Ваши данные KYC под прицелом: почему растут риски «атак с гаечным ключом»

Я годами слежу за крипторынком, и пока все зациклились на притоках в ETF или на том, упрется ли доминация Биткоина в потолок 60%, они игнорируют куда более жуткий тренд. Мы привыкли обсуждать «хакинг» так, будто это какой-то подросток со скриптом в подвале. Но есть и физическая сторона, которой уделяют слишком мало внимания. Я говорю об «атаке с гаечным ключом», когда злоумышленнику не нужно взламывать ваше шифрование, потому что у него есть тяжелый инструмент и ваш домашний адрес. Если вы ищете безопасный способ хранения приватных ключей, осознайте одну вещь: ваша главная уязвимость может быть не в баге смарт-контракта, а в данных KYC, которые вы оставили на каждой бирже, где когда-либо регистрировались. Ранее мы разбирали позицию Бланша, чтобы лучше понимать контекст регулирования.

Опасность следов KYC

Большинство из нас воспринимает KYC (знай своего клиента) как скучную административную формальность. Загрузил паспорт, сделал селфи — и вперед, к торговле. Но на моем опыте мы просто создали глобальную базу данных о том, кто и чем владеет, которая рано или поздно утекает. Когда биржу взламывают, улетают не только пароли. Уходят полные имена, адреса и номера телефонов.

Добавьте к этому данные из блокчейна, и вы получите карту. Если преступник свяжет жирный кошелек с реальной личностью через слитую базу KYC, ему не нужно искать дыру в коде блокчейна. Ему просто нужно понять, где вы живете. Вот тут и начинается «атака с гаечным ключом». Это самая примитивная форма взлома: физический шантаж. Вы сражаетесь не с ботом, а с человеком, который знает, что у вас есть деньги, и знает, где вы спите. Для жителей Восточной Европы и СНГ, где культура «серых» схем и физического давления иногда сильнее цифровой гигиены, этот риск особенно актуален.

Почему безопасный способ хранения приватных ключей — это не только софт

Я видела, как люди часами спорят, какой софтверный кошелек надежнее, а потом хранят сид-фразу в текстовом файле на рабочем столе или, что еще хуже, в виде фото в облаке. Это катастрофа в режиме ожидания. Но даже листок бумаги в ящике стола становится риском, если кто-то знает о его существовании.

Проблема в том, что нас приучили думать о безопасности как о цифровой стене. Мы забываем, что в стене есть дверь. Пользуясь централизованной биржей, вы доверяете ей и свои деньги, и свою личность. После любого взлома ваши данные становятся маяком для тех, кто ищет цель. Именно поэтому я всегда топлю за самохранение.

Чтобы реально защититься, нужен аппаратный signer, который держит ключи оффлайн. Лично я рекомендую Ledger Nano Gen5, если бюджет ограничен, потому что за 99 долларов вы получаете E Ink сенсорный экран. Чип Secure Element (CC EAL6+) гарантирует, что ваши приватные ключи никогда не коснутся интернета. Но само устройство — это лишь половина дела. Настоящая безопасность в том, как вы храните сид-фразу.

Где люди ошибаются

Главная ошибка, которую я замечаю, — это «театр безопасности». Люди покупают дорогой кошелек, но хранят 24 слова восстановления так, что их легко найти. Если преступник знает, что у вас есть Ledger, он не будет пытаться взломать устройство. Он будет искать тот самый листок, который вы спрятали под матрасом.

Я заметила тенденцию: многие думают, что VPN или приватного браузера достаточно. Мы уже писали о том, как выросли риски P2P-торговли в Великобритании из-за рейдов властей, но угроза от организованной преступности совсем другая. Им плевать на уклонение от налогов. Им нужен куш.

Если хотите быть в безопасности, нужно разорвать связь между вашей личностью и вашим капиталом. Это значит использовать некастодиальные сервисы везде, где можно, и быть крайне жадным до своих личных данных.

Мой взгляд на выход из ситуации

Я не говорю, что биржами вообще нельзя пользоваться. Это удобно, а для кого-то это единственный вход в рынок. Но держать все сбережения на платформе, где требуется скан вашего паспорта, — это игра в рулетку. Вы ставите на то, что безопасность биржи окажется сильнее мотивации преступника, нашедшего ваш адрес в сливе.

Думаю, единственный реальный выход — это сочетание аппаратной защиты и жесткой операционной секретности. Не рассказывайте людям, сколько у вас денег. Не постите свои профиты в соцсетях. И, ради всего святого, заберите активы с бирж в холодный кошелек.

Если вам надоел этот бег по кругу с KYC и вы просто хотите обменять активы, не оставляя после себя вечный бумажный след, я нашла StealthEX. Это некастодиальный сервис обмена, где не нужна регистрация аккаунта или KYC для стандартных сделок. Простой способ сохранить хоть какой-то уровень приватности в мире, который пытается проиндексировать каждый ваш сатоши.

Торгуйте новости на бирже, которую выбрали наши редакторы: Gate