Salutations, chers lecteurs! On me demande souvent quel est le meilleur moyen fiable de conserver la crypto-monnaie, qu'il s'agisse de Bitcoin, de Monero, de jetons ERC20 ou de DOGE.

Dans cet essai, j'aimerais offrir la solution à cette question; malheureusement, il n'y a pas de réponses claires et simples !

J'aimerais également remercier les auteurs de tous les services qui ont été utilisés comme exemples dans cet essai, ainsi que les auteurs de toutes les ressources que j'ai utilisées comme références ; Continuez le travail fantastique!

Introduction

Donc, tout d'abord, nous devons décider, pourquoi en avons-nous besoin ? Tout le monde peut utiliser Ethereum en toute sécurité, de même avec Monéro , dans lequel vous devez garder à l'esprit moins règles de sécurité.

Si vous avez besoin d'un anonymat à toute épreuve ou d'une ultra confidentialité, alors lisez cet ultra génial guide hardcore . Lire mon récent article consacré à une « Timing Attack » ou « Attaque via un échantillon représentatif ».

Vous devez vous souvenir de la règle principale :

Votre niveau d'OpSec dépend généralement de votre modèle de menace et de l'adversaire auquel vous êtes confronté. Il est donc difficile de définir la qualité de votre OpSec.

Le fait est que si vous avez besoin d'un certain portefeuille cryptographique pour le travail, pour le jalonnement, pour payer vos employés, etc. - il est considéré comme "opérationnel" ou "chaud", nous allons donc consciemment construire sa protection sur la base de menaces objectives , vous pouvez en savoir plus sur mes articles :

• officercia.mirror.xyz
• hackernoon.com/u/officercia
• cia.start.me

Mais aujourd'hui, j'aimerais concentrer notre conversation sur le fait que nous avons besoin d'une solution vraiment sécurisée. Pour nous aider à le visualiser, permettez-moi de formuler le sujet de l'essai d'aujourd'hui comme suit :

"Vous avez soudainement reçu 1 milliard de dollars dans n'importe quelle crypto-monnaie, et vous ne voulez pas encore l'investir, mais vous voulez en économiser en toute sécurité la majorité en utilisant des crypto-monnaies."

Quelles sont nos options?

Les portefeuilles matériels froids, les portefeuilles cérébraux et les portefeuilles en papier sont les plus courants. Je pense que les techniques "conçues" ont gagné le droit d'exister également, mais concentrons-nous sur la première, qui est un portefeuille matériel froid.

Par la suite, je vous parlerai des moyens que je juge sécuritaires et que je recommande à mes clients!

II - Portefeuilles froids

On me demande souvent pourquoi dans mes articles récents : à propos du stockage sécurisé de crypto-monnaie , environ un attaque sur les disques durs anciens et oubliés et sur comment les pirates sont attrapés Je ne recommande pas d'utiliser les appareils Trezor ou Ledger pour un entrepôt frigorifique principal.

…dans l'espace personne ne peut vous entendre pousser un cri …

J'ai donc choisi les deux appareils les plus populaires et je n'avais aucune hypothèse à leur sujet.

Je crois qu'aucune technologie n'est intrinsèquement nocive ; il existe plutôt diverses conditions pour une utilisation sûre et des raisons de l'utiliser.

Alors, revenons sur la bonne voie et examinons ces deux exemples à travers deux lentilles techniques distinctes. Je peux obtenir des informations de votre Trezor ou de votre grand livre si vous en avez un.

Mais il n'y aura que quelques tentatives. C'est pourquoi je n'ai jamais recommandé Trezor ou Ledger... Si l'appareil tombe entre les mains de quelqu'un, vous êtes foutu.

Ils ont des approches différentes, vous pouvez en savoir plus à leur sujet ici et ici , mais l'essentiel est fondamentalement le même. Il y a une super nouvelle vidéo sur ce sujet :

Consultez la note du portefeuille : walletscrutiny.com

Si vous possédez quelque chose comme ça dispositif , il est peu probable qu'il soit possible de restaurer quoi que ce soit sans sa participation. Parce qu'il existe toutes sortes de fonctionnalités intéressantes et à l'épreuve des balles.

Découvrez ces portefeuilles matériels plutôt intéressants gridplus.io/products/grid-treillis1 ( 2 ) & ce BitLox dispositif

Essentiellement, le portefeuille froid n'est qu'un pseudo- Trou d'air système (100% AirGap est impossible à atteindre sur Terre par définition, c'est pourquoi CubeSat sujet est tellement intéressant) et il peut être fissuré .

Et vous pouvez créer un portefeuille froid à partir d'un téléphone ordinaire, par exemple via airgap.it - il n'y aura presque aucune différence avec Trezor ou Ledger !

Trezor est et sert de base à de nombreux clones de portefeuilles matériels, mais il n'a pas non plus de sécurité physique, c'est pourquoi il existe de nombreux services de "récupération de clé" que vous pouvez contacter pour l'extraction si vous en possédez un.

