Como proteger suas criptomoedas com segurança?

por

guardar criptomoedas

Descubra o nosso guia sobre o porquê e como autocustódia de criptomoedas. Aprenda sobre as diferentes maneiras de proteger sua criptomoeda e assumir o controle total de suas finanças! Este é um artigo que publicamos em colaboração com Protocolo Perpétuo e que é muito atual devido ao infortúnio que ocorreu com a troca FTX.

Por que proteger suas criptomoedas você mesmo?

Embora não exista segurança perfeita, assumir a custódia de seus criptoativos garante que você remover a dependência de serviços de terceiros e evitar muitos dos riscos associados. Embora alguns tipos de usuários possam achar conveniente armazenar seus ativos em uma carteira online, existem algumas desvantagens importantes:

  • Se houver uma violação em sua segurança, eles podem ser hackeados
  • Potencial de roubo interno e desvio de suas criptomoedas pela plataforma
  • Potencial de apreensão pelos governos

Uma longa lista de entidades centralizadas perderam ou roubaram fundos de clientes, incluindo Mt. Gox, Bitfinex, QuadrigaCX e, mais recentemente, FTX, destacando a importância da autocustódia. Repetidas vezes, os detentores de criptomoedas aprenderam da maneira mais difícil que entidades centralizadas e serviços de custódia nem sempre são seguros. A resposta: torne-se seu próprio guardião.

Com o armazenamento autogerenciado, você tem mais controle sobre seus ativos. O outro lado da moeda é que depende totalmente de você garantir que eles estejam seguros. Nas seções a seguir, algumas opções de self-storage são discutidas e as vantagens e desvantagens de cada método são descritas. Mas primeiro queremos discutir alguns equívocos sobre a autoguardião. A lista abaixo descreve algumas críticas comuns e uma resposta para cada uma delas:

Crítica 1: “O autocuidado é muito difícil”

Resposta: Autocuidado pode ser tedioso, sim, mas não é tão difícil. Qualquer um pode fazer, só requer um pouco de atenção e tempo. Cada pessoa tem necessidades de segurança diferentes, portanto, você deve decidir quantos recursos, tempo e esforço deseja investir.

Obviamente, as configurações mais seguras exigirão mais recursos. Siga seu método preferido e pratique várias vezes com uma pequena quantidade. Depois de um pouco de prática, você se familiarizará com o autocuidado e descobrirá que, na verdade, não é tão difícil assim.

Crítica 2: "Preciso de um advogado para auto-custódia"

Resposta: Você deve primeiro se concentrar nos aspectos técnicos da custódia, então você pode obter aconselhamento do ponto de vista jurídico. Os advogados não são realmente necessários até que você chegue à parte do planejamento imobiliário de seu legado para seus herdeiros e, mesmo assim, você tem outras opções.

Crítica 3: “Minhas criptomoedas não valem muito”

Resposta: Os mercados de criptomoedas são muito voláteis. o queQuem sabe quanto valerão seus ativos daqui a um ano, dois ou muitos anos no futuro? É melhor começar agora e se preparar para o futuro, para que, se o mercado subir, você possa ficar tranquilo sabendo que suas posições estão seguras e sólidas.

Crítica 4: “Maior risco de roubo”

Resposta: Ao proteger suas palavras-semente, muitos usuários temem que isso seja inseguro. No entanto, você deve separar sua frase de recuperação, senhas e planos de recuperação secretos para reduzir o risco de roubo e evitar armazená-los em um dispositivo eletrônico. Mais pessoas perderam criptomoedas por não fazer backup de suas moedas, esquecer sua senha ou porque seu computador travou do que por hacking ou roubo.

Como proteger suas criptomoedas

Agora que sabemos por que devemos valorizar a autocustódia, vamos ver como você pode se tornar seu próprio guardião.

O primeiro passo para o autocuidado é retire quaisquer ativos que você possui de trocas e serviços centralizados para uma carteira que você controla. Nas seções a seguir, descreveremos várias maneiras de armazenar seus ativos e forneceremos uma avaliação para cada método, desde os métodos mais simples até as técnicas mais complicadas.

A importância do software livre e de código aberto

A maneira mais fácil de proteger seus ativos é retire seus fundos para uma carteira quente de código aberto. Embora sejam mais propensas a malware e outros ataques, as carteiras ativas são muito convenientes e você pode reduzir o risco que enfrenta usando apenas carteiras de código aberto. Alguns exemplos são MetaMask e WallETH.

