Twoje dane KYC są celem, a ataki "wrench attack" stają się coraz częstsze

Obserwuję rynek krypto od lat i widzę, że podczas gdy wszyscy obsesyjnie śledzą przepływy ETF-ów albo zastanawiają się, czy dominacja Bitcoina zatrzyma się na poziomie 60%, ignorują znacznie straszniejszy trend. Mówimy o "hackowaniu", jakby chodziło tylko o dzieciaka w piwnicy z gotowym skryptem, ale istnieje fizyczna strona tego zjawiska, której nie poświęca się wystarczająco dużo uwagi. Mam na myśli "wrench attack", czyli atak kluczem francuskim. W takim scenariuszu ktoś nie musi łamać Twojego szyfrowania, bo ma w ręku fizyczne narzędzie i Twój adres zamieszkania. Jeśli szukasz bezpiecznego sposobu na przechowywanie kluczy prywatnych krypto, musisz zdać sobie sprawę, że Twoją największą słabością może nie być błąd w smart kontrakcie, ale dane KYC, które przekazałeś każdej giełdzie, z której kiedykolwiek korzystałeś. Wcześniej pisaliśmy o podejściu Blanche'a do krypto, co daje szerszy kontekst regulacyjny.

Niebezpieczeństwo śladu KYC

Większość z nas traktuje procedury Know Your Customer (KYC) jako nudną formalność. Wgrywasz skan paszportu, robisz selfie i dostajesz dostęp do konta. Ale z mojego doświadczenia wynika, że w ten sposób stworzyliśmy globalną, dziurawą bazę danych o tym, kto dokładnie co posiada. Kiedy giełda zostaje zhakowana, nie wyciekają tylko hasła. Wyciekają pełne imiona, nazwiska, adresy i numery telefonów.

Dodaj do tego dane on-chain i masz gotową mapę. Jeśli przestępca powiąże wysokowartościowy portfel z prawdziwą tożsamością przez wyciek bazy KYC, nie musi szukać luki w blockchainie. Musi tylko sprawdzić, gdzie mieszkasz. I tu wchodzi "wrench attack". To najbardziej prymitywna forma hackowania: fizyczny szantaż. Nie walczysz z botem, tylko z kimś, kto wie, że masz pieniądze i wie, gdzie śpisz.

Dlaczego bezpieczny sposób na przechowywanie kluczy prywatnych to nie tylko software

Widziałam ludzi, którzy godzinami debatowali nad tym, który portfel programowy jest najbezpieczniejszy, by potem zapisać frazę seed w pliku tekstowym na pulpicie albo, co gorsza, zrobić jej zdjęcie i wrzucić do chmury. To katastrofa w oczekiwaniu. Ale nawet kartka papieru w szufladzie biurka jest ryzykiem, jeśli ktoś wie, że tam jest.

Problem polega na tym, że przyzwyczajono nas do myślenia o bezpieczeństwie jak o cyfrowym murze. Zapominamy, że ten mur ma drzwi. Korzystając z scentralizowanej giełdy, ufasz im w kwestii swojej tożsamości i funduszy. Jeśli dojdzie do wycieku, Twoje dane stają się latarnią dla każdego, kto szuka celu. Dlatego zawsze namawiałam na self-custody, czyli samodzielne przechowywanie środków.

Aby naprawdę się chronić, potrzebujesz sprzętowego portfela, który trzyma klucze offline. Osobiście polecam Ledger Nano Gen5, jeśli masz ograniczony budżet, bo wprowadza ekran E Ink w cenie 99 dolarów. Chip Secure Element (CC EAL6+) sprawia, że Twoje klucze prywatne nigdy nie dotykają internetu. Ale samo urządzenie to tylko połowa sukcesu. Prawdziwe bezpieczeństwo tkwi w tym, jak zarządzasz frazą odzyskiwania.

Gdzie ludzie popełniają błędy

Największym błędem, jaki widzę, jest "teatr bezpieczeństwa". Ludzie kupują drogi portfel, a potem przechowują 24-wyrazową frazę w sposób, który jest banalnie łatwy do odkrycia. Jeśli przestępca wie, że masz Ledgera, nie będzie próbował zhakować urządzenia. Będzie szukał kartki papieru, którą ukryłeś pod materacem.

Zauważyłam trend, w którym ludzie myślą, że VPN lub prywatna przeglądarka wystarczą. Wcześniej pisaliśmy o tym, jak wzrosły ryzyka handlu P2P w Wielkiej Brytanii z powodu rajdów rządowych, ale zagrożenie ze strony zorganizowanej przestępczości jest inne. Oni nie szukają osób unikających podatków. Oni szukają szybkiego zarobku.

Jeśli chcesz być naprawdę bezpieczny, musisz oddzielić swoją tożsamość od swojego majątku. Oznacza to korzystanie z usług non-custodial, gdy tylko to możliwe, i bycie niezwykle skąpym w udostępnianie danych osobowych.

Moim zdaniem: jak iść do przodu

Nie mówię, że w ogóle nie powinieneś korzystać z giełd. Są wygodne i dla niektórych to jedyna droga wejścia w ten świat. Ale trzymanie oszczędności życia na platformie, która wymaga skanu paszportu, to hazard. Zakładasz, że zabezpieczenia giełdy są silniejsze niż motywacja przestępcy, który znajdzie Twój adres w wycieku.

Uważam, że jedynym realnym rozwiązaniem jest połączenie zabezpieczeń sprzętowych i ekstremalnej dyskrecji operacyjnej. Nie mów ludziom, ile masz. Nie chwal się zyskami w mediach społecznościowych. I dla dobra wszystkiego, wyprowadź aktywa z giełdy do zimnego portfela.

Jeśli masz dość tego kołowrotka z KYC i chcesz po prostu wymieniać aktywa bez zostawiania stałego śladu w papierach, sprawdziłam StealthEX i uważam go za solidną opcję. To usługa wymiany non-custodial, która nie wymaga rejestracji konta ani KYC przy standardowych transakcjach. To prosty sposób na zachowanie pewnego poziomu prywatności w świecie, który próbuje zaindeksować każdego Twojego satoshiego.

Handluj aktualnymi newsami na wybranej przez nas redakcyjnie giełdzie: Gate