5 минут безопасности: что сделать заранее, если вы принимаете криптовалюту в магазине

Криптовалюта | Crypto
1

Короткий поток действий (текст/схема)

  • Шаг 1 - раздели кошельки

    • Деньги для кассы держи в hot-кошельке - небольшая сумма для повседневных операций. Остальное в cold-резерве.

  • Шаг 2 - лимиты и уведомления

    • Установи порог: всё, что выше X - блокируется для автоматического перевода и идёт на ручную проверку. Настрой уведомления при входах/выводах выше порога.

  • Шаг 3 - проверка адреса

    • При первом платеже на новый адрес делай тестовый перевод небольшой суммы и жди подтверждений.

  • Шаг 4 - доступы и роли

    • Раздели роли: кто инициирует выплату, кто проверяет, кто подписывает. Никто не должен иметь все права.

  • Шаг 5 - журнал и резервы

    • Веди простой журнал выплат с txid и ответственными; держи резерв на комиссии и возможные возвраты.

Короткие пояснения (пара строк к каждому шагу)

  • Разделение кошельков уменьшает риск полного слива средств.

  • Лимиты дают время вмешаться при подозрительной активности.

  • Тестовые переводы ловят опечатки и мошенников.

  • Разделение ролей снижает человеческие ошибки и внутренние риски.

  • Журнал нужен для аудита и расследований, резерв - для компенсаций и комиссий.

3 лайка
2

Добавлю конкретику: hot-кошелёк держите на сумму, равную среднесуточному объёму операций плюс запас на комиссию. Cold-резерв - офлайн с распределёнными seed-фразами в разных сейфах. Для выплат свыше порога используйте multisig 2/3 или hardware signing. Тестовый перевод лучше автоматизировать: при регистрации нового адреса система отправляет 0.001 токена и ждёт n подтверждений, после чего разрешает основную выплату.

1 лайк
3
  • Для контроля адресов внедрите homoglyph-проверку и сравнение по контрольной сумме. Автоматическая проверка должна задерживать перевод, если новая строка адреса визуально похожа на ранее использовавшийся адрес, но отличается - это частая фишинговая ловушка. Также логируйте raw-tx и ответы провайдера в зашифрованном хранилище.
1 лайк
4

Про JIT-доступ: предоставляйте ключи на короткое время и документируйте, кто активировал доступ и зачем. Это эффективно против злоупотреблений.

5

Проверьте локальные правила по учёту и отчетности операций в криптовалюте - в некоторых странах даже малые суммы требуют фиксированной документации. Храните документы и KYC по крупным партнёрам заранее.

6

Если запускаете ноду - следите за синхронизацией и используйте мониторинг на репликацию и задержки. Несинхронизированная нода даёт неверный статус баланса.