Com software gratuito e de código aberto, você tem mais certeza de que a carteira não fará nada inesperado e armazenará seus ativos com segurança. Por outro lado, o software de código fechado não passa pela revisão por pares e o código fica oculto, o que significa que a carteira pode fazer algo malicioso.

Em termos gerais, é mais seguro manter seus fundos em “carteiras frias” (por exemplo, carteiras de hardware), onde suas chaves privadas são armazenadas em um dispositivo que não conectado a internet. Ao contrário das cold wallets, as hot wallets como a MetaMask precisam ser instaladas no seu dispositivo e conectadas à internet. Embora sejam mais convenientes, existem muitos vetores de ataque em potencial para carteiras quentes, pois elas estão conectadas à Internet e geralmente residem em computadores usados ​​diariamente para trabalho ou diversão.

carteiras de contrato inteligentes

As carteiras de contratos inteligentes requerem um processo de configuração exclusivo e vêm em 2 formas: carteiras multi-assinatura y carteiras de recuperação social.

Carteiras multi-assinatura

As carteiras multi-assinatura diferem das carteiras padrão de assinatura única porque exigir um número mínimo de pessoas para aprovar uma transação. Por exemplo, em um esquema de assinatura múltipla 2 de 3, pelo menos 2 partes diferentes com as chaves devem concordar com uma transação antes que ela possa ser enviada para o blockchain. Mesmo que uma das chaves seja comprometida, seus fundos estarão seguros. No entanto, se n chaves forem comprometidas em uma configuração de assinatura múltipla n de M, seus fundos estarão em risco.

Uma popular carteira multi-assinatura é Gnose segura, que pode ser usado por indivíduos e organizações. Para os indivíduos, o desafio está em encontrar duas outras partes que detenham as outras chaves. Uma configuração possível é espalhar duas chaves em diferentes dispositivos e tem outra chave com um parente, cônjuge ou amigo próximo.

Tal como acontece com outros tipos de carteiras, é fornecida uma frase de recuperação secreta que pode restaurar a conta para outro dispositivo.

Carteira de Recuperação Social

Carteiras de recuperação social como Argento e Loopring têm algumas vantagens em comparação com outros tipos de carteiras em termos de segurança, onde esse método de armazenamento de seus criptoativos oferece uma boa combinação de facilidade de uso e segurança. Ao contrário das carteiras multi-assinatura, não precisa se preocupar em proteger uma frase de recuperação secreta, o que torna mais conveniente para o usuário.

As carteiras de recuperação social funcionam com uma única chave de assinatura que pode autorizar transações, bem como três ou mais porteiros que podem alterar a chave de assinatura. A ideia aqui é nomear seu cônjuge, familiares ou qualquer outra pessoa que tenha conquistado sua confiança como tutores, para que, caso você perca o acesso à sua carteiraA maioria desses guardiões pode alterar a chave de assinatura para que você possa recuperar o acesso aos seus fundos. Os guardiões também podem bloquear uma carteira ou aprovar uma transação não confiável.

Para alguém comprometer sua carteira, a maioria dos guardiões teria que coordenar sem o seu conhecimento. A coordenação entre os detentores é mais difícil do que explorar uma carteira protegida por um indivíduo, pois os detentores primeiro precisam descobrir quem são os outros detentores e depois concordar em se unir para roubar seus fundos.

Mais fornecer uma solução para perder o acesso à sua carteira, carteiras de contrato inteligentes também podem protegê-lo contra roubo com cofres. Um cofre pode ser criado para qualquer carteira de contrato inteligente, onde as transações com endereços não confiáveis ​​requerem aprovação dos responsáveis, enquanto para endereços confiáveis ​​que você especificou, você pode interagir com eles sem ser assinado pelos responsáveis.

