйте монети на новий, чистий гаманець. Кроки в Що робити після витоку приватного ключа.

Застереження: цей чек-лист охоплює найчастіші та найважливіші групи дій, але охопити всі випадки неможливо. Усі позначки не означають абсолютної безпеки — вони лише витягують вас із ям, у які потрапляє більшість. Цей інструмент не є інвестиційною чи фінансовою порадою.

Що почитати далі