Безопасность Metamask: ТОП 6 советов чтобы Не Взломали кошелек

Metamask — это инновационный инструмент, который доступен как расширение для браузера и как мобильное приложение. Это больше, чем просто кошелек. Это портал в мир Ethereum.

Metamask — это криптовалютный кошелек и шлюз для приложений блокчейна, которому доверяют более 21 миллиона пользователей по всему миру. Этот инструмент позволяет пользователям и криптоэнтузиастам получать доступ к системе блокчейна Ethereum прямо с мобильного устройства или расширения веб-браузера. 

Он не только позволяет вам взаимодействовать с блокчейном Ethereum и его DApps. Но вы также можете изучить другие блокчейн-экосистемы на основе EVM, такие как BSC, Polygon, Harmony, Avalanche, Fantom и т. д.

 

Вы можете использовать его в качестве кошелька для хранения, отправки, обмена любых монет, токенов и NFT. И вы можете использовать его как портал для взаимодействия с децентрализованными приложениями и смарт-контрактами, построенными на Ethereum и других смарт-блокчейнах.

Metamask — это точка входа в Web 3.0, которая открывает вам мир DeFi, позволяя каждому пользователю легко получить доступ к следующему этапу эволюции сети. Мы твердо верим, что криптопространство получило больше преимуществ от Metamask, чем от любых других сервисов или инструментов.

Но проблема в том, что по мере экспоненциального роста популярности этого сервиса и пользователей он становится все более горячей мишенью для мошенников и фишинга. 

Они продолжают развиваться и придумывать новые методы обмана новичков. Если вы являетесь пользователем Metamask, вам необходимо быть в курсе о всех последних мошеннических и фишинговых атак, чтобы вы могли защитить свой Metamask от таких атак.

Итак, как защитить свой кошелек чтобы не украли деньги? Здесь, в этой статье, мы поделимся некоторыми основными советами по безопасности для пользователей Metamask. Прежде чем мы поделимся советами и настройками безопасности, давайте сначала разберемся, насколько безопасно расширение Metamask.

Насколько безопасен кошелек MetaMask?

Первоначально, когда вы настраиваете Metamask, вам предоставляется секретная фраза восстановления из 12 слов (seed фраза). Metamask использует BIP39 для генерации seed фразы для вашего кошелька. 

BIP39 — это стандарт, который большинство криптокошельков используют для случайной генерации seed фраз.

Эта случайно сгенерированная seed-фраза уникальна и служит для генерации адресов. Seed фраза охватывает все токены, транзакции и адреса, сгенерированные вашим кошельком. Думайте об этом как о главном резервном ключе для вашего Metamask.

Резервное копирование вашей seed-фразы необходимо, поскольку оно гарантирует, что у вас всегда будет доступ к вашим средствам. Так что запишите ее на бумаге и храните свою фразу восстановления в безопасном месте в автономном режиме, а не в Интернете. 

Помните, что любой, кто получит доступ к вашей секретной фразе восстановления, может полностью забрать токены из вашей учетной записи. Поэтому никогда и ни при каких обстоятельствах не делитесь seed-фразой ни с кем, даже с командой Metamask.

 

Metamask не контролирует вашу seed-фразу и не хранит ваши личные данные на своем сервере. Metamask — это клиентский кошелек, не связанный с хранением, в котором все зашифровано в вашем браузере и защищено паролем. 

Программное обеспечение с открытым исходным кодом использует настройки резервного копирования HD и не подвергалось серьезным взломам.

Однако вам нужно отметить, что Metamask — это горячий кошелек, то есть кошелек подключен к сети 24/7. Любые кошельки, которые остаются в сети, подвергаются большему риску, чем, скажем, холодные или аппаратные кошельки. Но проблема не в этом.

Защитите секретную фразу восстановления вашего кошелька

Большинство пользователей, которые сообщают, что их активы украдены из Metamask, пострадали не из-за безопасности Metamask. На самом деле расширение этого кошелька вполне безопасно и надежно. 

Причина, по которой кошелек большинства пользователей взламывают, а их активы крадут, в основном из-за их небрежности. Особенно новички, которые легко попадаются на уловки и фишинговые атаки. Они просто теряют или раскрывают свои seed-фразы от кошелька или приватные ключи мошенникам и теряют все свои активы.

