"Информационная безопасность" приветствует Вас! Спасибо, что присоединились к нам 💙
В нашем канале Вас ждут весёлые рассказы о реальных угрозах, полезные лайфхаки по защите данных и инструкции по безопасности с изюминкой😉
В презентации с выступления Ильи, основателя компании LAOLAB, Вы найдете много полезной информации по криптокошелькам для обычных пользователей.
Если Вам понравится, мы будем продолжать публиковать интересный контент!
В нашем канале Вас ждут весёлые рассказы о реальных угрозах, полезные лайфхаки по защите данных и инструкции по безопасности с изюминкой😉
В презентации с выступления Ильи, основателя компании LAOLAB, Вы найдете много полезной информации по криптокошелькам для обычных пользователей.
Если Вам понравится, мы будем продолжать публиковать интересный контент!
🔥27👍5
Послушав отзывы по докладу об использовании кошельков, стало понятно, что нужно рассказать более детально про принципы хранения ключей и паролей в целом. Попробую в виде короткой инструкции рассказать, как это работает.
Надежным менеджером хранения паролей является KeepassXC. Его исходный код открыт, и использование решений на “своей стороне” — более безопасно, чем любые облачные, проприетарные решения. Не перекладывайте ответственность на других, там тоже работают люди 🙂
KeepassXC создает контейнер в стандарте KDBX, который возможно открывать другими парольными менеджерами. Например, для Android есть KeepassDX, тоже с открытым исходным кодом. А для iOS доступен платный Strongbox.
Помните, что когда вы скачиваете ПО из интернета, его нужно валидировать через подписи. Хорошую инструкцию по валидации составили производители KeepassXC тут.
Шифрование, которое рекомендую выбирать при создании контейнера, — AES256. Это блочное шифрование, которое стоит выбрать, оно достаточно стандартно, чтобы иметь возможность открывать контейнер в любом универсальном ПО.
Для двухфакторной авторизации необходимо приобрести ключ Yubikey 5C. Можно использовать и альтернативные, но этот самый распространенный и многими поддерживаемый. Приобретать ключ лучше не через "Горбушку" или какие-то сайты из интернета, так как могут быть атаки на "цепочку поставки", и можно получить фейковый ключ или заранее прошитый. Лучше заказывать у официального производителя или рекомендованных реселлеров.
Рекомендую сразу заказать 2-3 ключа, чтобы можно было сделать клонированные версии с помощью официального ПО от Yubikey в момент первичной настройки ключей. Функция, которая используется в KeepassXC для двухфакторной авторизации, называется Challenge-Response.
После настройки необходимо будет вводить пароль и в этот же момент иметь вставленный Yubikey в компьютер или телефон.
Меры предосторожности:
- Если вы потеряете Yubikey и копии, вы не сможете получить доступ к хранилищу.
- Если вы будете держать Yubikey вставленным в компьютер всё время, то если вас "затроянят", считав пароль через кейлоггер, злоумышленники вместе со вставленным ключом расшифруют ваш KeepassXC со всеми данными.
- Для хранения seed-фраз и наборов паролей лучше использовать два разных контейнера KeepassXC (KDBX).
- Делайте резервные копии не в облачных сервисах от корпораций, а на физических носителях. Подходят USB SSD диски известных производителей (рекомендую SanDisk или Samsung).
- Регулярно обновляйте ПО.
Стоит настроить KeepassXC и для хранения паролей для различных сервисов, заодно заменив в них двухфакторную авторизацию с СМС на OTP-пароль, который может храниться в том же KeepassXC.
Как вам такой формат повествования? Поставьте реакцию! Спасибо!
Надежным менеджером хранения паролей является KeepassXC. Его исходный код открыт, и использование решений на “своей стороне” — более безопасно, чем любые облачные, проприетарные решения. Не перекладывайте ответственность на других, там тоже работают люди 🙂
KeepassXC создает контейнер в стандарте KDBX, который возможно открывать другими парольными менеджерами. Например, для Android есть KeepassDX, тоже с открытым исходным кодом. А для iOS доступен платный Strongbox.
