ВЫПУСК #1184, 11 апреляI was made for loving TrumpTrump was made for loving me?
Гайды09 апреля
Этот гайд спасет тебя и твою крипту
После этого гайда ты не сможешь повестись на фишинг или взлом дискорда, ибо сразу заметишь какую-то подлость.
Причем упор в статье делается не только на скамину. Но и банальные издержки профессии, те подводные камни, о которых не говорят на массовую аудиторию. Мы даже учитываем такие микро риски, как шанс проебать будущую работу.
Гарантия 99%*
Важный дисклеймер!
Мы не видим смысла разбирать супер лютые-хитрые схемы, где тебе подменят подпись через взлом твоего тостера, даже если у тебя его нет. Во-первых, шанс на такое 1 из 1000000. Во-вторых, целями таких атак являются супер богатые организации и личности.
Но мы затронем все, что надо знать рядовому криптану. Покажем методы скамеров и разберем методы защиты “мамкиных хацкеров”.
Автор статьи: Киса
Редактура: Грязин
И хотя этот мем-спойлер ко всей статье, мы не просто иронично посмеемся над этим. Разобрали даже самые радикальные случаи.
Все скам схемы, угрозы и методы защиты будут поделены по темам:
1. Вирусы, корявости, утечки: все что делают на твоем ПК/телефоне
2. Атака на протокол: дрейнеры, уязвимости
3. Приколы веб3
4. Атака на ресурс: взлом акков, сайтов
5. Фишинг
6. Общие риски, как не ректануться
7. Лудомания как состояние души
8. DeFi: простыми словами о сложном
9. И как же мне в итоге хранить деньги???
10. На случай, если случился пиздец..
Взлом на твоем ПК
Здесь методы защиты самые базовые:
- Не запускай подозрительные .exe .msi файлыНе открывай .pdf и .zip файлы, если не уверен в их происхожденииНе храни данные в открытом ввиде.
- Seed-фраза и пароли в TXT файле это пиздец
- Тебе могут подсунуть стиллер при загрузке txt с фишинг сайта
Вот тебе примеры скам схем:
- “Дружище, запусти игру. Я бета тестер, но уехал отдыхать на море. Мне срочно надо челикам из проекта отписать баг репорт за дроп. Сделай за меня, пжлст. Я тебе заплачу 300 баксов”.
Помог бедолаге? Красавчик, его exe только что вытащил все твои приватники с кошельков на ПК.
- Установил антивирус (у них всегда глубокий доступ к ОС). Но антивирус “случайно” взломался силовыми структурами какой-то страны. А ты держал SEED в .txt. Поздравляю! У тебя увели все приватники.
- Тебе скинули презу проекта, дефолтный .pdf. Ты его открыл, а там был зашит вирус. И не удивляйся, туда действительно можно зашивать вирусы.
Есть совсем чудовищные взломы, которые появились недавно и фиг знает как от них нормально защищаться, если только снижать риски. В чем суть, есть сайты с фейковым Cloudflare, которые при “галочке” скачивают на комп вирус.
Проблема в том, что судя по твитам жертв – достаточно загрузки, чтобы вам уже взломали жопу и увели все бабки с кошельков. В такой расклад верится с трудом, вероятно у них работает открытие файла после загрузки, мб настройка системы или дырявость в N браузере на конкретной версии. Это частные случаи.
Но сам факт, вам могут подсунуть фейковый сайт, который при нажатии галочки сделает тебе больно. Причем, жертвы пишут, что взломан весь ПК. Даже аккаунт от телеги угнали.
1. Отключи автозагрузку файлов с сайтов
2. Лучше не открывать непонятные сайты с того же браузера где у тебя основной кошелек, а лучше и даже не с основного компа. Ниже посоветую виртуальные машины – твой выбор.
3. Попробуй для себя линукс и/или MacOS, системы во многом похожие и кажется, в них сильно меньше вирусов и они реже создаются + магия в том, что часть линукс софта сразу работает в песочнице или имеет меньше дыр.
Чтобы тебе было проще – готовое руководство на самый правильный браузер в крипте (Brave само собой). По умолчанию браузер открывает окно в котором ты выбираешь путь загрузки, тобишь можно отследить подброшенный вирус. Но можешь упороться и вовсе отключить загрузку. Опции отключить загрузку файлов нет, но есть фокус через настройку папки сохранения файлов. Скачать что либо будет невозможно.
1. Настройки - загрузки
2. Спрашивать куда скачивать и в качестве пути к папка – .
3. Точка, да.
Про интернет, вдохновляясь одноименным гайдом
Прикол в том, что нет какой-то настолько большой необходимости контролировать ваш интернет трафик, DNS может быть кастомным в самом VPN чтобы вырезать рекламу с сайтов. Фишинг или скам вроде как отлично перекрывает Pocket Universe + Rabby. По этой причине, не вижу смысла грузить юзера тем, что он не понимает и проживет без этого.
Но я упомяну саму такую опцию. В системе можно заменить службу DNS, например на ту, что вырезает рекламу и блокирует скам сайты (из их черного списка). Гуглируйте.
И немного про методы атаки, вроде блютуз сервисов
Вся безопасность базируется на том, что если что-то есть оно уже может быть точкой уязвимости. Знаешь как хранят крупные суммы в крипте? Покупают Мак, ставят туда кошелек – кидают бабки. И больше никогда не выходят в интернет.
Давай в конце статьи я посоветую тебе методы хранения крупных сумм так, чтобы ты не переживал (я тебя сильно удивлю, думаю). Но ты рядовой криптан и активно пользуешься криптой, разным софтом и так далее.
