Биткоин-кошельки: зачем и как хранить свои приватные ключи / хабр

Оглавление

Как не допустить проблем с забытым паролем от Bitcoin-кошелька — правила
Проблемы недалекого будущего[править]
Биткоин-кошельки: какие виды есть на крипторынке
Ошибка в реализации
Загрузка поддельных кошельков
Как заблокировать мошенника
Клад на флешке
Причины роста цен на криптовалюты на бирже Livecoin
Социальная инженерия и фишинг
Наслаждаемся жизнью
Пример зачисления денег с карты через обменник
- Почему пользователи выбирают Матби?
Устанавливаем стационарный Bitcoin кошелек
Обход двухфакторной аутентификации
Какой вывод можно сделать

Как не допустить проблем с забытым паролем от Bitcoin-кошелька — правила

После создания пароля переносим его на бумажный носитель и храним в надежном месте (к примеру, в сейфе).
Используем парольную фразу. По сути, это более надежный вариант пароля, способный защитить от атак хакеров. В парольных фразах должны быть буквы различных регистров, знаки, а также цифры. Здесь может помочь программа PGP. Она используется, чтобы зашифровать закрытый ключ специальной парольной фразой. При этом приватный ключ должен находиться на выносном оборудовании (например, флешке). Задача — придумать, а впоследствии не забыть необходимую группу слов. В качестве фразы-пароля можно использовать первые строчки стихотворений, дополнив их цифрами.
Применяем менеджер паролей. Чтобы не забыть кодовые символы, можно использовать специальный сервис для хранения паролей (к примеру, LastPass). Плюс в том, что здесь можно держать разные пароли и быть уверенным в их сохранности. Минус в том, что за использование функционала таких площадок придется платить. На 17 августа 2018 года наиболее бюджетный тариф упомянутого сервиса составляет 24 доллара в год. Но это небольшая плата за надежность.
Не привязываем номер телефона к бумажнику. Сегодня популярна двухфакторная аутентификация, подразумевающая применение дополнительного средства защиты (кроме пароля). И если в России привязка телефонного номера к кошельку пока безопасна, за границей существует много вариантов мошенничества. Злоумышленники добывают телефон человека (к примеру, берут его из одной из купленных баз), после чего звонят в техническую помощь и говорят о желании перенести номер на иного оператора. Все, что требуется — узнать номер PIN-кода, после чего сказать его человеку из техподдержки уже другой мобильной сети. Альтернативные варианты — применение аппаратного токена (стоит 20–30 долларов) или специального приложения для входа на телефоне (пример, Google Authenticator).

Видео с одним из вариантов восстановления доступа к Биткоин-кошельку:

Проблемы недалекого будущего[править]

Взлом хэш-функцийправить

Алгоритмы для вычисления хэш-функции стандартов SHA-256 и ECDSA считаются такими, которые невозможно взломать на текущих компьютерных мощностях. Появление высокопроизводительных квантовых компьютеров увеличит риск взлома данных функций. В этом случае, хэш-функцию Bitcoin можно будет заменить на более сложную.

Увеличение числа пользователейправить

Сеть Биткоин справится с наплывом пользователей. Но если каждый пользователь начнет пользоваться специальными программами для того, чтобы спрятать свои IP-адреса (являющиеся доступными остальным пользователям), сеть работать не будет.

Возможны проблемы с сегментацией и потерей транзакцийправить

Могут возникнуть трудности с делением блоков и узлов, а также путаница в транзакциях и потеря некоторых из них. Разработчики Bitcoin максимально следят за возможностью возникновения таких проблем и создают специальные коды, которые предотвращают трудности в работе сети.

Захват сети хакерамиправить

Если хакеры захватят половину компьютерной мощности сети (так называемая «>50% attack»), они могут нанести вред работе: внедрить блоки с «грязными» транзакциями, осуществить double-spending, устранить майнеров от блоков, блокировать транзакции и т.д. Тем не менее, хакеры никогда не смогут:

Отменить транзакции,
Заблокировать отправку транзакций,
Изменить количество монет за закрытие блока,
Создать монеты на пустом месте,
Заняться отправкой монет, которые им не принадлежат.