[destacado] Você pode aprender mais sobre carteiras de recuperação social em este post do co-fundador da Ethereum, Vitalik Buterin, que os recomenda como uma alternativa viável para carteiras de hardware, carteiras de papel e carteiras multi-assinatura.[/highlighted]

Embora habite uma boa lacuna entre usabilidade e segurança, ainda existem algumas desvantagens nas carteiras de recuperação social: e se você não tiver ninguém adequado para assumir o papel de gatekeeper? O que acontece se houver um ataque de engenharia social contra seus tutores, induzindo-os a alterar a chave de assinatura? Para resolver essas deficiências, um mecanismo soberano de recuperação social é descrito em ethresear.ch, embora ainda não tenha sido implementado em nenhuma carteira.

carteiras de hardware

Um dos primeiros conselhos que você provavelmente ouvirá dos defensores das criptomoedas é comprar uma carteira de hardware e armazene seus fundos lá. Esses dispositivos, popularizados por empresas como a KeepKey, Ledger e Trezor, fornecer grande segurança mantendo suas chaves offline em uma “carteira fria”.

O diagrama a seguir ilustra como funcionam as carteiras de hardware, que são dispositivos protegidos e dedicados para gerar e armazenar chaves privadas que nunca sairão do dispositivo.

carteira fria

Aqui está um resumo aproximado de como as carteiras de hardware executam transações de criptomoeda:

  • A mensagem da transação é preparada pelo software cliente, que então é enviado para a carteira de hardware.
  • Depois o proprietário da carteira confirma os detalhes da transação (como o valor, endereço do destinatário e taxa de blockchain) exibido na tela do dispositivo de carteira de hardware, a carteira assina a transação com uma chave privada não removível.
  • La a transação assinada é devolvida ao software cliente e é enviado para o blockchain para confirmação.

Devido a que a chave privada nunca sai do dispositivo e o dispositivo tem funcionalidade extremamente limitada - mesmo que seu computador esteja comprometido com malware, um ladrão não pode obter acesso aos seus fundos.

Se esse método de proteger suas moedas for adequado para você, a próxima pergunta é "façaQual carteira de hardware devo comprar?». A tabela a seguir mostra os recursos e práticas de segurança das carteiras de hardware mais populares do mercado:

Enquanto o KeepKey e o Trezor usam adesivos holográficos para evitar ataques à cadeia de suprimentos, o Ledger não. Adesivos holográficos podem ser substituídos por um adversário com recursos suficientes, então Ledger afirma que isso não adiciona segurança ao próprio dispositivo. Outra diferença importante é que Os produtos Trezor são os únicos de código aberto em firmware, software cliente e hardware.

Outra distinção entre Ledgers e outras carteiras de hardware é que a primeira foi projetada para ser um dispositivo que pode ser aberto. Embora esse recurso exponha usuários desavisados ​​a possíveis ataques à cadeia de suprimentos, você sempre deve verificar se o PCB da carteira de hardware Ledger não foi adulterado comparando seu dispositivo com imagens fornecidas online, para verificar se nenhum componente adicional foi conectado. o que pode levar a uma exploração.

Na próxima seção, fornecemos um resumo dos principais riscos para carteiras de hardware que todos os usuários devem conhecer.

Riscos de Carteira de Hardware

Uma coisa a ter em mente: ao usar uma carteira de hardware para proteger seus fundos, aceitar a suposição de que é uma peça confiável de computação.

Os principais riscos das carteiras de hardware estão relacionados a roubo, interceptação, erro humano e segurança física.

