Сберегатель (Сэр Лонг)
Сберегатель (Сэр Лонг) личный блог
03 декабря 2017, 19:40

Меры предосторожности при операциях с крипто-активами. (Краткое руководство)

Всё изложенное мной ниже — основано на моём личном опыте и по мере возможности применяется мной на практике. 

Некоторые рекомендации покажутся вам параноидальными и\или противоречащими моим недавним  декларациям.

Хочу пояснить, что эта статья имеет очень специальное назначение и является ориентиром, к которому желательно максимально приблизиться.

Сам я пока ещё весьма далёк от чёткого выполнения всех пунктов этой статьи.

Эта удалённость возникла изза недостатка знаний и изза моих заблуждений, которые сопутствовали мне во время моего продвижения в крипто-мире.

Недавно я осознал, что надо двигаться в направлении максимальной децентрализованности.

Децентрализованность, как таковая, уже сама гарантирует безопасность ваших крипто-активов.

1 Аппаратное и программное обеспечение.

1.01 Выделить для управления крипто-активами отдельный ноутбук.

1.02 Установить на этот ноутбук хоть какой-то антивирус, например AVAST

1.03 Сёрфинг в интернете на этом ноутбуке должен быть минимальным (ведь этот ноутбук предназначен для крипты, вы не забыли, да?)

1.04 Для сёрфинга должен быть установлен специальный браузер, выход на крипто-сервисы должен производиться через другие браузеры.

1.05 Программное обеспечение должно быть, по возможности, с открытым исходным кодом.

Например, холодные кошельки.

1.06 Для долговременного хранения крипто-активов рекомендую использовать аппаратный кошелек LEDGER NANO S: goo.gl/i4XNom

1.07 Аппаратный кошелек рекомендую покупать в количестве 2 шт. Чтобы запасной экземпляр можно было немедленно применить в случае поломки основного экземпляра, и не тратить недели на ожидание доставки.

2 Обмен крипто-активов на фиат.

2.01 Основные сервисы

LOCALBITCOINS: goo.gl/v2hNf6
BTC banker: goo.gl/59Z9QD

2.02 Дополнительные сервисы

BESTCHANGE: goo.gl/JydhkS
BCC_CHANGE_BOT: goo.gl/8XxjMZ
DASH_ChangeBot: goo.gl/JnwNPU
LTC_CHANGE_BOT: goo.gl/LDWCrb
DOGE_CHANGE_BOT: goo.gl/dAPcsA

2.03 Очень не рекомендую пользоваться картами Сбербанка, изза частой их блокировки.

3 Регистрация на сервисах

3.01 Если для регистрации на сервисах используется аккаунт G+ или связанный с ним почтовый ящик, то на этом аккаунте категорически не рекомендуется пользоваться другими сервисами Google (загружать видео на канал YouTube, вести блоги на Blogspot и тд)

3.02 Сохраняйте регистрационные данные в текстовых файлах.

3.03 Делайте резервные копии текстовых файлов с регистрационными данными и храните эти копии на специальном носителе (а лучше — на двух-трёх).

3.04 Для более высокой степени защищённости регистрационных данных — используйте Linux или iOS вместо Windows, а сами данные сохраняйте не в текстовых файлах, а на бумажных носителях. Если данные распечатываются на принтере, то принтер не должен быть сетевым.

4 Централизованные крипто-биржи

4.01 Нельзя пользоваться крипто-биржей, если она предлагает пройти верификацию.

4.02 Если в правилах крипто-биржи имеется требование пройти верификацию, то такой крипто-биржей пользоваться нельзя!

4.03 Крипто-биржа, осуществляющая некоторые операции только после верификации личности или банковской карты — представляет опасность для ваших активов изза возможной блокировки аккаунта.

4.04 Если в правилах крипто-биржи указано, что на ней возможны некоторые операции без верификации, а возможность проводить другие операции появляется только после верификации — то такой крипто-биржей нельзя пользоваться изза опасности блокировки вашего аккаунта и потери ваших активов.

4.05 Используйте централизованные крипто-биржи только для небольших операций по обмену крипто-активов.

4.06 Не используйте централизованные крипто-биржи для крупных операций по обмену крипто-активов.