Транзакции-спам и транзакции-«пустышки»править

Хакеры могут рассылать пользователям ложные транзакции, тем самым осложняя работу системы. Возможна также рассылка «пустышек» для создания сбоев работы сети.

Биткоин-кошельки: какие виды есть на крипторынке

Для начала давайте вспомним, какие виды кошельков для криптовалют представлены на крипторынке.

Напомним, что при выборе кошелька в первую очередь необходимо определиться с тем, для чего будут использоваться хранящиеся на нем монеты. Так, например, для ежедневной торговли биткоинами подойдет один тип кошельков, а для долгосрочного хранения — другой. Детальную информацию о разных видах криптокошельков читайте в нашей статье.

Биткоин-кошельки можно поделить на два вида: горячие и холодные. Горячие — это те, что подключены к Интернету и предоставляют возможность работы с биткоинами в режиме онлайн. В них легко входить, они просты в использовании и имеют широкий выбор настроек. К таким криптокошелькам относятся:

Онлайн-криптокошельки — это веб-сервисы, доступ к которым можно получить через онлайн-браузер. Они не требуют загрузки какого-либо программного обеспечения, а для регистрации во многих из них нужен только адрес электронной почты. В связи с чем такой вид криптокошельков пользуется широким спросом среди держателей криптовалют. Онлайн-кошельки в чем-то похожи на биржевые криптокошельки (о них речь пойдет ниже), но обычно являются более безопасными и часто имеют более широкий набор инструментов для управления адресами и работы с криптовалютами. Многие онлайн-кошельки являются кастодиальными — хранят приватные ключи пользователей, из-за чего криптосообщество считает их недостаточно безопасными.

Десктопные биткоин-кошельки — или, как их еще называют, локальные, представлены в виде отдельных программ. Чтобы приступить к использованию такого кошелька, сначала надо скачать на свой компьютер ПО в соответствии с операционной системой. Преимущество таких кошельков в том, что в большинстве случаев они предоставляют пользователям 100%-й контроль над активами, в то время как кошельки криптобирж и онлайн-сервисов преимущественно сами хранят приватные ключи пользователей.

Мобильные биткоин-кошельки — это своего рода альтернатива десктопным. Существуют в виде мобильного приложения, которое можно скачать на свой смартфон. Такие биткоин-кошельки могут хранить приватные ключи пользователей, а могут, наоборот, предоставлять юзерам полный контроль над активами.

Криптокошельки на биржах — большинство криптобирж имеют собственный встроенный кошелек для работы с криптовалютами платформы, куда обычно входит и биткоин. Такой вид кошельков подойдет для тех, кто планирует торговать биткоином или же проводить частые сделки с ним. Однако надо учитывать, что такие кошельки являются кастодиальными, то есть хранят приватные ключи и технически имеют доступ ко всем монетам пользователей.

Что касается холодных криптокошельков, к ним относятся все решения, которые не подключены к Интернету. В числе классических холодных криптокошельков:

Аппаратные биткоин-кошельки — это специальные устройства для хранения определенных криптовалют, по виду напоминающее USB-флешки. К Интернету они подключаются только в момент проведения транзакции, а все остальное время работают в режиме оффлайн.

Бумажные биткоин-кошельки — на первый взгляд самый простой вариант, но в то же время и наиболее рискованный. Это обычный лист бумаги, на котором распечатан адрес и приватный ключ, например, в виде QR-кода. Однако потерять или повредить такой кошелек очень просто, не говоря уже о возможной краже информации. Также заметим, что для отправки монет с такого адреса все равно придется использовать какой-то кошелек.

Стоит отметить, что на крипторынке бытует мнение, что холодные биткоин-кошельки намного безопасней горячих. Ведь чтобы получить доступ к хранящимся на них средствам, хакеру сначала нужно завладеть кошельком, а затем обойти сложную систему безопасности (если речь идет об аппаратных). Однако, как показывает практика, опытные хакеры без труда взламывают такие биткоин-кошельки, а крупные производители вроде Ledger не раз обвинялись в утечке персональных данных пользователей.

Отдельно отметим, что технически некоторые десктопные кошельки могут также считаться холодными — при условии, что могут работать без подключения к Интернету на отдельном ПК. Такие биткоин-кошельки в основном работают в режиме оффлайн и подключаются к Сети только в момент проведения транзакции, так же как это происходит в аппаратных криптокошльках.

