Site icon BitExpert.io

Криптовалютные кошельки продолжают взламывать и еще раз о безопасности в сети

Особенности криптовалют

Особенностью многих криптовалют является их децентрализированный характер, так как их выпуск осуществляют независимые майнеры, сосредоточенные по всему миру, и не существует  единого центра эмиссии. Благодаря данной специфики никто не может заморозить ваши деньги на счетах в криптовалютных кошельках. Ни государство, ни даже разработчики самих кошельков. Вся информация децентрализована. Большинство криптовалютных кошельков анонимно, то есть для хранения и распоряжения криптовалютами не надо предоставлять свои паспортные данные, проходить верификацию.

Исключением являются только кошельки Ripple. Согласно последним обновлениям данной криптовалюты, банки, контролирующие платежные шлюзы, могут заморозить не только единичные транзакции, которые им покажутся сомнительными, но и сами счета пользователей. Это «плата» разработчиков Ripple за сотрудничество с банками и активное распространение данной криптовалюты в банковской и финансовой среде.

Но с криптовалютами существует другая проблема. Хакеры хорошо научились взламывать, как счета криптовалютных бирж, где хранятся деньги трейдеров, так и сами криптовалютные кошельки.

И если владельцев криптовалютных кошельков еще можно обвинить в безалаберности и не соблюдении даже элементарных мер безопасности в сети, то профессиональные криптовалютные биржи с мощным аппаратом сотрудников по кибербезопасности в непрофессионализме обвинить трудно. Но биржи взламывают с не меньшим успехом, чем сами криптовалютные кошельки.

Почему взламывают криптовалютные кошельки

Постоянно приходят сообщения о том, что хакеры нашли ту или иную уязвимость криптовалютного кошелька или баг в самой криптовалюте, которую поддерживает кошелек. В итоге, как обычно, страдают держатели кошельков. Хакеры уходят безнаказанными, а люди безвозвратно теряют деньги, а некоторые и веру в криптовалюты и их безопасности, полностью разочаровываясь в них.

Но еще больше сообщений на форумах, в социальных сетях и в блогах появляется от самих  владельцев кошельков, которые потеряли деньги не по причине компьютерного бага и уязвимости в самой криптовалюте или кошельке, а в следствии своей невнимательности, упущений, незнаний, не принятия мер по усилению защиты кошельков.

Люди используют общественный WiFi для входа в криптовалютные кошельки и осуществления платежей, а в это время хакеры перехватывают данные их закрытых ключей. Многие пользователи кошельков отказываются от установки двухфакторной верификации своих счетов. Ведь данная дополнительная мера безопасности требует помимо ввода пароля еще и подтверждения своего входа в кошелек через почтовый ящик. Для владельцев кошельков лишнее действие по верификации в виде входа на электронный ящик и введения полученного кода подтверждения в кошелек, вызывает трудности. Не удобно, требует лишнего времени и усилий. Поэтому многие пользователи криптовалют отказываются от таких дополнительных мер безопасности.

А ведь многие разработчики кошельков придумали трехфакторную верификацию, когда помимо почтового подтверждения необходимо ввести код, который приходит на мобильный телефон.

По этому принципу работают и мультиподписи. Чтобы осуществить платеж необходимо ввести проверочный код, который приходит на привязанный к криптовалютному кошельку номер мобильного телефона или другого устройства.

Все эти дополнительные меры безопасности усложняют работу с кошельком, требуют совершения дополнительных действий, а иногда и специальных знаний или изучения информации. Держателям криптовалют они не удобны, люди отказываются от их совершения. В итоге, хакеры и прочие мошенники пользуются такой леностью подавляющего большинства населения, взламывают кошельки и воруют деньги пользователей, при этом оставаясь анонимными и безнаказанными.

Не стоит забывать о важной особенности многих критповалют — их открытом характере. Все платежи по блокчейн прозрачны. Любой их может отследить и проверить. А месте с платежами можно узнать все операции по криптовалютному счету и его остатки. Таким образом, хакеры заранее знают, где воровать и сколько денег они получат в итоге.

Случаи последних взломов кошельков

Буквально вчера в сети появилось еще одно сообщение о крупной массовой краже средств с кошельков вкладчиков. И опять виной тому безалаберность самих граждан и их желание все упростить и пойти самым простым, но часто не самым безопасным путем.

