Если вы не слышали последних новостей в криптосфере за последнюю неделю, то вы, вероятно, живете под скалой, потому что (к сожалению) все люди сосредоточились на ней. Около 4 часов утра по восточному стандартному времени 16 апреля 2018 года в середине прямой трансляции, криптовалютный инвестор, советник и самопровозглашенный «евангелист» Ян Балина едва не украл 2 миллиона долларов из своего кошелька ETH..

Он внезапно прекратил прямую трансляцию, написав в Твиттере следующее сообщение:

Ян Балина Hack Tweet

Трудно представить, как кто-то с миллионными активами так безрассудно хранил их. И самое страшное – это встречается чаще, чем вы думаете. В теперь удаленном сообщении Telegram Балина объяснила, почему, по его мнению, его взломали:

Вот так, я думаю, меня взломали. Электронная почта моего колледжа была указана как резервная электронная почта в моем Gmail. Я помню, как получил электронное письмо о том, что это было скомпрометировано, и попытался связаться с службой безопасности моего колледжа, чтобы решить эту проблему, но не смог быстро решить эту проблему [sic] и отказался от нее, думая, что это просто старый электронное письмо.

Я храню текстовые версии своих закрытых ключей в моем Evernote в виде зашифрованных текстовых файлов с паролями. Я думаю, они взломали мою электронную почту, используя электронную почту колледжа, а затем взломали мой Evernote.

Для тех, кто не совсем уверен, кто такой Ян Балина, он начал снимать видео на YouTube в начале 2017 года, обучая инвесторов «взламывать систему» ​​и получать шестизначный доход. Он стал известен только в последние шесть месяцев после того, как ему стало известно, что он Инвестиции в размере 90 000 долларов США в 4 миллиона долларов США менее чем за 12 месяцев – заявление, которое он подтвердил своими Снимки блочного портфолио, размещенные в Твиттере.

Нравится ему это или нет, но взлом Яна Балины – дорогой урок того, насколько важно обеспечивать безопасность вашей криптовалюты. Вот 4 основных вывода и напоминания о безопасности, с которыми HODLеры должны ознакомиться и внедрить в свой криптографический просмотр, инвестирование и хранение, чтобы свести к минимуму шансы быть взломанными (или подвергнуться критике в социальных сетях)..

1. Не выставляйте напоказ только потому, что вы это поняли

Точно так же, как обычный человек не ходит и выкрикивает данные своего банковского счета и сколько денег у него в кошельке в захудалом районе в 2 часа ночи, криптоинвесторы не должны публиковать свой крипто-портфель и активы в Интернете или лично..

Даже при участии в популярных онлайн-форумах, таких как BitcoinTalk или Reddit, конфиденциальность является ключевым фактором – просто спросите этого Redditor кто на самом деле разместил свои частные семена Siacoin в Интернете и получил урок по безопасности от счастливого друга Redditor.

Воздержание от трансляции финансовой информации в Интернете кажется очевидным советом, но его все же стоит повторить..

Вот лишь некоторые из последствий и рисков безопасности, к которым он открывает перед инвесторами:

  1. Целевые фишинговые атаки
  2. Программы-вымогатели
  3. Социальная инженерия
  4. Грабеж

Правильно, грабеж. Возьми это из этот тайваньский мужчина который показал доказательства своих биткойнов трем мошенникам, и в конечном итоге подвергся нападению и ограблению. Мошенники перевели 18 биткойнов на сумму более 170 000 долларов США с его счета (по телефону)..

Даже премьер-министр Исландии оказался невольным свидетелем побега мужчины. подозревается в краже около 600 компьютеров с биткойнами, что считается крупнейшим в Исландии ограблением.

Возможно, вы не хотите, чтобы вас упускали из виду, но вы также не хотите, чтобы вас слишком много смотрели. Не делай сам.

2. Используйте холодное хранилище, если вы храните в Интернете зарплату более 1 месяца.

Решая, стоит ли потратить 60–150 долларов на аппаратный кошелек, HODLers должны спросить себя, насколько они готовы потерять, если их пароли или данные для входа будут скомпрометированы..

Хранение закрытых ключей в Интернете и использование горячих кошельков управляемо и подходит для инвесторов, хранящих небольшие суммы в Интернете, в то время как холодное хранилище – хранение средств на автономном устройстве – и аппаратные кошельки должны использоваться инвесторами, имеющими зарплату более одного месяца на бирже..

Однако, если даже потеря недельной зарплаты из-за взлома может сильно повлиять на вас – финансово или эмоционально – тогда стоит потратить вкладку бара на тех выходных или часть денег, накопленных на неожиданное 90-летие вашей бабушки..

Балина допустила ошибку в хранилище и / или закрытых ключах из-за использования общей бесплатной программы облачного хранения и взлома электронной почты колледжа, что позволило хакерам взломать его текущую электронную почту и получить доступ к Evernote.

Хранение закрытого ключа или начального числа в Интернете не считается холодным хранилищем – в этом случае он считается горячим кошельком, поскольку он подключен к Интернету – и поставляется с многочисленные проблемы и уязвимости безопасности, связанные с горячими кошельками.

Если сомневаешься, остыть.

Обе Trezor и Ledger Nano два популярных и известных аппаратных кошелька для хранения средств. Просто помните, небольшие вложения в безопасность сейчас могут предотвратить Чарли Шрем – член-основатель Bitcoin Foundation – от того, чтобы заглянуть в будущее.

