З кожним роком криптовалютні біржі та децентралізовані додатки стають все більш популярними, залучаючи сотні тисяч нових користувачів, які бажають інвестувати у цифрові активи. Проте, разом з цим зростає і кількість кіберзлочинів, спрямованих на викрадення криптовалюти. Захист акаунтів користувачів стає критично важливою задачею, і одним із найбільш ефективних методів є використання двофакторної автентифікації (2FA).
Однак, традиційні методи 2FA, такі як SMS-коди та підтвердження через електронну пошту, мають свої вразливості. У цій статті ми розглянемо використання фізичних ключів безпеки як найбільш надійного варіанту підтвердження дій на прикладі таких криптовалютних бірж: Binance, OKX, WhiteBit. Розповімо про протоколи безпеки, який інтегрували собі ці компанії, щоб ми змогли використовувати фізичні ключі. Розглянемо шлях вразливості від вашого децентралізованого додатка на телефоні чи комп’ютера, до Google аккаунту чи Apple ID.
Але спочатку розповімо про останню велику Bitcoin конференцію в Нешвілл США, яка пройшла з 25-27 липня 2024 року. А точніше, про виступ представників двох схожих і в той самий час дуже різних продуктів – CASA та LEDGER.
Першими виступав представник компанії CASA. Casa.io – це додаток для криптовалют, який дозволяє вам самостійно керувати своїми цифровими активами. Аналог гарячого гаманця, який має велику безпекову надійність. Так ось, основною новиною презентації було інтегрування можливості підпису транзакцій ключами безпеки Yubikey! «Всі можливості гарячих гаманців тепер захищені фізичним підписом вашого Ключа Безпеки» – казав представник компанії, демонструючи відео як проходить підтвердження, транслюючи картинку де ключ був відображений посередині між холодним та гарячим зберіганням.
Назвавши його “Cool Wallet”, сміючись, що такий спосіб поєднання можна назвати “прохолодний”.
Ledger презентував новий криптогаманець Ledger Flex з сенсорним захищеним екраном, який дає можливість повністю бачити ваші транзакції, відображає ваші NFT як при роботі, так і в режимі очікування. А в кінці презентації зазначили: «Ми добре знаємо вашу любов до бірж, як любите ви їх використовувати, як дорожите своїми акаунтами, тому ми подбали про вас. Нова функція Security key в Ledger»!
Насамперед цю функцію додали на всі Ledger, останні ж пристрої Stax та Flex мають NFC (як і більшість ключі безпеки Yubico), тому використання їх з мобільними пристроями чи комп’ютерами з цією технологією є зручнішим ніж через кабель.
Тож, роблячи висновок можемо зазначити що використання ключів безпеки стає буденністю, тому давайте детальніше розгорнемо цю тему.
Швидко пригадаємо, що таке двофакторна автентифікація?
Двофакторна автентифікація (2FA) — це метод захисту, який вимагає від користувача два види підтвердження його особи для входу в акаунт або виконання важливих дій (до прикладу, виведення коштів). Найчастіше це поєднання “чогось, що ви знаєте” (пароль) і “чогось, що ви маєте” (фізичний ключ або мобільний пристрій).
Численні випадки крадіжок криптовалюти підтверджують вразливість використання простих методів автентифікації. Наприклад, багато користувачів стикалися з ситуацією, коли їх кошти зникали з акаунтів на біржах. Під час розслідування від підтримки біржі з’ясувалося, що з акаунту було підтверджено виведення коштів через 2FA, коди якого надсилалися на електронну пошту або телефон. Відповідь та вердикт від працівників: вразливість була на боці користувача. Це вказує на те, що зловмисники змогли перехопити ці коди та здійснити крадіжку. Ще більш загадковими є крадіжки з підтвердженням від passkey з ваших пристроїв apple чи google, чи інших додатків автентифікаторів.
Як відбувається злам?
1. SIM-крадіжка (SIM-swapping): зловмисники можуть переконати мобільного оператора перевипустити SIM-карту, що дозволить їм отримувати всі SMS з кодами 2FA.
2. Фішингові атаки: користувачів можуть обманом змусити розкрити свої коди підтвердження через підроблені сайти або електронні листи.
3. Злом електронної пошти: якщо електронна пошта користувача зламана, зловмисники можуть отримати доступ до кодів підтвердження, що надсилаються туди.
4. Злом вашого Google чи Apple ID: це може відбутись через ту ж саму електронну пошту, або через вірусні програми в вашому комп’ютері чи смартфоні.
Фізичні ключі безпеки як надійний метод 2FA
Фізичні ключі безпеки, такі як YubiKey, становлять собою більш безпечний варіант 2FA. Вони працюють за протоколами U2F (Universal 2nd Factor) або FIDO2, які забезпечують високий рівень захисту. Найбільш значною різницею між ними є те, що перший був створений для того, щоб дозволити усій автентифікації стати безпарольною. Натомість FIDO U2F призначений служити як другий фактор для паролів. Ці протоколи інтегровані в популярні програми, додатки та навіть цілі системи на кшталт Microsoft, Google та Apple.
Основні переваги від використання фізичних ключів безпеки:
1. Захист від фішингу: фізичні ключі безпеки автентифікують користувача безпосередньо з вебсайтом, що унеможливлює перехоплення коду фішинговими сайтами.
2. Захист від зломів: на відміну від кодів, що надсилаються на електронну пошту або телефон, фізичний ключ неможливо перехопити дистанційно. Кожен ключ індивідуальний та містить окремий код, це перешкоджає відкриттю вашого акаунту іншим ключем. Плюс, на ключ встановлюється PIN code, який захистить власника на випадок крадіжки (після втрати треба швидко відв’язати старий ключ через запасний, на випадок підбору пін-коду).
3. Зручність: Фізичний ключ достатньо підключити до USB-порту або використати NFC, щоб підтвердити свою особу. Малий розмір дає змогу непримітно носити з собою. А у випадку ключів фірми Yubico, це ще ударостійкість та захист від пилу і води IP68.
Використання фізичних ключів на прикладі деяких популярних в Україні криптовалютних бірж:
Binance
Binance активно рекомендує використання фізичних ключів безпеки. Ось що вони пишуть про це у Блозі та Академії:
«Сайт Binance, як на комп’ютері/ноутбуці, так і на мобільному пристрої, тепер підтримує стандарт відкритої аутентифікації FIDO2. Це означає, що пристрої 2FA, що підтримують даний стандарт, такі як YubiKey, Trezor і інші, можуть використовуватися в якості ключів безпеки для акаунтів Binance. До тих пір, поки у вас є ключі безпеки на вашому пристрої, ви можете користуватися цією функцією.»
Як і в більшості випадків, ці налаштування знаходяться в розділі Безпека.
Детальне відео підключення ключів безпеки до акаунту на Binance
WhiteBit, також підтримує фізичні ключі безпеки як додатковий фактор автентифікації. Користувачі можуть налаштувати ключ через розділ безпеки в налаштуваннях акаунту:
1) Увійдіть у ваш обліковий запис WhiteBIT і перейдіть у розділ “Налаштування облікового запису” та “Безпека”;
2) Виберіть секцію “Двофакторна аутентифікація”, натиснувши на кнопку “Редагувати”;
3) Натисніть на “Керування ключами доступу“, а потім “Продовжити”;
4) Зареєструйте ключ доступу, вибравши один із способів для автентифікації;
5) Підтвердіть ключ доступу за допомогою обраного вами способу.
Відеоогляд
OKX, одна з провідних криптовалютних бірж світу, підтримує фізичні ключі безпеки, що значно підвищує безпеку її користувачів.
Як і у більшості випадків, всі налаштування проходять в розділі Безпека Акаунту.
Рекомендації щодо використання фізичних ключів безпеки
Для максимального захисту рекомендується використовувати фізичні ключі безпеки як єдиний метод автентифікації при вході та виведенні криптовалюти. Це можливо налаштувати в розширених налаштуваннях Безпеки, нижче приклад з біржі Binance, де ми вмикаємо Використання ключів для важливих сценаріїв, таких як зняття коштів, вхід на нових пристроях та інше.
