Создаем безопасное хранилище для криптовалюты

Создаем безопасное хранилище для криптовалюты

@cryptominati

На сегодняшний день риск потери криптовалюты очень высок. Причиной тому может служить множество факторов: компьютерный вирус, взлом кошелька или биржы, прямое вымогательство паролей от криптокошельков. Поэтому мы предлагаем Вам ознакомиться со следующей информацией, чтобы повысить свой уровень защиты и выбрать оптимальный для Вас сбособ хранения криптовалюты и приватных ключей.

Кошельки делятся на десктопные, мобильные, онлайновые и аппаратные. Они доступны практически на всех популярных операционных системах — Windows, Linux, OS X, Android, iOS, Windows Phone — и совместимых с ними. Кроме того, существуют даже бумажные клиенты.


  1. Десктопные

Делятся на два вида: «тол­стые» и «тон­кие».

Толстые. Предусматривают скачивание на ваш компьютер всего блокчейна (около 150 Гб данных), а также постоянную догрузку файлов к имеющейся цепочке блоков. Самые популярные кошельки такого вида - Bitcoin Core и Armory. При таком способе хранения криптовалюты, пользователь является единственным владельцем приватных ключей, поэтому необходимо иметь резервную копию программного файла, в котором они содержатся.

Также, используя «тол­стый» кошелек, необходимо уделять должное внимание защите самого ПК. Должен быть установлен надежный активирус и по хорошему проводиться проверка входящих/исходящих потоков. Так как при пропадании на ПК «кейлоггера» - программы, считывающей всю информацию, введенную с клавиатуры, вы рискуете потерять все криптовалютные средства. Использование виртуального сервера не исключает данный риск. В результате перепадов напряжения, жесткий диск может выйти из строя и ваш кошелек будет утерян.

Тонкие. Обращается к блокчейну через сторонние сервисы (Electrum, MultiBit), не требуя загрузки на компьютер множества данных. Конечно безопасность такого кошелька уступает безопасности «тол­стого», так как за нее отвечает уже сторонний сервис, а не владелец кошелька. Но тем не менее, приватные ключи находятся под контролем владельца. При использовании таких кошельков также не стоит забывать о безопасности своего ПК.


2. Мобильные

Если у вас нет возможности совершать все операции через ПК, то отличным вариантом будет мобильный кошелек. Это приложение для смартфона, в котором хранятся зашифрованные секретные ключи для криптовалютных адресов, а также их резервная копия на сервере. Некоторые кошельки даже поддерживают протокол NFC, позволяя совершать покупки прямо с вашего телефона.

Для экономии места на смартфоне, в мобильных кошельках реализована упрощенная проверка платежей - SPV. Клиент скачивает на телефон лишь часть сети блокчейн, а при проведении операций полагается на доверенные узлы сети. Среди популярных кошельков можно выделить Bitcoin wallet, Mycelium, Xapo и Blockchain.

SPV позволяет вам проверять ваши транзакции, не беспокоясь о транзакциях других пользователей.

SPV отвечает за исполнение двух основных задач:

  • Гарантирует, что ваши транзакции находятся в блоке
  • Обеспечивает подтверждение (proof of work) того, что дополнительные блоки были добавлены в блокчейн.

Поскольку SPV кошелек не проверяет никакие другие транзакции в блоке, теоретически блок может быть недействителен. В более чем 99.99% случаев это не является проблемой, так как мы можем подключаться к многим разным узлам и убедиться в том, что все поддерживают одну и ту же цепочку блоков.

Иногда может возникать нестандартная ситуация. Например, принятие нового правила консенсуса и относительно большая группа узлов, которая не принимает новое правило, потому что забыла обновиться. Несогласные узлы будут быстро отделены от сети, но пока это не произойдет, SPV клиент может быть временно введен в заблуждение и будет считать, что не обновленные узлы имеют верную, самую длинную цепочку (после еще нескольких блоков, станет очевидно, что верной является другая цепочка).

Вот почему считается, что управление полным узлом обеспечивает «более быструю» систему безопасности – вы можете проверять все транзакции самостоятельно, нет необходимости ждать дополнительных подтверждений, которые решают подобные редкие проблемы. Помимо этого, управление полным узлом теоретически обеспечивает большую конфиденциальность, так как SPV клиенты должны обращаться к полным узлам и запрашивать информацию об определенных адресах и транзакциях.

