Vše o bezpečnosti

Bezpečnost: Vše o bezpečnosti v NFT a v kryptoměnách

Pravidlem číslo jedna ve světě blockchainu je zůstat v bezpečí. Jelikož se jedná o digitální aktiva, jste tak teoreticky vystaveni všem nebezpečím, která se na internetu vyskytují. Při běžném provozu se sběratelé NFT i obchodníci či kryptoinvestoři setkávají s velkým množstvím podvodů a jejich základním úkolem je držet se všech pravidel a zároveň mít své kryptoměny a nezaměnitelné tokeny uložené tak, aby se k nim nikdo nedostal. To však není ani zdaleka všechno, protože podvodníci si velmi rádi zahrají i s vaší psychikou a pokusí se váš majetek vylákat tak, abyste jim jej předali téměř dobrovolně. Bohužel scamy různého druhu jsou stále sofistikovanější a vyvíjejí se, proto se musíte mít neustále na pozoru, nebo alespoň pravidelně číst náš portál, který vás bude upozorňovat na všechno, co s bezpečností souvisí. Dnešní článek je všeobecným návodem, který vám poslouží vždy, když si nebudete vědět rady.

Je blockchain vůbec bezpečný?

Na úvod je třeba zdůraznit, že potenciální hrozby by určitě neměly být důvodem, proč se blockchainu vyhýbat. Teoreticky jsou podobným způsobem ohroženy i peníze na vašem účtu v bance, ovšem s tím rozdílem, že reálný svět nabízí mnohem méně anonymity. Chtěli bychom proto zdůraznit, že krypto a NFT svět nedělá nebezpečným technologie blockchainu, právě naopak. Tato architektura se vyznačuje decentralizovanými aplikacemi a má zabudované významné bezpečnostní prvky. Po přidání datových bloků do databáze blockchainu jsou tyto bloky neměnné. Bloky jsou zpětně neměnné a verifikovány podle konsensuálních mechanismů, které vylučují podvodné transakce a chrání před hackerskými útoky. Přístup do databáze je chráněn šifrováním veřejným klíčem. Díky těmto vlastnostem se architektura blockchainu zařadila mezi nejbezpečnější databáze, jaké byly kdy vytvořeny.

Asi není třeba vysvětlovat, proč jsou NFT a kryptoměny tak zajímavým cílem pro hackery. Jedná se totiž o zcela nedostatečně regulované prostředí a podvody v tomto světě se dokazují mnohem obtížněji, protože blockchain eviduje jen peněženky, a ne jejich majitele, pokud nejde o interakci s burzou, kde jsou účty propojeny s identitou.

Ano, navzdory této pokročilé technologii však hackeři a podvodníci každoročně odcizí obrovské prostředky. Jak je to možné? Odpovědí je, že bezpečné blockchainové sítě jsou součástí ekosystému, který je tak silný jako jeho nejslabší článek. Samotný blockchain je bezpečný, ale platí pro něj běžná bezpečnostní opatření.

1. Bezpečný přístup k vašemu hardwaru

V první řadě si dávejte pozor na svůj počítač a vaše peněženky, ve kterých máte digitální aktiva uložena. Fyzická zařízení nikdy nenechávejte bez kontroly, digitální peněženky nepřipojujte k nedůvěryhodným zdrojům. O těchto detailech jsme už psali v jiných článcích a samotným peněženkám se dnes budeme ještě v krátkosti věnovat.

2. Zabezpečte si svá hesla

Hesla k peněženkám si automaticky neukládejte v klíčence prohlížeče a ani v samotném zařízení, protože hackeři se vám mohou dostat do počítače a heslo vyčíst, když ho máte uloženo například v textovém dokumentu. Hesla ani seed fráze si nefoťte do telefonu, nejbezpečnější je jejich uložení fyzicky na papíře na místě, o kterém víte jen vy. Zároveň používejte dvoufaktorovou autorizaci, i když to může být mnohdy otravné, zejména v případech, že se na konkrétní místo potřebujete přihlásit několikrát za den.