Но шанс того, что тебе кинут стиллер на флешку красивые женщины около нуля, если ты всем в мире лично не разболтал, что у тебя в крипте 1 лям баксов.
Тем более, ВСЕ методы криптографии обнуляет паяльник в попке и ты привязанный к стулу. И это не шутка, пойми это. Если ты разболтал лишнего, ты можешь составить список тех уникумов, кого закопали в лесу :)
Едва ли тебя что-то спасет в такой ситуации.
WEB3-гадость: как потерять депозит ничего не делая
Немного теории. Она слегка душная, но тебе очень важно понять принцип. Твой кошелек это 12/24 слов, они же Seed-фраза. Такая фраза создает тебе твои публичные адреса. Ты их видишь, знаешь.
Вот к каждому адресу идет приватный ключ. Любое действие в крипте – подпись. Ты что-то подписываешь (транзакцию) и она совершает обозначенное действие.
Чтобы в EVM сетях или Solana потратить токены (кроме ETH и SOL) ты даешь сначала право траты, потом уже тратишь их. В Solana кошельках эти 2 этапа вложены в один.
Так вот. Разрешая тратить токены ты обозначаешь сумму и время. Например, сайт может попросить тебя подписать навсегда отдать 12324209342909 USDT.
Такие разрешения ты даешь конкретному смарт-контракту, например, смарт-контракт пула в Uniswap.
И теперь смотри, что может случиться плохого:
1. Ты оставил апрув на N сумму X токена. Уже давно все вывел, но апрув оставлен. Если в контракте будет дыра – злоумышленник может дернуть твои деньги с кошелька.
2. Подобным образом работает дрейнер, тебе подсовывают транзу, которую ты подписываешь не глядя. Она тащит с твоего кошелька все деньги. Дрейнеры могут быть и спящие, не трогать тебя, пока ты не закинешь минимальную сумму – 1к долларов, например.
3. Сайт может подменить сумму/актив. Так работает фишинг. Предположим, что тебе дали ссылку на клейм токена. Но вместо клейма там то, что ты не ждешь – списание всех твоих средств. Отправка 100% ETH на чужой кошелек.
Самое страшное, что в Solana можно отписать право владения твоим кошельком целиком, (упоминали как-то тут) это исключает любую попытку избавиться от последствий скама. Если какой-то дрейнер подписал – все.
Как это работает?
В Solana каждый аккаунт (например, твой кошелек) имеет владельца — это программа, которая управляет аккаунтом. Изначально всеми кошельками "владеет" System Program. Передача владения — это когда ты подписываешь транзакцию, которая меняет владельца твоего аккаунта с System Program на другую программу – дрейнер, в нашем случае.
А теперь важная часть, которая основана на том, что смарт-контракт дает делать что угодно. Можно сделать токен с комиссией в 100% или с черным списком. Или бесконечный.
- Купил и не можешь продать – ханипот
- Купил, цена резко вниз (в нуль) - рагпул, dev вывел всю ликвидность, продал все свои токены. Это откровенный скам.
- Купил, цена вниз, вниз, вниз, вниз - слоураг. Медленный скам, когда dev потихоньку выкачивает бабки из проекта. Еще слоурагами зовут просто слабые проекты, которые могут идти только в дно.
Мир DEX, где ты торгуешь токенами от рандомных, локально известных и просто не крупных проектов – чистый дикий запад.
А еще случился супер забавный скам, который мог тебя задеть случайно и в самом непредсказуемом месте. В ТГ 8 месяцев была уязвимость, абуз старсов. Их депали через подарки и возврат средств за покупку старсов. Этот процесс был поставлен на поток. Миллионы звезд торговались скамерами, которые предлагали взять у них со скидкой эти самые звезды, а ими же купленные подарки в одну ночь (с 2 на 3 апреля) просто удалились, когда случился массовый отзыв звезд.
10.000.000 звёзд были рефнуты продавцами. И только в этот момент ТГ закрыли дыру, которая привела к тому, что некоторые крупные холдеры подарков потеряли все = потеряли деньги. Сюр.
Запомни этот момент с телеграм и фейковым cloudflare, дальше в статье будет разговор об уязвимости леджера. Пища для размышлений.
Самое веселое: если что-то взломали
Самое страшное – это взлом централизованного сервиса, где лежали твои данные. Биржа = потеря средств, хранилище паролей = потенциальная утечка крипты. Может случится деанон, твои данные утекут в какой-то сборник из номеров, адресов и фоток паспортов.
Такие утечки время от времени случаются, к сожалению.
Так вот, ближе к теме крипты. Какие тут скам схемы случаются, если что-то удалось взломать.
1. Если получен доступ к бирже – вывод ее средств и отправка в стакан. Но там разный набор кошельков, разные доп меры безопасности. Поэтому, такой взлом не 100% гарантия утечки твоих средств.
2. Получен доступ к твиттеру: вброс твитов с фишингом, скам ссылки
3. Получили доступ к дискорду: веселее, можно подменить ботика (или взломать его напрямую) и подсунуть фишинг в авторизацию/привязку кошелька.
4. Взломали web3-сайт: суем фишинг и дрейнеры при подписи в кошельке
Очевидно: не храни бабки на биржах, думай какие данные держишь в соц. сеточках. Особенно сидку в избранном в ТГ, знаем мы тебя.
