A papíralapú bitcoin tárca kockázatai a BitcoinPaperWallet példáján
A BitcoinPaperWallet.com oldalát nagyon sokan használják azok közül, akik nem igazán szeretnék egy kriptotőzsdén vagy éppenséggel online tárcában tárolni bitcoinjaikat. Az oldal kezdőlapjának első mondata szerint nagyon gyakori, hogy ezen oldalakat feltörik és akkor elveszítjük a pénzünket. A papíralapú bitcoin tárca a nyilvános és titkos kulcsokat tartalmazó dokumentum. A papíralapú tárca előnye, hogy a kulcsok nem digitálisan vannak tárolva. Tehát nullára csökken a kibertámadás esélye, illetve a számítógép meghibásodásából fakadó bármiféle probléma.
A papíralapú bitcoin tárca sem tökéletes mindig
Nemrégiben azonban egy elég megrázó tartalmú elemzés jelent meg a Coindesken (itt olvasható az egész), amely szerint aki hozzáfér a BitcoinPaperWallet backendjéhez (kvázi az adatbázishoz és forráskódhoz), az hozzáfér a papírtárcák privát kulcsaihoz is. Több olyan felhasználóról tudni, akik óriási összegeket buktak emiatt. Állítólag egy „Nick Wendell” álnéven ismertté vált felhasználó még januárban fél millió dollárt veszített el így. Ez egy újabb emlékeztető arra, hogy érdemes megfontolni, hogy web-alapú bitcoin tárcagenerátorokat használunk-e. Hiszen Wendell története is roppant szomorú és kristálytisztán valamiféle hack irányába mutat.
Fogta fél millió dollár értékű bitcoinjait és egy, a BitcoinPaperWallet által generált papírtárcába mozgatta. Néhány perc múlva eltűnt a 14.5 BTC, mintha nyoma sem lett volna. És ezzel nincs egyedül, különféle Reddit és Bitcointalk fórumokon böngészve több hasonló felhasználót is találhatunk könnyedén. Ugye alapesetben a papírtárcák biztonságosabbnak tűnnek, de a fő kockázat a privát kulcs generálása. Hiszen ha egy külsős cég által fejlesztett szoftverre bízzuk magunkat, akkor megbízunk ebben a cégben. És ha az egész egy hack, akkor buktuk az összes coinunkat. És mivel a BitcoinPaperWallet az összes generált privát kulcsot eltárolja a szerverein, így aki ezekhez hozzáfér, az már nyert helyzetben van. Az oldal sebezhetősége már évek óta téma, például a MetaMask is kockázatosnak tartja ezt a domaint.
Aki a technikai részletekre is kíváncsi az a kapcsolódó Reddit fórumon elolvashatja a „hátsó ajtó” működését. Alapvetően annyi az egész, hogy amikor megnyitjuk az oldalt, az már automatikusan 60 véletlenszerű számot betölt a HTML-be, mint „teszt kulcs”. De valójában ez a teszt kulcs lesz maga a privát kulcs. És innentől kezdve hiába kattintunk arra, hogy egyedi kódot kapjunk. Az oldal ezt ignorálja és szimplán a HTML-be ágyazott teszt kulcsot fogja nekünk visszaadni. Tehát nincs semmilyen véletlenszerűség. A BitcoinPaperWallet egyébként reagált a vádakra és állítólagosan semmiféle „hátsó ajtó” vagy hibás működés nyomát nem találták, de továbbra is minden bejelentést kivizsgálnak.