Окрім того, бажано мати мінімум два ключі: один використовувати постійно, а інший зберігати в безпечному місці на випадок, якщо з першим щось станеться.
Фізичні ключі безпеки пропонують найвищий рівень захисту для ваших акаунтів на криптовалютних біржах, значно знижуючи ризики зломів та крадіжок. Використання таких ключів у поєднанні з іншими заходами безпеки на кшталт білий список адрес (ви заздалегідь вносите адреси на які можете виводити кошти), парольні додаткові фрази під час виводу та інше, дозволяють вам надійно захистити ваші цифрові активи та уникнути небажаних втрат.
Додатковий захист ваших децентралізованих додатків та гарячих гаманців через захист системних облікових записів по типу Google Account чи Apple ID.
Якщо у більшості випадків додавання фізичних ключів безпеки інтегровано в розділ безпеки централізованих бірж, то у випадку децентралізованих додатків по типу Trust Wallet, Uniswap, 1inch, PancakeSwap та інших, такий варіант захисту поки не використовується, але як ви мали можливість прочитати про CASA, додатки почали брати це до уваги. Розглянемо варіант без ключів: ви реєструєтесь підв’язуючи електронну пошту, чи просто вигадуєте логін та пароль, або взагалі, під’єднуєте свої холодні чи гарячі гаманці не маючи ніяких акаунтів використовуючи їх як швидкий обмін. У такому випадку весь захист залежить від захисту вашої операційної системи та захищеності облікового запису.
Додатки можуть використовувати підтвердження входу через Паролі Passkey, наприклад, в iCloud (FaceID), чи підключення через Google Account та перевіркою пошти, у такому випадку ви стаєте заручником безпеки вашого акаунту. Злом останнього може призвести до допуску шахраїв на вашу пошту, до сховища паролів. З вашого ID злочинники можуть заходити в додатки та підтверджувати дії там, де вистачає лише вашого девайса чи пошти. На цей випадок, вам знов знадобляться фізичні ключі безпеки, їх можна додати як двофакторну автентифікацію, наприклад в Google Аccount (зробивши єдиним способом входу), та обов’язковим автентифікатором при відкритті Apple ID на іншому пристрої. Таким чином ви закриєте можливості вкрасти ваші кошти через злом акаунтів.
Приклад додавання фізичних ключів безпеки:
Тож, основні поради з цієї теми:
1.Використовуйте фізичні ключі на Криптовалютних біржах. Робіть такі ключі єдиним фактором для входу на акаунт та підтвердження транзакцій.
2. Зберігайте запасний ключ. Завжди треба мати мінімум два ключі, один використовувати, а інший зберігати у безпечному місці на випадок втрати або пошкодження першого ключа, якщо ви робите ключ єдиним фактором входу.
3. Регулярно оновлюйте налаштування безпеки. Перевіряйте налаштування безпеки на біржах та вмикайте всі доступні функції захисту. Перевіряйте в налаштуваннях які пристрої мають доступ до ваших програм та додатків.
4. Захистіть ключами безпеки свої основні акаунти, по типу Apple ID та Google. Використовуйте фізичні ключі безпеки у зв’язці з криптовалютними додатками по типу CASA та інших, для безпечних транзакцій та зберігання криптовалют, звісно з тими програмами, які вже інтегрували ці протоколи для можливості їх додавання.
Резервне копіювання Шаміра (Shamir Backup)
Важливість безпеки та збереження доступу до криптовалютних активів набуває все більшої актуальності. Зростальні загрози кібербезпеки та можливість втрати або крадіжки криптогаманців підштовхують користувачів до пошуку більш надійних методів зберігання Seed Phrase. У цьому контексті метод резервного копіювання криптогаманця Shamir Backup виявляється надзвичайно ефективним та надійним рішенням.
На сьогоднішній день резервне копіювання Шаміра доступне на таких популярних криптогаманцях: Trezor та Keystone.
Що таке Shamir Backup?
Shamir Backup (резервне копіювання Шаміра) — це надійний стандарт безпеки, який усуває два найпоширеніші ризики, пов’язані із захистом фрази відновлення: крадіжка та втрата.
Метод резервного копіювання криптогаманця Shamir Backup базується на схемі розподіленого захисту, яка була розроблена Адіом Шамиром у 1979 році. Цей метод дозволяє розділити приватний ключ криптогаманця на декілька, відомих як “частки” або «акції», і при цьому забезпечити можливість відновлення приватного ключа тільки при наявності достатньої кількості цих часток.
Як працює Shamir Backup?
Процес створення резервне копіювання Шаміра починається з генерації приватного ключа криптогаманця. Потім цей ключ розділяється на задану кількість часток (макс. 16), визначених користувачем. Наприклад, користувач може вибрати створення 5 частин з можливістю відновлення ключа лише при наявності будь-яких 2 із них.
Кожна частина ключа незалежна від інших і не містить відомостей про загальний ключ. Це означає, що жодна окрема частина не надає жодної інформації про ключ або інші частини. Це робить Shamir Backup вельми стійким до атак, пов’язаних зі зламом одного з компонентів.
Частки (Акції)
Частини або акції для відновлення мають певну схожість сід-фразою BIP39, створеною під час першого налаштування криптогаманця. Отже, частка для відновлення резервної копії Шаміра — це послідовність із 20 або 33 англійських слів, що містять частину криптографічного секрету. Об’єднання необхідної кількості (порогу) частин створює головний секрет (початковий код резервної копії), необхідний для відновлення гаманця.
Під час створення гаманця за допомогою Shamir Backup, реалізованого в Trezor, користувач вибирає кількість генерованих частин. Кількість таких частин може коливатися від 1 до максимум 16.
Одна повна резервна копія Shamir, що складається з трьох спільних ресурсів для відновлення, може виглядати приблизно так:
gesture necklace academic acid deadline width armed visualization filter communication failure priest trauma approval loudness terminal lunch drift diploma rainbow
gesture necklace academic agency alpha ecology visitor raisin shout says conclusions convexity thresholds paper industry spelling cubic tactics formal illness
gesture necklace academic always disaster movement yoga airline monthly provide desire safari very modern educate solution loyalty silver prune physics
Зверніть увагу, що перші три слова однакові в усіх трьох спільних ресурсах.
Перше і друге слова служать ідентифікаторами. Вони однакові для всіх спільних ресурсів, щоб допомогти вам визначити, що ці спільні ресурси належать до однієї резервної копії.
Третє слово кодує індекс групи, який використовується в схемах резервного копіювання Super Shamir.
Поріг
Поріг — це заздалегідь визначена кількість частин (акцій), необхідних для відновлення гаманця. Для відновлення гаманця можна використовувати будь-які згенеровані частини, якщо вони відповідають пороговим вимогам. Порядок акцій не важливий.
Створюючи новий гаманець, ви встановлюєте поріг відповідно до своїх потреб. Якщо ви створюєте резервну копію Шаміра, що складається з трьох частин для відновлення, і встановлюєте порогове значення «2/3», вам знадобляться будь-які два з трьох спільних ресурсів, щоб відновити гаманець.
Ви також можете встановити порогове значення «3/3», що дасть змогу відновити гаманець, якщо використовуються всі три спільні ресурси. Неможливо встановити порогове значення лише для однієї акції.
Режим відновлення
Розберемо на прикладі Trezor. Режим відновлення – це постійний стан, у який пристрій переходить, коли користувач ініціює процес відновлення.
У цьому режимі пристрій запам’ятовує, на якому етапі процесу відновлення він був, якщо користувач від’єднує свій Trezor. Тобто після запуску режиму відновлення користувач може від’єднати свій пристрій, перейти до збору частин резервної копії (наприклад, переміститися географічно), продовжити вводити другу частину після підключення пристрою і завершити процес відновлення наступного разу, коли пристрій повторно підключено до будь-якого джерела живлення (наприклад, блок живлення, електрична розетка, телефон).
