Auto-custodia sicura di Bitcoin: equilibrio tra sicurezza e facilità d’uso

La fornitura di Bitcoin è limitata a 21 milioni, ma una parte significativa di quella somma totale è probabilmente persa per sempre. Questa situazione è dovuta a una serie di motivi come la perdita di chiavi private e dispositivi di archiviazione scartati contenenti notevoli quantità di Bitcoin (BTC).

Quando i proprietari di Bitcoin non sono negligenti con le password del loro portafoglio, a volte possono essere presi di mira dagli hacker che cercano di rubare la loro preziosa crittografia. Coloro che utilizzano soluzioni di custodia di terze parti mettono la propria fortuna in Bitcoin in balia dei protocolli di sicurezza adottati da tali servizi.

In effetti, diversi vettori di attacco vengono costantemente utilizzati per cercare di ottenere l’accesso ai fondi Bitcoin delle persone. Questi exploit, che vanno dal semplice al sofisticato, mirano a qualsiasi debolezza percepita inerente a qualsiasi metodo di archiviazione.

Non le tue chiavi, non le tue monete

Gli scambi crittografici soddisfano milioni di clienti ed è ragionevole presumere che una parte significativa di quel numero utilizzi questi servizi come principale custode di Bitcoin. In base a tale accordo di custodia, il proprietario della criptovaluta non possiede la chiave privata del portafoglio.

“Non le tue chiavi, non le tue monete” è un ritornello popolare nello spazio crittografico e la massima serve ad avvertire le persone dei rischi connessi all’archiviazione di criptovalute con entità di terze parti. In effetti, il panorama delle criptovalute è costellato di numerosi attacchi di scambio in cui i criminali informatici hanno fatto irruzione in portafogli della piattaforma mal protetti per rubare i fondi dei clienti.

A volte, lo scambio si riprende dal furto e altre volte la piattaforma va in bancarotta. Mt. Gox e QuadrigaCX servono come esempi di quest’ultimo, con i clienti interessati che stanno ancora cercando di recuperare i propri fondi.

In questi giorni, gli scambi stanno tentando di aggiornare i loro protocolli di sicurezza per prevenire gli hack. Gli scambi che detengono somme crittografiche non assicurate e sostanziali in hot wallet vulnerabili sono ora fortemente scoraggiati. Alcune piattaforme commettono ancora questo grave errore e spesso ne pagano il prezzo.

Anche la crittografia forense si evolve di giorno in giorno, rendendo più difficile per i criminali informatici liquidare il loro bottino. Complessivamente, il 2023 ha visto un calo significativo del numero di furti legati alle criptovalute con il furto di attori disonesti 3,8 miliardi di dollari da oltre 120 attacchi durante l’anno. Tuttavia, l’emergere di scambi decentralizzati ha aperto un’altra via ai criminali per riciclare denaro.

La riduzione osservata nel 2023 ha interrotto una tendenza quadriennale di aumento del crimine di criptovaluta. Tuttavia, la finanza decentralizzata ora sembra essere il nuovo parco giochi per i ladri di criptovalute e altri attori canaglia con la nuova nicchia di mercato che rappresenta oltre la metà della criptovaluta rubata nel 2023.

Nessun proiettile magico

Quando si tratta di una solida sicurezza per l’archiviazione Bitcoin self-hosted, è forse importante rendersi conto che non esiste una bacchetta magica. Infatti, Ruben Merre, CEO del produttore di portafogli hardware NGrave, ha toccato questo punto, dicendo a Cointelegraph che i proprietari di BTC sono spesso combattuti tra la scelta di mantenere le proprie monete in scambi con una sicurezza ridotta o in portafogli freddi che in genere non sono user-friendly.

In teoria, ogni metodo immaginabile per mantenere BTC ha dei compromessi e alcuni degli svantaggi associati a uno qualsiasi di questi sistemi possono fungere da punto di ingresso per i malintenzionati.

Prendiamo ad esempio i dispositivi con air gap. A prima vista, isolare semplicemente un computer da Internet dovrebbe fornire una solida sicurezza contro gli hack. tuttavia, secondo Secondo uno studio recentemente pubblicato da Mordechai Guri, un ricercatore sulla sicurezza informatica presso l’Università Ben-Gurion del Negev, è possibile “generare segnali Wi-Fi nascosti da computer con air gap”.

Nel documento di ricerca, Guri ha stabilito che “le reti con air gap non sono immuni agli attacchi informatici”. In effetti, un hacker esperto può esfiltrare dati sensibili come credenziali di keylogging e dati biometrici da computer con air gap.

Forse ancora più allarmanti sono le parti dello studio di ricerca dedicate ai possibili mezzi di esfiltrazione dei dati da computer con air gap posti nelle gabbie di Faraday, involucri schermati che bloccano i campi elettromagnetici. Quindi, fare affidamento solo su un portafoglio Bitcoin memorizzato in un computer isolato da Internet potrebbe non essere sicuro come si pensava in precedenza. Una persona che utilizza questo metodo potrebbe dover far funzionare continuamente i jammer di segnale.