Помните, что когда вы скачиваете ПО из интернета, его нужно валидировать через подписи. Хорошую инструкцию по валидации составили производители KeepassXC тут.
Шифрование, которое рекомендую выбирать при создании контейнера, — AES256. Это блочное шифрование, которое стоит выбрать, оно достаточно стандартно, чтобы иметь возможность открывать контейнер в любом универсальном ПО.
Для двухфакторной авторизации необходимо приобрести ключ Yubikey 5C. Можно использовать и альтернативные, но этот самый распространенный и многими поддерживаемый. Приобретать ключ лучше не через "Горбушку" или какие-то сайты из интернета, так как могут быть атаки на "цепочку поставки", и можно получить фейковый ключ или заранее прошитый. Лучше заказывать у официального производителя или рекомендованных реселлеров.
Рекомендую сразу заказать 2-3 ключа, чтобы можно было сделать клонированные версии с помощью официального ПО от Yubikey в момент первичной настройки ключей. Функция, которая используется в KeepassXC для двухфакторной авторизации, называется Challenge-Response.
После настройки необходимо будет вводить пароль и в этот же момент иметь вставленный Yubikey в компьютер или телефон.
Меры предосторожности:
- Если вы потеряете Yubikey и копии, вы не сможете получить доступ к хранилищу.
- Если вы будете держать Yubikey вставленным в компьютер всё время, то если вас "затроянят", считав пароль через кейлоггер, злоумышленники вместе со вставленным ключом расшифруют ваш KeepassXC со всеми данными.
- Для хранения seed-фраз и наборов паролей лучше использовать два разных контейнера KeepassXC (KDBX).
- Делайте резервные копии не в облачных сервисах от корпораций, а на физических носителях. Подходят USB SSD диски известных производителей (рекомендую SanDisk или Samsung).
- Регулярно обновляйте ПО.
Стоит настроить KeepassXC и для хранения паролей для различных сервисов, заодно заменив в них двухфакторную авторизацию с СМС на OTP-пароль, который может храниться в том же KeepassXC.
Как вам такой формат повествования? Поставьте реакцию! Спасибо!
🔥47👍29❤8👏3🙏1
Короткое наблюдение!
Регулирование крипто-рынка становится все более навязчивым.
Когда-то наступит день, когда корпорации-гиганты начнут сами производить интегральные микросхемы (IC) и делать майнеры под себя. Будут майнить в объемах, которые и не снились текущей четверке производителей оборудования.
Чем это опасно?
Вся крипта сейчас размечается. Централизованные биржи вроде MEXC уже считаются high-risk exchange (все биржи без обязательного KYC), а значит, полученные оттуда крипто-активы - тоже.
Тот же binance заблокирует ваш депозит, если он сделан с кошелька с рейтингом риска 30%+
На руках продолжает оставаться много такого биткоина. А что можно сделать с "дедом"? Все очень просто:
Заберут на себя долю рынка майнинга, договорятся между собой (заставят регуляторы) не забирать из memory-pool (то, куда складывают транзакции ваши кошельки и откуда забирают майнеры) транзакции с "грязных" кошельков. А остальным майнерам скажут, чтобы тоже не забирали, иначе - преследование и санкции. И будут все эти биткоины без дела лежать заблокированными.
Институционалам - дабл выгода, они теперь заблокироввали из оборота львиную долю биткоинов. Те, что у правительства США залочены, они и так посчитаны, те, что у них в ETF тоже известны, так проще влиять на рынок и текущий объем.
А следующим шагом они еще и конфискуют деньги с тех "грязных" кошельков атакой 51% через договоренность между майнерами.
Крипту ждет два рынка: Сказочное регулирование и полностью серый (даже черный).
Всем хорошего сна! Это просто размышления о будущем, которыми решил с вами поделиться 🙂
Регулирование крипто-рынка становится все более навязчивым.
