Около месяца назад я проснулся и увидел на экране телефона множество транзакций, связанных с моими эфирными адресами
Я сразу понял, что это взлом, и средства утеряны. Надо сказать, это было около 30% моих средств в крипте
Самое ужасное в тот момент было, что видеть, как хакер прямо на твоих глазах уводит все с кошельков, но это нельзя остановить
Все это время я анализировал причины и способы как этого избежать
У меня родился пост с разбором ошибок
Как меня взломали?На самом деле хак стал возможным из трех факторов:
- Моя невнимательность, когда я сохранил и забыл сид от МетаМаска в Evernote
- Моё секьюрити-невежество, когда я позволил себе ввести данные в небезопансой сети и не имел 2FA
- Незащищенность Evernote, которые никак не смогли меня обезопасить от незнакомого входа
Но обо всем по порядку
Меня взломали, получив доступ к моему менеджеру заметок Evernote. Хакер с помощью бота проверил весть аккаунт и нашел сид-фразу в заметке, которую я создал 5 лет назад и совершенно про нее забыл. Я сам уже забыл и не знал, что она там есть.
Хорошие новости в том, что они не взяли никакие NFT.
Как он(и) получил доступ к моему Evernote? — я до сих пор до конца не понял. Приоритетная версия — я ввел данные аккаунта, находясь в небезопасной сети. Вторая версия - взлом самого Evernote, о чем свидетельствует странное поведение их системы. Но в сети новостей об этом я не нашел
Интересно то, как отработала защита Evernote — в ночь проишествия мне от них пришло письмо, что “В ваш аккаунт выполнен подозрительный вход. Если это вы, нажмите на кнопку в письме”. Кнопку я не нажимал, но доступ они все равно получили. Конечно, почту я тоже проверил от взлома, но там не было незнакомых логов.
Позже, Evernote мне сообщили, что кнопку никто не нажимал, *access was later gained via a login attempt that didn't meet the criteria to generate a notification to your email address* — то есть вошли так, что нотификейшн просто не пришел на мою почту. Как это могло произойти, в компании рассказать отказались
Письмо пришло в 3:46. Первая операция на кошельке состоялась в 4:43
За это время, хакеры зашли в заметки, просканировали их и взломали ММ
То есть сделано быстро и с пониманием
Но вот дальше, они забыли вывести NFT, чем я и воспользовался. Правда, они это движение обнаружили и вывели бесполезное NFT от Coinlist
Как защититься?- Понимать, что публичная сеть — это опасность,
- что незапароленная сеть может быть подставной
- Небезопасное соединение — уже не просто опасность, а критический риск
- Не жать по непонятным ссылкам, не участвовать в подозрительной халяве и тд.
Поэтому нужно- Установить надежный антивирус;
- Не хранить ничего важного в облаках
- Везде включать 2FA аутентификацию
- Дополнительно можно страховаться hardware 2FA вроде YubiKey (например, для защиты аккаунта Google, к которому привязаны все 2FA)
- Установить плагин, который шифрует все соединения по протоколу HTTPS (лаборатория Касперского советует HTTPS Everywhere);
- Отключить автоматическое подключение к Wi-Fi сетям (по крайней мере, незнакомым);
- Не подключаться к сетям без шифрования (”небезопасная сеть”);
- Использовать VPN для шифрования данных в публичной сети
- Любые важные данные в общественном месте лучше вводить вообще через мобильную сеть (personal hotspot);
- Использовать менеджер паролей — он позволяет генерировать сложные пароли и надежно их хранить*
- Блокнот только для записей, что где хранится, в каком-то зашифрованном виде
- Не использовать приложения типа Metamask, которые хранят все адреса под одной сид-фразой. Если хакер получит доступ к сид-фразе, он получит доступ ко всем средствам сразу.
- Hе хранить сид от Metamask — достаточно хранить приватные ключи адресов
- Еще лучший вариант — использовать приложения, которые привязывают кошельки к разным сид-фразам (1inch Wallet или Zerion**).
*их тоже взламывают — не так давно был
утекли данные LastPass. Я выбрал менеджер Keepr по совокупности отзывов на приложения iOS и Chrome.
Что делать, если взломали Metamask?Если мы говорим про Metamask — вывести все c тех привязанных кошельков, откуда хакеры не вывели (ну а вдруг). Естественно, это должен быть кошелек, не привязанный к этому ММ . Это единственное, что можно сделать в момент хака.
Дальше можно для успокоения души оповестить поддержку Metamask, MEW, etherscan, бирж о кошельке хакера, но этим меры врядли не принесут результат
Я не нашел какого-то (де)централизированного сервиса для репортов на кошелки хакеров
Заявление написать в полицию тоже можно — ведь хакеру как-то придется выводить деньги, а при выводе он засветит свою личность. Но я не уверен, что кто-то будет этим активно заниматься.
Ну а дальше завести новый кошелек с учетом ошибок
Друзья, если вы можете как-то дополнить мой пост или просто оставить отзыв — буду рад увидеть в комментариях