Фишинг
Самый простой, но порой мега эффективный способ. Он заключается в том, чтобы подсунуть тебе ссылку, которая заберет твои деньги. И ты перейдешь по ней, ибо уверен в том, что все официально и безопасно. Фишинг встречается везде.
- Фейковый твиттер аккаунт пишет в комментариях, создавая ощущение продолжения треда, мол автор дальше написал.
Метод скама такой частый, что сейчас все проекты ставят такие баннеры в конце твитов, чтобы ты не повелся на фейк уже после.
- Люди в твиттере/телеграм призывают перейти к раздаче токенов/НФТ и так далее, завлекают куда-то успеть
- Некий проект/бот просит оставить свою сид фразу. Я тебя удивлю, но буквально год назад встретил мужика, которые переписал мошенникам свою сидку.. якобы дроп дадут.
- Ты загуглил сайт, Relay, например. А тебе гугл 1 ссылкой выдал рекламу скама. Да-да, такое бывает :) Хотя казалось бы, каким надо быть имбицилом, чтобы повестить на такое
- Пишут в личку в телеграм или дискорде, выдавая себя за кого угодно, но пытаясь тебе что-то всунуть и впарить, если говорить конкретнее.
Предлагают купить у тебя твои подарки/имя в ТГ, кидая ссылку якобы на фрагмент. Но там фейковый бот, который просто украдет твои активы и деньги :)
А в дискорде они любят выдавать себя за админов.
КАК ЖЕ НЕ ОКАЗАТЬСЯ ЖЕРТВОЙ?
Идем прямо по теории и наращиваем свою броню. Здесь работает правило кибербезопасности: идеальная защита – это полная изоляция при которой даже пользоваться системой не получится. Если есть хоть что-то = есть точка уязвимости.
Отсюда мы должны понимать, что постоянно берем на себя некоторые риски. А реализовать негативный сценарий может лишь прослойка между стулом и монитором (ты). Я не буду советовать самые лучшие и надежные методы безопасности, если они выходят за грани разумного и комфорта.
ВНИМАНИЕ! Буду давать разные названия и ссылки, разбирайтесь сами. Так супер подробные материалы, я лишь кратко объясню зачем нужно и как использовать. Установка и настройка на вашей совести.
1. Неважно свежая у тебя ОС, есть антивирус или нет. Не надо открывать все подряд! Любые файлы либо игнорируй, либо запускай на виртуальной машине.
2. Используй виртуальные машины, почитай материалы по Virtual manager и QEMU KVM, подойдет на любую ОС.
3. После установки и настройки надо будет решать пару вещей: общий буфер обмена и единая папка хранения файлов, загугли гайды отдельно под свою прогу и ОС. Тебе понадобится, чтобы работать с разными файлами. А иначе зачем тебе виртуалка.
4. Самое главное, что если там будет какой-то вирусняк и прочее говно, ты можешь просто ее удалить и создать новую (или откатить под снимок).
5. Используй инструмент очистки файлов от вирусов (в первую очередь pdf) – Dangerzone Тут все просто. Скачал файл - открыл через эту прогу. Открыл ее отредактированный вариант, если вирусы и были - они мертвы. Но лучше не рисковать и открывать такое на виртуалке!
6. Не храни данные в открытом виде. Любые пароли, сидки и прочее – записывай в зашифрованный контейнер. KeePassXC тебе в помощь.
7. Будь очень внимателен к физическим объектам. Тебе могут занести вирус через флешку или стиллер какой подкинуть. В ОСках не даром есть разные опции монтирования (подключения). Можешь запретить монтирование USB, чтобы без ввода пароля не вышло запустить вставленную в порт флешку.
Тру стори, как-то взял студенческую флешку подруги и нашел там троянов штук восемь. Студенты друг другу кидают, передают рефераты :)
2. 90% твоей обороны стоит в браузере и том, как ты сидишь в крипте. Система это чисто опора, в которой мы закрыли чувствительные места
- Не выходи в интернет без Pocket Universe. Штука десяток раз спасала меня от скамины в EVM. Они подробно и явно описывают последствия каждой транзакции. Они подписывают автора твита, чтобы не попасть на фейк. Они кидают раг-пул уведомление когда вы смотрите где либо график с токеном. Открыли фишинг/скам? НАПИШЕТ НА ВЕСЬ ЭКРАН, ЧТО ЭТО СКАМИНА.
Да, не панацея. Некоторые проекты он не может проверить, может ругать транзакции в тестнете и 0.1% легит сайтов с ним не работают нормально. Но 99% времени это ваш бро и способ сидеть в крипте.
- Используй Rabby wallet. При каждом подключении к сайту он укажет был ли ты тут, какая у него популярность и кто этот сайт упоминал. Если тебе подсунут фишинг сайта, что ты регулярно юзаешь - ТЫ СРАЗУ ЗАМЕТИШЬ РАЗНИЦУ.
- Помни, что ботики привязки кошелька в дискорде никогда не просят подписать транзакцию! Они просят указать адрес и все, твой кошелек не нужен. Если ты увидел запрос на транзу = тебя скамят! Остановись, не подписывай.
Было несколько ситуаций у меня, которые были связаны с фишингом и моей невнимательностью, а главное в них – виноват друг. Да, человек к которому я имел большое доверие. Ладно, виноват то я, но точка уязвимости вот это доверие, которое усыпляет бдительность.
Самая классическая история: друг или подруга кидает ссылку на клейм, которую она взяла в твиттер или в ТГ. Конечно же ТГ канал фейк куда ее добавили насильно, а она не запарилась отключить добавление в чаты без ее ведома. А друг не использовал Pocket Universe или Moni Discover и не увидел, что ссылка фейк от фейк аккаунта в треде проекта. И ты доверяя им тыкаешь и как итог.
