Kaip apsaugoti kriptovaliutų piniginę

Kodėl kriptovaliutų saugumas nėra tas pats, kas banko sąskaitos apsauga

Jei prarasite prieigą prie savo banko sąskaitos, galite paskambinti į banką, patvirtinti tapatybę ir problema išspręsta. Su kriptovaliutomis viskas veikia kitaip – čia nėra jokio skambučių centro, jokio palaikymo skyriaus, kuris galėtų atkurti jūsų prieigą. Jei prarandate privačius raktus arba seed frazę – prarandate viską. Visam laikui.

Būtent dėl šios priežasties kriptovaliutų piniginių apsauga yra tema, kurią verta suprasti giliau nei tiesiog „naudokite stiprų slaptažodį”. Blokų grandinės technologija suteikia jums pilną kontrolę savo turtui, bet kartu užkrauna ir pilną atsakomybę. Tai dvipusis kardas, ir daugelis žmonių tai supranta tik tada, kai jau būna per vėlu.

Šiame straipsnyje pabandysiu išdėstyti viską, ką reikia žinoti apie kriptopiniginių apsaugą – nuo pagrindinių principų iki konkrečių techninių sprendimų. Be banalių patarimų tipo „būkite atsargūs internete”.

Piniginių tipai ir jų saugumo lygiai

Prieš kalbant apie apsaugą, reikia suprasti, su kuo turite reikalą. Kriptovaliutų piniginės skirstomos į dvi pagrindines kategorijas: karštos (hot) ir šaltos (cold) piniginės. Skirtumas tarp jų – interneto ryšys.

Karštos piniginės yra nuolat prijungtos prie interneto. Tai gali būti:

  • Biržų piniginės (Binance, Coinbase ir panašios)
  • Programinės piniginės kompiuteryje (Exodus, Electrum)
  • Mobiliosios programėlės (MetaMask, Trust Wallet)

Šaltos piniginės neturi nuolatinio ryšio su internetu:

  • Aparatinės piniginės (Ledger, Trezor)
  • Popierinės piniginės
  • Oro tarpas (air-gapped) kompiuteriai

Paprastas principas: kuo daugiau kriptovaliutų laikote, tuo labiau verta investuoti į šaltą saugyklą. Jei turite 50 eurų vertės kriptovaliutų ir naudojate jas reguliariai – MetaMask telefone yra visiškai priimtinas sprendimas. Jei kalbame apie kelis tūkstančius ar daugiau – aparatinė piniginė nėra prabanga, o būtinybė.

Dar vienas svarbus aspektas: biržų piniginės techniškai nėra jūsų piniginės. Kai laikote kriptovaliutas Binance ar bet kurioje kitoje biržoje, jūs iš tikrųjų laikote IOU (skolos raštą) – biržos pažadą, kad jums priklauso tam tikras kiekis kriptovaliutų. Jei birža bankrutuoja (kaip nutiko su FTX), jūsų turtas gali išgaruoti. „Not your keys, not your coins” – tai ne tuščia frazė.

Seed frazė: svarbiausia ir pavojingiausia jūsų kriptovaliutų dalis

Seed frazė (dar vadinama atkūrimo fraze arba mnemoniniu kodu) – tai 12 arba 24 žodžių seka, kuri yra jūsų piniginės „motininis raktas”. Iš jos galima atkurti visus privačius raktus ir prieigą prie visų piniginių, sugeneruotų iš tos pačios seed frazės.

Tai reiškia dvi labai svarbias dalykus:

  1. Kas turi jūsų seed frazę – turi jūsų kriptovaliutas
  2. Jei prarandate seed frazę ir nebeturite prieigos prie piniginės – prarandate viską

Kaip tinkamai saugoti seed frazę? Čia yra keletas konkrečių rekomendacijų:

Niekada nerašykite seed frazės skaitmeniniame formate. Jokių ekrano nuotraukų, jokių Google Docs, jokių el. laiškų sau. Net jei failas yra užšifruotas – tai vis tiek rizika. Debesų saugyklos gali būti nulaužtos, kompiuteriai gali turėti kenkėjiškų programų.

Užrašykite ant popieriaus ir laikykite saugioje vietoje. Tai skamba archaiškai, bet yra efektyvu. Geriausia – kelios kopijos skirtingose fizinėse vietose (namuose ir pas patikimą giminaitį, pavyzdžiui).

