SSP Editorial Team

Ваш чек-лист OpSec для криптовалют

·6 мин. чтения·Автор: SSP Editorial Team
Обложка безопасности SSP с иконками кошелька, ключа, щита и чипа для чек-листа OpSec по криптовалютам

Самостоятельное хранение — это не разовая настройка, а рутина. Ваши ключи остаются в безопасности, потому что вы поддерживаете их безопасность, квартал за кварталом. Это ваш чек-лист операционной безопасности (OpSec): 15-минутный аудит, который вы проводите четыре раза в год, чтобы поймать мелкие отклонения, прежде чем они станут инцидентами. Резервные копии выцветают, расширения накапливаются, разрешения нарастают, а телефон, которому вы доверяли прошлой весной, в итоге продан. Ни одна из этих проблем сама по себе не является аварией; вместе, после года небрежности, именно так хорошие конфигурации тихо гниют. Выделите спокойный вечер в начале каждого квартала, распечатайте эту страницу и отмечайте пункты один за другим. Ничего из этого не сложно — вся ценность в том, чтобы делать это по расписанию, а не после того, как что-то уже пошло не так.

OpSec — это дисциплина, заимствованная у людей, для которых модель угроз серьёзна по роду занятий; руководства Surveillance Self-Defense от EFF — хорошее введение в этот образ мышления. Для крипты та же идея сводится к нескольким вопросам: восстанавливаемы ли мои ключи, чисты ли мои устройства, понимаю ли я, что подписываю, и защищены ли учётные записи вокруг моего кошелька? При настройке 2 из 2 в SSP каждый расход уже требует второго, независимого подтверждения на вашем SSP Key, так что одного скомпрометированного устройства не должно хватить для перемещения средств — но эта страховочная сеть держится, только пока обе половины остаются исправными и независимыми. Приведённый ниже чек-лист поддерживает их в таком состоянии.

Проводите его каждый квартал. Отмечайте пункт, только когда это действительно так, а не когда вы намереваетесь этим заняться.

Ключи и резервные копии

Ваш материал для восстановления — единственное, что нельзя сгенерировать заново, поэтому начните отсюда и исправьте всё шаткое, прежде чем двигаться дальше: наше руководство по лучшим практикам для seed-фразы разбирает детали хранения. Резервная копия, которую вы считаете исправной, но не проверяли год, — самая частая единая точка отказа при самостоятельном хранении.

  • Найдите каждую резервную копию seed-фразы и убедитесь, что каждая физически читаема, полна и не повреждена водой, теплом или выцветшими чернилами.
  • Убедитесь, что копии находятся как минимум в двух географически разных местах, чтобы один пожар, потоп или кража не забрали обе сразу.
  • Проверьте, что обе половины SSP имеют резервную копию: кошелёк-расширение и SSP Key можно восстановить независимо друг от друга.
  • Проверьте, что ни одна seed-фраза никогда не вводилась в телефон, не фотографировалась, не отправлялась по почте и не хранилась в менеджере паролей или облачной заметке.
  • Убедитесь, что любой, кому вы доверили место хранения копии, всё ещё имеет к ней доступ — и, что не менее важно, всё ещё должен его иметь.

Устройства и расширения

Чистое устройство — это фундамент под любым другим средством контроля, поэтому относитесь к браузеру как к части своего кошелька — гигиена браузерных расширений для криптопользователей объясняет, почему одно вредоносное расширение может незаметно переписать то, что вы подписываете.

  • Обновите операционную систему, браузер и расширение SSP до последних версий.
  • Обновите устройство SSP Key и убедитесь, что оно по-прежнему сопрягается, отображает данные и корректно подписывает.
  • Просмотрите каждое установленное браузерное расширение и удалите всё неиспользуемое, незнакомое или больше не поддерживаемое.
  • Убедитесь, что издатель и идентификатор магазина расширения SSP совпадают с официальной страницей — никакая поддельная копия не проникла.
  • Запустите проверку на вредоносное ПО надёжным сканером и на компьютере, и на телефоне, которыми вы проводите транзакции.

Транзакции и разрешения

Большинство современных потерь — это не украденные ключи, а подписи, которые вы выдали месяцы назад и забыли, поэтому проверьте, что вы выдали, с помощью инструмента вроде revoke.cash и перечитайте наше объяснение про разрешения на токены.

