امنیت وب‌سه

از وب‌یک تا وب‌سه

اکثر آدما فکر میکنن اینترنت از اول این شکلی بوده ولی باید بگم که خیــــــــــلی تغییرات داشته و پیشرفت کرده تا بشه اینترنتی که امروز استفاده میکنیم و خب راستش این تازه شروع ماجراس!
متمرکزسازی امکان حضور میلیون ها نفر در اینترنت رو فراهم کرده و زیرساخت پایدار و مستحکمی رو شکل داده و نقش خیلی مهمی برای پیشرفت شبکه جهانی وب داشته. کنترل قسمت‌های زیادی از اینترنت، زیر نظر نهادها و شرکت‌های متمرکز انگشت شماریه، که همین تجمع قدرت و انحصار باعث شکل‌گیری دیکتاتوری، سانسور و کنترل مدیا شده!

جواب بلاکچین به این معضل‌ها چیزی نیست جز: وب‌سه
وب‌سه طرفدار تمرکززداییه یعنی قدرت رو از انحصار شرکت‌های بزرگ فناوری میگیره و دست همه افراد قرار می‌ده. وب‌سه توسط کاربراش ساخته و گردونده می‌شه و مهم تر از همه، تحت مالکیت اوناس.
ایده وب‌سه رو اولین بار گاوین وود -از بنیان گذاران اتریوم- مطرح کرد.

مسیر پیشرفت وب تا امروز به سه دوره تقسیم میشه:

وب‌یک: فقط رید Read-Only (از 1990 تا 2004)

معماری سرویس‌گیرنده-سرور، نشان‌دهنده‌ی وب‌یک

وب‌دو: رید - بنویس Read-Write (از 2004 تا به امروز)

معماری سرویس‌گیرنده-سرور، نشان‌دهنده‌ی وب‌دو

وب‌سه:رید - بنویس - صاحاب‌شو Read-Write-Own (از2014 تا خدا میدونه)

بنیان های اصلی وب‌سه:

· غیرمتمرکز بودن: به‌جای اینکه اینترنت تحت کنترل و مالکیت نهادهای متمرکز باشه، مالکیت بین سازندگان و کاربران تقسیم می‌شه.
· بدون مجوز بودن: همه دسترسی یکسانی برای شرکت در وب‌سه دارن و هیچ‌کس مستثنی نیست.
· پرداخت‌های بومی: استفاده از ارزهای دیجیتال برای خرید و ارسال آنلاین پول به‌جای استفاده از زیرساخت‌ به‌درد‌نخور بانک‌ها!
· بی‌نیاز از معتمد: به جای تکیه بر اشخاص ثالث مثلا قابل اعتماد، از مشوق‌ها و سازوکارهای اقتصادی استفاده می‌کنه.

خیلی خلاصه، وب‌سه ابعاد جدیدی از مالکیت و مدیریت تمام فعالیت‌های مجازی (در آینده روزمره واقعی) رو ارائه می‌ده، قابلیت‌هایی مثل مالکیت، مقاومت در برابر سانسور، هویت و .. که همه باعث شفافیت بیشتر میشه، مخصوصا فعالیت های غیرمتمرکز مالی یا Defi.

برای فعالیت در وب‌سه به والت یا کیف پول بلاکچین و برنامه های غیرمتمرکز یا dApp نیاز داریم، باقی ماجرا هم که دیگه همه بلدیم، هه هه هه!
ولی به همین راحتیا هم نیست، فعالیت توی وب‌سه خطرای خودشو داره و واسه حفاظت از هویتمون باید ایمنی والتمون رو تامین کنیم.

بعدا مباحث وب‌سه رو بیشتر باز میکنیم، فعلا بریم سراغ امنیت در وب‌سه.

