Kripto'da Tekrar Asla Kandırılmamak İçin Nasıl Yapılır
DİKKAT
Bu kılavuz hiçbir şeyi garanti altına almaz ve bir 'kripto veya siber güvenlik uzmanı' bakış açısıyla yazılmamıştır.
Bu, çeşitli kaynaklardan sürekli öğrenmenin ve kişisel deneyimin bir sonucudur.
Örneğin, kendim bu alana çok erken FOMO ve hırs yoluyla dolandırıldım (sahte canlı yayın dolandırıcılığı ve sahte MEV bot dolandırıcılığı), bu yüzden zaman ayırarak ciddi bir şekilde güvenlik öğrenmeyi, kurmayı ve anlamayı tercih ettim.
Her şeyini kaybettiğin veya acı veren büyük miktarda bir şey kaybettiğin için güvenlik hakkında öğrenmek zorunda kalan kişi olma.
HACK Mİ YOKSA KULLANICI HATASI MI?
Tüm cüzdan/token/NFT "hack" veya kompromis türleri geniş olarak iki kategoriye ayrılır:
Daha önce verilen jeton onaylarının kötüye kullanılması.
Özel anahtar/seed ifadesi tehlikede (genellikle sıcak bir cüzdan üzerinde).
TOKEN ONAYLARI
Token onayları, bir akıllı sözleşmenin cüzdanınızdan belirli bir tür veya miktarda jetonu erişmek ve taşımak için izin alması anlamına gelir.
Örneğin:
- OpenSea'nın NFT'nizi hareket ettirmesine izin vererek onu satabilirsiniz.
- Bir takas yapabilmeniz için Uniswap'e tokenlarınızı izin vermek.
\
Token onayları hakkında ek arka plan okumak isterseniz, bu konuyu buradan okuyabilirsiniz.
Ön bağlam için, aslında ETH HARİÇ Ethereum ağındaki her şey bir ERC-20 jetonudur.
ERC-20 jetonlarının özelliklerinden biri, diğer akıllı sözleşmelere onay izni verme yeteneğidir.
Bu onaylar, herhangi bir zaman noktasında takas veya köprü jetonları gibi temel DeFi etkileşimlerini yapmak istiyorsanız gereklidir.
NFT'ler sırasıyla ERC-721 ve 1155 jetonlarıdır; onay mekanizmaları ERC-20'ler için benzer şekilde çalışır, ancak NFT pazarları için.
MetaMask (MM) tarafından ilk jeton onayı uyarısı size birkaç bilgi parçası verir, ancak en önemlileri:
onay verdiğiniz token
etkileşimde olduğunuz web sitesi
etkileşimde bulunduğunuz akıllı sözleşme
token izin miktarını düzenleme yeteneği
Tam ayrıntıları açılır menüde başka bir bilgi parçası görüyoruz: onay fonksiyonu.
Tüm ERC-20 jetonları, ERC-20 standardında belirtilen belli özelliklere ve özelliklere sahip olmalıdır.
Bunlardan biri, akıllı sözleşmelerin onaylanan miktar üzerinden tokenları taşıma yeteneğidir.
Bu onaylarda tehlike, kötü niyetli bir akıllı sözleşmeye grant token izinleri verirseniz varlıklarınızın çalınması/tüketilmesi olabilir.
SINIRSIZ VS ÖZEL LİMİT ONAYLAMALARI (ERC-20 JETONLARI)
Birçok DeFi uygulaması, ERC20 tokeninin sınırsız onayını varsayılan olarak isteyecektir.
Bu, potansiyel gelecekteki onayları gerektirmediği için daha uygun olduğundan ve bu nedenle zaman ve gaz ücreti tasarrufu sağladığı için kullanıcı deneyimini geliştirmek için yapılmıştır.
NEDEN BU ÖNEMLİ?
Sınırsız miktarda jeton için onay vermek, fonlarınızı potansiyel olarak riske atar.
Token onayını manuel olarak belirli bir miktara düzenlemek, onaylanan dApp'ın daha büyük bir miktar için imzalanana kadar hareket edebileceği maksimum token miktarını belirler.
Bu, bu akıllı sözleşme istismar edildiğinde aşağı yönlü riskinizi sınırlar. Bir dApp'te sınırsız onaylar verdiğiniz bir istismar varsa, o zaman onay verilen o varlıkları tutan cüzdandan tüm bu onaylanan tokenleri kaybetme riski altındasınız.
GörüntüleMultichain WETH (WETH, ETH'nin bir ERC-20 jeton sarmalayıcısıdır) saldırısıörnek olarak.
