Bảo mật bitcoin (BTC) rất khó để có được quyền: Bất kỳ hình thức lưu trữ ngoại tuyến hoặc lưu trữ “lạnh” nào hiện có đều có sự đánh đổi. Cái nào an toàn nhất vẫn là vấn đề tranh luận giữa các nhà phát triển phần mềm bitcoin và nhà sản xuất ví.
Đồng tiền tự chủ đi kèm với trách nhiệm. Những người chơi bitcoin có kinh nghiệm sẽ cho bạn biết: Chỉ mua bitcoin thôi là chưa đủ – để thực sự bắt đầu hành trình tự chủ về tài chính, bạn cần có toàn quyền kiểm soát các khóa riêng tư mật mã của mình, nghĩa là bitcoin của bạn phải nằm trên thiết bị của riêng bạn.
Tuy nhiên, việc chọn một thiết bị để lưu trữ bitcoin của bạn là một nỗ lực của riêng nó. Trong những năm gần đây, các công ty làm việc trong lĩnh vực này đã đưa ra nhiều lựa chọn khác nhau, tất cả đều có ưu và nhược điểm.
Cách dễ nhất để bắt đầu là tải xuống ví phần mềm hoặc ứng dụng tạo khóa cho bitcoin của bạn trên điện thoại hoặc máy tính xách tay của bạn. Nhưng điện thoại và máy tính bị đánh cắp hoặc bị mất, chúng bị hỏng và có thể bị nhiễm phần mềm độc hại. Ngành công nghiệp ví phần cứng non trẻ đưa ra một giải pháp khác: một thiết bị nhỏ được thiết kế để giữ các khóa bitcoin trong bộ nhớ và ký các giao dịch, không có tính năng nào khác và không có kết nối internet liên tục.
Tuy nhiên, giải pháp tốt nhất cho một người chơi bitcoin trung bình vẫn còn đang gây tranh cãi. Một số trong những lập luận đó đã được đưa ra trong một hội thảo tại hội nghị Baltic Honeybadger chỉ dành cho bitcoin ở Riga, Latvia, vào cuối tuần vừa qua.
Dưới đây là một số điểm nổi bật.
phần cứng phức tạp
Pavol Rusnak, Giám đốc điều hành của nhà sản xuất ví phần cứng Trezor, lập luận rằng một sản phẩm giống như sản phẩm mà công ty của ông tạo ra là cách an toàn nhất để lưu trữ bitcoin vì nó có “bề mặt tấn công hạn chế”.
“Đó là một phần cứng ít phức tạp hơn và phần mềm không phức tạp như Windows, MacOS hay Android. Và hầu hết thời gian nó ngoại tuyến,” Rusnak nói với CoinDesk, đồng thời nói thêm rằng “hầu hết các cuộc tấn công là tấn công từ xa bằng phần mềm độc hại và đó là thứ mà ví phần cứng bảo vệ bạn khỏi.”
Phát biểu trong một hội thảo về bảo mật bitcoin, nhà tư vấn mật mã Peter Todd không đồng ý với cách tiếp cận này, nói rằng ông không sử dụng ví phần cứng: “Tôi muốn sử dụng máy tính xách tay hơn, vì nó không chắc sẽ được nhắm mục tiêu cụ thể và đặt [máy tính xách tay] vào một hộp an toàn.”
Ví phần cứng, mà bạn thường đặt hàng qua internet và được chuyển đến tận nhà, có thể khiến bạn trở thành mục tiêu với tư cách là người nắm giữ bitcoin. Sử dụng máy tính xách tay, mọi người có thể không bao giờ biết, Todd giải thích khi nói chuyện với CoinDesk ngoài sân khấu.
Ngoài ra, các nhà máy sản xuất ví phần cứng có thể trở thành mục tiêu của một cuộc tấn công chuỗi cung ứng, ông nói thêm. Ai đó có thể can thiệp vào các thiết bị và thiết kế lại chúng để đánh cắp bitcoin từ người dùng.
Do đó, “Lời khuyên của tôi dành cho nhiều người là hãy mua một chiếc điện thoại, lấy ví phần cứng của bạn trên đó và đừng sử dụng nó cho bất cứ việc gì khác. Điện thoại của bạn không phải là một mục tiêu. Chuỗi cung ứng điện thoại của bạn không phải là mục tiêu,” Todd nói.
Một thiết lập lý tưởng sẽ là sử dụng ví đa chữ ký, khi bạn sử dụng một số thiết bị mà mình sở hữu để ký mọi giao dịch chi tiêu bitcoin của mình, Todd nói. Tuy nhiên, hiện tại “ngăn xếp phần mềm cho công nghệ đa chữ ký không tốt lắm và không dễ sử dụng.”
