После публикации статьи “AML-терроризм” (если ещё не читали - прочитайте, не пожалеете) в службу поддержки криптообменника rabbit.io обратился один человек с вопросом, каким образом можно в AML-системах пометить криптовалюту как краденую.
Мы спросили, что случилось, и собеседник рассказал нам очень грустную историю о том, как его ограбили. Я не буду пересказывать все подробности этой истории, но я хочу рассказать об одном нетривиальном уроке, который можно из неё извлечь. Этот урок заключается в том, что иногда средство хранения криптовалюты, кажущееся самым ненадёжным, может, наоборот, лучше других надёжных средств помочь вам сохранить вашу криптовалюту в экстремальной ситуации.
Что произошло
Человек, который к нам обратился, был общественным активистом. Для своих социальных проектов он собирал пожертвования в криптовалютах.
Он поступал с этой криптовалютой очень грамотно: распределял её между несколькими кошельками.
- То, что было нужно на текущие расходы, хранилось в горячем кошельке и управлялось через приложение на смартфоне.
- Если появлялись излишки, они отправлялись в холодный кошелёк. Для доступа к такой криптовалюте требовалось специальное устройство (Ledger, Keystone, Tangem или что-то подобное).
А для пожертвований он давал адреса, управляемые веб-кошельком. Ключей от этих адресов вообще не было на устройствах нашего героя. Они хранились на веб-сервере провайдера этого кошелька. Причина в том, что жертвователи были разные, поэтому и криптовалюту ему присылали разную. Он готов был принять что угодно, а чтобы не разбираться с тем, какой кошелёк для каждого актива наиболее надёжен, он использовал веб-кошелёк. Оттуда он обменивал любую полученную криптовалюту на ту, которая ему нужна. Это в любой момент можно просто и удобно сделать на rabbit.io.
При этом он стремился действовать честно и прозрачно и все объявления о сборе средств всегда давал от собственного имени. Именно это и стало причиной того, что его ограбили. Злоумышленники знали, что именно у этого человека есть криптовалюта, и заставили её отдать, применяя силу и угрозы.
Им удалось заполучить всё, кроме того, что хранилось в веб-кошельке.
Как так получилось
Грабители знали, что у этого человека есть криптовалюта. И пришли они к нему именно за криптовалютой. Они чётко знали, что они должны искать:
- холодные кошельки (аппаратные ключ-карты)
- и горячие кошельки (приложения на смартфоне).
Всё это они нашли и вынудили владельца криптовалюты сообщить им необходимые данные для доступа. А веб-кошелёк они просто не нашли.
Теоретически, они, конечно, могли бы найти и его. Для этого нужно было бы на том самом смартфоне, которым они завладели, зайти в историю браузера, изучить её, обнаружить в этой истории сайт веб-кошелька и заставить владельца сообщить пароль от сайта точно так же, как они заставили его сообщить пароли от кошельков-приложений и от аппаратного кошелька. Но для них эта задача оказалась слишком сложной.
Какие можно сделать выводы?
Все считают, что аппаратный кошелёк - это наиболее надёжный способ хранения, а онлайн-кошелёк, хранящий ключи на чужом сервере, - это наименее надёжный. Но оказывается, что твоё собственное устройство у тебя могут отобрать силой и заставить тебя сообщить код доступа, а чужой сервер так просто не найти.
Ну и ещё один урок, который из этой истории стоит извлечь, - это урок вовсе не про кошельки, а про то, что при операциях с криптовалютой не стоит пренебрегать конфиденциальностью. Если все знают, что у вас есть криптовалюта, то среди этих “всех” могут найтись злоумышленники, которые захотят её у вас отобрать.
Так что лучше не давайте злоумышленникам повода заинтересоваться вами. А для обмена криптовалют используйте rabbit.io: нам не нужны ваши персональные данные.
