Скомпрометированный ключ ощущается как наихудший момент в самостоятельном хранении. Это не так — но это чрезвычайная ситуация, и то, как вы отреагируете в ближайшие часы, важнее, чем то, что вы по этому поводу чувствуете. В этой статье разбирается, что на самом деле означает компрометация в кошельке с мультиподписью 2 из 2, как её распознать и как заново защитить средства, сменив ключи.
Если вы ещё не прочитали Восстановление 101: что вам действительно нужно для восстановления кошелька, начните с неё. Там объясняется разница между ключами, сид-фразами и метаданными — словарь, который остальная часть этой статьи подразумевает.
Один скомпрометированный ключ — это не украденные средства
Вот успокаивающий факт, сказанный прямо: в мультиподписи 2 из 2 один скомпрометированный ключ не позволяет злоумышленнику переместить ваши деньги.
SSP использует схему 2 из 2 — два независимых ключа на двух отдельных устройствах, и для авторизации любой транзакции требуются обе подписи. Один ключ находится в браузерном расширении; другой — на вашем телефоне, в SSP Key. Если вам не до конца ясно, как работает это разделение, Что такое мультиподпись 2 из 2 разбирает это подробно.
Практическое следствие прямое. Злоумышленник, укравший, выманивший фишингом или извлёкший один-единственный ключ, держит ровно половину нужного. Он не может подписать действительную транзакцию. Он не может опустошить ваш кошелёк. У него есть ключ, который сам по себе ничего не подписывает.
В этом и есть весь смысл мультиподписи, и именно поэтому один скомпрометированный ключ — это событие, которое можно пережить, а не катастрофа. В кошельке с одним ключом украденный ключ — это украденные средства, мгновенно и необратимо. С 2 из 2 вы получаете то, чего у владельца одного ключа никогда нет: время среагировать.
Почему это всё равно чрезвычайная ситуация
Спокойствие — это не самоуспокоенность. Скомпрометированный ключ по-настоящему срочен по одной причине: он лишает вас запаса безопасности.
В кошельке 2 из 2 встроен второй фактор. В момент, когда один ключ скомпрометирован, эта защита исчезает. Теперь вы фактически пользуетесь кошельком с одним ключом — только злоумышленник, возможно, уже держит этот единственный ключ. Если ваш второй ключ затем будет скомпрометирован, потерян или выманен фишингом, у злоумышленника окажутся обе половины, и ваши средства пропадут.
Думайте об этом как об израсходованном резерве. Мультиподпись дала вам два замка. Злоумышленник только что вскрыл один. Кошелёк сегодня всё ещё в безопасности, но запаса у него больше нет. Задача теперь — восстановить резерв, прежде чем что-либо коснётся второго ключа.
Есть и более тихий риск. Злоумышленник, держащий один действительный ключ, может не сдаться. Он может сменить тактику — выманивать у вас фишингом вторую подпись, присылать вредоносный запрос на транзакцию, чтобы вы её одобрили, или применять социальную инженерию к каналам поддержки. Компрометация — это не единичное событие; это начало кампании. Быстрые действия эту кампанию прекращают.
Как распознать скомпрометированный ключ
Компрометация редко объявляет о себе. Обычно она проявляется как закономерность, которую можно научиться замечать. Самые частые из них:
- Вредоносное ПО на устройстве. Ваш компьютер или телефон ведёт себя странно — неожиданные всплывающие окна, браузерные расширения, которые вы не устанавливали, интерфейс кошелька, запрашивающий вашу сид-фразу, чего раньше никогда не было. Вредоносное ПО, добравшееся до устройства, на котором живёт ключ, следует рассматривать как компрометацию этого ключа.
- Транзакция, одобренная из-за фишинга. Вы одобрили транзакцию, которая оказалась не той, что вы думали — поддельная страница «подтвердите ваш кошелёк», вредоносное подключение к dApp, транзакция, детали которой не совпадали с экраном, который вы ожидали. Если вы что-то подписали под ложным предлогом, считайте, что подписавший ключ раскрыт.
- Потерянное, но не стёртое устройство. Вы потеряли телефон или ноутбук и не можете подтвердить, что он был заблокирован, зашифрован или удалённо стёрт. Невозвращённое устройство, на котором хранится ключ, — это ключ в чужих руках, пока не доказано обратное.
