Как сберечь ключ от криптокошелька. Страхуемся от хакеров, государства и собственной рассеянности

Популярные способы потери приватного ключа и сид-фразы, а также варианты хранения и защиты криптографического ключа

Краткое содержание:

Покупая криптовалюту нужно думать не только о потере части активов на падении курсов, но и том, как ее правильно хранить. Если вы держите средства на кастодиальном кошельке централизованной биржи, то рискуете лишиться крипты из-за взлома, банкротства или решения биржи. CEX — это настоящий хозяин ваших активов, так как имея там аккаунт вы не обладаете доступом к приватному ключу.

Несмотря на риски при хранении крипты на централизованной бирж, есть и плюсы — вы можете восстановить доступ к активам при потере пароля. Поэтому волноваться нужно только о честности и надежности биржи.

Когда вы используете некастодиальные кошельки, то вся власть в ваших руках, но и ответственность тоже ложится на ваши плечи. Если вы потеряете или передадите кому-то пароль, сид-фразу или приватный ключ, то помочь вам уже никто не сможет.

В этом материале мы рассмотрим, как можно лишиться ключа и средств на кошельке, а также способы защиты от этого.

Приватный ключ — это шестнадцатиричное число весом 256 бит, которое используется для восстановления доступа к кошельку.

На данный момент 256-битного шифра достаточно для обеспечения защиты от брутфорс-атак (атака методом подбора). Для взлома сети Ethereum хакеру необходимо проверить 2^256 ключей. Сейчас такая работа может занять тысячи лет даже у самого мощного компьютера в мире.

Сид-фраза — это фраза из 12, 18 или 24 слов. Это лишь интерпретацией приватного ключа.

Давайте посчитаем, сколько приватных ключей необходимо проверить, чтобы наткнуться на один активный (принадлежащий какому-либо человеку). Учитывая, что количество активных кошельков в Ethereum составляет приблизительно 50 млн, найдем степень двойки, наиболее близкую к этому числу:

Тогда получается, что отношение использующихся приватных ключей к пустым составляет (2^26) / (2^256). Делаем вывод — для подбора доступа хотя бы к одному кошельку со средствами необходимо будет осуществить перебор 2^230 приватных ключей. Вот как выглядит это число:

На данный момент нет потребности в переходе на более сложные методы шифрования.

Вот пример того, как может выглядеть приватный ключ:

50645367566B59703373357638792F423F4528482B4D6251655468576D5A7134 (ни в коем случае не используйте этот ключ)

В MetaMask он может выглядеть следующим образом:

Так может выглядеть сид-фраза:

before fog tackle owner allow towards risk farm abandon vast cattle shoulder

Когда у вас есть контроль над закрытым ключом, вы обладаете правом совершать транзакции и расходовать средства, привязанные к этому адресу. Закрытый ключ — это то, чем вы никогда не должны делиться.

Как только ваш приватный ключ попадает в открытый доступ — кошелек вместе со средствами на нем никогда не станут вашими. Зачастую бывает так, что со сливом приватного ключа в открытый доступ из кошелька пропадают только ETH, при этом ERC-20 токены и NFT остаются на аккаунте.

Такое может быть в случае, когда аккаунт патрулирует больше одного бота. Как только вы отправляете ETH на скомпрометированный кошелек, боты конкурируют друг с другом чтобы как можно быстрее вывести новопришедшие ETH. Из-за этого никто не может вывести любые другие средства с кошелька. Они могут там застрять на продолжительное время.

Таких ботов называют ETH Sweepers. Для спасения средств необходимо обратиться в специальные службы, приведенные в статье об этих ботах.

Приведем несколько примеров и гипотетических ситуаций, когда третьи лица могут получить доступ к вашему приватному ключу.

Пользователи антидетект браузера Dolphin Anty потеряли средства со своих криптокошельков.

Хакеры могли извлечь Vault Data каждого из кошельков MetaMask и затем подобрать пароль (который устанавливает пользователь для защиты приватного ключа) при помощи вычислительных мощностей в виде ферм с видеокартами. Способ такого взлома разбирался в одной из наших статей. Особенность браузера Dolphin Anty в том, что вся информация хранится на облачном хранилище компании. Не стоит путать антидетект-браузеры с обычными (Chrome, Firefox, Opera и т.д.), где вся информация хранится только на вашем ПК.

Приватный ключ нельзя оставлять нигде в интернете. Не сохраняйте ключ в переписке с самим с собой во Вконтакте или Telegram, в Google Cloud и так далее, ведь в случае взлома вашего аккаунта или сервиса ваш приватный ключ также попадет в публичный доступ. Как пример, один из разработчиков на Ethereum случайно оставил свой приватный ключ в репозитории Github. Через час он потерял свои средства.

