Każdy, kto interesował się światem portfeli web3, na pewno został ostrzeżony o różnych ryzykach związanych z self-custody, przede wszystkim o tym, że można natknąć się na włamanie.
Niestety ten sektor to dżungla, a na zewnątrz jest pełno bezwzględnych postaci gotowych wykorzystać każdy pojedynczy błąd, bez najmniejszego odrobiny etyki i ludzkości.
Nie oznacza to jednak, że musimy pozostawać w niewiedzy i rezygnować z korzyści oferowanych przez te infrastruktury. Wystarczy tylko zastosować kilka ostrożności i przestrzegać dobrych manier bezpieczeństwa. W tym artykule sugerujemy kilka prostych i praktycznych wskazówek, aby zminimalizować ryzyko i w pełni spokojnie chronić swoje fundusze.
Początkowe założenie
Jeśli do tej pory korzystaliście tylko z centralnych giełd, musicie wiedzieć kilka rzeczy: są to zdecydowanie najprostsze i najbezpieczniejsze platformy do rozpoczęcia, a także najwygodniejsze dla tych, którzy chcą często wykonywać operacje handlowe.
Jest znacznie rzadsze, aby giełda została zhakowana, niż wasz osobisty portfel, jeśli jesteście nowicjuszami i nie wiecie, gdzie ręce włożyć, dlatego zawsze zalecamy, aby zacząć od tutaj.
Po zdobyciu doświadczenia z giełdami, musicie przynajmniej zacząć interesować się również rozwiązaniami non-custodial, zwłaszcza jeśli waszym celem jest długoterminowe trzymanie.
Giełdy służą jako „stacje wymiany kryptowalut”, ale nie są właściwie zalecane jako portfel. Dla bezpieczniejszego i bardziej autonomicznego przechowywania, dobrze jest zrobić krok dalej i odkryć świat portfeli Web3.
Przechowywanie kluczy prywatnych: pierwszy krok, aby uniknąć włamań
Jeśli dotarliście aż tutaj i już pobraliście swój portfel non-custodial, zakładamy, że zrozumieliście znaczenie przechowywania „klucza prywatnego”, ale dla bezpieczeństwa przypominamy o podstawowych koncepcjach.
Przede wszystkim, portfel składa się z 2 typów kluczy:
Klucz publiczny: jak adres IBAN waszego konta bankowego, służy do otrzymywania płatności i odbierania kryptowalut. Możecie go swobodnie udostępniać komukolwiek, ale pamiętajcie, że raz ujawniając swój adres, tracicie część prywatności (wszyscy będą mogli podglądać historię).
Klucz prywatny: zapewnia dostęp do portfela. Jeśli stracicie portfel (np. komputer się psuje, gubicie Ledger), możecie odzyskać wszystko bez problemu, wprowadzając klucz prywatny/seed phrase na nowe urządzenie. KAŻDY, KTO GO ZNA, MOŻE DOSTAĆ SIĘ DO PORTFELA I GO OPRÓŻNIĆ.
Zatem, jako pierwszą dobrą praktykę, aby uniknąć włamań, zalecamy zapisanie klucza prywatnego w bezpiecznym miejscu, najlepiej na nośniku metalowym (papier ulega zniszczeniu z czasem) i umieszczenie go w bezpiecznym miejscu, które znacie tylko wy. NIGDY nie dzielcie się jego zawartością online i NIGDY nie zapisujcie go w jakiejkolwiek czacie.
Nikt nigdy nie poprosi was o podanie waszego klucza prywatnego, nawet wsparcie lub grupy pomocowe. Jeśli to robią, są w 100% oszustami.
Włamania i kryptowaluty: działaj ostrożnie i zawsze wykonuj podwójne kontrole
Po „must” dotyczących ostrożności związanej z kluczem prywatnym, możemy przejść do innych dobrych praktyk web3 w celu zapobiegania włamaniom i nieprzyjemnym zdarzeniom. Oto, w świecie kryptowalut, gdzie wszystko pędzi w szaleńczym tempie, my, aby poruszać się bezpiecznie, musimy robić odwrotnie i działać spokojnie, nie podejmując ryzykownych ruchów.
