Din KYC-data är ett mål och "wrench attacks" ökar

Jag har följt kryptomarknaden i flera år nu. Medan alla är besatta av de senaste ETF-flödena eller om Bitcoin når ett tak för sin dominans vid 60 %, ignorerar de en trend som är betydligt läskigare. Vi pratar om "hacking" som om det bara vore någon unge i en källare med ett script, men det finns en fysisk sida av det här som inte får tillräckligt med uppmärksamhet. Jag pratar om "wrench attacks" – alltså när någon inte behöver knäcka din kryptering eftersom de har ett fysiskt verktyg och din hemadress. Om du letar efter ett säkert sätt att förvara privata kryptonycklar måste du inse att din största sårbarhet kanske inte är en bugg i ett smart kontrakt, utan den KYC-data du har gett bort till varje börs du någonsin använt. Vi täckte tidigare Blanches inställning till krypto för mer bakgrund.

Risken med KYC-spåret

De flesta av oss ser Know Your Customer (KYC) som ett tråkigt administrativt hinder. Du laddar upp passet, tar en selfie och får tillgång till ditt konto. Men i min erfarenhet har vi i praktiken byggt en global, läckande databas över exakt vem som äger vad. När en börs blir hackad är det inte bara lösenord som läcker. Det är fullständiga namn, adresser och telefonnummer.

Kombinera det med on-chain-data så har du en karta. Om en ond aktör kan koppla en värdefull plånbok till en verklig identitet via en läckt KYC-databas behöver de inte hitta någon sårbarhet i blockkedjan. De behöver bara hitta var du bor. Det är här wrench attack kommer in. Det är den mest primitiva formen av hacking: fysisk utpressning. Du slåss inte mot en bot, utan mot någon som vet att du har pengar och vet var du sover.

Varför ett säkert sätt att förvara privata kryptonycklar inte bara handlar om mjukvara

Jag har sett folk spendera timmar på att diskutera vilken mjukvaruplånbok som är säkrast, för att sedan spara sin seed phrase i en textfil på skrivbordet eller, ännu värre, som ett foto i molnet. Det är en katastrof som bara väntar på att hända. Men även en fysisk papperslapp i en skrivbordslåda är en risk om någon vet att den finns där.

Problemet är att vi har blivit konditionerade att tänka på säkerhet som en digital mur. Vi glömmer att muren har en dörr. Om du använder en centraliserad börs litar du på dem med både din identitet och dina pengar. Om de blir hackade blir din identitet en fyr för alla som letar efter ett mål. Det är därför jag alltid har förespråkat self-custody.

För att faktiskt skydda dig behöver du en hårdvarusigner som håller dina nycklar offline. Jag föredrar personligen Ledger Nano Gen5 om du har en budget att hålla dig till, eftersom den erbjuder E Ink-pekskärmsteknik för 99 dollar. Att ha ett Secure Element-chip (CC EAL6+) innebär att dina privata nycklar aldrig ens rör internet. Men enheten är bara halva striden. Den verkliga säkerheten ligger i hur du hanterar din recovery seed.

Där folk gör fel

Det största misstaget jag ser är "säkerhetsteater". Folk köper en lyxig plånbok men förvarar sedan sin 24-ordsfras på ett sätt som är lätt att hitta. Om en kriminell vet att du äger en Ledger kommer de inte försöka hacka själva enheten. De kommer leta efter papperet du gömt under madrassen.

Jag har märkt en trend där folk tror att det räcker med en VPN eller en privat webbläsare. Vi täckte tidigare hur riskerna med P2P-handel i Storbritannien har ökat på grund av myndighetsrazzior, men hotet från organiserad brottslighet är annorlunda. De letar inte efter skatteflykt, de letar efter en utbetalning.

Om du vill vara genuint säker måste du koppla bort din identitet från din förmögenhet. Det innebär att använda non-custodial tjänster när det går och vara extremt snål med din personliga information.

Mina tankar om vägen framåt

Jag säger inte att du aldrig ska använda en börs. De är smidiga, och för vissa är det enda sättet att komma in i gamet. Men att ha hela sitt livsbesparingar på en plattform som kräver en skanning av ditt pass är ett hasardspel. Du satsar på att börsens säkerhet är bättre än motivationen hos en kriminell som hittar din adress i en läcka.

Jag tror att den enda riktiga lösningen är en kombination av hårdvarusäkerhet och extrem operativ sekretess. Berätta inte för folk hur mycket du har. Posta inte dina vinster på sociala medier. Och för allt i världen, flytta dina tillgångar från börsen till en cold wallet.

Om du är trött på KYC-karusellen och bara vill byta tillgångar utan att lämna ett permanent pappersspår har jag funnit StealthEX vara ett bra alternativ. Det är en non-custodial swap-tjänst som inte kräver konto-registrering eller KYC för standardbyten. Det är ett enkelt sätt att behålla en viss nivå av integritet i en värld som försöker indexera varje liten satoshi du äger.

Handla nyheterna på vår redaktionellt utvalda börs: Gate