Il est important d'ajouter qu'aucun portefeuille froid matériel pour le moment n'est entièrement Open Source - pas même Trezor, Ledger et ceux que j'ai cités ci-dessus.

De plus, si vous allez sur leurs sites Web, vous pouvez voir qu'ils font partie de ces sociétés qui ne considèrent pas le rapport de bug-bounty "dans la portée" si vous avez un accès physique à l'appareil…

Inutile de dire qu'avec l'augmentation des attaques physiques, il est très important d'en tenir compte ?

III - Portefeuille cérébral

Il est souvent choisi car il est plus facile à retenir que la graine ou la clé privée, il est plus facile d'y mettre un poème que vous avez composé.

Ou créez votre propre graine à partir des surnoms de tous les animaux de compagnie que vous avez eus dans votre vie.

Les BrainWallets sont fondamentalement craquables instantanément car la gamme est minuscule github.com/ryancdotorg/brainflayer

Mais le problème était que les gens ne voulaient pas être créatifs et prenaient juste quelques paroles de chansons ou des mots simples comme "Bitcoin"...

Mais il existe des dizaines de bots avec d'énormes tables, où toutes ces options sont déjà transformées en clés privées et clés publiques et mempool est constamment surveillé au cas où l'un de ces portefeuilles serait rempli :

• badkeys.info
• playxo.com
• clés.lol

En même temps, à mon avis, nous ne devrions pas enterrer cette technologie - nous avons juste besoin de collecter un tel portefeuille, en utilisant l'entropie naturelle, par exemple, les données météorologiques ou le bruit atmosphérique pour déterminer les mots du dictionnaire, mais c'est un autre problème.

Cela dit, cette technologie semble vieille en 2022.

IV - Portefeuille papier

L'option la plus sûre serait d'utiliser une carte froide ou un "portefeuille papier".

Il est également préférable de stocker une clé privée plutôt qu'une phrase de départ sur le portefeuille papier. Au cas où vous vous demanderiez quelle est la distinction entre une clé privée et une phrase de départ.

Une clé privée donne accès à une seule adresse (compte), tandis qu'une phrase de départ donne accès à l'ensemble du portefeuille, qui peut contenir plusieurs adresses et clés privées.

En général, les portefeuilles en papier sont l'article le plus sûr que vous puissiez imaginer. Lors du stockage de la clé privée, ne stockez pas la graine. Différentes machines , séparé portefeuilles , et corriger multi-sig ...

Meilleures pratiques multi-signatures et vecteurs d'attaque :

• safehodl.github.io/multisig
• help.gnosis-safe.io/en/articles/4772567-what-safe-setup-devrais-je-utiliser
• blog.gnosis.pm/how-to-securely-manage-company-crypto-funds-with-gnosis-safe-multisig-8b3f67485985
• polygon.technology/blog/multsig-best-practices-to-maximize-transaction-security
• blog.logrocket.com/build-treasury-wallet-multisignature-gnosis-safe
• medium.com/gauntlet-networks/multisig-transactions-with-gnosis-safe-f5dbe67c1c2d
• blog.openzeppelin.com/backdooring-gnosis-safe-multisig-wallets/amp/
• blog.gnosis.pm/the-0xhabitat-multisig-got-drained-an-analysis-16ab74ddf42
• slowmist.medium.com/gnosis-safe-multisig-user-incident-analysis-9a270b8e1452

Suggérerait également la ségrégation des clés et le cycle des clés. Autrement dit, n'utilisez pas les mêmes clés que vos portefeuilles chauds pour la gestion multi-signatures et n'utilisez pas les mêmes clés pour toujours.

Prenez l'habitude de faire des audits trimestriels ou annuels de ces clés (et de leurs sauvegardes) car il est étonnamment facile d'en perdre la trace !

Vous devez le chiffrer en RSA ou utiliser Stéganographie , cachez-le aussi comme les pirates cachent des trésors. Vous pouvez lire à ce sujet ici!

Je tiens également à vous rappeler un service d'escroquerie, qui occupe néanmoins la première position dans la recherche Google de "générateur de portefeuille papier" et même de "générateur de portefeuille papier".

Le nom n'est pas imprimé intentionnellement, regardez simplement la capture d'écran.

Dans tous les cas, un tel service n'a qu'un seul objectif : voler vos crypto-monnaies en vous donnant des paires de clés pré-générées par le propriétaire du service :

Par conséquent, n'utilisez jamais un service en ligne pour générer des clés privées.

Seuls Bitcoin Core et Électrum peuvent être fiables s'ils ont été téléchargés à partir d'une source approuvée.

Et cette condition peut changer à tout moment : quelqu'un peut pirater les comptes GitHub des ingénieurs principaux ou simplement les payer pour un engagement "dommageable". Pour Ethereum , vous pouvez consulter quelque chose comme ce scénario .

Aussi, bitcoincore.org est le site officiel du projet Bitcoin Core tandis que bitcoin.org est un site Web et un projet distincts qui visent à fournir des informations générales sur Bitcoin ! Garde cela à l'esprit!