Ошибка в реализации

Биткоин основан на принципах эллиптической криптографии (ECC). До настоящего времени никому не удавалось найти уязвимость в исходном коде первой криптомонеты, однако, обойти эту защиту на самом деле не так уж и трудно.

Японская корпорация Sony и американская Microsoft знают об этом не понаслышке. Обе компании пострадали, потому что хакеры нашли лазейки в реализации системы защиты с использованием ЕСС. Например, чтобы бесплатно играть в игры на PlayStation, достаточно было знать два валидных кода и немного алгебры на уровне старших классов средней школы.

Биткоин безуспешно пытаются взломать уже 11 лет, но нет никаких гарантий, что рано или поздно кто-то не наткнется на уязвимость в коде.

Загрузка поддельных кошельков

Хакеры пойдут на что угодно, чтобы украсть криптовалюту, а поддельные кошельки — отличный пример того, как далеко они хотят зайти.

Недавнее исследование показало, что в Google App Store есть несколько приложений, имитирующих Trezor, популярный кошелек криптовалют.

Экспертиза пришла к выводу, что поддельные мобильные кошельки, маскирующие официальный кошелек, использовали схожие названия и включали убедительные маркетинговые баннеры, чтобы не только обмануть пользователей, но и получить зеленый свет от платформы Google и избежать запрета.

Полезный совет, чтобы не попасть в эту ловушку, — загрузить приложение прямо с официального сайта кошелька.

Как заблокировать мошенника

Если со стороны некоего пользователя системы вы заметили подозрительную активность и считаете, что это мошенничество, сразу начинайте действовать по инструкции, приведенной ниже, и средства удастся сохранить.

Инструкция:

откройте главную страницу сайта QIWI Wallet.ru и найдите раздел «Помощь», подраздел «Обращение в службу поддержки»;
Обращение в поддержку
затем выберите адресата сообщения, в теме укажите «Перевод денег мошеннику»;
Письмо службе безопасности
подробно опишите в строчках предложенной формы всё, что с вами произошло;
больше не контактируйте с подозрительным клиентом системы, тем временем служба безопасности приостановит его деятельность и проведёт проверку.

Если Вы уже пострадали от противоправных действий мошенников, возьмите сохранённый чек с реквизитами операции и обратитесь в полицию. Там подробно заполните заявление и параллельно уведомите службу поддержки системы Киви о своём обращении в правоохранительные органы.

Клад на флешке

Программист Стефан Томас (Stefan Thomas) из Сан-Франциско (США) потерял пароль от своей криптофлешки Iron Key, на которой он хранит ключи от кошелька с 7002 биткоинами. По данным New York Times (NYT), он безуспешно пытается вспомнить его, и у него осталось всего две попытки.

7002 биткоина – это, по курсу на момент публикации материала (данные CoinDesk), свыше $245,5 млн.

Свое многомиллионное почти утраченное состояние Стефан Томас не заработал и не намайнил. По информации издания, все биткоины достались ему в подарок еще в 2011 г., когда криптовалюте было всего три года от роду – она появилась в 2008 г., и даже спустя три года о ней мало кто слышал, и его курс в те годы варьировался в пределах от $1 до $32 против $35 тыс. на момент публикации материала.

Стефан Томас рискует лишиться целого состояния из-за своей плохой памяти

Дарителем выступил неназванный фанат криптовалют. Стефан Томас тогда тоже интересовался новыми деньгами – ему импонировала идея, что токены неподконтрольны государству или компаниям, которые не в состоянии их отследить. В конце марта 2011 г. Томас выложил в Сеть ознакомительный ролик «What is Bitcoin?» («Что такое биткоин?»), который до сих пор размещен на YouTube, и за неполные 10 лет он набрал более 9,75 млн просмотров. Дарителю понравился материал, изложенный в ролике, и он решил отблагодарить Томаса за проделанную работу, подарив ему 7002 биткоина.

