disclaimer: esse tópico é muito mais focado na eth, que tem aplicações e variações, mais vetores de risco para ataques, fazer a segurança de BTCs é infinitamente mais fácil por não ter dapps.
Não sei se acompanharam mas ontem o Kevin Rose, da Proof, perdeu alguns milhões de dólares em NFTs
Squiggles da Art Blocks, Autoglyphs e mais.
tweet de um dos caras da equipe dele (eu acho)
https://twitter.com/divergencearran/status/1618359162551009281tx do hacker:
https://etherscan.io/tx/0x4ae899024f8bfcb3448364dc603db2e6ed4eab7b3a8649176230d7e33e644d44ele assinou uma transação em um site de phishing e ela transferiu de uma vez tudo que ele já tinha aprovado no opensea,
aparentemente
o post-mortem deve sair em breve detalhando as coisas
o que nos mostra que:
ninguém está a salvo
todo cuidado é pouco
nenhum sistema é perfeito
é como se você tivesse uma nota de um milhão de dólares na carteira e saísse com ela quando fosse comprar um cafézinho.
o que dá para fazer para melhorar a segurança?
Compartimentalizarusar vários endereços de carteiras e preferencialmente multi-sigs para os NFTs mais valiosos.
Usar o sistema de três carteiras: warm-cold/vaultalguns users focados em opsec já propuseram um sistema de três carteiras
a warm, uma hardware wallet que interage com os sites, aprova contratos, etc
mas nunca fica com muito valor ou muitos NFTs
essa é a carteira usada para degen mints
a cold com NFTs que vc acaba movendo mais para vendas e tal, mas que não aprova contratos duvidosos e é usada para mints confiáveis.
o vault que fica sempre intocado, não aprova nenhum contrato e só tem transações de saida e entrada para a cold
existem algumas variações disso mas isso é a base.
Tem mais dicas de práticas de segurança? comentem aí.