Cuối cùng, không có cách nào để một người bình thường kiểm tra xem thiết bị đang được sử dụng có hoạt động như đã tuyên bố hay không, Todd nói trên sân khấu. “Cá nhân tôi đã bao giờ bận tâm đến việc lấy Trezor của mình, thứ mà tôi không sử dụng vì nhiều lý do và thực sự làm tất cả công việc để xác minh rằng nó hoạt động theo cách nó tuyên bố chưa? Không, đó là cả đống công việc, và rất có thể nó không hiệu quả,” anh nói.
Nó trở nên tồi tệ hơn, anh ấy nói thêm: Nếu một chiếc ví sử dụng phần mềm nguồn mở – nghĩa là mã của nó được xuất bản trên internet – bạn có thể xác minh mã đó, nhưng sau đó sẽ có các trình biên dịch – một loại phần mềm khác ở cấp độ cao. mã thành ngôn ngữ máy mà một máy tính thông thường có thể hiểu được – điều này thậm chí còn khó xác minh hơn.
“Những hệ thống này cực kỳ phức tạp,” Todd nói, đồng thời nói thêm rằng những trình biên dịch này giống như “nhà máy khổng lồ” mã, rất khó duyệt và thường không phải tất cả các phần mã của trình biên dịch đều là mã nguồn mở.
Để có khoảng cách không khí hoặc không có khoảng cách không khí
Một câu hỏi gây tranh cãi khác là ví phần cứng nên giao tiếp với các thiết bị khác như thế nào.
Để nhận thông tin về một giao dịch mà nó sắp ký, ví phần cứng tại một thời điểm nào đó phải được kết nối với thiết bị kết nối internet, máy tính xách tay hoặc điện thoại di động. Chúng có thể kết nối qua dây có cổng USB, thẻ nhớ microSD hoặc giao tiếp qua mã QR mà ví tạo ra để camera điện thoại đọc được.
Một số nhà sản xuất ví phần cứng cố gắng tránh kết nối dây giữa ví và máy tính, vì vậy họ có một khoảng cách không khí – một tính năng bảo mật khi thiết bị không bao giờ được kết nối với internet.
Rodolfo Novak, đồng sáng lập và CEO của Coinkite, nhà sản xuất ví phần cứng Coldcard, cho biết: “Việc truyền thông tin điện tử một cách vật lý, chẳng hạn như qua thẻ MicroSD, thay vì qua mạng máy tính, sẽ làm giảm đáng kể khả năng bị tấn công đồng bộ”. một email đến CoinDesk. (Coinkite không có mặt tại hội nghị Riga.).
“Với USB, kẻ tấn công có quyền truy cập trực tiếp vào phần cứng, khiến các cuộc tấn công từ xa trở nên dễ dàng hơn. Việc hệ điều hành của máy tính phải chọn trình điều khiển chính xác cho các thiết bị USB dựa trên số sê-ri của chúng tạo ra vấn đề ẩn danh đối với các thiết bị như Trezor có dữ liệu rõ ràng bao gồm số sê-ri khi khởi động,” Novak giải thích thêm rằng “ bất kỳ tác nhân độc hại nào có thể đã xâm nhập vào kết nối internet của máy tính của bạn đều có thể có quyền truy cập vào khóa của bạn nếu bạn được kết nối bằng USB.”
Novak cho biết, bằng cách tiết lộ sự tồn tại của ví và số sê-ri duy nhất trên internet, kết nối USB khiến nó dễ bị tấn công. Ngược lại, với thẻ micro-SD, không có thông tin quan trọng nào bị xâm phạm khi có kết nối internet trực tiếp, ông nói thêm.
Tuy nhiên, những người tham gia hội thảo Baltic Honeybadger không đồng ý rằng thẻ SD an toàn hơn dây USB.
“Dây giữa ví của bạn và máy tính của bạn không hẳn là một điều xấu,” Todd nói trên sân khấu. “Câu hỏi đặt ra là bạn thiết kế sợi dây đó như thế nào, cường độ dòng điện, bao nhiêu electron, theo nghĩa đen, mỗi giây, chạy qua sợi dây đó và con số đó có thể thay đổi nhanh như thế nào.”
Anh ấy nói thêm rằng các thẻ SD hiện đại được sử dụng cho các phiên bản ví có air-gapped không phải là thiết bị đơn giản như vẻ ngoài của chúng: thẻ SD là “toàn bộ bộ vi xử lý 32 bit”.
Rusnak, của Trezor, lặp lại ý tưởng này. Ông nói: “Thẻ SD ngày nay sử dụng nhiều sức mạnh tính toán hơn chiếc máy tính đầu tiên của tôi. “Tôi sợ thẻ SD này có thể lấy cắp một số dữ liệu từ máy tính của tôi hơn.”
Novak không đồng ý. Ông nói với CoinDesk: “Một cuộc tấn công MicroSD khó thực hiện hơn so với một cuộc tấn công USB theo hệ số của một vài bậc độ lớn,” đồng thời cho biết thêm rằng thẻ nhớ microSD mà Coldcard cung cấp cùng với ví của họ sử dụng “số lượng mã giảm đi nhiều” so với USB, “giúp dễ dàng kiểm tra các lỗi có thể khai thác.”
