Volgens Chainalysis bedroeg het totale volume aan gestolen geld via hacks van cryptoplatformen op 31 juli 2024 meer dan 1,58 miljard dollar. Dit is een stijging van 84,4% ten opzichte van dezelfde periode in 2023. Op 18 juli 2024 stal de cybergroep Lazarus 34,9 miljoen dollar van de WazirX-beurs, een van de grootste diefstallen van de afgelopen maanden. Hot wallets (online wallets) zijn inherent kwetsbaar voor gerichte aanvallen en het compromitteren van privésleutels. Daarom stappen beleggers steeds vaker over op cold storage voor hun activa.
Koude cryptocurrency-wallet
In dit artikel leggen we in eenvoudige bewoordingen uit wat een cold wallet is, hoe deze werkt en waarom deze optie helpt om uw geld te beschermen tegen hacks.
Wat is een cold wallet?
Voordat we deze vraag beantwoorden, laten we eerst kort ingaan op hoe cryptovaluta en wallets in het algemeen werken.
Basisprincipes van het gebruik van een cryptowallet
Versleuteling in cryptovaluta wordt gebruikt voor zowel het onderhouden van de blockchain (een keten van blokken met transactiegegevens) als voor het verzenden van transacties door gebruikers. Om een transactie te accepteren en te verwerken, moet deze een digitale handtekening bevatten: een reeks tekens die wordt gegenereerd door versleuteling toe te passen op de transactiegegevens.
Versleuteling vindt plaats met behulp van geheime informatie: de zogenaamde privésleutel. Maar hoe kunnen deelnemers aan het netwerk vaststellen of de handtekening authentiek is? Moderne versleutelingsalgoritmen houden hier rekening mee, en een publieke sleutel gaat altijd samen met de privésleutel.
De publieke sleutel kan vrijelijk worden verspreid. Deze is nodig om te verifiëren dat de digitale handtekening daadwerkelijk is aangemaakt met de bijbehorende privésleutel. Iedereen die over de publieke sleutel beschikt, kan de authenticiteit van de handtekening verifiëren en de transactie bevestigen.
Om het systeem te vereenvoudigen, bedachten ingenieurs het gebruik van de publieke sleutel als crypto-accountgegevens. De publieke sleutel (of een weergave daarvan) wordt het cryptowalletadres genoemd.
Elke cryptocurrency in een wallet heeft een eigen adres. Met dit adres kunt u alle transacties van dat adres verifiëren. Gratis transactieverificatie maakt cryptocurrencies gedecentraliseerd en transparant voor elke deelnemer aan het netwerk. Het zwakke punt van cryptocurrencies zijn echter de privésleutels van elke deelnemer. Als een privésleutel in handen van derden valt, kan de cryptogemeenschap niet langer vaststellen wie de transactie heeft uitgevoerd: de rechtmatige eigenaar of een kwaadwillende. Daarom is de bescherming van privésleutels een cruciaal aspect van cryptocurrencies.
Kenmerken van cold crypto wallets
Een cold wallet is een manier om privésleutels volledig offline op te slaan, zonder constante internetverbinding. Waar hot wallets (online wallets) continu verbonden zijn met het netwerk en sleutels opslaan op servers of in applicaties, isoleert een cold wallet de sleutels fysiek van externe aanvallen. Een cold crypto wallet garandeert dat geen enkel programma, virus of hacker rechtstreeks toegang kan krijgen tot uw tegoeden.
Maar hoe voer je transacties uit als de cold wallet geen internettoegang heeft? Alle cryptocurrency-transacties werken als volgt: je maakt en ondertekent een transactie op een apparaat dat niet met internet is verbonden, en vervolgens verstuur je alleen de voltooide digitale handtekening naar het netwerk – bijvoorbeeld via een USB-stick of QR-code – voor verificatie en publicatie op de blockchain.
Wie heeft de cold cryptocurrency wallets uitgevonden?
Het idee om privésleutels offline op te slaan ontstond vrijwel direct na de verschijning van Bitcoin. In 2011 beschreven deelnemers aan het Bitcointalk-forum voor het eerst de “papieren portemonnee”-methode, waarbij sleutels op een computer zonder internetverbinding werden gegenereerd en op een vel papier werden afgedrukt.
Deze praktijk ontleende het concept van cold storage aan het traditionele bankwezen, waar waardevolle spullen in een fysieke kluis worden bewaard. Auteurs van deze publicaties benadrukten steevast: als een privésleutel nooit online verschijnt, kunnen aanvallers er niet bij.
Het waren juist deze eerste experimenten met papieren media die de basis legden voor latere hardwareoplossingen, waardoor offline opslag een essentieel hulpmiddel werd voor de bescherming van cryptovaluta. Zo ontstond het concept van een cold wallet.
