В одном из первых своих сообщений по “крипте”, когда я отвечал на какой-то вопрос одного из пользователей, я уже рассказывал, что считается разумным правилом иметь несколько кошельков, как минимум два. Один для текущих расчетов/расходов (с небольшой суммой на счете), другой же для хранения более крупных средств. Лучше всего, когда тот, что для хранения - аппаратный кошелек. Если суммы не очень большие, то для кошелька для хранения подойдет старый телефон. Сделайте сброс до заводских настроек и установите только одно приложение - кошелек. Телефон включайте только тогда, когда будете переводить из этого кошелька. Для входящих переводов телефон может оставаться выключенным. Только если будете использовать Андроид для этих целей, то убедитесь, что версия Андроид не ниже 10. Android 10 (API level 29) закрыл очень важный вектор атаки, доступ к буфферу обмена для приложений в фоне. Было очень много приложений, которые мониторили буффер обмена на предмет паролей и т.д. Подробнее тут из официальных источников:
А вообще правило “многих корзинок” касается не только крипты, это же касается кредитных карт например. Для каких-то мелких покупок используются виртуальные карты, на которых небольшой баланс/лимиты. Лучше всего, когда это виртуальная карта привязана к отдельному физическому счету. Можно тешить себя мыслю, что в случае проблем, банк решит все проблемы и вернет деньги, но как показывает практика, в подавляющем большинстве случаев банки также скажут, что надо быть осторожнее.
Те же правила касаются и использования браузерных аддонов и расширений, потому что большинство из них имеет доступ ко всем данным на всех страницах, которые вы посещаете. И чем больше таких аддонов установлено, тем больше потенциальный вектор атаки. Установите отдельный браузер, который вы используете только для банковских и прочих критических задач. Не используйте его ни для чего другого.
Не используйте “хакнутый” или крякнутый софт, “сэкономленные” 50 долларов могут обернуться многотысячными потерями. Сейчас очень много софта, который предлагается по подписке со вполне демократичными ценами. Либо найдите бесплатные опенсоурс альтернативы. Для 90% пользователей вполне будет достаточно возможностей LibreOffice или GIMP.
что значит официально? вывода крипты через банки в России нет. вы будете в любом случае выводить неофициально. либо вопрос про законность вывода? нет закона запрещающего обменять крипту на рубли. можно даже заплатить налог 13% и спать спокойно.
Насколько я понял, вы, как и я, из Беларуси. У нас законодательство, касающееся криптовалют, намного либеральнее, чем в РФ. По крайней мере, на данный момент. Даже есть официальные резиденты ПВТ, выступающие в качестве обменников крипты. Например, Whitebird. Правда, он требует верификации, но потом обмен очень быстро происходит (только обменных пар пока мало), плюс можно напрямую покупать крипту с белорусских карт и выводить на них. Если, не ошибаюсь, до 24 года даже налог не надо платить с полученных средств. Сам я пробовал исключительно ради эксперимента, поскольку предпочитаю анонимные обменники, но работает.
Уже имеются предварительные итоги расследования инцидента, которое проводится сообществом солана. Вот что пишут в их официальном твиттере:
After an investigation by developers, ecosystem teams, and security auditors, it appears affected addresses were at one point created, imported, or used in Slope mobile wallet applications.
While the details of exactly how this occurred are still under investigation, but private key information was inadvertently transmitted to an application monitoring service.
There is no evidence the Solana protocol or its cryptography was compromised.
Очень похоже на то, что в отчетах аналитики (телеметрии), которые отсылались на сервера кошелька Slope, дампились приватные ключи. Кстати, буквально два месяца назад выяснилось, что MetaMask тоже “бэкапит” приватные ключи на сервера Гугла и Эппла.
По предварительным данным это проблема Slope Wallet вообще в целом, кривые руки программистов, которые не отключили сбор расширенной статистики на “боевой версии”. Так что если кто-то создавал или импортировал когда-либо свою приватную фразу в Slope, то создать новый чистый кошелек с новой сид фразой, скажем, в Phantom, и туда переслать все свои токены со старого кошелька.
А еще лучше стараться использовать OpenSource решения, там где они доступны. Тоже не 100% гарантия, но надежнее. Просто большинство пользователей воспринимают OpenSource как “халяву” и ни разу никогда даже доллара не донатили. Поэтому опенсорс решения очень часто уступают по функционалу коммерческим аналогам.
Да, а в эфире есть еще и эта засада. Можно выдать разрешения на списание своих токенов, забыть про это и спустя пару лет обнаружить пустой кошелек. В солане с этим делом получше ситуация. Все-таки более современный протокол, который закрыл частично такие возможности для злоумышленников.
Как то у меня эта фраза не укладывается в голове.
Имеются токены. Захотел и обменял их на бирже на фиат с переводом на карту. Банк увидел что на карте появились какие то средства. Спросит, от куда средства? Я, как честный человек:
1 вариант. Если говорю что обменял на бирже, то это уже подпадает под то что “вы не законно получили криптовалюту.”?
