Heb je ooit een show gezien die Takeshi’s Castle heet of heb je gekeken naar Wipeout, waarin mensen een hindernisbaan afleggen en hun gezicht in elkaar gestampt krijgen?
Laat ik dit een beetje meer relateerbaar maken voor je. Heb je ooit geïnvesteerd of betrokken geweest bij cryptocurrencies of nfts?
Want al die drie dingen die ik eerder noemde zijn precies hetzelfde. Je weet nooit of je volgende stap een vals platform zal zijn waar je dwars doorheen valt.
Voor mij was het eigenlijk het verdwijnen van mijn NFT collectie nadat ik mijn Metamask koppelde aan een kwaadwillende website.
Zie je, er is hier een gemeenschappelijk thema. Je bent niet veilig op het internet, dus besloot ik je wat te leren over het veilig blijven terwijl je op het web 3 surft zodat je niet verdrinkt onder de golven.
Want als je niet weet hoe je moet reageren op iets als de recente BNB hack, Luna die crashte of de recente hack van een Bored Ape Yacht Club wallet waarin 7 apen werden gestolen, waarvan er één alleen al meer dan 190 Ethereum waard is of als je favoriete discord server op magische wijze besluit een verrassings mint te organiseren om 3 uur ’s nachts en je onschuldig klikt en de volgende morgen opmerkt dat al je NFTs en cryptocurrency verdwenen zijn.
Als je je niet voorbereid kan je niet overleven in de web 3.0 wereld. Daarom hebben we dit artikel geschreven om je te beschermen tegen de vele gevaren van deze nieuwe wereld. In dit artikel zullen we hardware wallets, smart contracts, hoe goedkeuringen werken, je eigen bank zijn, naast vele andere kleine tips en hints behandelen.
Als eerste punt moet ik echter aanhalen dat blockchain op zich heel veilig is. Dus als je bang bent dat er iemand je seed phrase zal hacken of raden. Dan heb ik goed nieuws voor je, dit is niet iets waar je je zorgen hoeft over te maken.
De makkelijkste manier om gehackt te worden is door fouten van de gebruiker zelf. Door het gebruik maken van social engineering zullen oplichters proberen je seed phrase te stelen.
Seed Phrase
Wat is een Seed Phrase?
Een seed phrase of recovery phrase is een verzameling van 12 – 24 willekeurige woorden. Het wordt gebruikt om toegang te krijgen tot je crypto’s in je wallet of om je wallet te herstellen. Daarom kunnen seed phrase worden beschouwd als een back-up van je wallet.
Het doel van hackers is om toegang te krijgen tot deze seed phrase, hiervoor passen ze verschillende social engineering strategien toe.
Volg daarom onderstaande advies en tips:
- Lees je seed phrase niet hardop
- Sla je seed phrase nooit digitaal op
Wij raden je aan om je seed phrase nooit digitaal op je computer te plaatsen. Als een hacker in je computer geraakt en hij zoekt je computer kan hij een seed phrase heel makkelijk vinden en herkennen. Het is een reeks van 12 tot 24 willekeurige woorden.
Sla je seed phrase ook niet op op een cloud zoals Google Drive. Wij raden aan om je seed phrase op te schrijven en in een brandveilige kluis te stoppen. Hierdoor kan niemand toegang tot je seed phrase hebben.
Wil je je seed phrase toch digitaal opslaan, dan raad ik volgende extra stappen aan:
Plaats de seed phrase in een tekst bestand, daarna compresseer je het bestand in een .rar met een moeilijk te raden wachtwoord.
Verander de volgorde van je seed phrase (bv start je seed phrase in je tekstdocument van woord 4), wissel 2 woorden om, wissel het eerste en het laatste woord om etc.
Splits je seed phrase op in meerdere delen.. Plaats elk deel op een andere plaats. Bijvoorbeeld deel 1 in je google drive, deel 2 in een bijlage in een email naar jezelf.
Niemand, zelfs metamask zelf zal nooit om je seed phrase vragen. Ik krijg elke dag e-mails van “metamask” of van “ledger” die zeggen dat er een probleem is met mijn account en dat ik mijn account moet verifiëren met het invullen van mijn seed phrase.
