Cómo nunca volver a ser estafado en Cripto de nuevo
RENUNCIA
Esta guía no puede garantizar nada y no está escrita desde la perspectiva de un "experto en cripto o ciberseguridad".
Es la culminación de un aprendizaje continuo de múltiples fuentes y experiencia personal.
Por ejemplo, yo mismo fui estafado por FOMO y avaricia muy temprano (estafa de transmisión en vivo falsa y estafa de bot de MEV falsa) al entrar en este espacio, así que me tomé el tiempo de aprender seriamente, configurar y entender la seguridad.
No seas la persona que se ve obligada a aprender sobre seguridad porque lo perdiste todo o una cantidad dolorosamente grande.
¿HACK O ERROR DEL USUARIO?
Todos los tipos de "hacks" o compromisos de billetera/token/NFT caen ampliamente en una de dos categorías:
Abuso de aprobaciones de tokens previamente otorgadas.
Compromiso de clave privada/frase semilla (generalmente en una billetera caliente).
APROBACIONES DE TOKENS
Las aprobaciones de token son esencialmente un permiso para que un contrato inteligente acceda y mueva un tipo o cantidad específica de un token desde su billetera.
Por ejemplo:
- Dando permiso a OpenSea para mover su NFT para que pueda venderlo.
- Dar permiso a Uniswap para tus tokens para que puedas hacer un intercambio. \
\
Si deseas realizar alguna lectura adicional sobre aprobaciones de tokens, puedes leer este hilo aquí.
Para un poco de precontexto, básicamente todo en la red Ethereum, EXCEPTO ETH, es un token ERC-20.
Una de las propiedades de los tokens ERC-20 es la capacidad de otorgar permisos de aprobación a otros contratos inteligentes.
Estas aprobaciones son necesarias en algún momento si alguna vez quieres hacer interacciones básicas de DeFi como intercambiar o enlazar tokens.
Los NFT respectivamente son tokens ERC-721 y 1155; sus mecanismos de aprobación funcionan de manera similar a los ERC-20 pero para los mercados de NFT.
La solicitud inicial de aprobación de tokens de MetaMask (MM) te proporciona varias piezas de información, pero la más relevante es:
el token para el que estás dando aprobación
el sitio web con el que estás interactuando
el contrato inteligente con el que estás interactuando
la capacidad de editar la cantidad de permiso de token
Bajo el desplegable de detalles completos, vemos una pieza adicional de información: la función de aprobación.
Todos los tokens ERC-20 deben tener ciertas características y propiedades como se indica en el estándar ERC-20.
Una de ellas es la capacidad de los contratos inteligentes para mover tokens basados en la cantidad aprobada.
El peligro en estas aprobaciones es si le otorga permisos de tokens a un contrato inteligente malicioso, podrían robar/drenar sus activos.
APROBACIONES DE LÍMITE PERSONALIZADO VS ILIMITADAS (FICHAS ERC-20)
Muchas aplicaciones DeFi solicitarán por defecto la aprobación ilimitada del token ERC20.
Esto es para mejorar la experiencia del usuario ya que es más conveniente al no requerir aprobaciones futuras potenciales, ahorrando así tiempo y tarifas de gas.
¿POR QUÉ IMPORTA ESTO?
Permitir una aprobación para una cantidad ilimitada de tokens potencialmente pone sus fondos en riesgo.
Editar manualmente la aprobación del token a una cantidad específica establece la cantidad máxima de tokens que la dApp aprobada puede mover hasta que se firme otra aprobación por una cantidad mayor.
Esto limita su riesgo a la baja si ese contrato inteligente es explotado. Si hay una explotación en una dApp para la que ha otorgado aprobaciones ilimitadas, entonces corre el riesgo de perder todos esos tokens aprobados de la billetera que tiene esos activos y otorgó esa aprobación.
Ver el Explotación de Multichain WETH (WETH es un envoltorio de token ERC-20 de ETH)como ejemplo.
Este puente comúnmente utilizado fue explotado abusando de los permisos ilimitados de tokens pasados para tomar fondos de los usuarios.
Un ejemplo (usando la billetera Zerion) de cambiar de las aprobaciones ilimitadas predeterminadas a las aprobaciones manuales.
APROBACIONES NFT
"setApprovalForAll" para NFTs
Esta es una aprobación comúnmente utilizada, pero potencialmente peligrosa, generalmente otorgada a los mercados de NFT de confianza cuando deseas vender tu NFT.
