ISENÇÃO DE RESPONSABILIDADE

Este guia não pode garantir nada e não é escrito a partir da perspectiva de um “especialista em cripto ou cibersegurança.”

É a culminação de aprendizagem contínua de múltiplas fontes e experiência pessoal.

Por exemplo, eu mesmo fui enganado pela FOMO e ganância muito cedo (falso golpe de transmissão ao vivo e falso golpe de robô MEV) ao entrar neste espaço, então eu reservei um tempo para aprender seriamente, configurar e entender a segurança.

Não seja a pessoa que é forçada a aprender sobre segurança porque perdeu tudo ou uma quantia dolorosamente grande.

HACK OU ERRO DO UTILIZADOR?

Todos os tipos de "hacks" ou comprometimentos de carteira/token/NFT caem amplamente em uma de duas categorias:

1. Abuso de aprovações de tokens anteriormente concedidas.

2. Compromisso da chave privada/frase semente (geralmente em uma carteira quente).

APROVAÇÕES DE TOKENS

As aprovações de tokens são essencialmente uma permissão para um contrato inteligente aceder e mover um tipo ou quantidade específica de um token da sua carteira.

Por exemplo:

1. Dar permissão à OpenSea para mover o seu NFT para que possa vendê-lo.
2. Dar permissão à Uniswap para os seus tokens para que possa fazer uma troca. \
   \
   Se quiser ler mais sobre aprovações de tokens, podes ler este tópico aqui.

Para algum contexto prévio, basicamente tudo na rede Ethereum, EXCETO ETH, é um token ERC-20.

Uma das propriedades dos tokens ERC-20 é a capacidade de conceder permissões de aprovação a outros contratos inteligentes.

Essas aprovações são necessárias em algum momento se você quiser fazer interações básicas de DeFi, como trocar ou conectar tokens.

NFTs respectivamente são tokens ERC-721 e 1155; seus mecanismos de aprovação funcionam de forma semelhante aos ERC-20s, mas para os mercados de NFTs.

A mensagem inicial de aprovação de token do MetaMask (MM) fornece várias informações, mas as mais relevantes são:

• o token para o qual está a dar aprovação

• o site com o qual está a interagir

• o contrato inteligente com o qual está interagindo

• a capacidade de editar a quantidade de permissão de token

Sob o menu suspenso de detalhes completos, vemos uma peça adicional de informação: a função de aprovação.

Todos os tokens ERC-20 devem ter certas características e propriedades conforme descrito pelo padrão ERC-20.

Uma dessas é a capacidade dos contratos inteligentes de mover tokens com base no montante aprovado.

O perigo nestas aprovações é se você conceder permissões de tokens para um contrato inteligente malicioso, você poderia ter seus ativos roubados/drenados.

APROVAÇÕES DE LIMITES ILIMITADOS VS PERSONALIZADOS (TOKENS ERC-20)

Muitos aplicativos DeFi irão solicitar aprovação ilimitada do token ERC20 por padrão.

Isto é para melhorar a experiência do utilizador, pois é mais conveniente, uma vez que não requer aprovações futuras potenciais, poupando assim tempo e taxas de gás.

POR QUE ISSO IMPORTA?

Permitir uma aprovação para uma quantidade ilimitada de tokens potencialmente coloca seus fundos em risco.

A edição manual da aprovação do token para uma quantidade específica define a quantidade máxima de tokens que o dApp aprovado pode mover até que outra aprovação seja assinada para uma quantidade maior.

Isto limita o seu risco de queda se esse contrato inteligente for explorado. Se houver uma exploração em um dApp para o qual você concedeu aprovações ilimitadas, então você corre o risco de perder todos os tokens aprovados da carteira que detém esses ativos e concedeu essa aprovação.

Veja o Exploração Multichain WETH (WETH é um invólucro de token ERC-20 de ETH)como exemplo.

Esta ponte comumente usada foi explorada abusando das permissões ilimitadas de token passadas para tirar fundos dos utilizadores.

Um exemplo (usando a carteira Zerion) de mudar de aprovações ilimitadas padrão para aprovações manuais.

APROVAÇÕES NFT

"setApprovalForAll" para NFTs

Esta é uma aprovação comumente usada, mas potencialmente perigosa, geralmente concedida a marketplaces de NFT confiáveis quando você deseja vender seu NFT.

Isso permite que o NFT seja transferido pelo contrato inteligente do mercado. Assim, quando você vende um NFT para um comprador, o contrato inteligente do mercado pode mover automaticamente o NFT para o comprador.

Esta aprovação concede acesso a todos os tokens NFT de um endereço de coleção/contrato específico.

Isto também pode ser usado por websites/contratos maliciosos para roubar os seus NFTs.