Bu yaygın olarak kullanılan köprü, geçmişte sınırsız jeton izinlerini kötüye kullanarak kullanıcılardan fonları almak için istismar edildi.
Varsayılan Sınırsız onaylardan manuel onaylara geçişin (Zerion cüzdanı kullanarak örnek) bir örneği.
NFT ONAYLARI
NFT'ler için "setApprovalForAll"
Bu, NFT'nizi satmak istediğinizde genellikle güvenilir NFT pazar yerlerine verilen yaygın olarak kullanılan, ancak potansiyel olarak tehlikeli bir onaya işaret eder.
Bu, bir pazarın akıllı sözleşmesi aracılığıyla NFT'nin devredilebilmesine olanak tanır. Dolayısıyla bir NFT'yi bir alıcıya sattığınızda, o pazarın akıllı sözleşmesi NFT'yi otomatik olarak alıcıya taşıyabilir.
Bu onay, belirli bir koleksiyon/sözleşme adresinden tüm NFT jetonlarına erişim sağlar.
Bu aynı zamanda kötü niyetli web siteleri/sözleşmeler tarafından NFT'lerinizi çalmak için de kullanılabilir.
KÖTÜ NİYETLİ AKTÖRÜN 'SETAPPROVALFORALL'İ KÖTÜYE KULLANMASI ÖRNEĞİ
FOMO'suz bir mint durumu için klasik 'cüzdan boşaltma' şöyle gider:
Kullanıcı, yasal olduğuna inandığı kötü niyetli bir web sitesine gider.
Cüzdanlarını bir web sitesine bağladıklarında, web sitesi sadece cüzdanın içeriğini görebilir.
Ancak, bunu cüzdanı en yüksek değerli NFT'ler için tarayan ve bu NFT için kontrat adresi için MM'dan 'tümü için onay ayarla' çağrısı yapan bir araç olarak kullanıyorlar.
Kullanıcı, jetonları basıyor gibi görünse de, aslında kötü amaçlı sözleşmeye bu jetonların hareket etme iznini veriyor.
Dolandırıcı, ardından jetonları çalar ve öğe çalınmış olarak işaretlenmeden önce açık OS veya Blur tekliflerine dönüştürür.
İMZALAR VE ONAYLAR
Onaylar, bir işlemi işledikleri için GAZ gerektirir.
İmzalar gazsızdır ve ilgili cüzdanı kontrol ettiğinizi kanıtlamak için sık sık dApp'lara giriş yapmak için kullanılır.
İmzalar genellikle daha düşük riskli eylemlerdir, ancak OpenSea gibi güvenilir siteler için daha önce verilen onayları kötüye kullanmak için kullanılabilir.
Ayrıca (ERC-20'ler için), ETH'de izin fonksiyonlarının yakın zamanda tanıtılması nedeniyle gazsız bir imza ile onaylarınızın değiştirilmesi mümkündür.
Bunu, 1inch gibi bir DEX kullanırsanız görebilirsiniz.
Daha detaylı bir şekilde okumakburada.
JETON ONAYLAMALARI İPUÇLARI
Herhangi bir onay verirken dikkatli olun, hangi tokenlara ve hangi akıllı sözleşmeye onay verdiğinizi mutlaka bilin (etherscan'i kullanın).
Onaylara riskinizi sınırlayın:
- Birden fazla cüzdan kullanın (onaylar cüzdan özeldir) - kasadan/yüksek değerli cüzdandan onayları imzalamayın.
- ERC-20'ler için ideal olarak sınırsız onayları azaltmak veya tamamen önlemek.
- Etherscan veya revoke.cash aracılığıyla düzenli olarak izinleri kontrol edin ve iptal edin.
İptal etme.nakitKripto, farklı token onaylarını kolayca iptal etmenize olanak tanıyan bir web sitesidir.
DONANIM/Soğuk CÜZDANLAR
Sıcak cüzdanlar, anahtarlar/cüzdan kimlik bilgilerinin çevrimiçi olarak veya yerel olarak tarayıcınızda saklandığı internet aracılığıyla bilgisayarınıza veya telefonunuza bağlıdır.
Soğuk cüzdanlar, anahtarın tamamen çevrimdışı ve fiziksel olarak yanınızda üretildiği ve depolandığı donanım cihazlardır.
Bir defter ~$120 olduğu için, eğer 1000 doların üzerinde kripto varlığınız varsa muhtemelen bir Ledger satın almalı ve kurmalısınız. Ledger cüzdanlarınızı MM'ye bağlayabilirsiniz (ithal etmezsiniz) ve güvenliği korurken başka bir sıcak cüzdan gibi aynı işlevselliğe sahip olabilirsiniz.
