Мой MetaMask взломан. Основы крипто-безопасности

[witcher_sense]

Быть первопроходцем - это тоже не очень хорошая стратегия. Хорошая технология или обновление должны отлежаться. Пусть лучше другие потестируют их. Есть масса толковых пользователей, которые любят тестировать новинки. А управление финансами требует здорового консерватизма.

Поэтому стоить отключить автообновления и прежде чем загружать новые версии приложений просматривать новости кибербезопасности и читать сообщения о новых уязвимостях. Но обычно это только мобильных приложений касается, потому что я не помню чтобы Windows обновлял что-то кроме самого себя. Или расширения для браузера вроде того же Метамаска... Вы хоть раз замечали что они тоже обновляются и даже не спрашивают хотите ли вы этого? Может случится так, что зловредный код окажется в самом официальном приложении, установленном у миллиона пользователей и последствия будут очень печальными как для них, так и для всей криптоиндустрии если монета известная и кошелек популярный. В общем, здесь опять работает старый добрый рецепт в виде холодного хранилища: никакого Интернета, никаких обновлений, никаких проблем.

[1714499179]

1714499179

[Smartprofit]

Быть первопроходцем - это тоже не очень хорошая стратегия. Хорошая технология или обновление должны отлежаться. Пусть лучше другие потестируют их. Есть масса толковых пользователей, которые любят тестировать новинки. А управление финансами требует здорового консерватизма.

Поэтому стоить отключить автообновления и прежде чем загружать новые версии приложений просматривать новости кибербезопасности и читать сообщения о новых уязвимостях. Но обычно это только мобильных приложений касается, потому что я не помню чтобы Windows обновлял что-то кроме самого себя. Или расширения для браузера вроде того же Метамаска... Вы хоть раз замечали что они тоже обновляются и даже не спрашивают хотите ли вы этого? Может случится так, что зловредный код окажется в самом официальном приложении, установленном у миллиона пользователей и последствия будут очень печальными как для них, так и для всей криптоиндустрии если монета известная и кошелек популярный. В общем, здесь опять работает старый добрый рецепт в виде холодного хранилища: никакого Интернета, никаких обновлений, никаких проблем.

Да, Метамаск  не производит впечатление надёжного кошелька.... Если мобильная версия по идее должна более-менее работать, если разработчики не накосячили там вконец (всё-таки в мобильных системах приложения работают в некой более-менее защищённой изолированной среде), то расширение для браузера кажется совсем ненадёжным.

Между тем, если заниматься всякими ретродропами и так далее, то приложение метамаск устанавливаемое на android или ios, работает там через раз.

Для полной функциональности нужно иметь именно Meta mask в виде браузерного расширения. А это кажется совсем ненадёжным. И сама винда во многом дырявая, и браузер это по-моему очень популярная и лёгкая атака для хакеров. Такие кошельки, на мой взгляд, ломаются на раз.

В том числе с помощью фишинга проходят атаки.

Ну и невнимательность пользователей - конечно хакеру помогает, а откуда взяться внимательности, если для получения ретротропа, нужно выполнить сотню различных действий?

[andy_pelevin]

Да, Метамаск  не производит впечатление надёжного кошелька.... Если мобильная версия по идее должна более-менее работать, если разработчики не накосячили там вконец (всё-таки в мобильных системах приложения работают в некой более-менее защищённой изолированной среде), то расширение для браузера кажется совсем ненадёжным.

Между тем, если заниматься всякими ретродропами и так далее, то приложение метамаск устанавливаемое на android или ios, работает там через раз.

Для полной функциональности нужно иметь именно Meta mask в виде браузерного расширения. А это кажется совсем ненадёжным. И сама винда во многом дырявая, и браузер это по-моему очень популярная и лёгкая атака для хакеров. Такие кошельки, на мой взгляд, ломаются на раз.

В том числе с помощью фишинга проходят атаки.

Ну и невнимательность пользователей - конечно хакеру помогает, а откуда взяться внимательности, если для получения ретротропа, нужно выполнить сотню различных действий?

Существуют приложения, которые не являются кошельками, но позволяют пользователю дополнительно контролировать работу кошелька. Что-то наподобие внешнего брандмауэра для кошелька. Суть работы таких приложений заключается в перехвате запросов на проведение транзакции от внешних WEB3-приложений и моделировании предлагаемой к исполнению транзакции. Этот прием позволяет пользователю увидеть результат исполнения транзакции до её проведения и оценить риски, предоставить дополнительную защиту от фишинга. Хороший пример такого приложения https://www.stelolabs.com/ но есть и другие с похожим функционалом.

[Smartprofit]

Да, Метамаск  не производит впечатление надёжного кошелька.... Если мобильная версия по идее должна более-менее работать, если разработчики не накосячили там вконец (всё-таки в мобильных системах приложения работают в некой более-менее защищённой изолированной среде), то расширение для браузера кажется совсем ненадёжным.

Между тем, если заниматься всякими ретродропами и так далее, то приложение метамаск устанавливаемое на android или ios, работает там через раз.

Для полной функциональности нужно иметь именно Meta mask в виде браузерного расширения. А это кажется совсем ненадёжным. И сама винда во многом дырявая, и браузер это по-моему очень популярная и лёгкая атака для хакеров. Такие кошельки, на мой взгляд, ломаются на раз.

В том числе с помощью фишинга проходят атаки.

Ну и невнимательность пользователей - конечно хакеру помогает, а откуда взяться внимательности, если для получения ретротропа, нужно выполнить сотню различных действий?