4.07 Не используйте централизованные крипто-биржи для хранения крипто-активов, выводите крипто-активы на холодные кошельки или на децентрализованные крипто-биржи.

4.08 Не используйте централизованные крипто-биржи, которые были замешаны в крупных скандалах (Bitfinex,WEX)

4.09 Не используйте централизованные крипто-биржи, имеющие регистрацию в США (Bittrex, Poloniex)

4.10 Рекомендую сократить присутствие на крипто-биржах, использующих USDT (Tether), до прояснения ситуации.

5 Децентрализованные крипто-биржи.

5.01 Децентрализованные крипто-биржи.

ETHERDELTA: etherdelta.com/
RUDEX: rudex.org/

5.02 Тщательно оберегайте приватные ключи от ваших кошельков

6 ICO

6.01 Не участвуйте в ICO, ибо это лотерея.

6.02 Принимайте решение о приобретении понравившихся вам крипто-активов уже после ICO.

7 Реальные сервисы облачного майнинга.

7.01 Не вкладывайте ваши средства в сервисы облачного майнинга, ибо они не децентрализованы.

7.02 Не вкладывайте ваши средства в сервисы облачного майнинга, ибо доход от них, выраженный в крипто-активах, ниже, чем доход от простого холда крипто-активов за тот-же период.

=

Мой канал Telegram: t.me/cryptothrash

=

Список всех перспективных крипто-проектов (периодически обновляется) :

goo.gl/u5hgK2

=

«Облачный майнинг».

HASHFLARE: t.co/wk7ETJPwkg = 01.09.2017 изменил все ранее купленные контракты с бессрочных на годовые

GENESIS MINING: t.co/BJOb65tFeZ = Бессрочные контракты SHA-256, Промокод на скидку 3% — Uv31rm

=

Аппаратные крипто-кошельки.

LEDGER NANO S: goo.gl/i4XNom

=

Кошельки и платёжные системы.
PAYEER: goo.gl/tDavne

=

Обменники.
BTC banker: goo.gl/59Z9QD
LOCALBITCOINS: goo.gl/v2hNf6

=

Рублёвые крипто-биржи.
YOBIT: goo.gl/irx0NL
LIVECOIN: goo.gl/pzXEzS
EXMO: goo.gl/cMhZR6
CEX: goo.gl/b7A3hS

=

ICO и раздача бесплатных токенов

Earn 1000 Free ACTIONCOIN: goo.gl/8Azm2n

Register now and get 10 free STOKIT: bit.ly/2iTLSMq
=

tags #cryptocurrency #security

135 Комментариев
  • cfree0185
    03 декабря 2017, 19:51
    etherdelta

    разве это обьемы?
  • maikl sake
    03 декабря 2017, 19:53
    супер
  • Владимир Гончаров
    03 декабря 2017, 20:12
    по п. 1. скажу кратко Бэкап, антивирус, отдельный комп держать не надо можно на виртуальной машине сделать стерильную систему, если выделять отдельный комп то хранить там полную базу блокчейна ИМХО.

    п. 4  На Е торо забил т.к. она тоже требует подтверждения личности.

     п. 5 Yobit это какая биржа? вроде бы не требует подтверждения личности.

  • Sarmatae
    03 декабря 2017, 20:17
    Спасибо!
  • consar
    03 декабря 2017, 20:18
    Ваши посты про крипту просто клад для смартлаба.
    А что думаете про возможность арбитража на криптобиржах? Тут был пост одного умника, без раскрытия принципа. А ведь все просто, например сейчас цена биткойна от 11300 до 12100 на разных биржах, разница 7%!!! Можно на этом заработать?
    • Владимир Гончаров
      03 декабря 2017, 20:23
      consar, попробуй, разница в цене скорее всего из-за ликвидности сам видал как разброс в пару сотен баксов между Йобито и Битмексом.
  • Grg788
    03 декабря 2017, 20:22
    Вспоминается старый анекдот — бинт, вата, йод, доктор а как же? А главное — никаких криптосношений.
    а так все конечно написано очень правильно.
      • Grg788
        03 декабря 2017, 22:05
        От Лонга!, да я полностью согласен. И если почувствуем запах серы, то будем поливать святой водой. Как ни печально, но в крипте надо быть параноиком.
          • Grg788
            03 декабря 2017, 22:18
            От Лонга!, в принципе, слово крипто из этого пассажа можно убрать. Не знаю, нравится ли мне это — но я так живу.
              • Grg788
                03 декабря 2017, 23:12
                От Лонга!, это почище ios и android. А как жить иначе? На кого или что надеяться?
                  • Grg788
                    03 декабря 2017, 23:24
                    От Лонга!, мы не будем ждать милостей от природы, дальше по тексту (не помню дословно).
                      • Grg788
                        03 декабря 2017, 23:33
                        От Лонга!, вообще-то там было — взять их у неё, наша задача. Но Ваш вариант современней. Только не дождётся.
                        на телеграмм подписался.
  • Тихая Гавань
    03 декабря 2017, 20:35


