Как крадут криптовалюты — и как этого избежать

Криптовалюты позволяют людям получить контроль над собственными деньгами, однако с большой силой приходит и большая ответственность. В целом есть немало методов кражи криптовалют, используемых хитрыми мошенниками. Ниже указан их полный перечень, который поможет надёжно защитить свои криптоактивы.

Пользователи криптовалют знают, что безопасность их активов определяется надёжностью используемого кошелька. Однако увы, есть и такие угрозы, от которых не сможет уберечь даже ваш любимый аппаратный кошелёк Ledger.

The only way to really be sure you’ve properly secured your precious crypto is to understand the different types of threats that exist, and what type of defense — your wallet, or your own knowledge — needs to be deployed in order to avoid it.

So here, we’ve broken down different crypto threat vectors into three distinct categories, with an explanation of what’s needed to protect yourself against it. Ready to learn how crypto gets stolen? Let’s dive in!

Киберугрозы в лице взломов и вредоносного ПО: уязвимость интернета

Интернет-подключение — самая большая угроза для ваших приватных ключей. Любое устройство с подключением к интернету, включая криптовалютный кошелёк, является уязвимым перед киберугрозами. Всё действительно так просто.

Подобное может произойти несколькими способами.

• Let’s say you’re using a hot wallet or holding your crypto using an exchange. If the platform is hacked, your keys are at risk of being stolen through the internet. 
• Clicking on a malicious link could provide the hacker with remote access to your device and extract things such as your private key or your seed phrase.

Как защититься от онлайн-угроз

Криптовалютные кошельки могут быть взломаны. Поэтому единственный вариант защитить свои приватные ключи — использовать кошелёк без интернет-подключения.

Суть аппаратных кошельков по типу Ledger Nano как раз заключается в том, чтобы хранить приватные ключи и сид-фразу за пределами интернета, то есть вдали от киберугроз.

Не раскрывайте свои приватные ключи — даже при проведении транзакций

А как же быть при взаимодействии с онлайн-приложениями? Даже в таком случае аппаратные кошельки Ledger Nano выполняют роль офлайн-среды. Соответственно, транзакции подписываются за рамками интернета, а важные комбинации остаются в безопасности, несмотря на передачу данных для проведения переводов через интернет. Вот как это работает.

Генерируйте фразу восстановления в офлайне — и там её и держите

Защита собственной криптовалюты означает не только перемещение существующих приватных ключей за пределы интернета. Здесь также важно убедиться, что они никогда там не были.

Для этого аппаратные кошельки Ledger генерируют фразу восстановления — то есть сокращение для всех приватных ключей в кошельке — непосредственно в офлайне. Одновременно раскрытие сид-фразы пользователю происходит посредством экрана аппаратного кошелька, который также не подключён к интернету. Таким образом владелец устройства получает полный контроль над кошельком и может быть уверенным, что его важные данные не окажутся в сети.

Однако в конечном итоге способ хранения сид-фразы зависит от владельца кошелька. И здесь важно понимать, что её хранение на кошельке с интернет-подключением сводит на нет весь смысл взаимодействия с Ledger.

Protect Yourself From Online Threats With An Offline Wallet

В целом ваши криптоактивы уязвимы перед этой разновидностью угроз в любую секунду нахождения приватных ключей в онлайне. К счастью, проблема решается с помощью устройств Ledger, которые надёжно защищают ваши приватные ключи. И при правильном использовании устройства вместе с надёжным обращением с сид-фразой данная угроза нивелируется. Ну а пользователю остаётся перестать волноваться и заняться изучением экосистемы.

What If Someone Steals Your Hardware Wallet?

Использование аппаратного кошелька для хранения приватных ключей за пределами интернета — хорошая идея. Однако это также означает, что теперь нужно помнить о другой разновидности атак в виде кражи самого устройства.

Представим, что вы лишились аппаратного кошелька. Как тогда быть уверенным, что с драгоценными монетами в чужих руках ничего не случится? Давайте разберём эту тему.