Существуют приложения, которые не являются кошельками, но позволяют пользователю дополнительно контролировать работу кошелька. Что-то наподобие внешнего брандмауэра для кошелька. Суть работы таких приложений заключается в перехвате запросов на проведение транзакции от внешних WEB3-приложений и моделировании предлагаемой к исполнению транзакции. Этот прием позволяет пользователю увидеть результат исполнения транзакции до её проведения и оценить риски, предоставить дополнительную защиту от фишинга. Хороший пример такого приложения https://www.stelolabs.com/ но есть и другие с похожим функционалом.

Почитал про этот проект и он произвёл очень хорошее впечатление. Во-первых, это проект с открытым кодом. А это вообще базовое требование к программному обеспечению в сфере криптографии. Я правда сам этот код проверить не могу, но верю, что другие заинтересованные лица, более продвинутые, чем я в технических знаниях, его посмотрят,  и оценят его безопасность.

Во-вторых, ты программное обеспечение выдаёт всевозможную информацию на английском языке, пояснение о том что происходит. Мир веб 3.0 очень сложен, а кошелёк metamask не даёт нужную информацию, когда совершаешь различные действия. Вот недавно увлёкся ретро-дропами всякими, тест нетами, и там всё очень непросто и есть большие опасения потерять всё содержимое кошелька.

Вобщем спасибо за наводку, буду курить.

[klarki]

Вот недавно увлёкся ретро-дропами всякими, тест нетами, и там всё очень непросто и есть большие опасения потерять всё содержимое кошелька.

Вобщем спасибо за наводку, буду курить.

Чтобы не опасаться потерять все содержимое кошелька, то старайтесь проверять какие конкретно разрешения вы выдали при взаимодействии с контрактом, в идеале отзывать эти разрешения после взаимодействия. ну а про то, что не стоит во всем этом вариться с основного кошелька, думаю и так понятно. Тем более когда это вызывает лишь небольшие неудобства.
Многие ленятся, а потом удивляются потерям.

[bakasabo]

А если давать разрешение «смотреть баланс, видеть транзакции и советовать транзакции на перечисление» (стандартное уведомление от метамаска при подключении) то можно ли ожидать потерю средств? Или от подобных подключений можно ожидать лишь что они попытаются подсунуть на accept какую-то транзакцию?

У меня метамаск подключен к разным ретродропам, тестовым сетям, я выполняю разные активности в тестовых сетях. Стоит ли ожидать удара по кошельку?

[satscraper]

А если давать разрешение «смотреть баланс, видеть транзакции и советовать транзакции на перечисление» (стандартное уведомление от метамаска при подключении) то можно ли ожидать потерю средств? Или от подобных подключений можно ожидать лишь что они попытаются подсунуть на accept какую-то транзакцию?

У меня метамаск подключен к разным ретродропам, тестовым сетям, я выполняю разные активности в тестовых сетях. Стоит ли ожидать удара по кошельку?

Такие разрешения потенциально несут непрямые угрозы. Например разрешение «смотреть баланс" может спровоцировать атаку "отравления адреса" (address poisoning attack).

Если ваш баланс заинтересует кого-то, соответствующий адрес может быть пополнен против вашей воли токеном, ценность которого близка к нулевой.

Адрес с которого будет произведено это пополнение практически будет мало  отличаться от вашего (может  быть только парой знаков где-то в середине адреса) на котором и существует этот баланс.


А дальше всё зависит от вашей внимательности при осуществлении дальнейших транзакций. Если будете невнимательны, то можете потерять все средства.


В Интернете много информации как проводятся атаки такого типа. Думаю найдете, если заинтересуетесь.

[Smartprofit]

Вот недавно увлёкся ретро-дропами всякими, тест нетами, и там всё очень непросто и есть большие опасения потерять всё содержимое кошелька.

Вобщем спасибо за наводку, буду курить.

Чтобы не опасаться потерять все содержимое кошелька, то старайтесь проверять какие конкретно разрешения вы выдали при взаимодействии с контрактом, в идеале отзывать эти разрешения после взаимодействия. ну а про то, что не стоит во всем этом вариться с основного кошелька, думаю и так понятно. Тем более когда это вызывает лишь небольшие неудобства.
Многие ленятся, а потом удивляются потерям.

Да, я это сообразил, конечно, создал специальный кошелёк. Но все равно, есть ощущение, что постоянно по минному полю ходишь!

Я поэтому и немного разочаровался во всех этих тестнетах и ретроаирдропов, что приходится делать огромное количество разных действий. Туда - сюда эфиры гоняешь, ходить по разным злачным сайтам .... И шанс ошибиться и сделать что-то не так, при этом очень большой.

Про разрешения, которые выдаются конкретному смартконтракту, не уверен, что я соблюдал это требование. Это ещё больше усложнит прохождение всех этих квестов.

[klarki]

Такие разрешения потенциально несут непрямые угрозы. Например разрешение «смотреть баланс" может спровоцировать атаку "отравления адреса" (address poisoning attack).

Имеет право на жизнь, учитывая сколько операций в день делает пользователь кошелька, участвуя в различных активностях от проектов.

Про разрешения, которые выдаются конкретному смартконтракту, не уверен, что я соблюдал это требование. Это ещё больше усложнит прохождение всех этих квестов.

Хорошо, когда все эти разрешения выдаются в сетях с низкой комиссией, хотя порой комисси за ревок превышают 10$. А если регулярно делать это претендуя на предполагаемое вознаграждение лишь в будущем, то вырисовывается кругленькая сумма за газ)