Вы видите, что Metamask безопасен только в том случае, если вы можете защитить свою секретную seed-фразу из 12 слов и не посещать какие-либо фишинговые веб-сайты, которые могут украсть ваши приватные ключи. 

Metamask — это кошелек с самостоятельным хранением, и с такой большой популярностью возникает большая ответственность за защиту вашего кошелька и его активов. 

Вы, владелец кошелька, несете единоличную ответственность за защиту кошелька и его секретной фразы восстановления.

Секретная фраза восстановления, как следует из названия, должна храниться в секрете. Если хакер, мошенник или фишер с доступом к вашей seed фразе получит полный доступ к вашему кошельку, что позволит им перевести все ваши активы в свой кошелек. 

Так что будьте очень осторожны. Никогда и никому не сообщайте эту информацию, включая службу поддержки Metamask. Они никогда не попросят вас предоставить seed фразу в любой ситуации.

Вот официальные ссылки и страница поддержки Metamask:

• https://metamask.io/
• https://twitter.com/MetaMaskSupport
• https://twitter.com/MetaMask

Примечание. Команда безопасности Metamask занимается только мониторингом и устранением любой фишинговой инфраструктуры, установленной мошенниками. Кроме того, они делятся официальными обновлениями программного обеспечения. Вот и все! 

Помните, что только потому, что названии есть слово «Поддержка», служба поддержки Metamask не означает, что они могут помочь вам с вашей учетной записью. Так как Metamask – это кошелек с самостоятельным хранением, вы несете ответственность только за свои учетные записи. 

Поддержка MetaMask не может помочь вам восстановить вашу учетную запись или ее средства ни при каких обстоятельствах.

Теперь, помимо официальной поддержки, вы также столкнетесь со многими поддельными веб-сайтами, и поддельный Metamask поддерживает все, чтобы нацелиться на вашу фразу восстановления. 

Остерегайтесь распространенных мошеннических и фишинговых атак, нацеленных на пользователей Metamask. Никогда не разглашайте свою секретную фразу восстановления или приватные ключи.

Распространенные мошенничества и фишинговые атаки

Команда безопасности MetaMask знает обо всех распространенных мошенничествах и фишинговых уловках. Они постоянно отслеживают и уничтожают любую фишинговую инфраструктуру, установленную мошенниками, однако мошенники развиваются и продолжают менять свою тактику. Вот некоторые из распространенных мошенничеств и фишинговых атак, о которых вам нужно знать.

1. Поддельная поддержка

Одной из наиболее распространенных и успешных атак, нацеленных на пользователей Metamask, являются преступники, выдающие себя за сотрудников кошелька Metamask, службы поддержки или технической помощи, которые хотят, чтобы вы помогли им с «техническими проблемами Metamask».

Помните, что официальная команда Metamask никогда не спрашивает у вас ваши личные данные, и вы также никогда не должны делиться ими с кем-либо. Основная цель мошенников — ваша фраза для восстановления кошелька.

Каким-то образом новички попадаются на этот распространенный обман и выдают свою секретную фразу восстановления или приватные ключи.

Серьезно, перестаньте показывать свою seed-фразу «инспектору» кошелька.

2. Оповещение о фишинге по электронной почте

Вы видите, что metamask никогда не собирает информацию о вашем адресе электронной почты или личную информацию в любой ситуации. 

Но каким-то образом вы будете получать электронные письма якобы от Metamask. Это фишинговая кампания, организованная по электронной почте мошенниками, которые просят вас подтвердить кошелек в соответствии с правилами KYC.

We're aware of a recent email phishing campaign asking users to "verify" their wallet to comply with KYC regulations. This is a SCAM, please report as spam and delete it! pic.twitter.com/0yKifU7oLA

— MetaMask Support (@MetaMaskSupport) November 18, 2021

Они говорят, что неспособность пройти KYC заставит их закрыть вашу учетную запись Metamask. Это мошенничество! Не доверяйте никаким входящим электронным письмам и не переходите по их ссылкам.

Ссылка обычно приведет вас к документам Google, где вас попросят ввести seed-фразу вашего кошелька. Никогда не переходите по подозрительным ссылкам и никогда не вводите фразу восстановления в какие-либо онлайн-формы.

Phisher Alert!🎣🚨
MetaMask doesn't even collect your email address, so you can be sure that any email asking you to "verify your wallet" is a big ol' scam. pic.twitter.com/ROghLYClyy

— MetaMask 🦊💙 (@MetaMask) October 25, 2021

3. Поддельный веб-сайт NFT / ссылки для скачивания

Metamask является мишенью для фишинговых атак. Это самый распространенный способ украсть ваши учетные данные, заставив вас загрузить и установить вредоносную версию приложения.

