Če v zadnjem tednu niste slišali najnovejšega brenčanja v kriptosferi, potem verjetno živite pod skalo, ker se na to (žal) vsi ljudje osredotočajo. Ian Balina se je 16. aprila 2018 okoli 4 ure po srednjeevropskem času, v živo v živo, vlagatelj v kriptovalute, svetovalec in samooklicani “evangelist”, le sramežljivo ukradel 2 milijona ameriških dolarjev iz denarnice ETH.
Nenadoma je končal svoj prenos v živo in objavil naslednje sporočilo –
Težko je dojeti, kako je nekdo z milijonskim imetjem to tako nepremišljeno shranil. In najstrašnejši del – pogostejši je, kot si mislite. V zdaj izbrisani masaži Telegram je Balina pojasnil, kako misli, da so ga vdrli:
Tako mislim, da so me vdrli. E-poštni naslov moje fakultete je bil naveden kot e-poštni naslov za obnovitev mojega Gmaila. Spomnim se, da sem prejel e-poštno sporočilo, da je bilo ogroženo, in sem poskušal nadaljevati z varnostjo fakultete, da bi ga rešili, vendar ga nisem mogel hitro [sic] obdelati in sem obupal, misleč, da gre le za staro E-naslov.
Besedilne različice zasebnih ključev shranjujem v Evernote kot šifrirane besedilne datoteke z gesli. Mislim, da so mi vdrli v e-pošto z e-poštnega naslova v šoli in nato vdrli v Evernote.
Za tiste, ki niso povsem prepričani, kdo je Ian Balina, je v začetku leta 2017 začel snemati videoposnetke v YouTubu, ki vlagatelje uči, kako »vdreti v sistem« in zaslužite šestmestni dohodek. V zadnjih šestih mesecih je po njegovem razkritju, da je govoril glas, postajal pomemben 90.000 dolarjev naložbe v 4 milijone dolarjev v manj kot 12 mesecih – izjava, ki jo je potrdil s svojo Utrinki blokfotografov, objavljeni na Twitterju.
Tako kot on ali ne, kramp Ian Balina je draga lekcija o tem, kako pomembno je, da je vaš kripto zaščiten. Tu so 4 temeljna varnostna prevoda in opomniki, ki bi se jih morali HODLers seznaniti s svojimi brskalniki, naložbami in shranjevanjem, da bi zmanjšali možnosti, da bi jih vdrli (ali oškodovali v družabnih medijih)..
1. Ne šopirite se samo zato, ker ste ga razumeli
Tako kot povprečna oseba ob 2. uri zjutraj ne hodi naokrog, da bi vpila svoje podatke o bančnem računu in koliko denarja ima v svoji denarnici v zanikrni soseski, kripto vlagatelji ne bi smeli objavljati svojega kripto portfelja in lastništva prek spleta – ali osebno.
Tudi pri sodelovanju na priljubljenih spletnih forumih, kot sta BitcoinTalk ali Reddit, je diskretnost ključnega pomena – samo vprašajte tega Redditorja ki je svoje zasebno seme Siacoin dejansko objavil na spletu in mu je srečno prijazen kolega Redditor dal lekcijo iz varnosti.
Vzdrževanje predvajanja finančnih informacij na spletu se zdi očiten namig, vendar se še vedno ponavlja.
Tu je le nekaj posledic in varnostnih tveganj, ki jih odpira vlagateljem:
- Ciljne lažne prevare
- Ransomware
- Socialni inženiring
- Rop
Tako je, rop. Vzemi od ta Tajvanec ki je dokazom svojih bitcoinov pokazal tri prevarante, na koncu pa je bil napaden in oropan. Prevaranti so iz njegovega računa (po telefonu) prenesli 18 bitcoinov – po ocenah več kot 170.000 ameriških dolarjev..
Celo islandski premier se je končal kot nehoten opazovalec bega človeka osumljen kraje okoli 600 računalnikov z Bitcoinom, kar velja za največji rop Islandije doslej.