Когда-то наступит день, когда корпорации-гиганты начнут сами производить интегральные микросхемы (IC) и делать майнеры под себя. Будут майнить в объемах, которые и не снились текущей четверке производителей оборудования.
Чем это опасно?
Вся крипта сейчас размечается. Централизованные биржи вроде MEXC уже считаются high-risk exchange (все биржи без обязательного KYC), а значит, полученные оттуда крипто-активы - тоже.
Тот же binance заблокирует ваш депозит, если он сделан с кошелька с рейтингом риска 30%+
На руках продолжает оставаться много такого биткоина. А что можно сделать с "дедом"? Все очень просто:
Заберут на себя долю рынка майнинга, договорятся между собой (заставят регуляторы) не забирать из memory-pool (то, куда складывают транзакции ваши кошельки и откуда забирают майнеры) транзакции с "грязных" кошельков. А остальным майнерам скажут, чтобы тоже не забирали, иначе - преследование и санкции. И будут все эти биткоины без дела лежать заблокированными.
Институционалам - дабл выгода, они теперь заблокироввали из оборота львиную долю биткоинов. Те, что у правительства США залочены, они и так посчитаны, те, что у них в ETF тоже известны, так проще влиять на рынок и текущий объем.
А следующим шагом они еще и конфискуют деньги с тех "грязных" кошельков атакой 51% через договоренность между майнерами.
Крипту ждет два рынка: Сказочное регулирование и полностью серый (даже черный).
Всем хорошего сна! Это просто размышления о будущем, которыми решил с вами поделиться 🙂
🔥22👍20😢11🤔4❤3👏3😁1🤨1
Недавно в Telegram обнаружили уязвимость 0day.
Уязвимость затрагивает только пользователей Android-устройств. Вредоносный APK-файл (приложение для Android) отправляли под видом видеофайла.
Как сообщает издание BleepingComputers, на хакерском форуме XSS 6 июня 2024 года человек под ником Ancryno заявил, что продаёт 0day-эксплойт для Telegram, основанный на уязвимости, связанной с маскировкой под видеофайл.
Сценарий эксплуатации:
Вам могли прислать сообщение с превью видео. Для этого собирается специальный APK-файл и вкладывается в сообщение. При нажатии, Telegram предлагает использовать внешний плеер. Всех, кто соглашался, "троянили".
Telegram выпустил обновление только 11 июля 2024 года. Если у вас версия Telegram до 10.14.5, обновитесь.
Постарайтесь вспомнить, был ли у вас такой сценарий за последнее время при работе с Telegram. Если вспомнить не удаётся, можете посмотреть в скачанных файлах Android.
По одному из этих путей должен быть .apk вместо видео. Если такой файл найдёте, необходимо поискать по названию файла в Telegram, чтобы выяснить, кто вам его отправил, и провести мини-расследование. Ну а дальше уже разбираться, каким трояном вас "затроянили" и что сняли (всё сняли ).
Удачи и безопасности!
P.S. Был в длительной командировке, совершенно не было времени писать. Пардон!
0day - это уязвимость, которую нашли в программном обеспечении и не сообщили об этом производителю.
1day - это уязвимость, о которой сообщили производителю, но пока не выпущены нужные "заплатки".
Уязвимость затрагивает только пользователей Android-устройств. Вредоносный APK-файл (приложение для Android) отправляли под видом видеофайла.
Как сообщает издание BleepingComputers, на хакерском форуме XSS 6 июня 2024 года человек под ником Ancryno заявил, что продаёт 0day-эксплойт для Telegram, основанный на уязвимости, связанной с маскировкой под видеофайл.
Сценарий эксплуатации:
Вам могли прислать сообщение с превью видео. Для этого собирается специальный APK-файл и вкладывается в сообщение. При нажатии, Telegram предлагает использовать внешний плеер. Всех, кто соглашался, "троянили".
Telegram выпустил обновление только 11 июля 2024 года. Если у вас версия Telegram до 10.14.5, обновитесь.
