A KYC adataid célpontjai, és a „wrench attack” egyre gyakoribb

Évek óta figyelem a kriptopiacot, és miközben mindenki a legutóbbi ETF-áramlatokkal vagyazzal foglalkozik, hogy a Bitcoin dominanciája elérte-e a 60%-os plafont, egy sokkal félelmetebb trendet egyszerűen figyelmen kívül hagyunk. A „hackeléssel” úgy beszélünk, mintha csak egy pincében ülő gyerek egy szkriptjéről lenne szó, pedig ennek van egy fizikai oldala is, amelynek nem szentelnek elég figyelmet. A „wrench attack”-ról beszélek, vagyis a „kulcscsavar-támadásról”, ahol valaki nem a titkosításod feltörésévelB foglalékozik, hanem egy fizikai eszközzel és a házad címével érkezik. Ha keresel egy biztonságos kripto privát kulcsok tárolási módját, realizálnod kell, hogy a legnagyobb sebezhetőséged nem egy okos szerződésben talált bug, hanem azok a KYC adatok, amiket minden egyes tóladig használt tőzsdének átadtál. Korábban foglalkoztunk Blanche kripto-állásfogalma témájával, ami további kontextust ad a szabályozási kérdésekhez.

A KYC nyomvonal veszélyei

A legtöbbünk a Know Your Customer (KYC) folyamatát csak egy unalmas adminisztratív akadálynak tekinti. Feltöltöd a útlekvényedet, készítesz egy szelfit, és már bejuthatsz a fiókodba. De én úgy látom, hogy ezzel gyakorlatilag egy globális, kiszivárgásnak ki ($_exposed$) adatbázist építettünk arról, hogy pontosan ki mit birtokol. Amikor egy tőzsde megtörs, nem csak a jelszavak szivárognak ki. Teljes nevek, címek és telefonszámok kerülnekbe.

Ha ezt összekötjük az on-chain adatokkal, egy térképet kapunk. Ha egy támadó egy kiszivárgott KYC adatbázis révén egy értékes tárcát egy valódi személyhez tud kapcsolni, nem kell keresnie réseket a blokkláncon. Csak meg kell találnia, hol lakられます. Itt jönbe a wrench attack. Ez a hackelés legprimitívabb formája: a fizikai zsarolás. Nem egy bot ellen küzdesz, hanem valaki ellen, aki tudja, hogy van pénzed, és tudja, hol alsz. Itt Közép-Európában, Magyarországon is érdemest alertness-t gyakorolni, mert a fizikai biztonság gyakran háttérbe kerül a digitális paranoia mellett.

Miért nem elég a szoftver a kripto privát kulcsok biztonságos tárolásához

Láttam már olyanokat, akik órákig vitatkoztak azon, melyik szoftveres tárca a legbiztonságosabb, hogy aztán a seed phrase-et egy egyszerű szöveges fájlban tartsák a rendszerlemezen, vagy még rosszabb: egy fotóként a felhőben. Ez egy kész katasztrófa. De még egy papírlap a fiókban is kockázat, ha valaki tudja, hogy ott van.

A probléma az, hogy arra szoktattak minket, hogy a biztonság egy digitális fal. Elfelejtjük, hogy a falnak van ajtja. Ha központosított tőzsdét használsz, egyszerre bízol bennük az identitásoddal és a vagyonoddal. Ha őket megtörnek, az identitásod egy jelzőtávvakká válik bárki számára, aki célpontot keres. Ezért mindig a self-custody-t, a saját kezű tárolást hirdetem.

Ahhoz, hogy ténylegesen megvédd magad, egy hardveres aláíróra van szükséged, amely offline tartja a kulcsokat. Én személy szerint a Ledger Nano Gen5-öt ajánlom, ha költséghatékony megoldást keresel, mert az E Ink érintőképernyős technológiát kapod egy 99 dolláros áron. A Secure Element chip (CC EAL6+) azt jelenti, hogy a privát kulcsaid soha nem érintik az internetet. De az eszköz csak a csata egyik fele. A valódi biztonság abban rejlik, hogyan kezeled a helyreállító seed-et.

Hol követnek el a legtöbb hibát

A legnagyobb hiba, amit látok, a „biztonsági színház”. Az emberek megveszik a drága tárcát, de aztán a 24 szavú helyreállító phrase-et úgy tárolják, hogy bárki könnyen rábukkannak. Ha egy bűnöző tudja, hogy Ledgered van, nem a készüléket fog megpróbálni meghackelni. Inkább azt a papírlapot fogja keresni, amit a matrac alá rejtettél.

Értem egy trendet, ahol azt hiszik, hogy egy VPN vagy egy privát böngésző már elég. Bár korábban bemutattuk, hogy a brit P2P kereskedelmi kockázatok kormányzati rajhyok miatt növekedtek, a szervezett bűzkeszténe egy másik szintű fenyegetés. Ők nem adócsalást keresnek, hanem gyors profitot.

Ha valóban biztonságban akarsz lenni, le kell választanod az identitásodat a vagyonodról. Ez azt jelenti, hogy ahol lehet, non-custodial szolgáltatásokat használj, és légy rendkívül szűkégesen a személyes adataiddal.

Véleményem a jövővel kapcsolatban

Nem azt mondom, hogy ne használj tőzsdét. Kényelmesek, és sokak számára ez az egyetlen bejutási kapu. De a teljes megtakarításodat egy olyan platformon tartani, amely útlekvény-szkennelést kér, egy szerencsejáték. Azt fogadod, hogy a tőzsde biztonsága erősebb, mint egy bűnöző motivációja, aki egy adatszivárgásban találja a címedet.

Szerintem az egyetlen valódi megoldás a hardveres biztonság és a szélsőséges operatív titkosítás kombinációja. Ne mondd el másoknak, mennyi pénzed van. Ne posztold a nyeréseidet a közösségi médiában. És kérlek, vigyétek ki a vagyonot a tőzsdékről egy cold walletbe.

Ha eleged van a KYC futtapadból és csak eszközeidet akarod cserélni anélkül, hogy maradna egy örök papírnyom, én a StealthEX-et találtam stabil opciónak. Ez egy non-custodial swap szolgáltatás, amely nem igényel regisztrációt vagy KYC-t a standard cserékhez. Egyszerű módja annak, hogy megtartsd a privátsságod egy olyan világban, amely minden egyes satoshit indexelni akar.

Kereskedj a híreken a szerkesztőség által választott tőzsdén: Gate