Выбор ПИН-кода — это личное

Надёжность аппаратного кошелька напрямую зависит от его ПИН-кода. Это главный инструмент защиты против злоумышленников и по совместительству единственная составляющая безопасности, которую устанавливает сам пользователь.

Поэтому Ledger позволяет не только самостоятельно выбрать ПИН-код, но также указать его длину вплоть до восьми цифр. А значит в каких бы руках ни находился ваш Ledger Nano, получить доступ к его содержимому сможете только вы. Вдобавок если кто-то трижды введёт неправильный ПИН-код, устройство автоматически сбросится до заводских настроек, что является надёжным аргументом против самых изобретательных мошенников.

Продвинутая парольная фраза

Большинство аппаратных кошельков использует в качестве резервной копии фразу восстановления из 24 слов. Устройства Ledger этим не ограничиваются: они также поддерживают дополнительное 25-е слово в виде парольной фразы поверх основных 24 слов. Это продвинутая функция безопасности, которая сохранит криптоактивы, даже если вас принуждают разблокировать собственный кошелёк. По сути 25-е слово позволяет открыть дополнительный «секретный» кошелёк внутри вашего устройства Ledger. Его можно использовать для хранения основной части собственных криптовалют и защитить их в любых условиях.

How Ledger Devices Protect Your From Physical Hacks

Если ваш кошелёк Ledger Nano каким-то образом оказался у другого человека, он может оказаться под угрозой более изощрённого физического взлома. Например, хакеры используют сложные техники по типу глитчинга питания и атак по сторонним каналам, а также взлом ПО путём атаки на аппаратный модуль безопасности. Если аппаратный кошелёк не защищён от подобного должным образом, это может закончиться кражей криптоактивов.

Аппаратные криптокошельки Ledger предназначены для защиты ваших конфиденциальных данных от онлайн и физических атак, в то время как их функции гарантируют высочайший уровень безопасности. Есть несколько важных составляющих, которые выделяют устройства Ledger по уровням защиты от физических атак:

Непробиваемый чип безопасности Secure Element

Внутри каждого устройства Ledger находится чип безопасности Secure Element, который обеспечивает высочайшую защиту в важных предметах по типу паспортов и банковских карт. Аппаратные криптокошельки Ledger — единственные представители индустрии с поддержкой таких чипов. При этом последние защищают приватные ключи пользователей от различных тактик взлома по типу атак лазером, электромагнитного вмешательства и глитчей питания.

Операционная система BOLOS для изоляции каждого приложения

Проблема некоторых аппаратных кошельков заключается в использовании монолитной системы, которая управляет всеми установленными приложениями как единым целым. Одновременно с этим проприетарная операционная система Ledger под названием BOLOS гарантирует взаимодействие с каждым приложением и счётом криптовалюты отдельно. А значит даже если какое-то приложение когда-то окажется взломанным, ущерб будет ограничен исключительно его рамками. То есть остального содержимого аппаратного кошелька этот инцидент не коснётся.

Ledger Donjon — на стаже вашей безопасности

To make sure your wallets are always safe from hacking, we have a team of internal good-guy hackers to test and find any potential chinks in our armour. The Ledger Donjon is our internal security evaluation team made up of security experts to conduct constant, extensive hacks to the hardware, establishing any possible point of failure that might impact your security. The Donjon works hand-in-hand with Ledger’s Firmware development and hardware team to scrutinize the security of the devices, make sure only state-of-the-art security measures are in place that can withstand any attempts to attack, and constantly upgrade our system accordingly.

Физические угрозы требуют наиболее безопасного аппаратного кошелька

Аппаратные кошельки для хранения приватных ключей защищают их от интернет-угроз, однако пространство для физических атак на устройства всё же остаётся. Вот почему так важно выбрать кошелёк, который не только отличается наиболее безопасными компонентами, но также постоянно улучшает собственную систему, таким образом гарантируя сохранность криптоактивов.

Выбор в пользу Ledger означает возможность обезопасить свои приватные ключи и забыть о них. Всё же в данном случае защитой от физических атак займутся составляющие устройства и его система.

Social Engineering Threats — Don’t Become The Weakest Link

Некоторые хакеры не связываются с интернетом или компьютерным кодом — вместо этого они обманывают людей. Речь идёт о так называемых атаках cоциальной инженерии. В них мошенники пытаются обманом втереться в доверие, заставить жертву приоткрыть дверь доступа, а затем добраться до конфиденциальных данных под ложным предлогом. В частности, такой подход используется в фишинге и так называемом фарминге. Эти разновидности атак предполагают создание поддельных сайтов, похожих на настоящие.

Слепая подпись — рай для мошенника

Смарт-контракты — основа полюбившейся нам экосистемы децентрализованных приложений. Однако и здесь есть свои важные моменты.

Некоторые смарт-контракты не могут быть правильно прочитаны определёнными криптокошельками, а значит пользователи последних по сути не знают, на какие условия они соглашаются при подписи транзакции. Соответственно, образуется своего рода слепое пятно, из-за которого пользователь вынужден довериться разработчику смарт-контракта. Скамеры используют данную особенность в попытках заставить жертву одобрить мошенническую транзакцию. То есть пользователь может думать, что он минтит NFT, однако на самом деле используемый смарт-контракт попросту выводит все NFT с его кошелька.

Прозрачная подпись внутри экосистемы Ledger

Ledger — это больше, чем просто криптовалютный кошелёк, ведь экосистема компании является полноценным безопасным порталом в мир Web3. Ledger Live представляет собой платформу интегрированных приложений от Ledger, при взаимодействии с каждым из которых пользователи смогут использовать аппаратные кошельки Ledger Nano для прозрачной подписи транзакций. Соответственно, они будут точно знать, на какие условия соглашаются. Это обеспечивает большую прозрачность при взаимодействии с криптовалютами через экосистему Ledger и дополнительный уровень защиты от мошенничества с применением социальной инженерии.

Однако каким бы безопасным и прозрачным ни был используемый кошелёк, Ledger не сможет закрыть мошеннику доступ к вашим приватным ключам, если вы сами его предоставите. Именно поэтому важно понимать принципы работы криптовалют и оценки проводимых транзакций. И мы вам с этим поможем.

Единственное, от чего Ledger не способен вас защитить

И хотя Ledger не в состоянии полностью обезопасить вас от социальной инженерии, здесь только вы можете защитить собственные криптоактивы. А значит важность осознания процессов внутри криптовалют просто огромна. В частности, следует научиться читать смарт-контракты, избегать слепой подписи, а также относиться с недоверием к любому подозрительному предложению — всё это поможет обезопасить себя от скама.

С этой целью и существует портал Ledger Academy, на котором собрана масса информации о безопасности криптовалют, тщательно разобрана тема правильного хранения приватных ключей, а также описан подход для знакомства с новыми явлениями в блокчейн-индустрии. Да, Ledger не сможет полностью защитить вас от находчивых мошенников, однако поддержка прозрачной подписи и обилие образовательных материалов позволит превратиться в полноценного хозяина или хозяйку собственных криптоактивов.

За происходящее отвечаете только вы

Наши поздравления, Вы только что закончили разбор темы краж криптовалют, а значит готовы к исследованию мира Web3. К тому же понимание экосистемы криптовалют и вашей роли в безопасности криптоактивов играет огромную роль в сохранности своих монет и токенов.

Аппаратные кошельки Ledger — наиболее безопасный выбор для любого пользователя криптовалют, однако даже они не в состоянии защитить от всех угроз. Вот почему важно чётко понимать принцип защиты своих приватных ключей. Так что направляйтесь к финансовой свободе и продолжайте обучение. В мире криптовалют именно вы определяете своё будущее.

Погнали!

Знания — сила.

Слепая подпись — одна из самых больших опасностей для держателей криптовалют. Рассказываем о теме подробнее, чтобы у вас была возможность защититься. Спасибо School of Block.