Poi, ci sono portafogli hardware che offrono una solida sicurezza con chiavi private archiviate offline. Sebbene questi dispositivi si interfacciano con un computer quando sono in uso, non si connettono mai effettivamente a Internet.

Il proprietario di un portafoglio hardware deve crittografare le proprie chiavi o conservarle in un luogo sicuro. Per i primi, se la crittografia viene eseguita utilizzando un computer che è o sarà connesso a Internet, esiste un rischio significativo di perdere le chiavi a causa del malware.

Un utente può persino utilizzare ogni misura di sicurezza disponibile con i portafogli hardware e perdere comunque il proprio Bitcoin. Il produttore di portafogli hardware Ledger ha subito gravi violazioni che hanno portato al furto di informazioni sensibili sui clienti. Con i loro numeri di telefono e indirizzi personali allo scoperto, diversi clienti di Ledger si trovano ad affrontare la minaccia di attacchi fisici.

Per l’ex sviluppatore principale di Monero, Riccardo Spagni, l’incapacità di Ledger di proteggere le informazioni dei clienti ha esacerbato la difficile natura dell’autocontrollo sicuro delle criptovalute, dicendo a Cointelegraph:

“Proteggere Bitcoin è difficile e le persone spesso sopravvalutano le proprie capacità tecniche. Ciò è reso doppiamente complesso dalle aziende, come Ledger, che non riescono a proteggere i dati dei clienti. Ledger è incredibilmente competente nella creazione di un portafoglio hardware sicuro che sia anche facile da usare, ma i clienti vengono scoperti dall’ingegneria sociale a causa della fuga di dati dei loro clienti. Ciò rende l’archiviazione affidabile di Bitcoin ancora più difficile “.

Alcuni suggerimenti utili

Un sondaggio in corso di NGrave ha rivelato che il 25% degli utenti di criptovalute non protegge le proprie monete come pensano. Mentre i portafogli hardware potrebbero non offrire la facilità d’uso associata al mantenimento di Bitcoin su uno scambio, il consenso tra i commentatori era che la prima opzione è ancora il metodo più sicuro.

Secondo Merre, quando l’utente sceglie di possedere le proprie risorse, non può più utilizzare il modello di scambio centralizzato e deve passare a scambi decentralizzati o portafogli caldi, come le app mobili, aggiungendo:

“Con tutte le soluzioni online, hai un certo livello di praticità poiché tutto è facilmente accessibile, ma rinuncerai a molta sicurezza. Ad esempio, il tuo portafoglio caldo ti darà una chiave privata per cominciare e, quindi, il primo punto di contatto di quella chiave è immediatamente con Internet. Già un enorme rischio per la sicurezza. “

Per Spagni, l’auto-custodia di Bitcoin per i meno esperti di tecnologia è un atto di equilibrio tra sicurezza e facilità d’uso. I metodi più semplici tendono ad avere la minore sicurezza e i metodi più sicuri richiedono pochi protocolli di configurazione.

Nel novembre 2023, Matt Odell di Whirlpool Stats twittato la sua configurazione di archiviazione Bitcoin preferita che combinava l’esecuzione di Bitcoin Core e il portafoglio basato su desktop Spectre con un portafoglio hardware ColdCard. Secondo Odell, l’installazione costa circa $ 150 e richiede almeno 10 gigabyte di spazio di archiviazione. Spectre funziona direttamente con Bitcoin Core, quindi la combinazione di entrambi elimina la necessità di eseguire un server Electrum. L’utente può quindi verificare direttamente le transazioni su ColdCard.

Per gli utenti che potrebbero trovare la configurazione di cui sopra eccessivamente scoraggiante, è importante includere quanti più livelli di sicurezza possibile oltre al metodo di archiviazione scelto. Questi includono l’autenticazione a due fattori e le chiavi crittografate, tra le altre.

È anche importante notare che i backup ei processi di recupero per protocolli di sicurezza aggiuntivi devono essere archiviati con cura. Secondo Spagni, i proprietari di Bitcoin dovrebbero trattare le informazioni come parole seed, password del portafoglio, passphrase e chiavi di crittografia come se fossero lingotti d’oro fisici e tenerle al sicuro..

L’impossibilità di ricordare i dati del portafoglio chiave ha portato molti proprietari di Bitcoin a bloccare i propri account. Si pensa che fino a 3,7 milioni di BTC, o il 20% dell’offerta circolante, andranno persi per sempre. Alcuni esempi di tali storie includono un ingegnere IT che getta accidentalmente il suo BTC nella spazzatura e ora offre 72 milioni di dollari per un’opportunità di scavare. Nel frattempo, un altro appassionato di criptovalute ha dimenticato una password per il suo disco rigido contenente circa $ 266 milioni in BTC e ha solo due tentativi di password per sbloccare la sua scorta o andrà persa per sempre.

Per garantire che non si aggiunga a quella triste statistica, è importante trattare le parole seme, le chiavi di crittografia e simili come dati preziosi e proteggerli di conseguenza.