Где и как хранить криптовалюту, чтобы ее никто не украл

Как крадут крипту

У биржи

Где и как хранить криптовалюту, чтобы ее никто не украл

2 августа 2016 года курс биткоина упал за несколько часов на 20%. В этот день была совершена одна из крупнейших краж в истории криптовалюты.

С гонгконгской биржи Bitfinex хакеры перевели 119 756 биткоинов, $72 млн по курсу на тот момент или $60 млн после снижения.

Злоумышленники нашли уязвимость в системе безопасности биржи. Bitfinex в качестве попечителя использовала компанию BitGo: копии ключей от кошельков хранились на серверах биржи, в BitGo и в автономном офлайн хранилище.

Хакеры обошли защиту BitGo, сняли ограничение на вывод средств и за короткий период перевели деньги на тысячи кошельков. Bitfinex никак не могла повлиять на ситуацию.

У простого человека

С кражей криптовалюты сталкиваются не только крупные биржи, но и простые пользователи. Этим летом стартап CoinDash стал жертвой хакеров и потерял более $7,4 млн.

Во время ICO стартап разместил свои токены, но злоумышленники подменили адрес кошелька, на который перечислялись эфиры () инвесторов. Махинацию быстро раскрыли, но за три минуты хакеры сумели вывести почти 43 500 эфира.

А сколько уже украли?

По нашим подсчетам, начиная с 2014 года киберпреступниками похищено биткоинов на сумму более $1,8 млрд (по курсу $5 000 за 1 биткоин).

Аналитики Group IB сталкивались примерно с 80 случаями крупных взломов крупных проектов в последние годы, без учета фишинга при ICO и краж криптовалюты из кошельков обычных пользователей.

По данным американской компании Chainalysis, в этом году более 30 тысяч человек, пользующихся Ethereum, пострадали от действий мошенников. Средний размер потери составляет около $7,5 тысячи на человека.

Кроме уязвимостей в сторонних системах, эксперты связывают высокое количество краж с недостаточной безопасностью кошельков, на которых хранится криптовалюта.

Криптовалютный кошелёк представляет собой программу, которая владеет набором ключей (паролей для доступа), управляет этими ключами и даёт пользователю доступ к транзакциям его средств.

Что делать, когда забыл пин-код?

Чтобы провести операцию с криптовалютой, необходимо ввести private key — многозначную цифро-буквенную комбинацию (по факту — пароль). Защита криптосчета строится на защите этих самых ключей.

Этой осенью стала известна история американского журналиста Марка Фрауэнфельдера, который потерял пин-код от своего устройства по хранению private key и чуть не потерял $30 тысяч.

Марк почти полгода пытался вспомнить пароль, прибегнув даже к сеансам гипноза. Но спасла его уязвимость кошелька, о которой сообщил сам производитель. Воспользовавшись услугами хакера и уязвимостью, журналист узнал и свой ключ, и комбинацию проверочных слов.

Проблема private key, как и любого другого пароля, в том, что его можно забыть или потерять, как в случае Марка. Согласно аналитике Forbes, общая сумма средств, хранящаяся в кошельках, к которым утерян доступ, около $21 млрд.

Private key также является объектом повышенного внимания со стороны злоумышленников. В отличие от традиционных банковских счетов криптовалютные счета отличаются открытостью.

У любого владельца крипты есть public key — подобие номера счёта в обычном банке. Зная его, можно легко выяснить сколько средств хранится у человека. Дальше сохранность этих средств зависит от ответственности владельца и системы хранения, которой он пользуется.

Основные виды кошельков: плюсы и минусы

В 2014 году количество криптокошельков равнялось примерно 2 млн, сейчас эта цифра стремится к 23 млн, то есть средний рост примерно в 2,5 раза в год.

На сегодняшний день только в MyEtherWallet (один из популярных продуктов по хранению криптовалюты) уже зарегистрировано более 15 млн аккаунтов, на которых хранится примерно 62 млрд долларов. Эти цифры говорят о том, что активный рост числа пользователей будет продолжаться.

Кошельки делятся по уровню защиты: средний уровень безопасности или так называемые горячие кошельки.

1. Кошельки для ПК

По факту, это приложение, которое устанавливается на компьютер или в качестве расширения в браузер, в случае MyEtherWallet. Доступ к таким кошелькам возможен только через устройство, на котором они установлены. Каждый из кошельков имеет дополнительные уникальные функции.

Например, DarkWallet ориентирован на анонимность. Приложение использует различные методы защиты идентификаторов пользовательских счетов. При совершении платежа программа комбинирует данные нескольких синхронных транзакций, что не позволяет отследить действия со счётом.

Вывод: кошельки для компьютера обладают неплохой степенью защиты, но сохраняется опасность взлома или заражения ПК вирусом. Из-за чего можно потерять все деньги.

2. Мобильные кошельки

Удобны, потому что пользователь не зависит от компьютера и в некоторых случаях получает возможность оплачивать криптовалютой покупки в реальных магазинах. Примеров таких кошельков достаточно: Mycelium, Xapo и Blockchain.

Все они хранят ключи в зашифрованном виде прямо в телефоне. Некоторые кошельки позволяют использовать протокол NFC. В таком случае для оплаты вы не вводите никакой информации, просто прикладываете телефон к считывателю.

Особенность всех мобильных кошельков в том, что они являются неполноценными криптоклиентами:

  • Клиент для ПК загружает и хранит весь объём блокчейна.
  • Мобильные приложения скачивают лишь небольшой набор информации из блокчейна и полагаются на другие доверенные узлы (ноды) в сети .

Вывод: минус мобильного кошелька в том, что он, как и ПК, может быть взломан, украден или заражён.

3. Онлайн-кошельки

Подобных сервисов много, некоторые из них можно привязать к настольным или мобильным кошелькам. Безусловно, они удобны в использовании, поскольку доступ к счёту можно получить из любой точки, где есть интернет. Один из при­ме­ров та­ко­го рода ко­шель­ка — ре­ше­ние Strongcoin.

В этом случае данные хранятся в облаке, на стороннем сервере. То есть, в процесс включается третья сторона, которая может оказаться не очень честной.

Также есть риск взлома этой третьей стороны — сайта или биржи, где хранятся данные. И от этого уже никак не защититься, как в случае с биржей Bitfinex.

Горячие хранилища достаточно удобны в использовании и пользуются спросом:

Например, те, кто торгует на бирже, вынуждены пользоваться горячими кошельками, поскольку им нужен быстрый доступ на рынок через смартфон. Именно возможность быстрого доступа и является общим большим минусом горячих кошельков: все данные передаются по сети, что уже не может быть полностью безопасным.

Высокий уровень безопасности или так называемые холодные кошельки:

Холодные хранилища названы так, потому что не имеют доступа к сети, что позволяет практически полностью исключить вмешательство сторонних лиц.

4. Бумажный кошелёк

Один из самый надёжных способов хранения ключей. Конечно, можно записать пароль на блокнотном листе и хранить в сейфе. Но существуют сайты, которые предлагают различные способы многоступенчатого шифрования данных.

Например, Paper Wallet. На выходе получаются два QR-кода: один содержит зашифрованный public key, другой — private key.

Cоздание уникального QR-кода через Paper Wallet

Создать бумажный кошелёк достаточно легко. Но он требует ответственного хранения: необходимо создавать надёжные резервные копии, на случай утери или порчи кошелька.

Вывод: ни в коем случае нельзя фотографировать, пересылать или оставлять QR-код в открытом доступе.

5. Аппаратные кошельки

Небольшие электронные устройства вроде флешки, на которых хранятся секретные ключи так, что их практически невозможно извлечь. Они не имеют доступа к интернету, но их можно использовать в устройствах, подключённых в сети без риска заражения или потери данных.

Такой кошелёк не «отдаёт» private key компьютеру, а использует его для подписи транзакции, которая после передаётся в приложение на компьютере и дальше в интернет.

Рынок подобных устройств представлен несколькими марками. Например, аппаратный кошелёк Trezor стоит €89, поддерживает разную валюту: биткоин, Ethereum, ZCash и другие. Сам аппарат защищён пин-кодом и секретной фразой.

Для проведения транзакции нужно подтвердить её нажатием кнопки на корпусе кошелька. Другие марки – Keepkey ценой в $129, Ledger за €58 – по своей сути похожи на .

Уязвимость этих аппаратов в том, что пин-код может быть скомпрометирован, его можно забыть или потерять как Марк Фрауэнфельдер. Сам кошелёк также могут украсть и взломать.

Такие аппараты не поддерживают протокол NFC, ими нельзя расплатиться без подключения ПК- или смартфон-клиента.

Вывод: это не совсем кошельки, а просто хранилища с возможностью подписи транзакции. Но надёжность их достаточно высока.

6. Аппаратный кошелёк нового поколения

XZEN WALLET поддерживает хранение не только криптовалюты, но и фиатных денег. Представляет собой приложение для работы на компьютере или смартфоне и защищённое аппаратное устройство в виде брелока или браслета. Они обеспечивают холодное хранение private key.

Особенность в том, что брелок или браслет поддерживают NFC и имеют сканер отпечатков пальцев.

Пользователи могут не только безопасно хранить денежные средства, но и бесконтактно оплачивать товары и услуги во многих странах с помощью одного устройства.

Помимо защищенного хранения и использования денежных средств, кошелек имеет широкий набор функций. Например, механизм, снижающий риски хищения при инвестициях при проведении ICO.

У нас существует возможность покупки токенов ICO из мобильного приложения и внедрена собственная система «нейминга». Она позволяет удостовериться в правильности введенного адреса смарт-контракта, на который перечисляются деньги.

Вывод

Стоимость биткоина превысила $8 000, то есть даже небольшое количество криптовалюты представляет интерес для киберпреступников. Хранилища, существующие на данный момент и обеспечивающие безопасность криптокошельков, далеки от идеала.

Люди вынуждены использовать не самые удобные решения (у которых даже нет мобильной версии), лишь бы обезопасить собственные средства.

Рынок требует универсального решения: умного кошелька, простого в использовании, с высокой степенью защищенности.