Причины роста цен на криптовалюты на бирже Livecoin

Такое ошеломительное повышение цена на бирже Livecoin началось почти сразу после того, как представители биржи без предупреждения прекратили выводить большую часть криптовалют с кошельков пользователей биржи

Обратите внимание, что в первое время вывести можно было только непопулярные криптовалюты, тогда как Биткоин, Litecoin, Dash, Doge и Эфириум были недоступны для вывода:

И несмотря на то, что некоторые монеты все же можно было вывести, паника не заставила себя ждать и на бирже Livecoin начался хаос.

По предположениям старшего аналитика обменника Bestchange, Никиты Зуборева, такой рост был вызван тем, что пользователи биржи Livecoin хотели вывести хоть какие-то средства и скупали всю доступную криптовалюту. Также странным был момент закрытия вывода средств, так как на горячих кошельках биржи Livecoin было достаточно монет для вывода, но как потом стало известно, 24 декабря 2021 года, с кошельков биржи было выведено более 100 BTC, и началось все с перевода 50 и 40 Биткоинов на один и тот же кошелек:

Социальная инженерия и фишинг

Под социальной инженерией понимается совокупность обменных приемов, заставляющих пользователей выполнять на сайтах или в приложениях действия, которые могут нанести им ущерб. Одним из таких весьма популярных методов является фишинг – создание сайтов-клонов известных ресурсов, которые вынуждают пользователей раскрывать свои персональные данные, включая пароли, телефонные номера, реквизиты банковских карт, а в последние годы и приватные ключи от криптовалютных кошельков.

Ссылки на фишинговые сайты могут распространяться разными способами – это и рекламные объявления в соцсетях, и электронные письма, копирующие внешний вид рассылок от официальных проектов. Все это делается с единственной целью — заставить невнимательного пользователя перейти на фейковый сайт и ввести там персональные данные.

По данным Chainalysis, в криптовалютном пространстве фишинг оставался наиболее прибыльным мошенническим методом на протяжении 2017 и 2021 годов. Однако, если в 2021 году на его долю приходилось более 88% всех мошеннических схем, то в 2021 году этот метод стал менее эффективным, и его показатель успешности снизился уже до 38,7%.

Тем не менее опасность стать жертвой фишинговой атаки сохраняется. Среди последних таких инцидентов можно выделить атаки на популярный кошелек Electrum в декабре 2021 и в апреле 2021 гг. Нередко при этом атаки велись и на альткоин-кошельки.

Кроме того, за последнее время жертвами фишинговых атак становились биржи Bitfinex и Binance, аппаратный кошелек Trezor, платформа для покупки и продажи биткоинов LocalBitcoins, а также пользователи социальных сетей, например, Facebook. В последнем случае злоумышленники копируют страницы популярных криптовалютных сообществ, после чего используют фотографии участников реальных сообществ, отмечая их в посте как победителей программы лояльности к платформе.

О том, какое значение борьбе с фишингом придают ведущие представители индустрии, сполна говорит и тот факт, что в апреле этого года Binance Labs, венчурное подразделение криптовалютной биржи Binance, осуществило инвестиции в PhishFort. Эта компания специализируется на решениях по защите от фишинговых атак и ориентируется на бизнесы, находящиеся в высокой группе риска, такие как биткоин-биржи, ICO-проекты и платформы по выпуску токенов.

Рекомендации по защите от фишинговых атак весьма просты: повышение общей компьютерной грамотности, собственная внимательность (ручной ввод URL и проверка использования протокола https), а также используемое по умолчанию недоверие к объявлениям, предлагающим бесплатную раздачу криптовалют.

Наслаждаемся жизнью

Наконец-то у нас есть «чистые» биткоины и желательно много. Самое время приобрести что-нибудь исключительное – электромобиль Tesla или виллу на Средиземном море. Но пока еще большинство продавцов предпочитает биткоину обычные валюты.

Так что нужны услуги обмена биткоин. Сеть биткоин финансово пока еще не очень сильна, и желающих приобрести большое количество биткоин по текущему курсу не очень много

Крупные биткоин-транзакции уже начинают привлекать внимание правоохранительных органов, и скрывать свою личность при обмене биткоин становится все труднее. Любой обменный пункт или биржа биткоин затребуют информацию для идентификации получателя

Здесь самое время проявить смекалку. Самый надежный способ это обменять биткоин на наличные деньги при личной встрече с покупателем. Найти такого покупателя при желании вполне возможно. Также такую услугу как личная покупка биткоин предоставляют некоторые обменные пункты в т.ч. и на территории СНГ.