чарли шрем йен балина взломать твит

А если вам нужна мобильность вместе с холодным хранением, подумайте об использовании CoolWallet S, мобильный аппаратный кошелек, который поддерживает биткойны, Ethereum, Ripple, Litecoin и Bitcoin Cash (скоро появятся токены ERC-20).

Кроме того, бумажные кошельки – эффективное средство холодного хранения, если вы не поместите лист бумаги с семенем восстановления и PIN-кодом под подушку дочери перед полетом и нанять команду уборщиков, чтобы они убрали.

Для исчерпывающего обзора кошельков с криптовалютой, ознакомьтесь с нашим руководством по кошелькам с криптовалютой для новичков.

3. Остерегайтесь Punycode.

С тех пор, как за последние несколько лет произошел стремительный рост криптовалюты, фишинг стал предпочтительным методом для мошенников, желающих воспользоваться неосторожными HODLерами и тех, кто быстро прыгает на бесплатные раздачи криптовалюты – спасибо @VitarikBooterun из России, у которого есть 2 подписчика и нет изображения профиля ( это поддельный и полностью выдуманный дескриптор Twitter, но войдите в Twitter и найдите @VitalikButerin Твитнуть и принять к сведению).

Самая тревожная проблема, связанная с современными фишинговыми атаками, – это их сложность и эстетическая достоверность. Особенно для людей вроде меня, тех, кто технически должен носить очки для чтения, но его не убеждает его мать, которая говорит ему, что в них он выглядит красивее, – и вместо этого предпочитает прищуриться и поднести компьютер к лицу..

И я не единственный, кого обманули раньше.

Ранее в этом году выяснилось, что поддельная учетная запись Tron была подтверждена Twitter. Аккаунт собрал более 140000 подписчиков, разнося в Твиттере раздачи мошенников, когда пользователи отправляли небольшие суммы ETH на опубликованный адрес с обещанием получить взамен в 10 раз больше..  

Это еще не все. Фишинговые атаки становятся все более креативными. Хотя этот метод фишинга не использовался во взломе Balina, стоит обратить на него внимание: не ищите ничего, кроме «punycode».

поддельный binance фишинг punycode

Проще говоря, punycode – это специальное представление Юникод, позволяя хакерам преобразовывать символы в ASCII, меньший и ограниченный набор символов – подумайте о немецком языке. Например, Мюнхен по-немецки называется München..

Итак, как отличить законные веб-сайты от вредоносных?

  • Для начала найдите зеленый «https» и слово «Secure» слева от URL-адреса веб-сайта. Зеленый цвет означает, что веб-сайт получил необходимые сертификаты SSL и является законным..
  • Во-вторых, создание закладок для часто посещаемой веб-страницы – эффективное средство минимизации ошибок или орфографических ошибок..
  • Дважды проверьте, правильно ли введен URL, и доверяйте своей интуиции. Веб-сайт, на котором появляются всплывающие окна сразу после перехода на страницу, вероятно, не тот сайт, на котором можно торговать и хранить криптовалюту на тысячи долларов..

4. Двухфакторная аутентификация – ключ к успеху – один метод правит всем.

Резервное копирование криптографических учетных записей и логинов с помощью двухфакторной аутентификации, также известной как 2FA, является важным шагом в повышении безопасности портфеля. 2FA требует, чтобы пользователи вводили одноразовый пароль (OTP), предоставленный им через смартфон или приложение, чтобы завершить процесс входа в систему..

Однако пользователи, серьезно относящиеся к безопасности, должны воздержаться от использования SMS-аутентификации для 2FA и вместо этого использовать такие приложения, как Google Authenticator, или менее популярный Authy.

Исследователи и эксперты по безопасности давно предостерегают от использования текстовых сообщений в качестве меры безопасности при входе в систему, отмечая, что хакеры ранее организовывали крупномасштабные атаки, в которых они использовали известные недостатки в различных сотовых сетях для перехвата текстовых сообщений, отправленных пользователям..  

Преимущество Google Authenticator заключается в том, что он полагается на силу отсутствия необходимости взаимодействовать с оператором сотовой связи, сохраняя ограниченные по времени коды аутентификации в приложении (обычно в течение 30 секунд) и телефоне. Даже если хакер быстро перенесет номер телефона пользователя на новый телефон, код не изменится..     

При использовании Google Authenticator или других приложений 2FA важно создавать резервные копии закрытых ключей и безопасно хранить их – на случай, если вы сломаете или потеряете свой телефон..

Последние мысли

Хотя некоторые в криптосообществе не уверены, что Балина была действительно взломана – указав на несколько подозрительных обстоятельств и причин, по которым Балина могла иметь прямое участие в этом, – Балина с тех пор опровергла такие утверждения, заявив, что взлом был сейчас официально возбуждено уголовное дело.

Независимо от того, что произошло на самом деле, очевидно, что даже «опытные» держатели криптовалюты совершают вопиющие и очевидные ошибки безопасности..

Надеюсь, эта статья послужит напоминанием всем, что важно найти момент, чтобы переоценить, принимаете ли вы надлежащие меры предосторожности – какими бы простыми и элементарными они ни казались – для безопасной транзакции и хранения криптовалюты..

Связанный: Как обезопасить свои криптовалюты