Morda ne želite, da vas spregledajo, a tudi ne želite, da bi vas preveč gledali. Ne doksirajte se sami.
2. Če na spletu shranjujete več kot enomesečno plačo, uporabite hladilno shrambo
Ko se odločajo, ali bodo ponižali in za stroški denarnice zapravili od 60 do 150 ameriških dolarjev, bi se morali HODL-jevci vprašati, koliko jim je všeč, če izgubijo svoja gesla ali podatke za prijavo..
Shranjevanje zasebnih ključev v spletu in uporaba vročih denarnic je obvladljivo in primerno za vlagatelje, ki na spletu shranjujejo majhne vsote, medtem ko bi morali hladilniki – shranjevanje sredstev v napravi brez povezave – in strojne denarnice uporabljati vlagatelji, ki imajo na borzi več kot enomesečno plačo..
Če pa bi celo izguba tedenske plače zaradi vdora drastično vplivala na vas – finančno ali čustveno -, potem je vredno zapraviti zavihek tistega vikenda ali nekaj denarja, ki ste ga prihranili za presenečenje 90-letnice vaše nane.
Balina se je zmotil pri shranjevanju in / ali zasebnih ključih z uporabo splošnega in brezplačnega programa za shranjevanje v oblaku in ogroženo e-pošto, ki je hekerjem omogočila, da vdrejo v njegovo trenutno e-pošto in pridobijo dostop do Evernote..
Shranjevanje zasebnega ključa ali semen v spletu se ne šteje za hladno shrambo – to se šteje za vročo denarnico, saj je povezano z internetom – in je priloženo številne težave in varnostne ranljivosti, povezane z vročimi denarnicami.
Če dvomite, pojdi hladen.
Oboje Trezor in Ledger Nano sta dve priljubljeni in ugledni strojni denarnici za shranjevanje sredstev. Ne pozabite, majhna naložba v varnost bi zdaj lahko preprečila Charlie Shrem – ustanovni član fundacije Bitcoin – od tega, da vam enkrat dam v prihodnosti.
Če iščete mobilnost, pomešano s hladilnikom, razmislite o uporabi CoolWallet S, mobilna denarnica strojne opreme, ki podpira Bitcoin, Ethereum, Ripple, Litecoin in Bitcoin Cash (prihajajo žetoni ERC-20).
Poleg tega so papirnate denarnice učinkovito sredstvo za shranjevanje v hladilniku, če tega ne storite papirju položite seme za obnovitev in PIN pred poletom pod hčerkino blazino in za pospravljanje najemite čistilno ekipo.
Za celovit pregled denarnic s kriptovalutami, oglejte si naš začetniški vodnik po denarnicah za kriptovalute.
3. Pazite se Punycode
Od meteorskega vzpona kripto v zadnjih nekaj letih je lažno predstavljanje najprimernejša metoda za prevarante, ki želijo izkoristiti neprevidne HODLerje in tiste, ki hitro skočijo na brezplačna kripto darila – hvala @VitarikBooterun iz Rusije, ki ima 2 sledilca in nima slike profila ( to je ponaredek in popolnoma izmišljen Twitter, vendar se prijavite v Twitter in poiščite @VitalikButerin Tweet in si zabeleži).
Najbolj zaskrbljujoče vprašanje današnjih napadov z lažnim predstavljanjem je njihova zapletenost in estetska pristnost. Še posebej za ljudi, kot sem jaz, nekdo, ki naj bi tehnično nosil očala za branje, a ga mati ne prepriča, da je videti lepši z njimi – in se raje odloči za mežikanje in držanje računalnika ob obrazu.
In nisem edina, ki sem se že prej prevarala.
