Покупая криптовалюту, необходимо задумываться не только о потере активов из-за падения курса, но и о правильном способе их хранения. Если вы храните свои средства на кастодиальном кошельке централизованной биржи, вы рискуете лишиться своей криптовалюты из-за взлома, банкротства или принятия решения самой биржи. На самом деле, CEX оказывает полный контроль над вашими активами, поскольку вы не обладаете доступом к приватному ключу.
Несмотря на риски хранения криптовалюты на централизованной бирже, есть и плюсы - возможность восстановить доступ к активам при утере пароля. Поэтому стоит беспокоиться только о честности и надежности самой биржи.
Когда вы используете некастодиальные кошельки, вся власть оказывается у вас, но соответствующая ответственность также ложится на ваши плечи. Если вы потеряете пароль, фразу восстановления или приватный ключ, никто не сможет вам помочь.
Сейчас мы рассмотрим, как происходит потеря ключа и средств на кошельке, а также предложим способы защиты от таких ситуаций.
Что такое приватный ключ и фраза восстановления?
Приватный ключ представляет собой 256-битное шестнадцатеричное число, которое используется для восстановления доступа к кошельку.
На данный момент 256-битное шифрование обеспечивает достаточную защиту от брутфорс-атак, при которых злоумышленник пытается подобрать ключ методом перебора. Для взлома сети Ethereum хакеру потребуется проверить 2^256 возможных ключей. Сейчас такая работа может занять тысячи лет даже у самого мощного компьютера в мире.
Сид-фраза — это фраза из 12, 18 или 24 слов. Это лишь интерпретацией приватного ключа.
Давайте посчитаем, сколько приватных ключей необходимо проверить, чтобы наткнуться на один активный (принадлежащий какому-либо человеку). Учитывая, что количество активных кошельков в Ethereum составляет приблизительно 50 млн, найдем степень двойки, наиболее близкую к этому числу:
Тогда получается, что отношение использующихся приватных ключей к пустым составляет (2^26) / (2^256). Делаем вывод — для подбора доступа хотя бы к одному кошельку со средствами необходимо будет осуществить перебор 2^230 приватных ключей. Вот как выглядит это число:
На данный момент нет потребности в переходе на более сложные методы шифрования.
Как приватный ключ и сид-фраза может выглядеть в вашем кошельке
Вот пример того, как может выглядеть приватный ключ:
50645367566B59703373357638792F423F4528482B4D6251655468576D5A7134 (ни в коем случае не используйте этот ключ)
В MetaMask он может выглядеть следующим образом:
Так может выглядеть сид-фраза:
before fog tackle owner allow towards risk farm abandon vast cattle shoulder
Не ваш ключ — не ваша крипта
Когда у вас есть контроль над закрытым ключом, вы обладаете правом совершать транзакции и расходовать средства, привязанные к этому адресу. Закрытый ключ — это то, чем вы никогда не должны делиться.
Как только ваш приватный ключ попадает в открытый доступ — кошелек вместе со средствами на нем никогда не станут вашими. Зачастую бывает так, что со сливом приватного ключа в открытый доступ из кошелька пропадают только ETH, при этом ERC-20 токены и NFT остаются на аккаунте.
Такое может быть в случае, когда аккаунт патрулирует больше одного бота. Как только вы отправляете ETH на скомпрометированный кошелек, боты конкурируют друг с другом чтобы как можно быстрее вывести новопришедшие ETH. Из-за этого никто не может вывести любые другие средства с кошелька. Они могут там застрять на продолжительное время.
Таких ботов называют ETH Sweepers. Для спасения средств необходимо обратиться в специальные службы, приведенные в статье об этих ботах.
Как теряют ключи
Приведу несколько примеров и гипотетических ситуаций, когда третьи лица могут получить доступ к вашему приватному ключу.