Cuối cùng, bất cứ điều gì có thể bị hack.
Douglas Bakkum, người sáng lập công ty ví phần cứng BitBox cho biết: “Công việc của nhà sản xuất ví phần cứng là làm cho nó không xứng đáng với thời gian của kẻ tấn công, quá tốn kém về thời gian hoặc tiền bạc.
Có một số cấp độ mà ví phần cứng có thể bị tấn công, Bakkum giải thích trong bài thuyết trình của mình, lặp lại các điểm được đưa ra trong một bài đăng trên blog của công ty từ tháng 10: Tấn công vào lớp giao tiếp (có nghĩa là giao thức kết nối ví với máy tính xách tay, có thể là USB cổng, mã QR hoặc thẻ SD, bị xâm phạm), lớp logic (phần mềm độc hại được đưa vào) và lớp vật lý (kẻ tấn công phá vỡ thiết bị, gắn đầu dò và can thiệp vào thiết bị).
Rusnak cho biết, mối đe dọa tấn công chuỗi cung ứng có thể tấn công cả thiết bị kết nối USB và thẻ SD.
“Nếu có kẻ tấn công muốn tấn công bạn qua USB, chúng cũng có thể cung cấp cho bạn thẻ SD chứa mã độc. Nếu kẻ tấn công của bạn là một tên trộm bình thường thì đó không phải là vấn đề và nếu kẻ tấn công là FBI hoặc một số cơ quan liên bang khác, thì ngay cả thẻ SD cũng không giúp được gì cho bạn,” anh ấy nói với CoinDesk.
Rusnak nói: “Bạn cần vạch ra một ranh giới ở đâu đó khi bạn đi xuống hố thỏ, nơi bạn không thể tin tưởng vào bất cứ điều gì.
Hình ảnh lớn hơn
Rusnak nói: Khi bảo mật bitcoin của bạn, điều quan trọng là không làm cho mọi thứ trở nên quá phức tạp đối với bạn. Ví dụ, những người chọn thiết kế một thiết lập bảo mật phức tạp cho kho lưu trữ bitcoin của họ, viết cụm từ gốc (chìa khóa để khôi phục ví bị mất) theo thứ tự sai, có thể “tự bắn vào chân mình” nếu họ quên thứ tự đúng. hoặc những người thừa kế của họ không thể xây dựng lại nó.
“Thiết lập của bạn sẽ có thể sử dụng được ngay cả sau 10 năm, 15 năm nữa,” Rusnak nói trên sân khấu, khuyến nghị người dùng luôn ghi lại các quy trình xây dựng bảo mật của họ cho tương lai.
“Đừng tin vào bộ não của bạn,” Bakkum lặp lại.
Rigel Walshe, cựu sĩ quan cảnh sát ở New Zealand và hiện là nhà phát triển tại Swan Bitcoin, một công ty có trụ sở tại California giúp khách hàng tiết kiệm bằng bitcoin, nhắc nhở khán giả rằng bất kể giải pháp kỹ thuật nào được sử dụng, điều quan trọng là phải quan tâm đến sự an toàn về thể chất của bạn – nghĩa là, đừng để mọi người biết bạn (và bitcoin của bạn) đang ở đâu.
Ví dụ: bạn có thể sử dụng hộp thư bưu điện hoặc thậm chí là công ty LLC cho địa chỉ gửi thư để che chắn vị trí thực tế của mình; Walshe cho biết ngay cả các hóa đơn tiện ích của bạn cũng có thể được gửi đến một địa chỉ khác với địa chỉ thực tế của bạn. Trong trường hợp này, ngay cả khi mọi người tìm thấy thông tin cá nhân của bạn trên internet, họ vẫn không thể lấy được bạn (và bitcoin của bạn).
Walshe nói: “Giả sử rằng thông tin của bạn sẽ được sửa đổi và nó sẽ ở ngoài đó.
Trao đổi với CoinDesk, Todd đã đề cập đến một yếu tố bảo mật khả thi khác, đó là nhắm vào chuỗi khối Ethereum, thứ mà những người chơi bitcoin khó tính coi là một công nghệ tồi tệ hơn.
“Bởi vì các hệ sinh thái như Ethereum tồn tại, nơi bảo mật rất tệ, những người chơi bitcoin thực sự không gặp nhiều rủi ro như họ có thể,” Todd nói. “Nếu bạn là một kẻ xấu và biết cách bẻ khóa mọi thứ, bạn sẽ tập trung vào điều gì? Bạn sẽ tập trung vào việc ăn cắp từ [tài chính phi tập trung], điều này dễ dàng hơn ăn cắp bitcoin. Nó khiến tin tặc tránh xa chúng ta.”
JinseFinance
Kikyo
Coinlive 
nftnow
decrypt
Others
Bitcoinist