Esto permite que el NFT sea transferible por el contrato inteligente de un mercado. Por lo tanto, cuando vendes un NFT a un comprador, el contrato inteligente de ese mercado puede mover automáticamente el NFT al comprador.
Esta aprobación otorga acceso a todos los tokens NFT de una dirección de colección/contrato específica.
Esto también puede ser utilizado por sitios web/contratos maliciosos para robar tus NFTs.
EJEMPLO DE UN ACTOR MALICIOSO QUE ABUSA DE "SETAPPROVALFORALL"
El clásico 'vaciamiento de billetera' para una situación de minting libre de FOMO es así:
El usuario accede a un sitio web malicioso que cree que es legítimo.
Cuando conectan su billetera a un sitio web, el sitio web solo puede ver el contenido de la billetera.
Sin embargo, lo usan para escanear la billetera en busca de NFT de mayor valor y solicitar un 'set approval for all' de MM para la dirección del contrato de este NFT.
El usuario cree que está acuñando, pero en realidad está dando la aprobación al contrato malicioso para mover esos tokens.
El estafador luego roba tokens y los liquida en ofertas abiertas de OS o Blur antes de que el artículo sea marcado como robado.
FIRMAS VS APROBACIONES
Las aprobaciones REQUIEREN gas, ya que están procesando una transacción.
Las firmas son sin gas y se utilizan a menudo para iniciar sesión en dApps y demostrar que controlas la cartera respectiva.
Las firmas son acciones de menor riesgo en general, pero aún pueden ser utilizadas para aprovechar las aprobaciones previamente otorgadas para sitios de confianza como OpenSea.
También es posible (para los tokens ERC-20) que sus aprobaciones sean modificadas con una firma sin gas debido a que las funciones de permiso fueron introducidas recientemente en ETH.
Esto se puede ver si usas un DEX como 1inch.
Una lectura de esto con más detalleaquí.
CONCLUSIONES DE APROBACIONES DE TOKENS
Ten cuidado cada vez que des tu aprobación para cualquier cosa, asegúrate de saber para qué tokens estás dando tu aprobación y a qué contrato inteligente (utiliza etherscan).
Limita tu riesgo a las aprobaciones:
- Utiliza múltiples billeteras (las aprobaciones son específicas de cada billetera) - no firmes aprobaciones para tu bóveda/billetera de alto valor.
- Idealmente reducir o evitar por completo la concesión de aprobaciones ilimitadas para ERC-20s.
- Verifique y revoque las aprobaciones periódicamente a través de etherscan o revoke.cash.
Revoke.cashes un sitio web que te permite revocar fácilmente varias aprobaciones de tokens.
MONEDEROS DE HARDWARE/FRÍO
Las carteras calientes están conectadas a Internet a través de su computadora o teléfono. Las claves/credenciales de la billetera se almacenan en línea o localmente en su navegador.
Las carteras frías son dispositivos de hardware donde la clave se genera y se almacena PURAMENTE sin conexión y físicamente cerca de ti.
Dado que un ledger cuesta ~$120, si tienes $1000 o más en activos de cripto, probablemente deberías comprar y configurar un Ledger. Puedes conectar (no importar) tus monederos de ledger en tu MM para tener la misma funcionalidad que otro monedero en caliente manteniendo un nivel de seguridad.
Ledger y Trezor son los más populares. Me gusta Ledger ya que es el más compatible con billeteras de navegador (similar a Rabby y MM).
MEJORES PRÁCTICAS AL COMPRAR UN LEDGER
Siempre compre en el sitio web del fabricante oficial, NO compre en Ebay o Amazon = potencialmente comprometido / malware preinstalado.
Asegúrate de que el embalaje esté sellado cuando recibas el artículo.
Cuando configures el libro mayor por primera vez, generará una frase semilla.
SOLO escriba la semilla en papel FÍSICO, o en una placa de acero en una fecha futura para que su frase de semilla sea a prueba de fuego y agua.
NUNCA tome una foto ni escriba la semilla en ningún tipo de teclado (incluido el teléfono). Esto digitaliza la semilla y su billetera “fría” se convierte en una billetera “caliente” insegura.
La cripto no se almacena exactamente en la cartera de hardware, sino "dentro" de la cartera generada por la frase de semilla.
La frase semilla (12-24 palabras) lo es TODO, debe ser protegida/asegurada a toda costa.
