Კრიპტო კაზინო
Torrent Gear
Როგორ დავიცვათ კრიპტო გარიგებები ფიშინგისგან
ფიშინგი საძირკველში დანაკარგების მთავარი მიზეზია. შეტევები უფრო ჭკვიანი გახდა: ყალბი საფულეების საიტები, DApp- ის „დრენერები“, ყალბი airdrop, გაუთავებელი გამოწერები (approve/permit), შეცვალა QR კოდები და „address poisoning“. კარგი ამბავი: მარტივი ოპერაციული დისციპლინა თითქმის მთლიანად ფარავს ამ ვექტორებს. ქვემოთ მოცემულია პრაქტიკული სისტემა, რომელიც იცავს გარიგებებს „Send/Sign“ დაჭერის წინ და მის შემდეგ.
1) სამი ვეშაპის დამცავი ვეშაპი
1. მიმღების მისამართი: შეამოწმეთ მინიმალური პირველი და ბოლო 4-6 სიმბოლოები, გამოიყენეთ მხოლოდ QR/დეტალები პირადი ანგარიშიდან, და არა ჩეთები/ძებნა.
2. ქსელი/აქტივი: ნიშნის ქსელი (ERC-20/TRC-20/BEP-20/Arbitrum/Optimism/Solana/TON და ა.შ.) უნდა ემთხვეოდეს გამგზავნსა და მიმღებს. XRP/XLM/BNB/EOS- ისთვის შეამოწმეთ Memo/Tag.
3. ხელმოწერა/გარიგება: წაიკითხეთ, რას აწერთ ხელს: 'transfer', 'approve', 'permit', 'SetrovalForall', 'swap', 'bridge', 'mint'. თუ არ გესმით, ხელი არ მოაწეროთ.
2) ფიშინგის ძირითადი ვექტორები (და როგორ დავხუროთ ისინი)
ყალბი საიტები და დომენები-ჰომოგრაფები. იმუშავეთ მხოლოდ საკუთარი სანიშნეებიდან; ნუ გადადებთ სარეკლამო განცხადებებს და მყისიერ მესინჯერებში „მხარდაჭერას“.
კლიპბორდის სტილერები და QR ჩანაცვლება. სკანირება QR ოფიციალური გვერდიდან, შეამოწმეთ მისამართის სიმბოლოები. ნებისმიერი შეუსაბამობა გაუქმებაა.
Address poisoning. არ დააკოპიროთ მისამართები შემავალი ისტორიიდან. გამოიყენეთ მისამართის წიგნი/ვაიტლისტი.
Drainer სკრიპტები DApp- ში. არასოდეს შემოიტანოთ seed საიტებზე. ხელმოწერამდე იხილეთ რა უფლებებს ითხოვს DApp (ლიმიტი, ნიშანი, ვადა).
ყალბი airdrop/NFT. ნუ ურთიერთობთ „საჩუქართან“ NFT/ბმულებთან. დადასტურებული წყაროების მიღმა ნებისმიერი კლაიმის ღილაკი აკრძალულია.
სოციალური ინჟინერია (ფოსტა, Telegram/Discord). Saport არასოდეს ითხოვს seed/პირადი გასაღების/გასაღების ექსპორტს. საფონდო ბირჟებში ანტიფიშინგის ფრაზა უნდა იყოს ჩართული.
ინტეგრაცია WalletConnect. შეამოწმეთ სახელი DApp და დომენი სესიის მოთხოვნით. თუ არ ემთხვევა ღია საიტს, გადახრა.
ხიდები/ხიდები. გამოიყენეთ მხოლოდ ოფიციალური; შეამოწმეთ სამიზნე ქსელი და ნიშნის კონტრაქტი.
Lightning/QR ინვოისები. ინვოისი ერთჯერადია, ცხოვრობს წუთი. ვადაგადაცილებული - შექმნათ ახალი, არ „განაახლოთ“ ძველი.
3) აპარატურის საფულე და „ეკრანზე დადასტურება“
აპარატურის საფულე მკვეთრად ამცირებს ფიშინგის რისკს: ის აჩვენებს რეალურ ხელმოწერებს თქვენს ხელში. ჩვევები:- დაადასტუროთ მისამართი/თანხა/მეთოდი მოწყობილობის ეკრანზე.
- არასოდეს შემოიტანოთ seed კომპიუტერზე/ტელეფონზე/საიტზე - მხოლოდ თავად მოწყობილობაზე.
- დიდი თანხებისთვის - „ოთხი თვალის“ პოლიტიკა: მეორე ადამიანი/მეორე გასაღები მულტიქსიგში.
4) უსაფრთხო ხელმოწერები EVM ქსელებში (ETH, BSC, Polygon და ა.შ.)
Approve/Permit:- მისცეს წვდომა მხოლოდ სასურველ დენზე, დააწესეთ მინიმალური ზღვარი და არა „“.
- პერიოდულად გაიხსენეთ ძველი ნებართვები საფულეების საიმედო საღეჭი სერვისების/DApp.
- ხელმოწერები გაზის გარეშე (EIP-2612/Permit2/Off-chain orders): წაიკითხეთ ტექსტი. „უფასო ხელმოწერას“ შეუძლია გრძელვადიანი წვდომა ხარჯებზე.
- გარიგების სიმულაცია: გამოიყენეთ საფულეები/გაფართოებები, რომლებიც აჩვენებს, რომ ის შეიცვლება შესრულების შემდეგ (სადაც ნიშნები დატოვებს).