سه‌کیوریتی

فعالیت در دنیای وب‌سه بدون سه‌کیوریتی این شکلیه که پولاتو بذاری توی کیف پول، بری وسط خیابون، لاشو وا کنی و اگه کسی ازت دزدید شاکی بشی!
مثلا من جزئیات والت، قرارداد، ساعت تراکنش و همه چیز هکری که چُخیدتم رو میدونم ولی نمیتونم کاری کنم چون خودم اجازه دادم بهش و شاید بگید خب حقته، مبانی اولیه رو رعایت نکردی! باید بگم درسته ولی خب خیلی از حرفه‌ای ها و خفن ها هم ازشون دزدی میشه و این چیزی نیست که فقط به باز بودن لای کیف پول مرتبط باشه.
اتفاقا پول بیشتر باعث جذب بیشتر این اساتید میشه!

Mahdi Zocker ⟠

@MahdiZocker

طرف جزو افراد نسبتا Og کریپتو و دیفای محسوب میشه که با این سابقه (زیر) و سرمایه اومده تراکنشی که از یه سایت فیک (سایت کلیم و اطلاع رسانی ایردراپ = Earndrop) بوده رو تایید کرده و یه Punk رو از دست داده

- پروژه های مختلفی رو لانچ کرده (Stake DAO, BlackPool Finance, Rekt و ...)
-…

Julien Bouteloup

@bneiluj

I'm usually super careful when dealing with web3 stuff, but today, I blinked for a second, and poof! My beloved @cryptopunksnfts #1705, which I'd held onto for two years, vanished into thin air thanks to a slick mobile-friendly phishing scam pretending to be an Earn Airdrop. Keep…

▼حالا اصلا والت چی هست که بخوایم لاشو کاری کنیم؟

والت‌ رابطی برای مدیریت دارایی‌های رمزنگاری شده و فعالیت وب‌سه روی شبکه اتریوم و باقی شبکه هاس که باهاش پولامونو به جاهای مختلف گاو میزنیم! میشه گفت والت همون هویت وب‌سه کاربره. کاربر میتونه با این والت داخل dApp ها فعالیت‌های Defi مثل خرید، نگه‌داری یا انتقال رمزارز و NFT انجام بده.

وقتی والت میسازیم سه تا کلید بهمون میدن:

Private key: کلید خصوصیمونه که باهاش وارد والتمون میشیم که با 256 عدد رمزنگاری شده داخل بلاکچین ذخیره شده که هیچکس جز خودمون حتی و حتی سازنده والت هم بهش دسترسی نداره.

Public key: آدرس والتمونه که برای دریافت دارایی استفاده میکنیم.

Seed Phrase Key: یا Recovery Phrase key همون 12 کلمه ایه که با الگوریتم رمزنگاری شده مرتبط با کلید خصوصی به دست میاد و شامل همه کلیدهای خصوصی و عمومی والتمونه و این کلمات رو نباید به کسی بدیم یا حتی روی سیستم یا جای تابلو نگه داریم، چون با لو رفتنش همه کلیدهای خصوصیمون و داراییمون به چخ میره!

دو مدل کیف پول کریپتویی داریم:

CUSTODIAL WALLETS (والت‌های حضانتی)
این والت‌ها به والت صرافی هم معروفن و صرافی ها به Private key کاربراشون دسترسی دارن و خودشون دارایی‌ها رو نگهداری و مدیریت می‌کنن. کاملا متمرکزن و فعالیت وب‌سه نمیشه باهاشون انجام داد. اکثر والت‌های معتبر نیاز به احراز هویت یا KYC دارن که خب مال ما خار داره! و برای خرید رمزارز یا نقد کردنشون استفاده میشن و اگه صرافی هک بشه، پولمون هم پرپر میشه!

NON-CUSTODIAL WALLETS (والت‌های غیرحضانتی)
این والت‌ها کاملا توسط کاربر اداره میشن و Seed Phrase key در اختیار کاربر قرار داره پس امنیتش هم بر عهده خودشه! کاملا غیرمتمرکزن و باهاشون فعالیت وب‌سه میشه انجام داد. ما با اینا کار داریم.