Proporciona control/acceso total a TODAS las billeteras generadas bajo esa frase de semilla.
La semilla no es específica del dispositivo, puedes "importarla" en otra cartera de hardware como respaldo si es necesario.
Si se pierde/destruye la semilla y se pierde/destruye/bloquea la billetera de hardware original = perder el acceso a TODOS sus activos de forma PERMANENTE.
Existen varios niveles de almacenamiento de semillas, como dividirlas en varias partes, añadir distancia física entre las partes, almacenarlas en lugares poco obvios (una lata de sopa en el fondo del congelador, bajo tierra en algún lugar de tu propiedad, etc.).
Mínimamente deberías tener al menos 2-3 copias, una de las cuales debería estar en acero para protegerse contra el agua y el fuego.
Una “clave privada” es como una frase de semilla, pero sólo para una cartera específica. Por lo general, se utiliza para importar carteras calientes en una nueva cuenta de MM o en herramientas de automatización como robots de trading.
LA PALABRA 25 - LEDGER
Además de la semilla original de 24 palabras, Ledger tiene una característica de seguridad adicional opcional.
La Frase de contraseñaes una característica avanzada que agrega una 25ª palabra de su elección de hasta 100 caracteres a su frase de recuperación.
Usar una frase de contraseña causará la creación de un conjunto completamente diferente de direcciones a las que no se puede acceder solo con la frase de recuperación de 24 palabras.
Además de agregar otra capa, la Frase de contraseña te otorga una negación plausible cuando estás bajo presión.
Si usa una frase de contraseña, es clave almacenarla de forma segura o recordarla perfectamente, carácter por carácter y distingue entre mayúsculas y minúsculas.
Esta es la única y última defensa contra situaciones de ataque con "llave inglesa de 5 dólares" donde te amenazan físicamente.
¿POR QUÉ PASAR POR TODA ESTA FRIENCIÓN PARA CONFIGURAR UN MONEDERO DE HARDWARE?
Las billeteras calientes almacenan las claves privadas en una ubicación que está conectada a Internet.
Es engañosamente fácil ser engañado, engañado y manipulado para revelar estas credenciales a través de Internet.
Tener una billetera fría significa que un estafador necesitaría físicamente encontrar y tomar su libro mayor o semilla para tener acceso a esas billeteras y los activos que contienen.
Semilla comprometida = todas las billeteras calientes y los activos dentro están en riesgo, incluso aquellos que no han interactuado con el sitio/contrato malicioso.
FORMAS COMUNES EN EL PASADO EN LAS QUE LAS PERSONAS HAN SIDO “HACKEADAS”
Formas comunes en el pasado en que las personas han sido "hackeadas" (compromiso de frase semilla) a través de monederos calientes.
Engañado para descargar malware a través de PDF de ofertas de trabajo, juegos de "prueba beta", ejecución de macros a través de hojas de cálculo de Google, imitación de sitios y servicios legítimos.
Interactuar con contratos maliciosos: FOMO minting desde un sitio imitador, interactuar con un contrato desde NFTs airdrop/recebidos desconocidos.
Insertar o enviar claves y semillas a "servicio al cliente" o un programa/formulario relacionado.
EJEMPLOS Y DESGLOSE DE 'HACKS' DE ALTO PERFIL
Kevin Rose: Fui a acuñar una colección (art block), firmé una transacción de firma (sin gas) pensando que solo estaba iniciando sesión en el sitio de acuñación.
Pero Seaport (nuevo contrato de mercado de OpenSea) te permite crear pedidos personalizados que luego puedes aceptar con solo una firma.
Dado que Kevin ya había otorgado aprobaciones para sus activos al contrato de OpenSea, el hacker lo engañó para que firmara una firma que cumplía con un pedido personalizado para vender todos los NFTs caros de Kevin de forma gratuita/por ~$1 al hacker.
Puntos clave:
Las firmas también pueden ser abusadas si se aprovechan de aprobaciones previamente concedidas, incluso si esa aprobación fue concedida a una fuente confiable
No firme aprobaciones de OpenSea (OS) en sitios web que no sean OS, no interactúe con contratos o sitios web si tiene una billetera de "grail/main vault", envíelo a una billetera intermediaria y luego interactúe
NFT_GOD: utilizó la opción de importar cuenta (en lugar de agregar una billetera de hardware) de MetaMask y escribió su frase semilla en MetaMask al configurar su ledger.
