Как не стать жертвой злоумышленников: чек-лист по кибербезопасности и анонимности от Mixer.money
В 2022 году хакеры взломали несколько популярных криптовалютных сервисов. Так, пользователи генератора Ethereum-адресов Profanity потеряли $3,3 млн, а владельцы кошельков на базе Solana — около $8 млн.
Команда биткоин-миксера Mixer.money рассказывает, как избежать кражи цифровых активов. Бонус — памятка по сохранению анонимности ваших биткоин-транзакций.
Разные кошельки — разные риски
Криптовалютные кошельки — приложения или устройства для хранения, отправки и получения цифровых активов. Они хранят приватные ключи пользователей и предоставляют интерфейс для взаимодействия с одним или несколькими блокчейнами.
Криптокошельки можно разделить на виды: в зависимости от вовлеченности третьей стороны — на кастодиальные и некастодиальные; в зависимости от подключения к интернету — на холодные и горячие.
Кастодиальные кошельки — сервисы, владельцы которых имеют доступ к средствам и приватным ключам пользователей. Почти все криптобиржи предоставляют клиентам именно такие кошельки.
Передача средств третьей стороне — всегда риск, поэтому стоит внимательно выбирать поставщиков и не хранить все средства на кастодиальных кошельках.
Если клиент забудет пароль к кастодиальному кошельку, то сможет восстановить доступ с помощью личных данных или seed-фразы — последовательности из случайных слов, в которой зашифрован приватный ключ.
Владельцы некастодиальных кошельков самостоятельно управляют средствами и приватными ключами. Однако они также несут полную ответственность за сохранность средств. При потере приватного ключа получить доступ к активам невозможно.
Горячие кошельки — приложения и расширения для браузеров, которые постоянно подключены к интернету. Пользователи могут проверить баланс или отправить токены в любой момент.
Холодные кошельки — различные варианты хранения приватного ключа без доступа к интернету:
- brainwallet — держать seed-фразу в голове;
- бумажные кошельки — записать последовательность на бумаге;
- аппаратные кошельки — использовать специальные аппаратные устройства.
Потенциальные уязвимости аппаратных кошельков
Аппаратный кошелек — физическое устройство с одним или нескольким микроконтроллерами, которое подключается к компьютеру или телефону через USB-разъем. Некоторые модели также поддерживают соединение через Bluetooth.
Аппаратные кошельки считаются самым надежным инструментом для работы с криптовалютами. Однако их тоже могут взломать злоумышленники.
Владельцы таких устройств сталкиваются с рисками в различных ситуациях:
- покупка устройства. Приобретайте кошельки только у официальных поставщиков, например Ledger и Trezor. Внимательно проверяйте целостность и оригинальность упаковки. В случае даже незначительных повреждений требуйте замены товара — злоумышленники могли взломать кошелек во время доставки;
- активация кошелька. Убедитесь, что устройством не пользовались. Владелец генерирует seed-фразу и устанавливает ПИН-код при первоначальной настройке. Если seed-фраза идет в пакете с кошельком, мошенники уже активировали устройство. Сообщите о проблеме поставщику;
- обновление прошивки. Обновления загружаются при подключении устройства к компьютеру или телефону через USB. В этот момент злоумышленники могут удаленно выгрузить память микроконтроллера с приватными ключами. Чтобы избежать угрозы, перед каждым обновлением проверяйте, что компьютер или телефон не взломаны. Для Ledger риск атаки ниже: у таких устройств два микроконтроллера — для подписи и приватных ключей;
- потеря или кража устройства. Злоумышленники могут взломать кошелек, получив к нему физический доступ. При потере или краже устройства как можно скорее выведите средства. Для этого понадобится новый девайс и исходная seed-фраза. Во время активации вспомогательного кошелька выберите опцию «У меня уже есть seed-фраза» и введите 12-24 исходных слова. Если мошенники не смогли перехватить приватные ключи, вы увидите баланс в прежнем состоянии. Переведите деньги на другой кошелек и не используйте активированное устройство: угроза хищения приватных ключей остается.
Горячие кошельки — холодный ум
Программные кошельки удобнее для повседневной работы, но подвержены большему риску удаленного взлома из-за постоянного подключения к интернету.
Владельцам горячих кошельков нужно знать о возможных уязвимостях: от утечки личных данных и до взлома сторонних приложений. Например, мошенники смогли атаковать кошельки на базе Solana тех пользователей, которые были созданы, импортированы или использовались в мобильных приложениях Slope.
Как устранить эти риски? Для начала — следуйте базовым правилам работы в сети:
- генерируйте сложные пароли;
- не используйте один пароль для разных учетных записей;
- не переходите по подозрительным ссылкам;
- не открывайте сомнительные письма;
- проверяйте безопасность соединений;
- не используйте общедоступный Wi-Fi и публичные сети;
- не храните пароли и seed-фразы на цифровых носителях;
- используйте двухфакторную аутентификацию.
Кроме того, команда Mixer.money рекомендует принимать дополнительные меры безопасности при работе с криптовалютами:
- выделите отдельный браузер и аккаунты только для кошельков и транзакций;
- не устанавливайте неизвестные расширения — через них можно взломать ваше устройство и подменить кошелек на мошеннический;
- не храните приватный ключ в одном месте, а разбейте его по схеме секрета Шамира и сделайте бумажный бэкап;
- используйте мультиподписи, которые требуют два или три приватных ключа для подтверждения транзакции. Генерируйте эти ключи на разных устройствах.
Как безопасно торговать и инвестировать
Некастодиальные кошельки — не единственное место сосредоточения криптовалют. Владельцы также держат средства в пулах и на торговых площадках.
В этом случае появляются новые риски — взлом платформ и экзит-скам их создателей. Специалисты Mixer.money предлагают несколько принципов, следуя которым можно избежать потери средств:
- торгуйте на децентрализованных биржах. Они не хранят средства и личные данные своих пользователей, придерживаются принципов анонимности и не требуют KYC;
- проверяйте информацию о площадке перед началом работы. Выбирайте сервисы, которые зарекомендовали себя на рынке. Не ориентируйтесь только на высокие показатели доходности;
- не держите на бирже средства, если они не находятся в работе. Торговые и инвестиционные площадки подвергаются атакам хакеров, сталкиваются с техническими неполадками и блокируют средства под давлением регуляторов.
Чек-лист по анонимности биткоин-переводов
Регуляторы обязывают централизованные торговые площадки собирать данные о пользователях и деанонимизировать сомнительные адреса с помощью блокчейн-аналитики.
При этом под угрозой блокировки оказываются не только преступники, но и обычные держатели монет. Например, в августе FTX заморозила аккаунт после перевода на платформу для повышения приватности Aztec Network.
Сохранить анонимность при отправке биткоинов и не столкнуться с блокировками можно, приняв дополнительные меры:
- проводите каждую транзакцию через новый адрес. Это усложняет нахождение связей между переводами;
- используйте VPN и браузер TOR для скрытия IP. Учтите, что биржи могут заблокировать аккаунт при обнаружении луковой маршрутизации;
- проводите средства через миксеры. Выбирайте сервисы, которые обеспечивают чистоту монет после микширования, такие как Mixer.money.
Выводы
Кибербезопасность и анонимность — неотъемлемые части работы с цифровыми активами в условиях систематических хакерских атак и усиления давления регуляторов.
Учет рисков и соблюдение правил безопасности помогает избегать многих видов атак, а микширование криптовалют — сохранять анонимность транзакций.
Читайте биткоин-новости ForkLog в нашем Telegram — новости криптовалют, курсы и аналитика.
Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!