کازینو رمزنگاری
دنده تورنت
چگونه برای محافظت از معاملات رمزنگاری از فیشینگ
فیشینگ علت اصلی تلفات در سرداب است. حملات دقیق تر شده اند: سایت های کیف پول جعلی، «drainers» در DApp، AirDrop جعلی، اشتراک در نوشتن بی پایان (تایید/اجازه)، کدهای QR جعلی و «مسمومیت آدرس». خبر خوب: نظم و انضباط عملیاتی ساده تقریبا به طور کامل این بردارها را پنهان می کند. در زیر یک سیستم عملی است که معاملات را قبل و بعد از کلیک روی «ارسال/ثبت» محافظت می کند.
1) سه نهنگ حفاظت: آدرس → شبکه امضا →
1. آدرس گیرنده: حداقل 4-6 کاراکتر اول و آخر را بررسی کنید، فقط از QR/جزئیات از حساب شخصی خود استفاده کنید و نه از چت/جستجو.
2. شبکه/دارایی: شبکه توکن (ERC-20/TRC-20/BEP-20/Arbitrum/Optimism/Solana/TON و غیره) باید در فرستنده و گیرنده یکسان باشد. برای XRP/XLM/BNB/EOS، یادداشت/برچسب را بررسی کنید.
3. امضا/معامله: دقیقا همان چیزی را که امضا می کنید بخوانید: «انتقال»، «تأیید»، «اجازه»، «setApprovalForAll»، «swap»، «bridge»، «mint». اگر متوجه نشدید، امضا نکنید.
2) بردارهای اصلی فیشینگ (و نحوه بستن آنها)
سایت های جعلی و دامنه های homograph. فقط از بوک مارک های خود کار کنید از تبلیغات و «پشتیبانی» در پیام رسان های فوری پیروی نکنید.
استایلرهای تخته یادداشت و جایگزینی QR QR را از صفحه رسمی اسکن کنید، کاراکترهای آدرس را بررسی کنید. هر گونه اختلاف یک لغو است.
به مسموميت رسيدگي کن آدرس ها را از تاریخچه صندوق ورودی خود کپی نکنید. استفاده از کتاب آدرس/لیست سفید.
اسکریپت های Drainer در DApp. هرگز بذر را در وب سایت ها وارد نکنید. قبل از امضای, ببینید چه حقوق درخواست DApp (محدودیت, رمز, مدت).
ایردراپ جعلی/NFT با NFT ها/لینک های هدیه ارتباط برقرار نکنید. هر دکمه «ادعا» خارج از منابع قابل اعتماد ممنوع است.
مهندسی اجتماعی (ایمیل، Telegram/Discord). پشتیبانی هرگز برای صادرات بذر/کلید خصوصی/کلید درخواست نمی کند. عبارت ضد فیشینگ در مبادلات باید گنجانده شود.
ادغام WalletConnect. نام DApp و دامنه را در درخواست جلسه بررسی کنید. اگر با سایت باز مطابقت ندارد، آن را رد کنید.
پل ها/شلوار. فقط از منابع رسمی استفاده کنید ؛ شبکه هدف و قرارداد توکن را بررسی کنید.
فاکتورهای رعد و برق/QR. فاکتور يک بار، براي چند دقيقه زندگي ميکنه. عقب افتاده - یک جدید ایجاد کنید، قدیمی را «تازه» نکنید.
3) کیف پول سخت افزاری و «تأیید روی صفحه»
یک کیف پول سخت افزاری به طور چشمگیری خطر ابتلا به فیشینگ را کاهش می دهد: داده های امضای واقعی را در دست شما نشان می دهد. عادت ها:- آدرس/مقدار/روش را روی صفحه دستگاه تأیید کنید.
- هرگز بذر را در یک کامپیوتر/تلفن/سایت وارد نکنید - فقط در دستگاه خود.
- برای مقادیر زیاد - سیاست «چهار چشم»: دوم شخص/دوم کلید در multisig.
4) امضای امن در شبکه های EVM (ETH، BSC، چند ضلعی و غیره)
تایید/مجوز:- فقط به توکن مورد نظر دسترسی داشته باشید، حداقل محدودیت را تعیین کنید، نه «∞».
- به صورت دوره ای مجوزهای قدیمی را از طریق خدمات قابل اعتماد لغو کیف پول/DApp لغو کنید.
- دستور EIP-2612/Permit2/Off-chain: متن را بخوانید. «امضای آزاد» می تواند دسترسی طولانی مدت به هزینه ها را فراهم کند.
- شبیه سازی تراکنش: از کیف پول/پسوندهایی استفاده کنید که نشان می دهد پس از اجرا چه چیزی تغییر خواهد کرد (توکن ها از/به کجا می روند).
