Bezpieczeństwo związane z przechowywaniem Bitcoina

Jak wspomniałem na początku temat Bitcoinów jest bardzo ciekawy, jednakże postanowiłem, że nie będę zbyt szczegółowo wchodził w temat i skupię się bardziej na bitcoinach pod kątem tego w jaki sposób jest wykorzystywany. Jeżeli komuś wydaję się że wyłącznie do płacenia za usługi to niestety nie. 

Pierwszą wzmiankę jaką poczyniłem ujmując tematykę bitkoinów można znaleźć tutaj wtedy też wspominałem, że bitcoin służył do płatności w tzw. Darknecie. Samo działanie waluty BTC i innej ze względu wiele czynników między innymi takich jak przedrostek "krypto", waluta nieznanego pochodzenia i założyciela o nazwisku Satoshi oraz dość skomplikowany schemat działania nadają tej walucie mroczność i sugeruje, iż może być wykorzystywana przez przestępców i może ona służyć jedynie do popełniania przestępstw. Nie jest to do końca prawda choć często też tak działa.     

W dzisiejszej części dotyczącej Bitcoinów skupimy się głównie na bezpieczeństwie zakupionych kryptowalut.

Na początku wspomnę tylko, że jeżeli już zdcydujemy się zakupić kryptowalutę i nie zamierzamy nią aktywnie obracać to należy ją zabezpieczyć. Pierwsze primo "przykazanie inwestora kryptowalutowego":  

Nie trzymamy środków na giełdach kryptowalutowych!

Praktyka pokazuje, że nie można stwierdzić, które z tych giełd są na tyle bezpieczne, że nie ogłoszą upadłości, nie padną ofiarą ataku tzw. man-in-the-middle attack lub sprzęt nie zostanie zajęty przez organy ścigania. 

Celem powyższego artykułu jest jedynie przybliżenie zagadnienia.

Wobec powyższego po dokonaniu wyboru spośród wielu kryptowalut, i zakupieniu, należy wybrać "portfel". Kryptowaluty przechowuje się tak samo jak w przypadku pienią¬dza papierowego (banknotów i monet) w portfelu (ang. wallet) lub sejfie (ang. vault), tylko że w formie cyfrowej. Portfel jest to oprogramowanie lub urządzenie (choć nie zawsze), które przechowuje nasze prywatne i publiczne klucze oraz wchodzi w interakcje z różnymi bazami blockchain, umożliwiając użytkownikowi przesyłanie i otrzymywanie kryptowalut. 

Warto tu zaznaczyć, że portfel kryptowaluty (wbrew temu co sugeruje nazwa) nie przechowuje posia-danych przez nas kryptowalut, a jedynie klucz prywatny dający dostęp do nich i kontrolę nad nimi; środki te przypisane są do naszego klucza w blockchainie. W związku z tym, zgubienie telefonu z portfelem kryptowalutowym lub zniszczenie komputera, na którym zainstalowany był portfel, nie oznacza utraty kryptowalut, jeśli został gdzieś zapisany (w formie elektronicznej lub na kartce papieru) nasz klucz (adres) prywatny lub tzw "seed".

W przypadku kryptowaluty Bitcoin wyróżnia się następujące typy portfeli (podobnie jest również dla innych kryptowalut):

Niezależnie od wybranego typu portfela zdecydowanie zalecane jest stworzenie backupu, np. wygenerowanie specjalnych haseł w formie ciągu znaków. Backup ten umożliwi nam odtworzenie portfela wówczas, gdy z jakiegokolwiek powodu stracimy nasze urządzenie (np. padnie nam dysk, upuścimy telefon do wody lub urządzenie zostanie nam skradzione). W przypadku niektórych aplikacji jedną z metod odzyskania konta są mnemonic seed, czyli ciąg od 12 do 24 losowych słów zapisanych po kolei, które należy zachować w bezpiecznym miejscu.