سه مدل والت غیرحضانتی:

Connect Wallet
▼1- والت کاغذی (سرد)
با ساخت والت‌ کاغذی کاربر Private key رو به صورت عددی یا کد QR روی یک کاغذ چاپ میکنه و دیگه والت به بلاکچین متصل نیست تا وقتی که کاربر دوباره Private key رو روی والت نرم افزاری وارد کنه. ولی خب کاغذ اگه خیس بشه یا آتیش بگیره چی؟ پس باید خیلی ازش محافظت بشه تا از دست نره، وگرنه هیچی به هیچی! کاربر میتونه از این سایت کیف پول کاغذی تهیه کنه و هرموقع خواست به دارایی هاش دسترسی داشته باشه بره این یکی سایت و دارایی هاش رو از حالت کاغذی در بیاره ولی باید از امن بودن سیستم چه موقع خرید چه موقع وارد کردن مطمئن باشیم. در کل به خاطر پروسه پرریسکی که داره پیشنهاد نمیشه.
▼2- والت سخت‌افزاری (سرد)
والت‌های سخت‌افزاری مثل Ledger یا Trezor یه وسیله فیزیکی شبیه فلش مموریه که Seed Phrase key رو داخل خودش نگه‌داری میکنه و برای انجام تراکنش باید به کامپیوتر شخصی متصل بشه و با اینترنت گرمش کنیم! البته با پیشرفت تکنولوژی بدون گرم کردن هم میشه قرارداد امضا کرد. پیش‌نیاز های امنیتی خودش رو لازم داره ولی ریسک کمتری به خاطر آفلاین بودنش داره و فعلا امن ترین گزینه برای دارایی های باارزشه. برای دزدیدنش تقریبا باید خود دیوایس رو بدزدن. اینم بگم که به خاطر فیزیکی بودنشون، ریسک نابود شدنشون هم هست!
▼3- والت نرم‌افزاری (گرم)
والت‌های نرم افزاری به دنیای آزاد اینترت متصلن و با 12 یا 24 Recovery Phrase key بهشون وصل میشیم که این کلمات رو باید آفلاین (روی کاغذ) و در امن‌ترین جا ذخیره کنیم!
به خاطر آنلاین بودن، یه سری خطرات بیخ گوشمونه! برای فعالیت با این والت‌ها، کاربر با نرم‌افزار مربوطه به وب‌سه وارد میشه و هرکاری دلش بخواد میکنه به کسی ام ربطی نداره، فهمیدین؟
▼انواع والت‌ نرم‌افزاری
وب والت: والتی که به صورت افزونه روی مرورگر نصب میشه. Private Key داخل مرورگر ساخته میشه و به خاطر آنلاین بودنش ریکسش بالاس!
موبایل والت: والت‌هایی که قابل استفاده روی گوشی هستن و Private Key داخل همون دستگاه ساخته و پرداخته میشه و تا وقتی دستگاه دست شماست امنه ولی برای امنیت بیشتر باید از 2FA یا کد دوعاملی استفاده بشه.
دستکتاپ والت: مثل والت‌های گوشی Private Key روی سیستم قرار داره و تا سیستم در اختیار شماست امنه اما کد دوعاملی فراموش نشه!

فیلترنت و وب‌سه

خبر بد اینکه زیر سایه لاستیک‌به‌سرها داریم زندگی میکنیم و این ما رو چندتا وب عقب میندازه، یعنی ما باید از وب‌منفی‌یک شروع کنیم 😆 تقریبا همه جا فعالیت از ایران غیرمجازه و امکان بسته شدن حساب همیشه هست. برای اینکه بیشتر از این اذیت نشیم باید یه سری زیرساخت ها رو فراهم کنیم. برای شناسایی نشدن و امنیت در فضای وب‌سه، پیشنهاد میشه هرجای دنیا که بودیم از سرویس VPN استفاده کنیم. همینطور که میدونین ما که ایران زندگی نمیکنیم و اینو میشه از VPNمون هم بپرسن اونم همینو میگه ولی آیا وقتی از مرورگرمون هم بپرسه جوابش همینه؟ همه IP هامون امن و ردیفه؟ عمرا!

