Mga Scam ng Seed Phrase at Wallet Drainer
๐ 10 min basahin
Quick Answer
Ang pangako ng self-custody ay simple at makapangyarihan: hawakan ang iyong sariling mga susi at walang palitan ang maaaring mag-freeze o mawala ang iyong mga barya. Ngunit inililipat nito ang panganib sa halip na alisin ito. Wala na ang bank vault; kapalit nito ay isang labindalawang-o-dalawampu't-apat na salita na parirala, at umiiral ang isang buong industriya ng mga manloloko upang linlangin ka na ibunyag ito o pirmahan ito. Karamihan sa mga pagkalugi sa pag-iingat sa sarili ay hindi mga sopistikadong hack. Sila ay mga tao, matalinong mga tao, na inhinyero sa lipunan upang ibigay ang isang lihim na kumokontrol sa lahat.
โ ๏ธ Ang susi ng bahay
Ang iyong seed na parirala ay hindi tulad ng isang password na maaari mong i-reset. Ito ay higit na katulad ng kasulatan, mga susi, at mga ekstrang susi ng iyong bahay na pinagsama-sama sa isang piraso ng papel, na gumagana mula saanman sa mundo. Ang sinumang nagbabasa nito ay nagmamay-ari ng bahay kaagad at tahimik. Ang mga scammer ay hindi pinipili ang lock; kinukumbinsi ka nila na basahin nang malakas ang kasulatan, o lagdaan ang isang dokumento na tahimik na naglilipat ng pagmamay-ari habang sa tingin mo ay may ginagawa kang iba.
Ang isang panuntunan na pumipigil sa karamihan ng mga pagkalugi
Dito magsisimula ang lahat: hindi kailanman dapat i-type ang iyong seed phrase (recovery phrase) sa anumang website, app, chat, form, o tool na "suporta", at hindi kailanman kukunan ng larawan, i-email, o iimbak sa cloud. Walang lehitimong wallet, exchange, o ahente ng suporta ang hihingi nito, kailanman, sa anumang dahilan. Umiiral lang ito para ibalik ang iyong wallet sa isang device na kinokontrol mo. Kung anuman o sinuman ang humiling sa iyo na ipasok o ibahagi ito, iyon ay ang scam, full stop. I-internalize ang nag-iisang panuntunang ito at matatalo mo ang karamihan ng pagnanakaw sa self-custody.
Suporta sa pekeng wallet at seed-phrase phishing
Ang klasikong pag-atake: nag-post ka ng problema sa isang forum, Discord, o pagsusuri sa app store, at isang "agent ng suporta" ang nagpapadala ng mga mensahe sa iyo, kapaki-pakinabang, mukhang opisyal, apurahan. Dinadala ka nila sa isang pekeng pahina ng "pag-validate ng wallet" o "pag-sync" na humihingi ng iyong parirala sa pagbawi, o direkta lang silang nagtatanong. Ang iba ay nagpapatakbo ng mga pekeng app ng wallet at mga extension ng browser na kumukuha ng parirala sa pag-setup, o mga site ng phishing na nagpapanggap bilang MetaMask, Ledger, Trust Wallet at iba pa. Sa sandaling hinawakan ng iyong parirala ang kanilang screen, ang iyong wallet ay walang laman, madalas sa loob ng ilang segundo, awtomatiko.
Mga wallet drainer at malisyosong pag-apruba
Ang mas banayad na banta ay hindi nangangailangan ng iyong seed phrase sa lahat. Ikonekta ang iyong wallet sa isang nakakahamak na site, pekeng airdrop, pekeng mint, pekeng DeFi app, at aprubahan ang isang transaksyon na mukhang karaniwan ngunit talagang nagbibigay ng pahintulot sa umaatake na ilipat ang iyong mga token. Ginagawa itong turnkey na krimen ng mga "Wallet drainer" kit. Hindi mo inihayag ang iyong susi; nag-sign away ka ng access. Ito ang dahilan kung bakit dapat mong basahin kung ano ang iyong pinirmahan: isang pag-apruba para sa "walang limitasyong" paggastos ng isang token, o isang kakaibang kahilingan sa lagda, ay kung paano nauubos ang mga naubos na wallet. Kapag may pagdududa, tanggihan.
I-address ang pagkalason at clipboard malware
Dalawa pang tahimik. Pagkalason sa address: padadalhan ka ng umaatake ng isang maliit na transaksyon mula sa isang address na halos kapareho ng iyong ginagamit, umaasa kang kopyahin mo ito mula sa iyong kasaysayan para sa iyong susunod na paglipat at magpadala ng mga pondo sa kanila. Tahimik na pinapalitan ng malware ng clipboard ang isang crypto address na kinopya mo para sa umaatake. Ang depensa para sa dalawa ay iisang disiplina: huwag kailanman magtiwala sa isang kinopyang address nang walang taros, i-verify ang una at huling ilang character sa bawat pagkakataon, at magpadala muna ng maliit na halaga ng pagsubok para sa malalaking paglilipat.