3. Vybírejte si aplikace, kterým důvěřujete

Pokud používáte novou a neotestovanou decentralizovanou finanční aplikaci, hackeři mohou zneužít zranitelnost v kódu aplikace. Než jim svěříte své peníze, tak si aplikace DeFi ověřte. Kdo za nimi stojí? Jak dlouho fungují? Jak velká je uživatelská základna? Takové otázky vám pomohou orientovat se na dobře zavedené a profesionálně udržované aplikace. Klidně se můžete přijít zeptat i na náš Discord. Zároveň neotevírejte pochybné dokumenty od lidí, které neznáte, protože mohou obsahovat malware, který bude zaměřen na vaši softwarovou peněženku.

4. Buďte skeptičtí

Dávejte si pozor na různá podvodná schémata, mezi nejčastější patří například známý pump-and-dump formát, kdy podvodníci uvedou token na trh nebo způsobí dočasný nárůst ceny různými emočními aktivitami na sociálních sítích, pak token rychle prodají a opustí trh, přičemž kupujícím zůstanou v rukou bezcenné tokeny. Kromě těchto podvodů existují také různé rug pully a podobně. Skeptičtí nebuďte jen vůči projektům, ale i vůči lidem, které neznáte. Pokud vám někdo nabízí něco příliš výhodného na to, aby to byla pravda, zřejmě to pravda nebude. Také ověřujte, zda komunikujete s účtem, o kterém si opravdu myslíte, že je pravý. Ve světě kryptoměn lidé často kradou identity, tedy jména a profilové fotky, a vydávají se za vaše kamarády, kterým byste věřili, že vám neposílají podvodné linky nebo se od vás nesnaží vylákat cenné informace. Dávejte si pozor i na tzv. „social engeneering“. Jedná se o techniku podvodníků, kteří vás dokáží zpracovat natolik, že jim poskytnete i informace, které byste za normálních okolností drželi v tajnosti.

Kde všude se setkáte se situací, kdy jsou vaše aktiva v potenciálním ohrožení?

Ti, kteří se ve světě kryptoměn pohybují už nějakou tu chvílí, ví, že podvodníci číhají na své oběti takřka na každém rohu. Proto si v bodech níže představíme situace, u nichž byste měli být obezřetní.

1. Když klikáte na různé linky a stahujete soubory

Můžete se tak dostat na weby, které jsou napadeny různými typy malwarů nebo virů, které dokážou například ve vašem počítači přečíst privátní klíče a poskytnout je útočníkovi. Patří sem i různé keyloggery, které dokážou odhalit vaše hesla a přístupové kódy na burzy a podobně.

2. Když někomu poskytujete heslo

Je to však jednoduché, žádná přístupová hesla nikdy nikomu nedávejte, a pokud ano, nikdy ne prostřednictvím online komunikace. Když potřebujete z jakýchkoli důvodů přístup k účtu s někým sdílet, domluvte se osobně.

3. Když děláte interakci s blockchainem

Vždy si dávejte pozor, jaký typ transakcí podepisujete v softwarové peněžence jako například MetaMask, protože se může stát, že svým podpisem nevědomě podepíšete povodníkovi přímý přístup k vaší peněžence, se kterou si tak bude moci dělat, co jen chce. Dávejte si pozor, jestli jste na oficiální stránce, neboť podvodníci často tvoří falešné weby (například namísto opensea.io vyvoří opensae.io) a tyto weby následně propagují na googlu tak, aby se dostaly co nejvýše. Na tuto falešnou stránku s designem originálu pak umístní kontrakt, který podepíšete v dobré víře, a tento kontrakt vám následně vykrade peněženku. Když budete podepisovat jen transakce na ověřených webech, nic se vám nemůže stát. Potřebujete-li podepsat transakci na neověřeném webu, použijte „burner“ wallet, tedy peněženku, na které nic nemáte. Dobrou zprávou je, že už samotný MetaMasak dokáže stále lépe rozeznat podezřelé transakce, na které vás včas upozorní.

