Saudações, queridos leitores! Frequentemente me perguntam qual é a melhor maneira confiável de manter a criptomoeda, seja Bitcoin, Monero, tokens ERC20 ou DOGE.

Neste ensaio, gostaria de oferecer a solução para essa questão; infelizmente, não há respostas claras e simples!

Também gostaria de agradecer aos autores de todos os serviços que foram usados como exemplos neste ensaio, bem como aos autores de todos os recursos que utilizei como referência; Continue com o trabalho fantástico!

I. Introdução

Então, antes de mais nada, temos que decidir, para que precisamos disso? Qualquer um pode usar o Ethereum com segurança, mesmo com Monero , em que você deve ter em mente a maneira menos regras de segurança.

Se você precisa de um anonimato à prova de balas ou ultra privacidade, leia este incrível ultra guia hardcore . Leia meu artigo recente dedicado a um «Timing Attack» ou « Ataque através de uma amostra representativa ».

Você deve se lembrar da regra principal:

Seu nível de OpSec geralmente depende de seu modelo de ameaça e de qual adversário você está enfrentando. Portanto, é difícil definir o quão bom é o seu OpSec.

O fato é que se você precisar de uma certa carteira criptográfica para trabalhar, apostar, pagar seus funcionários e assim por diante - ela é considerada "operacional" ou "quente", portanto, construiremos conscientemente sua proteção com base em ameaças objetivas , você pode aprender sobre isso em meus artigos:

• oficialcia.espelho.xyz
• hackernoon.com/u/officercia
• cia.start.me

Mas hoje, gostaria de focar nossa conversa no fato de que exigimos uma solução verdadeiramente segura. Para nos ajudar a visualizá-lo, deixe-me formular o tópico do ensaio de hoje da seguinte maneira:

"De repente, você recebeu US$ 1 bilhão em qualquer criptomoeda e ainda não quer investir, mas quer economizar com segurança a maior parte usando criptomoedas."

Então, quais são nossas opções?

Carteiras de hardware frias, carteiras cerebrais e carteiras de papel são as mais comuns. Eu sinto que as técnicas "projetadas" também ganharam o direito de existir, mas vamos nos concentrar na primeira, que é uma carteira de hardware fria.

A seguir, falarei sobre as formas que considero seguras e indico para minhas clientes!

II - Carteiras Frias

Muitas vezes me perguntam por que em meus artigos recentes: sobre o armazenamento seguro de criptomoedas , sobre um ataque a discos rígidos antigos e esquecidos e em como os hackers são pegos Eu não recomendo usar dispositivos Trezor ou Ledger para um armazenamento frio principal.

…no espaço ninguém pode ouvir você gritar …

Então escolhi os dois dispositivos mais populares e não tinha suposições anteriores sobre eles.

Acredito que nenhuma tecnologia é inerentemente prejudicial; ao contrário, existem diversas condições para uso seguro e razões para usá-lo.

Então, vamos voltar ao assunto e examinar esses dois exemplos através de duas lentes técnicas separadas. Posso obter informações do seu Trezor ou Ledger, se você tiver um.

Mas haverá apenas algumas tentativas. Por isso nunca recomendei Trezor ou Ledger... Se o aparelho cair nas mãos de alguém, você está ferrado.

Eles têm abordagens diferentes, você pode ler mais sobre eles aqui e aqui , mas a essência é basicamente a mesma. Há um ótimo vídeo novo sobre este tópico:

Confira a classificação da carteira: walletscrutiny.com

Se você possui algo assim dispositivo , é improvável que seja possível restaurar qualquer coisa sem a participação dele. Porque existem todos os tipos de recursos legais e à prova de balas.

Confira essas carteiras de hardware bastante interessantes gridplus.io/products/grid-lattice1 ( 2 ) & este BitLox dispositivo

Em essência, cold wallet é apenas um pseudo- AirGap sistema (100% AirGap é impossível de alcançar na Terra por definição, é por isso que CubeSat tópico é tão interessante) e pode ser rachado .

E você pode fazer uma carteira fria com um telefone comum, por exemplo, via airgap.it - quase não haverá diferença de Trezor ou Ledger!

Trezor é e serve como base para muitos clones de carteira de hardware por aí, mas também não tem segurança física, e é por isso que existem vários serviços de "recuperação de chave" que você pode solicitar para extração, se possuir um.

É importante acrescentar que nenhuma carteira fria de hardware no momento é totalmente de código aberto - nem mesmo Trezor, Ledger e as que citei acima.

