Шахрайство в DeFi: як захиститися від зловмисників

Зламування смарт-контрактів: хакери знаходять вразливості в смарт-контрактах, зламують код і зливають ліквідність з пулів. Такі атаки не рідкість і з подібними проблемами стикався цілий ряд DEX.

Rug pull (скидання): Схема досить популярна та проста: шахраї створюють монету та активно просувають її. Користувачів завалюють обіцянками, що монета «вистрілить» і незабаром з'явиться на великих децентралізованих біржах. Однак після того, як користувачі вкладають кошти в проєкт, організатори зникають разом з грошима жертв.

Флеш-кредити: миттєва угода на велику суму грошей між позичальником та кредитором. В цьому випадку шахраї отримують прибуток за допомогою арбітражних операцій.

Афера: зловмисники створюють фейкові проєкти. Найчастіше шахраї активно піарять перспективні та прибуткові концепції, вкладаються в рекламні акції, а також всіляко впливають на громадську думку. Все це робиться для того, щоб переконати користувача вкласти гроші у фейк.

Особистий обман: зловмисник упродовж тривалого часу вибудовує особисті стосунки та входить у довіру жертви. Згодом, коли користувач «на гачку», йому рекомендують інвестувати у «потрібний» проєкт. Зазвичай шахрай ретельно вивчає жертву, збирає дані, часто представляючись працівником відомої компанії.

Фішинг: жертві надсилають фальшиві посилання на підроблені веб-ресурси, на яких він зливає свої персональні дані. Шахраї часто запитують закриті ключі, які не можна розголошувати, та дізнаються потрібну інформацію про користувача. Клік по неперевіреному посиланню може призвести до автоматичного завантаження шкідливого скрипта або програмного забезпечення.

Шахрайство у соцмережах: у соціальних мережах створюється ажіотаж для збирання коштів. Відмінним прикладом є випадки, коли шахраї зламали Twitter акаунти Джо Байдена, Білла Гейтса, Кім Кардаш'ян та інших відомих особистостей. Зловмисникам вдавалося виманити в користувачів понад 100 тисяч доларів. Люди, відправляючи гроші власникам сторінок, насправді переводили їх на блокчейн-адресу шахраїв.

Одна з основних проблем шахрайства в DeFi — відсутність регулятора, який зміг би захистити інтереси жертв. «Поліції» в DeFi просто не існує. Дуже часто не вдається навіть встановити особи засновника чи команди розробників проєкту. Але якщо жертві вдається з'ясувати, хто вкрав її активи, то на сьогоднішній день практично немає правової бази для покарання крипто-шахраїв. 

Завжди ретельно досліджуйте проєкт. Вивчіть дані самостійно. Обов'язково варто перевірити технічну документацію, оцінити дизайн та рентабельність проєкту. Він має бути простим, мати робочу модель та не давати обіцянок «швидкого заробітку». 

Варто перевіряти код смарт-контракту. Оскільки смарт-контракти можна оновлювати, розробники за допомогою ключів адміністратора можуть змінювати їх у будь-який час. Хакери можуть використовувати й інші вразливості в смарт-контракті, але чим більше шляхів їм буде закрито, тим складніше їм буде здійснити крадіжку. 

Ніколи і нікому не розкривайте особисті ключі безпеки. Навіть якщо це перевірена людина чи друг – краще цього не робити. Особливо у листуванні чи по телефону. Зловмисники можуть моніторити соціальні мережі користувачів.

Варто пошукати інформацію чи особисті сторінки творців проєкту у соцмережах. Подивіться на їхню активність та на фото профілю. Траплялися випадки, коли шахраї використовували дипфейкові відео з реальними директорами великих компаній. Якщо ви помітили щось підозріле чи дивне, краще не зв'язуватися з цим проєктом.

Так, існують абсолютно законні та якісні проєкти, творці яких вважають за краще залишатися в тіні. Але додаткова перевірка ніколи не завадить.

Варто перевіряти план розподілу токенів (токеноміку). Не потрібно накидатися на нові монети, особливо якщо проєкти роздають багато безкоштовних токенів.

Перевровіряйте пропозицію, розбирайтеся, як працює крипторинок та блокчейн, не вірте обіцянкам миттєвого заробітку або яскравим заголовкам у соцмережах, стежте за новинами про біржі, нові монети та проєкти. Щоб захиститися від фішингу, потрібно ретельно перевіряти будь-які посилання ще до того, як ви на них натиснете. 

Спілкуйтеся лише у тих соцмережах, які заявлені розробниками проєкту як офіційні. Слідкуйте за назвою груп і якщо назва відрізняється – не вступайте в них і не спілкуйтеся з її учасниками. Шахраї часто зв'язуються з жертвами, представляючись ботом проєкту чи учасником команди розробки. У такий спосіб вони виманюють гроші чи приватні ключі.