Esto convirtió efectivamente su monedero frío en un monedero caliente: recuerde la regla de oro anterior de nunca digitalizar su frase semilla.
Luego aparentemente descargó un OBS falso (software de grabación) llamado ODS que se promocionaba como un anuncio en la parte superior de la búsqueda de Google.
Este era malware, por lo que robó la frase de semilla y luego robó todos los activos en sus billeteras calientes y también sus billeteras frías.
Punto clave:
NUNCA 'digitalice' su frase semilla de ninguna manera = escribiéndola en cualquier tipo de teclado (también en el teléfono) ni tomando una foto (la copia de seguridad automática en servicios en la nube también ha comprometido a algunas personas)
Renuncia:
Este artículo es reimpreso de [Información privilegiada perspicaz], Reenvíe el título original 'How To Never Get Rugged In Crypto Again', Todos los derechos de autor pertenecen al autor original [PERSPICAZ]. Si hay objeciones a esta reimpresión, póngase en contacto con el Aprendizaje de la puertael equipo y ellos lo resolverán rápidamente.
Descargo de responsabilidad por responsabilidad: Las opiniones y puntos de vista expresados en este artículo son únicamente del autor y no constituyen ningún consejo de inversión.
Las traducciones del artículo a otros idiomas son realizadas por el equipo de Gate Learn. A menos que se mencione, está prohibido copiar, distribuir o plagiar los artículos traducidos.
¿HACK O ERROR DEL USUARIO?
APROBACIONES SIN LÍMITE VS LÍMITE PERSONALIZADO (TOKENS ERC-20)
¿POR QUÉ ES IMPORTANTE?
APROBACIONES NFT
EJEMPLO DE ACTOR MALICIOSO ABUSANDO DE "SETAPPROVALFORALL"
FIRMAS VS APROBACIONES
CONCLUSIONES DE LAS APROBACIONES DE TOKEN
HARDWARE/COLD WALLETS
MEJORES PRÁCTICAS AL COMPRAR UN LEDGER
LA PALABRA 25 - LEDGER
Artículos relacionados
¿Qué es SegWit?
¿Cómo apostar ETH?
¿Cómo hacer su propia investigación (DYOR)?
Cómo nunca volver a ser estafado en Cripto de nuevo
¿HACK O ERROR DEL USUARIO?
APROBACIONES SIN LÍMITE VS LÍMITE PERSONALIZADO (TOKENS ERC-20)
¿POR QUÉ ES IMPORTANTE?
APROBACIONES NFT
EJEMPLO DE ACTOR MALICIOSO ABUSANDO DE "SETAPPROVALFORALL"
FIRMAS VS APROBACIONES
CONCLUSIONES DE LAS APROBACIONES DE TOKEN
HARDWARE/COLD WALLETS
MEJORES PRÁCTICAS AL COMPRAR UN LEDGER
LA PALABRA 25 - LEDGER
RENUNCIA
Esta guía no puede garantizar nada y no está escrita desde la perspectiva de un "experto en cripto o ciberseguridad".
Es la culminación de un aprendizaje continuo de múltiples fuentes y experiencia personal.
Por ejemplo, yo mismo fui estafado por FOMO y avaricia muy temprano (estafa de transmisión en vivo falsa y estafa de bot de MEV falsa) al entrar en este espacio, así que me tomé el tiempo de aprender seriamente, configurar y entender la seguridad.
No seas la persona que se ve obligada a aprender sobre seguridad porque lo perdiste todo o una cantidad dolorosamente grande.
¿HACK O ERROR DEL USUARIO?
Todos los tipos de "hacks" o compromisos de billetera/token/NFT caen ampliamente en una de dos categorías:
Abuso de aprobaciones de tokens previamente otorgadas.
Compromiso de clave privada/frase semilla (generalmente en una billetera caliente).
APROBACIONES DE TOKENS
Las aprobaciones de token son esencialmente un permiso para que un contrato inteligente acceda y mueva un tipo o cantidad específica de un token desde su billetera.
Por ejemplo:
- Dando permiso a OpenSea para mover su NFT para que pueda venderlo.
- Dar permiso a Uniswap para tus tokens para que puedas hacer un intercambio. \
\
Si deseas realizar alguna lectura adicional sobre aprobaciones de tokens, puedes leer este hilo aquí.