Ledger ve Trezor en popüler olanlardır. Ben Ledger'ı seviyorum çünkü tarayıcı cüzdanlarıyla (Rabby ve MM'ye benzer) en uyumlu olanıdır.
LEDGER SATIN ALIRKEN EN İYİ UYGULAMALAR
Her zaman resmi üretici web sitesinden satın alın, Ebay veya Amazon'dan satın almayın = potansiyel olarak tehlikeli / önceden yüklenmiş kötü amaçlı yazılım.
Ürünü aldığınızda ambalajın kapalı olduğundan emin olun.
İlk kez defteri kurduğunuzda bir tohum cümlesi oluşturacaktır.
Yalnızca tohumu FİZİKSEL kağıda veya gelecekte çelik bir plakaya yazın, böylece tohum cümleniz ateşe ve suya dayanıklı olsun.
ASLA bir resim çekmeyin veya tohumu herhangi bir klavye şekline yazmayın (telefon dahil) bu, tohumu dijital hale getirir ve 'soğuk' cüzdanınız şimdi güvenli olmayan bir 'sıcak' cüzdana dönüşür.
Kripto tam olarak donanım cüzdanında depolanmaz, ancak tohum cümlesi tarafından oluşturulan cüzdanın "içinde" bulunur.
Tohum ifadesi (12-24 kelime) HER ŞEYDİR, her durumda korunmalı / güvence altına alınmalıdır.
Bu tohum ifadesi altında oluşturulan TÜM cüzdanlara tam kontrol / erişim sağlar.
Tohum cihaz özel değildir, gerektiğinde yedek olarak başka bir donanım cüzdanına "ithal edebilirsiniz".
Eğer tohum kaybedilirse/yok edilirse ve orijinal donanım cüzdanı kaybedilirse/yok edilirse/kilitlenirse = TÜM varlıklara KALICI olarak erişim kaybedilir.
Farklı seviyelerde tohum seviye depolama mevcuttur, örneğin parçalara bölme, parçalar arasında fiziksel mesafe eklemek, onu açık olmayan yerlerde saklamak (dondurucunun altında bir çorba kutusunda, mülkünüzün altında yeraltında vb.).
En azından 2-3 kopya bulunmalı, bunlardan biri suya ve ateşe karşı koruma için çelik üzerinde olmalıdır.
Bir “özel anahtar”, bir tohum cümlesi gibi ancak yalnızca 1 belirli cüzdan için kullanılır. Genellikle sıcak cüzdanları yeni bir MM hesabına veya ticaret botları gibi otomasyon araçlarına aktarmak için kullanılır.
25. KELİME - LEDGER
Orijinal 24 kelime tohumuna ek olarak, Ledger'ın isteğe bağlı ek bir güvenlik özelliği bulunmaktadır.
Gate.ioParola25. kelime olarak seçebileceğiniz, en fazla 100 karakterlik bir kelimeyi kurtarma ifadenize ekleyen gelişmiş bir özelliktir.
Bir Parola Kullanmak, yalnızca 24 kelimelik kurtarma ifadesi aracılığıyla erişilemeyen tamamen farklı bir adres setinin oluşturulmasına neden olur.
Parola, dayanılmaz durumlarda inkar edilebilirlik sağlar ve başka bir katman ekler.
Passphrase kullanılıyorsa, onu güvenli bir şekilde saklamak veya mükemmel bir şekilde hatırlamak, karakter karakter ve büyük/küçük harf duyarlı olmak anahtardır.
Bu, fiziksel olarak tehdit edildiğiniz "5 dolarlık ingiliz anahtarı saldırısı" durumlarına karşı tek ve son savunmadır.
BİR DONANIM CÜZDANINI KURMAK İÇİN BU TÜM SÜRTÜNMEYİ NEDEN YAŞASINIZ?
Sıcak cüzdanlar, özel anahtarları İnternet'e bağlı bir konumda depolar.
İnternet üzerinden bu kimlik bilgilerini açıklamak için aldatıcı bir şekilde kolayca kandırılabilir, aldatılabilir ve manipüle edilebilirsiniz.
Soğuk bir cüzdanınızın olması demek, bir dolandırıcının bu cüzdanları ve içlerindeki varlıkları erişmek için fiziksel olarak sizin ledger veya seed'inizi bulup alması gerektiği anlamına gelir.
Tohumun tehlikede olması = tüm sıcak cüzdanlar ve içinde bulunan varlıklar risk altında, hatta kötü niyetli site/sözleşim ile etkileşime girmemiş olanlar bile.