Постарайтесь вспомнить, был ли у вас такой сценарий за последнее время при работе с Telegram. Если вспомнить не удаётся, можете посмотреть в скачанных файлах Android.
/storage/emulated/0/Telegram/Telegram Video/
/storage/<SD Card ID>/Telegram/Telegram Video/
По одному из этих путей должен быть .apk вместо видео. Если такой файл найдёте, необходимо поискать по названию файла в Telegram, чтобы выяснить, кто вам его отправил, и провести мини-расследование. Ну а дальше уже разбираться, каким трояном вас "затроянили" и что сняли (
Удачи и безопасности!
P.S. Был в длительной командировке, совершенно не было времени писать. Пардон!
👏19👍12❤9🤝1
Есть такая проблема в использовании DeFi, как выдача Approval
Как это выглядит технически?
Вы используете какие-либо DeFi решения для обмена на DEX, покупки NFT, стейкинга, получения-выдачи займов, провайдинга ликвидности и т.д. Для того чтобы токены могли списываться с вашего кошелька, вы выдаёте Approval для смарт-контракта, фиксируя в блокчейне данное событие с указанием лимита, который этот контракт может списывать с вашего кошелька.
Современные кошельки при выдаче Approval предлагают ограничивать его той суммой, которая участвует в сделке. Некоторые разработчики сразу отправляют значение суммы в кошелек. Старые версии кошельков автоматически предлагали выдавать unlimited Approval.
Время идёт, уязвимости в смарт-контрактах находятся. Хакеры исследуют старые проекты, у которых уже нет даже веб-сайта. Но смарт-контракты остались в сети, их код можно посмотреть и найти всех, кто выдал на них unlimited или limited разрешения на использование токенов, и какой объём средств доступен для использования этим контрактом. Контракты ломают — деньги утаскивают.
Есть отличный сервис https://revoke.cash, который позволяет посмотреть выданные вами разрешения и их суммы на различные токены (в том числе на NFT) для множества различных EVM сетей.
Рекомендую посетить этот сайт, запастись газом и отозвать все старые и ненужные разрешения. Как минимум, отозвать все unlimited и сомнительные проекты.
Ознакомьтесь с интересным разделом, где ребята отслеживают хаки по смарт-контрактам (не все ) и сообщают, что с 2020 года было украдено более 413 миллионов долларов таким способом.
Stay safe!
право на использование какого-то объема токенов из вашего кошелька смарт-контракту
Как это выглядит технически?
Вы используете какие-либо DeFi решения для обмена на DEX, покупки NFT, стейкинга, получения-выдачи займов, провайдинга ликвидности и т.д. Для того чтобы токены могли списываться с вашего кошелька, вы выдаёте Approval для смарт-контракта, фиксируя в блокчейне данное событие с указанием лимита, который этот контракт может списывать с вашего кошелька.
Современные кошельки при выдаче Approval предлагают ограничивать его той суммой, которая участвует в сделке. Некоторые разработчики сразу отправляют значение суммы в кошелек. Старые версии кошельков автоматически предлагали выдавать unlimited Approval.
Время идёт, уязвимости в смарт-контрактах находятся. Хакеры исследуют старые проекты, у которых уже нет даже веб-сайта. Но смарт-контракты остались в сети, их код можно посмотреть и найти всех, кто выдал на них unlimited или limited разрешения на использование токенов, и какой объём средств доступен для использования этим контрактом. Контракты ломают — деньги утаскивают.
Есть отличный сервис https://revoke.cash, который позволяет посмотреть выданные вами разрешения и их суммы на различные токены (в том числе на NFT) для множества различных EVM сетей.
Рекомендую посетить этот сайт, запастись газом и отозвать все старые и ненужные разрешения. Как минимум, отозвать все unlimited и сомнительные проекты.
Ознакомьтесь с интересным разделом, где ребята отслеживают хаки по смарт-контрактам (
Stay safe!
❤21👍12👨💻5🤝2
Все мы не умеем ценить, пока не столкнемся с потерей.
