Hvad er Vulnerable Keys?
Vulnerable Keys er kryptonøgler der er lette at stjæle, gætte eller få eksponeret på grund af dårlig opbevaring, svag tilfældighed eller menneskelige fejl. Hvis nogen får fat i dem, kan de flytte dine mønter som om de var deres. Forestil dig husnøgler under måtten vist på din historie, bare med færre naboer og flere bots som holder øje.
Jeg fortæller aldrig mine nøgler til nogen, derfor er jeg sikker. Ikke helt. Malware, falske wallet popups, skybaserede sikkerhedskopier og indsatte fraser kan stadig forvandle stærke nøgler til Vulnerable Keys uden at du siger et ord.
Hvordan Vulnerable Keys fungerer
Her er den typiske glidebane fra sikkert til ærgerligt. Kort version, men rigtig.
- Trin 1: Du opretter en wallet, som giver dig Gendannelsesnøgler og den underliggende Privatnøgler.
- Trin 2: Eksponering sniger sig ind gennem sløsede opbevaringsvaner, inficerede enheder eller smarte svindeltricks som Phishingangreb.
- Trin 3: En angriber opfanger nøglerne eller en seed og begynder at signere transaktioner du aldrig godkendte.
- Trin 4: Midler flyttes til adresser de kontrollerer, og kæden accepterer signaturen som gyldig.
- Trin 5: Du opdager mærkelige udgående overførsler og skynder dig at flytte det der er tilbage til en ny wallet.
Slem, hurtig og kan undgås med nogle få vaner.
Hvorfor Vulnerable Keys er vigtige
Hvorfor skulle du bekymre dig? Fordi nøgler er portvagterne til alt du ejer på kæden.
- Fordel: Gode vaner holder dine mønter, NFTs og din identitet under din kontrol, ikke andres.
- Perspektiv: Angribere går efter vaner, ikke kun teknologi, og de behøver kun et enkelt svip for at vinde.
- Relevans: Du vil se nøgler i tegnebøger, dapps, exchanges, endda DAOs, og du kan dele dine offentlige nøgler sikkert men aldrig den private side.
Sikre email, login til exchanges og adgangskodeadministratorer med Flerfaktorautentificering (MFA), og opbevar derefter seeds offline, aldrig i screenshots eller chats.
Nøgleegenskaber ved Vulnerable Keys
Hvad gør en nøgle usikker i første omgang:
- Eksponering: Opbevaret i ren tekst, fotos eller cloud notes der er lette at få fat i.
- Tilfældighed: Svag tilfældighed eller forudsigelige fraser gør gætning mulig.
- Genbrug: Samme nøgle på flere kæder eller tegnebøger betyder at ét hit giver mange tab.
- Enheder: Inficerede telefoner og laptops lækker hemmeligheder via malware og falske input.
- Sikkerhedskopier: Indsatte seeds i email eller dokumenter bliver let bytte efter et enkelt kontobrud.
Variationer
Forskellige måder nøgler ender i farezonen på:
- Svag: Seed med lav tilfældighed eller en dårlig generator gør gætning realistisk.
- Lækket: Seedfrase postet, synkroniseret eller fanget via phishing og derefter opsamlet af bots.
- Genbrugt: Én nøgle genbrugt på apps eller kæder så et kompromis spreder sig.
- Vanity: Pæne custom adresser lavet med fejlbehæftede værktøjer som svækker sikkerheden.
- Delt: Flere personer opbevarer eller sender seedet, og én person laver en fejl.
Hvis nogen sidder med privatnøglen kan de flytte midlerne. Der findes ingen fortrydelsesknap og support kan ikke rulle en underskrevet transaktion tilbage.
Eksempel
En bruger indsætter en seed i en falsk wallet importside, bots rydder den inden for få minutter, og Vulnerable Keys giver angribere mulighed for at tømme tokens og NFTs med det samme.
Sjov fakta
Forskere har engang tømt svage brain wallets ved at prøve almindelige fraser i stor skala, og en fejl i et vanityadresseværktøj lod senere angribere gætte nøgler for en stor market maker, hvilket viser at stil uden sikkerhed kan blive meget dyrt.
Afrunding
Kort version til hukommelsen: beskyt nøgler ved kilden, fordi Vulnerable Keys kan gøre din wallet til deres, ja, så simpelt.