Подписываешь -1500 баксов в TON в пользу скамеров :)
Ладно, в последнюю секунду я нажал отмена, когда увидел краем глаза, что с меня спишут деньги.
А еще была история веселее. Где скам случился со стороны команды проекта. И не потому что они плохие люди, они допустили ошибку. Проект имел открытый дискорд, а затем его закрыл. Ссылка на дискорд (имя/хендл) осталась, ее забрали себе скамеры. А на сайте забыли заменить кнопку Discord. Таким образом, любой заинтересованный в проекте переходя по офф. ссылкам натыкался на скам дискорд! Тот самый, где просят подписать дрейнер.
А сама соль в том, что проект пришел по рекламе в наш канал и это наши друзья. Но увидев что-то странное и предупреждения от Pocket и Rabby, что я перехожу на скам – начал бить тревогу.
Могло закончится и потерей 2500 баксов..
Подробнее об этой истории в посте. Тыкни на меня!
- Веб3 сайты при логине вызывают оффчейн-подпись. Просто галочка, что ты логинишься со своего кошелька. Если там появилась какая-то отправка средств ЭТО СКАМ. Возможно сайт взломан, ничего не подписывай!
Также, тебе важно соблюдать некоторый набор правил поведения в сети:
- Старайся не держать деньги на одном кошельке, с которого ты подключаешься к сайтам. Есть шанс случайно по невнимательности все-таки подписать скам. Делай burn-кошельки, которые не жалко выбросить - создай и пользуйся.
- Сохрани все нужные сайты в закладки, сохрани историю поиска. Переходи по ней. Не гугли сайты с нуля. Так ты избежишь лишних проблем при переходе не в ту ссылку.
- ВСЕГДА СМОТРИ ВНИМАТЕЛЬНО, ЧТО ПРОИСХОДИТ
Burn кошельки это временные или мусорные, их делают в большом количестве, держат там около 0 денег (или необходимый минимум) и ими подключаются на все интересующие сайты. Если какой-то проект в твой ретродроперской деятельности или аирдроп за торговлю мемов – подсунет дрейнер, значит ты потерял лишь какой-то Burn кошелек.
А основные средства лежат на твоем главном адресе и там в целостности и сохранности. Про средства хранения мы поговорим чуть дальше.
3. Будь, пожалуйста, менее наивным.
Я просто перечислю список различных скам схем, магия тут в том, что они А) Основаны на одном принципе. Заставить тебя чувствовать себя исключительным
Б) Социальный найоб лежит даже в основе взлома. Хакеры обманывают жертв, а не ломают жопу с помощью клавиатуры и тостера.
- Фотка сидфразы в комментариях это скам
- Предложение написать в личку и получить учебник/книгу/курс по трейдингу, рынкам, экономике. Это скам, в файле зашит вирус или впаривается покупка скама.
- На кошелек упал токен. который стоит очень много и растет в цене. Это фейк токен с ханипотом, люди на жадности бегут скупать и толкают цену еще выше. В конце концов ДЕВ сольет все и заберет свои сливки. Да, скам же.
- Просьба посоветовать каналы по крипте, а потом внезапно "получить единственный топовый, который знает челик" это тоже скам, попытка в подписки засунуть тебе говно.
А теперь самое главное: Я научу тебя не попадаться на любые новые методы развода. Главное помнить следующие истины:
1. Чем выше больше награда, тем выше риск. Когда тебе предлагают работу с ЗП в сутки от 300 баксов это очевидно обман. Не бывает работы с такой зарплатой, нигде в мире. А если она и есть, то у самого полезного человека в мире
2. Когда тебя торопят, давят на твое чувство “ну я же не дурак” – тобой манипулируют. Тебя пытаются обмануть
3. Если что-то привычное поменялось: проверь еще раз. Например, ты заходил на сайт, а сегодня он просит логин и пароль. Это точно куки удалились или IP твой поменялся, вдруг это фейковый сайт?
Обращай внимание на такие вещи, когда видишь какое-либо предложение-обещание и едва ли получится тебя обмануть.
Любые прочие риски, как потерять депозит из-за законов рынка
Чтобы лучше донести до тебя эту тему, надо будет уйти в пространственные рассуждения о природе капитала. И нет, я не буду прогонять простыню от мумии Маркса. Мы тут атланты, как говорил классик: “капитализм, счастье, заебись”.
Богатые богатеют, бедные беднеют. Капитал имеет такую природу, что идет в руки к тем, кто умеет его зарабатывать И УЖЕ заработал, то есть может использовать деньги для создания новых денег. Хотя условный сбер манагер в высшем руководстве получает сверх огромную зарплату или какой-то крутой айтишник, но рядовой гражданин может достигать высокого заработка исключительно повышением рисков и масштабированием труда: инвестиции, бизнес.
И люди приходят в крипту именно за тем, чтобы зарабатывать деньги, много денег. И как правило их инструменты: трейдинг, билдинг и инвестиции. Это значит, что они пришли сюда не за высоким чеком. Они пришли сюда за бизнесом.
Лично мне нравится концепция того, что каждый из нас бизнесмен. А всякий бизнес делится на 3 вида: крысить, хрючить и копытить.
Крысить – ловкая темка, где ты быстрее прочих подсуетился и вытащил профит.