Так происходит с попытками начать делать резервные копии данных, с взаимотношениями людей.
Если отталкиваться от Роберта Ланца и его Биоцентризма, то мы фактически живем в симуляции. Где наши органы чувств отправляют сигналы в мозг, который генерирует картинку, звук, ощущения, эмоции.
В безопасности, как и в жизни, лучше прорабатывать потенциальные проблемы заранее. Можно создать любую ситуацию в своем собственном сознании, полностью ее рассмотреть и пройти этот опыт. Вынести необходимость делать "резервные копии" или увидеть "уязвимость внешнего периметра".
Взлом инфраструктуры, ничем не отличается от взлома мозгов. Методология одинаковая.
Учитесь ломать мозги и жизнь станет проще!
Так происходит с попытками начать делать резервные копии данных, с взаимотношениями людей.
Если отталкиваться от Роберта Ланца и его Биоцентризма, то мы фактически живем в симуляции. Где наши органы чувств отправляют сигналы в мозг, который генерирует картинку, звук, ощущения, эмоции.
В безопасности, как и в жизни, лучше прорабатывать потенциальные проблемы заранее. Можно создать любую ситуацию в своем собственном сознании, полностью ее рассмотреть и пройти этот опыт. Вынести необходимость делать "резервные копии" или увидеть "уязвимость внешнего периметра".
Взлом инфраструктуры, ничем не отличается от взлома мозгов. Методология одинаковая.
Учитесь ломать мозги и жизнь станет проще!
👍21🔥10❤9🤔6
В моем офисе есть мощная машинка, которая используется для AI. В ней установлено 7 видеокарт на водяном охлаждении.
Когда проводятся пентесты (тестирование на проникновение в компании), эта машинка используется для того, чтобы ломать какие-либо хеши (хеш-функция, в которую оборачивается ваш пароль, когда вы где-либо регистрируетесь в интернете).
Фактически можно перебирать по словарю (например, rockyou2024, который содержит 1 миллиард уникальных паролей) или простым перебором, перебирая все комбинации символов с клавиатуры. Суммарно это 95 символов (большие и маленькие буквы английского языка, цифры и все возможные спецсимволы).
Провел эксперимент: перебрать все возможные варианты длиной пароля от 1 до 7 символов. То есть 95 в 7-й степени для 7 символов + 95 в 6ой и так далее. Всего получается около 70 триллионов комбинаций пароля.
В 2000-м году на процессоре того времени перебрать 70 триллионов комбинаций пароля для хеш-функции MD5 занимало 191 год.
В 2006-м году вышла PlayStation 3, внутри которой был мощный графический процессор, продавалась она за 500 долларов, и на нее можно было поставить Linux (через jailbreak) и запустить перебор паролей. Это был прорыв в соотношении «стоимость = эффективность», так как 70 триллионов паролей перебирались уже от 90 до 30 дней. Сейчас сложно сказать, так как нет под рукой такой PlayStation, а старые цифры я точно не помню, но то был прорыв — с лет на дни.
Согласно закону Мура (перестал действовать в 2007ом году), количество транзисторов, размещаемых внутри процессора, каждые 24 месяца удваивается — значит, вычисления каждые два года улучшаются в два раза (хотя это и не совсем линейное сравнение). С выходом PlayStation 3, а затем всех этих дешевых, крутых видеокарт, все сломалось.
Вчера провел эксперимент и 70 триллионов комбинаций пароля перебрал на том самом компьютере из офиса за 8 часов. Чтобы такое провернуть в 2000-м году, нужно было потратить 2 млн долларов того времени (если учитывать инфляцию, то это как 4 млн сейчас), а текущая машинка в офисе стоит 30 тысяч долларов и делает это в разы быстрее.
В 2000-м году считалось надежным оставить пароль из 7 символов, так как никто не вскрыл бы такой пароль даже далеко вперед во времени. Поэтому даже профессионалы оставляли свой цифровой след в виде уникальных паролей, по которым теперь можно найти в прочих утечках их другие личности.