Порівняння з єдиною резервною копією (сід-фраза BIP39)
У таблиці нижче наведено стислий огляд ключових відмінностей між методом класичного резервного копіювання (сід-фраза BIP39) та методом резервного копіювання Шаміра:
Особливість | Одна резервна копія (BIP39) | Резервне копіювання Шаміра |
---|---|---|
Довжина слова | 12, 18 або 24 слова | 20 або 33 слова |
Кількість акцій | 1 (одна резервна копія) | Від 1 до 16 (кілька спільних ресурсів) |
Список слів | Список слів BIP-39 | Список конкретних слів Shamir |
Поріг для відновлення | Усі слова потрібні (1/1) | Визначається користувачем (наприклад, 2/3, 3/5, 7/16 тощо) |
Гнучкість розподілу | Жодного (одна копія) | Можна розповсюджувати серед надійних сторін або місць |
Схильність до втрати/крадіжки | Повна втрата, якщо резервну копію втрачено/вкрадено | Втрати допустимі до порогу |
Переваги Shamir Backup
Надійність. Завдяки розподіленій природі ключа Shamir Backup, навіть якщо декілька частин будуть втрачені або пошкоджені, ключ може бути відновлений з решти частин.
Безпека. Кожна частина ключа нічим не відрізняється від випадкових даних, тому навіть у випадку отримання однієї частини зловмисником, йому буде важко відновити інші частини без додаткової інформації.
Гнучкість. Користувач може визначити, скільки часток необхідно для відновлення ключа, що дозволяє адаптувати рівень безпеки відповідно до своїх потреб.
Поширені запитання
1. Чим резервне копіювання Shamir відрізняється від резервного копіювання з однією частиною?
Shamir Backup дозволяє створити до 16 спільних ресурсів – частин для відновлення – послідовності з 20 або 33 слів.
Окреме резервне копіювання вихідного коду складається з 12, 18 або 24 слів.
Shamir Backup використовує інший список слів, ніж початкові коди відновлення BIP-39, тобто деякі слова, які використовуються в частинах відновлення резервних копій Shamir, ніколи не використовуються в резервних копіях BIP39, і навпаки.
2. Що станеться, якщо частина акцій буде втрачена або вкрадена?
Shamir Backup пропонує значну перевагу порівняно з класичним методом відновлення BIP39. Окремі частини не містять витоку інформації про спільний секрет, доки кількість зламаних спільних ресурсів не досягає необхідного порогу.
Наприклад: якщо ви використовуєте схему 7 із 10 і 5 ваших спільних ресурсів скомпрометовано, зловмисник не матиме шансів отримати доступ до вашого гаманця і спричинити проблеми.
3. Чи можна змінити вже існуючу звичайну сід-фразу на резервну копію Шаміра?
На цей час немає способу «перетворити» вашу резервну копію для відновлення на гаманець з Shamir Backup. Треба просто створити новий гаманець з бекапом Шаміра та перевести туди кошти.
4. Що станеться, якщо я втрачу стільки частин відновлення, що не досягну необхідного порогу?
Якщо ви не зможете зібрати необхідну кількість часток згідно з встановленим порогу, ваш гаманець стане неможливим для відновлення. Наприклад: якщо ви використовуєте схему 3 із 4, де 3 є необхідним порогом для відновлення гаманця, і ви втратите 2 або більше частин відновлення, ваш гаманець буде неможливо відновити.
Висновок
Метод резервного копіювання криптогаманця Shamir Backup є ефективним та надійним способом захисту ваших криптовалютних активів від втрати або крадіжки. Його гнучкість та безпека роблять його привабливим вибором для тих, хто цінує безпеку своїх цифрових активів. Використовуйте Shamir Backup для забезпечення надійного захисту вашого криптогаманця та майбутнього вашого криптовалютного портфеля.
Як працює бекап Шаміра на практиці:
Простий та надійний спосіб для додаткового захисту своїх облікових записів бірж, додатків, гарячих гаманців або електронної пошти — це двофакторна аутентифікація (2FA).
Двофакторна аутентифікація – це захисний механізм, що передбачає використання двох різних методів підтвердження ідентичності користувача перед отриманням доступу до облікового запису або системи. Основна ідея полягає в використанні не лише чогось, що користувач знає (наприклад, пароль), але і чогось, що користувач має (наприклад, фізичний пристрій чи мобільний телефон).
Злочинці можуть здобути паролі та все одно зіткнуться з додатковим бар’єром, оскільки їм також потрібно мати фізичний об’єкт або інший вид ідентифікації.
Як працює двофакторна автентифікація?
- Обираєте сервіс для входу, вводите логін-пароль.
- – Отримуєте і вводите код;
– або вставляєте фізичний ключ, підтверджуєте вхід натисканням кнопки. - Готово!
Які бувають методи 2FA?
Для 2FA можуть використовуватися:
- одноразові коди з sms, email або з програм-автентифікаторів (google Authenticator),
- біометричне сканування (відбиток пальця, Apple Face ID);
- фізичні пристрої: ключі безпеки (Yubico) чи холодні криптогаманці (Ledger, Trezor).
Окремо розглянемо, як що працює:
Автентифікація за допомогою SMS – це процес підтвердження особистості користувача шляхом відправлення одноразового коду на його мобільний телефон для входу в систему або підтвердження дій. Цей код використовується для забезпечення безпеки та перевірки правильності введених даних.
На наш погляд це не завжди зручний та, враховуючи перебої з сотовим зв’язком, не дуже надійний спосіб.
Автентифікація за електронною поштою — це процес підтвердження особи через електронний лист, зазвичай шляхом введення коду або переходу за унікальним посиланням, для підтвердження її ідентичності. Це забезпечує безпеку і впевненість, що вхід або доступ до системи/акаунта здійснюється лише особою, яка має належні дозволи.
Якщо email сервіс працює коректно, то це доступний та простий метод 2FA.
Google Authenticator, як приклад програми-автентифікатора — це безкоштовний застосунок для мобільних пристроїв, який генерує одноразові коди для багатофакторної аутентифікації, забезпечуючи додатковий рівень безпеки під час входу в облікові записи.
Це популярний та зручний спосіб 2FA, захищений від зломів та робочий як годинник. Використовуючи його ви будете незалежні від перебоїв мобільних операторів чи сервісів по email-розсилкам.
Автентифікація за допомогою відбитка пальця або Face ID – це процес визначення особи користувача за його унікальними біометричними характеристиками, який використовує технологію сканування 3D-моделі для забезпечення доступу до пристрою чи підтвердження платежів.
З цим методом суцільні очевидні переваги – це безкоштовно, завжди з собою, не залежить від технічних перебоїв, неможливо передати третім особам (хоча в деяких випадках це може стати мінусом). Проте пам’ятайте одне: біометрія не може легко розрізнити фактичний намір автентифікації. Просто подивитися на пристрій не означає намір увійти.
Автентифікація через ключі безпеки та апаратні гаманці — це процес перевірки особи за допомогою спеціального пристрою або ключа, який забезпечує доступ до системи чи даних. Вони працюють офлайн, можуть підключатися по USB, NFC або Bluetooth, що дозволяє їх використання як на комп’ютері, так і на смартфоні.
Використання фізичних пристроїв є найбезпечнішим методом 2FA, який захистить від будь-яких розповсюджених спроб заволодіти доступом до облікових записів користувача.
Розглянемо, чому ж sms, email або код з програми-автентифікатори не найнадійніші варіанти для 2FA?
Ці методи 2FA ніколи не врятують від фішингу.
Фішинг — це вид кібершахрайства, коли зловмисники використовують хитромудрі методи для виведення користувачів на інші ресурси та вибудовування їхньої конфіденційної інформації. Зазвичай це відбувається через вигляд офіційних чи довірчих повідомлень, електронних листів чи вебсайт, які є несправжніми та створеними для обману. Вони можуть виглядати так, що не викликатимуть жодних сумнівів, що ви знаходитесь на оригінальному ресурсі. Отже, вводячи свої дані: логін, пароль та код зі смс-повідомлення, зловмисник моментально їх копією, вводить на справжньому ресурсі та проникає в обліковий запис користувача.
Вам може здатися, що ви точно ніколи не потрапите на цю вудочку, але насправді методи шахраїв стають більш витонченими, що навіть досвідчені користувачі потрапляють в цю пастку.