Хрючить – найти свою кормушку, например, устроиться высоко в каком-то web3 профите и кроме ЗП лутать капитал со своей медийки/связей
Копытить – долго и усердно копать туда, где прочих нет. В нашем случае это билдинг влиятельного проекта, залет в долгую мету раньше прочих (НФТ, мемкоины) где вы долго ли упорно набиваете эксперность и связи.
И вот в своем методе заработка капитала в крипте, вы прибегаете к тому или иному методу (а то и их совокупности). Но для вас также актуальны фундаментальные правила финансовой грамотности.
0. Не существует “верняк темки”. Вообще, никогда. С точки зрения адекватности покупка биткоина в 2010 году на крупную сумму это сродни слабоумию. Да, пост-фактум то очевидно, что надо было почку закладывать. Но посмотрите на сумки тех, кому было очевидно скупать OX, XRP, LTC, XRP, ZEC
1. Никогда нельзя рисковать всем капиталом. Нужно оценивать Р/Р (риск ревард, на сколько риск оправдан) и вкладывать ту сумму и тот % от всего капитала, который вы готовы потерять.
2. Нужно стараться держать баланс в портфеле. Ваш профит = USDT конвертированный во что-то полезное/надежное/альтернативное.
Я имею ввиду, что храня чистый USDT вы рискуете: блокировка кошелька из-за санкций, падение курса доллара. Какая-то неосторожность с вашей стороны.
А когда вы держите активы в BTC, SOL, ETH и etс, берете на себя риски их падения на 30%, а то и все 50% или вовсе 90%. Очевидно, что выгоднее держать капитал в более стабильных валютах.
3. Даже откупая актив в долгосрок, исходя из логики “Ну ETH точно будет 10к”, нужно помнить. РИСК НЕ РАВЕН 0. На сколько бы он к нулю не стремился, не иллюзорны шансы, что через пару лет эфириум будет по 500 долларов. А может по 5000. Мир изменчив, а наша оценка рисков зачастую ошибочна. Трезво оценивать риски в крипте это отдельное искусство.
Так вот, к чему была эта вся подводка. А к тому, что не нужно стремиться к пути жадности: максимизировать прибыль в своей голове, исходя из того, что вы накопите на темках SOL, ETH, а они потом еще иксищ дадут. Лучше забрать хоть какой-то профит, чем никакой.
А еще, вам нужно четкое понимание вашей стратегии. Как именно вы будете зарабатывать и чем жертвовать.
Почитайте вот этот материал из нашего ТГ канала. Мы кратко привели все методы как можно зарабатывать на любом рыночке.
Выбрали метод, который вас устраивает и живете спокойно. Хотите больше = больше рисков на себя берете и/или труда, вымещая свободное время.
А мы разберем обычную работу в web3, что нужно знать
1 - Обязательно иметь cv (подробное резюме) + linkedin. Если хочешь устроиться в крупную WEB3 компанию, что-то серьезнее молодого стартапа, тимы мемкоина или канала в ТГ. И то, будут смотреть на тебя и твой бэкграунд.
Сюда можно и ваш личный блог. Если он отражает ваши компетенции. В крипте это могут быть коллы, аналитика и статьи по конкретным темам.
Киса попал в Мони через конкурс гайдов на ретродропы. Написал как деплоить смартконтракты в любом EVM чейне, разными методами и без знаний в программировании. Как пример.
2 - Врать о себе или опыте можно, но немного, иначе есть риск не вывезти ситуацию. Скажем так, можно и нужно показывать себя с лучшей стороны и продавать в красивой упаковке.
3 - На собесах часто задают необычные, но очевидные вопросы. Пришел ты в геймдев студию, а тебя и спрашивают: “Топ 3 твоих любимых игры”. Так же не лишним будет подготовить себя на прохождения различных тестов, которые показывают твой уровень восприятия информации, логики и тому подобное.
Может на IQ проверят, вдруг ты у матери совсем деген.
И самое главное, если ты не идешь в структуру, где у вас все по договору и очевидно: работаешь = получаешь зп. Договаривайся обо всем на берегу! Не стесняйся все детали по работе и привносить ясности в свои намерения.
И вот какой момент, завершая главу о деньгах и методах дохода. Слышал фразу: “деньги не решат твоих проблем”? Так вот, чистая правда. Деньги очень нужны, чтобы лечиться, иметь домик и вкусно кушать.
Но то бесконечное ментальное дерьмо, что составляет 90% всей твоей жизни – деньгами не излечить. Даже купив самого дорого психолога. Это работа над собой.
И жить ты должен в понимании, что ты вообще будешь делать с деньгами. Нужно интересное применение им, хороший же инструмент. Неужели тебе нужны пару лямов чтобы купить тачку.. а дальше че?
Подумай над этим. А мы примемся писать большую статью по заработку в крипте и работе в частности.
И здесь надо поговорить об очень весомой проблеме – лудомания
А сейчас хочется выделить несколько пунктов и предупредить, что нужно очень ответственно подходить к тому, какие вы на себя риски берете. Не пытаетесь ли себя обмануть и отыграться на этом рынке.
Не постыдно залудиться в моменте. Стыдно не остановиться и потерять все.
1. Вы начинаете чаще торговать, трейдить, откупать активы под флипы
2. Вы не фиксируете прибыль, ожидания еще пару x или ожидая от актива точных x100 от вашей точки входа
3. Вы нервный, злой. Не можете перестать думать о рынке.
4. Вы жадный, завистливый. Всем кругом повезло. суки тупые. Вы просто не можете найти свой гем, судьба жестока.