Para un poco de precontexto, básicamente todo en la red Ethereum, EXCEPTO ETH, es un token ERC-20.
Una de las propiedades de los tokens ERC-20 es la capacidad de otorgar permisos de aprobación a otros contratos inteligentes.
Estas aprobaciones son necesarias en algún momento si alguna vez quieres hacer interacciones básicas de DeFi como intercambiar o enlazar tokens.
Los NFT respectivamente son tokens ERC-721 y 1155; sus mecanismos de aprobación funcionan de manera similar a los ERC-20 pero para los mercados de NFT.
La solicitud inicial de aprobación de tokens de MetaMask (MM) te proporciona varias piezas de información, pero la más relevante es:
el token para el que estás dando aprobación
el sitio web con el que estás interactuando
el contrato inteligente con el que estás interactuando
la capacidad de editar la cantidad de permiso de token
Bajo el desplegable de detalles completos, vemos una pieza adicional de información: la función de aprobación.
Todos los tokens ERC-20 deben tener ciertas características y propiedades como se indica en el estándar ERC-20.
Una de ellas es la capacidad de los contratos inteligentes para mover tokens basados en la cantidad aprobada.
El peligro en estas aprobaciones es si le otorga permisos de tokens a un contrato inteligente malicioso, podrían robar/drenar sus activos.
APROBACIONES DE LÍMITE PERSONALIZADO VS ILIMITADAS (FICHAS ERC-20)
Muchas aplicaciones DeFi solicitarán por defecto la aprobación ilimitada del token ERC20.
Esto es para mejorar la experiencia del usuario ya que es más conveniente al no requerir aprobaciones futuras potenciales, ahorrando así tiempo y tarifas de gas.
¿POR QUÉ IMPORTA ESTO?
Permitir una aprobación para una cantidad ilimitada de tokens potencialmente pone sus fondos en riesgo.
Editar manualmente la aprobación del token a una cantidad específica establece la cantidad máxima de tokens que la dApp aprobada puede mover hasta que se firme otra aprobación por una cantidad mayor.
Esto limita su riesgo a la baja si ese contrato inteligente es explotado. Si hay una explotación en una dApp para la que ha otorgado aprobaciones ilimitadas, entonces corre el riesgo de perder todos esos tokens aprobados de la billetera que tiene esos activos y otorgó esa aprobación.
Ver el Explotación de Multichain WETH (WETH es un envoltorio de token ERC-20 de ETH)como ejemplo.
Este puente comúnmente utilizado fue explotado abusando de los permisos ilimitados de tokens pasados para tomar fondos de los usuarios.
Un ejemplo (usando la billetera Zerion) de cambiar de las aprobaciones ilimitadas predeterminadas a las aprobaciones manuales.
APROBACIONES NFT
"setApprovalForAll" para NFTs
Esta es una aprobación comúnmente utilizada, pero potencialmente peligrosa, generalmente otorgada a los mercados de NFT de confianza cuando deseas vender tu NFT.
Esto permite que el NFT sea transferible por el contrato inteligente de un mercado. Por lo tanto, cuando vendes un NFT a un comprador, el contrato inteligente de ese mercado puede mover automáticamente el NFT al comprador.
Esta aprobación otorga acceso a todos los tokens NFT de una dirección de colección/contrato específica.
Esto también puede ser utilizado por sitios web/contratos maliciosos para robar tus NFTs.
EJEMPLO DE UN ACTOR MALICIOSO QUE ABUSA DE "SETAPPROVALFORALL"
El clásico 'vaciamiento de billetera' para una situación de minting libre de FOMO es así:
El usuario accede a un sitio web malicioso que cree que es legítimo.
Cuando conectan su billetera a un sitio web, el sitio web solo puede ver el contenido de la billetera.
Sin embargo, lo usan para escanear la billetera en busca de NFT de mayor valor y solicitar un 'set approval for all' de MM para la dirección del contrato de este NFT.
El usuario cree que está acuñando, pero en realidad está dando la aprobación al contrato malicioso para mover esos tokens.
El estafador luego roba tokens y los liquida en ofertas abiertas de OS o Blur antes de que el artículo sea marcado como robado.
FIRMAS VS APROBACIONES
Las aprobaciones REQUIEREN gas, ya que están procesando una transacción.
Las firmas son sin gas y se utilizan a menudo para iniciar sesión en dApps y demostrar que controlas la cartera respectiva.