    • (1:10) || algo
      03 декабря 2017, 21:21
      Тихая Гавань, этого недостаточно :) Сидеть надо под linux, а не за антивирусом драным. Пароли надо хранить на бумажке, а не в текстовых файлах, а децентрализованными биржами пользоваться опасней, чем централизованными:
      24 сентября аккаунты ряда пользователей децентрализованной биржи EtherDelta были взломаны с помощью остроумной схемы. Мошенник (или группа мошенников) разместил на блокчейне Эфириума смарт-контракт собственного токена ERC20 со встроенным Java-script, дающим доступ к личным данным пользователя на EtherDelta. Он разместил торговые ордера с этим контрактом на EtherDelta (токены, не участвующие в официальном листинге EtherDelta, обозначаются в торговой системе не аббревиатурой, а адресом смарт-контракта).  Затем, он отправлял ссылку на этот токен участникам чатов на Slack и Discord каналах, и даже поместил ссылку свой токен в официальном чате EtherDelta на Gitter, сопроводив ссылку щедрыми обещаниями будущих прибылей. Получив доступ к депозитам пользователей, он вывел с них средства. Эта история, подробно описанная порталом Hackernoon, не привлекла особого внимания, и была довольно быстро забыта из-за небольшого числа пострадавших, хотя размер убытков, по некоторым данным, составил сотни тысяч долларов. Однако, скандал получил продолжение в связи с бумом ICO этой осени: грабитель стал «героем-неудачником» недавнего токенсейла проекта децентрализованного обмена токенов AirSwap, проходившего 11 октября, и даже попавшего на страницы портала Bloomberg. Исследователь Бобби Боубойн, (Bobby Bowboin) выяснил, что один из кошельков, на который были выведены средства, похищенные у EtherDelta, стал источником средств для кошелька, с которого была проведена...
        • (1:10) || algo
          03 декабря 2017, 21:53
          От Лонга!, у меня много-много лет назад из-под Касперского тысяч 200 руб. увели Webmoney, очень быстро поменял привычки :) За неделю буквально )
            • (1:10) || algo
              03 декабря 2017, 21:59
              От Лонга!, а мой сервис был завязан исключительно на ВМ. 200 тр тогда были совсем другими рублями. Это было куда больше сегодняшних рублей, и тогда для меня это вообще очень крупная сумма была.
              • Владимир Гончаров
                04 декабря 2017, 23:20
                кукловедофилофоб, их в фиат вывести сколько стоило? тогда банка не найти который обналичил или завел туда за низкие %
                • (1:10) || algo
                  04 декабря 2017, 23:30
                  Владимир Гончаров, я не понял вопроса ) пока еще никогда ничего в фиат не выводил
          • Grg788
            03 декабря 2017, 22:07
            кукловедофилофоб, сорри
          • Владимир Гончаров
            04 декабря 2017, 23:19
            кукловедофилофоб, я тоже видал как человек с Касперским поймал Винлокера,
          • Владимир Гончаров
            04 декабря 2017, 23:23
            кукловедофилофоб, У вас был чистый Антивирь? Не было сетевого браузера?  В каждой ситуации разбираться надо
            • (1:10) || algo
              04 декабря 2017, 23:33
              Владимир Гончаров, это было очень много лет назад. Разобрались быстро. Деньги ушли на Яндекс.деньги, их поделили три человека. Было написано заявление с датой-временем-событием-адресами получателей, их ФИО и всем-всем-всем, которое успешно было закрыто «за отсутствием события преступления» :)) Т.е. не «закрыто», а хз как сказать. Дело возбуждено не было.
        • Grg788
          03 декабря 2017, 22:06
          От Лонга!, лучше мак и ios.
            • Grg788
              03 декабря 2017, 22:13
              От Лонга!, еще пепси и коку вспомни. Я ж не о достоинствах, а о защите.
            • Владимир Гончаров
              04 декабря 2017, 23:25
              От Лонга!, но почему то предпочитают Яблочников ноуты и компы.
              У линуха файловая система хитрая, если ссылки потеряешь файлов не найти.