بعد از خرید یه اکانت VPN معتبر با آی‌پی ثابت بدون درز، اول این سایت برید و چک کنین که هیچ جا پرچم سه رنگ نباشه و اگه بود آب دستت بود بذار زمین برو این افزونه رو دانلود کن، گزینه Disable non-proxied رو تیک دار کن و دوباره برو به این سایت و چک کن که همه چی با کشور VPN تون یکی باشه. اگه اینجور نبود یعنی ممکنه سایت‌هایی که داخلشون فعالیم متوجه شن که از کجا وصلین و ممکنه زیاد مهربون نباشن. به جز این مورد راه هایی دیگه ای هست که لو بریم، مثل زبان و ساعت و باقی اطلاعاتی که با وارد شدن به سایت ها از Header ردیابی میکنن که با افزونه های Privacy badger و Ghostery جلوی ردیابی شدن رو باید بگیریم و اطلاعاتمون رو اونجور که میخوایم اختیار عزیزان قرار بدیم.
حالا بگیم همه این سوراخا هم بسته شد و دیگه نباید مشکلی باشه ولی هست! به هرحال باید دارایی که میخوایم وارد کریپتو کنیم رو از یه جایی به یه نحوی تهیه کنیم، بهترین راه هم روش P2P عه، یعنی شما به دوستت یا کسی که اعتماد داری پولتو میدی و به جاش کریپتو میگیری البته که صرافی‌ها هم همین کار رو میکنن برامون ولی به خاطر مباحث شیرینی که گفتیم پول های تمیزی ندارن، آدرساشون شناسایی شدن و شامل تحریم های ایالات متحده هستن و مثل من به خاطر هیچی از OpenSea بن میشین. کاش فقط همین بود، خیلی از ایردراپ ها هم ممکنه این فیلتر رو بذارن و اونا هم از دست بدیم و هزاران چخ نقدی و غیر نقدی دیگر!
برای اینکه این اتفاق نیوفته باید مسیر ورود/خروج دارایی از/به والت و صرافی ایرانی رو جدا کنیم.
توییت معی عزیز مطلب رو کامل جا میندازه:

Moei

@0xMoei

اگر ایرانی هستید و سرمایه و ولتتون براتون مهمه برای انتقال از/به صر.افی ایرانی، واسطه‌ی ولت خالی + صر.افی خارجی قرار بدید

از ص‌ا:
ص‌ا > و فرعی > ص‌خ > ص‌خ2 > و فرعی2 > و فرعی3 > و اصلی

به ص‌ا:
و اصلی > و فرعی > ص‌خ > ص‌خ2 > و فرعی2 > و فرعی3 > ص‌ا

تصمیم برای کبری وب‌سه

اول باید از خودمون بپرسیم که میخوایم چیکار کنیم؟ میخوایم کریپتو بخریم و فقط بلندمدت نگه داریم؟
میخوایم فعالیتای Defi انجام بدیم، وب‌سه رو بجوریم و ایردراپ شامل شیم؟
اگه هدف نگه‌داری طولانی یا HODL عه که خب هرچی کیف پول سرد تر باشه امن تر و بهتر!
آما برای فعالیت های Defi نیازه که چندین والت با کاربری مختلف داشته باشیم!

یه والت ترجیحا سرد مثل لجر به عنوان کیف پول اصلی که کاملا ایزوله باشه، یعنی باهاش هرجایی نریم و هرکاری نکنیم. با صرافی های وطنی مراوده نداشته باشیم! به/از کیف پول های دیگمون که ممکنه آلوده باشن انتقال ارز نداشته باشیم. ترجیحا هیچ سایتی رو باهاش ساین نکنیم!
یه والت دیگه مخصوص پروژه های خوش پدر و مادر که مبلغ مناسبی برای تراکنش های مدنظرمون هم داخلش داشته باشیم و سعی کنیم اعتبار این کیف پولمون رو بالا ببریم، همچنین نیازه که باهاش هرجایی نریم و هرکاری نکنیم چون به Chokh میریم! واضحه دیگه؟
و والت سوم برای فعالیت های ایردراپی و تسک های سوشال و غیره که بی بند و بارترین و هرجایی‌ترین کیف پولمون همین ایشونه که باید مراقبت های لازم رو بازم براش انجام بدیم به هرحال ایشونم دل دارن!