Тише, тише. У вас явно поплыли приориеты и цели. Вы уже не соображаете, что вместо заработка только копаете себе яму и сжигаете свой депозит.
Главное в такие моменты всегда хватать себя за руку и честно себе отвечать: “Я хочу купить эту монету, потому что вижу потенциал роста, или потому что я на эмоциях и хочу отыграться?”.
Самые топовые трейдеры из наших друзей обычно забивают на рынок на пару дней (а то и недель, месяцев) после сильного “тильта”, то есть после сильных убытков.
Очень важно расценивать рынок не как спринт, а как марафон. Не как уличную драку, а как боксерский олимпийский поединок - это игра вдолгую. А чтобы играть вдолгую, у тебя должны быть силы!
У нас в команде Moni есть у людей знакомые, которые банкротились из-за лудомании. Это болезнь как алкоголизм. Есть люди, кто пьет умеренно - а если алкаши.
Если ты понимаешь, что ты не можешь остановиться торговать криптой и уже в минусах - иди к психиатрам и наркологам, ищи помощь.
Если ты себя контролируешь и лишь время от времени заигрываешься на чуток - все гуд.
DeFi тебя сожрет, что за лендинги и момент ликвидации
Лендинг протоколы — что-то вроде децентрализованного банка (ХА, БАНКА!), где ты можешь кинуть свои токены и заработать проценты или занять бабки под залог.
Возьмем, например, Aave. Ты закидываешь ETH в пул, получаешь токены. В нашем случае aETH, который отражает твой вклад и растет с процентами. Другие чуваки могут занять твой ETH, но только если кинут залог — также как и ты.
И при взятии займа у него есть “здоровье”. Расчет рисков к ликвидации.
Если порог 80%, то при залоге 1500$ ты можешь занять до 1200$
Заняв 1200 баксов к 1500 залога – получаешь 1.2 Health Factor.
Эфир падает в цене на 16-17%. И мы достигаем значения в 1 Health Factor. Это порог ликвидации, даст курс чуть ниже и ты будешь ликвидирован.
Здоровый займ начинается от 1.5, чтобы переживать большую тряску на рынке. Тем более, следует занимать на стабильные активы.
А знаешь самое веселое? Докидывать сюда еще и плечи. Потому что в таком случае у тебя сокращается допустимое падение актива – ликцидация ближе. А если ты просто крутишь круг с уже заемных средств, то ставишь себя в положение набравшего кредит.
Положил ETH и взял USDT. Положил USDT и взял ETH
Если ETH упал в цене ты одновременно приблизился к ликвидации и потерял возможность конвертировать его обратно в USDT для покрытия долга обратно. Тебе придется докупить ETH для покрытия второго долга.
Лендинг с обертками ETH/BTC, риски рестейкинга
Прикол в том, что обертка идет 1к1 активам постоянно, но не вечно. Есть факторы, когда случается так называемый депег (отвязка).
- Был случай с ezETH в апреле 2024 — из-за шумихи с аирдропом REZ. Токен пошел вниз, народ пошел сливать ezETH и начались массовые ликвидации.
- Если в протоколе дырка или баг. Тут без комментариев.
Аналогично для всех оберток с BTC. Мало того, что не каноничное и не православное, никакой тру децентрализации – еще и риски деньги потерять добавляют.
На самом деле тема супер обширная и мы хотим выпустить подробный DeFi гайд. С разными стратегиями, разбором терминов, площадок и чейнов.
Но напоследок скажу, что фьючерсы и плечи это зло. Накручивание рисков.
Методы хранения крипты
Меня всегда раздражает деление кошельков по видам. Вот есть горячие кошельки они же самые обычные, которые ты юзаешь постоянно. Что браузерные, что десктопные/мобильные. А есть холодные, но они же аппаратные кошельки – якобы максимальная безопасность, но юзер легко может ее обнулить.
А есть мультисиг, который по настоящему супер безопасен, но про него мало говорят.
Выше мы разбирали угрозы с дрейнером, они касаются ВСЕХ кошельков вообще. Особой разницы нет, если ты полез подписывать чушь. Поэтому, поясняю за правильное использование кошельков.
Rabby wallet – твой основной кошелек, лучший в своем роде. Интеграция с Debank, стильный дизайн и полезные фичи, вроде дешевых swaps и массовой отмены подписей. Сказка.
Так как есть риск повестись на скам/фишинг, затупить и так далее. Не храни тут крупные суммы. Можно и забыть адрес переключить, потом с “основы” и уведут 90% того, что ты сюда положил.
Любой аппаратный кошелек тебе и не нужен. Прикол в том, что если использовать его в реально безопасном режиме = ничего с него не подписывать. А чем это отличается от кошелька на отдельном ноутбуке, например. Особо ничем.
Отсюда и практика хранить все на Макбуке, который никогда не выходит в интернет.
Но если хочется такую прикольную игрушку, кошелек в кармане, который защищен от взлома (но не паяльника, помним) – я советую SafePal. Простой как 3 копейки и трушнный.
Почему не леджер? Давайте душнить.
Если любая херня в системе (даже альтернативный/стандартный порт на ssh) может поддаваться атакам и считается точкой уязвимости.
То у вас нет права оправдывать функцию отправки сидки с кошелька. Авторитет компании, разбивка на 3 части для 3 лиц, галочка в приложении. Это все какой-то копиум для тех, кто отрицает реальность – в леджере на уровне кода есть функция просмотра и отправки вашей сидки.