Hardware peněženky

Hardwarové peněženky jsou nejbezpečnějším způsobem, jak můžete uchovávat své kryptoměny a NFT. Jelikož tyto peněženky mohou být zcela izolovány od sítě, klíče uložené v hardwarových peněženkách se často považují za mnohem bezpečnější než softwarové peněženky jako například MetaMask. Rozdíl je v tom, že když chce uživatel provést jakoukoli interakci, resp. transakci na účtu propojeném s hardwarovou peněženkou, musí mít tuto peněženku fyzicky u sebe, protože na ní musí provést úkony potvrzující vlastnictví včetně zadání pin kódu, který se zobrazuje pouze na této hardwarové peněžence, a hesla.

Používají 12 až 24slovní frázi k obnovení zálohy v případě, že uživatel zařízení obsahující soukromý klíč ztratí. Nejznámější výrobci jsou Trezor a Ledger, na které se dnes podíváme v detailním srovnání.

Obecně platí, že obě peněženky mají své výhody a záleží na uživatelích, jaký přístup budou preferovat. Obě značky nabízejí levnější i dražší variantu hardware peněženky, ta dražší je samozřejmě vhodnější pro zkušenější a náročnější uživatele, ale zabezpečením se v zásadě neliší. Například Trezor model T je velmi atraktivní svým dotykovým barevným displejem, Ledger peněženky potěší kvalitním kovovým zpracováním a velikostí „do kapsy“. Více o těchto peněženkách si můžete přečíst v tomto článku, kde porovnáváme Trezor a Ledger. Pokud vás zajímá více informací o softwarové peněžence MetaMask, naleznete je v tomto článku.

10 pravidel pro bezpečné obchodování s NFT a kryptoměnami

Nyní vám přinášíme deset pravidel, kterých se držte vždy, když budete s NFT a kryptoměnami obchodovat:

1. Nikdy nikomu nedávejte svou seed phrase

Počáteční fráze neboli seed phrase se využívá k tomu, abyste mohli obnovit svou peněženku kdykoli a kdekoli, tedy za pomoci 12 až 24slovní frázi, kterou máte mít zapsanou na papíře mimo počítač. V případě, že ztratíme přístup do MetaMasku, tak nepřijdeme o své NFT a kryptoměny, ale zadáme je znovu do MetaMasku a pokračujeme dál. Pokud o tato slova přijdeme a zapomeneme heslo do MetaMasku, tak ztratíme přístup navždy. Tuto seed phrase nikdy s nikým nesdílíme. Hlavně na Discordu je možné potkat mnoho podvodníků, kteří žádají seed phrase výměnou za NFT nebo jiné výhody. Další typ podvodu je situace, kdy se uživatele snaží kontaktovat falešní zaměstnanci podpory MetaMasku a nabízí podporu nebo pomoc při vyřešení problému.

2. Nikdy neklikejte na linky, které vám někdo pošle na Discordu nebo Twitteru a neznáte je

V NFT světě se scamy nejčastěji dějí přes falešné linky. Podvodníci například doplní do oficiálního linku pomlčku nebo jiný nenápadný znak a zkopírují design jiné webové stránky. Když MetaMask uživatele vyzve, aby podepsal přístup k peněžence, v dobré víře jej uživatel dobrovolně udělí a podvodníci tak mohou bez problémů ukrást vše, co se na kompromitované peněžence nachází. Zejména u velmi exponovaných NFT projektů podvodníci vytvářejí falešné stránky, které vypadají jako oficiální. Méně sofistikovaní podvodníci například vytvářejí falešné stránky, které sice přímo nevykrádají peněženky, ale přinejmenším prodávají NFT bez jakékoli hodnoty.

3. Když něco vypadá až příliš dobře, aby to byla pravda, s pravděpodobností hraničící s jistotou to pravda není

Když vám někdo nabídne velmi vzácné NFT z vyprodané kolekce za extrémně nízkou cenu, většinou se jen chce dostat do vaší peněženky a vykrást ji.

4. Všechny vzácnější NFT a vyšší částky ETH si uložte na hardware peněženku

Ověřeny jsou Trezor nebo Legder. V případě mintování NFT ze stránek, které nejsou stoprocentně bezpečné, se důrazně doporučuje používat peněženku, která je prázdná (obsahuje jen hodnotu kryptoměny potřebnou k nákupu) a neobsahuje žádné další vzácné NFT nebo kryptoměny. Důvodem je, že při nákupu NFT musí dát uživatel povolení k interakci. Méně zkušení uživatelé mohou dát spolu s tímto povolením podvodníkovi také povolení k vytažení kryptoměn nebo NFT.

