Скомпрометированная seed-фраза — одна из наиболее критических ситуаций в крипте. В отличие от украденного пароля, seed-фраза даёт полный безотзывный контроль над кошельком — все средства, все активы, все будущие транзакции. Любой с вашей seed-фразой фактически владеет вашим кошельком.
Если вы считаете что ваша seed-фраза была раскрыта, каждая секунда важна. Это руководство объясняет точно что делать.
Что означает компрометация seed-фразы
Ваша seed-фраза — обычно 12 или 24 слова сгенерированные при создании кошелька — это мастер-ключ к вашей крипте. Она может восстановить ваши приватные ключи на любом устройстве. Она обходит все пароли, PIN-коды и 2FA. Варианта «изменить seed-фразу» не существует. Единственное решение при компрометации — перенести всё в полностью новый кошелёк с новой seed-фразой.
Как компрометируются seed-фразы: фишинговые сайты запрашивающие подключение кошелька, вредоносное ПО сканирующее текстовые файлы с seed-фразами, скриншоты хранящиеся в облаке, поддельные кошельковые приложения, социальная инженерия с имитацией сотрудников поддержки, и физическая кража записанных резервных копий.
Шаг первый: немедленно переведите средства
Это единственное действие имеющее значение в первые минуты. Если вы считаете что seed-фраза скомпрометирована, а средства ещё не взяты — у вас есть узкое окно чтобы перевести их в безопасное место.
Создайте новый кошелёк на чистом устройстве
Не создавайте новый кошелёк на том же устройстве где произошла компрометация. Если на устройстве вредоносное ПО, любой созданный на нём новый кошелёк тоже под угрозой. Используйте другое устройство — телефон не подключавшийся к скомпрометированному сервису, аппаратный кошелёк, или чистый компьютер.
Немедленно запишите новую seed-фразу на бумаге. Не храните её в цифровом виде. Не фотографируйте. Не вводите ни в один сайт или приложение для проверки.
Переведите всё в новый кошелёк
Переместите каждый актив с каждого адреса связанного со скомпрометированной seed-фразой в новый кошелёк. Это включает токены, NFT, застейканные активы и позиции в ликвидности. Делайте это как можно быстрее — если злоумышленник имеет вашу seed-фразу, он может опустошить кошелёк в любой момент.
Приоритизируйте активы с наибольшей стоимостью если не можете переместить всё одновременно. Комиссии за газ не имеют значения по сравнению с активами под угрозой.
Отзовите все разрешения на токены
Если компрометация произошла через фишинговый сайт запросивший подключение кошелька, возможно были выданы неограниченные разрешения на токены. Используйте инструмент проверки разрешений чтобы определить и отозвать все выданные разрешения со скомпрометированного кошелька. Делайте это после перемещения средств, а не вместо него.
Шаг второй: если средства уже ушли
Если вы обнаружили компрометацию после того как злоумышленник уже опустошил кошелёк, процесс возврата начинается немедленно.
Не трогайте скомпрометированный кошелёк
Не отправляйте дополнительные транзакции со скомпрометированного адреса. Не пытайтесь использовать его для взаимодействия с контрактами. Оставьте историю транзакций нетронутой. Это доказательства.
Задокументируйте всё
Немедленно запишите: скомпрометированный адрес кошелька, каждый хеш транзакции показывающий исходящие средства, адреса назначения использованные злоумышленником, точное время обнаружения кражи, и как вы считаете была получена seed-фраза. Если был задействован фишинговый сайт — сохраните URL и любые коммуникации.
Немедленно свяжитесь с Crypto Reclaim
Мы начинаем форензический трейсинг в момент вашего обращения. Злоумышленник в итоге должен переместить средства на кастодиальную платформу для обналичивания. Определение этой конечной точки и подача запроса на заморозку до вывода — вот как происходит возврат. Чем быстрее мы начнём, тем выше вероятность перехвата средств.
Как работает возврат после кражи seed-фразы
Кража seed-фразы приводит к полному опустошению кошелька, что обычно означает быстрое движение средств через несколько адресов. Форензическая задача — следовать по следу через слои обфускации до точки обналичивания.
Наш трейсинг отображает каждую исходящую транзакцию со скомпрометированного кошелька, следует каждому потоку средств через промежуточные адреса, определяет взаимодействия с миксерами или кросс-чейн бридж-движения, и находит кастодиальную конечную точку где сейчас находятся средства. Эта конечная точка — обычно централизованная биржа — место куда подаётся запрос на заморозку.
Как крадут seed-фразы: основные векторы
Понимание как происходит компрометация помогает защитить новый кошелёк.
- Фишинговые сайты: сайты имитирующие легитимные кошельковые интерфейсы и запрашивающие ввод seed-фразы для «верификации» или «восстановления». Ни один легитимный сервис никогда не запрашивает вашу seed-фразу.
- Поддельные кошельковые приложения: листинги в магазинах приложений имитирующие легитимные кошельки и перехватывающие seed-фразы введённые при настройке.
- Вредоносное ПО: кейлоггеры или hijackers буфера обмена перехватывающие seed-фразы при вводе или копировании.
- Облачное хранилище: seed-фразы хранящиеся как заметки, фото или документы в облачных сервисах которые затем компрометируются.
- Социальная инженерия: самозванцы представляющиеся сотрудниками поддержки бирж или провайдеров кошельков запрашивающие seed-фразы.
- Физическая кража: записанные резервные копии хранящиеся в доступных местах.
Защита нового кошелька
После того как средства в безопасности в новом кошельке, внедрите меры защиты устраняющие уязвимости приведшие к компрометации:
- Храните seed-фразу как физическую резервную копию в защищённом месте — не сфотографированную, не введённую ни в какое устройство
- Никогда не вводите seed-фразу ни на каком сайте, независимо от того насколько он выглядит легитимным
- Рассмотрите аппаратный кошелёк для значительных сумм
- Используйте отдельные кошельки для взаимодействия с DeFi-протоколами и для хранения ценности
- Проверяйте URL сайтов символ за символом перед подключением кошелька
Свяжитесь с нами сейчас
Если вы только что обнаружили компрометацию seed-фразы — пока средства ещё в кошельке или уже ушли — немедленно свяжитесь с Crypto Reclaim. Оценка бесплатна. Мы определяем что возвратимо, какие защитные действия можно предпринять прямо сейчас, и как выглядит реалистичный путь вперёд. Каждая минута между кражей и нашим первым действием снижает вероятность возврата. Действуйте сейчас.