Помимо всех преимуществ мобильного кошелька, он также обладает рядом минусов. При утере телефона и отсутствии резервной копии приватных ключей, вы теряете все свои срадства. Также уровень защиты мобильного телефона на порядок ниже, чем у ПК.


3. Онлайновые кошельки и биржи

Такие кошельки обычно используются для хранения небольшого количества монет. Онлайн - кошелек очень удобен в использовании, получить к нему доступ вы можете с любого устройства, также есть поддержка двухфакторной аутентификации. На таких кошельках можно сразу держать несколько видов криптовалют. Все вышеперечисленные преимущества одновременно являются и недостатками. Во-первых, вся криптовалюта хранится не у клиента, а у стороннего сервиса. При хакерской атаке и хищении средств у данного сервиса, маловероятно, что вы получите какую либо компенсацию, как показывает практика. Во-вторых, сложно оценить репутацию многих бирж и онлайн-кошельков. А так как все ваши приватные ключи хранятся на серверах данных огранизаций, то нельзя исключать риск хищения средств самой компанией.

Так как в случае online-кошельков ваши закрытые ключи хранятся на удаленных серверах, то вы неизбежно подвергаете себя рискам утери средств в следующих ситуациях:

  • Компьютер был взломан, что привело к краже пароля от online-кошелька.
  • Сервер, на котором был развернут online-кошелек, был взломан и средства всех пользователей кошелька были украдены.
  • Компания-создатель web-кошелька обанкротилась.
  • ФБР конфисковала серверы, а в итоге и средства пользователей.
  • Владельцы компании разработчика online-кошелька похитили средства пользователей и скрылись.
  • Программная ошибка в коде online-кошелька привела к потере средств.
  • Злоумышленник украл мобильный телефон, на котором была открыта сессия по работе с онлайн кошельком, что привело к потере средств.


4. Аппаратные

Итак, любой аппаратный кошелек (из рассматриваемых):

  • Генерирует и хранит внутри устройства неизвлекаемый закрытый ключ кошелька.
  • Все операции, необходимые для проведения транзакции, производятся внутри устройства. Из устройства выдается лишь результат – электронная подпись транзакции.
  • Имеет экран для отображения различный информации.
  • Имеет одну или несколько физических кнопок для взаимодействия с устройством.
  • При переводе средств с кошелька отображает на экране информацию о транзакции.
  • Требует ручного подтверждения операций с помощью физической кнопки на устройстве.
  • Позволяет создать резервную копию ключей на случай если устройство сломается или будет утеряно.
  • Требует установки дополнительного ПО от производителя аппаратного кошелька.
  • Поддерживается на всех современных версиях Windows, Linux, MacOS.
  • Поддерживается на Android.
  • Не позволяет устанавливать какое-то дополнительное ПО внутрь самого кошелька.
  • Для работы требуется знание специального PIN-кода (или даже нескольких PIN-кодов).
  • Стоит денег, в отличии от большинства остальных кошельков.
  • Поддерживают не все возможные криптовалюты, а только наиболее популярные.

Однако, стоит понимать, что аппаратные кошельки не являются серебряной пулей по защите ваших средств в криптовалюте. Есть несколько рисков безопасности, которым подвержены все или некоторые кошельки. Эти риски необходимо учитывать, если вы будете принимать решение, какой аппаратный кошелек приобрести и сколько криптовалюты можно на нем хранить.

