Home > Cos’è il “5$ wrench attack” e cosa fare per proteggersi.

Cos’è il “5$ wrench attack” e cosa fare per proteggersi.

Supponiamo che qualcuno scopra che possiedi una notevole quantità di criptovalute. In questo caso, potresti essere colpito in maniera diretta, e qualcuno potrebbe intimidirti facendoti consegnare le chiavi private del tuo wallet o metterti nella condizione di trasferire i tuoi asset utilizzando un’arma o un semplice strumento comune, come un martello, un cacciavite o un’ economica e vecchia chiave inglese di poco valore, questo tipo di attacco prende il nome di “5$ wrench attack“, appunto attacco con chiave inglese da 5 dollari.

Non importa quanto siano sicure le tue chiavi nel tuo hardware wallet o su uno qualsiasi dei tuoi dispositivi, nessuno scudo informatico può proteggerti da questo tipo di attacco.

Ma non disperarti, non è ancora detta l’ultima parola, leggi quest’articolo e studia le tecniche di privacy e offuscamento per vivere tranquillo.

Che cos’è un “5$ Wrench Attack” ?

Violenti attacchi sui possessori di criptovalute non sono una novità. I professionisti della sicurezza hanno preventivamente messo in guardia sin dai primi giorni di Bitcoin. Questi attacchi sono normalmente conosciuti come $5 Wrench Attack (attacchi con chiave inglese da 5 dollari).

Questo tipo di attacco presuppone che il modo più meschino per ottenere una password o qualche informazione privata utile da te, sia picchiarti fino a fati perdere i sensi con una chiave inglese da appena 5 dollari, non occorre essere degli hacker per questo tipo di attacco…

Sfortunatamente, dal momento che le operazioni in criptovaluta sono pseudonime, in parte, è difficile rilevare l’attaccante una volta che gli hai fornito l’accesso alle tue chiavi private per verificare e tracciare il furto e quindi… bye bye …

Paradigma del “5$ Wrench Attack”

Un “5$ Wrench Attack” non è una fantasia paranoica. I possessori di criptovalute hanno già subito questo tipo di attacco. In rete potete trovare numerosi articoli a riguardo, cercando online “5$ Wrench Attack”, probabilmente alcuni articoli sono dei fake, ma il rischio è reale.

Cosa dobbiamo imparare da ciò?

Considera se gli hacker ottengano informazioni su di te e fossero dei malintenzionati. In tal caso, potrebbero sfruttare il controllo incrociato dei dati con dichiarazioni o altre info trovate sui social media in cui i trader si ritrovano per vantarsi di quanti soldi guadagnano scambiando Bitcoin con altre criptovalute, ad esempio su Telegram o Discord.

Se trovassero qualcuno abbastanza noto, potrebbero provare a colpirlo. Per eludere un temuto 5$ Wrench Attack a seguito dei vari leak online, dovresti tenere a mente quanto segue:

  • Non rivelare che detieni Bitcoin o altre criptovalute.
  • Cancella i post sui social media, se pensi possano renderti vulnerabile ad attacchi.
  • Addirittura eliminare i tuoi account sui social media, potrebbe essere un passaggio da considerare.

Per citare Jameson Lopp uno dei massimi esperti in materia, nonchè co-founder e CTO del wallet CASA: “assicurati di possedere un buon hardware wallet per proteggere i tuoi asset.”

Molteplici soluzioni possono tutelarti da questi attacchi privati. Tutti scendono a compromessi con la sicurezza e non sono sempre facili da accettare.

Dopo aver riflettuto a lungo, ritengo che un wallet multi-sig geograficamente distribuito è la soluzione più adatta per il possesso sicuro di bitcoin autonomamente. I sistemi multi-sig di produttori autorevoli come Trezor, Ledger e Coldcard possono essere utilizzati come soluzione.

In breve, questa diventerà la prassi per la Self-custody nella società bitcoin che si sta delineando e i ladri saranno sempre più disincentivati ​​dal tentare questi attacchi.

Come proteggersi:

Soluzione 1: wallet esca.

Un wallet esca è quello che riempi con abbastanza bitcoin per soddisfare un ladro, ma non così tanti da non essere pronto a cederlo in caso di attacco a sorpresa. La maggior parte dei bitcoiner utilizza un wallet “hardware” per i loro trading quotidiani. Solitamente si tratta di un wallet pronto all’uso, che potrebbe fungere adeguatamente da wallet esca.

I fattori essenziali in questo caso, sono che contenga asset a sufficienza per evitare un attacco, ma non abbastanza per distruggerti finanziariamente e che il ladro non abbia informazioni più dettagliate su di te o sui tuoi asset.

Si suppone che chi attacchi sia tecnicamente esperto e che potrebbe sperare di individuare il wallet hardware a casa tua. In questo caso, l’esca potrebbe essere semplicemente una somma idonea.