Eerste koude portemonnees
De eerste commerciële hardware cold wallet werd op 29 juli 2014 gepresenteerd door het Tsjechische bedrijf SatoshiLabs met de lancering van de Trezor Model One. Het apparaat was gebouwd rond de ATMega 32U4 microcontroller en uitgerust met een OLED-scherm en twee knoppen voor het bevestigen van acties. Privésleutels werden betrouwbaar geïsoleerd in het apparaat, waardoor ze nooit het netwerk konden bereiken. De basisversie van de cryptowallet, gemaakt van plastic, kostte 1 BTC, en de aluminium versie 3 BTC. Gezien de Bitcoin-koers van destijds was Trezor daarmee een van de duurste, maar ook veiligste oplossingen op de markt.
In 2016 bracht de Franse startup Ledger de Nano S hardware cryptowallet uit, die gebruikmaakte van een Secure Element-chip met CC EAL5+-certificering en een eigen BOLOS-besturingssysteem. Dankzij de USB-interface en de integratie met de Ledger Live-app ondersteunde de Nano S cold wallet tientallen cryptocurrencies, waardoor vermogensbeheer op een computer of smartphone werd vereenvoudigd.
In 2022 had Ledger al meer dan 3 miljoen van dergelijke cryptowallets verkocht, wat de enorme vraag naar hardwareoplossingen bevestigde. Al snel begonnen fabrikanten het concept verder te ontwikkelen: in 2018 bracht SatoshiLabs de Trezor Model T uit met een kleurentouchscreen, een krachtigere processor en een ingebouwde microSD-kaartsleuf. De nieuwe interface vereenvoudigde het invoeren van pincodes en herstelzinnen, terwijl de uitgebreide functionaliteit het mogelijk maakte om meer soorten cryptocurrency-transacties te verwerken zonder internetverbinding. En vandaag de dag zijn er nieuwe fabrikanten van hardware cryptowallets op de markt gekomen die de gevestigde spelers proberen uit te dagen met eenvoud en gebruiksgemak in combinatie met beveiliging.
Hoe een cold wallet “onder de motorkap” werkt
Een cold wallet is opgebouwd rond een beveiligde chip of microcontroller, omgeven door beveiligingscomponenten: versleuteld niet-vluchtig geheugen voor privésleutels, een scherm en fysieke knoppen voor het bevestigen van transacties.
Bij een cold wallet draait het apparaat op een vereenvoudigd besturingssysteem zonder netwerkmodules en software van derden. Interactie met de buitenwereld vindt alleen plaats via een vooraf gedefinieerd kanaal – bijvoorbeeld USB-poorten of een QR-codescanner – en alleen na fysieke bevestiging van elke cryptovaluta-transactie door de gebruiker.
Hoe de sleutelhiërarchie wordt gevormd – in eenvoudige bewoordingen
Oplettende lezers zullen opmerken dat elke cryptocurrency een eigen privésleutel vereist. Elk van deze sleutels moet in de wallet worden opgeslagen om transacties tussen verschillende netwerken en voor verschillende munten te kunnen ondertekenen. Soms verzamelen beleggers tientallen of zelfs honderden munten in hun portfolio. Het is natuurlijk onhandig om op zo’n manier met elke sleutel afzonderlijk te werken. Daarom is het concept van een hoofdsleutel bedacht. Een hoofdsleutel is een “sleutel tot alle sleutels”, waarmee alle andere sleutels kunnen worden hersteld.
Een transactie ondertekenen, stap voor stap.
Als je in een hot wallet een transactie aanmaakt door een munt, bedrag en netwerk te selecteren en deze vervolgens direct naar het netwerk te verzenden, is dit proces in een cold wallet trager.
Eerst maak je in een app op je computer of smartphone een transactieconcept aan. Hierin geef je het adres van de ontvanger, het cryptovaluta-bedrag en de transactiekosten op. Dit concept kan niet direct naar het netwerk worden verzonden, omdat het niet ondertekend is. Zonder een handtekening van de privésleutel accepteert het netwerk de transactie niet. Vervolgens wordt dit concept via een USB-kabel of door het scannen van een QR-code naar je cold wallet overgebracht.
Alle details van de overdracht verschijnen op het scherm van het apparaat: waarheen en hoeveel er wordt verzonden, en welke kosten er in rekening worden gebracht. Na verificatie drukt u op de knoppen van de portemonnee om de transactie te bevestigen. Op het apparaat zelf gebruikt het ingebouwde programma uw privésleutel om een digitale handtekening te genereren – een unieke code die de authenticiteit van de transactie bevestigt. De voltooide handtekening wordt als tekenreeks of QR-code weergegeven en teruggestuurd naar de applicatie op het hoofdapparaat.
Tot slot publiceert de applicatie de ondertekende transactie op de blockchain, terwijl uw privésleutel veilig beschermd blijft en de cryptowallet nooit verlaat.
Back-up en herstel
Zoals we al eerder vermeldden, kunt u voor een back-up privésleutels direct gebruiken (door ze op een medium te schrijven en dat medium in een kluis te bewaren) of via een medium, bijvoorbeeld papier. Maar privésleutels zijn erg onhandig om op te schrijven, omdat ze vaak uit een lange reeks tekens bestaan. Daarom hebben ingenieurs seed phrases bedacht.
