Где и как хранить криптовалюту, чтобы ее никто не украл

Теги:
  • Технологии

Криптовалюта хоть и революционная денежная единица, но как и фиатные деньги требует заботы о своей сохранности. Пожалуй, даже больше, чем фиатные деньги.

Дмитрий Лаптев, сооснователь проекта XZEN, рассказывает о том, с какими неприятностями сталкиваются владельцы криптосчетов и как этого избежать.

Как крадут крипту

У биржи

2 августа 2016 года курс биткоина упал за несколько часов на 20%. В этот день была совершена одна из крупнейших краж в истории криптовалюты.

С гонгконгской биржи Bitfinex хакеры перевели 119 756 биткоинов, $72 млн по курсу на тот момент или $60 млн после снижения.

Злоумышленники нашли уязвимость в системе безопасности биржи. Bitfinex в качестве попечителя использовала компанию BitGo: копии ключей от кошельков хранились на серверах биржи, в BitGo и в автономном офлайн хранилище.

Хакеры обошли защиту BitGo, сняли ограничение на вывод средств и за короткий период перевели деньги на тысячи кошельков. Bitfinex никак не могла повлиять на ситуацию.

У простого человека

С кражей криптовалюты сталкиваются не только крупные биржи, но и простые пользователи. Этим летом стартап CoinDash стал жертвой хакеров и потерял более $7,4 млн.

Во время ICO стартап разместил свои токены, но злоумышленники подменили адрес кошелька, на который перечислялись эфиры (Ethereum) инвесторов. Махинацию быстро раскрыли, но за три минуты хакеры сумели вывести почти 43 500 эфира.

А сколько уже украли?

По нашим подсчетам, начиная с 2014 года киберпреступниками похищено биткоинов на сумму более $1,8 млрд (по курсу $5 000 за 1 биткоин).

Аналитики Group IB сталкивались примерно с 80 случаями крупных взломов крупных проектов в последние годы, без учета фишинга при ICO и краж криптовалюты из кошельков обычных пользователей.

По данным американской компании Chainalysis, в этом году более 30 тысяч человек, пользующихся Ethereum, пострадали от действий мошенников. Средний размер потери составляет около $7,5 тысячи на человека.

Кроме уязвимостей в сторонних системах, эксперты связывают высокое количество краж с недостаточной безопасностью кошельков, на которых хранится криптовалюта.

Криптовалютный кошелёк представляет собой программу, которая владеет набором ключей (паролей для доступа), управляет этими ключами и даёт пользователю доступ к транзакциям его средств.

Что делать, когда забыл пин-код?

Чтобы провести операцию с криптовалютой, необходимо ввести private key — многозначную цифро-буквенную комбинацию (по факту — пароль). Защита криптосчета строится на защите этих самых ключей.

Этой осенью стала известна история американского журналиста Марка Фрауэнфельдера, который потерял пин-код от своего устройства по хранению private key и чуть не потерял $30 тысяч.

Марк почти полгода пытался вспомнить пароль, прибегнув даже к сеансам гипноза. Но спасла его уязвимость кошелька, о которой сообщил сам производитель. Воспользовавшись услугами хакера и уязвимостью, журналист узнал и свой ключ, и комбинацию проверочных слов.

Проблема private key, как и любого другого пароля, в том, что его можно забыть или потерять, как в случае Марка. Согласно аналитике Forbes, общая сумма средств, хранящаяся в кошельках, к которым утерян доступ, около $21 млрд.

Private key также является объектом повышенного внимания со стороны злоумышленников. В отличие от традиционных банковских счетов криптовалютные счета отличаются открытостью.

У любого владельца крипты есть public key — подобие номера счёта в обычном банке. Зная его, можно легко выяснить сколько средств хранится у человека. Дальше сохранность этих средств зависит от ответственности владельца и системы хранения, которой он пользуется.

Основные виды кошельков: плюсы и минусы

В 2014 году количество криптокошельков равнялось примерно 2 млн, сейчас эта цифра стремится к 23 млн, то есть средний рост примерно в 2,5 раза в год.

На сегодняшний день только в MyEtherWallet (один из популярных продуктов по хранению криптовалюты) уже зарегистрировано более 15 млн аккаунтов, на которых хранится примерно 62 млрд долларов. Эти цифры говорят о том, что активный рост числа пользователей будет продолжаться.

Кошельки делятся по уровню защиты: средний уровень безопасности или так называемые горячие кошельки.

1. Кошельки для ПК

По факту, это приложение, которое устанавливается на компьютер или в качестве расширения в браузер, в случае MyEtherWallet. Доступ к таким кошелькам возможен только через устройство, на котором они установлены. Каждый из кошельков имеет дополнительные уникальные функции.