  • Robo: mesmo se você possuir uma carteira de hardware, você ainda você precisa proteger o dispositivo. Não é bom simplesmente deixá-lo em algum lugar que não seja seguro, pois houve vulnerabilidades no passado que exigiriam que um invasor tivesse acesso físico ao dispositivo. Por exemplo, o Kraken Security Labs encontrou uma falha nas carteiras de hardware da Trezor, onde um invasor poderia extrair a semente com apenas 15 minutos de acesso físico ao dispositivo. Podem existir outras vulnerabilidades não descobertas semelhantes que requerem acesso físico e valem a pena considerar ao decidir se uma carteira de hardware é adequada para você.
  • Interceptação: Outro risco potencial é a interceptação do seu dispositivo, também conhecido como ataque à cadeia de suprimentos. No passado, ataques não sofisticados eram realizados via eBay, onde a frase secreta de recuperação já estava preenchida no cartão que acompanha o Ledger. Depois que o comprador transferiu fundos para esse Ledger, ele efetivamente enviou dinheiro ao vendedor não autorizado do dispositivo de hardware. A conclusão disso é sempre compre carteiras de hardware na loja oficial, diretamente do fabricante. Os ataques à cadeia de suprimentos podem se tornar mais sofisticados no futuro, portanto, vale a pena conhecer essa vulnerabilidade potencial se você for usar carteiras de hardware. Por exemplo, os dispositivos Ledger podem ser fisicamente adulterados, o que significa que a tela é vulnerável e não há como saber o que está acontecendo por trás da tela. Por exemplo, um criador de malware pode alterar seu endereço genuíno para outro em segundo plano para exibir um endereço que não é realmente seu, e você não teria como saber.
  • Erro humano: até mesmo projetos de software como Bitcoin ou Ethereum que possuem um grande número de contribuidores foram vítimas de erro humano e uma revisão completa por pares é necessária para detectar esses problemas. Para dispositivos como carteiras de hardware, que geralmente são de código fechado e têm apenas um pequeno grupo de pessoas trabalhando neles, esse é um risco adicional a ser considerado, o que é menos preocupante para carteiras de software de código aberto. Um exemplo de erro humano e como isso pode afetar os usuários de carteira de hardware: em agosto de 2018, uma atualização foi enviada para o aplicativo Ledger Wallet Ethereum Chrome, que substituiu cada endereço de destinatário ETH por um endereço fixo. Se você tivesse enviado dinheiro para aquele endereço, ele teria sido perdido ou roubado. Erro humano por parte do usuário da carteira de hardware é outro fator a ser considerado, embora não seja exclusivo das carteiras de hardware. Por exemplo, o ataque EthClipper aproveita a ideia de que muitos usuários de carteiras de hardware verificarão apenas os vários caracteres no início e no final de um endereço para verificar sua autenticidade (em vez do endereço inteiro).

    Ao usar qualquer carteira, sempre verifique o endereço completo, preste atenção às letras maiúsculas e digite o endereço do destinatário em vez de copiar e colar para evitar ataques do tipo EthClipper.

  • Segurança física- Você deve receber sua carteira de hardware em algum lugar, e é melhor evite usar seu próprio endereço, se possível. Em vez disso, você pode enviar seu dispositivo para seu local de trabalho, caixa de correio ou endereço de encaminhamento para evitar expor seu endereço residencial.
    Violações de dados podem acontecer, e as empresas que produzem carteiras de hardware não são exceção. Por exemplo, em julho de 2020, os nomes e endereços dos clientes da Ledger foram expostos por meio de uma violação de dados, abrindo a possibilidade de ataques de $ 5, onde um adversário literalmente torturá-lo para obter sua senha, chave privada, etc. Como você deve ter adivinhado, boas práticas de segurança cibernética não são a única consideração ao pensar em autocuidado: a segurança física é outro aspecto que não pode ser ignorado.

Criando sua própria carteira de hardware

Se você não deseja confiar em empresas de carteira de hardware ou se tornar alvo de um ataque à cadeia de suprimentos, uma rota alternativa é crie sua própria carteira com hardware de consumo.

Em vez de comprar um dispositivo especializado, você pode usar hardware padrão para executar software de código aberto para proteger suas moedas. Como o software é auditado de maneira mais fácil e completa, você pode usar um dispositivo móvel antigo, Raspberry Pi, ou comprar um computador de segunda mão com dinheiro para se tornar menos vulnerável. Além disso, os ataques à cadeia de suprimentos são mais difíceis de realizar se você optar por seguir esse método.

Por exemplo, você pode pegar um telefone Android antigo, redefini-lo de fábrica, substituir o sistema operacional por algo como o CalyxOS e instalar uma carteira como o AirGap para criar um dispositivo de armazenamento a frio. Ter um Ledger ou Trezor por perto ou em sua posse grita “portador de criptomoeda”, enquanto um celular ou laptop antigo não, tornando o roubo menos problemático.

Enquanto esta técnica não é muito conveniente para a maioria dos usuários, você pode fornecer melhor segurança se estiver preocupado com hardware de código fechado, ataques à cadeia de suprimentos ou depender de fabricantes de carteiras de hardware.

O Protocolo Glacier: levando a paranóia ao máximo

O protocolo da geleira é um método desenvolvido por Bitcoin e profissionais de segurança que leve a paranóia ao máximo, protegendo seus ativos de uma forma que não exige que você confie em nenhuma outra pessoa ou entidade. Embora o protocolo seja voltado para detentores de Bitcoin, ele também pode ser ligeiramente modificado para armazenar Ethereum e outros tokens em armazenamento frio usando carteiras de papel.