  • Просмотрите активные разрешения на токены и отзовите все устаревшие, неограниченные или привязанные к dapp, которым вы больше не пользуетесь.
  • Убедитесь, что читаете каждую транзакцию на экране SSP Key перед подтверждением — сумму, получателя и сеть.
  • Выборочно сверьте недавние исходящие транзакции в обозревателе блоков с тем, что вы на самом деле собирались отправить.
  • Заново проверьте, что сохранённые закладки контрактов и dapp по-прежнему ведут на настоящие, актуальные адреса, а не на подменённый.

Учётные записи вокруг кошелька

Атакующие редко взламывают кошелёк первым — они взламывают соседнюю почту или биржевой аккаунт и пробираются внутрь, поэтому Secure Our World от CISA — это база на простом языке, а мобильная 2FA, сделанная правильно разбирает специфичные для крипты ловушки.

  • Переведите почту, биржевые и облачные аккаунты с 2FA по SMS на TOTP или passkeys, которые нельзя угнать через SIM swap.
  • Убедитесь в наличии уникального надёжного пароля на каждом аккаунте, который касается вашей крипты, сгенерированного и хранящегося в менеджере паролей.
  • Просмотрите сохранённую адресную книгу и удалите или заново проверьте любую запись, за которую вы больше не можете лично поручиться.
  • Проверьте параметры восстановления каждого аккаунта — резервную почту, номер телефона, контрольные вопросы — на слабые звенья, через которые мог бы пробраться атакующий.

Готовность к фишингу

Фишинг — это атака, с которой вы реально столкнётесь, и она становится всё убедительнее, поэтому держите шаблоны свежими с помощью фишинговых атак, нацеленных на криптопользователей и отрепетируйте собственные рефлексы до того, как придёт настоящая приманка.

  • Заново добавьте в закладки официальный сайт SSP и ваши биржи и заходите на них только через эти закладки — никогда через поисковую рекламу или ссылку в личных сообщениях.
  • Убедитесь, что вы никогда не подтверждаете транзакцию и не вводите seed-фразу в ответ на непрошеное сообщение, звонок или "агента поддержки".
  • Просмотрите недавние письма и личные сообщения на предмет того, по чему вы кликнули зря, — и смените затронутые учётные данные, если сомневаетесь.
  • Напомните всем, кто разделяет ваши финансы, что SSP и любая легитимная поддержка никогда не попросят seed-фразу.

Репетиция восстановления и наследования

Резервная копия, которую вы ни разу не проверяли, — это догадка, поэтому раз в квартал докажите, что действительно сможете восстановить доступ, вместо того чтобы это предполагать, — начните с восстановления SSP, когда вы потеряли браузер.

  • Проведите учение «потеря браузера»: восстановите расширение SSP из резервной копии в чистом профиле и убедитесь, что ваши балансы отображаются.
  • Проведите учение «потеря телефона»: убедитесь, что можете заново настроить SSP Key и полностью пройти подтверждение 2 из 2 от начала до конца.
  • Задокументируйте экстренный и наследственный доступ — где находятся копии, что нужно и к кому обращаться — для того, кому вы доверяете.
  • Убедитесь, что этот документ хранится надёжно и что доверенный человек знает о его существовании, не узнавая секреты преждевременно.

Распечатайте, запланируйте

Чек-лист работает, только если он действительно выполняется, поэтому сделайте аудит следующего квартала автоматическим, а не полагайтесь на память.

  • Распечатайте этот чек-лист или сохраните его офлайн там, где вы действительно снова его увидите.
  • Поставьте повторяющееся ежеквартальное напоминание в календарь, на одну и ту же неделю каждого квартала.
  • Запишите дату завершения сегодняшнего аудита и всё, что вы отложили, чтобы следующий квартал начался ровно там, где закончился этот.

Поделиться статьёй

Похожие статьи

Seed-фраза из двенадцати слов, напечатанная на бумажной карточке рядом с аппаратным кошельком

Лучшие практики хранения seed-фразы

Что такое seed-фраза, как хранить её, не теряя и не сливая, и как мультиподпись 2-of-2 в SSP меняет модель угроз.

7 min read
Обложка SSP Security с иконками кошелька, ключа, щита и чипа, иллюстрирующая руководство по фишинговым атакам на криптовалюты.

Фишинговые атаки на пользователей криптовалют (и как их распознать)

Криптофишинг атакует вас, а не криптографию. Узнайте паттерны — дренеры кошельков, фишинг одобрений, отравление адресов — и как помогает SSP.

7 min read
Обложка по безопасности SSP с иконками кошелька, ключа, щита и чипа на тёмно-синей квадратной карточке

Гигиена браузерных расширений для криптопользователей

Безопасность браузерных расширений: проверяйте установки, минимум привилегий, опирайтесь на LavaMoat, а SSP 2 из 2 подстрахует.

6 min read