Як не варто створювати криптогаманець
Користувач Reddit розповів історію про те, як він створив холодний криптовалютний гаманець, але за рік шахраї вкрали накопичені активи.
Щоб згенерувати закритий ключ, хлопець використав JavaScript на спеціальному сайті, але без під’єднання до інтернету. Після цього він очистив браузер (кукі, кеш) та роздрукував отримані дані. Проте, незважаючи на дотримання рекомендацій щодо безпеки, шахраї зуміли викрасти понад $3000 з його гаманця. Це змусило хлопця звернутися до спільноти, аби розібратися у тому, що сталось.
«Я зробив усе самостійно, згенерував свій ключ на автономному комп’ютері та роздрукував його на папері, потім переказав свої BTC на холодний гаманець і поклав його в сейф, ключ від якого є тільки у мене»— © анонімний користувач Reddit.
Він вважає, що витік стався під час відправлення файлу на мережевий принтер, але уразливість, найімовірніше, була в іншому місці. Цілком можливо, що користувач від самого початку отримав скомпрометовані дані через шкідливий код JavaScript. Ба більше, раніше цей сайт вже кілька разів фігурував в аналогічних ситуаціях.
Виходить, розробники просто написали фальшивий процес генерування закритих ключів. Іншими словами, гаманці створювалися за допомогою обмеженого криптографічного алгоритму або просто вибиралися із заздалегідь визначеного списку. Проте для шахраїв набагато вигідніше створювати код із малопомітним недоліком, що дасть змогу ошукувати більш досвідчених користувачів.
У будь-якому разі зловмисники добре продумали злочин: їхній гаманець отримав одразу двадцять великих переказів одночасно. Цілком імовірно, вони чекали людей з великим капіталом і вивели найбільш вагомі активи, коли фахівці з безпеки в мережі почали висловлювати побоювання щодо застосунку. Після перевірки IP-адреси один із користувачів виявив, що нещодавно сайт отримав декілька негативних відгуків.
Ця історія вкотре нагадує всім користувачам криптовалют: навіть якщо ви впевнені, що дотримуєтесь рекомендацій щодо кібербезпеки, є ризик натрапити на проблеми. Наприклад, представник CertiK вважає генератори закритих ключів одним із найнебезпечніших інструментів для створення криптовалютного гаманця, але люди продовжують ними користуватися. Тому важливо ретельно перевіряти кожен крок і довіряти лише перевіреним децентралізованим застосункам із відкритим вихідним кодом.