EXEMPLO DE ACTOR MALICIOSO A ABUSAR DO "SETAPPROVALFORALL"

O clássico 'esvaziamento de carteira' para uma situação de mint sem FOMO é o seguinte:

O utilizador acede a um website malicioso que eles acreditam ser legítimo.

Quando eles conectam sua carteira a um site, o site só é capaz de ver o conteúdo da carteira.

No entanto, eles usam isso para escanear a carteira em busca dos NFTs de maior valor e solicitar uma 'aprovação para todos' do MM para o endereço do contrato deste NFT.

O utilizador pensa que está a criar moedas, mas na realidade está a dar aprovação ao contrato malicioso para mover essas moedas.

O scammer então rouba tokens e os liquida em lances abertos no OS ou no Blur antes que o item seja marcado como roubado.

ASSINATURAS VS APROVAÇÕES

As aprovações REQUEREM gás, pois estão a processar uma transação.

As assinaturas são sem gás e são frequentemente usadas para assinar dApps para provar que você controla essa carteira respectiva.

As assinaturas são geralmente ações de menor risco, mas ainda podem ser usadas para explorar aprovações previamente concedidas para sites confiáveis como o OpenSea.

Também é possível (para ERC-20s) modificar suas aprovações com uma assinatura sem gás devido às funções de permissão que foram introduzidas há pouco tempo no ETH.

Isto pode ser visto se usar uma DEX como 1inch.

Uma leitura mais detalhada dissoaqui.

CONCLUSÕES SOBRE APROVAÇÕES DE TOKENS

Tenha cuidado sempre que estiver dando aprovações para qualquer coisa, certifique-se de saber quais tokens está dando aprovação e para qual contrato inteligente (utilize etherscan).

Limita o seu risco às aprovações:

1. Utilize várias carteiras (as aprovações são específicas da carteira) – não assine aprovações para a sua carteira de cofre/alto valor.
2. Idealmente reduza ou evite completamente conceder aprovações ilimitadas para os ERC-20s.
3. Verifique e revogue aprovações periodicamente por meio do etherscan ou revoke.cash.

Revoke.cashé um site que permite revogar facilmente várias aprovações de tokens.

HARDWARE/COLD WALLETS

As carteiras quentes estão conectadas à internet através do seu computador ou telefone. As chaves/credenciais da carteira são armazenadas online ou localmente no seu navegador.

As cold wallets são dispositivos de hardware onde a chave é gerada e armazenada PURAMENTE offline e fisicamente perto de si.

Visto que um ledger custa cerca de $120, se tiver mais de $1000 em ativos de cripto, provavelmente deverá comprar e configurar um Ledger. Pode ligar (não importar) as suas carteiras do ledger à sua MM para ter a mesma funcionalidade de outra carteira quente, mantendo um nível de segurança.

Ledger e Trezor são os mais populares. Gosto do Ledger, pois é o mais compatível com carteiras de navegador (semelhantes ao Rabby e MM).

MELHORES PRÁTICAS AO COMPRAR UMA LEDGER

Sempre compre no site oficial do fabricante, NÃO compre no Ebay ou Amazon = potencialmente comprometido / malware pré-carregado.

Certifique-se de que a embalagem está selada quando receber o item.

Quando configurar o ledger pela primeira vez, ele gerará uma frase-semente.

APENAS escreva a semente em papel FÍSICO, ou em uma placa de aço em uma data futura, para que sua frase-semente seja à prova de fogo e à prova d'água.

NUNCA tire uma foto ou digite a semente em QUALQUER forma de teclado (incluindo o telefone) isso = digitalizar a semente e sua carteira “fria” agora é uma carteira “quente” insegura.

A cripto não está exatamente armazenada na carteira de hardware, mas sim “dentro” da carteira gerada pela frase-semente.

A frase-semente (12-24 palavras) é TUDO, ela deve ser protegida/segura a todo custo.

Dá controle/acesso total a TODAS as carteiras geradas sob essa frase-semente.

A semente não é específica do dispositivo, você pode "importá-la" para outra carteira de hardware como backup, se necessário.

Se a semente for perdida/destruída e a carteira de hardware original for perdida/destruída/bloqueada = perder o acesso a TODOS os seus ativos PERMANENTEMENTE.

Existem vários níveis de armazenamento de nível de semente, como dividir em várias partes, adicionar distância física entre as partes, armazená-lo em lugares não óbvios (uma lata de sopa no fundo do congelador, em algum lugar subterrâneo na sua propriedade, etc.)

No mínimo, você deve ter pelo menos 2-3 cópias, sendo uma delas em aço para proteger contra água e fogo.

Uma "chave privada" é como uma frase semente, mas apenas para 1 carteira específica. Geralmente é usada para importar carteiras quentes para uma nova conta MM ou em ferramentas de automação como robôs de negociação.

