У крипто-платежей нет возврата и нет линии поддержки, способной отменить ошибку, поэтому безопасность вынесена вперёд: вы делаете правильно до нажатия «отправить» или не делаете правильно вовсе. Хорошая новость — риски хорошо изучены, а защита — простые привычки.
Хранение: кто держит ключи
Каждое решение по безопасности начинается с хранения. Если провайдер держит ваши ключи, ваш риск — его безопасность и платёжеспособность; если ключи держите вы, ваш риск — ваши собственные резервные копии и дисциплина. Ни то, ни другое не безопаснее автоматически — они переносят риск в другое место.
Сопоставляйте хранение сумме и цели. Малые операционные балансы нормально держать в надёжном кастодиальном кошельке ради удобства; крупные — в самостоятельном хранении, желательно с аппаратным кошельком, и фразой восстановления, хранимой офлайн там, где её не видели ни камера, ни облако.
Мошенничество со счетами и платёжными страницами
Распространённая атака подменяет платёжный адрес на странице или в сообщении, которое жертва вот-вот оплатит. Вы думаете, что платите законный счёт, но адрес принадлежит злоумышленнику. Поскольку платёж окончателен, деньги пропадают в момент подтверждения.
Защищайтесь, проверяя получателя через второй канал для всего значимого: подтвердите адрес с получателем напрямую, используйте подписанные или размещённые шлюзом счета, а не адрес, вставленный в чат, и относитесь с подозрением к любому сообщению об «обновлённых платёжных реквизитах» в последнюю минуту.
Гигиена адресов
Никогда не перепечатывайте адрес и не доверяйте буферу обмена слепо — вредоносное ПО, похищающее буфер, тихо заменяет скопированный крипто-адрес на адрес злоумышленника. Всегда вставляйте, затем сверяйте первые и последние несколько символов с источником и предпочитайте сканирование QR-кода с подлинного счёта.
Остерегайтесь отравления адреса, когда злоумышленник шлёт вам крошечную транзакцию с адреса, похожего на используемый вами, в надежде, что позже вы скопируете его из истории. Копируйте адреса только из реального источника, никогда из списка транзакций.
- Вставляйте, никогда не перепечатывайте; сверяйте первые и последние символы.
- Предпочитайте QR-коды и размещённые шлюзом счета вставленным адресам.
- Держите небольшой баланс нативной монеты, чтобы платёж не был скомкан из-за gas.
- Сначала отправьте крошечный тестовый перевод для крупного или первого платежа.
Подтверждайте сеть, а не только адрес
Верный адрес в неправильной сети может застрять средства. Перед отправкой подтвердите, что монета и сеть совпадают с ожиданиями получателя — отправка токена ERC-20 на верно выглядящий адрес в неправильной сети — частая и болезненная потеря.
Шлюзы снижают этот риск, показывая точную монету, сеть и сумму и генерируя свежий адрес на каждый счёт. Использование нормального чекаута вместо голого адреса само по себе контроль безопасности.
Возвраты и споры, обработанные безопасно
Поскольку возврата платежа нет, возвраты — это переводы, которые инициируете вы, а значит запрос на возврат — тоже поверхность социальной инженерии. Проверяйте исходный платёж по хэшу транзакции перед возвратом и отправляйте только на адрес, подтверждённый с подлинным клиентом.
Для продавцов пропишите эти шаги в политику, чтобы персонал не импровизировал под давлением. Большинство потерь в крипто-платежах — не экзотические взломы, а обычные ошибки и манипуляции, которые поймал бы чек-лист.
Часто задаваемые вопросы
Можно ли отменить крипто-платёж, если я ошибся?
Нет. Ончейн-платежи окончательны и не имеют возврата. Поэтому проверка перед отправкой — верный адрес, верная сеть, верная сумма — и есть вся модель безопасности.
Что такое похищение буфера обмена и как его избежать?
Вредоносное ПО, тихо заменяющее скопированный крипто-адрес на адрес злоумышленника. Избегайте его, вставляя и затем сверяя первые и последние символы с источником, предпочитая QR-коды и держа устройство чистым.
Использовать кастодиальный или самостоятельный кошелёк?
Сопоставляйте с суммой. Надёжный кастодиальный кошелёк удобен для малых операционных балансов; крупные средства принадлежат самостоятельному хранению с аппаратным кошельком и офлайн-фразой восстановления.
Как безопасно вернуть крипто-платёж?
Проверьте исходный платёж по хэшу транзакции, подтвердите адрес возврата напрямую с подлинным клиентом и отправьте из пополненного кошелька. Никогда не возвращайте на адрес, присланный только в последующем сообщении, которое нельзя проверить.