V začetku letošnjega leta je to postalo jasno lažni račun Tron je potrdil Twitter. Račun je zbral več kot 140.000 privržencev, medtem ko je objavljal darila za prevare, kjer so uporabniki na objavljeni naslov poslali majhne količine ETH z obljubo, da bodo v zameno prejeli 10-krat.
Tu se ne ustavi. Napadi z lažnim predstavljanjem postajajo vse bolj kreativni. Čeprav se ta metoda lažnega predstavljanja ne uporablja, je vredno paziti: ne glejte dlje od »punycode«.
Preprosto povedano, punycode je posebna predstavitev Unicode, omogoča hekerjem pretvorbo znakov v ASCII, manjši in omejeni nabor znakov – pomislite na nemški jezik. Na primer, nemško ime za München je “München”.
Torej, kako ločiti legitimna spletna mesta od zlonamernih?
- Za začetek poiščite zeleno »https« in besedo »Secure« na levi strani URL naslova spletnega mesta. Zelena označuje, da je spletno mesto pridobilo potrebna potrdila SSL in je zakonito.
- Drugič, zaznamek pogosto obiskane spletne strani je učinkovito sredstvo za zmanjšanje napak ali napačnega črkovanja.
- Še enkrat preverite, ali je bil URL pravilno vnesen, in zaupajte svojim črevesjem. Spletno mesto, ki prikazuje pojavna okna ob takojšnjem pristanku na strani, verjetno ni pravo spletno mesto za trgovanje in shranjevanje kriptov v vrednosti tisoč dolarjev.
4. Dvofaktorska avtentifikacija je ključna – ena metoda kraljuje najvišje
Varnostno kopiranje kripto računov in prijav z dvofaktorsko overitvijo – znano tudi kot 2FA – je ključni korak pri povečanju varnosti portfelja. 2FA zahteva, da uporabniki vnesejo enkratno geslo (OTP), ki jim ga prejmejo prek pametnega telefona ali aplikacije, da dokončajo postopek prijave.
Vendar bi se morali uporabniki, ki resno jemljejo varnost, odreči uporabi avtentikacije SMS za 2FA in namesto tega uporabljati aplikacije, kot je Google Authenticator, ali manj priljubljena Avti.
Raziskovalci in strokovnjaki za varnost že dolgo opozarjajo na uporabo besedilnih sporočil kot potrditveni varnostni ukrep pri spletni prijavi, pri čemer ugotavlja, da so hekerji že organizirali obsežne napade, kjer so izkoriščali znane napake v različnih celičnih omrežjih, da bi prestregli besedilna sporočila, poslana uporabnikom.
Prednost programa Google Authenticator je, da temelji na moči, da vam ni treba komunicirati s celičnim operaterjem, obdržati časovno omejene kode za preverjanje pristnosti v aplikaciji (običajno 30 sekund) in telefonu. Tudi če heker uporabniško telefonsko številko hitro premakne na nov telefon, to ne vpliva na kodo.
Ko uporabljate Google Authenticator ali druge aplikacije 2FA, je nujno varnostno kopirati zasebne ključe in jih varno shraniti – samo v primeru, da telefon pokvarite ali izgubite.
Končne misli
Medtem ko nekateri v kripto skupnosti niso prepričani, da je bila Balina resnično vdrta – izpostavlja nekaj sumljivih okoliščin in razloge, zakaj je imela Balina v resnici neposredno vlogo – Balina od takrat tovrstne trditve zavrača in trdi, zdaj uradno v kazenski preiskavi.
Ne glede na to, kaj se je dejansko zgodilo, je jasno, da tudi “prekaljeni” imetniki kripto delajo hude in očitne varnostne napake.
Upajmo, da bo ta članek vsem, ki so tam zunaj, opomnil, da si je treba vzeti trenutek, da ponovno ocenite, ali izvajate ustrezne previdnostne ukrepe – ne glede na to, kako preprosti in osnovni se zdijo – za varno transakcijo in shranjevanje kriptovalut.
Sorodno: Kako zavarovati svoje kriptovalute