На сей раз пострадали владельцы кошельков IOTA. В общей сложности они потеряли порядком 4 миллионов долларов. Это только те потери, о которых известно. Но далеко не все люди сообщили о том, что были обворованы.

В этот раз виноваты не разработчики криптовалюты IOTA и не создатели кошельков, которые поддерживают данную криптовалюту. Как это часто бывает виноваты сами пользователи.

Кражи происходили из-за онлайн генераторов seed-фраз для онлайн кошельков. Хакеры либо получили контроль над такими сайтами, либо самостоятельно создали таковые, чтобы своровать seed-фразы пользователей.

Дело в том, что в большинстве криптовалют сам кошелек генерирует seed-фразу, которая необходима для восстановления доступа к кошельку и дает полный контроль над счетом и всеми деньгами, которые в нем расположены. Но только не в кошельке IOTA.

При создании нового кошелька IOTA, пользователь должен самостоятельно ввести seed-фразу, которая включает 81 символ. На сайте HelloIOTA представлена инструкция, в которой указано о нескольких вариантах решения этой проблемы. Одним из способов является  использование seed-генератора, созданного на основе IPFS. Другой вариант заключается в генерировании ключа при помощи Mac- или Linux-терминала. Проблема заключается в том, чтобы воспользоваться одним из вышеуказанных способов, необходимо обладать специальными знаниями или внимательно прочитать инструкции по применению и разобраться в механизме генерации seed-фраз. На это требуется время и специальные знания. Поэтому большинство пользователей кошельков не хотят вникать в проблему, в чем-то разбираться, изучать новое. Они предпочитают самый простой вариант. Воспользоваться услугами, которые предлагают онлайн генераторы seed- фраз.

При этом люди обращаются к помощи первых попавшихся им в сети онлайн генераторов, не проверяя их репутацию.

Пользуясь услугами не проверенных сторонних сервисов, никто не задумывается о том, кому могут принадлежать такие сайты. Возможно их специально создали мошенники, чтобы потом своровать ваши деньги, а может быть хакеры получили доступ к уже существующим онлайн-генераторам.

Владеть сайтом онлайн генератором зачастую означает владеть самой seed-фразой, а вместе с ней и доступом к многочисленным кошелькам, seed-фразы к которым были сгенерированы на таких сайтах.

Решение проблемы

Специалисты советуют не пользоваться сомнительными сайтами. Если вы все-таки решили создать seed-фразу, используя онлайн генератор, то после создания данной seed-фразы, ее необходимо изменить, поменяв местами части фразы, отдельные буквы или цифры. Таким образом, чтобы полученная в результате seed-фраза отличалась от того, что было создано онлайн генератором.

В таком случае никто не сможет украсть вашу seed-фразу и получить к ней доступ. Так как свою личную seed-фразу вы создали сами, а онлайн генератор вам только помог сделать это.

Другие кражи

Больше всего краж происходит с криптовалютных кошельков Ethereum. Это связано прежде всего с тем, что сеть Ethereum абсолютна открыта, любой человек даже без специального образования и навыков может узнать, сколько денег содержится на кошельке.

«Фирменный» криптовалютный кошелек Ehtereum myetherwallet.com бьет все рекорды по взломам, совершенным с использованием фишинговых программ, ворующих закрытые ключи или мнемонические фразы.

Чтобы более-менее безопасно работать с кошельком myetherwallet.com нужно скачать специальное безопасное расширение для браузера Google Chrome. На сайте кошелька даны ссылки для скачивание нескольких безопасных расширений EAL, MetaMask и Cryptonite. Если вы скачали расширение для Google Chrome, пользоваться кошельком надо только в этом браузере. Перед входом в кошелек необходимо проверить в шапке браузера значок расширения и убедиться, что расширение запущено и работает активно.

Использование дополнительных мер по безопасности поможет вам сохранить ваши деньги и обезопасит от лишних потерь. Не забывайте это. Лучше потратить несколько  дополнительных минут, чтобы установить безопасное расширение для браузера или двухфакторную верификацию для вашего кошелька, чем потом тратить недели или месяцы, чтобы компенсировать потерянные средства и вернуть убытки.