Как обезопасить кошельки в Starknet

Взлом кошельков Старкнета. Подготовили информацию как обезопасить кошелек Argent.

Мы с Милой увидели статью об уводе кошельков Braavos и Argent решили подробно в ней разобраться.

Обсудим еще раз крипто безопасность!

1 декабря 2023 года появилась информация о Снэпшоте проекта Starknet! И тут мошенники как всегда активизировались.

У Пользователя Х появились странные транзакции в сканере в кошельке Braavos. (СКРИН 1)

Пользователь Х изучил транзакции и понял, что утекли приватники от кошельков уже вероятно давно в Антике Дельфин (Dolphin).
Кошелек был обновлен до 10 версии с дописанной функцией setPublicKey (в официальной версии контракта от Braavos 11 версии эта функция не написана). Таким образом, злоумышленник через setPublicKey прописал новый приватник и были потеряны доступы к 19 кошелькам.
Кошелек открывается как обычно, только появилась надпись Upgrade Now и при попытке подписать любую транзакцию выходит ошибка. (СКРИН 2)

Также Пользователь Х потерял один кошелек Argent X. В StarkNet благодаря их account abstraction можно поменять приватный ключ кошелька! То есть если приватник утек, то злоумышленник меняет ключ функцией change_owner . Если по простому, то у задеплоенного аккаунта старкнет можно поменять публичный ключ и старый приватник перестаёт работать, а новый будет. Кратко говоря, есть скрипты, которые меняют приватник на новый и тестирует перевод эфира при помощи старого и нового приватника.

ЧТО СДЕЛАТЬ ДЛЯ ЗАЩИТЫ АККАУНТОВ!

Первое - проверяем работоспособность своего кошелька Старкнета - делаем любую транзакцию в сети.
Например, клейм дешевого ID.

В кошельке Argent есть функция Argent Shield. 2 факторка по емейл. Привязывает аккаунт к компьютеру и при попытке отправить транзакцию через другое устройство попросит повторное подтверждение по емейл. За это в Argent X контракте отвечает функция сhange_guardian.
Кликаем шестеренку вверху кошелька (настройки), далее кликаем вверху на Account и видим эту функцию Argent Shield. (СКРИН 3)

Переводим бегунок и кликаем Next (СКРИН 4)

Вводим свой емэйл, вводим код подтверждения, который придет на емейл и подписываем привязку к почте транзакцией в кошельке. Видим успешность подключения 2FA (СКРИН 5)

Теперь чтобы восстановить свою учетную запись Argent X в будущем или получить к ней доступ со второго устройства, вам понадобятся как исходная фраза, так и эта учетная запись электронной почты.

Внимательно подходим к выбору почты! Если почту заблокируют, то это потеря аккаунта! С другого устройства вы на аккаунт зайти не сможете!

Официальная информация на сайте

В кошельке Braavos такой функции нет.

Делаем данное действие до клейма токенов STRK !!!

ВНИМАНИЕ!!! Перед созданием новых кошельков и увеличения своей фермы ознакомиться с гайдом по безопасности еще раз !!!

Подробнее про функцию можно прочитать тут.
Если вы потеряли доступ к почте, то можно сбросить Shield и через неделю вы получите доступ к своему кошельку.

Материал подготовлен экспертом Coin Side — Елизаветой @elizabethsul