توجه کنین که این والت ها با والت هایی که باهاشون برای مسیر جابه‌جایی دارایی از صرافی ها استفاده میکنیم متفاوت باشن!

Rabby Vs Metamask

حالا باید والت مناسب و راه‌دستمون رو انتخاب کنیم که اینجا براتون دوتا محبوبشو جدا کردم، البته که میلیان ها والت هست که میتونین استفاده کنین، فقط حواستون باشه برای ولگردی در وب‌سه والتی که استفاده میکنین EVM (Ethereum Virtual Machine) باشه یعنی با شبکه اتریوم رابطه تنگاتنگی داشته باشه.

والت Metamask که معرف حضور هست از EVMهای قدیمی و خوب بازار هستن که یه روباه نارنجی مکار هی نگاه نگاه میکنه! امکانات جدیدی به اسم Snap اضافه کرده که دسته بندی های مختلفی داره، برای امنیت هم اسنپ هایی مثل Walletgaurd ، Web3 Antivirus، Blockaid و .. داره که تراکنش ها رو دونه دونه بررسی و توصیه های لازم رو میکنن، ولی از لحاظ کاربری یکم چیز نیست به نظرتون هنوز؟ چیزه دیگه چیز!

والت Rabby هم یه خرگوش بازیگوشه که خیلی خوب تونسته گوی رقابت رو از روباه بدزده، مهدی عزیز در مورد جناب ربیعی توضیحات کاملی دادن:

Mahdi Zocker ⟠

@MahdiZocker

پیشنهاد میکنم نه بخاطر UI & UX والت @Rabby_io بلکه بخاطر امنیتش هم که شده از این والت استفاده کنید!

از +90% هک ها و اشتباهات سمت کاربر جلوگیری میکنه

این چند وقت بهم پیام زیاد دادن که هک شدیم و ...

وقتی بررسی میکنم میبینم اشتباه خود کاربر بوده که /1

نوشدارو قبل از هک سهراب

واسه انجام هر فعالیت یا تراکنشی باید اول از همه قرارداد هوشمندش رو تایید کنیم، کسی چاقو نمیذاره زیر گلومون جیبمونو بزنه، بلکه در کمال آرامش ازمون امضا میگیره و باقی ماجرا!
واسه همین خیلی مهمه که بدونیم چی رو داریم امضا میکنیم و خب با توجه به پیشرفت روز افزون هکرها، افزونه هایی مثل Pocket و WalletGuard و Fire کار رو برامون راحت کردن و با مطالعه و شبیه‌سازی دقیق کانترکت ها، ما رو از به چخ رفتن احتمالی نجات میدن ولی نه حتما! مثلا Pocket میگه اگه من بهت گفتم امنه و امن نبود بهت خسارت میدم!
این افزونه ها قبل از هر تراکنش، کانترکتی که داریم امضا میکنیم رو شبیه‌سازی میکنن و بهمون میگن که چقدر دسترسی بهش میدیم و چقدر از والت در خطره و هرکدوم رو بهمون گوش زد میکنه، خود والت Rabby و اسنپ های Metamask هم البته از لحاظ امنیتی اخطار میدن، مثلا سایت جدید ببینه میپرسه که چقد میخاری؟ یا مثلا اگه سایتی که میخوایم ساین بدیم محبوب پرکاربر نباشه اخطار میده یا کانترکتی که دسترسی اضافی از دارایی هامون بخواد رو اخطار میده و .. ولی خب بازم باقی افزونه ها در کنار این امکانات واجبن. نصب کن و بحث نکن!

گول های وب‌سه

طبق آمار معتبر از سال 2012 تا امروز که کریپتو زاده شده 32$ میلیارد دارایی به چخ رفته و اصلا عدد کوچیکی نیست! فضای وب‌سه تقریبا تازه اس و خوراک پولشویی و دزدیه، واسه همین اگه نپایی، اونا میپانت!