Будьте терпеливы и меняйте биткоин небольшими порциями, чтобы не привлекать внимания. Хотя колебания курса биткоин не идут на пользу.

Данная статья ни в коей мере не является руководством к действию. Помните, что любое преступление всегда приводит к наказанию.

Пример зачисления денег с карты через обменник

Учитывая информацию Бестчейнджа, попробуем пополнить bitcoin кошелек при помощи обменного пункта с наиболее выгодным курсом. В нашем случае это Матби, хотя может быть и любой другой, учитывая, что информация обновляется в режиме онлайн. Краткий алгоритм дальнейших действий:

Переходим на сайт обменного сервиса Матби и регистрируемся.

Затем в пункте “Операции” выбираем “Пополнить” и, например, “Сбербанк”. Далее указываем сумму на которую вы хотели бы приобрести биткоины, указываем номер телефона привязанный к вашей карте и создаем заявку. В заявке появятся реквизиты для отправки денег через Сбербанк Онлайн. После отправки денег, через 2-3 минуты они будут зачислены на ваш баланс в Матби.

Почему пользователи выбирают Матби?

Основным критерием выбора данного сервиса, является его надежность и солидный стаж работы на криптовалютном рынке. Кошелек — обменник Матби основан в 2014 году. Встроенная функция кошелька позволяет пользователям безопасно хранить свои цифровые активы в надежном “холодном” хранилище. Матби – это лучший сервис для тех, кто только начинает свое знакомство с криптовалютой.

Преимущества:

круглосуточный доступ к сервису;
выгодный курс;
компетентная техническая поддержка;
отсутствие комиссий за обмен;
быстрый обмен криптовалют на рубли и обратно;
ускоренная обработка заявок (до 20 минут);
поддержка сервиса на русском и английском языках;
дополнительная защита (подтверждение всех действий по ПИН коду и Google Authenticator);
возможность проверки и отслеживания транзакций,
большой выбор способов пополнения и вывода средств,
встроенный “холодный” кошелек для хранения валют;

Для удобства пользователей есть подробная видеоинструкция, где подробно разобран весь функционал сервиса. В настоящее время Матби разрабатывает мобильную версию своей платформы (для iOS уже доступна), а также увеличивает масштабы распространения и привлекает пользователей из Казахстана, Киргизии, Украины, Белоруссии.

Устанавливаем стационарный Bitcoin кошелек

Скачивание и установка клиента

Сайт для скачивания программного кошелька Bitcoin Core

Чтобы пользоваться данным приложением, сначала необходимо проделать такие действия:

Настраиваем установленный клиент

Активация «Управления входами» на кошельке Bitcoin Core

Управление входами. После включения этой функции программа будет генерировать новые адреса кошелька при каждом переводе. Данная опция обеспечит ещё большую сохранность вашей анонимности. Чтобы включить её, надо перейти в настройки, выбрать пункт «Бумажник» и поставить галочку напротив строки «Включить управление входами».
Отображение хэша транзакции. Очень полезная опция для тех, кто зачисляет депозиты на онлайн-биржи, казино или ресурсы, связанные с инвестициями. Для её активации необходимо зайти в настройки, нажать на вкладку «Отображение», найти поле «Сторонние URL транзакции» и вставить в него следующую ссылку: http://blockchain.info/tx/%s. После выполнения указанных действий при каждом переводе на месте «%s» будет прописываться хэш транзакции. Его вы сможете кидать администраторам интернет-ресурсов, чтобы подтвердить отправку денег на депозит.
Защита кошелька паролем. Здесь потребуется снова перейти в настройки и выбрать пункт «Зашифровать бумажник». Перед вами появится окно с двумя полями. В одном поле надо вписать пароль, а в другом — продублировать его. Ваш личный код должен состоять как минимум из 8-ми символов. Настоятельно не рекомендуется использовать в качестве пароля полноценные слова, которые как-то связаны с вами (кличка питомца, любимый спорт, город, в котором хотите побывать, и так далее). Наилучшим вариантом считается набор из 10–12 случайных символов (как буквенных, так и цифровых).
Создание резервной копии бумажника. Это последний, но крайне важный пункт. Здесь вам придётся несколько раз скопировать файл wallet.dat, который, по сути, и является вашим хранилищем Биткоинов. Его можно копировать вручную, найдя в соответствующей папке программы, или поручить это дело приложению. Второй вариант более простой и понятный. Вам потребуется нажать на вкладку «Файл» (находится слева от вкладки «Настройки») и в контекстном меню выбрать пункт «Сделать резервную копию бумажника». В появившемся окне понадобится ввести имя файла, а также выбрать место его хранения. Рекомендуется сделать 3–4 таких копии и закинуть их на разные носители: в отдельную папку компьютера, на флешку, на компакт-диск, на другой ПК. Благодаря этим дубликатам вы сумеете восстановить свой кошелек после переустановки операционной системы или покупки другого компьютера.