Когда проводятся пентесты (тестирование на проникновение в компании), эта машинка используется для того, чтобы ломать какие-либо хеши (хеш-функция, в которую оборачивается ваш пароль, когда вы где-либо регистрируетесь в интернете).
Фактически можно перебирать по словарю (например, rockyou2024, который содержит 1 миллиард уникальных паролей) или простым перебором, перебирая все комбинации символов с клавиатуры. Суммарно это 95 символов (большие и маленькие буквы английского языка, цифры и все возможные спецсимволы).
Провел эксперимент: перебрать все возможные варианты длиной пароля от 1 до 7 символов. То есть 95 в 7-й степени для 7 символов + 95 в 6ой и так далее. Всего получается около 70 триллионов комбинаций пароля.
В 2000-м году на процессоре того времени перебрать 70 триллионов комбинаций пароля для хеш-функции MD5 занимало 191 год.
В 2006-м году вышла PlayStation 3, внутри которой был мощный графический процессор, продавалась она за 500 долларов, и на нее можно было поставить Linux (через jailbreak) и запустить перебор паролей. Это был прорыв в соотношении «стоимость = эффективность», так как 70 триллионов паролей перебирались уже от 90 до 30 дней. Сейчас сложно сказать, так как нет под рукой такой PlayStation, а старые цифры я точно не помню, но то был прорыв — с лет на дни.
Согласно закону Мура (перестал действовать в 2007ом году), количество транзисторов, размещаемых внутри процессора, каждые 24 месяца удваивается — значит, вычисления каждые два года улучшаются в два раза (хотя это и не совсем линейное сравнение). С выходом PlayStation 3, а затем всех этих дешевых, крутых видеокарт, все сломалось.
Вчера провел эксперимент и 70 триллионов комбинаций пароля перебрал на том самом компьютере из офиса за 8 часов. Чтобы такое провернуть в 2000-м году, нужно было потратить 2 млн долларов того времени (если учитывать инфляцию, то это как 4 млн сейчас), а текущая машинка в офисе стоит 30 тысяч долларов и делает это в разы быстрее.
В 2000-м году считалось надежным оставить пароль из 7 символов, так как никто не вскрыл бы такой пароль даже далеко вперед во времени. Поэтому даже профессионалы оставляли свой цифровой след в виде уникальных паролей, по которым теперь можно найти в прочих утечках их другие личности.
👍35🔥12❤9
Безопасность может быть во всём, особенно во вложениях. Наблюдая последние дни за «кроваво-красными» скачками волатильного рынка, хочу поделиться мыслью и слегка отойти от привычного формата.
Инвестиции — это не про трейдинг
Это про долгосрочные истории длиною в жизнь. На рынке акций (equities) я покупаю исключительно бумаги, которые стабильно платят дивиденды, причём именно столько, сколько заявлено, и делают это вовремя. Как бы ни изменилась ситуация, у вас всегда будет возможность жить на дивиденды.
В крипте также есть варианты получать «дивиденды»: работать с пулами ликвидности (на адекватных парах), предоставлять средства в лендинговые контракты, участвовать ликвидностью в бриджах, запускать ноды для Proof of Stake и т.д.
Метод покупки я использую только один — DCA. Если упрощённо, это регулярная покупка на одинаковую сумму и с одинаковой периодичностью, независимо от цены. Чем дольше вы инвестируете, тем выше вероятность, что ваша средняя цена окажется ниже «любых» пиков рынка.
Логика проста: если компания или актив существует 20–30–40 лет и обгоняет инфляцию, то цена растёт. Покупая на длительном промежутке, например, ежемесячно по 100 долларов, вы усредняете цену входа и оказываетесь в плюсе даже во времена кризисов. С криптовалютой действует тот же принцип.
В книге Бенжамина Грэма описан подход DCA. В контексте крипты это может выглядеть так:
1. Каждый месяц, 1-го числа, независимо от цены, покупать BTC, ETH и SOL — на 100 долларов каждую.