اطلاعاتی که هکرها و کلاهبردارا دنبالشن:

دارایی های کریپتویی: دارایی هایی که روی والتمون داریم.
لایه های والت: کلیدهای خصوصی، توکن‌ها یا رمزهای عبور کیف پول‌های ارزهای دیجیتالمون.
حق انتقال: کسب رضایت کاربر با یک قرارداد هوشمند برای انتقال دارایی .
اعتبارنامه وب‌دو: نام کاربری و رمزهای عبور کاربر داخل سایت های وب‌دو.

حالا که میدونیم هکر از جونمون چی میخواد، میتونیم راه های مقابله باهاش رو بهتر بررسی کنیم.

انواع گول

1- Credential Phishing: هکرها با ساختن وبسایتی دقیقا شبیه به وبسایت مدنظر، اطلاعات ورود کاربر رو ازش میدزدن. این سایت ها معمولا برای پروژه هایی که ایردراپ میدن خیلی رایجه و کاربر که هیجانی میشه اطلاعاتشو وارد میکنه که ببینه شامل شده یا نه که میبینه دیگه هیچوقت شامل نمیشه!
برای جذب قربانی معمولا لینک سایت خراب رو به ایمیل میفرستن یا به صورت پست سوشال مدیا قربانی رو شکار میکنن. حتی وقتی از موتورهای جستجوگر استفاده میکنیم قبل از باز کردن هر سایت، لینکشو چک کنیم چون ممکنه سایت فیک نتیجه اول باشه یا حتی گوگل ادز سایت خراب رو اولین سایت بهتون پیشنهاد بده!

نوشدارو:
· از نرم افزار مدیریت رمز عبور مثل NordPass برای محافظت از رمزها استفاده کنیم.

· افزونه‌های امنیتی مانند Scam Sniffer، Wallet Guard رو نصب کنیم، خودشون سایتای فیک رو اخطار میدن!

· از یه رمز (رمزی که همه جور کاراکتر توش باشه) برای بیشتر از یه اکانت هم استفاده نکنیم که فاجعه عمیق تر نشه.

· اگه به وب سایت مشکوکی برخوردیم فوراً گزارش بدیم.

2- Fake customer service: هکر وانمود می کنه که سفیر رسمی پروژه توی دیسکورد یا توییتره و کاربرا رو گول میزنه و بهشون میگه یه ماهی دارم حرف میزنه، این فرم ایردراپ و نظرسنجی رو پر کن تا نشونت بدم!
اگه کاربر گول بخوره، هکر برای دریافت آدرس کیف پول و اطلاعات شخصی قربانی یا انتقال ارز مجازی به آدرس کیف پول هکر سوالات بیشتری می پرسه تا کامل گولش بزنه و همه چی رو دست بگیره. مثلا خودم تو ساپورت گلکس سوال پرسیدم، فرداش ایشون با اکانت کامیونیتی منیجر گلکس پیام داد که پیگیری کنه!!

نوشدارو:
· هرکی پیام داد از هر پروژه ای اول بلاک کنیم بعد تصمیم بگیریم! بیکاره مگه به ما پیام بده؟ خودتم پیگیری میکنی سخت جواب میدن بعد بیاد خودش برات چیز کنه؟ بیخیال!
· گزینه هرکس دلش خواست نتونه بهم پیام بده رو توی تلگرام و دیسکورد و توییتر و همه جا فعال کنیم!

3-Fake social media giveaway: سوشال مدیا بخش جدا نشدنی زندگی خیلی از ماهاس و برای کلاهبردارا معدن طلاس. هکر برای گول زدن حساب‌های رسمی جعلی ایجاد می‌کنه یا با هک حساب‌های معروف لینک خراب ارسال می‌کنه. کلاهبردار ممکنه از قربانی بخواد که مبلغی رو برای پیش فروش و این داستانا پرداخت کنه ولی خب کدوم پیش فروش؟

نوشدارو:
· اعتبار اطلاعات رو از چندتا منبع موثق بررسی کنیم و بدونیم هیچکس چیزی رایگانی نمیده.
· اگه کسی گفت 1 کوین بده 2 تا پس میدم خیلی شک کنیم!
· مراقب Pop-up هایی که باز میشن توی سایتا باشیم .
· یادمون نره که هرچی امضا کردیم و هر تراکنشی زدیم دیگه قابل برگشت نیست!