Bez wchodzenia w szczegóły można wyobrazić sobie, że portfel kryptowalutowy to rodzaj skrzynki na listy, każdy może do tej skrzynki coś włożyć, ale wyjąć z niej cokolwiek można tylko przy pomocy prywatnego klucza. Nasz adres (kod QR lub ciąg cyfr i liter) można rozumieć właśnie jako adres tej skrzynki pocztowej, możemy go udostępniać wszystkim po to, żeby na ten adres wpłacali nam konkretne kryptowaluty, natomiast nasz klucz prywatny (najczęściej generowany automatycznie przez portfel i udostępniany nam w postaci seeda – 12 do 24 słów) daje nam do nich dostęp. Jeżeli damy komuś nasz klucz prywatny, tym samym dajemy mu dostęp do naszych kryptowalut zgromadzonych w danej skrzynce. W wypadku portfela z możliwością obsługi kilku kryptowalut wystarczy wyobrazić sobie kilka różnych skrzynek pocztowych obok siebie, każda na inną walutę, do każdej inny klucz prywatny a nasz portfel i seed jako kółko do przechowywania wszystkich tych kluczy w jednym miejscu.

Seed to najczęściej 12 lub 24 wyrazowa fraza, która pomaga kontrolować klucz prywatny lub zestaw kluczy prywatnych (w portfelach obsługujących więcej niż jedną kryptowalutę). Jest to forma dużo łatwiejsza do zapisania lub zapamiętania z punktu widzenia użytkownika i służy jako prosty sposób odzyskania kontroli nad swoimi kluczami prywatnymi w danym portfelu. Należy pamiętać, że "seed" stworzony w danym portfelu będzie działał tylko z nim, więc np. po zniszczeniu urządzenia z zainstalowanym portfelem, "seed" może zostać użyty na innym urządzeniu, ale tylko z tym samym portfelem, warto więc przy zapisywaniu samej frazy, zapisać również w jakim portfelu jest używana. Czadem różne portfele używają tych samych standardów generowania seeda i wtedy można ich używać zamiennie

Posiadając jakikolwiek portfel kryptowalutowy, na przykład na swoim telefonie, należy pamiętać o tym, że wartość tego telefonu to już nie tylko jego cena rynkowa, ale także zawartość portfela. Dlatego należy zwiększyć naszą czujność i dołożyć wszelkich starań, aby nasze pieniądze były bezpieczne. Zabezpieczenie telefonu kodem odblokowującym go to absolutne minimum. 

Warto pamiętać, że nie ma portfela, który daje 100% bezpieczeństwa przechowywanych środków, a jego bezpieczeństwo w dużym stopniu zależy od świadomości użytkownika. Portfel nie ma możliwości zapobiegania konsekwencjom nieostrożnych działań użytkownika.

"Hot wallet" i "cold wallet", czyli portfele gorące i zimne. W największym uproszczeniu portfele gorące to takie, które znajdują się na urządzeniu podłączonym do internetu, a tym samym są dużo bardziej narażone na wszystkie niebezpieczeństwa z tym związane, natomiast portfele zimne znajdują się na urządzeniach, które są offline. Do tych gorących zaliczamy portfele przeglądarkowe oraz portfele zainstalowane na komputerach lub urządzeniach mobilnych (podłączonych do internetu). Zimne portfele, te dużo bezpieczniejsze, to tzw. Portfele sprzętowe (ang. Hardware wallets), papierowe (tylko dla zaawansowanych użytkowników) lub wygrawerowane na kawałku metalu, oraz zainstalowane na urządzeniach, które są offline. Wracając do naszej skrzynki pocztowej, gorące portfele można porównać do trzymania swojego prywatnego klucza w domu na wieszaczku zaraz za drzwiami wejściowymi, w razie gdyby był pilnie potrzebny, natomiast zimne portfele to trzymanie tego samego klucza w ukrytym gdzieś w domu sejfie. Bardzo wielu użytkowników kryptowalut większość swoich środków trzyma na portfelach zimnych, na gorących natomiast trzymając tylko niewielkie kwoty, które mogą się przydać do drobnych opłat.

Jeśli portfel generuje "seed" oznacza to, że kryptowaluty z nim powiązane są w twoim posiadaniu. Jeśli nie masz "seeda" nie masz też kryptowalut i pewnie opiekuje się nimi za ciebie ktoś inny.

Giełda to nie jest portfel, a kryptowaluty trzymane na giełdzie są w posiadaniu giełdy. 

