Seed-фраза (мнемонический код) — набор из 12, 18 или 24 английских слов. Этот код является одним из базовых этапов генерации древа приватных и публичных ключей вашего криптокошелька, которые дают полный доступ ко всем вашим монетам и токенам в разных блокчейнах, а также позволяют проводить с ними любые операции.
Вам seed-фраза нужна для восстановления доступа ко всем вашим криптоактивам в случае утери, поломки или кражи кошелька. Вроде бы, все удобно, просто и логично. Есть только одно большое НО! Вашей seed-фразой можете воспользоваться не только вы, блокчейнам все равно кто ее введет и получит доступ к криптоактивам, которые на ней завязаны.
Криптопользователи придумали множество способов защитить сид-фразу от того, кто ее украдет или найдет. Ее шифруют, добавляют к ней лишнее слово, делят на части и хранят в разных местах. Однако у всех этих методов есть крупный недостаток: они неудобны. А человек — существо, в большинстве своем, беспечное и энергоэффективное (т.е. ленивое). Поэтому очень многие владельцы криптовалюты просто записывают ее на бумажке. И не думают о том, что листочек с заветными словами легко может повредиться, потеряться, попасть не в те руки. Есть и те, кто отправляют ее себе на email или хранят в текстовом файле в iCloud. Тут все еще грустнее. Сейчас мы знаем множество таких случаев, и новые случаются практически каждый день.
Случаи потери сид-фразы
- Актер Билл Мюррей собрал 119,2 ETH ($185 тыс.) на благотворительность в рамках аукциона NFT. Спустя всего несколько часов после завершения благотворительной акции хакеру удалось получить доступ к личному кошельку Мюррея. Злоумышленнику удалось успешно похитить все доходы от благотворительного аукциона NFT ($185 тыс.) и скрыться с выручкой. После этого хакер попытался украсть некоторые из NFT Мюррея, которых у него много. Хакер смог получить доступ к кошельку благодаря тому, что его сид-фраза была скомпрометирована.
- 3 августа 2022 года в блокчейн-проекте Solana произошла хакерская атака, в результате которой было взломано более 9000 кошельков пользователей. Токены SOL и SPL были переведены со взломанных кошельков клиентов на кошельки злоумышленников. Общая сумма выведенных активов составила более 8 миллионов долларов. Массовый взлом кошельков Solana произошел после того, как централизованные серверы хранили незашифрованные сид фразы, отправленные мобильным приложением Slope Wallet, делая их видимыми для любого, кто имеет доступ к серверу, показал предварительный вывод аудиторской компании OtterSec, занимающейся аудитом блокчейна.
- Бо Шен, партнер-основатель венчурной компании Fenbushi Capital, в ноябре 2022 поделился в Twitter новостью о том, что хакеры украли из его личного кошелька криптовалюту на сумму до 42 миллионов долларов. По словам Шена, кража произошла 10 ноября, причем большая часть похищенных средств — 38 миллионов долларов — пришлась на стейблкойн USDC. Компания SlowMist, специализирующаяся на безопасности блокчейна, заявила, что ее анализ показал, что хакерам удалось скомпрометировать seed-фразу кошелька Шена.
- В 2020 году предприниматель, инвестор и любитель криптовалюты Алистар Милн запустил в Твиттере конкурс по взлому сид-фразы от его кошелька, где хранился 1 BTC. По задумке автора предполагалось, что он будет время от времени выкладывать подсказки — первые слова сид-фразы — в Twitter , но его сид-фраза была разгадана раньше чем он ожидал. Разработчик Джон Кантрелл вычислил сид-фразу методом подбора после того, как Милн выложил первые 7 слов: он создал программу, которая тестировала несколько миллионов сид-фраз в час, пытаясь подобрать нужную. К удивлению многих, на метод подбора ушло всего 30 часов и Джон Кантрелл стал счастливым обладателем 1 BTC.
- В январе 2020 года пользователь холодного кошелька Ledger заявил о потере криптовалюты ZCash в эквиваленте 16 тысяч долларов. Он установил себе расширение Ledger Secure на браузер Google Chrome. Ledger Secure не имеет ничего общего с компанией Ledger. Вместо выполнения полезных действий программа попросту передает сид-фразу пользователя злоумышленнику, если пользователь уже вводил ее на компьютере.
Мы перечислили вам крупнейшие известные случаи, когда компрометация сид-фразы приводила к утечке криптоактивов. Но количество таких случаев неуклонно растет. Только по итогам 2022 года суммарный объем краж цифровых активов с различных блокчейн-платформ составил $3,5 млрд, по подсчетам экспертов аналитической компании Chainalysis. Были поставлены очередные антирекорды, как по объемам похищенных средств, так и по числу инцидентов.
Мошенники не останавливаются ни перед чем, когда речь идет о краже криптовалюты. Они могут получить доступ к сид-фразе с помощью социальной инженерии, взлома аккаунтов или обыска. И при этом вы можете даже не подозревать, что сид-фраза давно в руках злоумышленников и они только и ждут, когда на адресе вашего кошелька появятся средства.
Как защитить свои активы
Чтобы избежать случаев утери или кражи сид-фразы, выбирайте модель холодного кошелька, в котором бэкап приватного ключа не строится на сид-фразе. Как, например, Tangem Wallet, который полностью позволяет избежать рисков, связанных с хранением сид-фразы. Вместо этого ключ клонируется на другие карты комплекта. В случае потери или кражи кошелька, ваши активы все равно будут с вами, ведь у вас останется 2 или 3 дополнительных карты-кошелька. Одна карта действует как основной криптокошелек, вторую карту можно надежно спрятать, третью — оставить в сейфе или отдать на хранение членам семьи. Даже если основная карта будет потеряна или украдена, не страшно — она защищена паролем. Взломать пароль перебором не получится —при неверном вводе пароля задержка до следующей попытки растет, и так до 45 секунд.
Если же без сид-фразы вам не обойтись, защитите ее самым надежным образом. Существуют различные автономные устройства, предназначенные для хранения сид-фразы, безопасность которой все равно станет вашей ответственностью. И соблюдайте элементарные правила криптогигиены:
- никогда не храните свою сид-фразу в Интернете;
- никогда не вводите свою сид-фразу в любое приложение, не убедившись в его безопасности;
- никогда никому не передавайте свою сид-фразу;
- не теряйте свою сид-фразу.
Вот, вроде бы, и все по теме. А каким кошельком пользоваться, с сид-фразой или без нее, выбор за вами. В любом случае, безопасность ваших криптоактивов — ваша ответственность.