Las firmas son acciones de menor riesgo en general, pero aún pueden ser utilizadas para aprovechar las aprobaciones previamente otorgadas para sitios de confianza como OpenSea.
También es posible (para los tokens ERC-20) que sus aprobaciones sean modificadas con una firma sin gas debido a que las funciones de permiso fueron introducidas recientemente en ETH.
Esto se puede ver si usas un DEX como 1inch.
Una lectura de esto con más detalleaquí.
CONCLUSIONES DE APROBACIONES DE TOKENS
Ten cuidado cada vez que des tu aprobación para cualquier cosa, asegúrate de saber para qué tokens estás dando tu aprobación y a qué contrato inteligente (utiliza etherscan).
Limita tu riesgo a las aprobaciones:
- Utiliza múltiples billeteras (las aprobaciones son específicas de cada billetera) - no firmes aprobaciones para tu bóveda/billetera de alto valor.
- Idealmente reducir o evitar por completo la concesión de aprobaciones ilimitadas para ERC-20s.
- Verifique y revoque las aprobaciones periódicamente a través de etherscan o revoke.cash.
Revoke.cashes un sitio web que te permite revocar fácilmente varias aprobaciones de tokens.
MONEDEROS DE HARDWARE/FRÍO
Las carteras calientes están conectadas a Internet a través de su computadora o teléfono. Las claves/credenciales de la billetera se almacenan en línea o localmente en su navegador.
Las carteras frías son dispositivos de hardware donde la clave se genera y se almacena PURAMENTE sin conexión y físicamente cerca de ti.
Dado que un ledger cuesta ~$120, si tienes $1000 o más en activos de cripto, probablemente deberías comprar y configurar un Ledger. Puedes conectar (no importar) tus monederos de ledger en tu MM para tener la misma funcionalidad que otro monedero en caliente manteniendo un nivel de seguridad.
Ledger y Trezor son los más populares. Me gusta Ledger ya que es el más compatible con billeteras de navegador (similar a Rabby y MM).
MEJORES PRÁCTICAS AL COMPRAR UN LEDGER
Siempre compre en el sitio web del fabricante oficial, NO compre en Ebay o Amazon = potencialmente comprometido / malware preinstalado.
Asegúrate de que el embalaje esté sellado cuando recibas el artículo.
Cuando configures el libro mayor por primera vez, generará una frase semilla.
SOLO escriba la semilla en papel FÍSICO, o en una placa de acero en una fecha futura para que su frase de semilla sea a prueba de fuego y agua.
NUNCA tome una foto ni escriba la semilla en ningún tipo de teclado (incluido el teléfono). Esto digitaliza la semilla y su billetera “fría” se convierte en una billetera “caliente” insegura.
La cripto no se almacena exactamente en la cartera de hardware, sino "dentro" de la cartera generada por la frase de semilla.
La frase semilla (12-24 palabras) lo es TODO, debe ser protegida/asegurada a toda costa.
Proporciona control/acceso total a TODAS las billeteras generadas bajo esa frase de semilla.
La semilla no es específica del dispositivo, puedes "importarla" en otra cartera de hardware como respaldo si es necesario.
Si se pierde/destruye la semilla y se pierde/destruye/bloquea la billetera de hardware original = perder el acceso a TODOS sus activos de forma PERMANENTE.
Existen varios niveles de almacenamiento de semillas, como dividirlas en varias partes, añadir distancia física entre las partes, almacenarlas en lugares poco obvios (una lata de sopa en el fondo del congelador, bajo tierra en algún lugar de tu propiedad, etc.).
Mínimamente deberías tener al menos 2-3 copias, una de las cuales debería estar en acero para protegerse contra el agua y el fuego.
Una “clave privada” es como una frase de semilla, pero sólo para una cartera específica. Por lo general, se utiliza para importar carteras calientes en una nueva cuenta de MM o en herramientas de automatización como robots de trading.
LA PALABRA 25 - LEDGER
Además de la semilla original de 24 palabras, Ledger tiene una característica de seguridad adicional opcional.
La Frase de contraseñaes una característica avanzada que agrega una 25ª palabra de su elección de hasta 100 caracteres a su frase de recuperación.
Usar una frase de contraseña causará la creación de un conjunto completamente diferente de direcciones a las que no se puede acceder solo con la frase de recuperación de 24 palabras.
Además de agregar otra capa, la Frase de contraseña te otorga una negación plausible cuando estás bajo presión.