Inoltre ColdCard Mk3 e Mk4, ha un PIN che può aiutare in queste circostanze consentendoti di avere singoli portafogli sullo stesso dispositivo che provengono dalla stessa seed phrase in BIP39 la funzione chiamata “Duress pin“. Uno può essere il portafoglio principale senza che l’attaccante capisca il trucco non conoscendo i tuoi PIN.

Il ColdCard fornisce anche un elemento opzionale “Brick Me PIN” che elimina fisicamente un determinato componente sul dispositivo, distruggendolo definitivamente in caso di attacco. Tuttavia, questo non fa nulla per garantire che la Recovery seed sia al sicuro nella tua cassaforte. E, per inciso, devi avere una cassaforte.

Soluzione 2: aggiorna la tua sicurezza domestica.

A prescindere dal possesso di criptovalute, è buona norma avere un elevato grado di sicurezza domestica, Ad esempio chiudi sempre a chiave le porte anche se sei in casa. Evita di lasciare le tue chiavi di casa in posti non sicuri. Considera l’utilizzo di sistemi di allarme con sensori di movimento e telecamere, al giorno d’oggi esistono dei sistemi domotici di sicurezza non molto costosi e ideali per mettere in sicurezza la tua casa.

Soluzione 3: Dispersione geografica delle tue chiavi private.

Questo è uno stratagemma interessante, quando inizializzi il tuo Hardware Wallet solitamente avrai una “recovery seed” in BIP39, e cioè 12 o 18 o 24 parole solitamente inglesi di senso compiuto da custodire segretamente, queste parole non sono altro che il tuo SEED e cioè la chiave privata da cui vengono derivati tutti i tuoi indirizzi pubblici.

Questa sequenza di parole è consigliabile trasferirla su un cold wallet, qui sul sito alla sezione accessori ne trovate molti come ad esempio il Cryptosteel Capsule. Oppure se volete fare tutto in autonomia potete utilizzare Keytala e crearvi il vostro cold wallet. La cosa interessante è che potreste suddividere fisicamente il seed in più parti e nasconderle in varie posizioni più o meno distribuite, così avreste il tempo di trovare una soluzione all’attacco. Suddividendo le parti ricordate di mantenere l’esatto ordine delle parole altrimenti rischierete di perdere tutto.

Soluzione 4: Wallet multisig (dispersi geograficamente)

Come detto prima, i migliori produttori di hardware wallet, come Coldcard, Ledger, Bitbox02, Trezor, offrono la possibilità di creare wallet multisig, e cioè avere più chiavi private per firmare una transazione, avendo due o più chiavi, o dispositivi diversi, secondo la combinazione più comune 2-3 oppure 3-5 fino a 16 chiavi (vedi shamir backup) Questa tecnica unita la fatto di custodire le chiavi in posti geograficamente diversi, è l’ideale per evitare attacchi e guadagnare tempo prezioso.

Queste quattro soluzioni si intrecciano con la gestione della privacy, un argomento molto importante e difficile da perseguire, secondo me tutto è un compromesso che tocca molti aspetti dell’utilizzo della tecnologia, e non parlo solo dell’utilizzo degli hardware wallet, ma del tuo modo di utilizzare internet o meglio i dispositivi online.

Pertanto presta attenzione a questi quattro aspetti legati alla privacy:

  • Mantieni la privacy, e un profilo basso, “Cos’è bitcoin? Mai sentito”.
  • Evita di catturare l’attenzione con adesivi e gadget legati alle cryptovalute.
  • Potenzia la tua sicurezza domestica.
  • Prepara un wallet esca.

Oggi gli hacker preferiscono tecniche di ingegneria sociale, e quindi ottenere più informazioni possibili su di te e sicuramente cercheranno di estorcere la tua recovery seed spacciandosi per qualcun altro per coglierti in fallo, oppure conoscendo il tuo operatore telefonico proveranno a fare SIM swap e a bucare l’autenticazione a due fattori. Utilizza sempre strumenti hardware come Yubikey o Nitrokey così sarai sicuro che l’accesso ai tuoi dispositivi sia protetto.

Conclusioni

La Self Custody è un mondo molto complesso, la chiave da cui partire si chiama Hardware Wallet e qui sul sito troverete i migliori modelli presenti sul mercato , siete pronti a prendere la pillola rossa o per meglio dire arancione ?

Il mio consiglio più sensato è quello di utilizzare gli hardware wallet quando si tratta di cifre ragionevoli, se le paranoie cominciano a prendere il sopravvento e le vostre skills non sono eccezionali, affidatevi a un buon servizio di custodia, infatti ho voluto creare il sito www.chiaviprivate.it per promuovere il servizio di custodia multisig e multilivello offerto da CheckSig, leader italiano dei servizi di custodia chiavi private, sul sito troverete il form per ottenere la prova gratuita e senza impegno di ben tre mesi.

Che aspettate approfondite il servizio qui:

Crediti foto:

Photo by Elti Meshau on Unsplash

Photo by sebastiaan stam on Unsplash

Photo by Chris Kendall on Unsplash

Photo by mostafa meraji on Unsplash