Apsvarstykite metalines plokšteles. Yra specialiai sukurtų produktų (pvz., Cryptosteel, Bilodal), kurie leidžia išgraviruoti seed frazę ant nerūdijančio plieno. Tokia plokštelė atlaikys gaisrą, potvynį ir daugelį kitų nelaimių, kurių popierius neatlaikytų.

Apsvarstykite Shamir’s Secret Sharing. Tai kriptografinis metodas, leidžiantis padalinti seed frazę į kelias dalis taip, kad norint ją atkurti reikėtų, pavyzdžiui, 3 iš 5 dalių. Trezor aparatinė piniginė palaiko šį metodą. Tai ypač naudinga tiems, kurie nori pasirūpinti, kad jų kriptovaliutos būtų prieinamos šeimos nariams po mirties, bet tuo pačiu nenori, kad bet kuris vienas žmogus turėtų pilną prieigą.

Aparatinės piniginės: kaip jas teisingai naudoti

Ledger ir Trezor yra du populiariausi aparatinių piniginių gamintojai. Abi yra geros, abi turi savo privalumų ir trūkumų. Ledger turi platesnę palaikomų kriptovaliutų ekosistemą, Trezor yra visiškai atviro kodo (open-source), kas daugeliui saugumo entuziastų yra svarbu.

Tačiau turėti aparatinę piniginę ir teisingai ją naudoti – du skirtingi dalykai. Štai keletas klaidų, kurias daro net patyrę vartotojai:

Pirkite tik iš oficialių šaltinių. Niekada nepirkite aparatinių piniginių iš eBay, Amazon pardavėjų ar kitų neoficialių šaltinių. Yra dokumentuotų atvejų, kai parduodamos modifikuotos aparatinės piniginės su iš anksto įdiegta kenkėjiška programine įranga. Pirkite tik iš gamintojo oficialios svetainės.

Patikrinkite įrenginį gavę. Tiek Ledger, tiek Trezor turi integruotus patikrinimo mechanizmus, leidžiančius įsitikinti, kad įrenginys nėra suklastotas. Pasinaudokite jais.

Niekada neįveskite seed frazės kompiuteryje. Aparatinė piniginė generuoja seed frazę pačiame įrenginyje ir ji niekada neturėtų išeiti iš jo. Jei kuri nors programinė įranga prašo jūsų įvesti seed frazę kompiuteryje ar telefone – tai 100% sukčiavimas.

Atnaujinkite firmware reguliariai. Gamintojai reguliariai išleidžia saugumo atnaujinimus. Neignoruokite jų.

Naudokite papildomą slaptažodį (passphrase). Tiek Ledger, tiek Trezor leidžia pridėti papildomą slaptažodį prie seed frazės – tai sukuria tarsi „25-ąjį žodį”. Net jei kas nors ras jūsų seed frazę, be šio slaptažodžio jie negalės pasiekti jūsų kriptovaliutų. Tačiau šį slaptažodį taip pat reikia saugoti – jei jį pamiršite, prarasite prieigą.

Sukčiavimo atakos: kaip atpažinti ir išvengti

Techniniai saugumo sprendimai yra tik viena medalio pusė. Didelė dalis kriptovaliutų vagysčių įvyksta ne per technines spragas, o per socialinę inžineriją – kai vartotojai patys atiduoda savo prieigos duomenis sukčiams.

Phishing svetainės yra viena dažniausių atakų. Sukčiai sukuria tikslias populiarių piniginių ar biržų kopijas su labai panašiais domenais (pvz., „metamаsk.io” vietoj „metamask.io” – pastebėjote skirtumą? Pirmame naudojama kirilicos raidė „а”). Visada tikrinkite URL adresą du kartus prieš įvesdami bet kokius duomenis.

Apsimetimas palaikymo tarnyba. Kriptovaliutų bendruomenėse (Discord, Telegram, Reddit) pilna sukčių, kurie apsimeta oficialiais palaikymo darbuotojais. Jie rašo privačiomis žinutėmis ir siūlo „padėti” su problemomis. Jokia legali palaikymo tarnyba niekada neprašys jūsų seed frazės ar privačių raktų.

