I tuoi dati KYC sono un bersaglio e gli attacchi "wrench" sono in aumento

Seguo il mercato crypto da anni e, mentre tutti sono ossessionati dagli ultimi flussi degli ETF o dal fatto che Bitcoin stia raggiungendo un tetto di dominanza al 60%, ignorano un trend molto più inquietante. Parliamo di "hacking" come se fosse solo un ragazzino in un seminterrato con uno script, ma c'è un lato fisico che non riceve abbastanza attenzione. Parlo dell'attacco "wrench" (l'attacco della chiave inglese), dove qualcuno non ha bisogno di violare la tua crittografia perché ha uno strumento fisico e il tuo indirizzo di casa. Se cerchi un modo sicuro per conservare le chiavi private crypto, devi capire che la tua vulnerabilità più grande potrebbe non essere un bug in uno smart contract, ma i dati KYC che hai consegnato a ogni exchange che hai mai usato. Abbiamo già parlato della posizione di Blanche sulle crypto per avere più contesto.

Il pericolo della scia dei KYC

La maggior parte di noi considera il Know Your Customer (KYC) come un noioso ostacolo amministrativo. Carichi il passaporto, fai un selfie e ottieni l'accesso al conto. Ma per esperienza, abbiamo essenzialmente costruito un database globale di fughe di dati che dice esattamente chi possiede cosa. Quando un exchange subisce una violazione, non trapelano solo le password. Escono fuori nomi completi, indirizzi e numeri di telefono.

Se a questo aggiungi i dati on-chain, ottieni una mappa. Se un malintenzionato riesce a collegare un wallet ad alto valore a un'identità reale tramite un database KYC trapelato, non deve cercare una vulnerabilità nella blockchain. Deve solo trovare dove abiti. È qui che entra in gioco l'attacco wrench. È la forma più primitiva di hacking: l'estorsione fisica. Non stai combattendo un bot; stai combattendo qualcuno che sa che hai soldi e sa dove dormi.

Perché un modo sicuro per conservare le chiavi private non riguarda solo il software

Ho visto persone passare ore a discutere su quale wallet software sia il più sicuro, per poi tenere la seed phrase in un file di testo semplice sul desktop o, peggio ancora, in una foto nel cloud. È un disastro annunciato. Ma anche un pezzo di carta in un cassetto è un rischio se qualcuno sa che si trova lì.

Il problema è che siamo stati condizionati a pensare alla sicurezza come a un muro digitale. Dimentichiamo che il muro ha una porta. Se usi un exchange centralizzato, ti fidi di loro per la tua identità e i tuoi fondi. Se subiscono un attacco, la tua identità diventa un faro per chiunque cerchi un bersaglio. Ecco perché ho sempre spinto per l'auto-custodia.

Per proteggerti davvero, ti serve un hardware signer che tenga le chiavi offline. Io preferisco personalmente il Ledger Nano Gen5 se hai un budget limitato, perché porta la tecnologia touchscreen E Ink a un prezzo di 99 dollari. Avere un chip Secure Element (CC EAL6+) significa che le tue chiavi private non toccano mai internet. Ma il dispositivo è solo metà della battaglia. La vera sicurezza sta nel modo in cui gestisci la seed di recupero.

Dove le persone sbagliano

L'errore più grande che vedo è il "teatro della sicurezza". La gente compra un wallet costoso ma poi conserva la frase di recupero di 24 parole in modo che sia facilmente rintracciabile. Se un criminale sa che possiedi un Ledger, non proverà a hackerare il dispositivo. Cercherà il pezzo di carta che hai nascosto sotto il materasso.

Ho notato una tendenza per cui si pensa che usare una VPN o un browser privato sia sufficiente. Mentre abbiamo già spiegato come i rischi del trading P2P nel Regno Unito siano aumentati a causa dei raid governativi, la minaccia della criminalità organizzata è diversa. Non cercano l'evasione fiscale; cercano un colpo grosso.

Se vuoi essere davvero sicuro, devi scollegare la tua identità dalla tua ricchezza. Questo significa usare servizi non custodiali quando possibile ed essere incredibilmente avaro con le tue informazioni personali.

Il mio punto di vista sul futuro

Non dico che non dovresti mai usare un exchange. Sono comodi e, per alcuni, sono l'unico modo per entrare nel mercato. Ma tenere i risparmi di una vita su una piattaforma che richiede la scansione del passaporto è un azzardo. Scommetti che la sicurezza dell'exchange sia superiore alla motivazione di un criminale che trova il tuo indirizzo in un leak.

Penso che l'unica soluzione reale sia una combinazione di sicurezza hardware e segretezza operativa estrema. Non dire alla gente quanto possiedi. Non pubblicare i tuoi guadagni sui social. E per l'amor di tutto, sposta i tuoi asset dall'exchange a un cold wallet.

Se sei stanco del ciclo infinito dei KYC e vuoi solo scambiare asset senza lasciare una traccia permanente, ho trovato StealthEX come un'opzione solida. È un servizio di swap non custodiale che non richiede la registrazione dell'account o il KYC per gli swap standard. È un modo semplice per mantenere un certo livello di privacy in un mondo che cerca di indicizzare ogni singolo satoshi che possiedi.

Fai trading sulle notizie con l'exchange scelto dalla nostra redazione: Gate