5) ბრაუზერის ჰიგიენა და მოწყობილობა
ცალკეული ბრაუზერის პროფილი კრიპტისთვის, მინიმალური გაფართოებები.
საფულის განახლება მხოლოდ ოფიციალური წყაროებიდან არის; შეამოწმეთ ხელმოწერის/ჰეშის დესკტოპის ბილეთები.
2FA TOTP/U2F ბირჟებზე; ატვირთეთ სარეზერვო კოდები და მეორე გასაღები ნიშანი.
ნუ ჩაატარებთ დიდ ოპერაციებს საზოგადოებრივ Wi-Fi- ში.
მართეთ გარიგების ჟურნალი: თარიღი, ქსელი, მისამართი, თანხა, TxID.
6) ჩეკლისტი გაგზავნამდე/ხელმოწერამდე (1 წუთი)
- მისამართი აღებულია სანიშნედან/ოფიციალური აპლიკაციიდან, პირველი/ბოლო 4-6 სიმბოლო ემთხვევა.
- ქსელი/აქტივი და (საჭიროების შემთხვევაში) Memo/Tag შემოწმებულია.
- მესმის ოპერაციის ტიპი: 'transfer '/' approve '/' permit '/' swap '/' bridge'.
- ნებართვის ლიმიტი შემოიფარგლება გარიგების ოდენობით, არა „“.
- თანხისთვის> 200 აშშ დოლარი - ტესტის გარიგება და ჩარიცხვის მოლოდინი.
- აპარატის საფულე: მისამართი/თანხა/კონტრაქტი დადასტურებულია მოწყობილობის ეკრანზე.
7) პროტოკოლი ფიშინგის ეჭვის ქვეშ (მოქმედებები წუთში)
0-5 წუთი:- დაუყოვნებლივ გამორთეთ ინტერნეტი/გაფართოება, შეაჩერეთ შემდგომი ხელმოწერები.
- ბირჟებზე - გაყინეთ დასკვნები, შეცვალეთ პაროლები, გამორთეთ აქტიური სესიები.
- შეამოწმეთ უახლესი approve/permit და გაიხსენეთ საეჭვო.
- გადაიტანეთ აქტივები დაუცველი საფულედან სუფთა საფულეზე, დაიწყეთ ყველაზე თხევადი ნიშნით/მონეტებით.
- შეინახეთ TxID, skrins, logs.
- გადააკეთეთ საფულე სუფთა მოწყობილობაზე, ახალი კლავიშებით.
- აცნობეთ სერვისებს, სადაც შეიძლება აღმოჩნდეს თავდამსხმელის აქტივები (გაცვლა/ხიდები).
- გაანალიზეთ: საიდან მოვიდა ბმული, ვინ მოითხოვა ხელმოწერა, რა გაფართოებებია დადგენილი.
8) ხშირი „წითელი დროშები“
გადაუდებელი და დეფიციტი: „ახლა გააკეთეთ, წინააღმდეგ შემთხვევაში ჩვენ ვყინავთ ბონუსს/ანგარიშს“.
გთხოვთ შეიტანოთ seed/პირადი გასაღები „გადამოწმების/გააქტიურებისთვის/airdrop“.
დომენის შეუსაბამობა WalletConnect- ში და ღია ვებსაიტზე.
მოთხოვნა „approve ყველა ნიშნისთვის“ ან „სამუდამოდ“.
ყალბი ღილაკები „დაჩქარებული up/claim/verify“ კლონის საიტებზე.
9) მინი-FAQ
საკმარისია ბოლო 4 მისამართის სიმბოლო? უკეთესია - პირველი და ბოლო 4-6: ზოგიერთი შეტევა ირჩევს იმავე „კუდს“.
ყოველთვის აუცილებელია approve- ს შეზღუდვა? დიახ. „ჩამოსვლის“ ნებართვა მოსახერხებელია თავდამსხმელისთვის და დრენერებისთვის.
რამდენად ხშირად უნდა გააკეთოთ ჭრილობა? ახალი DApp- ის თითოეული სესიის შემდეგ და რეგულარულად გრაფიკით (მაგალითად, თვეში ერთხელ).
აპარატის საფულე წყვეტს ყველაფერს? ეს მნიშვნელოვნად ამცირებს რისკს, მაგრამ არ დაიცავს თქვენს ხელმოწერას მავნე ოპერაციაში - წაიკითხეთ რას აწერთ ხელს.
შესაძლებელია თარგმანის გაუქმება? არა. მაქსიმუმი არის დრო, რომ ხელი არ მოაწეროთ მავნე ოპერაციას ან ჩამოწერის უფლებებს.
ფიშინგისგან დაცვა არ არის „ანტი-ყველაფერი“ პროგრამული უზრუნველყოფა, არამედ პროცედურა: თქვენი სანიშნეები, მისამართის/ქსელის შერჩევა, ხელმოწერის კითხვა, შეზღუდული approve/permit, აპარატურის საფულე, ზედმეტი უფლებების ჭრა და ტესტის გადარიცხვა. გააკეთეთ ეს რუტინა - და ფიშინგის გამო სახსრების დაკარგვის შანსი სტატისტიკურად უმნიშვნელო გახდება, მაშინაც კი, თუ აქტიურად იყენებთ DApp- ს, ხიდებსა და ბირჟებს.