Além disso, se você for aos sites deles, poderá ver que uma dessas empresas não considera o relatório de bug-bounty "dentro do escopo" se você tiver acesso físico ao dispositivo…

Escusado será dizer que, com o aumento dos ataques físicos, é muito importante ter isto em conta?

III - Carteira Cerebral

Muitas vezes é escolhido porque é mais fácil de lembrar do que a semente ou a chave privada, é mais fácil colocar lá algum poema que você inventou.

Ou crie sua própria semente com os apelidos de todos os animais de estimação que você já teve na vida.

BrainWallets são basicamente instantaneamente quebráveis, já que o alcance é pequeno github.com/ryancdotorg/brainflayer

Mas o problema era que as pessoas não queriam ser criativas e apenas pegaram algumas letras de músicas ou palavras simples como "Bitcoin"...

Mas existem dezenas de bots com mesas enormes, onde todas essas opções já estão transformadas em chaves privadas e chaves públicas e o mempool é constantemente monitorado caso uma dessas carteiras seja recarregada:

• badkeys.info
• playxo.com
• keys.lol

Ao mesmo tempo, na minha opinião, não devemos enterrar essa tecnologia - só precisamos coletar essa carteira, usando entropia natural, por exemplo, dados meteorológicos ou ruído atmosférico para determinar palavras do dicionário, mas isso é outro problema.

Com tudo dito, esta tecnologia parece velha em 2022.

IV - Carteira de Papel

A opção mais segura seria usar um cartão frio ou uma "carteira de papel".

Também é preferível armazenar uma chave privada em vez de uma frase inicial na carteira de papel. Caso você esteja se perguntando qual é a diferença entre uma Chave Privada e uma Seed Phrase.

Uma chave privada concede acesso a um único endereço (conta), enquanto uma frase inicial concede acesso a toda a carteira, que pode conter vários endereços e chaves privadas.

Em geral, as carteiras de papel são o item mais seguro que você pode imaginar. Ao armazenar a chave privada, não armazene a semente. Máquinas diferentes , separado carteiras , e correto assinatura múltipla ...

Melhores práticas e vetores de ataque Multi-Sig:

• safehodl.github.io/multisig
• help.gnosis-safe.io/en/articles/4772567-what-safe-setup-should-i-use
• blog.gnosis.pm/how-to-security-manage-company-crypto-funds-with-gnosis-safe-multisig-8b3f67485985
• polygon.technology/blog/multsig-best-practices-to-maximize-transaction-security
• blog.logrocket.com/build-treasury-wallet-multisignature-gnosis-safe
• medium.com/gauntlet-networks/multisig-transactions-with-gnosis-safe-f5dbe67c1c2d
• blog.openzeppelin.com/backdooring-gnosis-safe-multisig-wallets/amp/
• blog.gnosis.pm/the-0xhabitat-multisig-got-drained-an-analysis-16ab74ddf42
• slowmist.medium.com/gnosis-safe-multisig-user-incident-analysis-9a270b8e1452

Também sugeriria segregação de chave e ciclo de chave também. Ou seja, não use as mesmas chaves de suas carteiras quentes para gerenciamento de assinaturas múltiplas e não use as mesmas chaves para sempre.

Adquira o hábito de talvez auditorias trimestrais ou anuais dessas chaves (e seus backups), porque é surpreendentemente fácil perdê-las!

Você deve criptografá-lo com RSA ou usar Esteganografia , também o esconda como os piratas escondem tesouros. Você pode ler sobre isso aqui!

Também quero lembrá-lo de um serviço fraudulento que, no entanto, ocupa a primeira posição na pesquisa do Google por "gerador de carteira de papel" e até "gerador de carteira de papel".

O nome não é impresso intencionalmente, basta olhar para a captura de tela.

De qualquer forma, esse serviço tem apenas um objetivo - roubar suas criptomoedas, fornecendo a você pares de chaves pré-gerados pelo proprietário do serviço:

Como resultado, nunca utilize um serviço online para gerar chaves privadas.

Apenas Bitcoin Core e eletro podem ser confiáveis se forem baixados de uma fonte aprovada.

E essa condição pode mudar a qualquer momento: alguém pode hackear as contas do GitHub dos engenheiros principais ou simplesmente pagá-los por um commit "prejudicial". Para Ethereum , você pode verificar algo como este roteiro .

Também, bitcoincore.org é o site oficial do projeto Bitcoin Core enquanto bitcoin.org é um site e projeto separado que visa fornecer informações gerais sobre o Bitcoin! Tenha isso em mente!

Por último, mas não menos importante, existe uma determinação hierárquica ( HD ) nas configurações de algumas carteiras.