4-Rug pulls: راگ‌پولز یه روش کلاهبرداریه! اینجوری که یه تیم ارزش یه توکن رو با سرمایه سرمایه گذاران و شلوغ کاری پامپ میکنه و بعدش به چاک جاده میزنن. یعنی بعد از اینکه پامپ شد، عرضه توکن رو متوقف میکنه و خدافظ!

نوشدارو:
· وقتی یه پروژه رو برای سرمایه گذاری بررسی میکنیم حتما سابقه تیمش رو تو لینکدن بجوریم و کلا وایت پیپر و این چیزا هم که باید بررسی بشه که مطمئن شیم اکثر پروژه ها اسکمن!
· کانال پامپ شت کوین و میلیون دلار در نیم ساعت و ... همه دروغه، گول نخوریم!
· بررسی داده های آن‌چین میتونه بهمون واسه بررسی ادعاهای تیم پروژه خیلی کمک کنه.
· قراردادهای پروژه رو حتما بررسی کنیم که چقد به حفظ امنیت کیف پول بها میده و اصلا نکنه ظرف عسل باشه!
· هایپ پروژه تو فضای مجازی بررسی کنیم که آیا پروژه داره با ربات هایپ میشه یا واگعیه!

5-Approval scam: برخلاف روش های قدیمی، این روش حق انتقال شما رو هدف میگیره. یه مکانیسم داخلی تو استاندارد ERC20 Token به قراردادهای هوشمند این امکان رو میده که حق انتقال دارایی های کاربر رو داشته باشن.
تابع ERC20 Approve به ابزاری برای چاق تر شدن هکرها تبدیل شده. از طریق فیشینگ، کاربرا رو گول میزنه که تأیید رو بگیره، بعد دارایی های قربانی رو با دستور transferFrom قرارداد ERC20 Token به کیف پول خودش منتقل میکنه.
من هم گرفتار همین هک شدم و با تایید خودم یه Sweeper Bot روی کیف پولم منتظر نشسته که هر مبلغی وارد بشه اول ایشون سریع ورش داره بعدش من بفهمم!

نوشدارو:
· با روتین هفتگی وضعیت دسترسی آدرس های والتمون رو به کمک Etherscan، Revoke.cash و Cointool بررسی و همه رو لغو کنیم.
· اگر تصادفی آدرس نامعلومی رو تأیید کردیم، سرعتی لغوش کنیم و منتظر روتین هفتگی نمونیم!
· وب سایت های مشکوک رو گزارش بدیم.

kamil

@sefiyed

این #رشتو با دقت مطالعه کنید
این حجم از هک ولتها من تا به امروز ندیده بودم
کلی پیام دریافت کردم که ولتهاشون هک شده واقعا ناراحتم از این وضعیت .
دلیلهای هک:
1.طمع
2.لینکهای ناشناس
3.اعتماد
4.وی پی ان vpn
5.نداشتن رمز رو کیف پول و سیستم
6.شت کوین بازی
ادامه

6-$5 Wrench Attack: نباید همه جا جار بزنیم که کریپتو فعالیم چون ممکنه با یه آچار 5 دلاری بهمون حمله کنن! باور نمیکنی برو این لینک و حملات فیزیکی به وال ها رو ببین!