Одна из распространенных тактик заключается в том, что фишеры покупают доменное имя, похожее на Metamask, и оформляют его так, чтобы оно выглядело очень похоже на исходный сайт. Некоторые продвинутые фишеры даже устанавливают SSL-сертификат на свой фишинговый сайт, чтобы он выглядел подлинным.

Существуют не только поддельные веб-сайты с Metamask, но также есть несколько поддельных веб-сайтов для создания NFT, которые похожи на оригинальный веб-сайт, например, OpenSea или Rarible.

Помните, что при просмотре пространства DeFi не используйте поисковые ссылки Google. Всегда сохраняйте доверенные URL-адреса в своем браузере и убедитесь, что вы взаимодействуете с правильным URL-адресом, прежде чем взаимодействовать с DApp и совершать какие-либо транзакции.

Примечание. По ошибке, если вы установили поддельное расширение/приложение Metamask или загрузили вредоносное программное обеспечение или кошелек, немедленно удалите его и очистите компьютер. 

Возможно, вы используете недействительную seed фразу (секретная фраза, сгенерированная для вас мошенником). Также не открывайте зараженный файл, документ, программное обеспечение, которые вы получили по электронной почте, в чате или в сообщении в социальных сетях. Это может заразить ваше устройство с помощью кейлоггера или вредоносного ПО, которое может украсть вашу seed фразу или приватные ключи (опять же, не храните эти данные на компьютере!!! Используйте бумажные носители).

4. Мошеннический аирдроп

Вот как работает мошеннический токен airdrop. Прежде всего, мошенник отправляет вам сообщение о том, что предлагает бесплатный токен (аирдроп).

Однако мошенники сразу заявят, что вас необходимо ввести информацию о вашем кошельке, включая секретную фразу восстановления. Большинство новичков думают, что аирдроп является законным, и вводят свою фразу восстановления в фишинговое программное обеспечение или на веб-сайт поддельного Metamask, в форму поддержки. 

Только отдав свою seed-фразу и потеряв все свои средства, они понимают, что это полная афера.

5. Поддельные раздачи токенов

Еще одно распространенное мошенничество — отправка вам поддельного токена. Вам отправили случайный токен на ваш адрес Metamask? Если вы подключили свой Metamask и взаимодействовали с большим количеством DApp, вы будете продолжать получать случайные токены и #NFTdrops на свой адрес. 

🚨Scam alert! 🎣
Learn about the latest phishing attack that is sweeping the block explorers and other wallets, and learn how MetaMask helps keep users safer from this attack. https://t.co/UICGGmcOC0

— MetaMask 🦊💙 (@MetaMask) September 26, 2021

Если так, то, вероятно, вы не должны их трогать. Злоумышленники создают поддельный токен, похожий на оригинальный, и отправляют его на адрес вашего кошелька.

Существует огромное количество токенов, и у MetaMask есть система автоматического обнаружения токенов. Он обнаруживает и принимает только самые популярные токены, которые соответствуют высокой планке доверия, и по умолчанию исключает неизвестные токены. 

Таким образом, пользователи не запутаются и не подвергнутся воздействию мошеннического токена фишинга.

Помните, что любой может создать любой токен. Мошенник может даже создать популярный токен ERC20, и обозреватели блоков по-прежнему будут отображать этот токен. Так что не доверяйте чужим токенам и не ищите  баланс токенов в обозревателе блоков (block explorer). Остерегайтесь вредоносных токенов и вредоносных смарт-контрактов.

6. Вредоносный смарт-контракт

Существует множество аирдропов с поддельными токенами, чтобы заявить, что веб-сайт запрашивает у вас неограниченное количество токенов (BEP20 или ERC20), которое устанавливает неограниченный лимит расходов, чтобы они могли украсть активы из кошелька пользователя.

Phishing alert ⚠️

There's a fake VERA / EVER token scam using an airdrop of tokens where the claim website asks for unlimited (BEP20) token allowance (Spend Limit) to steal user's funds.