5. Všude, kde je to možné, si nastavte dvoufaktorové ověření

Jedná se o dvojí zabezpečení profilu při přihlašování, doporučujeme si jej nastavit všude, i mimo NFT svět. Obzvlášť důležité to je nejen na Discordu, ale i Twitteru, kde by vaším jménem mohl někdo vystupovat a zneužívat důvěru jiných lidí k vám, aby tímto způsobem například rozesílal falešné linky. Nastavení je jednoduché, většina platforem umožňuje ověření přes SMS zprávu nebo kód v e-mailu. V úvahu přichází i ověřování přes aplikace třetích stran, které pravidelně generují jiný autorizační kód, jako je tomu například u internetového bankovnictví. Mezi populární aplikace patří například Google Authenticator, Microsoft Authenticator ci Authy.

6. Vypněte si možnost, aby vám kdokoli na Discordu a Twitteru mohl posílat soukromé zprávy

Čím méně lidí vás bude kontaktovat, v tím větším bezpečí budete. Discord už dnes dokáže rozlišit falešné účty například podle toho, že jsou relativně nové mladé, nebo rozesílají velkému počtu lidí stejnou zprávu, proto vám je pravděpodobně hodí mezi spam. Platí, že pokud nečekáte od nikoho žádnou zprávu, na Discordu vám budou v 99 % případů psát jen podvodníci.

Tuto možnosti si vypnete v nastavení Discord účtu v záložce Privacy & Safety viz obrázek níže.

Vypnutí zpráv na Discordu
Vypnutí zpráv na Discordu

7. Dejte si pozor na falešné Discord boty, kteří se používají k ověření pro majitele konkrétních NFT

Jednou z hojně využívaných podvodných technik jsou falešní Discord boti. Ti vypadají takřka stejně jako ti oficiální, a mají za úkol, dostat se uživateli do jeho peněženky za pomocí podepsání transakce, díky čemuž dostanou možnost manipulovat s NFT/prostředky v dané peněžence. Jakmile je transakce podepsána, peněženka je automaticky vykradena. U každého Discord bota vždy zkontrolujte, že se jedná o oficiálního bota, který vedle svého názvu obsahuje tento štítek s fajfkou a textem „BOT“.

Discord bot
Discord bot

8. Nikdy nekupujte NFT ze sekundárních marketů, aniž byste si zkontrolovali, zda se jedná o oficiální profil projektu

Podvodníci vytvářejí falešné kolekce, kde přidávají extrémně levné NFT, které však v konečném důsledku nemají žádnou hodnotu.

9. Nikdy neposílejte své NFT někomu pod záminkou, že vám ho „vylepší”, nebo že si ho s vámi bude chtít vyměnit

K výměně NFT za NFT existují oficiální nástroje, o kterých si více povíme v našich článcích.

10. Nebojte se ptát se a informovat se

Pokud si nejste jisti, obraťte se na zkušenější investory, které najdete i na prvním a největším československém NFT discordu NFT Space. Poradí vám, jak rozeznat falešné a reálné boty, se kterými můžete přijít do kontaktu.

Například Discord bot collab.land slouží k tomu, abyste si propojili discord s MetaMaskem a prokázali tak vlastnictví NFT. Většinou tím získáte roli holdera a přístup do soukromých kanálů. Existují však také falešní collab.land boti, kteří od vás budou vyžadovat podpis na metamasku. Problémem však je, že když jim ho udělíte, pravděpodobně udělíte povolení k vytažení NFT a kryptoměn. Jediný skutečný collab.land je Collab.land#6372. Poznáte ho i tak, že má vedle jména ikonu BOT, ale pozor, scammeři tuto ikonu často nahrazují obrázkem. Doporučujeme si ke skutečnému Collab.land profilu dát poznámku „toto je skutečný collab.land” a nikdy se vám nestane, že se připojíte k falešnému.



Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

Tato stránka používá Akismet k omezení spamu. Podívejte se, jak vaše data z komentářů zpracováváme..