نوشدارو:
· اطلاعاتمون رو محرمانه نگه داریم و ترجیحا کسی ندونه چقد سرمایه داریم و به صورت کلی با داراییامون جلب توجه نکنیم چون ممکنه توجه آدمای بد رو جلب کنیم!
· امنیت منزل و محیط کارمون رو بالا ببریم، چه از لحاظ فیزیکی چه اینترنتی! اگه جوجیتسو یا موی‌تای هم بلد باشین که دیگه عالی میشه! (بقیه ورزشای رزمی مناسب کریپتو نیست)
· یه کیف پول الکی با دارایی کم در معرض خطر داشته باشیم و همیشه فقیر به نظر برسیم!

نوشدارو بعد از هک

خب حالا اگه خدایی نکرده هک شدیم و باید اول بپذیریم که والتمون پرپر شده و باید به والت جدید کوچ کنیم، قید هر دارایی کم ارزش جامونده رو باید بزنیم ولی برای دارایی ها و ایردراپای با ارزش، یه راهی هست!
اول باید سریع همه دسترسی ها رو ریووک کنیم، به پشتیبانی والت اطلاع و توضیح بدیم، معمولا احساس هم‌دردی میکنن و میگن کاری نمیشه کرد راستم میگن ولی برای ادامه فعالیت کاملا راهنمایی میکنن که من طبق ایمیل ساپورت متامسک بهتون میگم.

· از به‌روز بودن سیستم عامل، نرم افزارهای امنیتی و آنتی‌ویروس، مرورگرهای وب و سایر برنامه ها مطمئن باشیم.
· سیستم عاملی که این اتفاق براش افتاده رو اسکن کنیم تا اگه ویروس/بدافزاری هست از بین بره.
· اتفاقی که برامون افتاده رو به بلاکچین اکسپلورر شبکه هایی که داراییتون مورد تهاجم قرار گرفته گزارش بدیم تا باقی افراد تو دام نیوفتن، فرم گزارش Chainabuse هم پر کنیم.
· برای دارایی های با ارزش، والت سخت افزاری در نظر بگیریم.
· این نکات اولیه امنیتی متامسک رو دوباره بخونیم و رعایت کنیم!
· کیف پول جدید، داخل مرورگر یا دستگاه جدید بسازیم و به اون مهاجرت کنیم!
· مطمئن شیم که هشدار امنیتی Blockaid در تنظیمات متامسک فعال باشه.
در نظر داشته باشیم که به دلیل فناوری زیربنایی بلاک چین، غیرممکنه که:
· Secret Recovery phrase رو تغییر داد. باید والت جدید با Secret Recovery phrase جدید بسازیم.
· تراکنش ها رو تغییر داد یا دارایی رو برگردوند.
· دارایی ها رو از حساب خودمون یا هکر مسدود کنیم.
· صاحب واقعی حساب هکر یا قرارداد هوشمند رو شناسایی کنیم.
· ربات Sweeper رو از والت حذف کرد.
اگر انتظار داریم در آینده مبلغی به والتمون واریز شه، یا دارایی در معرض خطر تو والتمون داریم که برابر یا بیشتر از 1000 دلار ارزش داره، می‌تونیم با تیم Flash Bots White Hat تماس بگیریم و درخواست کمک کنیم. با صبر و حوصله راهنمایی میکنن و 5 تا 10 درصد مبلغ رو به عنوان هزینه خدمات میگیرن.

بعد از این کارها باید داخل دیسکورد همه پروژه هایی که فعالیت میکردیم تیکت بگیریم و اطلاع بدیم که اینجور شده تا برای ادامه دادن راهنماییمون کنن. اکثر پروژه ها امکان اضافه کردن والت جدید رو دارن ولی بازم به خاطر ناامن بودن حساب های سوشال متصل به والت هک شده پیشنهاد میدن که فعالیت رو کلا با یه حساب جدید ادامه بدیم!

در نهایت با وجود این مشکلات اگه میخوایم شیرینی ایردراپ به تلخی تریاک تبدیل نشه بهتره که همه جوره این نکات امنیتی رو رعایت کنیم تا زحمتامون در کسری از ثانیه از چنگمون نره.

با کالکت کردن این نوشته فرشته سمت راستمون 69 ریوارد برای شما و 1 ریوارد برای من مینویسه، اگه به دردت خورد لطفا کالکت کن :*