Според Chainalysis, общият обем на средствата, откраднати чрез хакерски атаки върху крипто платформи, е надхвърлил 1,58 милиарда долара до 31 юли 2024 г. Това представлява увеличение с 84,4% в сравнение със същия период на 2023 г. На 18 юли 2024 г. кибергрупата Lazarus открадна 34,9 милиона долара от борсата WazirX, което е една от най-големите кражби през последните месеци. „Горещите“ (онлайн) портфейли са по своята същност уязвими към целенасочени атаки и компрометиране на частни ключове, поради което инвеститорите все по-често преминават към „студено съхранение“ на своите активи.
Студен портфейл за криптовалути
В тази статия ще обясним с прости думи какво е студен портфейл, как работи и защо тази опция помага за защитата на вашите средства от хакерски атаки.
Какво е студен портфейл
Преди да отговорим на този въпрос, нека накратко разгледаме как работят криптовалутите и портфейлите като цяло.
Основи на работата с крипто портфейла
Криптирането в криптовалутите се използва както за поддържане на блокчейна (верига от блокове, съдържащи записи за транзакции), така и за изпращане на транзакции от потребители. За да може мрежата да приеме транзакция за обработка, тя трябва да има цифров подпис: поредица от символи, създадена чрез прилагане на криптиране към данните за транзакцията ви.
Криптирането се извършва с помощта на секретна информация – т. нар. частен ключ. Но как участниците в мрежата ще разберат, че подписът е автентичен? Съвременните алгоритми за криптиране отчитат това и публичният ключ винаги е придружен от частния ключ.
Публичният ключ може да се разпространява свободно. Той е необходим, за да се провери дали цифровият подпис наистина е създаден от съответния частен ключ. Всеки, който има публичен ключ, може да провери автентичността на подписа и да потвърди транзакцията.
За да опростят системата, инженерите са измислили да използват публичния ключ като данни за крипто акаунт. Именно публичният ключ (или неговият формат на представяне) се нарича адрес на крипто портфейл.
Всяка криптовалута в портфейла има свой собствен адрес. Използвайки го, можете да проверявате всички транзакции от този адрес. Безплатната проверка на транзакциите прави криптовалутите децентрализирани и прозрачни за всеки участник в мрежата. Слабото място на криптовалутите обаче се превръщат в частните ключове за криптиране на всеки участник. Ако частен ключ попадне в ръцете на трети страни, крипто общността вече не може да различи кой е създал транзакцията: истинският собственик или злонамереният актьор. Следователно, защитата на частните ключове е критичен въпрос при криптовалутите.
Характеристики на студените крипто портфейли
Студеният портфейл е средство за съхранение на частни ключове напълно офлайн, без постоянна интернет връзка. Ако горещите (онлайн) портфейли са постоянно свързани към мрежата и съхраняват ключове на сървъри или в приложения, студеният портфейл физически изолира ключовете от всякакви отдалечени атаки. Студеният крипто портфейл гарантира, че никоя програма, вирус или хакер не може да получи директен достъп до вашите средства.
Но как да извършвате транзакции, ако студеният портфейл няма достъп до интернет? Всички операции с криптовалута работят по следния начин: създавате и подписвате транзакция на устройство, което не е свързано с интернет, и след това предавате само готовия цифров подпис към мрежата – например чрез USB устройство или QR код – за проверка и публикуване в блокчейна.
Кой е изобретил студените портфейли за криптовалута
Идеята за съхраняване на частни ключове офлайн се появи почти веднага след появата на Bitcoin. През 2011 г. участници във форума Bitcointalk за първи път описаха метода на „хартиен портфейл“, при който ключовете се генерираха на компютър без интернет връзка и се отпечатваха на лист хартия.
Тази практика заимства концепцията за студено съхранение от традиционното банкиране, където ценностите се съхраняват във физически сейф. Авторите на тези публикации последователно подчертават: ако частен ключ никога не се появи онлайн, нападателите няма да могат да достигнат до него.
Именно тези първи експерименти с хартиени носители положиха основата за последващи хардуерни решения, превръщайки офлайн съхранението в основен инструмент за защита на крипто активите. Така се роди концепцията за студен портфейл.