GEÇMIŞTE YAYGIN YOLLAR INSANLAR "SALDIRIYA UĞRADI"
İnsanların geçmişte yaygın olarak "hacked"(seed cümlesi tehlikesi) olarak adlandırılan yöntemlerle sıcak cüzdanlarından hacklendikleri yaygın yollar.
İş teklifi PDF'leri aracılığıyla kötü amaçlı yazılım indirme, oyunları "beta test etme", google tabloları aracılığıyla makroları çalıştırma, meşru siteler ve hizmetlerin taklidi yoluyla aldatma.
Kötü niyetli sözleşmelerle etkileşim: Bir taklit sitesinden FOMO üretme, bilinmeyen airdrop/alınan NFT'lerden sözleşmeyle etkileşim.
Anahtarları veya tohumları "müşteri desteği" veya ilgili bir program/forma eklemek veya göndermek.
YÜKSEK PROFİL 'HACK' ÖRNEKLERİ VE AYRIMI
Kevin Rose: Bir koleksiyon (sanat bloğu) oluşturmaya gitti, bir imza işlemi (gazsız) attı ve sadece mühür sitesine giriş yapacağını düşündü.
Ancak Seaport (yeni OpenSea pazarı sözleşmesi) size sadece bir imza ile kabul edebileceğiniz özel siparişler oluşturmanıza olanak tanır.
Kevin, varlıklarını OpenSea sözleşmesine zaten onaylamış olduğu için, hacker onu tüm pahalı NFT'lerini ücretsiz/~$1'e satmak için özel bir siparişi yerine getiren bir imza atmaya kandırdı.
Ana hatları:
Onaylar, daha önce verilen onaylardan yararlanılarak suiistimal edilebilir, hatta bu onay güvenilir bir kaynağa verilmiş olsa bile.
OpenSea (OS) onaylarını OS dışındaki web sitelerinde imzalamayın, “grail/main vault” cüzdanınız varsa sözleşmelerle veya web sitesiyle etkileşime geçmeyin, aracı bir cüzdana gönderin ve ardından etkileşime geçin.
NFT_GOD: MetaMask'ın hesap ekleme (hardware cüzdanı ekleme yerine) seçeneğini kullandı ve Ledger'ını kurarken MetaMask'ta tohum ifadesini yazdı.
Bu, soğuk cüzdanını sıcak bir cüzdana dönüştürdü - önceki altın kuralı hatırlayın, tohum ifadenizi asla dijital hale getirmemeniz gerektiği.
Daha sonra, görünüşe göre, Google arama sonuçlarının üstünde bir reklam olarak tanıtılan sahte bir OBS (kayıt yazılımı) olan ODS'i indirdiği belirtiliyor.
Bu kötü amaçlı bir yazılımdı, bu yüzden tohum cümlesini çaldı, ardından sıcak cüzdanlarındaki tüm varlıkları ve dolayısıyla soğuk cüzdanlarını da çaldı.
Anahtar nokta:
Seed ifadenizi asla herhangi bir şekilde ‘dijitalleştirmeyin’ = herhangi bir klavye (telefon da dahil olmak üzere) veya fotoğraf (otomatik yedekleme bulut hizmetlerine de zarar verebilir) kullanarak yazmayın.
Açıklama:
Bu makale şuradan tekrar basıldı [Kavrayıcı İçeriden], Orijinal Başlığı İllet'Bir Daha Kriptoda Nasıl Asla Sağlam Olunmaz', Tüm telif hakları orijinal yazara aittir [Kavrayıcı]. Bu yeniden basım konusunda itirazlarınız varsa, lütfen iletişime geçin.Gate Öğreninekip ve bunu hızlı bir şekilde halledecekler.
Sorumluluk Reddi: Bu makalede ifade edilen görüş ve görüşler yalnızca yazara aittir ve herhangi bir yatırım tavsiyesi teşkil etmez.
Makalenin diğer dillere çevirileri, Gate Learn ekibi tarafından yapılır. Belirtilmedikçe, çevrilen makalelerin kopyalanması, dağıtılması veya çalınması yasaktır.
İlgili makaleler
Gate.io Ödünç Ver ve Kazan Nedir ve Nasıl Çalışır?
ETH Nasıl Stake Edilir?
Kendi Araştırmanızı Nasıl Yaparsınız (DYOR)?
Kripto'da Tekrar Asla Kandırılmamak İçin Nasıl Yapılır
HACK YA DA KULLANICI HATASI?
SINIRSIZ VS ÖZEL LİMİT ONAYLARI (ERC-20 JETONLARI)
NEDEN BU ÖNEMLİ?
