Як можуть вкрасти ваші біткоїни

Вступ

Блокчейн Біткоїна є надзвичайно захищеним та стійким до потенційних атак. Проте у процесі зберігання та використання приватних ключів у недосвідчених власників BTC можуть виникнути проблеми, якщо за них візьмуться професійні кібершахраї. Розуміння таких загроз може убезпечити зберігання коїнів. Хоча нові виклики у цій сфері з’являються постійно, все ж можна окреслити основні групи ризиків.

Зберігання seed-фрази

Некоректне зберігання seed-фрази є однією з найпоширеніших помилок власників BTC. Головне правило – не зберігати її онлайн, тому що хакери можуть отримати доступ до вашої електронної пошти, соцмереж та майже будь-яких онлайн-сервісів. Деякі користувачі додають одне чи декілька власних слів у список, гадаючи, що таким чином вони можуть убезпечити власні монети у разі, якщо зловмисники отримають до них доступ. Проте слова для seed-фрази не є абсолютно випадковими, а генеруються зі спеціалізованого словника BIP39. Тому шахраям, скоріш за все, не буде складно встановити зайві слова й отримати доступ до гаманця.

Тому доцільно зберігати список із 12 чи 24 слів офлайн. Хтось записує слова, хтось знаходить ще якісь рішення. Існують також спеціальні сталеві пластини для зберігання seed-фрази, які є стійкими до високої температури та іншого зовнішнього впливу. Можливо також розбити seed-фразу на декілька частин та зберігати їх окремо. Проте варто пам’ятати, що якщо ви загубите хоча б одну частину фрази, то доступ до гаманця буде втрачено. Отже, потрібно вкрай відповідно поставитися до зберігання seed-фрази та знайти оптимальний для вас офлайн-спосіб.

Звичайно, власник BTC у жодному разі не повинен вводити seed-фразу на будь-яких сторонніх сервісах чи навіть проговорювати її вголос. Шахраї з легкістю використають цю інформацію для заволодіння вашими монетами. Прессекретар Казахстанської асоціації блокчейн-технологій Азамат Ахметжанов попереджає:

«Ніколи нікому не показуйте свою seed-фразу. Не фотографуйте й не зберігайте її на смартфоні чи комп’ютері».

Фішингові листи та сайти

Фішинг – це досить популярний вид інтернет-шахрайства, коли потенційна жертва отримує повідомлення нібито від біржі або якогось сервісу з вимогою надати персональну або конфіденційну інформацію. Наприклад, у вигляді оновлення системи користувача можуть попросити знову пройти верифікацію чи авторизацію. Основною метою шахраїв можуть стати паролі чи приватні ключі. Існують також фішингові сайти, які мають ідентичний інтерфейс до легітимних компаній, що також може ввести в оману деяких користувачів.

«Ваші біткоїни можуть вкрасти через звичайний фішинг на email. Тому будьте уважними, за якими посиланнями ви переходите. Відкривайте посилання на біржі чи гаманці лише з власних закладок», – зазначає співзасновник Double Top Олександр Гнатенко.

Гарячі гаманці та централізовані біржі

Гарячими називають ті біткоїн-гаманці, що підключені до мережі інтернет. За визначенням вони є потенційно уразливими до хакерів, які можуть підібрати пароль, знайти вразливість у системі чи будь-яким іншим чином отримати доступ до вашого акаунту або seed-фрази. Тому доцільно користуватися холодними (апаратними) гаманцями, які не підключені до мережі. У разі, якщо ви все ж таки маєте використовувати гарячі гаманці (наприклад, для більшої зручності за великої кількості транзакцій або у подорожі), то необхідно розуміти всі ризики й не зберігати на них значних сум.

Централізовані біржі – це також додаткова загроза для ваших біткоїнів. Попри твердження про максимальну захищеність найбільших бірж, ваші монети завжди знаходяться під загрозою. Приклад сумнозвісної біржі Mt. Gox ілюструє, що навіть найпопулярніші сервіси можуть бути зламані, й власники можуть втратити всі свої активи. Централізовані біржі також зберігають ваші приватні ключі. Тобто у разі їхнього банкрутства ви також можете втратити свої біткоїни навіть без атаки шахраїв.

