Урок 2: Защита своих денег

В крипте нет службы поддержки. Если хакер получит доступ к вашим ключам, транзакцию невозможно отменить. Вы — свой собственный банк, и охрана этого банка — только ваша задача.

💭

Остались вопросы после урока? Предлагаем персональное наставничество с опытными трейдерами для индивидуального разбора ситуаций. Узнать подробнее

Базовая защита

Сначала пару слов про пароноиков которые придумали как минимум 13 слоев защиты, а потом уже про то что из этого использую сам.

  1. Отдельный email для бирж
  2. Менеджер паролей с уникальными паролями 16+ символов
  3. 2FA через приложение (не SMS)
  4. Резервные коды на бумаге
  5. Закладки браузера для входа на биржи
  6. Белый список вывода
  7. Задержка вывода на 24 часа
  8. Отдельный компьютер для торговли
  9. VPN при публичном Wi-Fi
  10. Холодное хранение для крупных сумм
  11. Тишина — никто не знает о ваших активах

Это классный исписок и я использую почти все, ну кроме пункта про отдельный комп для торговли. Но в будущем я сделаю отдельный комп для торговли через ботов.

Уровень 1: Изоляция (Email)

Взлом почты почти равносилен потере активов. К нашему счастью существует 2FA аутенфикация которая усложняет кражу наших емейл аккаунтов.

Конечно можно завести отдельную почту для биржы и быть пароноиком, но это не практично и не стану рекомендовать вам то чем не пользуюсь сам.

Моя рекомендация для почты проста:

  • Используйте сложный и уникальный пароль
  • 2FA аутенфикация
  • Проверка на скомпрометированность

Хочу прояснить несколько моментов, первый про то что пароль дожен быть уникальным и использоваться только для входа в почту. А второй касается настройки 2fa на своей гугл почте, у них очень хороший и проработаный раздел.

Еще один интересный момент это мониторить свою почту в слитых базах данных, к примеру на haveibeenpwned.com, я регулярно им пользуюсь и пару раз находил там свой аккаунт от майл.ру.

Уровень 2: Пароли и менеджеры

Человеческий мозг не способен создать случайный пароль. Мы повторяем паттерны, запоминаем связные слова — хакеры это знают. А еще они прекрасно знают что у нас один пароль для всего и если слили базу данных какого аниме сайта, то и в почту они войдут.

Для менеджера паролей рекомендую использовать Bitwarden потому что он крут и имеет поддержду 2fa кодов, а еще его можно self-host на своем сервере или home-lab.

Обязательно — уникальный пароль для каждого сервиса. Если вы используете один пароль на форуме и бирже, взлом гарантирован. Форум взломают — через него сольют аккаунт на бирже.

Уровень 3: 2FA и физические ключи

Пароль могут украсть. Кейлоггер, фишинг, утечка из базы биржи — вариантов много. 2FA — последний рубеж обороны.

Я использую Google Authenticator и Bitwarden. Главное — не SMS.

При настройке 2FA всегда записывайте код восстановления в свое хранилище паролей, там можно создавать заметки. Потеря телефона без этого кода означает большой гемор с востановлением доступа к бирже.

Если хотите максимальной защиты — посмотрите на YubiKey. Это физический ключ, который вставляется в USB. Хакер может украсть ваш пароль и 2FA-код, но без физического ключа он не войдёт.

Уровень 4: Защита от фишинга

90% взломов происходят через поддельные сайты. Они полностью копируют интерфейс биржи — домен отличается на один символ, а вы вводите логин и пароль мошенникам.

Фишинг это очень опасно, особенно если у вас много странных расширений браузера. Они могут и редиректить на фишинговые сайты и проводить атаки на буфер обмена.

Продвинутые техники защиты

Базовые меры безопасности — это необходимый минимум. Но если вы храните на бирже крупные суммы, стоит задуматься о дополнительных рубежах обороны. Каждый следующий слой делает взлом exponentially сложнее.

Начнём с того, что можно настроить прямо на бирже.

Белые списки вывода

Разрешите вывод средств только на заранее добавленные адреса. Если хакер получит доступ к аккаунту, он не сможет вывести деньги на свой кошелёк — сначала нужно будет добавить его в белый список, а это может занять 24-48 часов.

Биржи часто предлагают "задержку вывода" — блокировку на 24 часа после смены пароля или настроек безопасности. Включите это. Да, это неудобно. Но потерять всё ещё неудобнее.

Холодное хранение

Основной капитал не храните на бирже. Биржа может взломать, закрыть или заблокировать. Суммы, которые вы не планируете торговать в ближайшие месяцы, переведите на холодный кошелёк (Ledger, Trezor) или хотя бы на Trust Wallet с собственными ключами.

Биржа — это как банк. Оставляете там только то, что готовы потерять.

Последний слой защиты — информация. Самый надёжный пароль не поможет, если вы сами расскажете всем о своих активах.

Тишина

Никто не должен знать, сколько у вас криптовалюты. Не постите скриншоты портфелей в соцсетях, не хвастайтесь удачными сделками. Скриптам и ботам всё равно — $100 у вас или $1,000,000. Но если станет известно о крупных суммах, вас могут отметить как цель.

Защита от социальной инженерии

Если вас отметили как цель то вы станите жертвой уже другого уровня атак, атак на ваши личностные качества.

Хорошо что некоторые биржи разрабатывают техники защиты и от таких атак. Нам предлогают использовать anti-phishing код — уникальное слово, которое они добавляют во все официальные письма. Если письма приходят без этого кода — это подделка. Включите эту функцию, если ваша биржа её поддерживает.

Заключение

Если вы настроите хотя бы первые 5 пунктов, вы уже в 10 раз безопаснее среднего трейдера. Если все 11 — взлом через интернет станет практически невозможным. Остаются только физические угрозы (взлом в квартире, с ножом), но это уже за пределами цифровой безопасности.

Запомните: безопасность — это не разовая настройка, а постоянный процесс. Новые виды атак появляются регулярно. Подписывайтесь на новостные каналы бирж, читайте об инцидентах. Хакеры не стоят на месте, и вы тоже не должны.

📖

Продолжайте читать

Двигайтесь к новым знаниям

📚
📚

Продолжайте обучение

Каждый урок приближает вас к профессиональному трейдингу

Далее →