SSP Editorial Team

Twoja lista kontrolna OpSec dla kryptowalut

·6 min czytania·Autor: SSP Editorial Team
Okładka bezpieczeństwa SSP z ikonami portfela, klucza, tarczy i chipa dla listy kontrolnej OpSec dla kryptowalut

Samodzielne przechowywanie środków to nie jednorazowa konfiguracja — to rutyna. Twoje klucze pozostają bezpieczne, ponieważ to ty utrzymujesz je w bezpieczeństwie, kwartał po kwartale. Oto twoja lista kontrolna bezpieczeństwa operacyjnego (OpSec): 15-minutowy audyt, który przeprowadzasz cztery razy w roku, aby wychwycić drobne odstępstwa, zanim staną się incydentami. Kopie zapasowe blakną, rozszerzenia się gromadzą, zgody się nawarstwiają, a telefon, któremu ufałeś zeszłej wiosny, zostaje sprzedany. Żaden z tych problemów sam w sobie nie jest awarią; razem, po roku zaniedbań, w taki właśnie sposób dobre konfiguracje po cichu gniją. Zarezerwuj spokojny wieczór na początku każdego kwartału, wydrukuj tę stronę i odhaczaj kolejne pola. Nic z tego nie jest trudne — cała wartość polega na robieniu tego regularnie, a nie dopiero wtedy, gdy coś już poszło nie tak.

OpSec to dyscyplina zapożyczona od ludzi, dla których model zagrożeń jest zawodowo poważny — przewodniki Surveillance Self-Defense od EFF są dobrym wprowadzeniem do tego sposobu myślenia. W przypadku krypto ta sama idea sprowadza się do kilku pytań: czy moje klucze są odzyskiwalne, czy moje urządzenia są czyste, czy rozumiem, co podpisuję, i czy konta wokół mojego portfela są zabezpieczone? Przy konfiguracji 2 z 2 w SSP każda płatność wymaga już drugiej, niezależnej zgody na twoim SSP Key, więc jedno przejęte urządzenie nie powinno wystarczyć do przeniesienia środków — ale ta siatka bezpieczeństwa utrzymuje się tylko wtedy, gdy obie połowy pozostają sprawne i niezależne. Poniższa lista kontrolna utrzymuje je w takim stanie.

Przeprowadzaj ją co kwartał. Odhaczaj pole tylko wtedy, gdy to naprawdę prawda, a nie gdy masz zamiar się tym zająć.

Klucze i kopie zapasowe

Twój materiał do odzyskiwania to jedyna rzecz, której nie możesz wygenerować ponownie, więc zacznij tutaj i napraw wszystko, co chwiejne, zanim ruszysz dalej — nasz przewodnik o najlepszych praktykach dla frazy seed omawia szczegóły przechowywania. Kopia zapasowa, którą zakładasz, że jest w porządku, ale której nie sprawdzałeś od roku, to najczęstszy pojedynczy punkt awarii w samodzielnym przechowywaniu.

  • Odszukaj każdą kopię frazy seed i potwierdź, że każda jest fizycznie czytelna, kompletna i nieuszkodzona przez wodę, ciepło czy wyblakły atrament.
  • Potwierdź, że kopie znajdują się w co najmniej dwóch oddalonych geograficznie miejscach, aby jeden pożar, powódź czy kradzież nie zabrały obu naraz.
  • Sprawdź, że obie połowy SSP mają kopię zapasową: portfel rozszerzenia i SSP Key można odtworzyć niezależnie od siebie.
  • Upewnij się, że żadna fraza seed nigdy nie została wpisana do telefonu, sfotografowana, wysłana e-mailem ani zapisana w menedżerze haseł czy notatce w chmurze.
  • Potwierdź, że każdy, komu powierzyłeś lokalizację kopii zapasowej, wciąż ma do niej dostęp i, co równie ważne, wciąż powinien go mieć.

Urządzenia i rozszerzenia

Czyste urządzenie to fundament pod każdą inną kontrolą, więc traktuj przeglądarkę jako część swojego portfela — higiena rozszerzeń przeglądarki dla użytkowników krypto wyjaśnia, dlaczego jedno złośliwe rozszerzenie może po cichu przepisać to, co podpisujesz.

  • Zaktualizuj system operacyjny, przeglądarkę i rozszerzenie SSP do najnowszych wersji.
  • Zaktualizuj urządzenie SSP Key i potwierdź, że nadal się paruje, wyświetla i poprawnie podpisuje.
  • Przejrzyj każde zainstalowane rozszerzenie przeglądarki i usuń wszystko, co nieużywane, nieznane lub już nieutrzymywane.
  • Potwierdź, że wydawca i identyfikator sklepu rozszerzenia SSP zgadzają się z oficjalnym wpisem — żadna podszywająca się kopia się nie wkradła.
  • Uruchom rzetelne skanowanie w poszukiwaniu malware zarówno na komputerze, jak i na telefonie, którego używasz do transakcji.

Transakcje i zgody

Większość współczesnych strat to nie skradzione klucze — to podpisy, które oddałeś miesiące temu i o nich zapomniałeś, więc przejrzyj to, co przyznałeś, narzędziem takim jak revoke.cash i przeczytaj ponownie nasze wyjaśnienie o zgodach na tokeny.