        • Владимир Гончаров
          04 декабря 2017, 23:18
          От Лонга!, Линукс это садомазохизм, от вирусов тоже не защищает, Антивирусы Касперского их не только вирусы боятся но и Госдеп США.
          • (1:10) || algo
            04 декабря 2017, 23:34
            Владимир Гончаров, чой то не защищает? Можешь мне найти достойный антивирус для Линукса? Поставлю себе на всякий случай :))
        • (1:10) || algo
          03 декабря 2017, 22:01
          От Лонга!, чем же? 

          Меня вот очень напрягает необходимость совать приватный ключ в браузер при каждом залогинивании… Диковато это. Для меня конкретно. Столько способов его стырить… Прям глаза разбегаются.
            • (1:10) || algo
              03 декабря 2017, 22:35
              От Лонга!, это его дальнейшие приключения. Они не имеют отношения к тому, как он свою монетку подсунул со скриптами и деньги тырил. Ни в одной централизованной бирже это не прокатит.
                • (1:10) || algo
                  03 декабря 2017, 22:42
                  От Лонга!, если потом еще окажется, что он на самом деле при регистрации свой собственный паспорт туда отправил, это будет вообще эпично… и тем страшнее это звучит для децентрализованной биржи, раз не самый сообразительный недохакер смог там такое…
                    • (1:10) || algo
                      03 декабря 2017, 22:51
                      От Лонга!, я так понял, что любой может добавить любой новый токен, в т.ч. и свой, в т.ч. с любыми JavaScript. Ткнул из любопытства не в ту монетку = обнулил свой баланс.
                        • (1:10) || algo
                          03 декабря 2017, 22:59
                          От Лонга!, я тыкаю в монетку, посмотреть ее цену и график, сделки. Ну, тривиальная такая трейдерская вещь, а эта монетка запускает свой смарт-контракт, скрипт на странице, сношает во всех позах браузер, заглядывает в формы и нужные поля таблиц и выводит все мои деньги… Я понял это так.
                            • (1:10) || algo
                              03 декабря 2017, 23:21
                              От Лонга!, мои тоже поверхностные, поэтому не нужно запоминать, как достоверный тезис )

                              Достоверным тезисом является то, что строка, мелькающая в браузере Винды каждый день, секретом быть не может. Я бы рискнул использовать децентрализованную биржу только под стерильным Linux или UNIX под браузером с открытым исходным кодом (Firefox) с запрещенными в настройках самого браузера скриптами и уж точно без установленных в браузере каких-то плагинов и модулей.
                                • (1:10) || algo
                                  03 декабря 2017, 23:32
                                  От Лонга!, «захочешь жить — и не так раскорячишься», LOL )))
                              • Владимир Гончаров
                                04 декабря 2017, 23:29
                                кукловедофилофоб, экранная клава Киса тебе не устраивает?
                                • (1:10) || algo
                                  04 декабря 2017, 23:36
                                  Владимир Гончаров, моя проблема с безопасностью, считаю, решена. Я спокойно сплю по ночам.
                          • Владимир Гончаров
                            04 декабря 2017, 23:28
                            кукловедофилофоб, когда Касперский просекет эту угрозу он еще больше на этом заработает.
            • (1:10) || algo
              03 декабря 2017, 22:28
              От Лонга!, без разницы. Ключ можно увести прямо с экрана, отслеживая клипборд, клавиатуру, скриптами, плагинами. Я прям не знаю, как его нельзя увести, когда им так ежедневно перед носом размахивают…
                • (1:10) || algo
                  03 декабря 2017, 22:47
                  От Лонга!, антивирусы себя защитить не могут. Винда дырявая насквозь. Ее не залатать. Первая попавшаяся:



