Дыры в цифровом кошельке: как выбрать систему для хранения биткоинов

Фото: Тим Яржомбек для РБК

​По последним данным, опубликованным в конце августа, более 30 тыс. человек в этом году оказались жертвами мошенничества, связанного с криптовалютой под названием эфир (Ethereum). Согласно информации нью-йоркской фирмы Chainalysis, средний размер потерь — около $7,5 тыс. на человека. По мнению экспертов, высокое количество краж объясняется в первую очередь недостаточной безопасностью кошельков, на которых криптовалютные инвесторы хранят свои средства.

Криптовалютный кошелек — это специальная программа, позволяющая ее владельцу получать доступ к средствам, записанным в блокчейне. «В каком-то смысле такой кошелек похож на ключ от банковской ячейки, только ячейка находится не в банке, а в децентрализованном криптохранилище», — объясняет директор по продукту рекламной блокчейн-экосистемы Papyrus Александр Швец.

Такие цифровые хранилища позволяют контролировать баланс счета, переводить средства и обменивать одну валюту на другую, там можно держать как биткоины, так и альткоины, то есть другие криптовалюты. В мире существует более 1000 криптовалют, и многие из них имеют свой собственный кошелек, то есть программу, которая поддерживает лишь криптовалюту данного типа.

По словам опрошенных РБК экспертов, наиболее популярными среди «монохранилищ» являются кошельки под биткоин — самую распространенную и дорогую цифровую валюту (общая капитализация на 19.09.2017 — $66 млрд). На втором месте по востребованности — кошельки для эфира (общая капитализация — $27 млрд).

Для удобства пользователей, работающих с несколькими криптовалютами, существуют также мультикошельки, которые могут хранить и поддерживать транзакции с разными видами цифровых денег.

Горячо или холодно

Все кошельки для хранения криптовалют делят на два типа: программные и аппаратные, или, другими словами, онлайн и офлайн-кошельки, рассказывает сооснователь криптобанка Wirex Дмитрий Лазаричев.

Онлайн-кошельки часто называют «горячими»: они постоянно подключены к интернету, потратить средства с них можно в любой момент. Такие кошельки могут находиться как на отдельных сайтах (браузерные кошельки), так и представлять собой программы, которые устанавливаются на компьютер пользователя (десктопные), рассказывает сооснователь и партнер инвестиционного фонда по работе с криптоактивами The Token Fund Владимир Смеркис. В частности, «горячими» являются кошельки на сайтах криптовалютных бирж Poloniex, Bittrex, Bitstamp, Yobit Liqui и др. — в них переводятся необходимые для торговли средства. Кроме того, онлайн-кошельки встречаются на сайтах блокчейн-проектов, выпустивших собственные токены.

Офлайн-кошельки, или «холодные», не подключены к интернету, их устанавливают на отключенном от сети компьютере или специальном физическом носителе. «Такое хранение валюты называется аппаратным; чаще всего для этого используются устройства, похожие на накопители», — рассказывает редактор отраслевого портала Happy Coin Club Валерий Смаль. Средства в «холодный» кошелек можно положить, указав адрес в блокчейне. А вот снять «монеты» можно только тогда, когда устройство подключено к компьютеру (в этот момент ему передается информация и о новых поступлениях средств).

Если криптокошелек предполагает использование приватного ключа, открывающего доступ к средствам, то сооснователь блокчейн-проекта BitClave Василий Трофимчук советует хранить его также «холодным» способом. Либо, по старинке, распечатанным на бумаге в оригинальном виде, либо, как советует Александр Швец, переведенным в QR-код.

В зоне риска

Обычно красть средства хакерам позволяют прорехи в системе безопасности и неосмотрительность хозяев кошельков, объясняют эксперты. «В случае с «горячими» кошельками наиболее распространенными причинами взлома являются уязвимость в коде смарт-контракта (электронный алгоритм передачи информации на базе блокчейна, позволяющий осуществлять обмен средствами) и слабые зоны в коде самого кошелька. Яркий пример — кража биткоинов на сумму $460 млн с биржи Mt.Gox. Хакеры использовали баг в системе транзакций, который существовал с первого дня работы биржи, что позволило им незаметно переводить небольшие суммы на свои счета со счетов кошельков биржи», — вспоминает Владимир Смеркис.