А ось трохи цифр про фішинг
- Фішинг є найпоширенішим способом викрадення облікових даних і пов’язаний з 36% усіх витоків даних.
- 39 секунд — Середній час між кібератаками.
- 3,809,488 — Записи викрадають щодня через злами.
- 100 мільярдів доларів — Загальна вартість кіберзлочинності в нашому світі.
Які ж методи 2FA захистять від різних видів кібератак зокрема від фішингу?
Від фішингу та інших способів несанкціонованого доступу допоможуть:
- Сканування біометричних даних, на кшталт відбитка пальця або Face ID;
- Фізичні пристрої, які прив’язуються до конкретного ресурсу і на фішингових сайтах просто не спрацюють, тобто не відкриють доступ.
Цими пристроями можуть бути холодні криптогаманці з підтримкою 2FA (Ledger, Trezor, Keystone та інші) або спеціальні ключі безпеки, на кшталт Yubikey.
Наприклад, коли ви зареєструєте свій YubiKey у службі, він прив’язується до конкретної URL-адреси, і зареєстровані облікові дані не можна використовувати для входу на підроблений вебсайт. Це означає, що навіть якщо користувача обманом змусять натиснути посилання, яке переведе його на підроблений вебсайт, YubiKey ніколи не вдасться обдурити, тому спроба фішингу буде зірвана!
Які методи 2FA підтримуються найпопулярнішими крипто біржами та гарячими гаманцями, додатками?
Binance
- SMS
- Електронна пошта
- Binance Authenticator
- Google Authenticator
- Face ID
- Ключі безпеки Yubikey
Metamask
- Холодні гаманці Ledger, Trezor, Keystone
CryptoRank, CoinMarketCap
- Електронна пошта
Висновок
Використання двофакторної аутентифікації рекомендується, оскільки це робить облікові записи значно безпечнішими. Вразливість паролів може бути подолана завдяки другому шару захисту. Враховуючи поширеність кіберзагроз та атак фішингу, 2FA стає невіддільним елементом для забезпечення ваших особистих та конфіденційних даних в цифровому середовищі. Фізичний захист вашої електронної пошти на кшталт фізичних ключей безпеки захистить ваші акаунти, які перевірено лише за допомогою листів підтвердження. Face ID та YubiKey стануть у пригоді при підписанні транзакцій на біржі. Біометрія та апаратні гаманці захистять підписи транзакцій при використанні гарячих гаманців.
У будь-якому випадку не залишайте підтвердження через електронну пошту та смс на телефон єдиними захисними варіантами вашого акаунту, у цьому випадку все буде залежати від кваліфікації злочинців, які будуть займатися справою злому. Захистіть ваші облікові записи поверх біометричним скануванням, а краще фізичним пристроєм.
Багато користувачів фінансового сектору приділяють увагу анонімності. Можливість здійснювати платежі, не розкриваючи своєї особи, знайшла відгук у багатьох і зробила криптовалюти привабливим засобом платежу. Проте, з плином часу стало очевидним, що анонімність у світі криптовалют більше схожа на міф, ніж реальність.
У таких блокчейнах, як Bitcoin, Ethereum, Dogecoin або Litecoin, будь-які стандартні транзакції не забезпечують повну анонімність. Навіть якщо транзакції не пов’язані з підтвердженими обліковими записами, їх теоретично можливо відстежити. Особливо легко ідентифікувати користувача, якщо він переказує кошти з особистого гаманця на криптобіржу, де проводиться процедура верифікації.
З метою задоволення потреб анонімності, розробники запропонували рішення у вигляді анонімних криптовалют. Вони забезпечують невидимість транзакцій та підвищують безпеку активів. У цій статті ми надамо детальну інформацію про приватні цифрові валюти, які сприятимуть анонімності фінансових операцій між учасниками.
Що таке анонімні криптовалюти?
Анонімні монети це окрема категорія криптовалют, що забезпечують конфіденційність і анонімність при проведенні транзакцій. Вони ховають джерело та призначення транзакцій, використовуючи різні методи, такі як приховування балансу та адреси гаманця, а також змішування кількох транзакцій для запобігання аналізу ланцюжка. В результаті ідентифікувати власника гаманця дуже складно, а в деяких випадках практично неможливо.
Анонімні монети вирішують два різні завдання: забезпечення анонімності та невідслідковування. Анонімність приховує особистість за кожною транзакцією, тоді як неможливість відстежити робить вкрай складним виявлення кінцевих точок транзакцій через аналітичні послуги блокчейну.
Технології, що використовуються для забезпечення анонімності
Приватні криптовалюти реалізують ряд алгоритмів та підходів в рамках свого протоколу, що забезпечують анонімність та запобігають відстеженню транзакцій. Серед найбільш поширених методів, які застосовуються в анонімних криптовалютах, можна виділити stealth-адреси, технологію змішування транзакцій, кільцеві підписи та Zk-SNARKs.
- Stealth-адреси. Система стелс-адрес працює так, що відправник генерує для кожної транзакції унікальну адресу, навіть якщо кілька платежів надсилаються одному одержувачу.
- Кільцеві підписи. Кільцеві підписи є схемою, за якої одна транзакція підписується кількома учасниками, приховуючи при цьому ідентичність відправника. Група учасників формується випадковим чином.
- Zk-SNARKs. Zk-SNARKs розшифровується як “Zero-Knowledge Succinct Non-Interactive Argument of Knowledge”, означає “доказ із нульовим розголошенням інформації”. Це дозволяє одному користувачу довести іншому істинність будь-якого затвердження X, не розкриваючи при цьому жодної додаткової інформації, крім підтвердження самого затвердження X.
- CoinJoin. Відомий як “міксер монет”, є методом, при якому транзакції від різних учасників об’єднуються в одну загальну транзакцію, а потім кошти перерозподіляються між учасниками з використанням нових адрес.
Найбільші за ринковою капіталізацією анонімні криптовалюти
На ринку часто з’являються нові криптовалюти і їх розробники найчастіше стверджують, що створили справді конфіденційні криптовалюти. Проте, не всі з них досягають успіху та стійкості. Розгляньмо найпопулярніші та перевірені часом анонімні криптовалюти.
Monero. Багато експертів вважають Monero найкращою анонімною криптовалютою, оскільки вона використовує потужний набір інструментів конфіденційності, включаючи RingCT, приховані адреси та кільцеві підписи, щоб забезпечити повну анонімність.
У цій системі інформація про відправника та одержувача залишається відомою лише учасникам угоди. Для забезпечення анонімності переказів розробники скористалися технологією кільцевого підпису, яка подібна до електронного підпису. Під час створення транзакції в мережі Monero включаються дані про інші операції. Цей метод додатково ускладнює простеження. Крім того, він унеможливлює відстеження сум переказів.
Dash. Dash – це анонімна криптовалюта, що походить від форку біткоїна і була створена у 2014 році. Запущена вона була з назвою XCoin, далі перейменована на DarkCoin, поки згодом не отримала назву Dash. Основною рисою анонімності Dash є використання функції PrivateSend, яка використовує метод CoinJoin для замішування реальних даних транзакцій.
Dash Core Group, компанія відповідальна за розвиток цієї криптовалюти, наголошує на зручності використання та захисту інтересів користувачів. Попри те, що Dash почав свій шлях як форк біткоїну, анонімність не була його початковою характеристикою. Всередині блокчейну Dash деталі транзакцій, такі як баланси та адреси, доступні для загального огляду. Користувач сам вирішує, чи використовувати функцію PrivateSend, чи ні.
Zcash. Zcash – ще одна з провідних анонімних криптовалют. Її запуск відбувся у 2016 році, і вона має спільні риси з Dash, оскільки також є форком біткоїна. У процесі підтвердження транзакцій криптовалюта використовує механізм Proof-of-Work.
Zcash є першою криптовалютою, що у своїй основі використовує модифікацію протоколу нульового розголошення (або нульового знання) під назвою zk-SNARK. Цей протокол дозволяє користувачам перевіряти справжність про захищених транзакцій, не розкриваючи ні сторони, ні суми, залишаючи видимими лише тимчасові мітки. Важливо, що всі монети Zcash взаємозамінні, і їхню історію походження неможливо простежити.