NFT ONAYLARI
"SETAPPROVALFORALL" ÖĞESINI KÖTÜYE KULLANAN KÖTÜ AMAÇLI AKTÖR ÖRNEĞI
İMZALAR VS ONAYLAR
JETON ONAYLARI ÇIKARIMLARI
DONANIM/SOĞUK CÜZDANLAR
LEDGER SATIN ALIRKEN EN IYI UYGULAMALAR
25. KELİME - LEDGER
DİKKAT
Bu kılavuz hiçbir şeyi garanti altına almaz ve bir 'kripto veya siber güvenlik uzmanı' bakış açısıyla yazılmamıştır.
Bu, çeşitli kaynaklardan sürekli öğrenmenin ve kişisel deneyimin bir sonucudur.
Örneğin, kendim bu alana çok erken FOMO ve hırs yoluyla dolandırıldım (sahte canlı yayın dolandırıcılığı ve sahte MEV bot dolandırıcılığı), bu yüzden zaman ayırarak ciddi bir şekilde güvenlik öğrenmeyi, kurmayı ve anlamayı tercih ettim.
Her şeyini kaybettiğin veya acı veren büyük miktarda bir şey kaybettiğin için güvenlik hakkında öğrenmek zorunda kalan kişi olma.
HACK Mİ YOKSA KULLANICI HATASI MI?
Tüm cüzdan/token/NFT "hack" veya kompromis türleri geniş olarak iki kategoriye ayrılır:
Daha önce verilen jeton onaylarının kötüye kullanılması.
Özel anahtar/seed ifadesi tehlikede (genellikle sıcak bir cüzdan üzerinde).
TOKEN ONAYLARI
Token onayları, bir akıllı sözleşmenin cüzdanınızdan belirli bir tür veya miktarda jetonu erişmek ve taşımak için izin alması anlamına gelir.
Örneğin:
- OpenSea'nın NFT'nizi hareket ettirmesine izin vererek onu satabilirsiniz.
- Bir takas yapabilmeniz için Uniswap'e tokenlarınızı izin vermek.
\
Token onayları hakkında ek arka plan okumak isterseniz, bu konuyu buradan okuyabilirsiniz.
Ön bağlam için, aslında ETH HARİÇ Ethereum ağındaki her şey bir ERC-20 jetonudur.
ERC-20 jetonlarının özelliklerinden biri, diğer akıllı sözleşmelere onay izni verme yeteneğidir.
Bu onaylar, herhangi bir zaman noktasında takas veya köprü jetonları gibi temel DeFi etkileşimlerini yapmak istiyorsanız gereklidir.
NFT'ler sırasıyla ERC-721 ve 1155 jetonlarıdır; onay mekanizmaları ERC-20'ler için benzer şekilde çalışır, ancak NFT pazarları için.
MetaMask (MM) tarafından ilk jeton onayı uyarısı size birkaç bilgi parçası verir, ancak en önemlileri:
onay verdiğiniz token
etkileşimde olduğunuz web sitesi
etkileşimde bulunduğunuz akıllı sözleşme
token izin miktarını düzenleme yeteneği
Tam ayrıntıları açılır menüde başka bir bilgi parçası görüyoruz: onay fonksiyonu.
Tüm ERC-20 jetonları, ERC-20 standardında belirtilen belli özelliklere ve özelliklere sahip olmalıdır.
Bunlardan biri, akıllı sözleşmelerin onaylanan miktar üzerinden tokenları taşıma yeteneğidir.
Bu onaylarda tehlike, kötü niyetli bir akıllı sözleşmeye grant token izinleri verirseniz varlıklarınızın çalınması/tüketilmesi olabilir.
SINIRSIZ VS ÖZEL LİMİT ONAYLAMALARI (ERC-20 JETONLARI)
Birçok DeFi uygulaması, ERC20 tokeninin sınırsız onayını varsayılan olarak isteyecektir.
Bu, potansiyel gelecekteki onayları gerektirmediği için daha uygun olduğundan ve bu nedenle zaman ve gaz ücreti tasarrufu sağladığı için kullanıcı deneyimini geliştirmek için yapılmıştır.
NEDEN BU ÖNEMLİ?
Sınırsız miktarda jeton için onay vermek, fonlarınızı potansiyel olarak riske atar.
Token onayını manuel olarak belirli bir miktara düzenlemek, onaylanan dApp'ın daha büyük bir miktar için imzalanana kadar hareket edebileceği maksimum token miktarını belirler.
