Що таке Vulnerable Keys?
Vulnerable Keys: це криптографічні ключі, які легко вкрасти, вгадати або випадково розкрити через погане зберігання, слабку випадковість або людські помилки. Якщо хтось їх отримає, вони зможуть переводити ваші монети так, ніби це їхні. Уявіть ключі від дому під килимком на порозі, але з менше сусідів і більше ботів, що спостерігають.
Якщо я нікому не скажу свої ключі, я в безпеці. Не зовсім. Шкідливе ПЗ, фальшиві спливаючі вікна гаманців, резервні копії в хмарі та вставлені фрази можуть перетворити надійні ключі на Vulnerable Keys без вашої участі.
Як працюють Vulnerable Keys
Типовий шлях від безпеки до проблеми. Коротко, але правдиво.
- Крок 1: Ви створюєте гаманець, який дає вам Ключі відновлення та відповідні Приватні ключі.
- Крок 2: Ризик з'являється через недбале зберігання, заражені пристрої або хитрі шахрайства, такі як Фішингові атаки.
- Крок 3: Зловмисник отримує ключі або фразу відновлення і починає підписувати транзакції, яких ви не підтверджували.
- Крок 4: Кошти переводяться на адреси під їхнім контролем, а блокчейн приймає підпис як дійсний.
- Крок 5: Ви помічаєте дивні відтоки, і поспіхом переносите залишки в новий гаманець.
Підходить швидко і болісно, але цього можна уникнути кількома звичками.
Чому Vulnerable Keys важливі
Навіщо це вам потрібно? Тому що ключі контролюють доступ до всього, що у вас є в блокчейні.
- Перевага: Правильні звички зберігають ваші монети, NFT і ідентичність під вашим контролем, а не під контролем когось іншого.
- Погляд: Зловмисники націлені на звички, а не тільки на технології, і їм достатньо однієї помилки, щоб досягти мети.
- Де це стосується: Ви побачите ключі у гаманцях, dapps, біржах, навіть у DAO, і ви можете безпечно ділитися своїми Публічними ключами, але ніколи приватною частиною.
Захистіть електронну пошту, входи на біржі та менеджери паролів за допомогою Багатофакторної автентифікації (MFA), потім зберігайте фрази відновлення офлайн, ніколи в скриншотах чи чатах.
Основні характеристики Vulnerable Keys
Що робить ключ ненадійним:
- Витік: Збережені у відкритому тексті, на фото або в нотатках у хмарі, які легко отримати.
- Ентропія: Слабка випадковість або передбачувані фрази дозволяють вгадувати.
- Повторне використання: Один і той самий ключ на кількох ланцюгах або гаманцях означає одна компрометація та множинні втрати.
- Пристрої: Заражені телефони і ноутбуки витікають секрети через шкідливе ПЗ і фальшиві введення.
- Резервні копії: Вставлені фрази відновлення в електронній пошті або документах стають легкою здобиччю після зламу одного акаунта.
Варіації
Різні способи, як ключі потрапляють у зону ризику:
- Слабкий: Низька випадковість фрази відновлення або недбалий генератор роблять вгадування реальним.
- Витік: Фраза відновлення опублікована, синхронізована або вкрадена фішингом, після чого її збирають боти.
- Повторно використаний: Один ключ повторно використовують у додатках або ланцюгах, тому одна компрометація поширюється.
- Ванітні адреси: Кастомні адреси, створені проблемними інструментами, що знижують захист.
- Спільне використання: Декілька людей зберігають або надсилають фразу відновлення, і одна людина помиляється.
Якщо хтось має приватний ключ, він може перевести кошти. Скасувати підписану транзакцію неможливо і служба підтримки не може її відкотити.
Приклад
Користувач вставляє фразу відновлення на фальшивій сторінці імпорту гаманця, боти збирають її за кілька хвилин, і Vulnerable Keys дозволяють зловмисникам миттєво вивести токени та NFT.
Цікавинка
Дослідники колись спустошили слабкі brain гаманці, перебираючи поширені фрази в масштабі, а помилка в інструменті для створення ванітних адрес дозволила зловмисникам згодом вгадати ключі для великого маркетмейкера, доводячи, що стиль без захисту може коштувати дорого.
Підсумок
Коротко для вашої пам'яті: захищайте ключі з самого початку, бо Vulnerable Keys перетворюють ваш гаманець на їхній, саме так просто.