Завершальні думки
Криптографія як наука про методи захисту даних займає ключову роль у забезпеченні безпеки в онлайн-комунікаціях. У цьому контексті анонімні криптовалюти відіграють важливу роль у криптовалютній екосистемі.
Попри це, все ще ведуться дискусії щодо можливого негативного використання таких валют у незаконних цілях. Проте, статистика свідчить про те, що лише мала частина криптовалют використовується для незаконних дій, таких як відмивання грошей або фінансування тероризму.
Seed phrase (сід-фраза), або мнемонічний код, є надзвичайно важливою інформацією, яка дає можливість вам відновити доступ до вашого криптовалютного гаманця. Збереження його в безпечності — першочергове завдання для забезпечення захисту вашого криптовалютного майна. Існує багато способів для надійного зберігання seed phrase. Деякі можна зробити самому, а деякі можна придбати.
Розгляньмо спочатку безкоштовні варіанти:
- ПАПІР.
Сід-фразу можна записати на звичайному папері чи картоні або картках, що йдуть в комплекті з апаратними криптогаманцями. Це є не дуже надійним варіантом. Хоч картоні картки, наприклад, від криптогаманців Ledger мають відносний захист від вологи, але папір може бути пошкоджений кавою, вогнем, собакою, дитиною або випадково викинутий, як не потрібний папірець.
- ЗАПАМʼЯТАТИ 🙈
Ні, ні, ні! НІКОЛИ не сподівайтеся на цей метод.
- ДЕРЕВО АБО МЕТАЛ.
Можна надряпати або вигравіювати на деревʼяному бруску чи металевій пластині підручними засобами. Чудовий варіант, якщо вас не турбує естетична сторона питання 🙂 Звісно метал буде надійнішим і більш довговічним за дерево, але на ньому буде і складніше зробити запис, хоча як що ви маєте вдома гравер, цей варіант вас має влаштувати.
- ТЕЛЕФОН АБО КОМПʼЮТЕР БЕЗ ДОСТУПУ ДО ІНТЕРНЕТУ.
Якщо ви маєте зайвий старий телефон, можна записати сід у вигляді текстового повідомлення або сфотографувати. Зауважте, щоб гарантувати безпеку, цей пристрій більше ніколи не повинен приєднуватися до мережі. Непогано для короткочасного зберігання, наприклад, при мандрівках, щоб не привертати зайвої уваги. Але взагалі, електроніка дуже вразлива до багатьох факторів, тому не є дуже надійним варіантом.
- ФЛЕШКА.
Перенести на флешку, використовуючи пристрій, що завжди знаходиться офлайн.
Далі розгляньмо різноманітні пристосування, що можна придбати:
КАРТКИ З СТІЙКОГО ДО ВОДИ ТА СТАРІННЯ СПЕЦІАЛЬНО РОЗРОБЛЕНОГО КАРТОНУ.
Звісно це набагато краще ніж звичайний папір, але від таких чинників як пожежа він не захищений. https://bitbox.swiss/backupcard/ В комплекті три картки ~ 8 $ + доставлення.
МЕТАЛЕВІ ПЛАСТИНИ З НЕРЖАВІЮЧОЇ СТАЛІ.
Хороший варіант за доступною ціною. Нержавіюча сталь має чудові характеристики та захистить сід-фразу від води, пожежі, механічних впливів та навіть від деяких кислот. Є безліч варіантів в продажу, наприклад, від українського виробника
https://newage-invest.com/shop/aksessuary/nai-seed-security В комплекті розкреслена пластина та міні гравер – 500 грн + доставлення.
МЕТАЛЕВІ ПЛАНШЕТКИ З ВІКОНЦЯМИ ДЛЯ ВНЕСЕННЯ ЛІТЕР
Нещодавно це був найпопулярніший вид зберігання, але після ряду тестувань виявилося, що в деяких виробників від фізичного впливу літери просто вилітають зі своїх місць. До того ж такі планшети доволі важкі та великі за розміром. Вартість від 60 $ + доставлення.
CRYPTOSTEEL CAPSULE – капсула з літерами з нержавіючої сталі.
Унікальний продукт британського виробництва, аналогів немає. Дуже надійний і безпечний варіант, без будь-яких «але». Навіть якщо хтось знайде цю капсулу та захоче залишитися непоміченим, він не зможе просто сфотографувати чи швидко переписати зміст, тому що треба перебирати окремо кожну літеру.
Крім цього це пристосування підійде для зберігання будь-яких символьних паролів.
https://cryptosteel.com/product/cryptosteel-capsule-solo Вартість 91€ + доставлення.
ТИТАНОВІ ПЛАНШЕТКИ ТА ПЛАСТИНИ.
Титан – ідеальний матеріал для таких пристроїв, оскільки він надзвичайно міцний і не піддається корозії, забезпечуючи довговічність зберігання. Враховуючи його надзвичайні характеристики, одним мінусом може стати ціна. Яка починається від 129 € і може сягнути 350 €.
Додатково (Для просунених користувачів)
Ще хочеться сказати про додаткові методи захисту від крадіїв та злодіїв – це шифрування та розділення резервної копії на декілька частин з подальшим зберіганням в різних місцях. Але до цих варіантів треба ставитися з обережністю, тому що, якщо ви забудете ваш метод шифрування або втратите одну з частин, на жаль відновити доступ вже буде неможливо. Проте якщо ви все ж таки вирішите зашифрувати свій сід, будь ласка, не використовуйте онлайн платформи.
Висновки
Який обрати метод зберігання мнемонічного коду, вирішувати саме вам, але я б радила знайти той, що захистить його від випадкових пошкоджень, таких як затріскування, згинання або розривання. Та якщо ви маєте значну суму грошей, мабуть, не варто економити на єдиній можливості відновити доступ до цих коштів. А щоб ви були повністю інформовані щодо запису та безпеки сід-фрази, обов’язково ознайомтесь з нашими загальними рекомендаціями в цій статті.
SEC (Securities and Exchange Commission) є державною комісією з цінних паперів та бірж у Сполучених Штатах. Це організація, що має значну вагу та вплив, з більш ніж п’ятьма тисячами співробітників. Вона вбудована в американську фінансову систему з метою контролю, регулювання, та обмеження ринку цінних паперів.
SEC виконує роль регулятора фінансового ринку в США, а її рішення та діяльність впливають на фінансові ринки по всьому світу. Якщо SEC у Вашингтоні забороняє або обмежує будь-що, це може становити небезпеку для компаній та учасників фінансових ринків не тільки в США, а й в інших країнах.
SEC відіграє важливу роль у захисті інвесторів, забезпеченні прозорості фінансових ринків та дотриманні законодавства у сфері цінних паперів. Її політика та регулювання мають далекосяжні наслідки для компаній та інвесторів, тому діяльність SEC привертає увагу та має вплив не лише на національному рівні, а й у глобальному масштабі.
До чого тут криптовалюти?
Нинішній глава SEC, Гарі Генслер вирішив оголосити війну всій криптовалютній індустрії. Дотягнутися до DeFi-сектору він поки що не може, тому всю енергію він направив на централізовані біржі та найбільші криптовалюти. Він заявив, що майже всі альткоїни – цінні папери, отже, вони потрапляють у зону відповідальності SEC.
10 червня 2023 року SEC ініціювала судові позови до двох найбільших централізованих криптобірж – Binance та Coinbase.
- Binance. У позові до Binance фігурували лише чотири криптовалюти: Binance Coin (BNB), Binance USD (BUSD), Cosmos (ATOM) та COTI (COTI).
- Coinbase. У позові до Coinbase з підозрою на «цінні папери» були присутні інші криптоактиви: Near Protocol (NEAR), Internet Computer (ICP), Chiliz (CHZ), Flow (FLOW), Nexo (NEXO), Dash (DASH) та Voyager (VGX).