Kilka przykładowych portfeli bitcoinowych z poszczególnych kategorii

W związku z rosnącym zainteresowaniem kryptowalutami w ostatnim czasie bardzo wzrosła również liczba przeróżnych portfeli kryptowalutowych dostępnych na rynku, to świetna wiadomość dla użytkowników, szczególnie ze względu na wielką poprawę UX (ang. user experience) w tym obszarze, wybór pierwszego portfela przysparza jednak sporo problemów, szczególnie początkującym. Poniżej znajduje się tylko kilka przykładów takich portfeli z poszczególnych kategorii, chodzi nam głównie o obsługę bitcoina, ale przedstawimy w każdej kategorii przynajmniej jeden umożliwiający również “przechowywanie” innych kryptowalut.

Portfele gorące (ang. hot wallets)

Portfele w postaci aplikacji na komputer (software wallets): występują w formie pełnej i lekkiej. W pełnej – przechowują one całą bazę blockchain. Charakteryzują się długim czasem synchronizacji i bardzo dużym zapotrzebowaniem na przestrzeń dysku twardego, co spowodowane jest faktem, iż baza blockchaina bitcoinowego zajmuje po¬nad 140 GB. W formie lekkiej – baza blockchain przechowywana jest na serwerach, do których się łączymy. Portfele w postaci aplikacji na komputer charakteryzują się bardzo niską mobilnością, po¬nieważ są przechowywane wyłącznie na naszym komputerze oraz są narażone na ataki hakerów, jeśli komputer jest podłączony do Internetu.

BITCOIN CORE (bitcoin.org) – w przeciwieństwie do pozostałych wymienionych tzw. portfeli lekkich (SPV – simplified payment verification), ten portfel to jednocześnie pełny węzeł Bitcoina z zapisem wszystkich przeprowadzonych do tej pory transakcji w sieci Bitcoin. Obecnie wymagana przestrzeń na dysku dla takiego pełnego portfela wynosi około 250 GB. Instalując jednak ten portfel jednocześnie zwiększamy bezpieczeństwo całej sieci.

ELECTRUM (electrum.org) – jeden z najdłużej rozwijanych portfeli bitcoinowych. Posiada również wersję mobilną na Androida. Electrum wprowadziło również niedawno obsługę Lightning Network.

WASABI (wasabiwallet.io) – ciekawy projekt portfela, który stawia na prywatność przesyłanych transakcji z użyciem technologii CoinJoin. Umożliwia ona

EXODUS (exodus.io) – mocną stroną Exodusa jest nie tylko klient desktopowy, ale również integracja z aplikacją mobilną na iOS i Androida oraz współpraca z portfelem sprzętowym Trezor. Portfel ma również wbudowaną giełdę.

Portfele na urządzenia mobilne – łatwe w użyciu portfele, które są zawsze pod ręką. Można oczywiście używać pojedynczych aplikacji do każdej z kryptowalut, ale rynek oferuje też kilka mocnych pozycji obsługujących większą ilość coinów i tokenów. Jednak ryzyko zgubienia lub wykradzenia nam urządzenia mobilnego jest niewątpliwie większe aniżeli komputera stacjonarnego.

SAMOURAI (samouraiwallet.com) – portfel mobilny skupiony na rozwijaniu technologii zwiększającej prywatność dokonywanych transakcji. Zwany przez niektórych żartobliwie portfelem bitcoinowych maksymalistów, m.in. dlatego, że nie oferuje już konwersji wartości na żadne inne waluty poza bitcoinem, co w praktyce oznacza, że nie podaje wartości danych BTC np. w USD i na chwilę obecną i przy tej adopcji może to jeszcze utrudniać np. kupowanie drobnych rzeczy za bitcoiny.

BLOCKSTREAM GREEN (blockstream.com/green) – portfel rozwijany przez jedną z czołowych firm w świecie kryptowalut. Bardzo intuicyjny UX, sporo dodatkowych opcji, dbałość o szczegóły i bezpieczeństwo, dodatkowa możliwość wyświetlania wartości w wybranej walucie tradycyjnej.

Portfele internetowe (online): dostęp do nich jest zapewniony za pośrednictwem stro¬ny internetowej, dzięki której logujemy się do swojego portfela. Charakteryzują się one dużą mobilnością, ponieważ mamy do nich dostęp za pośrednictwem każdego urządze¬nia z dostępem do Internetu. Minusem portfeli internetowych jest jednak niski stopień zabezpieczeń, ponieważ nasze klucze są przechowywane na serwerach online. Tego typu portfele zaleca się jedynie do doraźnego użytkowania i do przechowywania ma¬łych kwot.