  • Подмена адреса получателя в транзакции. Аппаратный кошелек не защитит вас от посылки вашей криптовалюты по поддельнному адресу. Например, вредоносное ПО на вашем компьютере может мониторить транзакции с большим количеством криптовалюты, а затем подменять адрес получателя на адрес кошелька, который принадлежит злоумышленнику. Если ставки высоки, то вам необходимо использовать многофакторное подтверждение адреса получателя – например, по телефону.
  • Плохой ДСЧ. Аппаратные кошельки полагаются на безопасность ДСЧ, который находится внутри устройства и используется при безопасной генерации вашего закрытого ключа. К сожалению, проверка ключа на случайность не самая простая задача. Уязвимый ДСЧ может создавать такие ключи кошелька, которые могут быть воссозданы атакующим, генерируя псевдослучайное число, которые похоже на случайное.
  • Ошибки реализации. Безопасность всех компьютерных систем, как программных, так и аппаратных базируется на качестве их реализации. Аппаратные кошельки не являются исключением. Ошибки в программном обеспечении, прошивке или на аппаратном уровне могут позволить атакующему получить доступ к внутренним структурам аппаратного кошелька, а затем и к вашим секретам. Даже если устройство изначально было спроектировано верно, доказать безопасность реализации в конкретном устройстве очень сложно.
  • Скомпрометированный процесс производства. Даже идеальная программная и аппаратная реализация уязвима к намеренному или ненамеренному внедрению в процесс производства. Различные закладки могут быть внедрены в устройство как случайно, так и под давлением различных спецслужб.
  • Скомпрометированный процесс доставки. Еще проще внедриться в процесс доставки и удалить или модифицировать часть защиты устройства таким образом, что это будет незаметно для пользователя. Известно, что различные государственные программы включают в себя, в том числе перехват и модификацию различных аппаратных средств с целью внедрения бекдоров.

Покупку аппаратного кошелька необходимо совершать только у проверенных производителей с хорошей репутацией.


5. USB-флешка

Очевидно, что флешки никогда не создавались как средство безопасности, но не все это понимают.

  • Прочитать или скопировать закрытые ключи с флешки может любое ПО.
  • Вредоносное ПО может подменить адреса получателя в транзакции.
  • Кража или утеря такой флешки может привести к полной потере средств.

Кстати, от кражи или утери можно защитится, если использовать специальные флешки, которые требуют ввода PIN-кода для получения доступа к данным.


6. Бумага

На самом деле правильное хранение закрытого ключа на бумажке является достаточно безопасным. Вот только очень неудобным. Плюс для работы с таким кошельком, вам все равно придется ввести свой закрытый ключ в один из вышеописанных кошельков. И после этого спать спокойно уже не получится.


Рекомендации

Несомненно, держать все активы на каком-либо одном кошельке очень рискованно. Поэтому необходимо разделить капитал между несколькими платформами. Выбор кошелька зависит от целей приобретения криптовалюты.

При долгосрочном хранении, определенно, необходимо использовать десктопные или мобильные кошельки. Они обеспечат максимальную надежность хранения активов.

Если же Вы приобретаете краткосрочные инвестиции или занимаетесь трейдингом, то часть капитала необходимо держать на онлайн-кошельке. Также необходимо выбрать несколько проверенных бирж и разделить между ними средства. Это поможет Вам минимизировать риск заморозки или потери средств в случае нарушения работы биржи, а также расширит доступ к различным активам.

Приобретая аппаратный кошелек, нужно также учитывать всевозможные риски. Уже были случаи продажи на Ebay кошельков фирмы Legder Nano S.

В отличие от оригинальных кошельков, Nano S, полученный от злонамеренного продавца с eBay, при первом запуске не предлагает пользователю создать новый аккаунт или восстановить старый. Не предлагает он и задать PIN-код; в описанных случаях PIN-код был указан в сопроводительном документе, который в комплекте с оригинальным Nano S не идёт.

Тот же документ содержит seed-фразу, состоящую из 24 слов, скрытую под защитным слоем. Ledger Nano S, не имеющий следов вмешательства злоумышленников, при первом запуске создаёт её вместе с PIN-кодом.

Один из пользователей Reddit пишет, что эти отличия показались ему подозрительными, поэтому, прежде чем начать пользоваться кошельком, он вернул его к настройкам производителя, что и позволило ему сберечь свои криптовалютные активы. Другой обладатель такого же кошелька оказался менее удачливыми перевёл на него XRP, Litecoin и Dash на сумму, превышающую £25 000. Нетрудно догадаться, что, когда он решил проверить стоимость своих сбережений, деньги уже находились на неизвестном ему адресе.


Соблюдайте безопасность при хранении криптовалюты, не позволяйте мошенникам заполучить ваши средства.


Больше информации на CRYPTOMINATI