                    • (1:10) || algo
                      03 декабря 2017, 22:56
                      От Лонга!, ничего подобного. Показалась на страничке какая-то реклама (на бирже их нет, но для примера) — сработал JavaScript. Компьютер чист, а денег уже нет. Если свободно серфить в винде (поменьше там или побольше — пофигу :), то просто гарантированно без денег рано или поздно жить придется )
                        • (1:10) || algo
                          03 декабря 2017, 23:14
                          От Лонга!, многие сайты используют скрипты. Отключить скрипты можно прямо в настройках самого браузера. Там можно даже все картинки отключить :) Не всегда стоит это делать, т.к. на многих сайтах используются скрипты в дроп-даун менюшках, для нужных и ненужных визуальных эффектов, для проверки данных в формах при их заполнении и обращениях AJAX. Используются как самописные скрипты, так и специальные JavaScript библиотеки типа jQuery и проч. Антивирус в принципе не сможет разобраться в этих вещах, т.к. скрипт можно написать так, что он будет изменять сам себя. Чтобы антивирусу проверить, как на самом деле работает этот скрипт, в нем самом должна быть полная функциональность этого JavaScript, т.е. антивирус должен бы прогонять эти скрипты, а не просто анализировать их текст или, хуже того, просто какие-то ключевые фразы там ловить… Может, конечно, какие-то антивирусы это как-то и делают, но я бы особо не надеялся :)
                            • (1:10) || algo
                              03 декабря 2017, 23:32
                              От Лонга!, дык ну… Но скрипты скриптам рознь. Для меня было открытием, что в смарт контракты можно JavaScript пихать. Что-то даже не уверен, что это так. Почитать бы надо…
                          • Владимир Гончаров
                            04 декабря 2017, 23:40
                            кукловедофилофоб, так вы про полиморфные вирусы имеете ввиду если найдут скрипт сделают сигнатуру, я в тему глубоко не влазил, может быть у меня красть нечего…
                            • (1:10) || algo
                              04 декабря 2017, 23:46
                              Владимир Гончаров, я живых вирусов давным-давно не видел :)
                        • Владимир Гончаров
                          04 декабря 2017, 23:34
                          От Лонга!, все что перечислили на 90% блочит, самые паганые это когда ложный баннер выпрыгнет типа, обнови антивирус, а там бэкдор.
                    • Гденьги ☭
                      04 декабря 2017, 16:56
                      От Лонга!, серфить можно, но в https://www.sandboxie.com/ например.
                        • Гденьги ☭
                          04 декабря 2017, 18:06
                          От Лонга!, так это она и есть.

                          Песочница, за пределы которрой запущенный софт не должен вылезти.

                          В ней удобно браузер в один клик запускать, например.
                • Гденьги ☭
                  04 декабря 2017, 16:53
                  От Лонга!, антивирусы нужны только их разработчикам ради халявного кешфло.
                  Прошли времена, когда можно было работать по базе вирусов.

                  Сейчас ни одна эвристика не поймает новый 0-day.
              • Гденьги ☭
                04 декабря 2017, 16:51
                кукловедофилофоб, ключ нельзя увести, если он передается в защищенном режиме windows, так умеет keepass работать с мастер-паролем.

                • (1:10) || algo
                  04 декабря 2017, 18:58
                  Гденьги ☭, я уж забыл давно, что там существует какой-то защищенный режим ) Когда под виндой жил — не использовал.

                  Если кратко, какие там ограничения и почему это не повседневный режим? В Вике мутно, а копать лень =)
                  • Гденьги ☭
                    04 декабря 2017, 23:28
                    кукловедофилофоб, если быть точным, то режим называется «защищенный рабстол».

