Как не стоит создавать криптокошелек
Пользователь Reddit рассказал историю о том, как он создал холодный криптовалютный кошелек, но спустя год мошенники украли накопленные активы.
Чтобы сгенерировать закрытый ключ, парень использовал JavaScript на специальном сайте, но без подключения к интернету. После этого он очистил браузер (куки, кеш) и распечатал полученные данные. Тем не менее, несмотря на соблюдение рекомендаций по безопасности, мошенники сумели похитить более $3000 с его кошелька. Это заставило парня обратиться к сообществу, чтобы разобраться в произошедшем.
«Я сделал все самостоятельно, сгенерировал свой ключ на автономном компьютере и распечатал его на бумаге, потом перевел свои BTC на холодный кошелек и положил его в сейф, ключ от которого есть только у меня»,— © анонимный пользователь Reddit.
Он считает, что утечка произошла при отправке файла на сетевой принтер, но уязвимость, скорее всего, находилась в другом месте. Не исключено, что пользователь изначально получил скомпрометированные данные из-за вредоносного кода JavaScript. Тем более, что ранее данный сайт уже несколько раз фигурировал в аналогичных ситуациях.
Получается, разработчики просто написали фальшивый процесс генерирования закрытых ключей. Другими словами, кошельки создавались с помощью ограниченного криптографического алгоритма или просто выбирались из заранее определенного списка. Однако для мошенников гораздо выгоднее создавать код с малозаметным недостатком, что позволяет обманывать более опытных пользователей.
В любом случае злоумышленники хорошо продумали преступление: их кошелек получил сразу двадцать больших переводов одновременно. Вероятно, они ожидали людей с крупным капиталом и вывели наиболее весомые активы, когда специалисты по безопасности в сети начали высказывать опасения относительно приложения. После проверки IP-адреса один из пользователей обнаружил, что недавно сайт получил несколько негативных отметок.
Эта история в очередной раз напоминает всем пользователям криптовалют: даже если вы уверены, что соблюдаете рекомендации по кибербезопасности, есть риск столкнуться с проблемами. Например, представитель CertiK считает генераторы закрытых ключей одним из самых опасных инструментов для создания криптовалютного кошелька, но люди продолжают ими пользоваться. Поэтому важно тщательно проверять каждый шаг и доверять только проверенным децентрализованным приложениям с открытым исходным кодом.