- Утёкшая резервная копия. Фотография вашей сид-фразы, синхронизированная с облачным аккаунтом, файл резервной копии на общем диске, записанная фраза, которую мог увидеть кто-то ещё. Всё, что раскрывает материал, из которого выведен ключ, — это компрометация этого ключа.
Честная проверка проста: если вы не можете уверенно сказать, что ключ по-прежнему принадлежит только вам, считайте его скомпрометированным. Самостоятельное хранение вознаграждает действие по подозрению, а не ожидание доказательств. Подробнее о мышлении, стоящем за этим, см. Почему самостоятельное хранение важно сейчас.
Действуйте быстро: первый час
Когда вы подозреваете компрометацию, порядок приоритетов фиксирован.
- Изолируйте подозрительное устройство. Отключите его от интернета. Не «проверяйте» на нём кошелёк. Не входите в систему, чтобы посмотреть. Каждое действие на скомпрометированном устройстве может раскрыть больше.
- Подтвердите средства с помощью чистого ключа. Используйте другое устройство — то, которому вы доверяете — чтобы проверить балансы. В 2 из 2 вы по-прежнему можете видеть свой кошелёк; вы просто пока ничего не авторизуете.
- Ничего не одобряйте. Это критический час для фишинговых продолжений. Считайте каждый запрос на транзакцию, сообщение поддержки или подсказку о «срочной проверке» враждебными, пока ваш кошелёк не будет защищён заново.
- Спланируйте смену ключей. Решите, какой ключ скомпрометирован и как вы его замените. Не импровизируйте в середине процесса.
Скорость важна, потому что злоумышленник состязается с вами за второй ключ. Чем быстрее вы смените ключи, тем меньше его окно. Общее руководство по реагированию на инциденты — например, Руководство NIST по обработке инцидентов компьютерной безопасности (SP 800-61) — указывает на то же самое в корпоративном контексте: сдерживание прежде искоренения, а искоренение прежде восстановления. Этот порядок не произволен.
Как смена ключей заново защищает кошелёк
Смена ключей — это и есть исправление. Принцип: скомпрометированный ключ навсегда сожжён. Вы не «очищаете» его и не доверяете ему снова. Вы заменяете его и перемещаете средства в кошелёк, которого злоумышленник никогда не касался.
Конкретно это означает:
- Создать новый кошелёк на устройствах, которым вы доверяете — на устройствах, проверенных на вредоносное ПО, или, в идеале, на полностью чистом устройстве. Это даёт два новых ключа и новую пару 2 из 2, никак не связанную со скомпрометированной.
- Переместить средства из старого кошелька в новый. Поскольку вы по-прежнему контролируете оба ключа старого 2 из 2, вы всё ещё можете подписать этот перевод — злоумышленник, держащий лишь один ключ, не может ни остановить его, ни опередить, перенаправив на свой адрес.
- Полностью вывести старый кошелёк из обращения. Как только средства перемещены, старый кошелёк — и скомпрометированный ключ внутри него — мёртв. В нём ничего нет, и он не подписывает ничего значимого.
- Заново настроить резервные копии. У вашего нового кошелька новая сид-фраза BIP39. Сделайте её резервную копию с той же дисциплиной, что и при новой настройке, и убедитесь, что утёкшая копия, с которой начался этот инцидент, уничтожена.
Причина, по которой это работает, та же, по которой компрометацию удалось пережить: у злоумышленника никогда не было обоих ключей. Это дало вам подписное большинство, которое злоумышленник не мог перебить, — достаточно времени, чтобы эвакуироваться в безопасность. Смена ключей превращает временное преимущество в постоянное.
Главный вывод
Скомпрометированный ключ — это чрезвычайная ситуация, а не катастрофа. Архитектура 2 из 2 покупает вам время, которого кошелёк с одним ключом никогда не даёт — но это время есть запас, который нужно расходовать обдуманно, а не повод расслабиться. Рано распознавайте признаки компрометации, быстро изолируйте, отклоняйте каждую подсказку об одобрении и переходите на чистый кошелёк прежде, чем второй ключ окажется под угрозой. Сделайте это — и украденный ключ останется ровно тем, чем его делает мультиподпись: половиной замка, который ничего не открывает.