5) مرورگر و بهداشت دستگاه
مشخصات مرورگر جداگانه برای رمزنگاری، حداقل پسوند.
به روز رسانی خودکار کیف پول - فقط از منابع رسمی ؛ امضای/هش ساخت دسکتاپ را بررسی کنید.
TOTP/U2F 2FA در مبادلات ؛ کدهای پشتیبان و کلید دوم را دانلود کنید.
عملیات بزرگ را در Wi-Fi عمومی انجام ندهید.
ثبت معاملات: تاریخ، شبکه، آدرس، مقدار، TxID.
6) بررسی لیست قبل از ارسال/امضای (1 دقیقه)
- آدرس از برنامه بوک مارک/رسمی گرفته شده است، اولین/آخرین 4-6 کاراکتر مطابقت دارد.
- شبکه/دارایی و (در صورت لزوم) یادداشت/برچسب بررسی شده است.
- من نوع عملیات را درک می کنم: «انتقال »/« تایید »/« اجازه »/« مبادله »/« پل».
- محدودیت مجوز محدود به مقدار معامله است، نه «∞».
- برای مقدار> $200 - تست معامله و اعتبار در انتظار.
- کیف پول سخت افزاری: آدرس/مبلغ/قرارداد در صفحه دستگاه تأیید شده است.
7) پروتکل برای فیشینگ مشکوک (اقدامات در دقیقه)
0-5 دقیقه:- بلافاصله اینترنت/پسوند را غیرفعال کنید، امضاهای بیشتر را متوقف کنید.
- در مبادلات - خروجی ها را متوقف کنید، رمزهای عبور را تغییر دهید، جلسات فعال را خاموش کنید.
- آخرین مجوز/مجوز را بررسی کنید و موارد مشکوک را فراخوانی کنید.
- انتقال دارایی ها از یک کیف پول آسیب پذیر به یک کیف پول تمیز (رفت و برگشت)، با نقدینگی ترین نشانه ها/سکه ها شروع می شود.
- TxID، تصاویر، سیاهههای مربوط را ذخیره کنید.
- کیف پول را در یک دستگاه تمیز با کلیدهای جدید نصب کنید.
- گزارش به خدمات که در آن دارایی های مهاجم (مبادلات/پل) می تواند باشد.
- تجزیه و تحلیل: لینک از کجا آمده است، چه کسی امضا را درخواست کرده است، چه افزونه هایی نصب شده اند.
8) پرچم های قرمز مکرر
فوریت و کمبود: «اکنون انجام دهید، در غیر این صورت پاداش/حساب را مسدود خواهیم کرد».
لطفا بذر/کلید خصوصی را وارد کنید «برای بررسی/فعال/airdrop».
عدم تطابق بین دامنه در WalletConnect و سایت عمومی وجود دارد.
درخواست «تأیید برای همه توکن ها» یا «نامحدود برای همیشه».
دکمه های جعلی «سرعت بالا/ادعا/تأیید» در سایت های کلون.
9) مینی سوالات متداول
آیا 4 کاراکتر آخر آدرس کافی است ؟ بهتر - اولین و آخرین 4-6: برخی از حملات همان «دم» را انتخاب می کنند.
آیا همیشه باید محدود شوم ؟ بله، داشتم. اجازه به «∞» مناسب برای یک مهاجم و drainers است.
هر چند وقت یک بار باید سر و صدا راه انداخت ؟ پس از هر جلسه با یک DApp جدید و به طور منظم برنامه ریزی شده (به عنوان مثال، یک بار در ماه).
آیا کیف پول سخت افزاری همه چیز را حل می کند ؟ این تا حد زیادی خطر را کاهش می دهد، اما در برابر امضای شما در یک عملیات مضر محافظت نمی کند - خواندن آنچه شما امضا می کنید.
آیا امکان «لغو» انتقال وجود دارد ؟ نه، اينطور نيست حداکثر - زمان لازم برای امضای یک عملیات مضر یا لغو حقوق قبل از نوشتن را نداشته باشید.
محافظت در برابر فیشینگ یک نرم افزار «ضد همه چیز» نیست، بلکه یک روش است: بوک مارک های شما، تأیید آدرس/شبکه، امضاهای خواندن، تأیید/مجوز محدود، کیف پول سخت افزاری، سر و صدای حقوق اضافی و ترجمه های آزمایشی. از این امر یک روال ایجاد کنید - و احتمال از دست دادن بودجه به دلیل فیشینگ از نظر آماری ناچیز خواهد بود، حتی اگر شما به طور فعال از DApp، پل ها و مبادلات استفاده کنید.