Guider

Säkerhet i Web3 - hur hanterar man NFT:er och krypto på ett säkert sätt

Om du hört talas om NFT:er och krypto så har du med stor sannolikhet också läst om osäkerheten inom området. Det förekommer mycket scams och hacks där ute. I denna artikel ger vi dig en guide för hur du hanterar ditt NFT-innehav på ett säkert sätt.
Säkerhet i Web3 - hur hanterar man NFT:er och krypto på ett säkert sätt
Du läser:  
Säkerhet i Web3 - hur hanterar man NFT:er och krypto på ett säkert sätt

Web3 har definitivt varit ett av de största samtalsämnen under de senaste åren. Krypto och speciellt NFT:er har tagit sig ur internets mer okända kretsar till massorna. Numera handlas och skapas krypto- och NFT:er av kändisar som Snoop Dogg och Kim Kardashian. I samband med att området blivit allt mer populärt har även mängden scams, ”rugpulls” och exploateringar ökat signifikant. Innan  vi dyker in med antaganden om generell osäkerhet bör vi dock ställa oss en viktig fråga:

Erbjuder NFT:er och krypto säkerhet i sin essens?

För att få svar på frågan kollar vi på den underliggande teknologin bakom krypto och NFT:er, d.v.s. blockkedjor. Som namnet “krypto” indikerar handlar blockkedjor om kryptografi med öppna nycklar. Blockkedjor används för att dokumentera, lagra och tidsange transaktioner i s.k. block. Detta görs med omfattande säkerhet i form av hashing och digitala signaturer m.h.a. kryptografi med öppna nycklar. Om du vill lära dig mer om hur blockkedjor fungerar i grunden, kolla då in vår artikel “vad är en blockkedja”. Om blockkedjor är så säkra, varför läser vi då så ofta om det antalet scams, rugs och hacks? Jo, det är för att blockkedjeteknik baserar sig på immutability, samt anonymitet. Att något är immutable betyder att det inte är förändringsbart. Det betyder alltså att ifall du skickar en NFT till fel adress, finns det inget sätt att återkalla eller återfå den. Den enda möjligheten skulle vara ifall den nya ägaren är snäll och skickar tillbaka NFT:n. Dessutom  är transaktioner på blockkedjor, till mestadels, anonyma, vilket gör det extremt svårt för myndigheter att spåra vem som innehar en viss adress.

De potentiella säkerhetshoten inom krypto och NFT:er

Krypto och NFT:er är digitala tillgångar och är p.g.a. den underliggande blockkedjans säkerhet ofta trygga i rätt händer. Innan vi går vidare till säkerhetshot vill vi betona att det absolut lättaste sättet att hantera sina NFT:er och krypto säkert är att ha ett bra sätt att förvara dem. Det finns en mängd olika alternativ kring hantering av NFT:er och Krypto, alla med olika för och nackdelar. Säkrast är så kallade hårdvaruplånböcker. Vi rekommenderar hårdvaruplånboken Ledger Nano X där du kan förvara dina NFT:er och krypto offline. Du kan även gå online med din Ledger Nano X och handla krypto och NFT:er direkt med plånboken. Läs mer och köp din Ledger Nano X här.

Nu när vi gått genom förvaring är det dags för att gå genom de olika säkerhetshoten mot dina NFT:er och krypto.

Interna hot - självorsakade säkerhetsintrång

Detta revolverar nästan alltid kring dålig hantering av sina privata nycklar eller seed phrase. Du behåller kontrollen över dina tillgångar med dina privata nycklar, att någon annan får tillgång till den betyder i princip att de nu har kontroll över dina, dela alltså aldrig dina privata nycklar eller din seed phrase med någon.

Ett bra sätt att bevara sina privata nycklar eller seed phrase är offline på ett säkert ställe bara du vet om. Vi rekommenderar inte att du har dem på din dator, eftersom det betyder att ifall någon får tillgång till din dator får de även tillgång till dina privata nycklar och seed phrase.

Ett väldigt vanligt sätt hackers får tillgång till din privata nyckel eller seed phrase är genom s.k. Phishing attacks. En phishing attack innebär att hackers skickar dig en felaktig inloggningslänk, ofta under någon annans namn. En väldigt vanlig grej inom NFT:er och krypto är att hackers låtsas vara MetaMasks kundservice. För att visa er hur det funkar tweetade jag inlägget nedan:

På bara några minuter fick jag över 15 svar varav alla var scammers

Som ni ser nedan poängterar även MetaMask att du ALDRIG skall ge ut din seed phrase eller private key. Och ja, de har en officiell kundservice.

