Криптоиндустрия отличается обилием инноваций, однако даже в ней есть отдельные сферы со слишком медленными темпами развития. Одной из них является кибербезопасность. Директор по информационной безопасности проекта Polygon Мудит Гупта во время выступления на конференции Ethereum Community Conference (EthCC) рассказал о главных проблемах защиты цифровых активов. Вот детали высказываний и размышлений на важную тему.
Отметим, что потерять криптовалюты куда проще, чем кажется, причём этому активно пытаются способствовать хакеры. К примеру, сегодня мы получили письмо от мошенников, которые выдавали себя за производителя аппаратных кошельков Trezor. Они сообщили о «проблемах в слиянии некоторых токенов с новой улучшенной экосистемой», что якобы создаёт риски для монет пользователей.
Здесь стоит отметить, что мы не используем аппаратные кошельки данного производителя, поэтому обман был очевиден. Однако новички могут купиться на такую схему.
Фейковое письмо от мошенников, которые выдавали себя за сотрудников Trezor
Скамеры заявили, что токены якобы могут застрять в старой сети и потеряться. Поэтому жертве обмана нужно перейти на поддельный сайт и провести определённую операцию.
Обычно мошенники создают фейковое приложение, которое требует ввести существующую фразу восстановления. Делать это ни в коем случае нельзя. Ну а сиды для восстановления доступа к кошельку вводятся непосредственно в аппаратный кошелёк.
В чём заключается главный недостаток криптовалют
Для защиты криптокошельков применяются приватные ключи и cид-фразы. В случае с последними речь идёт об уникальных комбинациях из 12, 18 или 24 определённых слов, которые нужны для восстановления доступа к набору собственных адресов и контроля над собственными криптоактивами. К примеру, в случае с уже знакомыми нам аппаратными кошельками Ledger устройства генерируют сид-фразу из 24 слов.
Главная задача пользователя — не только не потерять данную комбинацию, но при этом и случайно не засветить её постороннему человеку. Всё же сид позволяет получить доступ к адресам пользователя и их содержимому, так что обращаться с ним нужно максимально осторожно. Также комбинацию не стоит хранить в цифровом виде на компьютере, смартфоне или любом другом устройстве с интернет-подключением.
В теории сид-фразы служат хорошей защитой для противодействия краже средств, поскольку пользователям не нужно использовать их каждый день, а достаточно доставать лишь при восстановлении кошелька. Однако на практике всё не так просто, отметил Гупта. Вот его реплика на этот счёт.
Сид-фраза это просто одноразовая вещь. Она есть у вас один раз. И если вы хоть раз ошибётесь, если произойдёт утечка, вам конец. Поэтому сохранить сид-фразу или приватный ключ в безопасности – гораздо более сложная задача.
Пример сид-фразы из 24 слов
Гупта заявил, что за прошедшие годы инвесторы понесли убытки на миллиарды долларов из-за своих ошибок и забывчивости при взаимодействии с сидами. Если секретная комбинация от криптокошелька теряется, разблокировать средства на нём уже не получится.
Впрочем, здесь бывают и исключения. К примеру, эксперты по работе с холодными кошельками могут попытаться восстановить доступ к монетам за определённую плату. Однако гарантий здесь нет, к тому же найти человека с подобными знаниями — это тоже сложная задача.
Согласно данным источников Cointelegraph, миллиарды долларов могут быть утеряны ещё и в будущем, так как сейчас многие пользователи пренебрегают правилами защиты своих средств.
И дело не только в пренебрежении – к полной потере активов могут привести естественные причины. Представитель Polygon продолжает.
Что делать, если вы по какой-то причине умрёте? Как ваши близкие смогут получить доступ к вашим средствам? Это сложная тема. Кроме того, существует проблема ротации ключей. Что делать, если по какой-то причине ваш ключ будет скомпрометирован?
Металлическая пластина Billfodl защищает сид-фразу от огня, воды и прочих источников разрушения
Проблему утери приватного ключа ранее поднимал Виталик Бутерин, создатель Эфириума. Он провдигает принцип социального восстановления. В соответствии с последним владелец кошелька выбирает доверенных лиц, которые могут соединить зашифрованные части секретной комбинации после её потери.
Также можно вспомнить инициативу Ledger под названием Ledger Recover. Функция позволяет разделить сид-фразу на три зашифрованных части внутри аппаратного кошелька, после чего каждая из них отправится трём отдельным компаниям для хранения, включая саму Ledger. Одна часть шифра не позволяет восстановить сид-фразу, поскольку для этого нужно хотя бы две такие составляющие.
В итоге пользователь привязывает собственную личность к профилю, благодаря чему он может восстановить сид в случае его потери с помощью документов. Сама функция работает по системе подписки и в теории может помочь сохранить деньги огромному количеству новичков.
Аппаратный кошелёк Ledger Stax
Увы, криптовалютное сообщество не оценило новинку, поскольку испугалось возможного извлечения сида со своего устройства и перспективы потери цифровых активов. В связи с этим компания отложила полноценный релиз функции и заодно пообещала поделиться подробностями её работы. Таким образом у настоящих пользователей устройств компании будет куда меньше поводов для беспокойства.
Во время конференции Мудит Гупта также упомянул о проблемах работы в сфере киберзащиты. Это тяжёлый процесс по поиску и исправлению всех уязвимостей и лазеек. По его словам, быть экспертом в этом области намного сложнее, чем быть успешным хакером.
Стоит отметить, что криптовалют с утерянным доступом может быть более чем достаточно. К примеру, по состоянию на сегодняшний день 29 процентов всех биткоинов в обороте не перемещались как минимум пять лет. Соответствующие показатели Dogecoin и Litecoin равны 17 и 13 процентам. И хотя некоторые криптоинвесторы действительно могут хранить монеты без перемещения по несколько лет, утраченных активов здесь явно достаточно.
Доля предложения BTC, DOGE и LTC, которое не перемещалось как минимум пять лет
Мы считаем, что концепция сид-фразы является слишком сложной для рядовых пользователей криптовалют. К тому же как ранее отметил Мудит Гупта, в данном случае достаточно допустить одну ошибку — и все цифровые активы пользователя окажутся под угрозой. Поэтому представителям криптоиндустрии стоит приложить немало усилий к разработке удобного способа восстановления доступа к криптокошелькам при необходимости. Причём привязка комбинаций к документам юзера по примеру функции Ledger Recover — не худший выбор для начинающих.