Загальний список цінних паперів також містить такі монети: Cardano (ADA), Polygon (MATIC), Solana (SOL), Algorand (ALGO), Filecoin (FIL), The Sandbox (SAND), Decentraland (MANA), та Axie Infinity (AXS).
Тож, хто він такий, цей Гарі Генслер? Як довго він очолює Комісію з цінних паперів і бірж? Що він робив до того, як очолив SEC? Нумо розбиратись!
Ранні роки життя та початок кар’єри
Гарі Генслер народився 18 жовтня 1957 року в Балтиморі, Меріленд, у сім’ї підприємця, чий бізнес включав автомати для продажу сигарет і пінболу. Гарі проявив математичний талант, тому його батько часто брав його з собою в поїздки по барах Балтимора, де були встановлені автомати, щоб допомагати рахувати гроші.
Після закінчення Уортонської школи Пенсильванського університету в 1979 році він розпочав кар’єру в Goldman Sachs. Його обдарованість привернула увагу генерального директора банку, Роберта Рубіна. У віці 30 років Гарі став одним з наймолодших партнерів компанії, а згодом досяг значної посади в банку, відповідаючи за інвестиційну діяльність і ризик-менеджмент у всьому світі. Після 18 років роботи в Goldman Sachs, Гарі перейшов на державну службу.
У 1997 році він став помічником міністра фінансів з фінансових ринків, і працював поки на посаді міністра був Роберт Рубіна. Після заміни Рубіна Ларрі Саммерсом у 1999 році, Генслер став заступником міністра по внутрішнім фінансам.
У 2001 році, після завершення президентського терміну Білла Клінтона, Генслер не повернувся до бізнесу. Він працював в апараті сенатора Пола Сарбейнза, який очолював банківський комітет та був членом ради директорів Університету Страйєра і радником Хілларі Клінтон під час її президентської кампанії у 2008 році. Після виходу Клінтон з перегонів та її заклику підтримати Обаму, Клінтон стала державним секретарем, а Генслера призначили головою Комісії з торгівлі товарними ф’ючерсами (CFTC).
Робота у CFTC
Ця посада була дуже важливою, особливо в той період. Під час роботи в Мінфіні під керівництвом Саммерса у 2000 році, був прийнятий Закон про модернізацію товарних ф’ючерсів, який звільнив кредитні дефолтні свопи від регулювання, і саме вони стали однією з головних причин світової кризи 2008 року. У ролі голови CFTC, Генслер витратив багато зусиль на збільшення прозорості та зниження ризиків на ринках свопів та ф’ючерсів.
Під керівництвом Генслера у CFTC були повністю змінені правила гри на ринку похідних фінансових інструментів. Він працював над створенням нових правил, що регулюють цей ринок з оборотом в сотні трильйонів доларів. В певний момент під тиском фінансових секторів адміністрація Обами розглядала можливість повернення до попередньої схеми без регулювання, оскільки нові правила були пов’язані з великими витратами та відштовхувати інвесторів. Однак Генслер зумів витримати цей тиск. Він також успішно протистояв ідеї об’єднання CFTC з SEC. Замість цього, завдяки закону Додда-Франка від 2010 року, повноваження CFTC були розширені.
Джейкоб Лью, колишній міністр фінансів (2013-2017), називав Генслера одним з провідних реформаторів, які діяли після фінансової кризи 2008 року. Правила регулювання прийняті за його каденції допомогли зберегти стабільність ринку під час нещодавніх турбулентностей, спричинених пандемією.
За свою роботу у CFTC Генслер отримав репутацію жорсткого регулятора. І якби він не нажив собі стільки ворогів у фінансових колах протягом свого п’ятирічного головування у CFTC, він міг би одразу претендувати на вищу посаду, наприклад, голови SEC або міністра фінансів.
Тодішні умови змусили Генслера покинути державну службу у 2014 році та повернутися до світу передвиборчих кампаній, де він працював фінансовим директором під час президентської кампанії Хілларі Клінтон. Після перемоги Трампа, Генслер почав працювати професором в MIT. В той час він почав займався вивченням актуальної теми блокчейну та криптовалют.
В MIT, можливо, за іронією долі з огляду на його нинішню позицію, він викладав у студентів курс про технологію блокчейн. До речі, під час однієї з лекцій поточний голова SEC відкрито заявив, що більшість криптовалют не є цінними паперами. Відео цієї лекції можна переглянути на YouTube.
Генслер, SEC і війна з крипто сектором
У 2021 році, після приходу до влади, Джо Байден призначив Генслера головою SEC. Агентство, яке вже було втягнуте в судовий позов із Ripple Labs через твердження про те, що криптовалюта XRP є незареєстрованим цінним папером, посилило свою антикриптовалютну позицію. Сам Генслер вже у 2019 році, у своєму свідченні перед Конгресом США, заявив, що не має відношення до криптовалют, говорячи: «Я не консультую фінансові, технологічні, блокчейн чи інші компанії, і я не маю криптовалют».
З моменту призначення Генслер активно має на меті посилити контроль над криптовалютами, описуючи їх як «Дикий Захід». У 2021 році він заявив, що криптовалюти мають потрапляти під регулювання SEC або CFTC, а наступного року він оголосив про намір зареєструвати та регулювати криптовалютні платформи.
Гері Генслер виступає на боці держави, яка вперто не хоче допустити подальшої популяризації криптовалют і таким чином захищає долар. Що в результаті й визначає позицію голови регулятора, хто ще кілька років тому активно захищав індустрію цифрових активів і називав її децентралізованою.
Цікавим є те, що він не робить явних заяв про те, чи вважає він Ethereum цінним папером, і практично не згадує Bitcoin. Генслер і його команда націлилися на криптовалютні біржі, назвавши понад 60 великих криптовалют незареєстрованими цінними паперами. Тож, зараз нам залишається сподіватися хіба що на справедливий суд.
Технологія блокчейну є революційним технологічним досягненням, яке може трансформувати багато бізнес-секторів, забезпечуючи безпечний і прозорий спосіб зберігання та передачі даних, однак впровадження цієї технології не позбавлене проблем.
Однією з найбільш значущих проблем є «трилема блокчейну». Вона відноситься до трьох фундаментальних характеристик блокчейну, яких важко досягти одночасно: децентралізації, безпеки та масштабованості. У цій статті ми розглянемо важливість трилеми блокчейну, її вплив на блокчейн та потенційні рішення.
Теорема САР
Науковець інформатик Ерік Брюер ще в 1990-х роках познайомив світ із теоремою CAP. Згідно з концепцією Брюера, децентралізована база даних може володіти лише двома з трьох ключових характеристик: узгодженості (Consistency), доступності (Availability) та стійкості до поділу (Partition). Як результат, теорема представляє проблему, оскільки вимагає від розробників децентралізованої бази даних відмовитися від однієї з трьох ключових функцій для оптимізації атрибутів і продуктивності двох інших.
Нещодавно Віталік Бутерін застосував теорему CAP до блокчейну та ввів термін «трилема блокчейну». Він описує подібну дилему, з якою стикаються розробники блокчейнів, коли обирають між трьома характеристиками:
- Децентралізація. Децентралізація це розподіл функцій, влади, або ресурсів від центрального керівного органу до великої кількості учасників мережі.
- Безпека. Це заходи, вжиті для запобігання несанкціонованому доступу та шахрайським діям у блокчейні. Безпека в блокчейні забезпечується за допомогою шифрування, криптографії з відкритим ключем та алгоритмів консенсусу.
- Масштабованість. Це здатність блокчейну обробляти багато транзакцій за секунду. Оскільки все більше людей починають використовувати блокчейни, для швидкої обробки цих транзакцій потрібна більша потужність мережі. Тож, масштабованість це наскільки ефективно мережа блокчейну може перевіряти транзакції.
Компроміси та їх особливості
Нинішні блокчейни повинні йти на компроміс нехтуючи з однією із трьох фундаментальних властивостей. Тому, є три найрозповсюдженіших види структурних напрямів при розробці:
- Перевага децентралізації та масштабованості над безпекою. На цей компроміс йдуть мережі, що працюють на алгоритмах Delegated Proof-of-Stake. В них працює невелика кількість нод які обробляють транзакції, проте до них у дуже високі вимоги — необхідність мати дороге серверне обладнання або велику суму нативних монет. Ці мережі є продуктивними та безпечними, але не децентралізованими. До переліку таких блокчейнів можна віднести: Tron, EOS, Radix Protocol, та Lisk.