Еще один пример такого рода — взлом гонконгской биржи Bitfinex. Тогда мошенники похитили около 120 тыс. биткоинов на сумму $60 млн у пользователей, хранивших средства в биржевых кошельках. «Система безопасности Bitfinex имела серьезную уязвимость, что позволило злоумышленникам получить доступ к тысячам кошельков клиентов», — объясняет Смеркис.

Другим популярным способом мошенничества является фишинг. Мошенники создают обманные запросы или целые сервисы с целью получить информацию о доступе к кошельку. «Например, при проведении ICO совершается подмена web-адреса — инвестор думает, что вкладывается в ICO, но на самом деле деньги уходят в руки преступников. То же самое проворачивают и с криптокошельками: меняют одну букву в названии популярного сервиса, пользователи открывают там кошелек, переводят монеты и моментально их теряют», — приводит пример Валерий Смаль.

Чтобы избежать таких потерь, эксперты советуют криптоинвесторам скрупулезно проверять адреса сервисов.

Вообще, невнимательность чревата потерями всегда. Валерий Смаль рассказывает случай из собственной практики: «В социальных сетях, когда договариваются о получении токенов того или иного проекта, часто указывают адреса кошельков. Однажды в социальной сети, которую я веду, пользователь хотел отправить на проверку организаторам адрес кошелька, но по ошибке указал еще и приватный ключ. Его обчистили через десять минут».

Риск взлома выше всего именно для «горячих» кошельков, уверяют эксперты. Особенно опасны «легкие» кошельки, требующие минимальной верификации (ввода логина и пароля) для подтверждения транзакции, а также сервисы, самостоятельно хранящие приватный ключ и seed-фразу, то есть набор слов, используемых для восстановления кошелька. В частности, самостоятельно хранят такие данные биржи и, например, кошелек JAXX.

Самыми безопасными экспертное сообщество считает аппаратные, или «холодные» кошельки. «Они обладают максимальной степенью безопасности, поскольку не подключены к интернету», — уверяет директор по продукту в блокчейн-платформе Waves Игорь Пугачевский.

Как защитить вложения

Хотя риски при использовании «горячих» кошельков высоки, инвесторы, активно торгующие криптовалютой, вынуждены ими пользоваться. «Тем, кто торгует на бирже, нужен быстрый доступ на рынок через смартфон. К сожалению, пока установить на телефон можно лишь «горячие» программы», — объясняет Валерий Смаль.

Чтобы максимально обезопасить вложения, эксперты рекомендуют никогда не хранить все активы на одной платформе. «Не стоит оставлять все яйца в одной корзине, лучше использовать «холодное» хранение для основной части ваших активов, а для быстрых операций выбирать легкие мобильные программы», — советует Игорь Пугачевский.

Также участники криптосообщества советуют не забывать об элементарных правилах сетевой гигиены: следить, чтобы приватные ключи хранились только у владельца, не доверять сервисам, которые хранят ключи за пользователей, например, не размешать слишком крупные суммы на сайтах криптовалютных бирж, делать бумажные копии ключей и не распространяться о том, сколько и каких средств находится на хранении.

«Если программа позволяет, следует включить двухфакторную аутентификацию. В таком случае помимо пароля и логина надо будет ввести еще код, который придет в виде SMS-сообщения или письма на электронную почту», — поясняет Валерий Смаль. Такую систему верификации имеют, например, кошельки MyEtherWallet и HolyTransaction. Эксперт также советует использовать все возможности защиты, которые предоставляют сервисы.

Для сохранности цифровых активов можно привлечь третьих лиц. Для этого нужно завести кошелек с мультиподписью, то есть с возможностью верификации транзакции несколькими сторонами. «Большинство кошельков онлайн-обменников и криптовалютных бирж обладают моноподписью, то есть владелец сам подтверждает передачу средств на чужой счет. Если же открыть кошелек с мультиподписью, транзакцию должна будет подтвердить третья сторона (лицо или организация)», — рассказывает Дмитрий Лазаричев.

Подобной услугой пользуются, например, в The Token Fund. «Технически это реализовано следующим образом: при открытии кошелька пользователь указывает мастер-пароль и пару криптографических ключей, затем определяет от одного до 12 человек, которым доверяет подтверждение транзакции. При попытке перевода денег доверенные лица получают сообщение с предложением одобрить или отклонить транзакцию. Для одобрения нужно получить согласие от одного до четырех человек», — объясняет Владимир Смеркис. Криптокошелек с мультиподписью предлагают клиентам такие платформы, как Wirex, BitGo и BlockCypher.