Parece assustador, mas significa que toda vez que você enviar dinheiro para um endereço, um novo endereço limpo será gerado a partir da mesma chave privada. E você pode enviar dinheiro acidentalmente para uma carteira já inativa.

É melhor desligar esta função (se for habilitada), pois é fácil se confundir com ela.

Por fim, aqui está minha compilação especial de quatro serviços criptográficos destinados a ajudá-lo quando você já é um homem morto:

• safient.io
• sarcophagus.io
• safehaven.io
• killcord.io

Verificação de saída Este artigo para obter mais informações sobre este tópico delicado.

V - O que há para Blockchains baseados em EVM?

Para Ethereum , você pode verificar algo como este roteiro . De qualquer forma, as variações serão insignificantes se estivermos falando do nível de proteção que especificamos no artigo.

A principal diferença é que as carteiras Ethereum quentes ou "operacionais" devem aderir a diretrizes de segurança mais rígidas, conforme detalhou em meu blogue .

No entanto, se tivermos a quantidade de dinheiro que precisamos armazenar em mãos e for em tokens ou ETH, ou por exemplo em BSC, Avalanche ou Polygon - as diferenças com as descritas anteriormente na seção de carteira de papel serão menores.

É importante dizer que a criptografia e entropia natural é uma proteção confiável. De forma alguma tente se tornar algum " vaidade " Morada - não importa o que rede . Você pode usar Palavrões2 , mas não se esqueça da história com Palavrões1 , Deixe-me lembrá-lo sobre isso.

Se você optar por um fator de forma maior, poderá usar a troca de código QR para obter a melhor solução de entreferro, mas lembre-se:

Se você está procurando algo específico para web3 ou GameFi, como um Carteira de contrato inteligente EVM (ou não EVM) , Confira quadro ou Argent.xyz e algumas carteiras não custodiais alinhadas ao web3-ethos.

Lembre-se de que uma carteira inteligente média é uma carteira Ethereum regida por um contrato inteligente em vez de uma chave privada.

Ao mesmo tempo, muitas soluções multi-cig são inerentemente tais carteiras. A abstração da conta é um dos principais recursos, portanto, verifique novamente tudo no site deles!

Para resumir, não recomendo a adoção de nenhuma das técnicas de carteira inteligente ou carteira de contrato inteligente acima para armazenamento a frio.

Metamáscara (alternativas: myetherwallet.com ou isto list), que é uma carteira sem custódia, combinada com Airgap.it seria uma solução muito melhor! Aqui está um legais manual sobre este tema. Verificação de saída este guia também.

Não se esqueça de configurar um provedor RPC seguro!

• securerpc.com
• www-securerpc.netlify.app

Verificação de saída este manual para uma carteira MetaMask. Sempre use um provedor de VPN confiável - mulvad.net é uma escolha perfeita.

Também não estou pedindo que cumpra tudo isso, mas lembre-se da regra principal neste caso específico:

• Seu nível de OpSec geralmente depende de seu modelo de ameaça e de qual adversário você está enfrentando. Portanto, é difícil definir o quão bom é o seu OpSec.

Se finalmente queremos dar às pessoas a oportunidade de serem seu próprio banco, devemos perceber que, neste caso, as pessoas devem ser capazes de substituir todos os serviços e ações pelos quais os bancos tradicionais obtêm dinheiro.

Sim, parece que ali é um verdadeiro campo minado. Tenha fé. Aprenda as mais recentes técnicas de ataque, folhas de dicas de chapéu branco , e defesas .

Só o conhecimento pode derrotar o conhecimento dos criminosos. Nesta luta de boxe intelectual vence o mais preparado, e queremos que seja você!

O suporte é muito importante para mim, com ele posso passar menos tempo no trabalho e fazer o que amo - educar usuários DeFi & Crypto!

Não tenho tanto dinheiro quanto o personagem fictício do nosso ensaio, mas seu apoio me ajuda a existir 🙂

Se você quiser apoiar meu trabalho, pode me enviar uma doação para o endereço:

• 0xB25C5E8fA1E53eEb9bE3421C59F6A66B786ED77A ou oficialcia.eth — ETH, BSC, Polígono, Otimismo, Zk, Fantom, etc
• 17Ydx9m7vrhnx4XjZPuGPMqrhw3sDviNTU - BTC
• 4AhpUrDtfVSWZMJcRMJkZoPwDSdVG6puYBE3ajQABQo6T533cVvx5vJRc5fX7sktJe67mXu1CcDmr7orn1CrGrqsT3ptfds - Monero XMR