Deze e-mails zijn oplichterij en komen niet van Metamask of Ledger zelf. Er is geen enkele situatie waarin je ooit je seed phrase moet invullen behalve wanneer je zelf je wallet wilt herstellen of plaatsen op een andere computer.
Voorbeeld scam email:
Maak een plan in geval van een ongeluk
Ongelukken kunnen gebeuren en we moeten voorbereid zijn voor het geval dat er iets gebeurd. Daarom adviseer ik dat je een plan maakt voor het geval van onvoorziene gebeurtenissen, zodat vertrouwde mensen toegang hebben tot je crypto, zelfs als ze niet veel begrijpen van de wereld van cryptocurrencies.
Wallet verbinden met Web 3 protocols
Ik weet zeker dat als je al langer dan een kwartaal in web3 space bent, je hoogstwaarschijnlijk verhalen hebt gehoord over wallets van mensen die leeggehaald worden en vragen zoals is het veilig om mijn wallet met deze website te verbinden.
Dus hier is het cruciale deel om te begrijpen dat blockchains als machine niet uit zichzelf acties in gang zetten, het moet altijd van de gebruiker komen.
Elke activiteit op de blockchain met betrekking tot wallets, moet de transactie vooraf worden goedgekeurd door de eigenaar van deze wallet. Daarom waren alle leeggeroofde wallets succesvol omdat de eigenaar van de portemonnee op een bepaald moment een transactie en toestemming goedkeurde, waardoor de aanvaller de toegang kreeg om de wallet leeg te halen.
Om het simpel in een voorbeeld uit te leggen:
Stel dat je 1000 USDT wil omwisselen naar 1000 USDC op de dex Uniswap. Wat gebeurt er dan eigenlijk als ik op connect my wallet klik?
- We maken verbinding met Uniswap (Dit kost geen transactiekosten)
Bij het verbinden met Uniswap krijgt Uniswap toegang om je adres te zien, je saldo etc. Het gewoon verbinden met een protocol brengt volgens mij geen risico met zich mee.
Nadat je verbinding hebt gemaakt met Uniswap, moeten we Uniswap goedkeuring geven om USDC uit onze wallet te halen.
Wat er essentieel gebeurd is dat we Uniswap goedkeuring geven door gebruik te maken van een smart contract om USDC uit onze account te halen. Anders is het onmogelijk voor Uniswap om de de fondsen daadwerkelijk om te ruilen.
Daarom hebben we 2 transacties voor elk nieuw paar dat we daadwerkelijk gebruiken bij Uniswap.
Transactie 1: We keuren het Uniswap smart contract goed om USDC tokens uit onze wallet te halen.
Het punt is dat de meeste toepassingen je vragen om alleen het bedrag goed te keuren waar je om vroeg. Bijvoorbeeld 1000 USDC naar USDT ruilt, dan zou Uniswap enkel moeten vragen om 1000 USDC goed te keuren om van je wallet te halen.
Dit kan heel prijzig worden als je dit protocol meerdere malen gebruikt omdat je elke keer toegang tot je USDC voor een bepaald bedrag moet goedkeuren. Daarom kan je ook onbeperkt toegang geven tot je USDC. Hierdoor kan je in de toekomst deze eerste goedkeurings transactie voorkomen, maar dan heeft Uniswap wel altijd toegang tot al je USDC in je wallet.
Mocht Uniswap gehacked worden dan hebben de hackers toegang tot al het USDC in je wallet. Zelfs maanden na goedkeuring van de transactie. Dit is op zich niet zo’n groot probleem bij een dex zoals uniswap, maar bij meer onbekende protocollen die minder getest zijn en meer kans hebben om gehacked te worden kan dit catastrofaal zijn voor je wallet.
Na de goedkeuring van de valuta gaan we over naar het omwisselen van crypto.
Transactie 2: Is het daadwerkelijk omwisselen van USDC naar USDT (kost ook een gas fee)
We klikken nog een keer op de knop “swap” en dan kan het smart contract in werking treden. We betalen een gasfee om al die logica op de achtergrond te doen en dan krijgen we als effect dat je 1000 USDC wordt omgezet in +-1000 USDT.
Dus het smart contract gaat eigenlijk 1000 USDC van mijn wallet afhalen en dan plaatst het terug op mijn rekening een +-1000 USDT.