Например, DarkWallet ориентирован на анонимность. Приложение использует различные методы защиты идентификаторов пользовательских счетов. При совершении платежа программа комбинирует данные нескольких синхронных транзакций, что не позволяет отследить действия со счётом.

Вывод: кошельки для компьютера обладают неплохой степенью защиты, но сохраняется опасность взлома или заражения ПК вирусом. Из-за чего можно потерять все деньги.

2. Мобильные кошельки

Удобны, потому что пользователь не зависит от компьютера и в некоторых случаях получает возможность оплачивать криптовалютой покупки в реальных магазинах. Примеров таких кошельков достаточно: Mycelium, Xapo и Blockchain.

Все они хранят ключи в зашифрованном виде прямо в телефоне. Некоторые кошельки позволяют использовать протокол NFC. В таком случае для оплаты вы не вводите никакой информации, просто прикладываете телефон к считывателю.

Особенность всех мобильных кошельков в том, что они являются неполноценными криптоклиентами:

  • Клиент для ПК загружает и хранит весь объём блокчейна.
  • Мобильные приложения скачивают лишь небольшой набор информации из блокчейна и полагаются на другие доверенные узлы (ноды) в сети Bitcoin.

Вывод: минус мобильного кошелька в том, что он, как и ПК, может быть взломан, украден или заражён.

3. Онлайн-кошельки

Подобных сервисов много, некоторые из них можно привязать к настольным или мобильным кошелькам. Безусловно, они удобны в использовании, поскольку доступ к счёту можно получить из любой точки, где есть интернет. Один из при­ме­ров та­ко­го рода ко­шель­ка — ре­ше­ние Strongcoin.

В этом случае данные хранятся в облаке, на стороннем сервере. То есть, в процесс включается третья сторона, которая может оказаться не очень честной.

Также есть риск взлома этой третьей стороны — сайта или биржи, где хранятся данные. И от этого уже никак не защититься, как в случае с биржей Bitfinex.

Горячие хранилища достаточно удобны в использовании и пользуются спросом:

Например, те, кто торгует на бирже, вынуждены пользоваться горячими кошельками, поскольку им нужен быстрый доступ на рынок через смартфон. Именно возможность быстрого доступа и является общим большим минусом горячих кошельков: все данные передаются по сети, что уже не может быть полностью безопасным.

Высокий уровень безопасности или так называемые холодные кошельки:

Холодные хранилища названы так, потому что не имеют доступа к сети, что позволяет практически полностью исключить вмешательство сторонних лиц.

4. Бумажный кошелёк

Один из самый надёжных способов хранения ключей. Конечно, можно записать пароль на блокнотном листе и хранить в сейфе. Но существуют сайты, которые предлагают различные способы многоступенчатого шифрования данных.

Например, Paper Wallet. На выходе получаются два QR-кода: один содержит зашифрованный public key, другой — private key.

gde-i-kak-hranit-kriptovalyutu-chtoby-ee-nikto-ne-ukral

Cоздание уникального QR-кода через Paper Wallet

Создать бумажный кошелёк достаточно легко. Но он требует ответственного хранения: необходимо создавать надёжные резервные копии, на случай утери или порчи кошелька.

Вывод: ни в коем случае нельзя фотографировать, пересылать или оставлять QR-код в открытом доступе.

5. Аппаратные кошельки

Небольшие электронные устройства вроде флешки, на которых хранятся секретные ключи так, что их практически невозможно извлечь. Они не имеют доступа к интернету, но их можно использовать в устройствах, подключённых в сети без риска заражения или потери данных.

Такой кошелёк не «отдаёт» private key компьютеру, а использует его для подписи транзакции, которая после передаётся в приложение на компьютере и дальше в интернет.

Рынок подобных устройств представлен несколькими марками. Например, аппаратный кошелёк Trezor стоит €89, поддерживает разную валюту: биткойн, Ethereum, ZCash и другие. Сам аппарат защищён пин-кодом и секретной фразой.

gde-i-kak-hranit-kriptovalyutu-chtoby-ee-nikto-ne-ukral

Фото из официального аккаунта Trezor в Facebook

Для проведения транзакции нужно подтвердить её нажатием кнопки на корпусе кошелька. Другие марки—Keepkey ценой в $129, Ledger за €58—по своей сути похожи на Trezor.

Уязвимость этих аппаратов в том, что пин-код может быть скомпрометирован, его можно забыть или потерять как Марк Фрауэнфельдер. Сам кошелёк также могут украсть и взломать.

Такие аппараты не поддерживают протокол NFC, ими нельзя расплатиться без подключения ПК- или смартфон-клиента.

Вывод: это не совсем кошельки, а просто хранилища с возможностью подписи транзакции. Но надёжность их достаточно высока.

 

Источник rb.ru

 

Вступай в сообщества ITmentor Вконтакте, Facebook и Telegram

 

Опубликован: 27-12-2017 3895 Поделиться: