אמור במדריך זה אינו מהווה ייעוץ מכל סוג שהוא לרבות ייעוץ השקעות ו/או תחליף לייעוץ כאמור. שוק המטבעות הדיגיטליים הינו בעל סיכון רב. איננו מבטיחים את מידת הדיוק ו/או עדכניות המידע שבמדריך והשימוש בו הינו על אחריותך בלבד וכפוף לתנאי התקנון.
השבוע, טוקני NFT בשווי 1.7$ מיליון נגנבו ממשתמשי אתר OpenSea, פלטפורמת מכירת ה-NFTs הגדולה בעולם. בזירה שבה מונחים כמו "בעלות," "אבטחה" ו-"הצפנה" קופצים שוב ושוב, ידיעה כזו עלולה להיות עורכת שלווה, במיוחד כשמדובר בסכומים גדולים. חשוב לדעת איך לקנות NFT ולשמור אותן בצורה מאובטחת, כך שלא יקרה מצב שנישאר בלי כלום.
רוב האנשים מחזיקים NFT בארנק Metamask. זה ארנק טוב, אבל הוא לא מספיק כשלעצמו – אבטחה מקסימלית מקבלים רק עם ארנק קר. תלמדו כאן איך לחבר ארנק קר ל-Metamask שלכם כדי לוודא שהטוקנים שלכם בטוחים.
איך נגנבו NFT בשווי מיליונים?
יש הסבר קצר, והסבר קצת פחות קצר.
ההסבר הקצר הוא שמדובר בהונאת פישינג קלאסית שלכאורה אין לה שום קשר לאתר OpenSea עצמו:
ועכשיו ההסבר הפחות קצר.
ההאקר כותב חוזה חכם שנראה מאוד דומה לחוזה חכם לגיטימי של OpenSea:
ההאקר שולח אימיילים שמכילים לינק לאתר פישינג. זה יכול להיות אתר שמתחזה ל-OpenSea, או לכל dApp אחר שעשוי לדרוש חתימה על חוזה חכם, כמו אתרי Dex.
המשתמשים פותחים את האימייל וחותמים על החוזה החכם:
המשתמשים מניחים בתמימותם שההרשאה נחוצה מסיבה כלשהיא, וחותמים עליה. מה שהם לא יודעים, זה שהם נתנו להאקר הרשאה להעביר את הנכסים שלהם לאן שירצה מתי שירצה.
את השלב הבא כבר הבנתם לבד.
איך נתגונן מפני הונאה?
הדבר הכי קל לומר הוא – Don't Get Phished. זה נשמע כמו עצה מטופשת, אבל לפעמים אפילו המודעות הכי בסיסית לסכנה של פישינג תיצור התנהגות זהירה יותר. מעבר לזה, צריך לדעת שאין סיבה לפתוח לינקים ישירות מהאימייל. אם קיבלתם, לדוגמה, מילל מהבנק שמבקש מכם לעדכן את שם המשתמש והסיסמה – זה כנראה סקאם, אבל גם אם זה לא, אתם תמיד יכולים להיכנס לאתר הבנק מיוזמתכם ולהיות בטוחים שאתם במקום הנכון. גם אם האימייל מגיע מכתובת שנראית אמינה, זה לא אומר שהוא נשלח ממנה.
כשזה מגיע להרשאות איתריום, תמיד צריך לקרוא בפירוט את ההרשאה לפני שחותמים עליה, ולהבין למה היא בכלל נחוצה. אם אתם לא בטוחים, אל תחתמו.
אם יצא לכם לחתום על כמה הרשאות בזמן האחרון, ואתם לא בטוחים לגביהן, יש פתרון: באתר etherscan ישנו מנהל הראשות שיאפשר לכם לבדוק ולבטל הרשאות שכבר חתמתן עליהן.
אנחנו ממליצים בחום להשתמש באתר ולבדוק איזה הרשאות פועלות כרגע על הארנק שלכם. זה עשוי להציל לכם את הכסף.
סיכום
שימוש בארנק קר הוא תמיד חשוב. אבל הפעם, דרושה זהירות נוספת. כשאנחנו נכנסים לעולם שבו כסף אבוד אי אפשר להשיב, אנחנו צריכים להיות בטוחים שאנחנו יודעים מי יכול לשים עליו את הידיים. חוזים חכמים הם קריטיים לשימוש במגוון אפליקציות דיפיי, אבל הם מביאים איתם סכנות. בדיוק כמו שבחיים האמיתיים לא היינו חותמים על חוזה שאנחנו לא יודעים מה הוא, כך גם לא נחתום על כל חוזה חכם.
מדריך זה נכתב על ידי קריפטומן, היבואן הרשמי והגדול בישראל של לדג'ר, טרזור, קריפטוסטיל ומיטב אמצעי אבטחת הקריפטו בעולם.