Proteger seus ativos usando este protocolo é o equivalente digital de enterrar algum dinheiro em algum lugar na Antártica. Devido ao forte foco na segurança em detrimento da conveniência, você só deve usar este protocolo quando quiser armazenar US$ 100,000 ou mais em valor e estiver planejando HODLing por um longo período.

O processo é longo e tedioso, estima-se que levará cerca de 8 horas para completá-lo, conforme detalhado em este guia passo a passo de 93 páginas. Também não é barato em comparação com outros métodos de autocuidado. O equipamento necessário para seguir o protocolo vai custar mais de $600, que envolverá a compra de dois computadores separados lacrados de fábrica, quatro pendrives USB lacrados de fábrica, dados de cassino e uma sacola de Faraday, entre outros itens.

A ideia aqui é computadores em quarentena, removendo seus cartões sem fio para que nunca fiquem conectados à Internet e usando-os em conjunto com dados de nível de cassino para criar chaves privadas de forma confiável no vácuo para mitigar uma variedade de ataques. Depois de passar por esse processo, você receberá um conjunto de pacotes de informações em papel, um para cada chave privada necessária para a política de retirada de várias assinaturas.

Versões de atalho do protocolo com menores garantias de segurança também são explicadas no site, com a opção de usar o hardware existente que você possui e seguir o mesmo processo, semelhante ao que descrevemos na seção acima sobre como criar sua própria carteira de hardware.

Maneiras engenhosas de proteger sua frase de recuperação secreta

Todas as carteiras (com exceção das carteiras de recuperação social) exigem que faça um backup de sua frase de recuperação secreta para que você possa restaurar saldos de contas em qualquer outro dispositivo. Digite a frase de recuperação secreta, mantenha-a privada e Mantenha isso em um local seguro, onde a última parte é o aspecto difícil da autoguardião. No entanto, os fabricantes de carteiras de hardware pedem aos usuários que escrevam sua frase de recuperação secreta em um cartão ou papel.

O problema aqui é que em caso de incêndio, inundação ou desastre natural, esse papel pode não sobreviver. Você pode mantê-lo em um cofre, mas a melhor maneira de salvar sua frase de recuperação secreta é gravá-lo em um metal para que possa resistir a um incêndio ou inundação. Um produto útil que faz isso por você é CryptoSteel.

Além disso, sua senha e frase de recuperação juntas são um único ponto de falha, pois se alguém os expor, você poderá perder seus fundos. Você também pode considerar divida sua frase de recuperação secreta e armazene as peças em locais diferentes. No entanto, sua chave privada pode ser comprometida se um adversário tiver acesso a metade de sua frase de recuperação secreta.

Uma técnica melhor para armazenar frases secretas de recuperação seria Compartilhamento Secreto de Shamir, que é suportado por um punhado de carteiras como a Trezor Model T. A frase de recuperação secreta pode ser dividido em até 16 ações (cada uma com uma sequência de 20 palavras), você pode definir um limite necessário para recuperar seus fundos.

Autocustódia não é apenas proteger sua criptomoeda

A autocustódia é mais do que apenas proteger seus ativos. Outra parte importante também envolve Como você vai transferir os bens em caso de sua morte?Isso é conhecido como planejamento imobiliário.

Sem vontade ou confiança, como você decidirá quem fica com o quê? o herança de seus ativos criptográficos depende de um plano detalhado, documentado e testado; podemos cobri-lo outro dia.

Deixe um comentário

Últimos artigos do blog

O halving do Bitcoin foi concluído em 20 de abril de 2024, e agora?

Abril 22 2024

Os 10 maiores hacks de criptomoedas da história

Abril 14 2024

O blockchain modular é o futuro das criptomoedas?

25 de março de 2024

Começa a segunda temporada do OverProtocol Open Beta Testnet

16 de março de 2024

O que são ERC-404? Token fungível ou não fungível?

14 de março de 2024

DragonStake – Staking de ATOM, DOT, AVAX e outras redes com total confiança

5 de março de 2024
Outras apostas interessantes

ATOM

+ 20.36%
ver ativo

AVAX

+ 8.76%
ver ativo

ETH

+ 4.49%
ver ativo