Bu, bu akıllı sözleşme istismar edildiğinde aşağı yönlü riskinizi sınırlar. Bir dApp'te sınırsız onaylar verdiğiniz bir istismar varsa, o zaman onay verilen o varlıkları tutan cüzdandan tüm bu onaylanan tokenleri kaybetme riski altındasınız.
GörüntüleMultichain WETH (WETH, ETH'nin bir ERC-20 jeton sarmalayıcısıdır) saldırısıörnek olarak.
Bu yaygın olarak kullanılan köprü, geçmişte sınırsız jeton izinlerini kötüye kullanarak kullanıcılardan fonları almak için istismar edildi.
Varsayılan Sınırsız onaylardan manuel onaylara geçişin (Zerion cüzdanı kullanarak örnek) bir örneği.
NFT ONAYLARI
NFT'ler için "setApprovalForAll"
Bu, NFT'nizi satmak istediğinizde genellikle güvenilir NFT pazar yerlerine verilen yaygın olarak kullanılan, ancak potansiyel olarak tehlikeli bir onaya işaret eder.
Bu, bir pazarın akıllı sözleşmesi aracılığıyla NFT'nin devredilebilmesine olanak tanır. Dolayısıyla bir NFT'yi bir alıcıya sattığınızda, o pazarın akıllı sözleşmesi NFT'yi otomatik olarak alıcıya taşıyabilir.
Bu onay, belirli bir koleksiyon/sözleşme adresinden tüm NFT jetonlarına erişim sağlar.
Bu aynı zamanda kötü niyetli web siteleri/sözleşmeler tarafından NFT'lerinizi çalmak için de kullanılabilir.
KÖTÜ NİYETLİ AKTÖRÜN 'SETAPPROVALFORALL'İ KÖTÜYE KULLANMASI ÖRNEĞİ
FOMO'suz bir mint durumu için klasik 'cüzdan boşaltma' şöyle gider:
Kullanıcı, yasal olduğuna inandığı kötü niyetli bir web sitesine gider.
Cüzdanlarını bir web sitesine bağladıklarında, web sitesi sadece cüzdanın içeriğini görebilir.
Ancak, bunu cüzdanı en yüksek değerli NFT'ler için tarayan ve bu NFT için kontrat adresi için MM'dan 'tümü için onay ayarla' çağrısı yapan bir araç olarak kullanıyorlar.
Kullanıcı, jetonları basıyor gibi görünse de, aslında kötü amaçlı sözleşmeye bu jetonların hareket etme iznini veriyor.
Dolandırıcı, ardından jetonları çalar ve öğe çalınmış olarak işaretlenmeden önce açık OS veya Blur tekliflerine dönüştürür.
İMZALAR VE ONAYLAR
Onaylar, bir işlemi işledikleri için GAZ gerektirir.
İmzalar gazsızdır ve ilgili cüzdanı kontrol ettiğinizi kanıtlamak için sık sık dApp'lara giriş yapmak için kullanılır.
İmzalar genellikle daha düşük riskli eylemlerdir, ancak OpenSea gibi güvenilir siteler için daha önce verilen onayları kötüye kullanmak için kullanılabilir.
Ayrıca (ERC-20'ler için), ETH'de izin fonksiyonlarının yakın zamanda tanıtılması nedeniyle gazsız bir imza ile onaylarınızın değiştirilmesi mümkündür.
Bunu, 1inch gibi bir DEX kullanırsanız görebilirsiniz.
Daha detaylı bir şekilde okumakburada.
JETON ONAYLAMALARI İPUÇLARI
Herhangi bir onay verirken dikkatli olun, hangi tokenlara ve hangi akıllı sözleşmeye onay verdiğinizi mutlaka bilin (etherscan'i kullanın).
Onaylara riskinizi sınırlayın:
- Birden fazla cüzdan kullanın (onaylar cüzdan özeldir) - kasadan/yüksek değerli cüzdandan onayları imzalamayın.
- ERC-20'ler için ideal olarak sınırsız onayları azaltmak veya tamamen önlemek.
- Etherscan veya revoke.cash aracılığıyla düzenli olarak izinleri kontrol edin ve iptal edin.
İptal etme.nakitKripto, farklı token onaylarını kolayca iptal etmenize olanak tanıyan bir web sitesidir.
DONANIM/Soğuk CÜZDANLAR
Sıcak cüzdanlar, anahtarlar/cüzdan kimlik bilgilerinin çevrimiçi olarak veya yerel olarak tarayıcınızda saklandığı internet aracılığıyla bilgisayarınıza veya telefonunuza bağlıdır.
Soğuk cüzdanlar, anahtarın tamamen çevrimdışı ve fiziksel olarak yanınızda üretildiği ve depolandığı donanım cihazlardır.