Я выступаю за рациональность. Не надо отключать интернет на ПК и ставить антивирус, если вы своими руками дичь не делаете – у вас на 99% защищенная система. Но в леджере чтобы я не сделал, там уже по факту лежит бэкдор, который не сегодня завтра сыграет со мной злую шутку.
А если вам кажется, что я преувеличиваю угрозу такой опции в коде, мол это же просто опция. Почитайте: https://xakep.ru/2023/08/01/bleedingpipe/https://www.kaspersky.ru/blog/curseforge-compromised-fractureiser/35519/
Ну чисто закинуть вирусы в вашу винду через сервер майнкрафта, потому что в одном из модов на сервере нашлась дыра и хакеры получили ФУЛЛ ДОСТУП К ВАШЕМУ ПК СУКА.
А вы мне говорите, что функция отправки сидки в леджере не несет угрозы.
Но лучший способ защиты – мультисиг
Создаете кошелек в 1 конкретной сети. При любой попытке как-либо использовать баланс потребуется подпись. Количество подписей вы ставите сами, как правило это 2/3 кошельков. И после всех подписей исполняется ваша транзакция.
Чем такой кошелек по настоящему безопаснее?
Если у вас заберут доступ с помощью пальяника, они не смогут потратить деньги с Gnosis, им нужно повторить процедуру на остальные кошельки
Если у вас сдрейнят/украдут все кошельки, могут не догадаться проверить Gnosis, а значит вы все еще можете поставить подписи и перевести деньги в новое безопасное место
Ну и подпись может быть с кошелька, который даже не у вас.
Бонус:
Мой любимый прикол. Как запомнить сидку в голове? Можно выучить 12 слов, но если их 24? Забыл пару слов на своих местах и трагедия. А вот если можно было бы сидки записать как 1 слово часто повторяемое слово.. такое сложно забыть.
И да, так можно. Но с поправкой на то, что мы соблюдаем энтропию. Вы должны понимать, что такая генерация слабее стандартной и является больше развлечением!
Скачиваем HTML легендарного сайта: https://iancoleman.io/bip39/ и юзаем его без интернета.
Жмем Show entropy details и в поле Entropy вводим эту самую энтропию.
Фокус в чем? Мы придумываем слово/пароль и усложняем его не хитрым и легко повторимым действием. Например, я беру слово “Очко” и конвертирую его в SHA512.
Полученные результат использую. Time To Crack: centuries. Победа? Но есть важный ньюанс! Ваша изначальная энтропия достаточно простая. Лучше было бы придумать сложный, но легко запоминаемый пароль. Полно таких генераторов.
Беру Sou0K, чтобы человек не смог таким образом подобрать мое изначальное значение.
И можете запомнить BIP39 Passphrase, с вас два слова в голове. Если украдут вашу сидку, но не знают BIP39 Passphrase, то не смогут украсть кош. Но не во всех кошельках есть такая функция, как восстановление с учетом Passphrase.
Стандартная генерация сидки + под фраза этой лучший метод защиты.
Ко мне пришли злые дяди
Я прошу отнестись к данному блоку серьезно. Это не какие-то байки из интернета, парочка знакомых моего близкого приятеля реально поехали в багажнике в лесочек, лихие 2017-2021. А у Грязина этих историй еще больше.
У нас всех есть понимание, что такое не редкость или не что-то за гранью. Людей могут шантажировать, обманывать, физически грабить.
Если так вышло, что вы разболтали всем о своих деньгах и сумма перекрывает отправку на зону за ваше убийство.. и к вам реально пришли спортики отжимать деньги.
Варианта тут 2
1. Вы заранее учли такой момент (расскажу дальше). И у вас есть шансы спастись/откупиться или не стать жертвой
2. Вам пизда
Основные правила вашей безопасности, когда речь идет об потенциальной угрозе жизни.
- Не болтай лишнего. Это 99% проблемы. Ты вот свои PNLки в чатики кидаешь, не скрывая сумм. Может кто-то проверит или поверит, что там реально десятки и сотни тысяч долларов. Но чаще всего - воруют друзья, родственники и знакомые.
- Ты очень важная шишка, забилдил проект и у тебя на кошельке лежит крупная сумма. Лучше всего раскинуть доступ к деньгам на каких-то третьих доверенных лиц или положить в банковскую ячейку в другой стране.
Я напомню, не так уж давно был эпизод похищения ко-фаундера Ledger.
Ему реально отрезали палец и отправили второму ко-фаундеру. Почитай у нас на канале краткое изложение истории: https://t.me/moni_talks/9946
- Когда с тебя просят деньги под паяльником – отдавай. Но ту специальную сумму, что заготовил для вида. Лежит у тебя, например 10к баксов. Ну отложи ты 2-3 тысячи сразу на черный день. Спрячь их наличкой куда-то под шкаф. Лезь туда в слезах, отдавай и проси сохранить жизнь.
Реальная история, знакомый отдал заначку (всего 40к рублей) и от него отстали, хотя в соседнем шкафчике лежало что-то в несколько раз больше.
Зашифровал диски с помощью LUKS, убрал все отпечатки пальцев (их же легко взломать твоим пальцем, лол). Ты большой молодец, но думай на 2 шага дальше. Раз с тебя насильно потребуют дешифровать все что есть и отдавать свою крипту – делай двойное дно. Такая опция есть в Veracrypt.
Под нужным паролем твои деньги, под другим заначка на случай угрозы твоей жизни.
- Вспоминаем про мультисиг. Подпись может быть у вашего интернет друга из Австралии и эти средства никак не вытащить. Вы договорились (условно) продать через 2 года и челик откажется давать свою подпись сегодня же.