2 вариант. Спросит после того как куплю какой то товар или услугу с карты, только тогда спросит “откуда средства”. Говорю что обменял на бирже. И только тогда подпадаю под “вы не законно получили криптовалюту в качестве оплаты услуг”.
То что нельзя оплачивать криптой на прямую что то, это понимаю. Но если между криптой и товаром/услугой появляется прослойка в виде фиата, то это просто обходной маневр, не более. Так же могу понимать то, что законы, с одной стороны, нужно понимать буквально, вот что и как написано, так и есть, выдумывать что то не нужно. С другой стороны, нужные органы их могут трактовать как захотят и докажи им что об этом ничего не сказано.
И кстати, обмен крипты на фиат на бирже, это является услугой?))
Если я верно понимаю, в нашем проекте не удастся применить холодные кошельки, ведь писалось, что для получения бонусов и преференций от токенов, они должны быть на горячем кошельке фантом. Может есть решение как дать возможность хранить токены на холодном кошельке и иметь префференции и бонусы от их объема?
это услуга, которую вы оплачиваете за процент в фиате или рублях (или другой валюте) как комиссию за перевод, а речь была об оказанных услугах, за которую вы брали бы крипту или платили бы криптой. если у банка будут вопросы (скорее всего будут, если у вас суммы больше 100 тыс. будут проходить), то можно сказать, что заработали на инвестициях.
по опыту скажу:
как фрилансер постоянно получаю за мелкие заказы на сбере деньги и вывожу свободно на карту с расчтеника и обменника деньги. стараюсь не превышать 100 тыс. за одну операцию, но иногда не выходит (к примеру мне надо вывести деньги за заказ и расплатится со всеми участниками по работе). также гоняю на сбере деньги туда-сюда постоянно, даже беру у них тариф специальный для переводов без комиссий. кроме сбера у меня еще 5 карт других банков, которыми пользуюсь, но реже. за 10 лет работы ниразу банк не блокировал деньги и не спрашивал их происхождение. скорее всего их фильтры и программное обеспечение реагирует совершенно на другие сигналы, о которых мы естественно не знаем, направленно конкретно на борьбу с отмыванием денег, а все остальное что пишут в интернете - это мифы
у меня ИП с 2008 года и я сделал вывод давным давно, если вы платите со всего своего дохода налог и еще возможно чуточку накидываете, чтобы он был плюсом, то никто и никогда не будет у вас спрашивать что-то про ваш заработок со стороны ФНС. у меня ниразу не было камеральных проверок, а вот у коллег по цеху были, когда кто-то не доплачивал, укрывал то что приходило наличкой или пытался смухлевать. вообщем с государством надо делится ибо мы живем в социуме и пользуемся его благами.
Холодный кошелек на самом деле не более, чем место, где хранится Ваш приватный ключ и из которого этот приватный ключ практически нереально извлечь, даже имея физический доступ к устройству. Последняя часть про физический доступ распространяется не на все холодные кошельки. Был proof of concept атаки на Trezor. Пока что самым защищенным из всех холодных кошельков считается Ledger, имеющий как бюджетные варианты, так и более дорогие.
В тот же самый Фантом можно добавить холодный кошелек. Фантом будет каждый раз обращаться к холодному кошельку с просьбой подписать транзакцию. Сама суть холодного кошелька, что Ваш приватный ключ никогда его не покидает. Но это не отменяет необходимости всегда быть начеку и проверять, какую транзакцию вы подписываете.
Чуть позже я попробую отписать подробнее про холодные кошельки.
Неплохая альтернатива холодному кошельку - использовать свой старый телефон. Сейчас люди каждый год привыкли менять телефоны. Берете свой предыдущий телефон. Делаете сброс до заводских настроек. Никаких приложений не устанавливаете, кроме Фантома. Делаете бэкап сид-фразы на бумажку, лучше в двух-трёх экземплярах, бумажку/и надежно прячете (только так, чтобы самому потом ее найти в случае чего ) в разных местах на случай пожара, наводнения и т.д. Переписываете адрес кошелька, сохраняете его на компьютере. Старый телефон держите выключенным, включаете его только тогда, когда нужно отправить токены куда-то или авторизоваться, например забрать очередную партию токенов из вестингов. Каждый раз внимательно проверяем адрес сайта, на котором авторизуемся и что подписываем. Данный кошелек нигде больше не используем. Для ежедневных операций используем кошелек на обычном телефоне.
В альфа версии можно будет все это попробовать на практике ничем не рискуя.
PS. Если будете покупать холодные кошельки. то покупать только!! на официальном сайте компании Ledger, либо у официальных дистрибьюторов. Все остальные варианты (eBay, Ali и т.п.) несут в себе ОГРОМНЫЕ риски (надеюсь, объяснять не надо почему).