Более $15 млрд в BTC утеряны безвозвратно. И виноваты в этом не хакеры, а сами клиенты, утратившие доступ к криптокошелькам. Но индустрия уже готовит решение для этой проблемы.
Криптовалюты – рисковое предприятие. Особенно это касается безопасности денег пользователей. Только за прошлый год хакерам удалось украсть монет с кошельков бирж и клиентов почти на $1 млрд.
Но даже эта устрашающая сумма ничто по сравнению с вредом, которые криптоэнтузиасты нанесли сами себе.
По данным исследовательской компании Chainalysis, всего 2,3 млн BTC утеряны навсегда. Еще 1,5 млн BTC – вероятно утрачены. Если сложить эти два показателя и перевести в нынешние цены, то окажется, что пользователи лишились криптовалюты на $14,8 млрд. А это примерно 21% от всей капитализации BTC ($69 млрд). И это только биткоин, без учеты сотен других криптовалют.
Особенно остро вопрос с потерей доступа к криптовалюте возник в начале 2019 года. Тогда стало известно, что генеральный директор криптобиржи Quadriga Джеральд Коттен умер, и унес с собой в могилу пароль к холодным кошелькам площадки.
И все бы ничего, но на них хранилось более $145 млн сбережений клиентов в криптовалюте. Абсурдность ситуации в том, что Коттен еще в 2014 году предупреждал об опасности утери приватных ключей. И он же призывал хранить всю криптовалюту на бумажных кошельках, которые в свою очередь лучше держать в сейфе банка.
Хотя новой подобную проблему не назовешь, криптоиндустрия долгое время закрывала на нее глаза. Мол, спасение утопающих – в руках самих утопающих. Но после случая с Quadriga криптокомпании всерьез задумались о том, как можно успокоить клиентов и помочь им уберечься от потери доступа к своим криптосбережениям.
Облако в помощь
Первым спасать клиентов от самих себя взялась криптобиржа Coinbase. В начале февраля площадка заявила, что теперь пользователи могут создать резервные копии приватных ключей, которые будут храниться в облачных сервисах Google Drive и Apple iCloud.
Приватный ключ, как правило, является сочетанием 12 случайных слов. Эта уникальная фраза создается при открытии кошелька и позволяет восстановить доступ к хранилищу, если пользователь забыл пароль или потерял устройство.
Но в случае с Coinbase, пользователям в обязательном порядке понадобится их пароль к аккаунту. Биржа утверждает, что резервное копирование зашифровано при помощи стандарта AES-256-GCM и доступно только для пользователей мобильного приложения Coinbase. Расшифровать же его, якобы можно только при помощи пароля.
При этом, как утверждает биржа, сами облачные сервисы, как и Coinbase не будут иметь доступа к кодовой фразе пользователя. Но этот способ особо безопасным не назовешь.
«Хранить ключи в открытом виде в облачных сервисах – не очень безопасно. Есть маленький, но риск взлома самого облачного сервиса. Также могут подобрать ваши авторизационные данные», – утверждает операционный директор 10Guards Виталий Якушев.
Кроме взлома опасения вызывает и сам процесс шифрования данных.
«Пароль, который используется для расшифровки ключа задает сам пользователь. В случае облачного хранилища получаем не совсем прозрачную ситуацию, а именно: как и где пользователь, который ввел пароль расшифровывает свой ключ», - говорит аналитик Digital Security Кирилл Воробьев.
Если расшифровка происходит на стороне сервера, то нет никакой уверенности в том, что само «облако» нигде не хранит и не записывает приватный ключ или пароль.
«В этом сценарии мы полностью доверяем сервису, поэтому не стоит считать онлайн кошелек своим», – уверен Кирилл Воробьев.
Второй вариант также возможен. И по нему, расшифровка происходит на стороне клиента. Причем облачный сервис не «видит» самих ключей, а просто предоставляет услуги по хранению данных.
«Однако ничто не мешает сервису пытаться подбирать ваш пароль к приватному ключу, который лежит на серверах сервиса. Так что вопрос доверия есть», - объясняет Кирилл Воробьев.
Учитывая все эти риски, лучше перестраховаться и принять дополнительные меры по безопасности. Может они полностью не спасут от злоумышленников, но точно усложнят им жизнь.