Si usa una frase de contraseña, es clave almacenarla de forma segura o recordarla perfectamente, carácter por carácter y distingue entre mayúsculas y minúsculas.
Esta es la única y última defensa contra situaciones de ataque con "llave inglesa de 5 dólares" donde te amenazan físicamente.
¿POR QUÉ PASAR POR TODA ESTA FRIENCIÓN PARA CONFIGURAR UN MONEDERO DE HARDWARE?
Las billeteras calientes almacenan las claves privadas en una ubicación que está conectada a Internet.
Es engañosamente fácil ser engañado, engañado y manipulado para revelar estas credenciales a través de Internet.
Tener una billetera fría significa que un estafador necesitaría físicamente encontrar y tomar su libro mayor o semilla para tener acceso a esas billeteras y los activos que contienen.
Semilla comprometida = todas las billeteras calientes y los activos dentro están en riesgo, incluso aquellos que no han interactuado con el sitio/contrato malicioso.
FORMAS COMUNES EN EL PASADO EN LAS QUE LAS PERSONAS HAN SIDO “HACKEADAS”
Formas comunes en el pasado en que las personas han sido "hackeadas" (compromiso de frase semilla) a través de monederos calientes.
Engañado para descargar malware a través de PDF de ofertas de trabajo, juegos de "prueba beta", ejecución de macros a través de hojas de cálculo de Google, imitación de sitios y servicios legítimos.
Interactuar con contratos maliciosos: FOMO minting desde un sitio imitador, interactuar con un contrato desde NFTs airdrop/recebidos desconocidos.
Insertar o enviar claves y semillas a "servicio al cliente" o un programa/formulario relacionado.
EJEMPLOS Y DESGLOSE DE 'HACKS' DE ALTO PERFIL
Kevin Rose: Fui a acuñar una colección (art block), firmé una transacción de firma (sin gas) pensando que solo estaba iniciando sesión en el sitio de acuñación.
Pero Seaport (nuevo contrato de mercado de OpenSea) te permite crear pedidos personalizados que luego puedes aceptar con solo una firma.
Dado que Kevin ya había otorgado aprobaciones para sus activos al contrato de OpenSea, el hacker lo engañó para que firmara una firma que cumplía con un pedido personalizado para vender todos los NFTs caros de Kevin de forma gratuita/por ~$1 al hacker.
Puntos clave:
Las firmas también pueden ser abusadas si se aprovechan de aprobaciones previamente concedidas, incluso si esa aprobación fue concedida a una fuente confiable
No firme aprobaciones de OpenSea (OS) en sitios web que no sean OS, no interactúe con contratos o sitios web si tiene una billetera de "grail/main vault", envíelo a una billetera intermediaria y luego interactúe
NFT_GOD: utilizó la opción de importar cuenta (en lugar de agregar una billetera de hardware) de MetaMask y escribió su frase semilla en MetaMask al configurar su ledger.
Esto convirtió efectivamente su monedero frío en un monedero caliente: recuerde la regla de oro anterior de nunca digitalizar su frase semilla.
Luego aparentemente descargó un OBS falso (software de grabación) llamado ODS que se promocionaba como un anuncio en la parte superior de la búsqueda de Google.
Este era malware, por lo que robó la frase de semilla y luego robó todos los activos en sus billeteras calientes y también sus billeteras frías.
Punto clave:
NUNCA 'digitalice' su frase semilla de ninguna manera = escribiéndola en cualquier tipo de teclado (también en el teléfono) ni tomando una foto (la copia de seguridad automática en servicios en la nube también ha comprometido a algunas personas)
Renuncia:
Este artículo es reimpreso de [Información privilegiada perspicaz], Reenvíe el título original 'How To Never Get Rugged In Crypto Again', Todos los derechos de autor pertenecen al autor original [PERSPICAZ]. Si hay objeciones a esta reimpresión, póngase en contacto con el Aprendizaje de la puertael equipo y ellos lo resolverán rápidamente.
Descargo de responsabilidad por responsabilidad: Las opiniones y puntos de vista expresados en este artículo son únicamente del autor y no constituyen ningún consejo de inversión.
Las traducciones del artículo a otros idiomas son realizadas por el equipo de Gate Learn. A menos que se mencione, está prohibido copiar, distribuir o plagiar los artículos traducidos.
Artículos relacionados
¿Qué es SegWit?
¿Cómo apostar ETH?