Do czego się odnosimy? Gdy na przykład klikacie w link, który znajdziecie na X, nawet jeśli pochodzi z weryfikowanego i wiarygodnego konta, zróbcie podwójną kontrolę, korzystając z DeFiLlama, Coinmarketcap lub Dexscreener. Sprawdźcie, czy link jest ten sam i czy profil X nie został zhakowany. Niestety, i to się zdarza.
Lub, gdy na X czytacie o okazji, takiej jak airdrop, nowa pula protokołu lub ciekawe wydarzenie, nie klikajcie od razu. Dla bezpieczeństwa poczekajcie kilka minut i sprawdźcie, czy wszystko jest legit (komentarze, badania wybierając „nazwa konta + hacked”, czaty na Telegramie i Discordzie).
Nie pozostawiajcie oczekujących zatwierdzeń na DApps
Inną praktyką zapamiętywania, aby zmniejszyć ryzyko włamań, jest maksymalne ograniczenie zatwierdzeń różnych DApp web3. Wiele osób nie wie, że często, gdy ktoś „wchodzi” do naszego portfela, to dlatego, że dajemy mu pozwolenie, nie zdając sobie z tego sprawy.
Kiedy wykonujecie operacje na zdecentralizowanej giełdzie, być może w celu wymiany ETH na USDC, platforma poprosi o zatwierdzenie limitu wydatków dla tej transakcji. Domyślnie, dla wygody, ta wartość jest niemal zawsze ustawiona na nieograniczoną, aby nie trzeba było powtarzać zatwierdzenia przy każdej operacji.
Jeśli możecie, zatwierdzajcie tylko to, co chcecie wydać, zamiast maksymalnej wartości. Lub, po zakończeniu operacji, przejdźcie na Revoke.cash i usuńcie wszystkie oczekujące zatwierdzenia. Wystarczy kliknąć przycisk „revoke” dla każdego wcześniej zatwierdzonego pozwolenia.
Używajcie rozszerzeń zabezpieczających, które ratują was w ostatniej chwili przed włamaniem
Sztuczka zawodowa, aby mieć dodatkową warstwę bezpieczeństwa przed włamaniami, polega na zainstalowaniu rozszerzeń takich jak Pocket Universe lub SafeGuard, które w czasie rzeczywistym poinformują was, jaki rodzaj transakcji podpisujecie.
Jeśli przez przypadek lub błąd będziecie mieli do czynienia z aplikacją scam, te rozszerzenia poinformują was o tym z alarmem i czerwonym banerem, umożliwiając wam wyjście zanim klikniecie coś i popełnicie nieodwracalne szkody.
Nie zastępują waszego zdrowego rozsądku (ostrożność pozostaje pierwszym antywirusowym), ale posiadanie tej dodatkowej warstwy ochrony może dosłownie uratować wam cały portfel jednym kliknięciem. Poza tym, ich zainstalowanie jest darmowe!
Dodatkowa wskazówka: Poza tymi rozszerzeniami, unikajcie pobierania jakichkolwiek innych programów na komputerze, którego używacie do przechowywania kryptowalut. Jeśli jesteście graczami lub entuzjastami, najlepszym wyborem jest posiadanie oddzielnego urządzenia, dedykowanego tylko operacjom Web3.
Inne dodatkowe sprzęty i praktyczne porady
Jeśli zarządzacie „ważnymi” portfelami o znacznej wartości kryptowalut, musicie koniecznie dodać dodatkową ochronę przed kradzieżami i włamaniami za pomocą urządzenia do podpisu cyfrowego, znanego również jako „hardware wallet”: rozwiązania takie jak Ledger, Trezor, Bitbox.