Kenkėjiškos programėlės. Prieš diegdami bet kokią kriptovaliutų piniginę ar biržos programėlę, patikrinkite kūrėją, atsiliepimų skaičių ir ar tai oficiali programėlė. App Store ir Google Play pilna suklastotų programėlių, kurios atrodo identiškai originalams.

Clipboard hijacking. Yra kenkėjiškų programų, kurios stebi jūsų iškarpinę (clipboard) ir kai nukopijuojate kriptovaliutų adresą, automatiškai pakeičia jį sukčiaus adresu. Visada patikrinkite adresą prieš siųsdami – bent pirmuosius ir paskutinius kelis simbolius.

Apnuodytos NFT ir tokenai. Pastaruoju metu populiarėja ataka, kai į jūsų piniginę siunčiami nežinomi tokenai ar NFT. Jei bandysite juos parduoti ar perkelti, gali būti aktyvuotas kenkėjiškas smart kontraktas, kuris ištuštins jūsų piniginę. Niekada nesąveikaukite su nežinomais tokenais.

Dviejų faktorių autentifikacija ir slaptažodžių valdymas

Jei naudojate kriptovaliutų biržas ar karštąsias pinigines, dviejų faktorių autentifikacija (2FA) yra absoliutus minimumas. Tačiau ne visos 2FA yra vienodai saugios.

SMS 2FA – silpniausia grandis. SIM swapping atakos, kai sukčiai įtikina mobiliojo ryšio operatorių perkelti jūsų telefono numerį į jų SIM kortelę, yra realios ir dokumentuotos. Jei įmanoma, venkite SMS 2FA kriptovaliutų paslaugoms.

Autentifikatorių programėlės (Google Authenticator, Authy) yra žymiai geresnė alternatyva. Jos generuoja laikinius kodus, kurie nėra susieti su jūsų telefono numeriu. Tačiau ir čia yra niuansų – jei pakeičiate telefoną ir neperkeliate autentifikatoriaus duomenų, galite prarasti prieigą prie savo paskyrų. Authy turi debesų sinchronizavimą, kas yra patogiau, bet mažiau saugu nei Google Authenticator.

Fiziniai saugumo raktai (YubiKey) yra aukso standartas. Tai fizinis USB įrenginys, kuris reikalingas prisijungimui. Net jei sukčiai žino jūsų slaptažodį, be fizinio rakto jie negalės prisijungti. Didžiosios biržos (Coinbase, Kraken) palaiko šį metodą.

Dėl slaptažodžių – naudokite slaptažodžių tvarkyklę (Bitwarden, 1Password). Kiekviena paskyra turėtų turėti unikalų, ilgą ir atsitiktinį slaptažodį. Bitwarden yra atviro kodo ir nemokamas – nėra jokio pasiteisinimo nenaudoti tokio įrankio.

Piniginių diversifikacija ir „honeypot” strategija

Vienas iš protingiausių saugumo principų kriptovaliutų pasaulyje – niekada nelaikyti visko vienoje vietoje. Tai taikoma ne tik fiziniam seed frazių saugojimui, bet ir pačių piniginių struktūrai.

Praktinė strategija, kurią naudoja daug patyrusių kriptovaliutų investuotojų:

Ilgalaikio saugojimo piniginė – aparatinė piniginė su didžiąja dalimi turto. Ši piniginė naudojama retai, tik kai reikia pridėti ar išimti didesnes sumas. Seed frazė saugoma fiziškai, kelios kopijos.

Darbo piniginė – karštoji piniginė su suma, kurią naudojate reguliariai (DeFi, NFT, kasdieniai sandoriai). Čia laikote tik tiek, kiek esate pasiruošę prarasti.

„Honeypot” piniginė – tai šiek tiek pažengusi strategija. Sukuriate piniginę su nedidele suma ir jos seed frazę saugote mažiau saugiai (pvz., užrašytą vietoje, kur galėtų rasti potencialus vagis). Jei kas nors ras šią frazę ir bandys ją naudoti, jūs galite tai stebėti (yra įrankių, leidžiančių gauti pranešimus apie piniginės aktyvumą) ir žinoti, kad jūsų fizinė saugykla buvo pažeista.