  • Przejrzyj aktywne zgody na tokeny i odwołaj wszystkie nieaktualne, nieograniczone lub powiązane z dappem, którego już nie używasz.
  • Potwierdź, że czytasz każdą transakcję na ekranie SSP Key przed jej zatwierdzeniem — kwotę, miejsce docelowe i sieć.
  • Wyrywkowo sprawdź ostatnie transakcje wychodzące w eksploratorze bloków względem tego, co naprawdę zamierzałeś wysłać.
  • Ponownie zweryfikuj, że zapisane zakładki kontraktów i dappów nadal wskazują na prawdziwe, aktualne adresy, a nie na podmieniony.

Konta wokół twojego portfela

Atakujący rzadko łamią najpierw portfel — łamią sąsiednie konto e-mail lub giełdy i przebijają się do środka, więc Secure Our World od CISA to baza w prostym języku, a mobilne 2FA zrobione dobrze omawia pułapki specyficzne dla krypto.

  • Przenieś konta e-mail, giełdowe i w chmurze z 2FA przez SMS na TOTP lub passkeys, których nie da się przejąć przez SIM swapping.
  • Potwierdź unikalne, mocne hasło na każdym koncie, które dotyka twojego krypto, wygenerowane i przechowywane w menedżerze haseł.
  • Przejrzyj zapisaną książkę adresową i usuń lub ponownie zweryfikuj każdy wpis, za który nie możesz już osobiście ręczyć.
  • Sprawdź opcje odzyskiwania każdego konta — zapasowy e-mail, numer telefonu, pytania zabezpieczające — pod kątem słabych ogniw, przez które atakujący mógłby się przedostać.

Gotowość na phishing

Phishing to atak, z którym naprawdę się zmierzysz, i staje się coraz bardziej przekonujący, więc utrzymuj wzorce świeże dzięki atakom phishingowym wymierzonym w użytkowników krypto i przećwicz własne odruchy, zanim nadejdzie prawdziwa przynęta.

  • Ponownie dodaj do zakładek oficjalną stronę SSP i swoje giełdy i wchodź na nie wyłącznie przez te zakładki — nigdy przez reklamę w wyszukiwarce ani link w wiadomości prywatnej.
  • Potwierdź, że nigdy nie zatwierdzasz transakcji ani nie wpisujesz frazy seed w odpowiedzi na niezamówioną wiadomość, telefon czy "agenta wsparcia".
  • Przejrzyj ostatnie e-maile i wiadomości prywatne pod kątem czegoś, w co kliknąłeś, a nie powinieneś — i zmień dotknięte dane logowania, jeśli masz wątpliwości.
  • Przypomnij każdemu, kto współdzieli twoje finanse, że SSP i jakiekolwiek prawdziwe wsparcie nigdy nie poproszą o frazę seed.

Próba odzyskiwania i dziedziczenia

Kopia zapasowa, której nigdy nie testowałeś, to zgadywanie, więc raz na kwartał udowodnij, że naprawdę mógłbyś odzyskać dostęp, zamiast to zakładać — zacznij od odzyskiwania SSP, gdy stracisz przeglądarkę.

  • Przeprowadź ćwiczenie utraty przeglądarki: odtwórz rozszerzenie SSP z kopii zapasowej w czystym profilu i potwierdź, że twoje salda się pojawiają.
  • Przeprowadź ćwiczenie utraty telefonu: potwierdź, że potrafisz ponownie skonfigurować SSP Key i zakończyć pełną zgodę 2 z 2 od początku do końca.
  • Udokumentuj dostęp awaryjny i spadkowy — gdzie są kopie zapasowe, co jest potrzebne i z kim się skontaktować — dla kogoś, komu ufasz.
  • Potwierdź, że ten dokument jest przechowywany bezpiecznie i że osoba zaufana wie o jego istnieniu, nie poznając sekretów przedwcześnie.

Wydrukuj, zaplanuj

Lista kontrolna działa tylko wtedy, gdy faktycznie jest realizowana, więc spraw, by audyt następnego kwartału był automatyczny, zamiast polegać na pamięci.

  • Wydrukuj tę listę kontrolną lub zapisz ją offline w miejscu, w którym naprawdę ją znów zobaczysz.
  • Ustaw cykliczne kwartalne przypomnienie w kalendarzu, na ten sam tydzień każdego kwartału.
  • Zanotuj datę ukończenia dzisiejszego audytu i wszystko, co odłożyłeś, aby następny kwartał zaczął się dokładnie tam, gdzie skończył się ten.

Udostępnij ten artykuł

Powiązane artykuły

Dwunastowyrazowa seed phrase wydrukowana na papierowej karcie obok portfela sprzętowego

Seed phrase — dobre praktyki

Czym naprawdę jest seed phrase, jak ją przechowywać, by jej nie zgubić ani nie wyciekła, i jak multisig 2-of-2 w SSP zmienia model zagrożeń.

7 min read
Okładka działu bezpieczeństwa SSP z ikonami portfela, klucza, tarczy i układu scalonego, ilustrująca przewodnik po atakach phishingowych na krypto.

Ataki phishingowe na użytkowników krypto (i jak je rozpoznać)

Phishing krypto celuje w Ciebie, nie w kryptografię. Naucz się wzorców — drainery portfeli, phishing zatwierdzeń, zatruwanie adresów — i jak pomaga SSP.

7 min read
Okładka bezpieczeństwa SSP z ikonami portfela, klucza, tarczy i układu scalonego na granatowej kwadratowej karcie

Higiena rozszerzeń przeglądarki dla użytkowników kryptowalut

Bezpieczeństwo rozszerzeń przeglądarki w samoprzechowywaniu: sprawdzaj instalacje, ograniczaj uprawnienia, polegaj na LavaMoat i 2 z 2 SSP.

6 min read