A 25ª PALAVRA - LEDGER

Além da semente original de 24 palavras, a Ledger possui um recurso adicional opcional de segurança.

O Passphraseé um recurso avançado que adiciona uma 25ª palavra de sua escolha, com um máximo de 100 caracteres, à sua frase de recuperação.

Usar uma Frase de Recuperação (Passphrase) causará a criação de um conjunto completamente diferente de endereços que não podem ser acessados apenas através da frase de recuperação de 24 palavras.

Além de adicionar outra camada, a Frase de Recuperação concede-lhe a negação plausível em caso de pressão.

Se estiver a utilizar uma frase de acesso, é essencial armazená-la de forma segura ou lembrar-se dela perfeitamente, caractere por caractere e sensível a maiúsculas e minúsculas.

Esta é a única e última defesa para situações de ataques com "chave de 5 dólares", onde você é ameaçado fisicamente.

POR QUE PASSAR POR TODA ESSA FRICÇÃO PARA CONFIGURAR UMA CARTEIRA DE HARDWARE?

As carteiras quentes armazenam as chaves privadas num local ligado à Internet.

É enganosamente fácil ser enganado, ludibriado e manipulado para revelar essas credenciais via Internet.

Ter uma carteira fria significa que um golpista precisaria fisicamente encontrar e pegar sua ledger ou semente para ter acesso a essas carteiras e aos ativos dentro delas.

Semente comprometida = todas as carteiras quentes e ativos dentro estão em risco, mesmo aqueles que não interagiram com o site/contrato malicioso.

FORMAS COMUNS NO PASSADO EM QUE AS PESSOAS FORAM 'HACKEADAS'

Formas comuns no passado em que as pessoas foram “hackeadas” (comprometimento de frase-semente) através de carteiras online.

1. Enganado ao baixar malware através de PDFs de ofertas de emprego, jogos de “teste beta”, execução de macros através de planilhas do google, imitação de sites e serviços legítimos.

2. Interagir com contratos maliciosos: FOMO minting de um site imitador, interagir com contrato de NFTs desconhecidos recebidos/airdropped.

3. Inserir ou enviar chaves e sementes para o "suporte ao cliente" ou um programa/formulário relacionado.

EXEMPLOS E ANALISE DE 'HACKS' DE ALTO PERFIL

Kevin Rose: Foi criar uma coleção (bloco de arte), assinou uma transação de assinatura (sem gás) pensando que estava apenas a fazer login no site de criação.

Mas o Seaport (novo contrato do mercado OpenSea) permite que você crie pedidos personalizados que podem ser aceitos com apenas uma assinatura.

Uma vez que Kevin já tinha concedido aprovações para os seus ativos ao contrato da OpenSea, o hacker enganou-o a assinar uma assinatura que cumpriu uma ordem personalizada para vender todos os NFTs caros de Kevin de graça/~$1 para o hacker.

Principais pontos a reter:

As assinaturas também podem ser abusadas se aproveitarem aprovações concedidas anteriormente, mesmo que essa aprovação tenha sido concedida a uma fonte confiável

Não assine aprovações OpenSea (OS) em sites que não sejam OS, não interaja com contratos ou sites se tiver uma carteira “grail/main vault”, envie-a para uma carteira intermediária e depois interaja

NFT_GOD: utilizou a opção de importação de conta (em oposição à opção de adicionar carteira de hardware) do MetaMask e digitou sua frase de segurança no MetaMask ao configurar sua ledger.

Isto efetivamente transformou a sua carteira fria numa carteira quente - lembre-se da regra de ouro anterior de nunca digitalizar a sua frase-chave.

Ele aparentemente baixou um OBS falso (software de gravação) chamado ODS, que estava sendo promovido como um anúncio no topo das pesquisas do Google.

Isto era malware, por isso roubou a frase semente, roubando todos os ativos nas suas carteiras quentes e, assim, também nas suas carteiras frias.

Principais pontos a reter:

NUNCA ‘digitalize’ sua frase-semente de forma alguma = digitando-a em qualquer tipo de teclado (também no celular) ou tirando uma foto (o backup automático para serviços de nuvem também comprometeu as pessoas.)

Declaração de exoneração de responsabilidade:

1. Este artigo foi republicado de [Insiders Perspicazes] Encaminhe o Título Original 'Como Nunca Mais Ser Enganado na Cripto', Todos os direitos autorais pertencem ao autor original [ESCLARECEDOR]. Se houver objeções a esta reimpressão, contacte o Gate Aprenderequipa e eles vão tratar disso prontamente.

2. Aviso de responsabilidade: As opiniões expressas neste artigo são exclusivamente do autor e não constituem qualquer conselho de investimento.

3. As traduções do artigo para outros idiomas são feitas pela equipe da Gate Learn. A menos que mencionado, copiar, distribuir ou plagiar os artigos traduzidos é proibido.