- Перевага масштабованості та безпеки над децентралізацією. На цей компроміс йдуть мультичейн мережі, у яких додатки пов’язані з різними блокчейнами. Для атаки потрібно заволодіти більшістю нод на одному із підтримуваних блокчейнів, щоб зламати структуру і викликати негативні наслідки для всіх інших учасників. Тому, такі мережі є децентралізованими та масштабованими, але не дуже безпечними.
- Перевага децентралізації та безпеки над масштабованістю. На цей компроміс йдуть традиційні блокчейни, такі як: Bitcoin, Ethereum або Litecoin. Кожен їхній учасник управляє нодою, яка підтверджує кожну транзакцію, тому такі мережі мають високий рівень безпеки та децентралізації, але низьку швидкість транзакцій.
Пошук рішення трилеми блокчейну
Розробники стикаються зі значними проблемами, коли справа доходить до пошуку правильного балансу між децентралізацією, безпекою та масштабованістю. Щоб знайти розв’язання цієї проблеми, розробники та інженери постійно розробляють інноваційні рішення, які покращують технологію та досягають оптимальної рівноваги між цими елементами.
Наявні рішення:
- Рішення другого рівня. Це протоколи, які працюють поверх блокчейну, сприяючи збільшенню його масштабованості. Забезпечуючи обробку численних транзакцій поза мережею, ці рішення зменшують навантаження на основну мережу.
- Шардинг. Ця техніка передбачає поділ мережі блокчейну на менші сегменти, кожен з яких здатний обробляти підмножину загальних транзакцій. Завдяки шардингу покращується масштабованість, оскільки зменшується навантаження на окремі вузли. Шардинг реалізований у ряді блокчейнів, таких яких Zilliqa та Near.
- Нові механізми консенсусу. Механізми консенсусу охоплюють алгоритми, які використовуються для перевірки транзакцій у блокчейні. Щоб покращити масштабованість і мінімізувати споживання енергії, розробляються нові гібридні алгоритми, такі як Leasing Proof of Stake (LPoS) та Delegated Byzantine Fault Tolerance (dBFT), або поєднання PoW та PoS.
Також рішенням трилеми блокчейну можуть стати нові мови програмування, кроссчейни, сайдчейни та інші технології, які забезпечать децентралізацію, безпеку та масштабованість на максимальному рівні.
Завершальні думки
Трилема блокчейну наразі є основною проблемою для більшості розробників. Такі проєкти, як Bitcoin та Ethereum, вже трансформували новітню фінансову систему. Але щоб досягти такого рівня, коли блокчейн зможе революціонізувати світ для кожного потрібно вирішити цю трилему.
Як і в будь-якій іншій справі, як тільки ми зрозуміємо природу проблеми, ми маємо набагато більше шансів знайти її вирішення. Багато розробників працюють над вирішенням трилеми блокчейну, і вони досить оптимістичні — отже, ми теж маємо бути такими.
Сід-фраза (фраза відновлення, резервна копія, 24 слова, seed phrase) є критично важливою інформацією, що дає доступ до вашого криптовалютного гаманця. Якщо ви втратите свій сід, то не зможете відновити доступ до своїх активів, тому важливо забезпечити безпечне зберігання цієї інформації.
Ось базові поради, які допоможуть вам зберегти свою резервну копію в безпеці:
- Самотність та увага. Перше, що ви маєте зробити, це правильно записати вашу сід-фразу. Для цього вам треба взяти листочок, ручку та виділити трохи часу, 30-60 хвилин. Оберіть спокійне місце, де не буде сторонніх людей та відеоспостереження.
- Перевірте свій seed phrase. Перевірте орфографію та послідовність слів. Це важливо, оскільки неправильно записана сід-фраза не відновить доступ до ваших активів.
- Виберіть надійне місце зберігання. Сід має бути збережений в надійному місці, про яке ніхто не знатиме чи зможе отримати доступ до нього. Це може бути безпечний сейф або сховище для документів з кодовим замком або біометричним доступом.
- Не намагайтеся запам’ятати сід-фразу. Навіть, якщо ви вже вивчили сід напам’ять, краще зберігайте записаний варіант.
- Використовуйте надійні матеріали. Безліч пристосувань є в продажу: від стійкого до води паперу до титанових пластин. Але можна обійтися тим, що є під рукою. Якщо ви вирішили просто записати, то використовуйте надійний папір і чорнило або олівець, щоб забезпечити стійкість інформації з часом.
- Не фотографуйте свій сід на смартфон.
- Не зберігайте фразу відновлення в електронному вигляді. Не зберігайте свій seed phrase на комп’ютері, смартфоні чи іншому електронному пристрої, оскільки це може підвищити ризик злому і крадіжки інформації спеціальними вірусними програмами.
- Не діліться своєю сід-фразою з іншими. Ніколи не діліться своїм seed phrase ні з ким, навіть якщо це видається безпечним та надійним варіантом. Навіть служби підтримки ваших гаманців НІКОЛИ не запитують вашу сід-фразу. Зворотне може призвести до крадіжки ваших активів.
- Не вводьте свою сід-фразу на комп’ютері чи смартфоні. Ніколи не вводьте сід фразу ні на яких сайтах, нібито для перевірки, технічної підтримки чи авторизації.
- Попіклуйтеся про майбутнє. Розкажіть про існування сід-фрази близьким, довіреним людям, щоб в разі чого вони могли дістатися її.
- Регулярно перевіряйте слова відновлення. Регулярно перевіряйте, щоб переконатися, що фраза все ще на місці та не пошкоджена. Якщо ви помічаєте будь-які ознаки пошкодження, негайно створіть новий сід і перемістіть свої активи на новий гаманець.
- Налаштуйте 25 слово. В деяких холодних гаманцях є можливість налаштувати 25 слово, яке буде унікальне та придумано вами. Докладніше можете ознайомитись тут.
Підсумуємо:
Сід-фраза є ключовою інформацією для зберігання криптовалюти. Важливо зберігати її надійно, щоб забезпечити безпеку ваших активів. Дотримання рекомендацій, наведених вище, допоможе вам зберегти свою резервну копію в безпечності та запобігти втраті доступу до своєї крипти.
Сід-фраза або фраза відновлення — це резервна копія криптогаманця. У випадку втрати доступу до нього, фраза відновлення допоможе відновити доступ до всіх ваших криптоактивів. Вона генерується випадковим чином при першому налаштуванні веб або холодного криптогаманця.
Тепер докладніше розберемо на прикладі холодних гаманців.
При першому підключені холодного криптогаманця, пристрій генерує сід-фразу, яка, як правило, складається з 24 слів (рідше з 12 або 18). 24 слова на 2023 рік — найпоширеніший формат фрази відновлення, який складається з 2048 латинських слів, записаних в спеціальному словнику формату BIP39. Всі слова записуються в певній послідовності, яку не можна порушувати.
Сід-фразу не можна придумати самому, тому що насправді це — не просто вигадані навмання слова, це — числовий код, переведений в формат слів для легкості користування та запису. При чому 24-е слово є математичним розрахунком, який залежить від перших 23 слів. Тому неможливо вгадати сід-фразу просто підбираючи слова.
В залежності від виробника криптогаманця, сід-фраза може показуватися лише один раз при налаштуванні, а може зберігатися на пристрої або копіюватися на носій (флешку). Але якщо ви загубите свій гаманець, то відновити сід фразу буде неможливо, навіть якщо така можливість існувала. Жодна технічна підтримка не має доступу до цих даних.
Що важливо знати?
Холодний гаманець оберігає ваші криптоактиви в момент користування, роблячи ваші транзакції безпечними, ізольованими від інтернету та відповідно від вірусів та хакерів, ви можете його розбити чи загубити, а гроші нікуди не дінуться. Тому що найголовніше, що ви маєте повсякчас — це фраза відновлення. Тобто це — єдиний ключ від вашого сейфа з грошима. Та якщо хтось знає вашу сід фразу, він може відкрити ваш баланс на окремому пристрої та вивести гроші.