Please, be extremely careful which sites/dapps you give permission to spend your tokens. ⚠️

— MetaMask Support (@MetaMaskSupport) August 12, 2021

Это еще одна распространенная афера. Поймите риски DeFi и, пожалуйста, будьте предельно осторожны с теми сайтами/децентрализованными приложениями, с которыми вы взаимодействуете, и не давайте разрешение на использование ваших токенов.

Кроме того, если ваш кошелек Metamask разблокирован, вы можете получить уведомление о фальшивой неудачной транзакции: на основе вашей последней транзакции вредоносное Dapp может произвести вам фальшивую транзакцию на ту же сумму, но на другой адрес, указав, что ваша последняя исходящая транзакция не удалась. 

Никогда не забывайте проверять все детали, прежде чем авторизовать какую-либо транзакцию в своем Metamask. Также обратите внимание, что входящая транзакция на ваш адрес Metamask не требует никаких действий.

Хорошо! Теперь давайте рассмотрим общие настройки и рекомендации по защите вашего кошелька Metamaskи.

Как защитить Metamask? Повышение безопасности

Как обезопасить или предотвратить взлом Metamask? Вот несколько общих советов и настроек для повышения безопасности вашего кошелька Metamask.

1. Для максимальной безопасности рассмотрите возможность запуска MetaMask в отдельном веб-браузере. Таким образом, вы можете создать разделение между действиями Metamask и вашими обычными действиями в Интернете.

2. Не входите в систему и не используйте Metamask с общедоступного Wi-Fi или общего компьютера.

3. Запишите свою фразу восстановления и сохраните ее в автономном режиме. Не делайте скриншот и никогда не храните резервную копию в сети. Также никогда и никому не сообщайте свою seed-фразу. Если они получат доступ к этой информации, они могут украсть все ваши активы.

Вот как сделать резервную копию seed-фразы, если вы не делали этого ранее. Откройте Metamask, разблокируйте, используя свой пароль, затем выпадающие учетные записи и нажмите «Настройки». Перейдите в настройки >> безопасность и конфиденциальность и нажмите «Показать секретную фразу восстановления». Вам будет предложено ввести пароль Metamask, чтобы открыть исходную фразу. Запишите фразу на бумаге и держите в безопасности в автономном режиме.

Примечание. Создание новой учетной записи не поможет, если ваша seed-фраза скомпрометирована. Потому что все учетные записи связаны с вашей фразой восстановления. Поэтому вам нужно настроить новый кошелек, создав новую seed-фразу.

4. Никогда не держите свой Metamask разблокированным. Разблокированный Metamask означает, что сайт будет знать адрес вашего кошелька, его баланс, его токены и всю историю ваших транзакций. Поэтому заблокируйте свой кошелек, когда Metamask не используется. Вот как заблокировать Metamask. Откройте Metamask >> раскрывающееся меню учетных записей и нажмите кнопку блокировки.

5. Имейте привычку регулярно очищать кеш браузера, файлы cookie и историю. Хотя бы раз в неделю. Также следите за расширениями браузера. Существуют определенные вредоносные программы, которые могут регистрировать вашу клавиатуру или делать снимок экрана без вашего ведома. Если вы обнаружите подозрительное расширение, удалите его из браузера.

6. Если вы давно не используете Metamask, то отключите его и удалите. Позже вы сможете восстановить его, используя фразу восстановления.

7. Время от времени запускайте антивредоносные и антивирусные программы, чтобы обнаруживать и удалять любые кейлоггеры или вредоносные программы с вашего компьютера.

8. Используйте надежный пароль для своего Metamask. Пароль должен состоять из 8-12 буквенно-цифровых символов, а также содержать 1 цифру и 1 букву.

9. Отключение от подозрительных веб-сайтов. Прежде всего, отключение никак не влияет на ваши монеты, находящиеся в стекинге. Также активные подключения позволяют сайту только считывать баланс и видеть, какие токены у вас есть в вашем кошельке. А владельцы сайтов могут использовать Etherscan для просмотра ваших последних входящих и исходящих транзакций. Вот и все! Кроме этого, подключение к сайту никак не повредит вашему кошельку.

В любом случае вам нужно найти мошеннические веб-сайты, к которым вы ранее разрешали подключение, и удалить все эти ненужные веб-сайты. Вот как это делается.

Откройте Metamask >> нажмите на три точки рядом с вашим адресом и выберите подключенные сайты. Он покажет список подключенных сайтов, которые могут просматривать адрес вашей учетной записи. Отключитесь от сайтов, которые вы больше не будете использовать.