Ang self-custody safety stack
Pagsamahin ito sa mga gawi. Gumamit ng hardware wallet para sa makabuluhang halaga upang mangyari ang pag-sign sa isang device na hindi maabot ng malware. Bumili lamang ng hardware mula sa tagagawa, hindi kailanman segunda-mano. Isulat ang iyong seed na parirala sa papel o metal, iimbak ito offline, at huwag na huwag itong i-digitize. I-verify ang bawat tumatanggap na address ng character sa pamamagitan ng character. Basahin ang bawat transaksyon at pag-apruba bago pumirma, at pana-panahong bawiin ang mga lumang pag-apruba ng token. I-bookmark ang mga opisyal na site ng wallet sa halip na hanapin ang mga ito. Ligtas ang pag-iingat sa sarili, ngunit ginagawa ka nitong seguridad, at ang mga gawi na ito ang trabaho.
๐ Key takeaway
Ang self-custody ay naglilipat ng panganib mula sa palitan patungo sa iyong seed phrase, at ang mga scammer ay dalubhasa sa pagnanakaw nito. Ang hindi masisira na panuntunan: huwag kailanman i-type o ibahagi ang iyong parirala sa pagbawi kahit saan, walang lehitimong serbisyo ang humihiling nito. Higit pa sa phishing, ang mga wallet drainer ay nagnanakaw sa pamamagitan ng mga nakakahamak na pag-apruba sa transaksyon (basahin kung ano ang iyong nilagdaan; tanggihan ang walang limitasyong mga pag-apruba), habang tinutugunan ang pagkalason at clipboard na mga malware swap address (i-verify ang bawat karakter, magpadala ng mga halaga ng pagsubok). Ang stack ng kaligtasan: direktang binili ang wallet ng hardware, offline na imbakan ng binhi, maingat na pagpirma, binawi ang mga pag-apruba, na-bookmark na mga opisyal na site.
Bakit ito mahalaga para sa iyo
Habang tumataas ang pag-aampon ng self-custody sa buong Asia, na hinihimok ng kawalan ng tiwala sa palitan pagkatapos ng pagbagsak at ng mga user na tumatakas sa mga kontrol sa kapital, sinusundan ng mga seed-phrase at drainer scam ang paglago. Pinoprotektahan ng pagtuturo ng never-share-your-phrase rule at safe-signing habits ang mabilis na lumalagong populasyon ng Asian self-custodians mula sa pinakakaraniwan at kabuuang anyo ng pagkawala ng crypto.
Mga madalas itanong
Hihilingin ba ng wallet o exchange ang aking seed phrase?โผ
Hindi kailanman. Walang lehitimong wallet, exchange, o ahente ng suporta ang hihingi ng iyong parirala sa pagbawi, sa anumang dahilan. Ito ay umiiral lamang upang ibalik ang iyong pitaka sa iyong sariling device. Anumang kahilingan na ipasok o ibahagi ito, ng isang tao, website, app, o tool na "suporta", ay palaging isang scam. Pinipigilan ng nag-iisang panuntunang ito ang karamihan sa pagnanakaw ng self-custody.
Paano mauubos ang aking wallet kung hindi ko ibinabahagi ang aking seed phrase?โผ
Sa pamamagitan ng malisyosong pag-apruba sa transaksyon. Kapag ikinonekta mo ang iyong wallet sa isang scam site (pekeng airdrop, mint, o DeFi app) at pinirmahan ang mukhang isang nakagawiang transaksyon, maaari kang magbigay ng pahintulot na ilipat ang iyong mga token, isang "wallet drainer." Hindi mo inihayag ang iyong susi; nag-sign away ka ng access. Palaging basahin kung ano ang iyong pinirmahan, tanggihan ang walang limitasyong mga pag-apruba, at pana-panahong bawiin ang mga luma.
Ano ang pinakaligtas na paraan para mapanatili ang crypto sa self-custody?โผ
Gumamit ng hardware wallet na direktang binili mula sa manufacturer para sa makabuluhang halaga, kaya nangyayari ang pag-sign sa isang device na hindi maabot ng malware. Iimbak ang iyong seed na parirala offline sa papel o metal, hindi kailanman na-digitize. I-verify ang pagtanggap ng mga address ayon sa karakter, basahin ang bawat transaksyon bago pumirma, bawiin ang mga lumang pag-apruba ng token, at i-bookmark ang mga opisyal na site ng wallet sa halip na hanapin ang mga ito.
Ituloy ang pagbabasa
Mga kaugnay na paksa sa buong hub
๐ Mga mapagkukunan at karagdagang pagbabasa
Mga awtoritatibong sanggunian at pangunahing mapagkukunan na ginamit sa gabay na ito.