2. Делать это стабильно и дисциплинированно.
Результаты (с сентября 2020 года по настоящее время)
- Затраты:
- 6300 долларов на ETH
- 6300 долларов на BTC
- 5500 долларов на SOL
(учитывая, что SOL можно было купить на Binance с сентября 2020-го — раньше вы могли о ней и не знать).
- Накоплено:
- 0.26 BTC по цене входа 23 959 долларов,
- 7.43 ETH по цене входа 847 долларов,
- 366.93 SOL по средней цене входа 14.99 долларов.
- Текущая стоимость активов: 23 400 + 13 700 + 45 000 = 82 100 долларов.
- Общие затраты: 6300 + 6300 + 5500 = 18 100 долларов.
Даже если исключить SOL, предположим, что вы не обратили на неё внимания в начале пути, то при регулярных DCA-покупках цена входа по SOL всё равно оказалась бы ниже рыночной.
Однако, без учёта SOL вовсе, затраты составили бы 12 600 долларов (BTC и ETH), а текущая стоимость такой позиции — около 37 100 долларов.
Инвестируйте, а не спекулируйте — и это станет залогом комфортной «пенсии» в будущем!
Инвестиции — это не про трейдинг
Это про долгосрочные истории длиною в жизнь. На рынке акций (equities) я покупаю исключительно бумаги, которые стабильно платят дивиденды, причём именно столько, сколько заявлено, и делают это вовремя. Как бы ни изменилась ситуация, у вас всегда будет возможность жить на дивиденды.
В крипте также есть варианты получать «дивиденды»: работать с пулами ликвидности (на адекватных парах), предоставлять средства в лендинговые контракты, участвовать ликвидностью в бриджах, запускать ноды для Proof of Stake и т.д.
Метод покупки я использую только один — DCA. Если упрощённо, это регулярная покупка на одинаковую сумму и с одинаковой периодичностью, независимо от цены. Чем дольше вы инвестируете, тем выше вероятность, что ваша средняя цена окажется ниже «любых» пиков рынка.
Логика проста: если компания или актив существует 20–30–40 лет и обгоняет инфляцию, то цена растёт. Покупая на длительном промежутке, например, ежемесячно по 100 долларов, вы усредняете цену входа и оказываетесь в плюсе даже во времена кризисов. С криптовалютой действует тот же принцип.
В книге Бенжамина Грэма описан подход DCA. В контексте крипты это может выглядеть так:
1. Каждый месяц, 1-го числа, независимо от цены, покупать BTC, ETH и SOL — на 100 долларов каждую.
2. Делать это стабильно и дисциплинированно.
Результаты (с сентября 2020 года по настоящее время)
- Затраты:
- 6300 долларов на ETH
- 6300 долларов на BTC
- 5500 долларов на SOL
(учитывая, что SOL можно было купить на Binance с сентября 2020-го — раньше вы могли о ней и не знать).
- Накоплено:
- 0.26 BTC по цене входа 23 959 долларов,
- 7.43 ETH по цене входа 847 долларов,
- 366.93 SOL по средней цене входа 14.99 долларов.
- Текущая стоимость активов: 23 400 + 13 700 + 45 000 = 82 100 долларов.
- Общие затраты: 6300 + 6300 + 5500 = 18 100 долларов.
Даже если исключить SOL, предположим, что вы не обратили на неё внимания в начале пути, то при регулярных DCA-покупках цена входа по SOL всё равно оказалась бы ниже рыночной.
Однако, без учёта SOL вовсе, затраты составили бы 12 600 долларов (BTC и ETH), а текущая стоимость такой позиции — около 37 100 долларов.
Инвестируйте, а не спекулируйте — и это станет залогом комфортной «пенсии» в будущем!
🔥23❤9👍6🤔4😁2🥰1
Ник Джонсон, ведущий разработчик ENS (Ethereum Name Service с лучшим airdrop в истории), написал крутой пост в твиттере.
