Una metrica dell’anno 2022 recita: “in totale oltre 1,3 miliardi di dollari in cripto-asset sono stati rubati alla moltitudine di investitori incappati in hack o attacchi informatici!”
Dopo aver navigato nel mercato delle criptovalute per diversi anni, aver partecipato a diverse conferenze sulla sicurezza della custodia delle proprie criptovalute e sentito il parere ed esperienze di altri investitori ed errori passati, siamo giunti a una sintetica classificazione di configurazione dei livelli di sicurezza del proprio “caveau” cripto.
Al giorno d’oggi vi sono diversi atti frodatori:
Phishing: viene contattato l’utente tramite mail, SMS o siti web simili a quelli ufficiali di canali noti. Il contenuto del sito, della mail o del messaggio malizioso contiene richieste di inserimento dati o link contenenti virus, malware che possono compromettere la sicurezza del proprio account oltre alla perdita di soldi e al furto di dati sensibili;
Backdoors: hardware informatici con vulnerabilità volute. L’utente che acquista periferiche usate, ricondizionate o anche nuove ma su marketplace di bassa fascia si espongono al rischio di acquistare periferiche che hanno pre-installato codici sorgente tali da prelevare e diffondere dati personali, password, e attività del nuovo utente una volta avviato e configurato il dispositivo;
Chiavi private: nel caso della sicurezza in termini di investimenti del web 3.0 le vostre chiavi private si basano su mail e password.
Perdere la password, subire un furto, o dimenticarla porterà sicuramente a una perdita dei vostri fondi. Altrettanto importante è la gestione della mail con la quale andiamo a creare account vari nelle applicazioni o nella gestione di un hardware wallet. Utilizzare mail dedicate e differenziare la mail ad ogni uso favorisce di molto la riduzione dei tentativi di penetrazione dei propri account da parte di soggetti malintenzionati.
I wallet si dividono in 2 grandi categorie: cold e hot wallet, vediamole:
- Cold wallet: sono dispositivi offline, molto sicuri e difficilmente penetrabili. Rientrano in questa categoria gli hardware wallet (i marchi più utilizzati e sicuri al momento sono Ledger e Trezor), si tratta di dispositivi USB con capacità di memoria, al loro interno un software gestionale supporta le criptovalute più scambiate nel mercato, NFT, staking on chain e permettono di inviare o ricevere token.
- Hot wallet: sono connessi online. Rientrano in questa categoria i software wallet (Exodus) e i browser wallet/web extension (Metamask), richiedono una connessione internet per funzionare.
Premesso che non verrà presa in considerazione la custodia presso terzi quali Exchange/piattaforme di lending (Binance, Coinbase) o similari perché in quei casi l’utente non ha il possesso delle criptovalute (not your keys not your cryptocurrency), di seguito una classifica a partire dal livello di sicurezza maggiore:
- 1° Livello: un PC dedicato con un hardware wallet dotato di password personalizzabile.
La password deve essere composta da 100 caratteri e numeri consecutivi e devono essere sorteggiati volta per volta.
- 2° Livello: Un PC dedicato per la gestione di un hardware wallet, scegliendo le 12/24/36 parole, meglio 36 parole.
- 3° Livello: un PC di uso quotidiano per gestire un hardware wallet.
- 4° Livello: Tablet o smartphone dedicato per gestire un hardware wallet.
Essendo presenti nel mondo delle crypto-community sentiamo ogni giorno di approvazione di transazioni malevoli a causa di mail phishing, acquisti di hardware wallet su Amazon o su altri siti e-commerce con backdoors preimpostate e perdita dei fondi, furto delle password, hacking dei conti.
Dal mio punto di vista non esisterà mai la soluzione perfetta, però si possono adottare alcuni accorgimenti. Rivolgersi sempre ai siti ufficiali quando ci si appresta ad acquistare un hardware wallet. : per una maggiore sicurezza prima di collegarsi controllare sempre la versione del firmware e nel caso procedere con l’aggiornamento prima di avviare il software gestionale del cold wallet.