Или даже без всяких легенд. Отдавай деньги с кошелька, который создан для подписи. Никто не разбирается в том, можно там что-то подписать и найти больше денег или нет.
А теперь вернемся в начало – пробив. Да, не следует говорить о том, что ты богатый и важный. А еще тебе следует учитывать следующие вещи..
Telegram всем нам нужен для работы и общения, но телеграм не дает тебе анонимности, даже приватность его под вопросом особенно после французских историй Дурова. Так вот.
Создать аккаунт можно только через оф. клиент и по номеру телефона. Создание аккаунта = привязка уникального id навсегда. Спалил ТГ профиль + почту + паспорт - ГГ. На этот ID данные в базах данных повешаны навсегда все твои данные.
Захотят – легко пробьют, данные свободно гуляют и/или продаются. А значит по цепочке найдут под какую дверь срать и чью мать запугивать. И это опять же не шутка.
Советы тут достаточно очевидные:
1. Используй максимально левый номер
2. На созданном акке не пали важную информацию, даже твои крипто кошельки. Проблема для инфлов, чуть ли не добрая половина рефок содержит адрес коша. Какая-то утечка по биржам, обменникам куда кидались деньги (или другие чужие кошельки) + данные о тебе.
3. Не привязывай этот ТГ ни к каким личным аккаунтам вроде гугла, яндекса и так далее. Номер тоже не используй в них, очевидно.
Я мог бы отдельно разобрать дискорд, твиттер и прочее. Но задумался над тем, что углубляться можно также и в time attack, когда имея доступ к вашему интернет провайдеру (силовые структуры) можно узнать вашу квартиру. Просто трекая логины на конкретный ресурс (аккаунт) в X время. Давай просто сойдемся на том, чтобы ты меньше болтал и показывал.
Но еще имей ввиду, что огромное количество инфлов и билдеров задокшены. Я могу точно сказать, что к Терну прилетало по 30 пробивов в день, через известный многим сервис. Прикинь, если в таком пробиве содержится прописка его родителей? Стремно пиздец. Или случай на 0xConnect, когда приехал чел из комментов разговаривать с другим челом из комментов.
То есть не нужно быть публичным долларовым миллионером или кому-то явно перейти дорогу. Известен, засветился – желающие найдутся. Держи это в уме.
Но и не надо тут впадать в панику. Лучше подумай об этом, как о реальности, требующей только принятия. Советы по защите тебе дали какие только можно, тем более 90% легки в исполнении. На, мемчик тебе смешной.
ИТОГИ
Итог подводить всегда очень сложно. Нужно к чему-то подвести, дать финалочку. А как можно зафиналить статью о том, что и как делать с собой, и своими деньгами.
Правильно – подвести к некому золотому правилу. Что-то такое, что будет сопровождать тебя дальше по жизни и ты будешь вспоминать с теплотой в сердце.
“Психологическое развитие происходит только тогда, когда у личности есть цель”
Тебе нужна цель и ты должен ей следовать. Твоя цель это обеспечить себе безопасность.
Вся дилемма истории о личной безопасности сводится к тому, что оно вам не пригодится. Я имею ввиду, что едва ли вы станете жертвой и это создает ощущение бесполезности, зачем юзать доп. софт, отдельную систему и etc, если я все равно сижу на Uniswap и меня не пытается заскамить красивая азиатка в рестике?
И отсюда следует 2 ответа:
1. Возможно твои методы излишни для тебя, зря ты послушал умника с его советами по безопасной настройке сети, ведь ты никогда в жизни не станешь жертвой такой атаки
2. Ты не ценишь тот факт, что слава богу тебе не пригодилась защита, ведь не случилось нападения. Всегда страшно совершить оплошность. Мои знакомые подписывали дрейнер, ибо слегка подвыпившие, не думая подписывали транзы. Бытовая оплошность = боль и потеря денег (порой крупных).
Описанное в этой статье – это пример бытовых и базовых методов, которые пригодятся, ведь скорее всего время от времени ты будешь натыкаться на риски/угрозы, раз ты активно в рынке и вынужден с N количеством активов мотаться из проекта в проект.
Но самое главное, чтобы ты понял. Большинство угроз это следствие твоей импульсивности, глупости и жадности. А самая главная проблема – отсутствие дисциплины. Каждый раз ты ленишься или забываешь провести ряд ритуалов, хотя бы глазами пробежаться по сайтам и предлагаемым транзакциям.
После прочтения этой статьи. Выдохни, обдумай все. Можешь даже зайти на второй круг, протыкать все-все ссылки. Почитай приложенные истории. Тебе нужно прочувствовать.
Все написанное здесь не противоречащий себе гайд, который предлагает настроить всякую шляпу и ходить с умным видом. А потом не замечая противоречий, под парадигмой “закрой все дыры” советовать тебе леджер.
Данный гайд это честный с тобой “диалог”. Чтобы ты понял реальные риски и реальные методы борьбы с ними, а не чувствовал мнимую защищенность. Пойми принцип и стать лучше.
И да. Если у тебя лежит 100 долларов, едва ли тебе нужна безопасная ОС и система мультисиг. Твоя правда. Но не знать об этих методах на будущее, тем более и в остальном вести себя безрассудно.. зачем?
Пользуйся пока дают. И спасибо тебе.
Спасибо. Береги себя и свои активы.
ПоделитьсяСтань частью 25-тысячного комьюнити криптанов, фаундеров и кодеров!
