Seed-фраза (мнемонический код) — набор из 12, 18 или 24 английских слов. Этот код является одним из базовых этапов генерации древа приватных и публичных ключей вашего криптокошелька, которые дают полный доступ ко всем вашим монетам и токенам в разных блокчейнах, а также позволяют проводить с ними любые операции.
Вам seed-фраза нужна для восстановления доступа ко всем вашим криптоактивам в случае утери, поломки или кражи кошелька. Вроде бы все удобно, просто и логично. Есть только одно большое НО! Вашей seed-фразой можете воспользоваться не только вы, блокчейнам все равно, кто ее введет и получит доступ к криптоактивам, которые на ней завязаны.
Криптопользователи придумали множество способов защитить seed-фразу от того, кто ее украдет или найдет. Ее шифруют, добавляют к ней лишнее слово, делят на части и хранят в разных местах. Однако у всех этих методов есть крупный недостаток: они неудобны. А человек — существо в большинстве своем беспечное и энергоэффективное (т. е. ленивое). Поэтому очень многие владельцы криптовалюты просто записывают фразу на бумажке. И не думают о том, что листочек с заветными словами легко может повредиться, потеряться, попасть не в те руки. Есть и те, кто отправляют ее себе на email или хранят в текстовом файле в iCloud. Тут все еще грустнее. Уже сейчас мы знаем множество таких случаев, да и новые случаются практически каждый день.
Случаи потери seed-фразы
- Актер Билл Мюррей собрал 119,2 ETH ($185 тыс.) на благотворительность в ходе аукциона NFT. Спустя всего несколько часов после завершения благотворительной акции хакеру удалось получить доступ к личному кошельку Мюррея. Злоумышленник успешно похитил все доходы от благотворительного аукциона NFT ($185 тыс.) и скрылся с выручкой. После этого хакер попытался украсть некоторые из NFT Мюррея, которых у него много. Хакер смог получить доступ к кошельку благодаря тому, что seed-фраза владельца была скомпрометирована.
- 3 августа 2022 года на блокчейн-проект Solana была организована хакерская атака, во время которой преступники взломали более 9000 кошельков пользователей. Токены SOL и SPL были переведены со взломанных кошельков клиентов на кошельки злоумышленников. Общая сумма выведенных активов составила более 8 миллионов долларов. Массовый взлом кошельков Solana произошел в то время, когда централизованные серверы хранили незашифрованные seed-фразы, отправленные мобильным приложением Slope Wallet, делая их видимыми для любого, кто имеет доступ к серверу, показал предварительный вывод аудиторской компании OtterSec, занимающейся аудитом блокчейна.
- Бо Шен, партнер-основатель венчурной компании Fenbushi Capital, в ноябре 2022 поделился в Twitter новостью о том, что хакеры украли из его личного кошелька криптовалюту на сумму порядка 42 миллионов долларов. По словам Шена, кража произошла 10 ноября, причем большая часть похищенных средств — 38 миллионов долларов — пришлась на стейблкойн USDC. Компания SlowMist, специализирующаяся на безопасности блокчейна, заявила, что, согласно ее анализу, хакерам удалось скомпрометировать seed-фразу кошелька Шена.
- В 2020 году предприниматель, инвестор и любитель криптовалюты Алистар Милн запустил в Твиттере конкурс по взлому seed-фразы от его кошелька, где хранился 1 BTC. Автор намеревался время от времени выкладывать подсказки — первые слова seed-фразы — в Twitter, но фраза была разгадана раньше, чем он ожидал. Разработчик Джон Кантрелл вычислил seed-фразу методом подбора после того, как Милн выложил первые семь слов: он создал программу, которая тестировала несколько миллионов seed-фраз в час, пытаясь определить нужную. К удивлению многих, на метод подбора ушло всего 30 часов, и Джон Кантрелл стал счастливым обладателем 1 BTC.
- В январе 2020 года пользователь холодного кошелька Ledger заявил о потере криптовалюты ZCash на сумму 16 тысяч долларов. Он установил себе расширение Ledger Secure на браузер Google Chrome. Ledger Secure не имеет ничего общего с компанией Ledger. Вместо выполнения полезных действий программа попросту передает seed-фразу пользователя злоумышленнику, если пользователь уже вводил ее на компьютере.
Мы перечислили вам крупнейшие известные случаи, когда компрометация seed-фразы приводила к утечке криптоактивов. Но количество таких случаев неуклонно растет. Только по итогам 2022 года суммарный объем краж цифровых активов с различных блокчейн-платформ составил $3,5 млрд — по подсчетам экспертов аналитической компании Chainalysis. Были поставлены очередные антирекорды как по объемам похищенных средств, так и по числу инцидентов.
Мошенники не останавливаются ни перед чем, когда речь идет о краже криптовалюты. Они способны получить доступ к seed-фразе с помощью социальной инженерии, взлома аккаунтов или обыска. И при этом вы можете даже не подозревать, что seed-фраза давно в руках злоумышленников, и они только и ждут, когда на адресе вашего кошелька появятся средства.
Как защитить свои активы
Чтобы избежать случаев утери или кражи seed-фразы, выбирайте модель холодного кошелька, в котором бэкап приватного ключа не строится на seed-фразе. Как, например, Tangem Wallet, который полностью позволяет избежать рисков, связанных с хранением seed-фразы. Вместо этого ключ клонируется на другие карты комплекта. В случае потери или кражи кошелька ваши активы все равно будут с вами, ведь у вас останется 2 или 3 дополнительных карты-кошелька. Одна карта действует как основной криптокошелек, вторую карту можно надежно спрятать, третью — оставить в сейфе или отдать на хранение членам семьи. Даже если основная карта будет потеряна или украдена, не страшно — она защищена паролем. Взломать пароль перебором не получится — при неверном вводе пароля задержка до следующей попытки растет и в итоге составит 45 секунд.
Если же без seed-фразы вам не обойтись, защитите ее самым надежным образом. Существуют различные автономные устройства, предназначенные для хранения seed-фразы, безопасность которой все равно станет вашей ответственностью. И соблюдайте элементарные правила криптогигиены:
- никогда не храните свою seed-фразу в Интернете;
- никогда не вводите свою seed-фразу в любое приложение, не убедившись в его безопасности;
- никогда никому не передавайте свою seed-фразу;
- не теряйте свою seed-фразу.
Вот вроде бы и все по теме. А каким кошельком пользоваться, с seed-фразой или без нее, — выбор за вами. В любом случае, безопасность ваших криптоактивов — ваша ответственность.