В контексте безопасности биткоин-кошельков, ключевое внимание часто сосредотачивается на сохранности приватных ключей, обеспечивая, чтобы они не становились доступными для неподобающих лиц. Это основано на предположении, что в случае, если злоумышленник обретает контроль над приватными ключами, контроль над кошельком теряется.
Однако, комплексная защита биткоин-кошелька не ограничивается только защитой приватных ключей. Важно также мониторить транзакции входа и выхода, поскольку злоумышленники могут интерцептировать эти операции с целью редиректа BTC на свои счета.
В Casa убеждены, что, несмотря на то что ни одно ПО кошелька не обеспечивает абсолютной защиты, браузерные кошельки часто подвергаются атакам из-за своей уязвимости.
Фишинг и Малвари
Фишинг заключается в манипулировании пользователем, перенаправляя его на поддельный сайт, который копирует оригинальный, с целью кражи логина, пароля или индуцирования загрузки скомпрометированной версии кошелька.
Так, посетив фейковый сайт, имитирующий C0inbase, злоумышленники могут стать обладателями логина, пароля и даже 2FA, необходимых для входа в аккаунт Coinbase. Манипуляции с рекламой в поисковиках, направленные на перенаправление пользователей на фейковые сайты, являются распространенной тактикой.
Фишинговые атаки, нацеленные на веб-кошельки, не новость, однако они также распространены среди десктопных кошельков, взаимодействующих с удаленными серверами. Пользователи кошелька Electrum столкнулись с фальшивыми уведомлениями об обновлении, ведущими к загрузке инфицированных версий ПО.
Пользователи Trezor, хотя и хранят свои приватные ключи в защищенном виде на отдельных устройствах, также становятся жертвами через веб-интерфейс Trezor. Так, детальное внимание к SSL-сертификату может раскрыть несоответствие домена, а сайты-имитаторы Trezor могут перехватить пользователей, ошибочно вводящих URL.
Атакующие осознают невозможность удаленного доступа к приватным ключам на аппаратных устройствах, поэтому исследуют уязвимости в ПО, предназначенном для управления этими устройствами. Атаки, требующие ввода seed-фразы пользователем, остаются распространенными, несмотря на их подозрительный характер.
Десктопные кошельки также подвержены риску из-за малвари, особенно угрожающей операциям ввода и вывода средств. Это обусловлено многообразием векторов атаки в операционных системах общего назначения.
Злоумышленники иногда контролируют популярные JavaScript-библиотеки, широко применяемые в биткоин-кошельках. Это представляет серьезную угрозу для браузерных кошельков, многие из которых основаны на JavaScript.
Аппаратные Кошельки как Золотой Стандарт
Разумеется, причина, по которой аппаратные кошельки вроде Ledger, Trezor, Coldcard и прочие считаются золотым стандартом в безопасности биткоин-кошельков, заключается в их способности обеспечивать максимальную защиту приватных ключей. Они обладают встроенным ПО, обеспечивающим устойчивость к взлому и гарантирующим целостность генерируемых адресов.
ПО, установленное на общедоступных ПК, обычно подвержено атакам. В контрасте, мобильные ОС обычно обладают улучшенными механизмами защиты и эффективней изолируют приложения, обеспечивая дополнительную защиту.
Браузерные Расширения и Их Угрозы
Хотя кошельки для настольных и мобильных устройств могут быть достаточно надежными при условии строгой безопасности операционной системы, веб-кошельки часто обнаруживаются незащищенными.
Проблемы безопасности веб-кошельков часто выходят за рамки уязвимостей собственной инфраструктуры провайдеров, проникая в зону ответственности конечного пользователя. Эффективная стратегия обороны от малвари включает использование браузерного кошелька исключительно на изолированном компьютере, но многие игнорируют этот принцип, ставя под угрозу свою безопасность.
Одной из беспокойных проблем является возможность браузерных расширений легко контролировать все данные, передающиеся через браузер. В 2018 году эксперты из “Лаборатории Касперского” выявили троян, нацеленный на браузерные кошельки, устанавливая вредоносные расширения.
Функция `findAndReplaceWalletAddresses` отслеживает адреса кошельков Bitcoin и Ethereum, заменяя их на адреса злоумышленников. Эта функция активна на большинстве веб-страниц, исключая сайты на доменах Google и Yandex, а также некоторые популярные домены, такие как instagram.com и ok.ru. QR-коды кошельков также подменяются.
Эти уязвимости браузеров, возможно, послужили причиной прекращения поддержки расширений для Chrome компанией Ledger, которая теперь предпочитает, чтобы пользователи устанавливали десктопное приложение Ledger Live.
Открытый Исходный Код и Мобильные Приложения
Хотя программы с открытым исходным кодом обычно считаются более надежными, мобильные приложения имеют свои трудности. На данный момент нет метода, который бы гарантированно подтверждал, что программы, загруженные из iOS App Store или Google Play, идентичны тем, что хостятся в репозиториях с открытым исходным кодом.
Платежный протокол, инкорпорирующий криптографически подписанный адрес получателя, может потенциально укрепить целостность транзакций, исключая возможность атак “человек посередине”. Bitcoin Improvement Proposal (BIP) 75 был предложен в 2016 году для этой цели, но не получил распространения из-за возможных проблем с приватностью пользователей. Современные методы подтверждения адреса для крупных транзакций включают проверку через альтернативные коммуникационные каналы, такие как видео или аудио.
Остерегайтесь Браузеров!
Если вы рассматриваете варианты мобильных или настольных кошельков для повседневного использования, рассмотрите возможность выбора Atomic Wallet. Ваши приватные ключи останутся на вашем устройстве и будут хорошо зашифрованы, обеспечивая, что только вы сможете управлять своими активами. Среди ключевых особенностей кошелька – поддержка более 500 монет и токенов, инстантный обмен с возвратом средств и децентрализованный стейкинг.
Вывод
Безопасность биткоин-кошельков остается сложной и многоаспектной проблемой, требующей всеобъемлющего подхода. Основное внимание часто уделяется защите приватных ключей, но другие аспекты, включая мониторинг транзакций и выбор соответствующего типа кошелька, также играют критическую роль.
Веб-кошельки, особенно те, которые используются через браузеры, представляют собой значительные уязвимости. Расширения браузера, малвари и фишинговые атаки ставят пользователей под угрозу потери своих цифровых активов. Следовательно, использование десктопных или мобильных кошельков на изолированных и хорошо защищенных системах остается предпочтительным вариантом для многих.
Программное обеспечение с открытым исходным кодом, в теории, предоставляет большую прозрачность и безопасность, но существуют проблемы в определении, является ли программное обеспечение, загруженное из официальных магазинов приложений, тем же, что и хостится в открытых репозиториях.
Аппаратные кошельки, такие как Ledger и Trezor, продолжают оставаться золотым стандартом для хранения биткоинов благодаря их способности изолировать и защищать приватные ключи. Пользователи должны оставаться бдительными и обучать себя лучшим практикам безопасности, чтобы минимизировать риски, связанные с угрозами безопасности, варьирующимися от малвари до сложных фишинговых атак.
В конечном итоге, образование и осведомленность оставляются первостепенными инструментами для обеспечения безопасности цифровых активов в мире, где технологические угрозы развиваются так же быстро, как и технологии, предназначенные для их защиты.
Я открыт для обсуждения любых ваших вопросов и готов предоставить свою помощь в создании инвестиционного портфеля, специально адаптированного под ваши уникальные потребности и цели.