Заметки на телефоне тоже не самый надежный вариант. Телефон можно потерять, забыв вовремя сделать резервную копию. Ключи канут в лету, как и ваш телефон. Используя облачное хранение вы также можете столкнуться с кражей данных из заметок.

Приватные ключи нежелательно хранить на компьютере, если вы любите пользоваться неофициальными версиями платных программ. Хакеры любят распространять вредоносные программы («njRat») вместе с пиратским софтом, и если злоумышленник умело занимается криптованием вирусов, то даже ваш антивирус может не спасти вас от взлома. Причиной потери ключа могут быть не только хакеры. Ваш ноутбук могут форматировать, а ключи пропадут безвозвратно. Габриэль Эбед, предприниматель из Барбадоса, потерял около 800 биткоинов, когда в 2011 году коллега переформатировал ноутбук, в котором хранились секретные ключи от биткоин-кошелька.

Факт хранения seed-фразы на бумаге не защищает вас от ее утечки. Например, в США офицер полиции случайно слил в сеть ключ восстановления при обыске подозреваемого. Также вы можете просто потерять свои записи. Так произошло со Стефоном Томасом, программистом из Сан-Франциско. В 2011 году он потерял бумажку со своим ключом от кошелька с 7002 BTC.

Рассмотрим примеры методов хранения приватных ключей, начиная от самых простых и заканчивая наиболее сложными и безопасными.

Если вы не хотите хранить приватный ключ (или аналог к нему — seed-фразу) на бумаге, то можно рассмотреть способы хранения на ПК. Рекомендуем сохранять текстовые файлы с ключами в непримечательных файлах под такими же названиями — для этого очень хорошо подходят системные файлы. Например, файл C:\Program Files (x86)\Microsoft\binary.txt вряд-ли будет когда-либо обнаружен в случае, если злоумышленник получит доступ к вашим файлам.

Также вы можете записать ключ в файл с кодом и добавить его в папку с программой.

Можно рассмотреть способы хранения текстовиков в файлах игр или вместе с материалами для учебы. Очень важно не называть текстовики названиями, которые часто используются разработчиками (например bin.txt, temp.txt и т.д.), поскольку они могут случайно перезаписаться. Обязательно рассмотрите возможность хранения ключей на запасных носителях (flash-накопители). Так вы избежите кражи данных при взломе ПК. В этом случае важно не потерять носитель.

Можно заархивировать важные файлы в WinRAR архиве и задать ему пароль. Особенно остро проблема может стоять в случаях, когда вы храните приватные ключи на SSD диске, поскольку такие носители навсегда теряют информацию в случае поломки. Информацию из HDD дисков можно извлечь даже в случаях небольшого механического воздействия на них, а также такие носители защищены от воздействия коротким замыканием.

Существует возможность создания кошельков социального восстановления. Принцип прост — в случае, если вы потеряли доступ к кошельку, вы можете обратиться к своим доверенным лицам, которые могут восстановить средства при помощи мультиподписи. Такой способ хранения достаточно сложен и имеет некоторые недостатки.

Лучше всего хранить приватные ключи (или seed-фразы) на бумаге или других физических носителях. Однако не забывайте о возможности их потери. Сохранить носители можно в банке. Положите их в банковскую ячейку и живите спокойно. Данные, которые нужны для входа в кошелек, лучше дублировать и хранить дома. Так вам не нужно будет бежать в банк, а потеряв носители, которые были дома, вы все равно восстановите доступ после похода в банк.

Если вы храните на кошельках крупные суммы, то не забудьте позаботиться о их передаче по наследству. Подробнее об этом рассказано в статье нашей статье.

Будьте бдительны и крайне аккуратно и бережно храните свои ключи. Позаботиться о безопасности не так сложно, а вот вернуть потерянные средства будет невозможно.

Bitbanker — это криптовалютная платформа, которая предлагает легкий способ работы с криптовалютой. В Bitbanker можно купить или продать USDT, BTC, ETH, TRX, USDC, рубли, доллары, киргизские сомы и дирхамы ОАЭ. Свободные средства можно положить на депозит со ставкой до 8% годовых в USDT и рублях, а если есть потребность в деньгах, можно взять кредит. Для фрилансеров и онлайн-бизнеса есть криптоэквайринг.

Другие полезные материалы смотрите в нашем блоге:

Будем рады ответить на ваши вопросы в комментариях.