Практический регламент криптобезопасности для повседневной работы с биржами, кошельками и DeFi. Ниже — 30 коротких правил по шести блокам: периметр, биржи, кошельки, переводы, DeFi и действия при инцидентах. Формулировки без воды — только то, что снижает риск потерь.

Как пользоваться гайдом

• Пройдите все пункты сверху вниз и отметьте, что уже сделано.
• Вернитесь к гайду через 1–2 недели для ревизии и доведения до нормы «по умолчанию».
• Храните офлайн-памятку (бумага/защищённая заметка) с критичными настройками и контактами поддержки.

1) Периметр и доступ

1. Отдельный профиль/пользователь на ПК/смартфоне для всех крипто-действий (свои пароли, история, автозаполнения).
2. Менеджер паролей: уникальный длинный пароль на каждую учётку; мастер-пароль и резервные коды — офлайн.
3. Почта под крипту: включите TOTP-2FA, отключите переадресацию, включите уведомления о входах и изменениях настроек.
4. 2FA только TOTP/FIDO2 (не SMS). Про 2FA — короткий ликбез: что это и как включить.
5. Антифишинг-код и белые списки: задайте код в биржевом аккаунте, включите «whitelist» адресов на вывод, проверьте активные сессии.

2) Биржи и API

6. Уведомления: включите оповещения о входах, выводах и изменениях настроек в приложении и на почте.
7. Задержка вывода: активируйте 24h-lock после смены пароля/2FA (если доступно).
8. API-ключи: только при необходимости; права минимальные, whitelisting по IP; хранить отдельно от браузера.
9. Приложения: скачивайте только из официальных сторах/сайтов; никаких APK/расширений «из чатов».
10. Разделение ролей в команде: «инициатор» и «подписант» операций — разные аккаунты/ключи.

3) Кошельки и ключи

11. Сид-фраза: записать на бумагу (2 копии в разных местах), не фотографировать, не хранить в облаке.
12. Тест восстановления: один раз восстановите кошелёк на «чистом» устройстве без ввода основного депозита.
13. Аппаратный кошелёк: используйте для сумм выше «комфортного порога»; включите PIN и авто-лок.
14. Мультиподпись (где доступно): снизит риски одиночной компрометации.
15. Карта хранения: список мест хранения сидов/бэкапов и «план Б» на случай потери устройства.

4) Переводы и сети

16. Выбор сети: отправляйте только в совместимую сеть получателя; проверяйте формат адреса/предупреждения кошелька.
17. Сверка адреса: первые/последние 4–6 символов; избегайте «address poisoning»; QR-код — только с доверенного экрана.
18. Тестовый транш: перед крупной суммой отправьте малую, дождитесь подтверждений в эксплорере и только затем основной перевод.
19. Специальные поля: используйте MEMO/Tag/Reference там, где это требуется (пример: централизованные адреса у бирж). Ошибка поля = риск потери средств.
20. Итог в фиате: перед обменом оцените комиссию сервиса, сетевой сбор и проскальзывание — считайте конечную сумму в ₽.

5) DeFi и смарт-контракты

21. Approvals минимальные: не выдавайте «unlimited» без необходимости; задавайте точные суммы и сроки.
22. Периодический revoke: ревизия и отключение неиспользуемых разрешений раз в 2–4 недели.
23. Адреса контрактов: берите из официальной документации/репозиториев; остерегайтесь клонов с похожими именами.
24. «Слепые подписи»: не подписывайте транзакции с непонятными правами; проверяйте, что именно запрашивает dApp.
25. Фронт-энд упал — используйте проверенный альтернативный интерфейс/эксплорер для выхода из позиции.

6) Инциденты, учёт и восстановление

26. Стоп-кран: немедленно смените пароли, отключите подозрительные сессии, отзовите API-ключи, при возможности — поставьте паузу на вывод.
27. Изоляция средств: переведите остаток на новый кошелёк (сначала тест-транш); старые approvals — в revoke.
28. Фиксация фактов: дата/время (МСК), адреса, TxID, скриншоты статусов/уведомлений, список действий — всё в единый файл инцидента.
29. Тикет в поддержку: шаблон ниже — заполните чётко и по пунктам, приложите подтверждения.
30. Журнал и ревизия: ведите журнал операций и раз в 1–2 недели проходите чек-лист; после инцидента — внеплановая ревизия.

Шаблон тикета в поддержку (задержка/ошибка перевода)

• Тема: Проблема с переводом/зачислением
• Дата и время (МСК): ДД.ММ.ГГГГ ЧЧ:ММ
• Сеть и TxID/Signature: …
• Адреса: отправителя … / получателя …
• Сумма и комиссия: …
• Описание: что ожидали и что получили (кратко)
• Вложения: скрины из кошелька/биржи/эксплорера

Памятка еженедельной ревизии

• Аккаунты бирж: 2FA, белые списки, активные сессии, включён ли 24h-lock.
• Кошельки: наличие офлайн-бэкапов, проверка мест хранения, аппаратный кошелёк — под рукой.
• DeFi: список активных approvals и своевременный revoke.
• Учёт: обновлён журнал операций; все скрины/чеки сохранены.

Полезные ссылки

• Риск-менеджмент: базовые принципы
• Комиссии: как считать итоговую стоимость перевода/обмена