Je KYC-gegevens zijn een doelwit en 'wrench attacks' komen vaker voor

Ik volg de cryptomarkt nu al jaren, en terwijl iedereen geobsedeerd is door de nieuwste ETF-stromen of de vraag of Bitcoin een dominantieplafond van 60% bereikt, negeren ze een veel engere trend. We praten over "hacken" alsof het gewoon een tiener in een kelder is met een script, maar er is een fysieke kant aan dit verhaal die veel te weinig aandacht krijgt. Ik heb het over de "wrench attack", waarbij iemand geen encryptie hoeft te kraken omdat hij een fysieke tool en jouw huisadres heeft. Als je zoekt naar een veilige manier om crypto private keys op te slaan, moet je beseffen dat je grootste zwakke plek misschien geen bug in een smart contract is, maar de KYC-gegevens die je aan elke exchange hebt gegeven die je ooit hebt gebruikt. We hebben eerder Blanche’s Crypto Stance besproken voor meer achtergrond.

Het gevaar van het KYC-spoor

De meeste van ons zien Know Your Customer (KYC) als een saaie administratieve hindernis. Je uploadt je paspoort, maakt een selfie en krijgt toegang tot je account. Maar naar mijn ervaring hebben we hiermee in feite een wereldwijde, gelekte database gebouwd van precies wie wat bezit. Wanneer een exchange wordt gehackt, lekken er niet alleen wachtwoorden. Het gaat om volledige namen, adressen en telefoonnummers.

Combineer dat met on-chain data en je hebt een kaart. Als een kwaadwillende partij een waardevolle wallet kan koppelen aan een echte identiteit via een gelekte KYC-database, hoeven ze geen lek in de blockchain te vinden. Ze hoeven alleen maar te weten waar je woont. Hier komt de wrench attack om de hoek kijken. Het is de meest primitieve vorm van hacken: fysieke afpersing. Je vecht niet tegen een bot, maar tegen iemand die weet dat je geld hebt en weet waar je slaapt.

Waarom een veilige manier om crypto private keys op te slaan niet alleen over software gaat

Ik heb mensen urenlang discussiëren over welke software wallet het veiligst is, om ze vervolgens hun seed phrase in een simpel tekstbestand op hun desktop te zien bewaren of, nog erger, als foto in hun cloudopslag. Dat is een ramp die wachten is tot het misgaat. Maar zelfs een briefje in een lade is een risico als iemand weet dat het daar ligt.

Het probleem is dat we zijn geconditioneerd om beveiliging te zien als een digitale muur. We vergeten dat die muur een deur heeft. Als je een gecentraliseerde exchange gebruikt, vertrouw je hen met je identiteit en je fondsen. Als ze worden gehackt, wordt je identiteit een baken voor iedereen die een doelwit zoekt. Daarom heb ik altijd gepleit voor self-custody.

Om jezelf echt te beschermen, heb je een hardware signer nodig die je keys offline houdt. Ik heb zelf een voorkeur voor de Ledger Nano Gen5 als je een budget hebt, omdat het E Ink touchscreen-technologie biedt voor 99 dollar. Een Secure Element chip (CC EAL6+) betekent dat je private keys nooit het internet raken. Maar het apparaat is slechts het halve werk. De echte beveiliging zit in hoe je de recovery seed beheert.

Waar mensen de mist in gaan

De grootste fout die ik zie is "security theater". Mensen kopen een dure wallet, maar bewaren hun recovery phrase van 24 woorden op een manier die makkelijk te vinden is. Als een crimineel weet dat je een Ledger hebt, gaan ze niet proberen het apparaat te hacken. Ze gaan op zoek naar het briefje dat je onder je matras hebt verstopt.

Ik zie een trend waarbij mensen denken dat een VPN of een private browser genoeg is. Hoewel we eerder hebben besproken hoe de risico's van P2P-trading in het VK zijn toegenomen door overheidsinvallen, is de dreiging van georganiseerde misdaad anders. Zij zoeken niet naar belastingontduiking; zij zoeken een snelle klapper.

Als je echt veilig wilt zijn, moet je je identiteit loskoppelen van je vermogen. Dat betekent dat je non-custodial diensten gebruikt waar mogelijk en extreem zuinig bent met je persoonlijke informatie.

Mijn visie op de weg vooruit

Ik zeg niet dat je nooit een exchange moet gebruiken. Ze zijn handig en voor sommigen de enige manier om binnen te komen. Maar je hele spaargeld op een platform houden dat een scan van je paspoort vereist, is een gok. Je wedt erop dat de beveiliging van de exchange beter is dan de motivatie van een crimineel die jouw adres in een lek vindt.

Ik denk dat de enige echte oplossing een combinatie is van hardwarebeveiliging en extreme operationele geheimhouding. Vertel mensen niet hoeveel je hebt. Post je winsten niet op social media. En voor alles wat me lief is: haal je assets van de exchange en zet ze in een cold wallet.

Als je klaar bent met de KYC-molen en gewoon assets wilt swappen zonder een permanent papieren spoor achter te laten, vind ik StealthEX een goede optie. Het is een non-custodial swap-service die geen accountregistratie of KYC vereist voor standaard swaps. Het is een simpele manier om een zekere mate van privacy te behouden in een wereld die elke einzelne satoshi die je bezit probeert te indexeren.

Handel het nieuws op onze door de redactie gekozen exchange: Gate