Altra cosa fondamentale è che il PC dedicato deve rimanere sempre offline e connettersi alla rete solo nel caso di una operazione. Sicuramente è di aiuto un antivirus e l’utilizzo di una VPN a pagamento accreditata per aumentare ancora di più il livello di sicurezza.
Ma bisogna correlare esclusivamente l’utilizzo del PC con l’utilizzo della chiavetta usb (Ledger ad esempio).
Per ultimo, ma non meno importante, la mail: sono il 50% delle “chiavi personali”, le quali gestiscono il nostro “caveau” crypto”, e quindi il nostro patrimonio di investimento. È doveroso anche qui avere alcune accortezze come la configurazione di una mail dedicata esclusivamente alla gestione dell’hardware wallet (non utilizzare la stessa dell’account per gestire il PC personale ad esempio) e non utilizzarla per altri servizi. Per iscrivere il proprio wallet su applicazioni decentralizzate o particolari Exchanges, utilizzare sempre indirizzi mail differenti da quella principale che gestisce l’hardware wallet.
Sempre per lo stesso principio delle chiavi private, la password non deve essere memorizzata in un server, in una cartella sul desktop del PC, Apple Cloud o Google Cloud o in uno screenshot (in passato vi sono verificati casi di hacking di questi Cloud) ma occorrerebbe piuttosto prediligere il caro vecchio foglio di carta, scrivendo quindi a penna la password.
Un ulteriore aumento del livello di sicurezza si otterrà utilizzando più dispositivi contemporaneamente, ad esempio 1 PC per interagire con l’hardware wallet, 1 PC per gestire la mail collegata, 1 PC/Smartphone per Google Authenticator per approvare l’accesso al wallet e le singole transazioni. In questo modo un hacker dovrà bucare ben 3 periferiche dedicate, che devono essere tutte contemporaneamente accese, in altre parole più ostacoli vengono posti fra voi ed eventuali soggetti malevoli, più tempo per rompere i vostri livelli di sicurezza viene richiesto, meglio è.
Per risparmiare sul costo dell’hardware, anziché i PC fisici si possono creare più macchine virtuali all’interno del PC di uso quotidiano, da accendere ed utilizzare solo per la specifica funzione a cui sono dedicate.
Ricapitolando, utilizzare una password quanto più complessa possibile riduce la possibilità di indovinarla da parte di hackers, sappiamo che oggi sono diffusi tra i malfattori bot generati da codici di programmazione per tentare di indovinare la password, si tratta sempre di soldi, quindi più la password è complicata e senza senso logico meglio è, oltretutto vi permette di guadagnare tempo. Fare attenzione a ciò che si fa è importante, è vero, serve allestire un proprio impianto di sicurezza ma è altrettanto vero che il grosso del lavoro non lo fanno le mail diversificate per uso o gli antivirus, siamo noi che per distrazione o per emotività possiamo incappare in trappole…
Atteggiamenti assolutamente da evitare quindi cliccare link sbagliati o sospetti, aprire siti scam, bisogna stare sempre all’erta quando si naviga o si effettuano delle operazioni finanziarie che coinvolgono il nostro patrimonio cripto. La cruda realtà è la seguente: una volta perse non c’è modo di riavere indietro le proprie criptovalute.
Come detto all’inizio di questo articolo, non esiste la soluzione perfetta, bisogna bilanciare la sicurezza con la reattività e prontezza d’uso: per le esigenze di tutti i giorni dove si fa trading, si opera in DeFi, si utilizzano farming pool, si partecipa a pre-sale è ovviamente impossibile aspettare di inserire una password di 100 caratteri alfanumerici, è bene quindi separare i fondi destinati all’attività quotidiana dai fondi di risparmio, per i quali si adotteranno livelli di sicurezza massimi.
Vincenzo Nerone
Officina DeFi
Home
Market&Data
Scrivi per noi
Wallet