Останнім часом стали розповсюдженішими програмні продукти keyloggers, які фіксують кожне натискання на клавіатурі. Отже, зловмисники можуть отримати паролі до ваших гарячих гаманців чи централізованих бірж. Деякі сервіси використовують двофакторну аутентифікацію за допомогою мобільного телефону. Але це також не сприяє розв’язанню проблеми. Смс-повідомлення можуть перехоплюватися та замінюватися на інші. Окрім того, шахраї можуть отримати дані про ваші контакти та спробувати перевипустити sim-карту на власне ім’я (точніше, як правило, на підставних осіб).

У будь-якому разі доцільно використовувати холодні гаманці, особливо для зберігання основного капіталу в біткоїнах. Перевагу варто надати варіантам із захисним елементом та відкритим програмним кодом. Аналогічно у разі біржової торгівлі потрібно використовувати децентралізовані біржі, які не вимагають доступу до ваших приватних ключів. У цьому разі жодних додаткових ризиків безпеки не виникає.

Підміна публічного ключа

У разі, якщо хакери отримали повний доступ до вашого комп’ютера, ноутбука, смартфона чи іншого пристрою, вони можуть підмінити публічний ключ (адресу), яку ви використовуватиме під час наступного отримання коштів. Наприклад, навіть під час використання холодного гаманця на екрані ви можете побачити адресу шахрая під час генерації публічного ключа для отримання нового переказу BTC. Тобто якщо не помітити підміни, то кошти від ваших знайомих чи партнерів надійдуть не вам, а зловмисникам. Для того, щоб цього запобігти потрібно перевірити відповідність адреси на моніторі та на апаратному пристрої (майже всі сучасні аналоги мають таку опцію). Тільки якщо вони збігаються, цей публічний ключ можна безпечно використовувати.

Вплив через третіх осіб

Також досить розповсюджені не технічні, а психологічні методи незаконного заволодіння вашими BTC. Шахраї нерідко створюють фейкові акаунти у соціальних мережах або навіть можуть отримати несанкціонований доступ до реальних акаунтів ваших знайомих. Потім вони під вигаданими причинами можуть просити негайно переказати певну кількість монет на їхню адресу. Азамат Ахметжанов радить не вірити жодним таким закликам від родичів, знайомих чи адміністраторів. «Телефонуйте й питайте, чи дійсно людина просить у вас біткоїни», – рекомендує експерт. При цьому мобільний та інші види зв’язку також можуть бути скомпрометовані, тому треба розуміти ці ризики.

Шахраї можуть намагатися вплинути на потенційну жертву не лише через жалість або бажання допомогти близькій людині, а й через жадібність. Зокрема розповсюдженими схемами є пропозиція нібито від відомої особи чи організації перевести певну кількість монет, а потім «отримати вдвічі більше». На таких сайтах чи під такими постами може бути багато фейкових відгуків про нібито отримані монети.

Звичайно, що у разі, якщо хтось дійсно захоче вам допомогти, йому не потрібно отримувати наперед жодних переказів від вас.

«Ніколи не думайте, що існує безплатний сир. Не довіряйте акторам, співакам чи іншим відомим особам, що обіцяють збільшити вашу кількість монет. Такого просто не може бути. Не довіряйте жодним «адміністраторам» чи «технічній підтримці», що пише вам першою. Це шахраї», – додає Азамат Ахметжанов.

Висновки

Відповідальне володіння власними біткоїнами залежить від розуміння основних типів ризиків та раціонального підходу до використання монет. Офлайн зберігання seed-фрази, використання децентралізованих платформ та повний контроль над вашими приватними ключами є обов’язковими для кожного користувача. Необхідно також бути вкрай уважними до публічної адреси та будь-яких закликів чи несподіваних прохань до надсилання (а в деяких випадках – й отримання) BTC.