Для просуненних користувачів.
На деяких холодних гаманцях (Ledger, Trezor) існує додаткова функція – 25 слово.
Це слово, яке ви вигадуєте самостійно, воно може бути довжиною до 100 символів. Завдяки йому ви можете створити гаманець в гаманці, так би мовити, скритий баланс, на який перевести більшість коштів. Відкрити цей баланс можна використовуючи фразу відновлення з 24 слів та окремо ввести 25 слово.
Тобто якщо зловмисник поцупить вашу сід-фразу, він зможе побачити лише нулі або якісь невеличкі суми, а ось значна решта буде захищена цим 25 словом.
Які висновки можна з цього зробити?
По-перше, записувати сід-фразу треба наодинці, та не в місцях загального користування (щоб не будо відеоспостереження).
Друге, фразу відновлення треба записувати так, щоб вона не стратилася, а зберігати необхідно надійно в недоступних для інших місцях.
Поширенні запитання.
Чи може хтось вгадати мою сід-фразу?
- Ні, на сьогодні це неможливо.
Я втратив сід. Що робити?
- Негайно створіть новий гаманець та переведіть туди всі свої кошти, якщо маєте доступ до них.
Чи можна відновити загублену сід-фразу?
- Ні, резервна копія зберігається лише у вас.
Як краще зберігати сід-фразу?
- На металі. Докладніше розкажемо в наступній статті.
Чи може хтось відкрити мій баланс, якщо він вже відкритий на апаратному гаманці?
- Так, завдяки сід-фразі можна відкрити доступ до крипти на багатьох гаманцях одночасно.
Що робити, якщо хтось скопіював мою фразу відновлення?
- Негайно створіть новий гаманець та переведіть туди всі свої кошти.
Чи можна скасувати транзакцію, якщо зловмисник переказав мої кошти раніше?
- Ні, на жаль.
У 2022 році криптовалютна індустрія пережила найбільшу в історії хакерську активність, внаслідок якої криптовалютні проєкти втратили понад 3,8 мільярда доларів. Протоколи DeFi зазнали найбільших збитків: загалом було вкрадено 3,1 мільярда доларів.
Ця статистика викликає занепокоєння, і власники проєктів мають бути обережними щодо можливості того, що їхні проєкти стануть мішенню. Тому вкрай важливо захищати свої смарт-контракти, щоб забезпечити безпеку проєкту та його користувачам. Тут у гру вступає аудит смарт-контрактів.
Аудит смарт-контракту – це всебічний аналіз безпеки коду та функціональності смарт-контракту. Метою аудиту є виявлення будь-яких потенційних вразливостей чи проблем безпеки, які можуть вплинути на здатність контракту функціонувати належним чином.
Яким є процес аудиту смарт-контракту?
Процес аудиту смарт-контрактів є складним і використовує ряд різних методів перевірки. Зазвичай все починається з перевірки на вразливості. Цей процес складається з двох частин: формальної та ручної перевірки.
Формальна перевірка — це автоматизований процес, який перевіряє кожну змінну смарт-контракту на відповідність кожному можливому значенню, яке вона може мати.
Уявіть собі тисячі паралельних всесвітів одночасно, у кожному з яких змінилося щось одне. Механізм формальної перевірки їх перевіряє та підіймає тривогу щодо проблем, які можуть вплинути на логічну цілісність контракту.
Ручна перевірка — це саме те, на що це схоже: аудитор переглядає кожен рядок коду та ретельно перевіряє його на наявність відомих уразливостей та помилок коду.
Після цих двох етапів, команда аудитора готує звіт про вразливості та ризики надсилає його проєкту разом із рекомендаціями щодо усунення виявлених проблем.
Які бувають типи вразливостей смарт-контрактів?
Вразливість – це все, що може вплинути на безперебійну та безпечну роботу смарт-контракту. Це може бути помилка в обчисленні змінної, непотрібні привілеї творцю, та багато іншого. Зазвичай ризики смарт-контрактів класифікуються за п’ятьма категоріями:
- Критичний ризик – це той ризик, який впливає на безпечне функціонування платформи та має бути усуненим до запуску. Користувачам не слід інвестувати будь-які проєкти з визначеними критичними ризиками.
- Основний ризик може включати проблеми централізації та логічні помилки. За певних обставин ці основні ризики можуть призвести до втрати коштів та контролю над проєктом.
- Середній ризик може не становити прямого ризику для кінцевого користувача, але може вплинути на загальне функціонування платформи.
- Незначний ризик може бути будь-якими з перерахованих вище, але в меншому масштабі. Як правило, вони не порушують загальної цілісності проєкту, але можуть бути зменшити ефективність смарт-контрактів.
- Інформаційна помилка часто є рекомендацією щодо покращення стилю коду або певних операцій, щоб відповідати передовим галузевим практикам. Зазвичай вони впливають загальне функціонування коду.
Найрозповсюдженіші вразливості смарт-контрактів
До найпоширеніших уразливостей, які виявляють під час аудиту смарт-контрактів, входять:
Ризики централізації. Централізація є ризиком як для власників проєктів, так і для користувачів. Якщо одній адресі надано виконавчі привілеї, а потім його закритий ключ скомпрометовано, розробники ризикують втратити контроль над своїм проєктом, а користувачі контроль над своїми грошима. Проєкти, які витягують кошти своїх інвесторів, часто мають переваги централізованих привілеїв. Уникнення непотрібної централізації – це один зі способів, за допомогою якого проєкти можуть отримати довіру спільноти.
Залежність від мітки часу. На відміну від звичайних програм, середовище виконання смарт-контракту знаходиться на боці майнера або валідатора. Коли логіка контракту залежить від поточного часу, майнер може маніпулювати поточним часом, щоб вплинути на результат виконання та досягти заздалегідь визначеної мети.
Вразливість випадкових чисел. Зловмисник може точно вгадати випадкове число, згенероване контрактом, у випадку якщо за початкове значення береться загальновідома змінна.
Орфографічні помилки. Конструктори зазвичай використовуються для ініціалізації контракту та визначення власника контракту. Компілятор не помітить неправильного написання функції під час програмування, внаслідок чого функція стане загальнодоступною, тому будь-хто може викликати її спрацювання.
Скільки коштує аудит смарт-контракту?
Вартість аудиту смарт-контрактів варіюється в залежності від розміру та складності програми. Як правило, аудитори смарт-контрактів беруть від $5,000 до $15,000, але можуть брати більше залежно від розміру та складності контракту. Процес аудиту смарт-контракту (перший аудит) може тривати від двох до 14 днів.
Аудит може зайняти до місяця для великих проектів чи протоколів. Проєкт отримує рекомендації щодо внесення виправлень після завершення початкового аудиту. Після цього проводиться перевірка виправлення, що зазвичай займає один день.
Топ аудиторських фірм смарт-контрактів
Аудит безпеки смарт-контрактів був вперше проведений компанією CertiK. BNB Smart Chain, Bancor та Huobi пройшли аудит CertiK. Крім того, перш ніж інвестувати в якийсь проєкт, інвестиційний фонд біржі Binance проводить аудит цього проєкту за допомогою CertiK.
Chainsulting – інша відома фірма з аудиту смарт-контрактів, заснована у 2017 році. Серед її основних клієнтів – 1inch, MakerDAO та багато інших відомих протоколів DeFi.
Компанія OpenZeppelin надає аудиторські послуги Coinbase та Ethereum Foundation, двом мастодонтам у світі блокчейнів. Крім того, платформа забезпечує створення безпечних смарт-контрактів Ethereum за допомогою своїх модульних шаблонів контрактів.
Завершальні думки
На щастя, проведення аудиту стало стандартом для великих проєктів DeFi. Тепер користувачі мають можливість ознайомитися зі звітом перед прийняттям інвестиційних рішень. З іншого боку, аудиторські звіти – це не 100% захист, про що свідчить незліченна кількість хаків проєктів що мали аудит від топових фірм.