Enfin et surtout, il existe une chose telle que la détermination hiérarchique ( HD ) dans les paramètres de certains portefeuilles.

Cela semble effrayant, mais cela signifie que chaque fois que vous recevez de l'argent à une adresse, une nouvelle adresse propre sera générée à partir de la même clé privée. Et vous pouvez accidentellement envoyer de l'argent vers un portefeuille déjà inactif.

Il est préférable de désactiver cette fonction (si elle est activée), car il est facile de s'y perdre.

Enfin, voici ma compilation spéciale de quatre services crypto destinés à vous aider lorsque vous êtes déjà un homme mort :

• safient.io
• sarcophage.io
• safehaven.io
• killcord.io

Vérifier Cet article pour plus d'informations sur ce sujet sensible.

V - Qu'en est-il des Blockchains basées sur EVM ?

Pour Ethereum , vous pouvez consulter quelque chose comme ce scénario . Dans tous les cas, les variations seront insignifiantes si l'on parle du niveau de protection que nous avons précisé dans l'article.

La principale différence est que les portefeuilles Ethereum chauds ou "opérationnels" doivent respecter des directives de sécurité plus strictes, comme je l'ai détaillé dans mon Blog .

Cependant, si nous avons la somme d'argent que nous devons stocker sous la main et qu'elle est en jetons ou en ETH, ou par exemple en BSC, Avalanche ou Polygon - les différences avec celles décrites précédemment dans la section portefeuille papier seront mineures.

Il est important de dire que la cryptographie et entropie naturelle est une protection fiable. N'essayez en aucun cas de vous en faire " vanité " adresse - peu importe Quel réseau . Vous pouvez utiliser Blasphème2 , mais n'oubliez pas l'histoire avec Blasphème1 , Laissez-moi vous rappeler à ce sujet.

Si vous optez pour un facteur de forme plus grand, vous pouvez utiliser l'échange de code QR pour la solution d'entrefer ultime, mais gardez à l'esprit :

Si vous recherchez quelque chose de spécifique au web3 ou à GameFi, comme un Portefeuille de contrat intelligent EVM (ou non-EVM) , vérifier Cadre ou Argent.xyz et certains portefeuilles non dépositaires alignés sur la philosophie web3.

N'oubliez pas qu'un portefeuille intelligent moyen est un portefeuille Ethereum régi par un contrat intelligent plutôt que par une clé privée.

Dans le même temps, de nombreuses solutions multi-cig sont intrinsèquement de tels portefeuilles. L'abstraction de compte est l'une de leurs principales caractéristiques, alors assurez-vous de tout vérifier sur leur site Web !

Pour résumer, je ne recommande pas d' adopter l'une des techniques de portefeuille intelligent ou de portefeuille de contrat intelligent ci-dessus pour le stockage à froid.

Métamasque (alternatives : myetherwallet.com ou cette liste), qui est un portefeuille non dépositaire, combiné avec Airgap.it serait une bien meilleure solution ! Voici une agréable manuel sur ce sujet. Vérifier ce guide aussi bien.

N'oubliez pas de configurer un fournisseur RPC sécurisé !

• securerpc.com
• www-securerpc.netlify.app

Vérifier ce manuel pour un portefeuille MetaMask. Utilisez toujours un fournisseur VPN fiable - mullvad.net est un choix parfait.

Je ne vous demande pas non plus de vous conformer à tout cela, mais vous devez vous rappeler la règle principale dans ce cas particulier :

• Votre niveau d'OpSec dépend généralement de votre modèle de menace et de l'adversaire auquel vous êtes confronté. Il est donc difficile de définir la qualité de votre OpSec.

Si nous voulons enfin donner aux gens la possibilité d'être leur propre banque, nous devons réaliser que dans ce cas, les gens doivent pouvoir remplacer tous ces services et actions pour lesquels les banques traditionnelles obtiennent de l'argent.

Oui, il semble que ce soit un véritable champ de mines là-bas. Gardez la foi. Apprenez les dernières techniques d'attaque, feuilles de triche chapeau blanc , et défenses .

Seule la connaissance peut vaincre la connaissance des criminels. Dans ce match de boxe intellectuelle, les plus préparés gagnent, et nous voulons que ce soit vous !

Le support est très important pour moi, avec lui je peux passer moins de temps au travail et faire ce que j'aime - éduquer les utilisateurs DeFi & Crypto !

Je n'ai pas autant d'argent que le personnage fictif de notre essai, mais votre soutien m'aide à exister 🙂

Si vous souhaitez soutenir mon travail, vous pouvez m'envoyer un don à l'adresse :

• 0xB25C5E8fA1E53eEb9bE3421C59F6A66B786ED77A ou officiercia.eth — ETH, BSC, Polygone, Optimisme, Zk, Fantom, etc.
• 17Ydx9m7vrhnx4XjZPuGPMqrhw3sDviNTU -BTC
• Monero XMR