Bir defter ~$120 olduğu için, eğer 1000 doların üzerinde kripto varlığınız varsa muhtemelen bir Ledger satın almalı ve kurmalısınız. Ledger cüzdanlarınızı MM'ye bağlayabilirsiniz (ithal etmezsiniz) ve güvenliği korurken başka bir sıcak cüzdan gibi aynı işlevselliğe sahip olabilirsiniz.
Ledger ve Trezor en popüler olanlardır. Ben Ledger'ı seviyorum çünkü tarayıcı cüzdanlarıyla (Rabby ve MM'ye benzer) en uyumlu olanıdır.
LEDGER SATIN ALIRKEN EN İYİ UYGULAMALAR
Her zaman resmi üretici web sitesinden satın alın, Ebay veya Amazon'dan satın almayın = potansiyel olarak tehlikeli / önceden yüklenmiş kötü amaçlı yazılım.
Ürünü aldığınızda ambalajın kapalı olduğundan emin olun.
İlk kez defteri kurduğunuzda bir tohum cümlesi oluşturacaktır.
Yalnızca tohumu FİZİKSEL kağıda veya gelecekte çelik bir plakaya yazın, böylece tohum cümleniz ateşe ve suya dayanıklı olsun.
ASLA bir resim çekmeyin veya tohumu herhangi bir klavye şekline yazmayın (telefon dahil) bu, tohumu dijital hale getirir ve 'soğuk' cüzdanınız şimdi güvenli olmayan bir 'sıcak' cüzdana dönüşür.
Kripto tam olarak donanım cüzdanında depolanmaz, ancak tohum cümlesi tarafından oluşturulan cüzdanın "içinde" bulunur.
Tohum ifadesi (12-24 kelime) HER ŞEYDİR, her durumda korunmalı / güvence altına alınmalıdır.
Bu tohum ifadesi altında oluşturulan TÜM cüzdanlara tam kontrol / erişim sağlar.
Tohum cihaz özel değildir, gerektiğinde yedek olarak başka bir donanım cüzdanına "ithal edebilirsiniz".
Eğer tohum kaybedilirse/yok edilirse ve orijinal donanım cüzdanı kaybedilirse/yok edilirse/kilitlenirse = TÜM varlıklara KALICI olarak erişim kaybedilir.
Farklı seviyelerde tohum seviye depolama mevcuttur, örneğin parçalara bölme, parçalar arasında fiziksel mesafe eklemek, onu açık olmayan yerlerde saklamak (dondurucunun altında bir çorba kutusunda, mülkünüzün altında yeraltında vb.).
En azından 2-3 kopya bulunmalı, bunlardan biri suya ve ateşe karşı koruma için çelik üzerinde olmalıdır.
Bir “özel anahtar”, bir tohum cümlesi gibi ancak yalnızca 1 belirli cüzdan için kullanılır. Genellikle sıcak cüzdanları yeni bir MM hesabına veya ticaret botları gibi otomasyon araçlarına aktarmak için kullanılır.
25. KELİME - LEDGER
Orijinal 24 kelime tohumuna ek olarak, Ledger'ın isteğe bağlı ek bir güvenlik özelliği bulunmaktadır.
Gate.ioParola25. kelime olarak seçebileceğiniz, en fazla 100 karakterlik bir kelimeyi kurtarma ifadenize ekleyen gelişmiş bir özelliktir.
Bir Parola Kullanmak, yalnızca 24 kelimelik kurtarma ifadesi aracılığıyla erişilemeyen tamamen farklı bir adres setinin oluşturulmasına neden olur.
Parola, dayanılmaz durumlarda inkar edilebilirlik sağlar ve başka bir katman ekler.
Passphrase kullanılıyorsa, onu güvenli bir şekilde saklamak veya mükemmel bir şekilde hatırlamak, karakter karakter ve büyük/küçük harf duyarlı olmak anahtardır.
Bu, fiziksel olarak tehdit edildiğiniz "5 dolarlık ingiliz anahtarı saldırısı" durumlarına karşı tek ve son savunmadır.
BİR DONANIM CÜZDANINI KURMAK İÇİN BU TÜM SÜRTÜNMEYİ NEDEN YAŞASINIZ?
Sıcak cüzdanlar, özel anahtarları İnternet'e bağlı bir konumda depolar.
İnternet üzerinden bu kimlik bilgilerini açıklamak için aldatıcı bir şekilde kolayca kandırılabilir, aldatılabilir ve manipüle edilebilirsiniz.