                    по сути, пароль вводится в изолированной среде а ля виртуалка, где доступ к устройствам ввода/вывода имеет только четко ограниченное кол-во процессов.
                    • (1:10) || algo
                      04 декабря 2017, 23:39
                      Гденьги ☭, а когда и в какой винде эта штука впервые появилась? Я только под XP успел посидеть, дальше не в курсе мелкомягких «успехов» :)
                      • Владимир Гончаров
                        04 декабря 2017, 23:45
                        кукловедофилофоб, и когда ты с XP ушел?
                        • (1:10) || algo
                          04 декабря 2017, 23:47
                          Владимир Гончаров, не помню даже. Это было очень давно.
              • Владимир Гончаров
                04 декабря 2017, 23:31
                кукловедофилофоб, это классика угона данных, Кис есть даже на Линуксе.
      • Grg788
        03 декабря 2017, 22:09
        кукловедофилофоб, я всегда говорю — эфир — гуано. Впрочем, как и даш, но по разным причинам.
        • (1:10) || algo
          03 декабря 2017, 22:12
          Grg788, это лучшее из того, что у нас есть :) только От Лонга! это не говори, а то он сразу его текущий гуановый график торговать начинает )))))

          Там не в эфире дело, а в концепции биржи. На другом блокчейне можно такую же фигню сделать. Только на других блокчейнах смарт-контракты не такие продвинутые, как эфирные.
          • Grg788
            03 декабря 2017, 22:15
            кукловедофилофоб, согласен, но это не отменяет мое мнение об эфире и даше.
  • Недавно внимательно слушал Василия Олейника о биткоине, так любая биржа криптовалюты может в любое время заблокировать всем  продавать биткоин, а при этом свои люди будут их продавать и только когда они выскочат, то дадут шанс выскочить остальным, но уже по символическим ценам. И куда жаловаться в таком случае?
  • Azz
    03 декабря 2017, 21:39
    «Не вкладывайте ваши средства в сервисы облачного майнинга»
    и тут же ссылки на хэшфлэр и генезис. это чтобы было понятно куда именно и по какой реферальной ссылке не вкладывать?

  • trader_95
    03 декабря 2017, 21:42
    отлично!
  • Ну как бы
    03 декабря 2017, 22:09
    Что думаете вот об этой бирже: exrates.me/dashboard?
    Привлекла наличием iota. Сделок пока там не совершал. Верификации, вроде бы, нет. 
  • Южный
    03 декабря 2017, 22:28
    Шикарный пост !

    Ну и ответы на коменты как всегда на высоте.
  • Южный
    03 декабря 2017, 23:25
    От Лонга!, надо наверно пошире тему офлайн кошельков раскрыть. ( холодные, бумажные и т.д. ,

    кроме Ledger nano S, — про него вы с Gryphonом подробно все расписали и дали кучу ссылок. )

    Выбор, безопасность, как и сколько можно завести и вывести из кошелька, лимиты, преимущества, подводные камни, куда ставить на флешку, НD, смартфон, ну и всё такое, короче обзорный пост наверно нужен.

    А то многие держат на биржах (в основном небольшие суммы )
    А когда денег становиться на порядок больше вот тут то и 
    встаёт вопрос. ))
  • Albert Rudolfovich
    04 декабря 2017, 00:25
    верификации личности или банковской карты — представляет опасность для ваших активов изза возможной блокировки аккаунта
    а паер предлагает. не делать?
      • Albert Rudolfovich
        04 декабря 2017, 07:22
        От Лонга!, так верифицирую я  свою карту, вып в рф, паер вообще норм сервис?
  • shpazhist
    04 декабря 2017, 16:41
    А я Вам еще пол года назад писал про децентрализованные биржи)
    На что Вы мне отвечали: «Задачи биржи и есть обеспечивать гарантию исполнения контракта»)))

    Не хочу Вас обидеть, но по Вашему тону складывается такое ощущение, что Вам немного нужно отдохнуть от крипты, еси чес.

    В своем же случае, я уже придерживаюсь такой тактики уже +- пол года. Просто слишком надоела эта волатильность и непосредственно сам трейдинг, поэтому исключительно докупаю по чуть-чуть только биток, эфир и бикэш. И, кстати, с таким подходом результаты даже гораздо лучше.
      • Albert Rudolfovich
        04 декабря 2017, 18:11
        От Лонга!, чем центр бир от нецент биржи называется?
        как все биржи торгую примерно по одной цене?

        связь есть лишь через продавцов и информацию?

Активные форумы
Что сейчас обсуждают

Старый дизайн
Старый
дизайн