Использование официального кошелька Bitcoin core

Поля для заполнения при отправке Биткоинов через Bitcoin Core

Обзор. Основное поле вашего хранилища. В нём отображается текущий баланс, количество отправленных монет, а также сумма средств, ожидающих подтверждения сети. В этом поле не предусмотрено выполнение каких-либо действий. Его основная функция — ознакомительная.
Отправить. Перейдя в данное поле, вы сможете отправлять сатоши или целые Биткоины другим людям. Здесь есть строка, в которую нужно вводить адрес кошелька получателя. Для каждого идентификатора можно устанавливать метку, дабы включить его в свою адресную книгу. Кроме того, в рассматриваемом меню можно устанавливать сумму комиссии. В принципе, система сама предлагает вам оптимальный процент; вы можете увеличить или уменьшить его. Но помните, чем выше комиссия, тем быстрее транзакция добавится в блок. При выставлении заниженного процента система может не осуществить перевод. В самом худшем случае, транзакция затеряется. Если вы создали несколько адресов, в поле «Отправить» появится кнопочка «Входы», нажав на которую можно выбирать, с какого конкретно адреса выполнять перевод.
Получить. Это самая главная вкладка для большинства пользователей, ведь все мы хотим именно получать Биткоины. В этом поле можно генерировать адрес своего Bitcoin кошелька. Чтобы получить свой идентификатор, необходимо лишь нажать на кнопочку «Запросить платеж». В соответствующем поле появится набор букв и цифр, состоящий из 25–34 символов. Эти символы и станут вашим личным адресом.
Транзакции. Ещё одно поле, носящее исключительно ознакомительный характер. В нём вы сможете просматривать все совершенные операции. Доступна сортировка по дате, величине суммы, меткам.

Если вы захотите создать другой Биткоин кошелек (например, MultiBit), вам потребуется выполнить практически те же действия:

скачать клиент;
установить его;
пройти синхронизацию;
провести настройку;
сгенерировать адрес.

Обход двухфакторной аутентификации

, — это дополнительный уровень безопасности, который используют надежные поставщики кошельков, такие как Crypterium, чтобы гарантировать, что реальные пользователи стоят за определенными транзакциями или операциями.

Например, если вы хотите вывести средства со своего счета на внешний кошелек или банковскую карту, вам потребуется ввести защитный код, отправленный на указанный вами адрес электронной почты или с помощью текстового сообщения.

Хотя это остается чрезвычайно эффективным способом защиты клиентов от нежелательных транзакций и мошеннических действий, были случаи, когда хакеры находили способы обойти 2FA

По этой причине важно всегда следить за полученными вами уведомлениями

Какой вывод можно сделать

Как можно заметить из вышеописанной ситуации, всегда можно найти выход. Сложность решения задачи и длительность процедуры, а также порядок действий имеет зависимость от типа используемого ресурса. В каждом случае можно столкнуться со своими сложностями. Но приложив несколько усилий, вы сможете оперативно вернуть доступ к кошельку и соответственно – к деньгам.

Помните о том, что существует несколько мер профилактики хакерских атак. Для этого специалисты программной сферы рекомендуют использовать надежные антивирусные программы и регулярно заниматься обновлением баз данных.