Никогда не оставляйте ваш приватный ключ в интернете. Не храните его в переписке сами с собой во Вконтакте или Telegram, в облаке Google и других подобных местах, ибо при взломе вашего аккаунта или сервиса, этот ключ с легкостью окажется на публичном пирсе. На примере разработчика Ethereum, который случайно оставил свой приватный ключ на репозитории Github, мы видим, как легко можно потерять свои средства всего за час.
Заметки на телефоне также не являются достаточно надежным вариантом. Телефон можно потерять, забыв сделать резервную копию. Вместе с вашим телефоном могут исчезнуть и ваши ключи. К тому же, использование облачного хранения также может подвергнуть вас риску кражи данных из заметок.
Не рекомендуется хранить приватные ключи на компьютере, особенно если вы предпочитаете использовать нелицензионное ПО. Хакеры очень довольны распространением вредоносного ПО, такого как "njRat", с пиратским софтом. И если злоумышленник умелый в криптовании вирусов, то и ваш антивирус может оказаться бессилен перед его атаками. Потерю ключей могут вызвать не только хакеры, ваш ноутбук может быть неисправимо форматирован, и ключи пропадут навсегда. Например, Габриэль Эбед, бизнесмен из Барбадоса, потерял около 800 биткоинов, когда в 2011 году его коллега случайно переформатировал ноутбук, на котором хранились секретные ключи от его биткоин-кошелька.
Но даже хранение seed-фразы на бумаге не гарантирует защиту от утечки. В Соединенных Штатах, например, полицейский случайно разголосил ключ восстановления во время обыска подозреваемого. Кроме того, вы можете просто потерять свои записи, как это случилось с программистом из Сан-Франциско, Стефоном Томасом, который в 2011 году потерял листок бумаги с ключом от кошелька, содержащего 7002 BTC.
Как умело хранить ключи
Давайте рассмотрим различные методы хранения приватных ключей, начиная с простых и заканчивая более сложными и безопасными вариантами.
Если вам не нравится идея хранить приватный ключ (или его эквивалент в виде seed-фразы) на бумаге, то можно рассмотреть варианты хранения на вашем компьютере. Одним из рекомендуемых способов является сохранение текстовых файлов с ключами в скрытых местах системы, например, в системных папках или файлах. К примеру, файл C:\Program Files (x86)\Microsoft\binary.txt вряд ли будет обнаружен, даже если злоумышленник получит доступ к вашим файлам.
Также можно записать ключ в файл с кодом и поместить его в папку с программой.
Еще один вариант - хранить текстовые файлы внутри файлов игр или учебных материалов. Особенно важно не давать этим файлам имена, которые часто используются разработчиками (например, bin.txt, temp.txt и т.п.), чтобы они не были случайно перезаписаны. Необходимо также рассмотреть возможность хранения ключей на внешних носителях (флэш-накопителях), чтобы обезопасить данные в случае взлома компьютера. В этом случае важно не потерять носитель.
Дополнительно, можно заархивировать важные файлы в защищенном паролем архиве WinRAR. Особое внимание следует уделить ситуации, когда приватные ключи хранятся на SSD диске, так как такие носители безвозвратно теряют данные при поломке. Информацию с HDD дисков можно извлечь даже при небольшом механическом повреждении, и такие носители обладают защитой от короткого замыкания.
Наилучшим способом хранения приватных ключей (или seed-фраз) является использование бумажных носителей или других физических носителей. Важно помнить, что они могут быть потеряны. Храните носители в банке, вложив их в банковскую ячейку, и живите спокойно. Рекомендуется также создать дубликат данных, необходимых для входа в кошелек, и хранить его дома. Таким образом, вам не придется бежать в банк, и в случае потери домашних носителей, вы сможете все равно восстановить доступ, после того как посетите банк.
Если на ваших кошельках хранятся значительные суммы, не забудьте заботиться о передаче их по наследству.
Будьте бдительны, аккуратно и бережно храните свои ключи. Забота о безопасности не составляет значительного труда, в то время как восстановление потерянных средств практически невозможно.