Първи студени портфейли
Първият търговски хардуерен студен портфейл беше представен от чешката компания SatoshiLabs на 29 юли 2014 г. с пускането на Trezor Model One. Устройството беше изградено на базата на микроконтролера ATMega 32U4, оборудвано с OLED екран и два бутона за потвърждаване на действия, докато частните ключове бяха надеждно изолирани вътре в устройството, предотвратявайки достигането им до мрежата. Основната пластмасова версия на крипто портфейла се продаваше за 1 BTC, а алуминиевата версия – за 3 BTC – което, при цената на биткойна по това време, правеше Trezor едно от най-скъпите, но и най-безопасните решения на пазара.
През 2016 г. френският стартъп Ledger пусна на пазара хардуерния крипто портфейл Nano S, който използва чип Secure Element с ниво на сертификация CC EAL5+ и собствена операционна система BOLOS. Благодарение на USB интерфейса и интеграцията с приложението Ledger Live, студеният портфейл Nano S поддържаше десетки криптовалути, опростявайки управлението на активи на компютър или смартфон.
До 2022 г. Ledger продаде над 3 милиона такива крипто портфейли, потвърждавайки масовото търсене на хардуерни решения. Скоро производителите започнаха да развиват концепцията допълнително: през 2018 г. SatoshiLabs започна да доставя Trezor Model T с цветен сензорен екран, по-мощен процесор и вграден слот за microSD карта. Новият интерфейс опрости въвеждането на ПИН код и фраза за възстановяване, а разширената функционалност позволи обработката на повече видове криптовалутни транзакции без интернет връзка. А днес на пазара навлязоха нови производители на хардуерни крипто портфейли, опитвайки се да предизвикат ветераните с простота и лекота на използване, съчетани със сигурност.
Как работи студеният портфейл „под капака“
Студеният портфейл е изграден около защитен чип или микроконтролер, заобиколен от компоненти за сигурност: криптирана енергонезависима памет за частни ключове, екран и физически бутони за потвърждаване на операции.
Ако е студен портфейл, устройството работи с опростена операционна система, лишена от мрежови модули и софтуер на трети страни. Взаимодействието с външния свят се осъществява само чрез предварително дефиниран канал – например USB портове или скенер за QR кодове – и само след физическо потвърждение на всяка операция с криптовалута от потребителя.
Как се формира ключовата йерархия – с прости думи
Внимателните читатели ще забележат, че всяка криптовалута изисква свой собствен частен ключ. Всеки от тези ключове трябва да се съхранява в портфейла, за да подписва транзакции в различни мрежи и за различни монети. Понякога инвеститорите събират десетки или дори стотици монети в портфолиото си. Разбира се, работата с всеки ключ поотделно в такъв режим е неудобна. Затова е измислена концепцията за главен ключ. Главният ключ е „ключ към ключове“, с който всички останали могат да бъдат възстановени.
Подписване на транзакция стъпка по стъпка
Ако в горещ портфейл създавате транзакция, като избирате монета, сума, мрежа и след това директно я изпращате към мрежата, в студен портфейл този процес е по-бавен.
Първо, в приложение на вашия компютър или смартфон, създавате чернова за транзакция – посочвате адреса на получателя, сумата на криптовалутата и размера на таксата. Чертежът не може да бъде изпратен до мрежата, защото е неподписан, а без подпис от частния ключ мрежата няма да приеме транзакцията. След това този чернова се прехвърля към вашия студен портфейл чрез USB кабел или чрез сканиране на QR код.
Всички подробности за превода се показват на екрана на устройството: къде и колко се изпраща, каква такса се начислява. След проверка натискате бутоните на портфейла, потвърждавайки операцията. Вътре в устройството вградената програма взема вашия личен ключ и създава цифров подпис – уникален код, потвърждаващ автентичността на транзакциите. Готовият подпис се извежда като низ или QR код, който се връща към приложението на основното устройство.
Накрая приложението публикува подписаната транзакция в блокчейна, докато вашият личен ключ остава сигурно защитен и никога не напуска крипто портфейла.
Архивиране и възстановяване
Както вече споменахме, за архивиране можете да използвате или директно частни ключове (да ги запишете на носител и да го заключите в сейф), или чрез носител – например хартия. Но частните ключове са много неудобни за записване, тъй като често се състоят от дълъг низ от символи. Затова инженерите са измислили seed фрази.