Soğuk bir cüzdanınızın olması demek, bir dolandırıcının bu cüzdanları ve içlerindeki varlıkları erişmek için fiziksel olarak sizin ledger veya seed'inizi bulup alması gerektiği anlamına gelir.
Tohumun tehlikede olması = tüm sıcak cüzdanlar ve içinde bulunan varlıklar risk altında, hatta kötü niyetli site/sözleşim ile etkileşime girmemiş olanlar bile.
GEÇMIŞTE YAYGIN YOLLAR INSANLAR "SALDIRIYA UĞRADI"
İnsanların geçmişte yaygın olarak "hacked"(seed cümlesi tehlikesi) olarak adlandırılan yöntemlerle sıcak cüzdanlarından hacklendikleri yaygın yollar.
İş teklifi PDF'leri aracılığıyla kötü amaçlı yazılım indirme, oyunları "beta test etme", google tabloları aracılığıyla makroları çalıştırma, meşru siteler ve hizmetlerin taklidi yoluyla aldatma.
Kötü niyetli sözleşmelerle etkileşim: Bir taklit sitesinden FOMO üretme, bilinmeyen airdrop/alınan NFT'lerden sözleşmeyle etkileşim.
Anahtarları veya tohumları "müşteri desteği" veya ilgili bir program/forma eklemek veya göndermek.
YÜKSEK PROFİL 'HACK' ÖRNEKLERİ VE AYRIMI
Kevin Rose: Bir koleksiyon (sanat bloğu) oluşturmaya gitti, bir imza işlemi (gazsız) attı ve sadece mühür sitesine giriş yapacağını düşündü.
Ancak Seaport (yeni OpenSea pazarı sözleşmesi) size sadece bir imza ile kabul edebileceğiniz özel siparişler oluşturmanıza olanak tanır.
Kevin, varlıklarını OpenSea sözleşmesine zaten onaylamış olduğu için, hacker onu tüm pahalı NFT'lerini ücretsiz/~$1'e satmak için özel bir siparişi yerine getiren bir imza atmaya kandırdı.
Ana hatları:
Onaylar, daha önce verilen onaylardan yararlanılarak suiistimal edilebilir, hatta bu onay güvenilir bir kaynağa verilmiş olsa bile.
OpenSea (OS) onaylarını OS dışındaki web sitelerinde imzalamayın, “grail/main vault” cüzdanınız varsa sözleşmelerle veya web sitesiyle etkileşime geçmeyin, aracı bir cüzdana gönderin ve ardından etkileşime geçin.
NFT_GOD: MetaMask'ın hesap ekleme (hardware cüzdanı ekleme yerine) seçeneğini kullandı ve Ledger'ını kurarken MetaMask'ta tohum ifadesini yazdı.
Bu, soğuk cüzdanını sıcak bir cüzdana dönüştürdü - önceki altın kuralı hatırlayın, tohum ifadenizi asla dijital hale getirmemeniz gerektiği.
Daha sonra, görünüşe göre, Google arama sonuçlarının üstünde bir reklam olarak tanıtılan sahte bir OBS (kayıt yazılımı) olan ODS'i indirdiği belirtiliyor.
Bu kötü amaçlı bir yazılımdı, bu yüzden tohum cümlesini çaldı, ardından sıcak cüzdanlarındaki tüm varlıkları ve dolayısıyla soğuk cüzdanlarını da çaldı.
Anahtar nokta:
Seed ifadenizi asla herhangi bir şekilde ‘dijitalleştirmeyin’ = herhangi bir klavye (telefon da dahil olmak üzere) veya fotoğraf (otomatik yedekleme bulut hizmetlerine de zarar verebilir) kullanarak yazmayın.
Açıklama:
Bu makale şuradan tekrar basıldı [Kavrayıcı İçeriden], Orijinal Başlığı İllet'Bir Daha Kriptoda Nasıl Asla Sağlam Olunmaz', Tüm telif hakları orijinal yazara aittir [Kavrayıcı]. Bu yeniden basım konusunda itirazlarınız varsa, lütfen iletişime geçin.Gate Öğreninekip ve bunu hızlı bir şekilde halledecekler.
Sorumluluk Reddi: Bu makalede ifade edilen görüş ve görüşler yalnızca yazara aittir ve herhangi bir yatırım tavsiyesi teşkil etmez.
Makalenin diğer dillere çevirileri, Gate Learn ekibi tarafından yapılır. Belirtilmedikçe, çevrilen makalelerin kopyalanması, dağıtılması veya çalınması yasaktır.
İlgili makaleler
Gate.io Ödünç Ver ve Kazan Nedir ve Nasıl Çalışır?
ETH Nasıl Stake Edilir?