Dit is een duidelijk voorbeeld hoe goedkeuringen werken in het blockchain ecosysteem. Als conclusie kunnen we stellen dat zonder goedkeuring kan niemand je geld verplaatsen en zal er niets verplaatst worden.
Waar kan je je goedkeuringen van je wallet bekijken?
Je kan alle goedkeuringen die je aan je wallet hebt gegeven bekijken op de website:
https://etherscan.io/tokenapprovalchecker. Dit is een makkelijke tool om te zien welke websites je goedkeuring hebt gegeven voor welke tokens en je kan heel makkelijk deze toegang ontzeggen door op revoke te klikken (Kost een kleine gas fee).
Dus ik moedig jullie allemaal aan om de tool te bekijken en te controleren welke valuta je hebt goedgekeurd voor slimme contracten, en als je het niet echt gebruikt, denk er dan over na om het misschien in te trekken. Want uiteindelijk, als er een kwaadaardige code in het slimme contract zou zitten en het slimme contract zou een goedkeuring hebben voor het verplaatsen van je munten, zal het daadwerkelijk verplaatsen zonder dat het je nog een keer vraagt. Dit is als een eenmalig iets, dus houd je goedkeuringen echt in de gaten.
De meest voorkomende hack
Hierboven is eigenlijk de meest voorkomende gebruikersfout. Het is het goedkeuren van smart contracts van derden om bepaalde hoeveelheden tokens uit je wallet te verplaatsen. Hoogstwaarschijnlijk vragen hackers bij zulke aanvallen eigenlijk voor goedkeuring voor alles. (approval for all). Waardoor de smart contracts toegang krijgen tot alle activa in je wallet en daarna kunnen ze deze heel makkelijk verplaatsen.
Wat we hieruit kunnen concluderen is dat je seed phrase niet deelt, en je geen louche smart contract goedkeurt zullen je fondsen veilig zijn.
In de rest van het artikel zullen we nog andere kleinere tips en tricks geven.
Verschillende wallets gebruiken
Het is essentieel dat je je crypto verspreid over verschillende accounts. Ikzelf heb een vault wallet (dit is een ledger hardware wallet) die ik enkel gebruik om crypto op te plaatsen. Deze wallet gebruik ik niet om verbinding te maken met een online protocol.
Op deze vault wallet plaats ik mijn meest waardevolle NFTs en cryptocurrency dat ik voor de lange termijn wil bewaren.
Naast mijn vault wallet heb ik ook nog een burner wallet. Op deze wallet staat er heel weinig, enkel wat ik nodig heb voor mints van nieuwe NFT projecten of wanneer ik nieuwe protocollen wil uitproberen.
Hierdoor minimaliseer ik het risico wanneer er een protocol kwaadaardige code zou bevatten dat ik mijn waardevolste bezittingen verlies. Voor mijn burner wallet gebruik ik een metamask account.
Gebruik je persoonlijke computer
Maak verbinding met je wallet via een veilige computer. Niet de computer van je vriend, niet de computer van je moeder, niet je office computer maar enkel je persoonlijke computer. Oké. Het is dus belangrijk dat alleen jij degene bent die hem gebruikt en niet je kleine neefjes die misschien een of ander virus of malware, trojan of wat dan ook kunnen downloaden.
- Let op bij het installeren van software
- Wanneer je inlogt of registreert op een nieuwe website zorg ervoor dat je 100% zeker bent dat je op de juiste website bent.
Veel hackers die je email kennen zullen je proberen spoof emails te versturen en je doen inloggen op een valse ‘binance” account.
- Gebruik meer dan e-mail adres
- Gebruik verschillende emails voor elke exchange je gebruikt (Binance, Bitvavo, …)
- Gebruik gmail of nog beter protonmail
- Gebruik sterke wachtwoorden met nummers, symbolen, hoofdletters
- Gebruik geen browser of clouds om je wachtwoord op te slaan
- Gebruik 2FA via Google Authenticator probeer geen email of SMS verificatie te gebruiken
- Gebruik een security key zoals yubikey
- Plaats je wachtwoorden // 2FA keys etc op een externe USB drive
- Heb verschillende backups van deze USB drive
- Gebruik verschillende CEX exchanges (Bitvavo, Binance, Bitcoinmeester, .. )