10. Отмените неограниченные расходы. Ваш Metamask просто не может быть взломан путем простого подключения к вредоносному веб-сайту. Однако, если вы подключитесь к мошенническому веб-сайту и одобрите любую транзакцию, есть вероятность, что кошелек взломают.

Если вы ранее подключили и одобрили какую-либо транзакцию, вам необходимо отключиться и отозвать вредоносный смарт-контракт.

Авторизовав сайты и разрешив подписать смарт-контракт, вы, возможно, дали разрешение на доступ к неограниченным расходам. По сути, когда вы разрешаете контракт, вы даете разрешение делать с вашими монетами все, что владельцы сайта захотят.

Если вы подписали плохой контракт, конечно, вы могли бы разрешить неограниченные расходы, и веб-сайт мог бы полностью стереть ваш Metamask.

Неограниченные расходы могут быть только для конкретной монеты или для нескольких токенов, и это зависит от подписанного вами контракта. Используйте такие сайты, как https://revoke.cash/, чтобы отозвать неограниченные расходы на свой кошелек.

11. Наконец, используйте Metamask с аппаратным кошельком: если у вас есть большое количество ETH или токенов на ваших счетах, рассмотрите возможность приобретения аппаратного кошелька. Аппаратные кошельки, такие как Ledger и Trezor, считаются самым безопасным и надежным устройством для хранения вашего ETH и других токенов. Он подписывает все транзакции с помощью приватных ключей, которые безопасно хранятся в автономном режиме.

Также простое подключение аппаратного кошелька к Metamask не обеспечивает полной защиты ваших учетных записей. Вам все еще нужно держаться подальше от подписания плохого контракта.

Теперь давайте рассмотрим рекомендуемые настройки Metamask для дополнительной защиты вашего кошелька.

Рекомендуемые настройки Metamask

1. Кошелек с автоматической блокировкой — откройте Metamask >> настройки >> Таймер автоматической блокировки (минуты) и установите его < 5 минут.
2. Расширенные элементы управления газом — откройте Metamask >> настройки >> включите расширенные элементы управления газом, которые будут отображать цену газа и элементы управления ограничениями непосредственно на экранах отправки и подтверждения.
3. Отключить экспериментальные настройки — перейдите к настройкам Metamask и отключите все экспериментальные настройки. Экспериментальные настройки следует использовать на свой страх и риск. Для большинства пользователей эти настройки могут оставаться отключенными.
4. Включите обнаружение фишинга — откройте настройки Metamask >> перейдите в настройки и конфиденциальность >> включите обнаружение фишинга. Это отобразит предупреждение о фишинговых доменах, нацеленных на пользователей Ethereum.
5. Показать входящие транзакции — на той же странице настроек и конфиденциальности вы можете включить отображение входящих транзакций. Это будет использовать Etherscan для отображения входящих транзакций в списке транзакций.
6. Отключите MetaMetrics. Участие в MetaMetrics помогает сделать Metamask лучше. Вы можете отключить это в настройках и конфиденциальности.
7. Оповещения. Перейдите в настройки >> оповещения >> и включите все оповещения, которые вы найдете на странице оповещений.
8. Экспериментальные функции — снова перейдите в настройки >> вкладка «Экспериментальные функции» и отключите все экспериментальные функции.

Настройки мобильного кошелька

Для мобильного приложения все эти настройки можно найти на вкладке «Безопасность и конфиденциальность». Откройте свой Metamask, перейдите в настройки >> и нажмите «Безопасность и конфиденциальность». 

Здесь вы можете установить автоматическую блокировку таймера, включить режим конфиденциальности, отключить экспериментальные функции, очистить данные конфиденциальности, историю браузера и файлы cookie через определенные промежутки времени. 

Также вы можете выбрать предпочтительный метод входа в систему: идентификатор лица или пароль. Мы рекомендуем вам использовать пароль вместо распознавания лиц.

Вот и все! Со всеми этими настройками вы значительно улучшили безопасность своего кошелька Metamask. 

В любом случае, ваш Metamask может быть взломан, если вы останетесь небрежными. Поэтому помните о сайтах, к которым вы подключаетесь, и о контракте, который вы подписываете.

Если вы не уверены в DApp, просто держитесь подальше и ничего не подписывайте. Также не поддавайтесь на фишинговые аферы. Опытный пользователь Web3 требует высокого уровня личной ответственности.