Hacks de NFT, DeFi e criptomoedas são abundantes

A explosividade e o alto valor em dólares dos tokens não-fungíveis (NFTs) parecem distrair os investidores de aumentar sua segurança operacional para evitar explorações, ou os hackers estão simplesmente seguindo o dinheiro e usando estratégias muito complexas para explorar as carteiras dos colecionadores.

Pelo menos, esse foi o meu caso quando fui enganado por uma mensagem clássica enviada para mim pelo Discord que me fez perder meus bens mais valiosos.

A maioria dos golpes no Discord ocorre de maneira muito semelhante, onde um hacker pega uma lista de membros no servidor e envia mensagens diretas para eles na esperança de que mordam a isca.

CUIDADO: Vários golpes acontecendo no Discord hoje à noite. QUESTIONAR TUDO. Antes de clicar nos links, verifique quádruplo de quem é e se é legítimo. Em seguida, verifique mais 12 vezes no Twitter por meio de fontes confiáveis.

— Farokh (@farokh) 27 de outubro de 2021

“Acontece com todos” não são as palavras que você quer ouvir em relação a um hack. Aqui estão as três principais coisas que aprendi com minha experiência sobre como dobrar a segurança, começando com a minimização do uso de uma carteira quente e simplesmente ignorando os links de DM

Um curso rápido sobre carteiras de hardware

Após o meu hack, fui imediatamente lembrado e não posso reiterar o suficiente, nunca compartilhe sua seed phrase (frase de recuperação). Ninguém deveria estar pedindo isso. Também aprendi que não podia mais renunciar à segurança pelo privilégio da conveniência.

Sim, as carteiras quentes são muito mais fáceis e rápidas de negociar, mas não têm a segurança adicional de um pin e uma senha, como em uma carteira de hardware ou fria.

Carteiras quentes como MetaMask e Coinbase estão conectadas à internet, o que as torna mais vulneráveis ​​e suscetíveis a hacks.

Ao contrário das carteiras quentes, as carteiras frias são aplicativos ou dispositivos em que as chaves privadas do usuário ficam offline e não se conectam à Internet. Por operarem offline, as carteiras de hardware impedem acessos não autorizados, hacks e vulnerabilidades típicas dos sistemas, algo que fica suscetível quando estão online.

4/ USE UMA CARTEIRA DE HARDWARE

Uma carteira baseada em hardware armazena as chaves do seu dispositivo principal. Seu dispositivo que pode ter malware, keyloggers, dispositivos de captura de tela, inspetores de arquivos, que também podem estar bisbilhotando suas chaves.

Eu recomendo uma Ledger Nano S https://t.co/LoT5lbZc0L

— richerd.eth (マ,マ) gm NFT.NYC (@richerd) 2 de fevereiro de 2022

Além disso, as carteiras de hardware permitem que os usuários configurem um pin pessoal para desbloquear sua carteira de hardware e criar uma senha secreta como uma camada de bônus de segurança. Agora, um hacker não precisa apenas saber a frase de recuperação e o PIN, mas também uma pass-phrase (senha) para confirmar uma transação.

As senhas não são tão faladas quanto a frase de recuperação, pois a maioria dos usuários pode não usar uma carteira de hardware ou estar familiarizada com a misteriosa senha.

O acesso a uma frase de recuperação desbloqueará um conjunto de carteiras que corresponde a ela, mas uma senha também tem o poder de fazer o mesmo.

Como funcionam as senhas?

As senhas são, em muitos aspectos, uma extensão da frase de recuperação, pois mistura a aleatoriedade da frase de recuperação fornecida com a entrada pessoal do usuário para calcular um conjunto totalmente diferente de endereços.

Pense nas senhas como uma capacidade de desbloquear todo um conjunto de carteiras ocultas além das já geradas pelo dispositivo. Não existe uma senha incorreta e uma quantidade infinita pode ser criada. Dessa forma, os usuários podem ir além e criar carteiras de chamariz como negação plausível para difundir qualquer possível hack de atingir uma carteira principal.

Diagrama de frase de recuperação/senha. Fonte: Trezor

Esse recurso é benéfico ao separar os ativos digitais entre contas, mas terrível se esquecido. A única maneira de um usuário acessar as carteiras ocultas repetidamente é inserindo a senha exata, caractere por caractere.

Semelhante à frase de recuperação, uma frase secreta não deve entrar em contato com nenhum dispositivo móvel ou online. Em vez disso, deve ser mantido em papel e armazenado em algum lugar seguro.

Como configurar uma senha na Trezor

Depois que uma carteira de hardware é instalada, conectada e desbloqueada, os usuários que desejam habilitar o recurso podem fazê-lo de duas maneiras. Se o usuário estiver em sua carteira Trezor, ele pressionará a guia “Configurações avançadas”, onde encontrará uma caixa para marcar para ativar o recurso de senha.

Página de destino da carteira Trezor. Fonte: Trezor

Da mesma forma, os usuários podem ativar o recurso se estiverem no pacote Trezor, onde também podem ver se o firmware está atualizado e o pin configurado.

Página de destino da carteira Trezor. Fonte: Trezor

Existem dois modelos diferentes de Trezor, Trezor One e Trezor Model T, os quais permitem que os usuários ativem senhas, apenas de maneiras diferentes.

O Trezor Model One só oferece aos usuários a opção de digitar sua senha em um navegador da Web, o que não é o mais ideal caso o computador esteja infectado. No entanto, o Trezor Model T permite aos usuários a opção de usar o touch screen pad do dispositivo para digitar a senha ou digitá-la dentro do navegador da web.

Interface de carteira Trezor Modelo T / Trezor. Fonte: Trezor

Em ambos os modelos, após a digitação da senha, ela aparecerá na tela do aparelho, aguardando confirmação.

O outro lado da segurança

Existem riscos para a segurança, embora pareça contra-intuitivo. O que torna a frase secreta tão forte como uma segunda etapa de autenticação para a frase inicial é exatamente o que a torna vulnerável. Se esquecida ou perdida, os ativos estão perdidos.

Claro, essas camadas extras de segurança levam tempo e precauções extras e podem parecer um pouco exageradas, mas minha experiência foi uma lição difícil em assumir a responsabilidade de garantir que cada ativo estivesse seguro e protegido.

As visões e opiniões expressas aqui são exclusivamente do autor e não refletem necessariamente as opiniões do Cointelegraph.com. Cada movimento de investimento e negociação envolve risco, você deve realizar sua própria pesquisa ao tomar uma decisão.

VEJA MAIS: