Мошенничество в крипто-индустрии развивается с каждым днём и пользователям становится всё сложнее защитить свои активы. Рассказываем про самые очевидные уязвимости криптокошельков и как от них защититься.
Уязвимы ключи
Уязвимые ключи могут привести к несанкционированному доступу к кошельку и, соответственно, к потере криптовалютных средств.
Чтобы лучше понять, как это работает, давайте взглянем на пример. Представьте, что у вас есть криптокошелек, и для его безопасности вы используете приватный ключ. Приватный ключ — это длинная цепочка символов, которая используется для подтверждения вашего владения криптовалюты. Однако, если ваш приватный ключ слишком слабый, злоумышленники могут использовать специальные программы или методы, чтобы его подобрать и получить доступ к вашему кошельку.
Злоумышленники активно используют автоматизированные программы, известные как боты, чтобы мониторить балансы уязвимых адресов в сетях биткоина и Ethereum. Как только пользователь генерирует такой адрес и отправляет на него криптовалюту, бот мгновенно крадет эти средства.
Однако, существуют способы защиты от таких атак. После создания кошелька рекомендуется проверить случайность символов в нем. Некоторые инструменты с открытым исходным кодом, такие как Swippcore, могут быть использованы для конвертации короткого формата ключа в более длинный на вашей собственной локальной машине.
Помните, что максимальная безопасность достигается путем применения нескольких мер предосторожности. Кроме проверки случайности символов и использования инструментов с открытым исходным кодом, вы также можете регулярно обновлять свои кошельки и использовать двухфакторную аутентификацию для дополнительной защиты. Такие меры помогут минимизировать риск уязвимости и обеспечить безопасность ваших криптовалютных активов.
Помимо этого, следует быть осторожными при вводе приватных ключей на компьютерах или мобильных устройствах. Вредоносное программное обеспечение может перехватить вводимые символы и получить доступ к вашему приватному ключу. Рекомендуется использовать только доверенные и обновленные программы, а также установить антивирусное программное обеспечение для обнаружения и предотвращения таких угроз.
Извлечение ключей при транзакциях
Биткоины существуют в виде неиспользованных выходов (UTXO). При отправке средств, кошелек собирает необходимые выходы и подписывает транзакцию с помощью комбинации приватного ключа и случайного числа — nonce.
Из-за ошибки в генераторе случайных чисел приложения могут создавать разные операции с одинаковыми nonce. Если злоумышленники сопоставят и дешифруют подписи таких транзакций, они смогут извлечь приватные ключи.
Эта уязвимость называется случайная уязвимость. С ее помощью хакеры взломали более двух тысяч кошельков на сумму 484 BTC. Согласно исследованию компании Kudelski Security, эта уязвимость также обнаружена в кошельках Ethereum и EVM-совместимых сетях.
Меры защиты: регулярно обновляйте приложения кошельков, включая Bitcoin Core и его аналоги для других блокчейнов.
Небезопасная генерация ключей
Мозговой кошелек или Brainwallet — это метод создания приватного ключа, в котором пользователь использует фразу вместо случайного числа. Эта фраза легко запоминается и может буквально «храниться в голове«.
В большинстве случаев пользователи создают ключи из одиночных слов, очевидных комбинаций:
- 12341234;
- телефонных номеров;
- цитат из фильмов.
Хакеры используют предсказуемость человека: они создают ключи на основе популярных или утекших паролей, а затем выводят криптовалюты с соответствующих кошельков. Как результат, с 2009 года злоумышленники взломали более 19 000 биткоин-кошельков и украли не менее 4000 BTC.
Меры защиты: не использовать мозговой кошелек, или в крайнем случае, придумайте действительно сложный пароль, состоящий из строчных и прописных букв, цифр и специальных символов.
Фишинг
Из технической точки зрения, одним из самых простых способов получить доступ к кошельку является убеждение владельца в отправке ключа. Чтобы осуществить это, злоумышленники могут выдавать себя за сотрудников службы поддержки бирж и кошельков, известных личностей или специалистов по безопасности.
К примеру, в феврале 2023 года хакеры отправляли пользователям Trezor фальшивые письма от имени компании, в которых сообщалось о взломе программного обеспечения кошельков и просилось предоставить сид-фразу для «проверки«.
Кроме того, злоумышленники применяют инструменты ончейн-аналитики для атак на кошельки владельцев биткоин-китов (известные личности, менеджеры блокчейн-проектов и криптоинфлюэнсеры). Они отправляют персонализированные письма и устанавливают контакт с жертвами через личные каналы коммуникации.
Меры защиты: важно никогда не передавать приватные ключи или сид-фразы никому. Внимательно проверяйте подлинность полученных писем и сообщений, особенно если в них просят предоставить конфиденциальную информацию. Используйте официальные и проверенные каналы связи с биржами, кошельками и другими сервисами. Если у вас возникли подозрения, обязательно свяжитесь с официальной службой поддержки для подтверждения полученной информации и принятия соответствующих мер по защите вашего кошелька и аккаунта.
Случайная публикация ключей
Блокчейн-разработчики и создатели смарт-контрактов порой используют собственный кошельки для тестирования кода и его функциональности. Однако, при публикации своих проектов на хостинговых сервисах, они могут случайно оставить ключи в файлах, что становится уязвимостью для хакеров.
Основные платформы: GitHub, Pastebin и другие, являются целью для отслеживания хакерами обновлений и загрузок репозиториев. Они ищут уязвимые ключи, начинающиеся с символа «5» (биткоин-ключи в формате WIF), содержащие слова из словаря сид-фразы или соответствующие длине закрытого ключа.
Меры защиты: не хранить пароли на компьютере в незашифрованных файлах и не использовать личные кошельки в рабочих целях. Это поможет минимизировать риск попадания в руки злоумышленников и сохранить свои средства и данные в безопасности.
Заключение
криптокошельки становятся все более популярными, но их использование не лишено рисков. Чтобы уменьшить вероятность взлома и потери средств, владельцам криптокошельков рекомендуется соблюдать вышеописанные меры безопасности, причём все вместе, а не по отдельности.