Уже подробно, в своих постах, разбирал, что такое кошелек Метамаск и как его настроить, сегодня подробнее разберу вопросы безопасности, рассмотрю какие существуют угрозы и как их минимизировать.
Все риски разделяю на два типа:
1. Неконтролируемые, те на которые пользователь не может повлиять;
2. Контролируемые, те которые можно минимизировать.
Неконтролируемые риски
К этой категории можно отнести любой взлом кошелька на стороне издателя, взлом блокчейна или ограничения на использования средств. Если события из первых двух пунктов маловероятны и не реализовывались, то вариант с ограничением средств, хотя и частичным, вполне реален.
Не так давно пользователи стали жаловаться, что их Метамаск перестал работать в некоторых странах, дело оказалось не в самом Метамаске, а в Infura (система нод для приложений имеющая API и позволяющая разработчикам не создавать собственные узлы), которая выполняя санкционные требования перестала работать в определенных регионах.
Для пользователей такие ограничения не критичны, достаточно заменить в настройках кошелька URL-адрес RPC в настройках сети на альтернативный или воспользоваться сервисом VPN и подобрать IP адрес из разрешенных территорий.
Риски на которые можно влиять
Я вижу несколько основных «направлений» возможных атак мошенников:
1. Подключение приложений(сайтов) с излишними разрешениями на использование средств – наверное, самый распространенный скам, к кошельку просит доступ мошеннический сайт. Как избежать – не подключать кошелек ко всем подряд сайтам и регулярно проверять список подключенных сайтов в настройках. Пользоваться только надежными биржами, NFT маркетами и платформами для стейкинга. Адреса сайтов брать с CoinMarketCap или Coin Gecko;
2. Дискредитация сид-фразы. Никто и никогда не спрашивает сид-фразу, ее нельзя вводить на любых сайтах и предоставлять кому-либо. В интернете множество сайтов маскирующихся под официальные и требующие ввести сид-фразу. Любой сайт в интернете который спрашивает сид-фразу – мошенники. Сидфразу можно вводить только при восстановлении кошелька в официальном расширении или официальном приложении Metamask. Как избежать – не дискредитировать сид-фразу;
3. Доступ злоумышленников к устройству с кошельком, как физический так и «софтверный». Например – сервис для создания скриншотов был взломан и собирал сид-фразу при создании или восстановлении кошельков. Как избежать – не пользоваться хакнутым программным обеспечением, использовать пароли и шифрование диска на устройстве, серьёзно относится к разрешениям которые просят приложения;
4. Поддельные токены – это редкость, но бывает. Кто угодно может создать токен в блокчейне с любым названием, например может быть сколько угодно токенов USDT или USDC, но в отличии от оригинальных, эти токены подделки не имеют ценности и ничем не обеспеченны. Как избежать – проверяйте адреса смарт-контрактов при покупке криптовалюты, особенно на площадках децентрализованных финансов – DeFi;
5. Поддельные сайты и приложения, на мой взгляд, самая большая проблема, которая включает в себя первые два пункта, но заслуживает отдельного упоминания. Как избежать – всегда проверяйте адреса сайтов, например официальный адрес сайта Metamask это – https://metamask.io/, а официальный адрес сайта биржи Pancakeswap – https://pancakeswap.finance/ ;
6. Бан токенов это новый уже реализовавшийся риск – компания Circle уже предупредила, что будет выполнять санкционные предписания правительства США. Как избежать – хранить средства в криптовалютах, а при использовании стейблкоинов распределять их в разных токенах и разных сетях.
7. Социальная инженерия – это отдельный вид мошенничества, когда преступники входят в доверие к жертве, например, представляются представителями Метамаска в телеграме и предлагают помощь. Как избежать – использовать только официальные каналы поддержки, у Метамаска это отдельный раздел на сайте и специальный аккаунт в Twitter.
Как безопасно использовать кошелек Метамаск
Не смотря на такое количество угроз, Метамаск остается надежным кошельком, хранящим приватные ключи на устройстве пользователя и как «платформа» еще ни разу не был скомпроментирован.
На мой взгляд, самым безопасным вариантом использования Metamask будет его использование с аппаратным кошельком (например Ledger), в этом случае Метамаск выступает внешним интерфейсом, а все приватные ключи хранятся на аппаратном кошельке, на нем же проходит подписание транзакций.
