Как не стоит создавать криптокошелек

Чтобы сгенерировать закрытый ключ, парень использовал JavaScript на специальном сайте, но без подключения к интернету. После этого он очистил браузер (куки, кеш) и распечатал полученные данные. Тем не менее, несмотря на соблюдение рекомендаций по безопасности, мошенники сумели похитить более $3000 с его кошелька. Это заставило парня обратиться к сообществу, чтобы разобраться в произошедшем.

Он считает, что утечка произошла при отправке файла на сетевой принтер, но уязвимость, скорее всего, находилась в другом месте. Не исключено, что пользователь изначально получил скомпрометированные данные из-за вредоносного кода JavaScript. Тем более, что ранее данный сайт уже несколько раз фигурировал в аналогичных ситуациях.

Получается, разработчики просто написали фальшивый процесс генерирования закрытых ключей. Другими словами, кошельки создавались с помощью ограниченного криптографического алгоритма или просто выбирались из заранее определенного списка. Однако для мошенников гораздо выгоднее создавать код с малозаметным недостатком, что позволяет обманывать более опытных пользователей.

В любом случае злоумышленники хорошо продумали преступление: их кошелек получил сразу двадцать больших переводов одновременно. Вероятно, они ожидали людей с крупным капиталом и вывели наиболее весомые активы, когда специалисты по безопасности в сети начали высказывать опасения относительно приложения. После проверки IP-адреса один из пользователей обнаружил, что недавно сайт получил несколько негативных отметок.

Эта история в очередной раз напоминает всем пользователям криптовалют: даже если вы уверены, что соблюдаете рекомендации по кибербезопасности, есть риск столкнуться с проблемами. Например, представитель CertiK считает генераторы закрытых ключей одним из самых опасных инструментов для создания криптовалютного кошелька, но люди продолжают ими пользоваться. Поэтому важно тщательно проверять каждый шаг и доверять только проверенным децентрализованным приложениям с открытым исходным кодом.