March 7, 2021

Гайд по криптобезопасности: как не потерять свои средства, когда пользуешься криптовалютой

По мере роста популярности криптовалют растет и активность злоумышленников, которые любыми возможными способами стремятся умыкнуть криптовалюту у холдеров: делая фишинговые атаки, находя уязвимости в исходном коде или представляясь сотрудниками компаний, чтобы получить приватную информацию пользователей, такие как закрытые ключи, пароли, seed-фразы и прочее. Поэтому проблема безопасности при использовании криптокошельков стоит особенно остро.

Взломы случаются нечасто, а самые распространенные способы хищения криптовалют – фишинг и мошенничество. Зачастую пользователи сами сообщают приватную информацию, не подозревая, что перед ними – злоумышленник. Разбираемся, как защитить свой кошелек и не стать жертвой криптомошенников.

Часть 1. Создаем и защищаем криптокошелек

Сначала нужно создать криптовалютный кошелек – это будет вашим личным сейфом, к которому доступ сможете получить только вы. Поэтому ответственность за сохранность средств лежит полностью на его владельце: некастодиальные кошельки хранят приватные ключи только на устройстве пользователя, и ни разработчики, ни компания не поможет восстановить доступ, если вы потеряете приватные ключи и seed-фразу.

Примечание: процесс создания может отличаться в зависимости от используемого клиента. Некоторые кошельки требуют сразу сохранить seed-фразу и установить дополнительные меры защиты: 2FA, PIN-кодили пароль. Другие же клиенты позволяют это сделать позже, чтобы упростить и ускорить процесс создания кошелька.

Часто процесс создания кошелька проходит в несколько этапов:

  • Генерация нового кошелька;
  • Сохранение и подтверждение seed-фразы (опционально);
  • Создание пароля или PIN-кода для входа кошелек. Файл кошелька при этом остается в зашифрованном виде, и декодировать их можно только после ввода пароля/PIN-кода. В противном случае придется восстанавливать кошелек при помощи фразы восстановления.

После этого криптокошелек создан и готов к работе, но это только первый шаг. Теперь нужно его защитить любыми доступными способами. В первую очередь, нужно создать резервную копию кошелька – seed, если на этапе создание кошелька этого не делали.

Что такое seed-фраза

Seed-фраза – это последовательность из 12 или 24 псевдослучайных слов, которая генерируется кошельком. Ее еще называют фразой восстановления, секретной фразой, мнемоническим паролем или просто сидом. Встречаются и другие последовательности, а некоторые кошельки позволяют настраивать последовательность самостоятельно. Seed-фраза хранит в себе информацию, необходимую для восстановления кошелька в случае, если вы забыли пароль или утратили доступ к своему устройству, на котором установлен кошелек.

Более современные клиенты и устройства, такие как аппаратный кошелек Trezor T, позволяет расширить мнемонический пароль при помощи кодовой фразы(passphrase) – это дополнительное кастомизированное слово, то есть которое задает сам пользователь. Это позволяет создавать неограниченное количество скрытых адресов для более безопасного хранения криптовалют. Такой способ подходит тем, кто планирует хранить криптовалюту в течение одного или нескольких лет.

Главное, что нужно помнить каждому криптохолдеру: если вашу seed-фразу скомпрометировали, то средства, вероятнее всего, будут в скором времени похищены. Мнемонический пароль позволяет получить доступ к вашим средствам в любом кошельке и на любом устройстве. Вот почему не меньшую роль играет то, как вы храните фразу восстановления.

Часть 2. Как хранить seed-фразу и другую конфиденциальную информацию

Первое правило – не храните мнемонический пароль в цифровом виде, например, как скриншот или текст на устройстве или в облаке. То же касается и флеш-накопителей. Хакеры могут перехватить трафик, получить доступ к вашему устройству или аккаунту. Самый безопасный способ хранения – на оффлайн-носителе. Подойдет что угодно, на чем можно написать или напечатать слова:

  • Бумага;
  • Заламинированная карточка;
  • Специальное устройство для хранения сида.

И еще одно ключевое правило, которое каждый криптохолдер обязан заучить как мантру: никому и никогда не передавайте seed-фразу! Как бы вас ни просили. Мошенники представляются сотрудниками техподдержки или используют другие методы манипуляций. Например, они могут давить на страх, сказав, что ваш клиент взломали, и вам срочно нужно восстановить кошелек, введя секретную фразу на сайте по подкинутой ими ссылке. Разумеется, это будет обман, а ваши средства безвозвратно пропадут. Это же касается любой другой личной информации: секретных ключей, PIN-кодов, логинов и паролей и так далее.

Подобная ситуация случилась с владельцами Trezor и Ledger, которые по невнимательности ввели seed-фразу на поддельном сайте, не заметив, что домен отличается от оригинального домена производителей.

Обратите внимание, что домен отличается от Trezor.io. А домен нижнего уровня, на самом деле, io-restoretrezor.com. Это значит, перед вами – фишинговый сайт. Если вы подключите к нему кошелек и введете приватную информацию, ваши средства будут немедленно похищены. Из этого следует еще одно важное правило:

Всегда проверяйте домен сайта, на котором используете или скачиваете кошелек.

Лучше всего сохранить адрес кошелька в закладках и переходить только по этой ссылке. И еще: опасайтесь рекламных ссылок в Google Ads и Яндекс.Директе. Чаще всего поддельные сайты встречаются там, так как злоумышленникам затруднительно будет обойти оригинальный сайт в списке выдачи SERP.

Это касается и приложений на Android. Google Play модерируется намного хуже, чем App Store у iPhone, поэтому мошенники могут опубликовать фейковое приложение. Подобная ситуация снова произошла с Trezor. Причем злоумышленникам удалось опубликовать приложение от имени производителя Satoshi Labs. Скачивайте приложения только по ссылкам на официальных сайтах.

Совет: вы можете избежать потери средств, используя подставной кошелек с небольшой суммой, при помощи которого вы можете проверить, настоящий сайт перед вами или нет. Он будет выступать в роли сапера. Так вы сохраните свою основную часть средств. Но лучше всего быть просто внимательным и не вводить личные данные ни на каких сайтах.

Вот еще несколько полезных советов по хранению seed-фразы:

  • Уберите секретную фразу в надежное место, о котором известно только вам: сейф или банковскую ячейку. Так надежнее всего;
  • Сделайте несколько копий на случай, если одна из них повредится или потеряется;
  • Не используйте seed-фразу в общественных местах: в офисе, зале ожидания или кафе;
  • Не делайте скриншоты во время записи мнемонического пароля и не копируйте его в буфер обмена;
  • При записи сида рядом не должно быть посторонних лиц;

Если вы подозреваете, что ваш кошелек могут взломать или он был каким-то образом скомпрометирован, немедленно переведите деньги на резервный кошелек. Если у вас его нет, то не лишним будет его создать.

Никто не должен знать мнемонический пароль, кроме вас! В крайнем случае, вы его можете передать только близким людям, которым доверяете.

Защитите кошелек всеми доступными способами: установите PIN-код, пароль, Touch ID или Face ID, а также настройте двухфакторную аутентификацию. Предпочтительно использовать приложение наподобие Google Authenticator вместо номера телефона или электронной почты. Это затруднит получение доступа злоумышленникам, даже если им удастся завладеть вашим электронным устройством. Некоторые кошельки предоставляют даже биометрическую защиту.

Публичные и приватные ключи

Когда вы заходите в криптокошелек, в нем отображается длинная последовательность цифр и букв. Это открытый или публичный ключ. В нем зашифрован только адрес вашего кошелька, на который другие пользователи или вы сами будете отправлять монеты. Его можно сообщать и передавать посторонним людям, поскольку он не содержит никакой конфиденциальной информации, предоставляющей доступ к вашим средствам. При помощи открытого ключа другие пользователи могут проверить вашу подпись, чтобы убедиться, что адрес принадлежит именно вам. Вот пример открытого ключа для биткоина:

17RXw2h4LuhqbTKM93GVsv3DkzUTVH2Ag9

Примечание: продвинутые кошельки позволяют создавать и использовать множество адресов. Если вас беспокоит конфиденциальность, то лучше всего для каждой транзакции генерировать новый адрес. Это поможет запутать след и затруднит отслеживание транзакций.

Приватный или закрытый ключ скрыт, поэтому получить его может только владелец кошелька. Закрытые ключи позволяют тратить криптовалюту, поэтому ни в коем случае их нельзя передавать кому-либо.

Не путайте закрытый ключ с мнемоническим паролем. Закрытый ключ внешне напоминает публичный ключ, но чаще всего холдеры используют seed-фразу и открывают кошельки при помощи PIN-кода, пароля, Touch ID или Face ID (при использовании мобильных кошельков). По сути, публичные и приватные ключи отличаются только длиной и лишь незначительно – форматом. Legacy-адреса биткоина начинаются с цифры «1», а закрытые ключи – с буквы «L». Пример закрытого ключа для биткоина:

L4FyYRU6pRj4xoFw6pJhRAcDxdrdvoZzhB7ftFaLypnUBpa3Ko2U

Заключение

Будьте осторожны и никому не доверяйте в криптосреде, если кто-то вам пишет в личные сообщения с просьбой сообщить ему seed-фразу или любую другую приватную информацию, предоставляющую доступ к вашему кошельку. Так делают только мошенники. Техподдержка никогда не будет писать вам напрямую. Если вам требуется какая-либо помощь – пишите только в общий чат. Админы и модераторы придут вам на помощь.

Повторим: никогда не сообщайте seed-фразу, приватный ключ и пароли от своего кошелька посторонним лицам!