Как не стать жертвой злоумышленников: чек-лист по кибербезопасности и анонимности от Mixer.money

В 2022 году хакеры взломали несколько популярных криптовалютных сервисов. Так, пользователи генератора Ethereum-адресов Profanity потеряли $3,3 млн, а владельцы кошельков на базе Solana — около $8 млн.

Команда биткоин-миксера Mixer.money рассказывает, как избежать кражи цифровых активов. Бонус — памятка по сохранению анонимности ваших биткоин-транзакций.

Разные кошельки — разные риски

Криптовалютные кошельки — приложения или устройства для хранения, отправки и получения цифровых активов. Они хранят приватные ключи пользователей и предоставляют интерфейс для взаимодействия с одним или несколькими блокчейнами.

Криптокошельки можно разделить на виды: в зависимости от вовлеченности третьей стороны — на кастодиальные и некастодиальные; в зависимости от подключения к интернету — на холодные и горячие. 

Кастодиальные кошельки — сервисы, владельцы которых имеют доступ к средствам и приватным ключам пользователей. Почти все криптобиржи предоставляют клиентам именно такие кошельки.

Передача средств третьей стороне — всегда риск, поэтому стоит внимательно выбирать поставщиков и не хранить все средства на кастодиальных кошельках.

Если клиент забудет пароль к кастодиальному кошельку, то сможет восстановить доступ с помощью личных данных или seed-фразы — последовательности из случайных слов, в которой зашифрован приватный ключ.

Владельцы некастодиальных кошельков самостоятельно управляют средствами и приватными ключами. Однако они также несут полную ответственность за сохранность средств. При потере приватного ключа получить доступ к активам невозможно.

Горячие кошельки — приложения и расширения для браузеров, которые постоянно подключены к интернету. Пользователи могут проверить баланс или отправить токены в любой момент.

Холодные кошельки — различные варианты хранения приватного ключа без доступа к интернету:

• brainwallet — держать seed-фразу в голове;
• бумажные кошельки — записать последовательность на бумаге;
• аппаратные кошельки — использовать специальные аппаратные устройства.

Потенциальные уязвимости аппаратных кошельков

Аппаратный кошелек — физическое устройство с одним или нескольким микроконтроллерами, которое подключается к компьютеру или телефону через  USB-разъем. Некоторые модели также поддерживают соединение через Bluetooth. 

Аппаратные кошельки считаются самым надежным инструментом для работы с криптовалютами. Однако их тоже могут взломать злоумышленники.

Владельцы таких устройств сталкиваются с рисками в различных ситуациях:

• покупка устройства. Приобретайте кошельки только у официальных поставщиков, например Ledger и Trezor. Внимательно проверяйте целостность и оригинальность упаковки. В случае даже незначительных повреждений требуйте замены товара — злоумышленники могли взломать кошелек во время доставки;
• активация кошелька. Убедитесь, что устройством не пользовались. Владелец генерирует seed-фразу и устанавливает ПИН-код при первоначальной настройке. Если seed-фраза идет в пакете с кошельком, мошенники уже активировали устройство. Сообщите о проблеме поставщику;
• обновление прошивки. Обновления загружаются при подключении устройства к компьютеру или телефону через USB. В этот момент злоумышленники могут удаленно выгрузить память микроконтроллера с приватными ключами. Чтобы избежать угрозы, перед каждым обновлением проверяйте, что компьютер или телефон не взломаны. Для Ledger риск атаки ниже: у таких устройств два микроконтроллера — для подписи и приватных ключей;
• потеря или кража устройства. Злоумышленники могут взломать кошелек, получив к нему физический доступ. При потере или краже устройства как можно скорее выведите средства. Для этого понадобится новый девайс и исходная seed-фраза. Во время активации вспомогательного кошелька выберите опцию «У меня уже есть seed-фраза» и введите 12-24 исходных слова. Если мошенники не смогли перехватить приватные ключи, вы увидите баланс в прежнем состоянии. Переведите деньги на другой кошелек и не используйте активированное устройство: угроза хищения приватных ключей остается.

Горячие кошельки — холодный ум

Программные кошельки удобнее для повседневной работы, но подвержены большему риску удаленного взлома из-за постоянного подключения к интернету.

Владельцам горячих кошельков нужно знать о возможных уязвимостях: от утечки личных данных и до взлома сторонних приложений. Например, мошенники смогли атаковать кошельки на базе Solana тех пользователей, которые были созданы, импортированы или использовались в мобильных приложениях Slope.

Как устранить эти риски? Для начала — следуйте базовым правилам работы в сети:

• генерируйте сложные пароли;
• не используйте один пароль для разных учетных записей;
• не переходите по подозрительным ссылкам;
• не открывайте сомнительные письма;
• проверяйте безопасность соединений;
• не используйте общедоступный Wi-Fi и публичные сети; 
• не храните пароли и seed-фразы на цифровых носителях;
• используйте двухфакторную аутентификацию.

Кроме того, команда Mixer.money рекомендует принимать дополнительные меры безопасности при работе с криптовалютами:

• выделите отдельный браузер и аккаунты только для кошельков и транзакций;
• не устанавливайте неизвестные расширения — через них можно взломать ваше устройство и подменить кошелек на мошеннический;
• не храните приватный ключ в одном месте, а разбейте его по схеме секрета Шамира и сделайте бумажный бэкап;

• используйте мультиподписи, которые требуют два или три приватных ключа для подтверждения транзакции. Генерируйте эти ключи на разных устройствах.

Как безопасно торговать и инвестировать

Некастодиальные кошельки — не единственное место сосредоточения криптовалют. Владельцы также держат средства в пулах и на торговых площадках.

В этом случае появляются новые риски — взлом платформ и экзит-скам их создателей. Специалисты Mixer.money предлагают несколько принципов, следуя которым можно избежать потери средств:

• торгуйте на децентрализованных биржах. Они не хранят средства и личные данные своих пользователей, придерживаются принципов анонимности и не требуют KYC;
• проверяйте информацию о площадке перед началом работы. Выбирайте сервисы, которые зарекомендовали себя на рынке. Не ориентируйтесь только на высокие показатели доходности;
• не держите на бирже средства, если они не находятся в работе. Торговые и инвестиционные площадки подвергаются атакам хакеров, сталкиваются с техническими неполадками и блокируют средства под давлением регуляторов.

Чек-лист по анонимности биткоин-переводов

Регуляторы обязывают централизованные торговые площадки собирать данные о пользователях и деанонимизировать сомнительные адреса с помощью блокчейн-аналитики.

При этом под угрозой блокировки оказываются не только преступники, но и обычные держатели монет. Например, в августе FTX заморозила аккаунт после перевода на платформу для повышения приватности Aztec Network.

Сохранить анонимность при отправке биткоинов и не столкнуться с блокировками можно, приняв дополнительные меры:

• проводите каждую транзакцию через новый адрес. Это усложняет нахождение связей между переводами;
• используйте VPN и браузер TOR для скрытия IP. Учтите, что биржи могут заблокировать аккаунт при обнаружении луковой маршрутизации;
• проводите средства через миксеры. Выбирайте сервисы, которые обеспечивают чистоту монет после микширования, такие как Mixer.money.

Выводы

Кибербезопасность и анонимность — неотъемлемые части работы с цифровыми активами в условиях систематических хакерских атак и усиления давления регуляторов. 

Учет рисков и соблюдение правил безопасности помогает избегать многих видов атак, а микширование криптовалют — сохранять анонимность транзакций.

Читайте биткоин-новости ForkLog в нашем Telegram — новости криптовалют, курсы и аналитика.