«Если же есть необходимость хранить резервную копию в облачных сервисах, то лучше файл с ключом хранить в запароленном архиве. А на доступ к облачному сервису также установить сложный пароль и при возможности подключить двухфакторную аутентификацию», – советует Виталий Якушев.
Утеряны навсегда
Quadriga действительно затронула огромную проблему в мире криптовалют. И биржа показала, насколько главное преимущество монет может стать их огромным минусом. Сейчас, частные компании пытаются восстановить доступ к холодным кошелькам. Но пока их усилия не приносят плодов.
Есть мнение, что в итоге они просто тратят время впустую.
«Восстановить приватные ключи к холодному кошельку – невозможно, это главный принцип криптоденег», - уверен Виталий Якушев.
Но также существует точка зрения, что еще не все пропало и есть надежда на возврат утерянной криптовалюты.
«Чтобы восстановить доступ к кошельку – есть несколько способов. Первый, самый очевидный – попытаться подобрать пароль. В таком случае все полностью зависит от его сложности. Если пароль состоял из случайных символов длиною, скажем, больше 14, то все попытки тщетны», – утверждает Кирилл Воробьев.
Второй же путь заключается в том, чтобы переиграть основу основ монет – криптографию.
«То есть зная несколько конечных значений, получить недостающее – приватный ключ. Принято считать, что нет таких мощностей и человеческих ресурсов ни у кого, чтобы осуществить эту атаку», – говорит Кирилл Воробьев.
Также, теоретически может быть и третий путь – найти лазейки в системе.
«Существует такое понятие как NOBUS (NObody But US) – «никто кроме нас», так называют лазейки, которые были специально внедрены еще на стадии проектирования алгоритмов, приложений, различного аппаратного обеспечения, в целом, чего угодно», – объясняет Кирилл Воробьев.
Потенциально возможно, что кто-то из разработчиков знает, где можно найти эти лазейки. Но блокчейн построен на принципе открытого кода, то есть каждый желающий может найти его в интернете и протестировать. Потому если бы лазейка была, скорее всего ее бы уже нашли.
«Из единиц случаев известно, что есть небольшие уязвимости, которые переводят атаки из раздела невозможных в чуть менее невозможных. Сложность проектирования «гениального секрета» настолько высока, что в действительности ее приписывают только специальным подразделениям отдельных стран», - уверен Кирилл Воробьев.
Поэтому в случае с Quadriga, ее пользователям остается только верить и надеется на помощь «высших сил».
Как не «попасть»
Статистика свидетельствует о том, что криптоэнтузиасты вредят себе больше, чем те же хакеры. Человек не идеален, и он может забыть и потерять что-угодно, не говоря уж о пароле или фразе из 12 слов. Потому всегда лучше перестраховываться, даже если это бьет по удобству.
«Самый безопасный способ всегда будет самым неудобным – распечатать ключи, разделить бумажную копию на несколько частей и каждую часть хранить отдельно в сейфе, банковской ячейке или другом безопасном месте физического мира», – советует Виталий Якушев.
Подобный способ используют криптомиллиардеры братья Уинкелвосс. А они-то точно знают, как уберечь свои активы.
Но главное в этом не переусердствовать, ведь все хорошо в меру.
«Повышенную безопасность предоставляет локальное хранение кошелька с использованием случайного пароля из 16 символов. Желательно, чтобы это был какой-то редко используемый носитель, вроде microSD флеш-накопителя, замурованного в стену здания местной городской администрации. Кому, в конце концов, придет в голову искать там секреты. Если использовать более практичные способы, то хороший вариант – использование аппаратного токена», - говорит Кирилл Воробьев.
Всегда стоит искать золотую середину, и помнить одно – при утере ключей к кошельку, восстановить доступ вряд ли получится. А значит со своими сбережениями придется распрощаться раз и навсегда. Потому всегда лучше иметь «план Б» Подробнее:
https://letknow.news/publications/vopros-na-15-mlrd-kak-hranit-i-ne-poteryat-kriptovalyutu-18585.html
. 
. 
. 
. 
. 
. 
Shop
Topic: Вопрос на $15 млрд: как хранить и не потерять криптовалюту (Read 1049 times)
Latest news: