Как не стать жертвой злоумышленников: чек-лист по кибербезопасности и анонимности от Mixer.money

В 2022 году хакеры взломали несколько популярных криптовалютных сервисов. Так, пользователи генератора Ethereum-адресов Profanity потеряли $3,3 млн, а владельцы кошельков на базе Solana — около $8 млн. Команда биткоин-миксера Mixer.money рассказывает, как избежать кражи цифровых активов. Бонус — памятка по сохранению анонимности ваших биткоин-транзакций. Разные кошельки — разные риски Криптовалютные кошельки — приложения или устройства для хранения, отправки и получения цифровых активов. Они хранят приватные ключи пользователей и предоставляют интерфейс для взаимодействия с одним или несколькими блокчейнами. Криптокошельки можно разделить на виды: в зависимости от вовлеченности третьей стороны — на кастодиальные и некастодиальные; в зависимости от подключения к интернету — на холодные и горячие.  Кастодиальные кошельки — сервисы, владельцы которых имеют доступ к средствам и приватным ключам пользователей. Почти все криптобиржи предоставляют клиентам именно такие кошельки. Передача средств третьей стороне — всегда риск, поэтому стоит внимательно выбирать поставщиков и не хранить все средства на кастодиальных кошельках. Если клиент забудет пароль к кастодиальному кошельку, то сможет восстановить доступ с помощью личных данных или seed-фразы — последовательности из случайных слов, в которой зашифрован приватный ключ. Владельцы некастодиальных кошельков самостоятельно управляют средствами и приватными ключами. Однако они также несут полную ответственность за сохранность средств. При потере приватного ключа получить доступ к активам невозможно. Горячие кошельки — приложения и расширения для браузеров, которые постоянно подключены к интернету. Пользователи могут проверить баланс или отправить токены в любой момент. Холодные кошельки — различные варианты хранения приватного ключа без доступа к интернету: brainwallet — держать seed-фразу в голове;бумажные кошельки — записать последовательность на бумаге;аппаратные кошельки — использовать специальные аппаратные устройства. Потенциальные уязвимости аппаратных кошельков Аппаратный кошелек — физическое устройство с одним или нескольким микроконтроллерами, которое подключается к компьютеру или телефону через  USB-разъем. Некоторые модели также поддерживают соединение через Bluetooth.  Аппаратные кошельки считаются самым надежным инструментом для работы с криптовалютами. Однако их тоже могут взломать злоумышленники. Владельцы таких устройств сталкиваются с рисками в различных ситуациях: покупка устройства. Приобретайте кошельки только у официальных поставщиков, например Ledger и Trezor. Внимательно проверяйте целостность и оригинальность упаковки. В случае даже незначительных повреждений требуйте замены товара — злоумышленники могли взломать кошелек во время доставки;активация кошелька. Убедитесь, что устройством не пользовались. Владелец генерирует seed-фразу и устанавливает ПИН-код при первоначальной настройке. Если seed-фраза идет в пакете с кошельком, мошенники уже активировали устройство. Сообщите о проблеме поставщику;обновление прошивки. Обновления загружаются при подключении устройства к компьютеру или телефону через USB. В этот момент злоумышленники могут удаленно выгрузить память микроконтроллера с приватными ключами. Чтобы избежать угрозы, перед каждым обновлением проверяйте, что компьютер или телефон не взломаны. Для Ledger риск атаки ниже: у таких устройств два микроконтроллера — для подписи и приватных ключей;потеря или кража устройства. Злоумышленники могут взломать кошелек, получив к нему физический доступ. При потере или краже устройства как можно скорее выведите средства. Для этого понадобится новый девайс и исходная seed-фраза. Во время активации вспомогательного кошелька выберите опцию «У меня уже есть seed-фраза» и введите 12-24 исходных слова. Если мошенники не смогли перехватить приватные ключи, вы увидите баланс в прежнем состоянии. Переведите деньги на другой кошелек и не используйте активированное устройство: угроза хищения приватных ключей остается. Горячие кошельки — холодный ум Программные кошельки удобнее для повседневной работы, но подвержены большему риску удаленного взлома из-за постоянного подключения к интернету. Владельцам горячих кошельков нужно знать о возможных уязвимостях: от утечки личных данных и до взлома сторонних приложений. Например, мошенники смогли атаковать кошельки на базе Solana тех пользователей, которые были созданы, импортированы или использовались в мобильных приложениях Slope. Как устранить эти риски? Для начала — следуйте базовым правилам работы в сети: генерируйте сложные пароли;не используйте один пароль для разных учетных записей;не переходите по подозрительным ссылкам;не открывайте сомнительные письма;проверяйте безопасность соединений;не используйте общедоступный Wi-Fi и публичные сети; не храните пароли и seed-фразы на цифровых носителях;используйте двухфакторную аутентификацию. Кроме того, команда Mixer.money рекомендует принимать дополнительные меры безопасности при работе с криптовалютами: выделите отдельный браузер и аккаунты только для кошельков и транзакций;не устанавливайте неизвестные расширения — через них можно взломать ваше устройство и подменить кошелек на мошеннический;не храните приватный ключ в одном месте, а разбейте его по схеме секрета Шамира и сделайте бумажный бэкап; Seed-фразу нужно разделить на n частей так, чтобы из любых m-из-n частей можно было ее восстановить. Например, для восстановления фразы из девяти частей хватит семь из них. используйте мультиподписи, которые требуют два или три приватных ключа для подтверждения транзакции. Генерируйте эти ключи на разных устройствах. Как безопасно торговать и инвестировать Некастодиальные кошельки — не единственное место сосредоточения криптовалют. Владельцы также держат средства в пулах и на торговых площадках. В этом случае появляются новые риски — взлом платформ и экзит-скам их создателей. Специалисты Mixer.money предлагают несколько принципов, следуя которым можно избежать потери средств: торгуйте на децентрализованных биржах. Они не хранят средства и личные данные своих пользователей, придерживаются принципов анонимности и не требуют KYC;проверяйте информацию о площадке перед началом работы. Выбирайте сервисы, которые зарекомендовали себя на рынке. Не ориентируйтесь только на высокие показатели доходности;не держите на бирже средства, если они не находятся в работе. Торговые и инвестиционные площадки подвергаются атакам хакеров, сталкиваются с техническими неполадками и блокируют средства под давлением регуляторов. Чек-лист по анонимности биткоин-переводов Регуляторы обязывают централизованные торговые площадки собирать данные о пользователях и деанонимизировать сомнительные адреса с помощью блокчейн-аналитики. При этом под угрозой блокировки оказываются не только преступники, но и обычные держатели монет. Например, в августе FTX заморозила аккаунт после перевода на платформу для повышения приватности Aztec Network. Сохранить анонимность при отправке биткоинов и не столкнуться с блокировками можно, приняв дополнительные меры: проводите каждую транзакцию через новый адрес. Это усложняет нахождение связей между переводами;используйте VPN и браузер TOR для скрытия IP. Учтите, что биржи могут заблокировать аккаунт при обнаружении луковой маршрутизации;проводите средства через миксеры. Выбирайте сервисы, которые обеспечивают чистоту монет после микширования, такие как Mixer.money. Выводы Кибербезопасность и анонимность — неотъемлемые части работы с цифровыми активами в условиях систематических хакерских атак и усиления давления регуляторов.  Учет рисков и соблюдение правил безопасности помогает избегать многих видов атак, а микширование криптовалют — сохранять анонимность транзакций. Читайте биткоин-новости ForkLog в нашем Telegram — новости криптовалют, курсы и аналитика.