Een seed phrase is een reeks van 12 of 24 woorden die de privésleutel nauwkeurig coderen. In die zin zijn een seed phrase en een master key equivalent. Een seed phrase kan niet worden gewijzigd en als deze uitlekt, is de hele wallet gecompromitteerd.
Daarom wordt de seed phrase meestal maar één keer getoond tijdens de eerste configuratie van de wallet.
Deze zin moet worden opgeschreven (met behoud van de woordvolgorde!), bijvoorbeeld op papier, en op een veilige plek worden bewaard. Om het risico op verlies van de seed phrase uit te sluiten, kunt u 2-3 kopieën maken en deze op verschillende locaties bewaren. Enerzijds verhoogt dit de veiligheid van de zin, maar anderzijds verhoogt het ook het risico dat deze per ongeluk in handen van buitenstaanders valt.
Als je een papiertje met de seed phrase erop in een kluis wilt bewaren, is dat een uitstekend idee. Voor veilige opslag is het echter aan te raden om duurzamere back-ups voor je cold wallet te gebruiken, bijvoorbeeld van metaal. Je kunt zelf een plaatje maken, of je kunt speciale plaatjes kopen waarop je alleen de seed phrase hoeft te laten drukken.
Controleer regelmatig de leesbaarheid van de geschreven tekst en de opslaglocatie. Als het papier scheurt of de tekst onduidelijk wordt, kopieer de tekst dan naar een nieuwe kopie. Door een goede back-up te maken en kopieën tijdig bij te werken, voorkomt u het risico op permanent verlies van geld.
Maar wat als de seed phrase verloren is? Dat hangt er helemaal vanaf of je nog toegang hebt tot de wallet. Als je nog steeds toegang hebt tot de wallet, hoef je alleen maar een nieuwe cold crypto wallet aan te maken, de nieuwe seed phrase op te schrijven en op te slaan, en vervolgens direct geld over te maken van de oude naar de nieuwe wallet. Als je echter geen toegang meer hebt tot de wallet en de seed phrase verloren is, is het herstellen van de toegang tot je geld technisch onmogelijk. Niemand kan dit doen: niemand heeft je privésleutels en het kraken ervan met een brute-force-aanval is een taak die niet binnen een redelijke tijd kan worden opgelost.
Een seed phrase kan niet alleen worden gebruikt in geval van verlies of een storing van een hardware wallet, maar bijvoorbeeld ook om toegang te krijgen tot dezelfde wallet vanaf een ander apparaat. Bovendien kan de fabrikant van dit apparaat zelfs verschillen. U kunt uw transacties op elk apparaat ondertekenen. Het gebruik van een seed phrase om een wallet te herstellen in een hot-variant is echter geen goed idee, omdat dit het principe van cold storage ondermijnt. In dat geval werkt de beveiliging van de hardware wallet simpelweg niet meer.
Soorten cold wallets
De veiligste cold wallets zijn hardware wallets. Dit zijn compacte apparaten met een scherm en knoppen, waarin een beveiligde chip is geplaatst.
Bij papieren cold wallets wordt offline een sleutelpaar gegenereerd en vervolgens op papier afgedrukt. Deze methode vereist geen elektronica, maar papier scheurt en vervaagt. Voor langdurige opslag wordt water- en brandwerend staal gebruikt, waarop de woorden van de seed phrase of de privésleutel zelf worden gegraveerd.
Offline applicaties en USB-sticks slaan de walletsoftware op een flashdrive of microSD-kaart op, die vervolgens in een computer zonder netwerkverbinding wordt geplaatst. De privésleutels blijven in een versleutelde container op het medium en transacties worden lokaal ondertekend. Deze methode is kosteneffectiever dan hardwareapparaten, maar vereist periodieke software-updates, wat zonder internetverbinding nogal onhandig is.
Er bestaan ook cold wallets met ondersteuning voor meerdere handtekeningen. In dit geval wordt de privésleutel opgesplitst in meerdere delen die op verschillende apparaten worden opgeslagen. Een transactie kan alleen worden ondertekend met de goedkeuring van de meerderheid van de deelnemers. Dit verhoogt de betrouwbaarheid van de opslag, maar maakt de procedure voor het overmaken van geld complexer.
Conclusie
Een cold wallet blijft een van de meest betrouwbare manieren om cryptovaluta te beschermen tegen hacks en het compromitteren van privésleutels. Nu cyberaanvallen op exchanges en hot wallets steeds vaker voorkomen en de gestolen bedragen nieuwe records bereiken, verandert een cold wallet voor cryptovaluta van een optie in een noodzaak voor iedereen die zijn cryptovaluta wil beschermen. Een verstandige keuze en configuratie van een cold wallet, regelmatige updates van back-ups en zorgvuldige omgang met de seed phrase helpen uw investeringen te beschermen en risico’s te beperken, zelfs te midden van de groeiende dreigingen op de cryptomarkt.