PAXFUL

COINBASE

4COINS – polski portfel online

CIRCLE

BLOCKCHAIN

Portfele zimne (ang. cold wallets)

Portfele sprzętowe (hardware wallets): jest to typ portfela, w którym klucze publiczne i prywatne przechowywane są na zewnętrznym dysku USB. Z powodu tego, że dysk jest offline (nie ma połączenia z Internetem) to w porównaniu do swoich poprzedników charakteryzuje się znacznie większym bezpieczeństwem. Gdy użytkownik chce wykonać  transakcję przy użyciu tego typu portfela wystarczy podłączyć dysk zawierający klucze do komputera lub telefonu (przy użyciu specjalnej przejściówki). Większość z nich posiada również funkcję potwierdzenia transakcji za pomocą fizycznego przycisku na urządzeniu. 

LEDGER NANO X (ledgerwallet.com) – bardzo popularny portfel sprzętowy wyglądający trochę jak pendrive. Na chwilę obecną obsługuje kilkadziesiąt różnych coinów i tokenów. Obsługiwany przez aplikację mobilną lub desktopową – Ledger Live.

TREZOR MODEL T (trezor.io) – portfel sprzętowy ze wsparciem, według informacji na stronie, kilkuset kryptowalut a do tego może być również używany jako manager haseł. Obsługiwany za pomocą telefonu, komputera lub przeglądarki.

Portfele sprzętowe należy kupować prosto od producenta i omijać wszelkiego rodzaju pośredników.

Inne portfele fizyczne (niestandardowe – papierowe, stalowe): kategoria ta cechuje się największą różno¬rodnością. Portfel taki może przybrać postać wydrukowanego specjalnego dokumentu zawierającego klucze publiczne i prywatne lub adres prywatny. Inną wersją tego typu portfela jest polski produkt Cryptosteel i w porównaniu do papierowych wersji portfe¬la jest on wykonany z nierdzewnej stali o bardzo dużej wytrzymałości, w której możemy umieścić dowolną kombinację znaków (kluczy prywatnych/publicznych lub haseł niezbęd¬nych do odzyskania konta). Tego typu portfel jest zalecany jako długotrwała metoda prze¬chowywania dużych wartości kryptowalut. Tego typu „lokatę długoterminową” można na przykład zakopać lub przechowywać w sejfie na tak zwaną „czarną godzinę”.

CRYPTOSTEEL (cryptosteel.com) – to dość ciekawa pozycja pozwalająca nie tylko na przechowywanie adresów kryptowalutowych lub seedów ale też ważnych haseł, PINów i innych bezcennych danych. Cryptosteel składa się z metalowego rdzenia oraz zestawu dużej ilości metalowych liter i cyfr, które można ustawiać w dowolnej kolejności. Według producenta portfel taki jest bezpieczniejszy niż papierowy, ponieważ nie jest podatny na ogień, zalanie czy upływ czasu.

OPENDIME (opendime.com) – bitcoinowa wersja banknotu. To sprytne urządzenie nie daje dostępu do kluczy prywatnych nawet właścicielowi, są zapisane na urządzeniu (można je odczytać, ale trzeba fizycznie uszkodzić urządzenie), dzięki temu można za jego pomocą przekazywać bitcoiny dając komuś właśnie to urządzenie i możemy być pewni, że ten, kto nam je przekazał nie będzie miał do nich dostępu. Idealne jeśli chcemy dac komuś pierwszy ułamek bitcoina w prezencie lub też nie chcemy, żeby przekazanie bitcoina zapisane było na publicznym blockchainie.

Zapamiętywanie (brain wallet): alternatywą do wymienionych wyżej portfeli jest naucze¬nie się kluczy na pamięć. Takie rozwiązanie uniezależnione jest od sprzętu i oprogramo¬wania, zatem cechuje je najwyższy stopień bezpieczeństwa. Jedyne ryzyko, które wystę¬puje to sytuacja, w której klucz zostanie zapomniany przez użytkownika.

 

Źródło: www.ilovecrypto.pl