Det är viktigt att komma ihåg att detta också går för kryptobörser och andra ställen du kanske loggar in. Om någon säger sig vara Safello och skickar dig ett mail där du skall logga in för att bekräfta att du ännu har tillgång till ditt konto är det troligtvis inte Safello, utan en hacker som vill ha ditt lösenord.

Vi rekommenderar också att ha så många olika lösenord som möjligt och förvara dom säkert t.ex. med LastPass. Om någon får  tillgång till ditt lösenord på Facebook och du använder samma lösenord på Safello har de tillgång dit också. Ett bra sätt att motverka detta är att alltid ha i bruk two-factor-authentication (2FA) på dina krypto- och NFT-tillgångar.

Externa hot - säkerhetsintrång som är utanför din kontroll

Rug pull projekt

Ordet “Rug Pull” kommer från uttrycket att rycka  mattan under fötterna på på någon. Rug pull projekt innebär att grundarna av projektet tar pengarna och springer, alltså ruggar. Blockkedjor som Ethereum och Bitcoin kan inte rugga, men mindre projekt, t.ex. NFT kollektioner kan göra det väldigt enkelt. Varför? Jo, för att när en NFT-kollektion mintas genom ett smart kontrakt så görs det nästan alltid mot det underliggande nätverkets kryptovaluta. T.ex ETH på Ethereum nätverket. All den ETH som betalas för NFT:erna skickas till en plånbok programmerad in i smart kontraktet, denna plånbok är ofta i grundarnas kontroll, vilket betyder att de i en transaktion kan skicka över allting till sig själva.

Hur undviker man rug pulls? Det handlar egentligen om din subjektiva förmåga att analysera ett projekt innan du investerar i det. Några viktiga saker att kolla på är:

  • Att grundar teamet har uppgett sina verkliga identiteter
  • Att projektets framtidsplaner (ofta refererat till som roadmap) är realistiska
  • Att likviditeten är hög - alltså handelsvolymen på NFT:erna

Om någon av punkterna ovan inte stämmer finns det en högre risk för att projektet blir en rug pull.

Motpartsrisk

Motpartsrisk innebär att en plattform eller applikation som du använder blir hackad och dina tillgångar försvinner i samma kör. Säg att du köper och bevarar krypto på t.ex. Binance och Binance sedan hackas för $50 miljoner dollar, ditt konto var en del av hacken. Det finns väldigt lite du kan göra i dessa fall, Mt. Gox är ett väldigt bra exempel på detta. Det är dock högst troligt att stora institutioner som Binance har försäkringar och du har en möjlighet att få tillbaka pengarna, men det finns inga garantier.

Det absolut bästa sättet att motverka denna risk är att förvara dina NFT:er och krypto själv på en hardware plånbok som Ledger Nano X. Om du inte har en hardware plånbok ännu, är det väldigt bra att komma ihåg att sprida ut dina tillgångar på olika platser. Ha t.ex. inte all din Ethereum på Binance, utan skicka lite till MetaMask och lite till Coinbase. Så länge Web3 är i en innoveringsfas kommer det finnas många opportunister som försöker dra nytta av andra… sprid alltså risken mellan plattformar så gott du kan!

Best practices - hur du förvarar och hanterar dina NFT:er och krypto säkert

För att avsluta artikeln vill vi gå genom våra viktigaste tips på hur du håller dig säker inom Web3:

  1. Ha en hardware plånbok  - vi rekommenderar Ledger Nano X
  2. Använd en VPN om möjligt
  3. Använd en säker hot-plånbok - vi rekommenderar MetaMask
  4. Ha olika lösenord för olika plattformar, bevara dom säkert med t.ex. LastPass
  5. Dela aldrig dina lösenord eller seed phrase med någon annan
  6. Förvara inte din seed phrase på din dator - förvara dem istället offline
  7. Handla krypto och NFT:er bara på väletablerade marknadsplatser som Binance eller OpenSea
  8. Klicka aldrig på inloggningslänkar utanför de officiella domänerna
  9. Försök undvika att ha MetaMask installerat på mobilen
  10. Sprid risken över olika plattformar, ha inte alla ägg i en korg!

Tack för att du läst denna artikel. Vi hoppas att den hjälpt dig skapa en säkrare resa och tryggare miljö inom Web3.