Taip pat verta žinoti apie multi-signature (multisig) pinigines. Tai piniginės, kurioms atlikti sandorį reikia kelių privačių raktų parašų. Pavyzdžiui, 2 iš 3 schema reiškia, kad turite 3 raktus ir bet kurie 2 iš jų gali autorizuoti sandorį. Tai puikiai tinka organizacijoms ar šeimoms, kurios nori bendrai valdyti kriptovaliutas. Gnosis Safe yra populiariausias multisig sprendimas Ethereum ekosistemoje.

Kai viskas sukonfigūruota: kaip neprarasti prieigos dėl savęs

Paradoksalu, bet nemažai žmonių praranda prieigą prie savo kriptovaliutų ne dėl sukčių, o dėl savo pačių klaidų. Pamirštas slaptažodis, pamestas aparatinės piniginės PIN, neišsaugota seed frazė – tai realios problemos.

Štai keletas praktinių patarimų, kaip to išvengti:

Sukurkite „kriptovaliutų testamentą”. Dokumentas (saugomas saugiai, ne skaitmeniniame formate), kuriame aprašyta, kur laikote kriptovaliutas, kaip prie jų prieiti, ir kuriam patikimam asmeniui suteikiate prieigą po mirties. Tai gali skambėti morbidiškai, bet tai yra atsakingas požiūris.

Reguliariai testuokite atkūrimą. Kartą per metus atkurkite piniginę iš seed frazės (galite naudoti naują aparatinę piniginę arba programinę piniginę) ir patikrinkite, ar viskas veikia. Taip sužinosite, ar seed frazė teisinga, kol dar nėra per vėlu.

Dokumentuokite savo pinigines. Turėkite sąrašą visų piniginių adresų (ne privačių raktų!), kuriuos naudojate. Tai leis jums ar jūsų šeimos nariams bent jau pamatyti, kiek turto yra, net jei prieiga bus prarasta.

Neskubėkite. Didelė dalis klaidų kriptovaliutų pasaulyje įvyksta dėl skubėjimo. Prieš siųsdami bet kokią sumą, patikrinkite adresą. Prieš pasirašydami smart kontraktą, patikrinkite, ką jis daro. Prieš atnaujindami piniginę, patikrinkite, ar tai oficialus atnaujinimas.

Saugumas nėra produktas – tai procesas

Kriptovaliutų saugumo tema nėra tokia, kurią galima „išspręsti” vieną kartą ir pamiršti. Grėsmės nuolat keičiasi, atsiranda naujų atakos vektorių, o technologijos taip pat tobulėja. Tai reiškia, kad saugumas yra nuolatinis procesas, reikalaujantis reguliaraus dėmesio.

Geras pradinis taškas – sekti kriptovaliutų saugumo naujienas. Tokie šaltiniai kaip Rekt.news dokumentuoja didžiausius kriptovaliutų hackus ir vagystes su techniniais paaiškinimais. Tai ne tik įdomu, bet ir edukatyvu – galite mokytis iš kitų klaidų.

Jei esate tikrai rimtai nusiteikę dėl saugumo, verta pasigilinti į tokias temas kaip OPSEC (operacinis saugumas), kriptografijos pagrindai ir kaip veikia blokų grandinės technologija žemesniu lygiu. Kuo geriau suprantate, kaip sistema veikia, tuo geriau galite ją apsaugoti.

Galiausiai, svarbu rasti balansą tarp saugumo ir patogumo. Jei jūsų saugumo sistema yra tokia sudėtinga, kad patys negalite prie jos prieiti, tai nėra gera sistema. Geriausias saugumas – tas, kurį iš tikrųjų naudojate. Pradėkite nuo pagrindinių dalykų: aparatinė piniginė, seed frazė ant popieriaus (ar metalo), 2FA autentifikatorius, slaptažodžių tvarkyklė. Tai jau suteiks jums žymiai aukštesnį apsaugos lygį nei 90% kriptovaliutų vartotojų. O tada, kai įgausite patirties ir pasitikėjimo, galite pereiti prie sudėtingesnių sprendimų.

Kriptovaliutų pasaulis suteikia finansinę laisvę ir nepriklausomybę – bet tik tiems, kurie sugeba ją išsaugoti.

Daugiau

Adobe Photoshop alternatyvos nemokamai