Сейд фразата е набор от 12/24 думи, които прецизно кодират частния ключ. В този смисъл, сейд фразата и главният ключ са еквивалентни. Сейд фразата не може да бъде променена и нейното изтичане означава, че целият портфейл е компрометиран.
Следователно, началната фраза обикновено се показва само веднъж по време на първоначалната настройка на портфейлите.
Тази фраза трябва да бъде записана (като се запази словоредът!), например на хартия, и съхранявана на сигурно място. За да изключите риска от загуба на началната фраза, можете да направите 2-3 копия и да ги поставите на различни места. От една страна, това повишава сигурността на фразата, но от друга – също така увеличава риска от случайно разкриване на информация от външни лица.
Ако искате да поставите хартия с написаната начална фраза в сейф, това е отлична идея. За безопасно съхранение обаче си струва да използвате по-издръжливи студени портфейли, като например метални. Можете сами да си направите пластина или да закупите специализирани, където просто трябва да отпечатате началната фраза.
Редовно проверявайте четливостта на написаната фраза и мястото ѝ на съхранение. Ако хартията започне да се къса или текстът стане неясен – прехвърлете думите на ново копие. Компетентното архивиране и навременното актуализиране на копията ще ви предпазят от риска от трайна загуба на средства.
Но какво ще стане, ако seed-фразата е загубена? Всичко зависи от това дали все още имате достъп до портфейла. Ако достъпът до портфейла е запазен, просто трябва да създадете нов студен крипто портфейл, да запишете и запазите новата seed-фраза и след това своевременно да прехвърлите средства от стария портфейл в новия. Ако обаче няма достъп до портфейла и seed-фразата е загубена, възстановяването на достъпа до средствата ви е технически невъзможно. Никой не може да направи това: никой няма вашите частни ключове, а грубата им атака е задача, която не може да бъде решена в разумен срок.
Семенна фраза може да се използва не само в случай на загуба на хардуерен портфейл или негова неизправност, но и например, ако искате да получите достъп до същия портфейл от друго устройство. Освен това, производителят на това устройство може дори да е различен. Ще можете да подписвате транзакциите си на всяко от тях. Използването на семенна фраза за възстановяване на портфейл в горещ вариант обаче вече не е много добра идея, тъй като това компрометира самата идея за студено съхранение. В този случай цялата защита на хардуерния портфейл просто престава да функционира.
Видове студени портфейли
Най-безопасните студени портфейли са хардуерните портфейли. Това са компактни устройства с екран и бутони, вътре в които е поставен защитен чип.
Студените портфейли от хартия включват генериране на двойка ключове офлайн, последвано от отпечатване върху хартия. Този метод не изисква електроника, но хартията се къса и избледнява. За дългосрочно съхранение се използва водо- и огнеупорна стомана, върху която се гравират думите на seed фразата или самият частен ключ.
Офлайн приложенията и USB устройствата съхраняват софтуера за портфейли на флаш устройство или microSD карта, която се зарежда на компютър без достъп до мрежата. Частните ключове остават в криптиран контейнер на носителя, а транзакциите се подписват локално. Този метод намалява разходите в сравнение с хардуерните устройства, но изисква периодични актуализации на софтуера, които са доста неудобни за извършване без интернет връзка.
Съществуват и студени портфейли с поддръжка на множество подписи. В този случай частният ключ се разделя на няколко части, съхранявани на различни устройства. Транзакция може да бъде подписана само с одобрението на мнозинството от участниците – това увеличава надеждността на съхранението, но усложнява процедурата по прехвърляне на средства.
Заключение
Студеният портфейл остава един от най-надеждните начини за защита на криптовалутите от хакерски атаки и компрометиране на частни ключове. Тъй като кибератаките срещу борси и горещи портфейли стават все по-разпространени, а сумите на откраднатите средства достигат нови рекорди, студеният крипто портфейл се трансформира от опция в необходимост за тези, които искат да запазят своята криптовалута. Компетентният избор и настройка на студен портфейл, редовното актуализиране на резервните копия и внимателното боравене със seed фразата ще помогнат за защитата на вашите инвестиции и ще намалят рисковете дори на фона на нарастващите заплахи на крипто пазара.