Злоумышленник присылает письмо якобы от гугл. Если вы будете проверять заголовки письма и подписи DKIM, то увидите, что всё легитимно.
В письме сообщается о какой-либо проблеме с вашим аккаунтом или чем-то из инфраструктуры гугла. В нём уже указана ссылка на поддомен гугл sites.google.com (что-то вроде narod.yandex.ru старого сервиса — хей, гугл, вы отстаете от Яндекса). Всё выглядит легитимно, ссылка на Support case даже не в виде ссылки, а чтобы можно было скопировать. Никаких подлогов в теле письма нет.
При переходе по ссылке у вас открывается 1 в 1 портал поддержки Google по вашему кейсу.
Для проверки загруженных документов открывается классическая форма авторизации Google, где, введя свой логин и пароль, вы подарите свой аккаунт фишерам.
Трюк заключается в том, что Google сделал ошибку в названиях своей инфраструктуры и такой красивый поддомен, как sites.google.com, отдал каждому желающему под хостинг.
А почту они обходят тоже просто. «Регают» какой-то домен, связанный с названием IP, что-то типа [email protected], и используют получение корпоративной почты по этому домену через сам сервис почты гугл, где вы можете привязать свой домен к gmail.com.
Такой набор валидаций может запутать даже профессионала. Чтобы обезопасить себя, стоит не переходить ни по каким входящим ссылкам для верификации чего-либо, если вы сами это не инициализировали. Заходите напрямую, через ввод урла в поиске, и смотрите, что там за нотификации в нужном вам сервисе.
А где фишеры берут вашу почту?
Утечки — это огромная проблема настоящего времени. По нашим данным, в неделю утекает около 250 ГБ данных. Это сотни взломанных ресурсов, на которых вы могли быть зарегистрированы, даже мимолётно. При помощи таких утечек хакеры могут идентифицировать вас по имени и обращаться персонализированно, сбавив напор подозрительности.
Оставайтесь в безопасности!
Злоумышленник присылает письмо якобы от гугл. Если вы будете проверять заголовки письма и подписи DKIM, то увидите, что всё легитимно.
В письме сообщается о какой-либо проблеме с вашим аккаунтом или чем-то из инфраструктуры гугла. В нём уже указана ссылка на поддомен гугл sites.google.com (что-то вроде narod.yandex.ru старого сервиса — хей, гугл, вы отстаете от Яндекса). Всё выглядит легитимно, ссылка на Support case даже не в виде ссылки, а чтобы можно было скопировать. Никаких подлогов в теле письма нет.
При переходе по ссылке у вас открывается 1 в 1 портал поддержки Google по вашему кейсу.
Для проверки загруженных документов открывается классическая форма авторизации Google, где, введя свой логин и пароль, вы подарите свой аккаунт фишерам.
Трюк заключается в том, что Google сделал ошибку в названиях своей инфраструктуры и такой красивый поддомен, как sites.google.com, отдал каждому желающему под хостинг.
А почту они обходят тоже просто. «Регают» какой-то домен, связанный с названием IP, что-то типа [email protected], и используют получение корпоративной почты по этому домену через сам сервис почты гугл, где вы можете привязать свой домен к gmail.com.
Такой набор валидаций может запутать даже профессионала. Чтобы обезопасить себя, стоит не переходить ни по каким входящим ссылкам для верификации чего-либо, если вы сами это не инициализировали. Заходите напрямую, через ввод урла в поиске, и смотрите, что там за нотификации в нужном вам сервисе.
А где фишеры берут вашу почту?
Утечки — это огромная проблема настоящего времени. По нашим данным, в неделю утекает около 250 ГБ данных. Это сотни взломанных ресурсов, на которых вы могли быть зарегистрированы, даже мимолётно. При помощи таких утечек хакеры могут идентифицировать вас по имени и обращаться персонализированно, сбавив напор подозрительности.
Оставайтесь в безопасности!
🔥31👍16❤🔥8🏆4⚡2✍2💯2