Что такое Vulnerable Keys?
Vulnerable Keys: это криптографические ключи, которые легко украсть, угадать или раскрыть из-за плохого хранения, недостаточной случайности или человеческой оплошности. Если кто-то получит такие ключи, он сможет переводить ваши монеты как свои. Представьте ключи от дома под ковриком у входа, только с меньшим количеством соседей и большим числом ботов, наблюдающих.
Если я никому не скажу свои ключи, я в безопасности. Не совсем. Вредоносное ПО, поддельные всплывающие окна кошельков, резервные копии в облаке и вставленные фразы всё равно могут превратить надёжные ключи в Vulnerable Keys, даже если вы ни слова не скажете.
Как работают Vulnerable Keys
Типичный путь от безопасного к уязвимому. Кратко и по делу.
- Шаг 1: Вы создаёте кошелёк, который даёт вам Восстановительные ключи и базовые Приватные ключи.
- Шаг 2: Риск раскрытия появляется из-за небрежного хранения, инфицированных устройств или хитрых мошеннических приёмов, таких как фишинговые атаки.
- Шаг 3: Злоумышленник получает ключи или мнемоническую фразу и начинает подписывать транзакции, которые вы не одобряли.
- Шаг 4: Средства переводятся на адреса, которыми они управляют, и сеть принимает подпись как действительную.
- Шаг 5: Вы замечаете странные списания и спешите перевести остатки в новый кошелёк.
Плохо, быстро и этого можно избежать, выработав несколько простых привычек.
Почему Vulnerable Keys имеют значение
Почему это важно? Потому что ключи контролируют доступ ко всему, что у вас есть в блокчейне.
- Преимущество: Хорошие привычки сохранят ваши монеты, NFT и личность под вашим контролем, а не чужим.
- Особенность: Злоумышленники атакуют привычки, а не только технологии, и им достаточно одной ошибки, чтобы добиться успеха.
- Актуальность: Вы увидите ключи в кошельках, dapps, биржах, даже в DAO, и вы можете безопасно делиться своими Публичными ключами, но никогда не раскрывайте приватную часть.
Защитите почту, входы на биржи и менеджеры паролей с помощью Многофакторной аутентификации (MFA), а затем храните сиды офлайн, никогда не в скриншотах или чатах.
Основные характеристики Vulnerable Keys
Что делает ключ ненадёжным:
- Риск раскрытия: Хранение в виде простого текста, фотографий или заметок в облаке, которые легко получить.
- Случайность: Недостаточная случайность или предсказуемые фразы позволяют угадывать ключ.
- Повторное использование: Один и тот же ключ на нескольких цепочках или в кошельках значит, что одна компрометация приведёт к большим потерям.
- Устройства: Инфицированные телефоны и ноутбуки сливают секреты через вредоносное ПО и поддельные вводы.
- Резервные копии: Вставленные сиды в email или документах становятся лёгкой добычей после одной компрометации аккаунта.
Вариации
Разные способы, как ключи попадают в зону риска:
- Слабые: Сид с низкой случайностью или некачественный генератор делают угадывание реальным.
- Утекшие: Мнемоническая фраза опубликована, синхронизирована или стала жертвой фишинга, после чего её собрали боты.
- Повторно используемые: Один ключ применяется в разных приложениях или цепочках, поэтому одна компрометация распространяется.
- Vanity: Красивые кастомные адреса, созданные багнутыми инструментами, которые ухудшают безопасность.
- Общие: Несколько человек хранят или пересылают сид, и кто-то совершает ошибку.
Если кто-то владеет приватным ключом, он может переместить средства. Отменить подписанную транзакцию нельзя, и служба поддержки не сможет её вернуть.
Пример
Пользователь вставляет сид на фейковой странице импорта кошелька, боты собирают его за считанные минуты, и Vulnerable Keys позволяют злоумышленникам мгновенно опустошить токены и NFT.
Интересный факт
Исследователи когда-то опустошали слабые brain wallets, перебирая распространённые фразы в большом объёме, а баг в инструменте для генерации кастомных адресов позже позволил злоумышленникам угадать ключи для крупного маркет-мейкера, показав, что стиль без безопасности может дорого обойтись.
Итог
Коротко для памяти: защищайте ключи у источника, потому что Vulnerable Keys превращают ваш кошелёк в их кошелёк, да, всё так просто.